امنیت در وی‌پی‌ان

خرید فیلتر شکن کریو

امنیت در وی‌پی‌ان

تبادل داده‌ها روی اینترنت چندان ایمن نیست. تقریباً هر کسی که در جای مناسب قرار داشته باشد می‌تواند جریان داده‌ها را زیر نظر گرفته و از آنها سوء استفاده نماید . شبکه‌های شخصی مجازی یا وی‌پی‌ان‌ها کار نفوذ را برای خرابکاران زیاد سخت می‌کنند.

شبکه‌های وی‌پی‌ان بمنظور تامین امنیت (داده‌ها ارتباطات)از روش‌های متعددی استفاده می‌نمایند، از عبارت :

دیوار آتش
رمزنگاری
آی‌پی‌سک
کارساز AAA
دیوار آتش

دیوار آتش یا فایروال یک دیواره مجازی بین شبکه اختصاصی سازمان اینترنت ایجاد می‌نماید. با استفاده از دیوار آتش می‌توان عملیات مفرق ی را در جهت اعمال سیاست‌های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت‌های فعال، ایجاد محدودیت در رابطه به پروتکل‌های خاص، ایجاد محدودیت در نوع بسته‌های اطلاعاتی و… نمونه هائی از عملیاتی است که می‌توان با مصرف از دیوارآتش انجام داد.

رمزنگاری

Right
پیشنهاد شده‌است که این متن یا بخش با رمزنگاری ادغام گردد. (بحث)
رمزنگاری فرایندی است که بااستفاده از آن رایانه مبداءاطلاعاتی رمزشده را جهت رایانه دیگر ارسال می‌نماید.بقیه رایانه های مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب بعد از ارسال اطلاعات بوسیله فرستنده، دریافت کنندگان، قبل ازاستفاده ازاطلاعات می‌بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیسـتم ‌های رمزنگاری در رایانه به دو گروه عمده تقسیم می‌گردد:

رمزنگاری کلید متقارن

در رمز نگاری کلید متقارن هر یک از رایانه ها دارای یک کلید رمزنگاری (کد) بوده که بامصرف ازآن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه جهت رایانه دیگر می‌باشند. درروش فوق می‌بایست در ابتدا نسبت به رایانه هایی که قصد برقراری ارسال اطلاعات برای یکدیگر را دارند، آگاهی کامل وجود داشته باشد. هر از رایانه های مجموعه کننده در مبادله اطلاعاتی می‌بایست دارای کلید رمزنگاری مشابه بمنظور رمزگشایی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی از کلید فوق مصرف خواهد شد.

جهت مثال فرض بکنید قصد ارسال یک پیام رمز شده جهت یکی از دوست ها را داشته باشید. بدین منظور از الگوریتم ویِژگزینشه جهت رمزنگاری استفاده می‌شود. در الگوریتم فوق هر حرف به دوحرف بعداز خود تبدیل می‌گردد. (حرف A به حرف C، حرف B به حرف D و…). بعد از رمزنمودن پیام و ارسال آن، می‌بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام ارسال شده، هر حرف بایستی به دو حرف قبل از خود تبدیل گردد. در چنین حالتی می‌بایست به رفیق امین خود، واقعیت فوق (کلید رمزنگاری) گفته شود. در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد، بدلیل عدم آگاهی از کلید، آنان قادر به رمزگشایی و استفاده از پیام ارسال شده نخواهند بود.

رمزنگاری کلید عمومی

در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می‌شود. کلید خصوصی صرفاً برای رایانه شما (ارسال کننده) قابل شناسایی و استفاده‌است. کلید عمومی توسط رایانه شما در اختیار تمام رایانه های دیگری که قصد رابطه با آن را داشته باشند گذاشته می‌شود. بمنظور رمزگشائی پیام رمز شده، یک رایانه می‌بایست با مصرف از کلید عمومی (ارائه شده بوسیله رایانه ارسال کننده) و کلید خصوصی مربوط به خود کار به رمزگشائی پیام ارسالی نماید. یکی از متداولترین وسائل های رمزنگاری کلید عمومی، روشی با نام پی‌جی‌پی است. با استفاده از اینروش می‌توان اقدام به رمزنگاری اطلاعات دلخواه نمود.

آی‌پی‌سک

Right
پیشنهاد شده‌است که این متن یا بخش با آی‌پی‌سک ادغام گردد. (بحث)
پروتکل آی‌پی‌سک یکی از امکانات موجود جهت ایجاد امنیت در ارسال دریافت اطلاعات می‌باشد. قابلیت اینروش در مقایسه با الگوریتم‌های رمزنگاری بمراتب بیشتر است. پروتکل فوق دارای دوروش رمزنگاری است: Tunnel، Transport. درروش tunel، هدر Payload رمز شده درحالیکه درشیوه transport صرفاً payload رمز می‌گردد. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای مفرق است:

روتر به روتر
فایروال به روتر
رایانه به روتر
رایانه به سرویس‌دهنده
جزئیات IP-Sec
VPN-Ipsec فقط جهت اینترنت

Ipsec برخلافPPTP L2TPروی لایه شبکه به مفهوملایه سوم کار می‌کند. این پروتکل داده‌هایی که باید فرستاده شود را همراه با تمام اطلاعات جانبی مانند گیرنده پیغام‌های وضعیت رمز گذاری کرده و به آن IP Header معمولی اضافه کرده به آن سوی تونل می‌فرستد.
رایانه ی که در آن سو قرار دارد IP Headerرا جدا کرده ، داده‌ها را رمز گشایی کرده و آن را به رایانه مقصد می‌فرستد.Ipsec را می‌توان با دو روش Tunneling پیکر بندی کرد. در این نحوه انتخاب اختیاری تونل، سرویس گیرنده نخست رابطه معمولی با اینترنت برقرار می‌کند سبعد از این مسیر برای ایجاد اتصال مجازی به رایانه مقصد استفاده می‌کند. جهت این منظور، بایستی روی رایانه سرویس گیرنده پروتکل تونل نصب شده باشد. ً فرد اینترنت است که به اینترنت وصل می‌شود. اما رایانه های داخل LAN می‌توانند یک رابطه VPN برقرا کنند. از آنجا که رابطه IPاز پیش موجود است تنها برقرار کردن رابطه VPN کافی است.
در شیوه تونل اجباری، سرویس گیرنده نباید تونل را ایجاد نماید بلکه این کار به عهده فراهم ساز است. سرویس گیرنده تنها بایستی به ISP وصل شود. تونل به طور اتوماتیک از فراهم ساز تا ایستگاه مقصد وجود دارد. اما جهت این کار می بایست همانگی‌های ضروری با ISPانجام بگیرد.

ویژگی‌های امنیتی در IPsec

Ipsec از طریق AH مطمئن می‌شود که Packetهای دریافتی از طرف فرستنده واقعی نه از سوی نفوذ کننده(که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده .AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay پیشگیری نماید . اما AH رمز گذاری نمی‌شود. رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می‌گیرد. در این شیوه داده‌های اصلی رمز گذاری شده VPNاطلاعاتی رااز طریق ESH ارسال می‌کند.
ESH همچنین کارکرده ایی جهت تعیین اعتبار خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست. جهت رمز گذاری تعیین اعتبارراهنمای معین و ثابتی وجود ندارد اما با این همه، IETF برای حفظ سازگاری بین کالاها مختلف، الگوریتم‌های اجباری جهت پیاده سازی Ipsec تهیه دیده. برای نمونه می‌توان به MD5،DES یا Secure Hash Algorithm اشاره کرد. مهمترین استانداردها روش‌هایی که در Ipsec به کار می‌روند عبارتنداز:

Diffie-Hellman برای مبادله کلیدها بین ایستگاه‌های دو سر ارتباط.
رمز گذاری Public Key جهت ثبت و اطمینان از کلیدهای مبادله شده همین طور اطمینان از هویت ایستگاه‌های سهیم در ارتباط.
الگوریتم‌های رمز گذاری مانند DES جهت اطمینان از درستی داده‌های انتقالی.
الگوریتم‌های درهم ریزی (Hash) برای تعیین اعتبار تک تک Packetها.
امضاهای دیجیتال جهت تعیین اعتبارهای دیجیتالی.
Ipsec بدون تونل

Ipsec در مقایسه با دیگر روش‌ها یک برتری دیگر دارد و آن اینست که می‌تواند همچون یک پروتکل انتقال معمولی به کار برود.
در این حالت برخلاف حالت Tunneling تمام IP packet رمز گذاری و دوباره بسته بندی نمی‌شود. بجای آن، تنها داده‌های اصلی رمزگذاری می‌شوند Header همراه با آدرس‌های فرستنده گیرنده باقی می‌ماند. این باعث می‌شود که داده‌های سرباز (Overhead) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود. ولی روشن است که در این وضعیت، خرابکاران می‌توانند به مبدا و مقصد داده‌ها پی ببرند. از آنجا که در مدل OSI داده‌ها از لایه ۳ به بالا رمز گذاری می‌شوند خرابکاران متذکر نمی‌شوند که این داده‌ها به رابطه با سرویس دهنده Mail مربوط می‌شود یا به چیز دیگر.

جریان یک رابطه Ipsec

بیش از آن که دو رایانه بتواننداز طریق Ipsec داده‌ها را میان خود جابجا کنند می بایست یکسری کارها انجام شود.

نخست می بایست ایمنی برقرار شود. برای این منظور، رایانه ها برای یکدیگر معین می‌کنند که آیا رمز گذاری، تعیین اعتبار تشخیص خطا یا هر سه آنها می بایست انجام بگیرد یا نه.
پس الگوریتم را معین می‌کنند، مثلاً DEC جهت رمزگذاری MD5 جهت خطایابی.
در گام بعدی، کلیدها را میان مبادله می‌کنند.
Ipsec جهت حفظ ایمنی رابطه از SA مصرف می‌کند. SA چگونگی رابطه بین دو یا چند ایستگاه و سرویس‌های ایمنی را معین می‌کند.SAهااز طرف SPI شناسایی می‌شوند.SPI از عدد تصادفی آدرس مقصد تشکیل می‌شود. این به آن مفهوم است که همواره بین دو رایانه دو SPI وجود دارد:
یکی جهت رابطه A B یکی جهت رابطه B به A. چنانچه یکی از رایانه ها بخواهد در حالت حفاظت شده داده‌ها را منتقل نماید نخست نحوه رمز گذاری مورد توافق با رایانه دیگر را ارزیابی کرده و آن نحوه را روی داده‌ها اعمال می‌کند. پس SPI را در Header نوشته Packet را به سوی مقصد می‌فرستد.

مدیریت کلیدهای رمز در Ipsec

چنانچه چه Ipsec فرض را بر این می‌گذارد که توافقی جهت ایمنی داده‌ها وجود دارد اما خودش برای ایجاد این توافق نمی‌تواند کاری انجام بدهد.
Ipsec در این کار به IKE تکیه می‌کند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو رایانه می بایست نخست تعیین اعتبار شوند. در حال حاضر جهت این کار از راه‌های زیر مصرف می‌شود:

Pre shared keys: روی هر دو رایانه کلید نصب می‌شود که IKE از روی آن یک عدد Hash ساخته و آن را به سوی رایانه مقصد می‌فرستد. اگر هر دو رایانه بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام می‌گیرد
رمز گذاری Public Key:هر رایانه یک عدد تصادفی ساخته و بعد از رمز گذاری آن با کلید عمومی رایانه مقابل، آن را به رایانه مقابل می‌فرستد. اگر رایانه مقابل بتواند با کلید شخصی این عدد را رمز گشایی کرده و باز پس بفرستد برا ی رابطه مجاز است. در حال حاضر فقط ازراهنمای RSA برای این کار پیشنهاد می‌شود.
امضاء دیجیتال:در این شیوه، هر رایانه یک رشته داده را علامت گذاری(امضاء) کرده و به رایانه مقصد می‌فرستد. در حال حاضر برای این کار از روش‌های RSA و DSS مصرف می‌شود. جهت امنیت بخشیدن به تبادل داده‌ها می بایست هر دو سر رابطه نخست بر سر یک یک کلید به توافق برسند که برای تبادل داده‌ها به کار می‌رود. جهت این منظور می‌توان همان کلید به دست آمده از طریق Diffie Hellman را به کاربر د که سریع تر است یا یک کلید دیگر تهیه که مطمئن تر است.
سرویس دهنده AAA

سرویس دهندگان AAA بمنظور ایجادامنیت بالا در محیط‌های وی‌پی‌ان از نوع دستیابی از راه دور مصرف می‌گردند. وقتی که کاربر ان با استفاده از خط تلفن به سیـستم متصل می‌شوند، سرویس دهنده AAA درخواست آنها را اخذ عملیات زیر را انجام خواهد داد:

شما چه فردی هستید؟ (تایید،Authentication)
شما مجاز به انجام چه کاری هستید؟ (مجوز،Authorization)
چه کارهائی را انجام داده اید؟ (حسابداری،Accounting)