واضح آرشیو وب فارسی:تبیان: مقدمه ای بر IPSecIP Security یاIPSec رشته ای از پروتكلهاست كه برای ایجادVPN مورد استفاده قرار می گیرند. مطابق با تعریفIETF (Internet Engineering Task Force) پروتكلIPSec به این شكل تعریف می شود:یك پروتكل امنیتی در لایه شبكه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین كند. خدماتی كه به صورت منعطفی به پشتیبانی تركیبی از تایید هویت ، جامعیت ، كنترل دسترسی و محرمانگی بپردازد.در اكثر سناریوها مورد استفاده ،IPSec به شما امكان می دهد تا یك تونل رمزشده را بین دو شبكه خصوصی ایجاد كنید.همچنین امكان تایید هویت دو سر تونل را نیز برای شما فراهم می كند.اماIPSec تنها به ترافیك مبتنی برIP اجازه بسته بندی و رمزنگاری می دهد و درصورتی كه ترافیك غیرIP نیز در شبكه وجود داشته باشد ، باید از پروتكل دیگری مانندGRE در كنارIPSec استفاده كرد.IPSec به استانداردde facto در صنعت برای ساختVPN تبدیل شده است.بسیاری از فروشندگان تجهیزات شبكه ،IPSec را پیاده سازی كرده اند و لذا امكان كار با انواع مختلف تجهیزات از شركتهای مختلف ،IPSec را به یك انتخاب خوب برای ساختVPN مبدل كرده است. انواع IPSec VPNشیوه های مختلفی برای دسته بندیIPSec VPN وجود دارد اما از نظر طراحی ،IPSec برای حل دو مسئله مورد استفاده قرار می گیرد :1-اتصال یكپارچه دو شبكه خصوصی و ایجاد یك شبكه مجازی خصوصی2-توسعه یك شبكه خصوصی برای دسترسی كاربران از راه دور به آن شبكه به عنوان بخشی از شبكه امنبر همین اساس ،IPSec VPN ها را نیز می توان به دو دسته اصلی تقسیم كرد:1-پیاده سازیLAN-to-LAN IPSecاین عبارت معمولا برای توصیف یك تونلIPSec بین دو شبكه محلی به كار می رود. در این حالت دو شبكه محلی با كمك تونلIPSec و از طریق یك شبكه عمومی با هم ارتباط برقرار می كنند به گونه ای كه كاربران هر شبكه محلی به منابع شبكه محلی دیگر، به عنوان عضوی از آن شبكه، دسترسی دارند.IPSec به شما امكان می دهد كه تعریف كنید چه داده ای و چگونه باید رمزنگاری شود.2-پیاده سازیRemote-Access Client IPSecاین نوع ازVPN ها زمانی ایجاد می شوند كه یك كاربر از راه دور و با استفاده ازIPSec client نصب شده بر روی رایانه اش، به یك روترIPSec یاAccess server متصل می شود. معمولا این رایانه های دسترسی از راه دور به یك شبكه عمومی یا اینترنت و با كمك روشdialup یا روشهای مشابه متصل می شوند. زمانی كه این رایانه به اینترنت یا شبكه عمومی متصل می شود،IPSec client موجود بر روی آن می تواند یك تونل رمز شده را بر روی شبكه عمومی ایجاد كند كه مقصد آن یك دستگاه پایانیIPSec،مانند یك روتر، كه بر لبه شبكه خصوصی مورد نظر كه كاربر قصد ورود به آن را دارد، باشد.در روش اول تعداد پایانه هایIPSec محدود است اما با كمك روش دوم می توان تعداد پایانه ها را به ده ها هزار رساند كه برای پیاده سازی های بزرگ مناسب است. ساختار IPSecIPSec برای ایجاد یك بستر امن یكپارچه ، سه پروتكل را با هم تركیب می كند :1-پروتكل مبادله كلید اینترنتی (Internet Key Exchange یاIKE )این پروتكل مسئول طی كردن مشخصه های تونلIPSec بین دو طرف است. وظایف این پروتكل عبارتند از:üطی كردن پارامترهای پروتكلüمبادله كلیدهای عمومیüتایید هویت هر دو طرفüمدیریت كلیدها پس از مبادلهIKE مشكل پیاده سازی های دستی و غیر قابل تغییرIPSec را با خودكار كردن كل پردازه مبادله كلید حل می كند. این امر یكی از نیازهای حیاتی IPSecاست.IKE خود از سه پروتكل تشكیل می شود :üSKEME :مكانیزمی را برای استفاده از رمزنگاری كلید عمومی در جهت تایید هویت تامین می كند.üOakley : مكانیزم مبتنی بر حالتی را برای رسیدن به یك كلید رمزنگاری، بین دو پایانهIPSec تامین می كند.üISAKMP :معماری تبادل پیغام را شامل قالب بسته ها و حالت گذار تعریف می كند.IKE به عنوان استانداردRFC 2409 تعریف شده است. با وجودی كهIKE كارایی و عملكرد خوبی را برایIPSec تامین می كند، اما بعضی كمبودها در ساختار آن باعث شده است تا پیاده سازی آن مشكل باشد، لذا سعی شده است تا تغییراتی در آن اعمال شود و استاندارد جدیدی ارائه شود كهIKE v2 نام خواهد داشت.2-پروتكلEncapsulating Security Payload یاESPاین پروتكل امكان رمزنگاری ، تایید هویت و تامین امنیت داده را فراهم می كند.3-پروتكل سرآیند تایید هویت (Authentication Header یاAH)این پروتكل برای تایید هویت و تامین امنیت داده به كار می رود.برگرفته از سایت www.ircert.com
این صفحه را در گوگل محبوب کنید
[ارسال شده از: تبیان]
[مشاهده در: www.tebyan.net]
[تعداد بازديد از اين مطلب: 757]