امنیت در ویپیان
تبادل دادهها روی اینترنت چندان ایمن نیست. تقریباً هر کسی که در جای مناسب قرار داشته باشد میتواند جریان دادهها را زیر نظر گرفته و از آنها سوء استفاده نماید . شبکههای شخصی مجازی یا ویپیانها کار نفوذ را برای خرابکاران زیاد سخت میکنند.
شبکههای ویپیان بمنظور تامین امنیت (دادهها ارتباطات)از روشهای متعددی استفاده مینمایند، از عبارت :
دیوار آتش
رمزنگاری
آیپیسک
کارساز AAA
دیوار آتش
دیوار آتش یا فایروال یک دیواره مجازی بین شبکه اختصاصی سازمان اینترنت ایجاد مینماید. با استفاده از دیوار آتش میتوان عملیات مفرق ی را در جهت اعمال سیاستهای امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورتهای فعال، ایجاد محدودیت در رابطه به پروتکلهای خاص، ایجاد محدودیت در نوع بستههای اطلاعاتی و… نمونه هائی از عملیاتی است که میتوان با مصرف از دیوارآتش انجام داد.
رمزنگاری
Right
پیشنهاد شدهاست که این متن یا بخش با رمزنگاری ادغام گردد. (بحث)
رمزنگاری فرایندی است که بااستفاده از آن رایانه مبداءاطلاعاتی رمزشده را جهت رایانه دیگر ارسال مینماید.بقیه رایانه های مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب بعد از ارسال اطلاعات بوسیله فرستنده، دریافت کنندگان، قبل ازاستفاده ازاطلاعات میبایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیسـتم های رمزنگاری در رایانه به دو گروه عمده تقسیم میگردد:
رمزنگاری کلید متقارن
در رمز نگاری کلید متقارن هر یک از رایانه ها دارای یک کلید رمزنگاری (کد) بوده که بامصرف ازآن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه جهت رایانه دیگر میباشند. درروش فوق میبایست در ابتدا نسبت به رایانه هایی که قصد برقراری ارسال اطلاعات برای یکدیگر را دارند، آگاهی کامل وجود داشته باشد. هر از رایانه های مجموعه کننده در مبادله اطلاعاتی میبایست دارای کلید رمزنگاری مشابه بمنظور رمزگشایی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی از کلید فوق مصرف خواهد شد.
جهت مثال فرض بکنید قصد ارسال یک پیام رمز شده جهت یکی از دوست ها را داشته باشید. بدین منظور از الگوریتم ویِژگزینشه جهت رمزنگاری استفاده میشود. در الگوریتم فوق هر حرف به دوحرف بعداز خود تبدیل میگردد. (حرف A به حرف C، حرف B به حرف D و…). بعد از رمزنمودن پیام و ارسال آن، میبایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام ارسال شده، هر حرف بایستی به دو حرف قبل از خود تبدیل گردد. در چنین حالتی میبایست به رفیق امین خود، واقعیت فوق (کلید رمزنگاری) گفته شود. در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد، بدلیل عدم آگاهی از کلید، آنان قادر به رمزگشایی و استفاده از پیام ارسال شده نخواهند بود.
رمزنگاری کلید عمومی
در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده میشود. کلید خصوصی صرفاً برای رایانه شما (ارسال کننده) قابل شناسایی و استفادهاست. کلید عمومی توسط رایانه شما در اختیار تمام رایانه های دیگری که قصد رابطه با آن را داشته باشند گذاشته میشود. بمنظور رمزگشائی پیام رمز شده، یک رایانه میبایست با مصرف از کلید عمومی (ارائه شده بوسیله رایانه ارسال کننده) و کلید خصوصی مربوط به خود کار به رمزگشائی پیام ارسالی نماید. یکی از متداولترین وسائل های رمزنگاری کلید عمومی، روشی با نام پیجیپی است. با استفاده از اینروش میتوان اقدام به رمزنگاری اطلاعات دلخواه نمود.
آیپیسک
Right
پیشنهاد شدهاست که این متن یا بخش با آیپیسک ادغام گردد. (بحث)
پروتکل آیپیسک یکی از امکانات موجود جهت ایجاد امنیت در ارسال دریافت اطلاعات میباشد. قابلیت اینروش در مقایسه با الگوریتمهای رمزنگاری بمراتب بیشتر است. پروتکل فوق دارای دوروش رمزنگاری است: Tunnel، Transport. درروش tunel، هدر Payload رمز شده درحالیکه درشیوه transport صرفاً payload رمز میگردد. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای مفرق است:
روتر به روتر
فایروال به روتر
رایانه به روتر
رایانه به سرویسدهنده
جزئیات IP-Sec
VPN-Ipsec فقط جهت اینترنت
Ipsec برخلافPPTP L2TPروی لایه شبکه به مفهوملایه سوم کار میکند. این پروتکل دادههایی که باید فرستاده شود را همراه با تمام اطلاعات جانبی مانند گیرنده پیغامهای وضعیت رمز گذاری کرده و به آن IP Header معمولی اضافه کرده به آن سوی تونل میفرستد.
رایانه ی که در آن سو قرار دارد IP Headerرا جدا کرده ، دادهها را رمز گشایی کرده و آن را به رایانه مقصد میفرستد.Ipsec را میتوان با دو روش Tunneling پیکر بندی کرد. در این نحوه انتخاب اختیاری تونل، سرویس گیرنده نخست رابطه معمولی با اینترنت برقرار میکند سبعد از این مسیر برای ایجاد اتصال مجازی به رایانه مقصد استفاده میکند. جهت این منظور، بایستی روی رایانه سرویس گیرنده پروتکل تونل نصب شده باشد. ً فرد اینترنت است که به اینترنت وصل میشود. اما رایانه های داخل LAN میتوانند یک رابطه VPN برقرا کنند. از آنجا که رابطه IPاز پیش موجود است تنها برقرار کردن رابطه VPN کافی است.
در شیوه تونل اجباری، سرویس گیرنده نباید تونل را ایجاد نماید بلکه این کار به عهده فراهم ساز است. سرویس گیرنده تنها بایستی به ISP وصل شود. تونل به طور اتوماتیک از فراهم ساز تا ایستگاه مقصد وجود دارد. اما جهت این کار می بایست همانگیهای ضروری با ISPانجام بگیرد.
ویژگیهای امنیتی در IPsec
Ipsec از طریق AH مطمئن میشود که Packetهای دریافتی از طرف فرستنده واقعی نه از سوی نفوذ کننده(که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده .AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay پیشگیری نماید . اما AH رمز گذاری نمیشود. رمز گذاری از طریق Encapsulation Security Header یا ESH انجام میگیرد. در این شیوه دادههای اصلی رمز گذاری شده VPNاطلاعاتی رااز طریق ESH ارسال میکند.
ESH همچنین کارکرده ایی جهت تعیین اعتبار خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست. جهت رمز گذاری تعیین اعتبارراهنمای معین و ثابتی وجود ندارد اما با این همه، IETF برای حفظ سازگاری بین کالاها مختلف، الگوریتمهای اجباری جهت پیاده سازی Ipsec تهیه دیده. برای نمونه میتوان به MD5،DES یا Secure Hash Algorithm اشاره کرد. مهمترین استانداردها روشهایی که در Ipsec به کار میروند عبارتنداز:
Diffie-Hellman برای مبادله کلیدها بین ایستگاههای دو سر ارتباط.
رمز گذاری Public Key جهت ثبت و اطمینان از کلیدهای مبادله شده همین طور اطمینان از هویت ایستگاههای سهیم در ارتباط.
الگوریتمهای رمز گذاری مانند DES جهت اطمینان از درستی دادههای انتقالی.
الگوریتمهای درهم ریزی (Hash) برای تعیین اعتبار تک تک Packetها.
امضاهای دیجیتال جهت تعیین اعتبارهای دیجیتالی.
Ipsec بدون تونل
Ipsec در مقایسه با دیگر روشها یک برتری دیگر دارد و آن اینست که میتواند همچون یک پروتکل انتقال معمولی به کار برود.
در این حالت برخلاف حالت Tunneling تمام IP packet رمز گذاری و دوباره بسته بندی نمیشود. بجای آن، تنها دادههای اصلی رمزگذاری میشوند Header همراه با آدرسهای فرستنده گیرنده باقی میماند. این باعث میشود که دادههای سرباز (Overhead) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود. ولی روشن است که در این وضعیت، خرابکاران میتوانند به مبدا و مقصد دادهها پی ببرند. از آنجا که در مدل OSI دادهها از لایه ۳ به بالا رمز گذاری میشوند خرابکاران متذکر نمیشوند که این دادهها به رابطه با سرویس دهنده Mail مربوط میشود یا به چیز دیگر.
جریان یک رابطه Ipsec
بیش از آن که دو رایانه بتواننداز طریق Ipsec دادهها را میان خود جابجا کنند می بایست یکسری کارها انجام شود.
نخست می بایست ایمنی برقرار شود. برای این منظور، رایانه ها برای یکدیگر معین میکنند که آیا رمز گذاری، تعیین اعتبار تشخیص خطا یا هر سه آنها می بایست انجام بگیرد یا نه.
پس الگوریتم را معین میکنند، مثلاً DEC جهت رمزگذاری MD5 جهت خطایابی.
در گام بعدی، کلیدها را میان مبادله میکنند.
Ipsec جهت حفظ ایمنی رابطه از SA مصرف میکند. SA چگونگی رابطه بین دو یا چند ایستگاه و سرویسهای ایمنی را معین میکند.SAهااز طرف SPI شناسایی میشوند.SPI از عدد تصادفی آدرس مقصد تشکیل میشود. این به آن مفهوم است که همواره بین دو رایانه دو SPI وجود دارد:
یکی جهت رابطه A B یکی جهت رابطه B به A. چنانچه یکی از رایانه ها بخواهد در حالت حفاظت شده دادهها را منتقل نماید نخست نحوه رمز گذاری مورد توافق با رایانه دیگر را ارزیابی کرده و آن نحوه را روی دادهها اعمال میکند. پس SPI را در Header نوشته Packet را به سوی مقصد میفرستد.
مدیریت کلیدهای رمز در Ipsec
چنانچه چه Ipsec فرض را بر این میگذارد که توافقی جهت ایمنی دادهها وجود دارد اما خودش برای ایجاد این توافق نمیتواند کاری انجام بدهد.
Ipsec در این کار به IKE تکیه میکند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو رایانه می بایست نخست تعیین اعتبار شوند. در حال حاضر جهت این کار از راههای زیر مصرف میشود:
Pre shared keys: روی هر دو رایانه کلید نصب میشود که IKE از روی آن یک عدد Hash ساخته و آن را به سوی رایانه مقصد میفرستد. اگر هر دو رایانه بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام میگیرد
رمز گذاری Public Key:هر رایانه یک عدد تصادفی ساخته و بعد از رمز گذاری آن با کلید عمومی رایانه مقابل، آن را به رایانه مقابل میفرستد. اگر رایانه مقابل بتواند با کلید شخصی این عدد را رمز گشایی کرده و باز پس بفرستد برا ی رابطه مجاز است. در حال حاضر فقط ازراهنمای RSA برای این کار پیشنهاد میشود.
امضاء دیجیتال:در این شیوه، هر رایانه یک رشته داده را علامت گذاری(امضاء) کرده و به رایانه مقصد میفرستد. در حال حاضر برای این کار از روشهای RSA و DSS مصرف میشود. جهت امنیت بخشیدن به تبادل دادهها می بایست هر دو سر رابطه نخست بر سر یک یک کلید به توافق برسند که برای تبادل دادهها به کار میرود. جهت این منظور میتوان همان کلید به دست آمده از طریق Diffie Hellman را به کاربر د که سریع تر است یا یک کلید دیگر تهیه که مطمئن تر است.
سرویس دهنده AAA
سرویس دهندگان AAA بمنظور ایجادامنیت بالا در محیطهای ویپیان از نوع دستیابی از راه دور مصرف میگردند. وقتی که کاربر ان با استفاده از خط تلفن به سیـستم متصل میشوند، سرویس دهنده AAA درخواست آنها را اخذ عملیات زیر را انجام خواهد داد:
شما چه فردی هستید؟ (تایید،Authentication)
شما مجاز به انجام چه کاری هستید؟ (مجوز،Authorization)
چه کارهائی را انجام داده اید؟ (حسابداری،Accounting)