خانه / مقالات / امنیت در وی‌پی‌ان

امنیت در وی‌پی‌ان

خرید فیلتر شکن اندروید

امنیت در وی‌پی‌ان

تبادل داده‌ها روی اینترنت چندان ایمن نیست. تقریباً هر فردی که در جای مناسب قرار داشته باشد می‌تواند جریان داده‌ها را زیر نظر گرفته و از آنها سوء مصرف نماید . شبکه‌های شخصی مجازی یا وی‌پی‌ان‌ها کار نفوذ را جهت خرابکاران بسیار زیاد سخت می‌کنند.

شبکه‌های وی‌پی‌ان بمنظور تامین امنیت (داده‌ها و ارتباطات)از روش‌های متعددی مصرف می‌نمایند، از عبارت :

دیوار آتش
رمزنگاری
آی‌پی‌سک
کارساز AAA
دیوار آتش

دیوار آتش یا فایروال دیواره مجازی بین شبکه اختصاصی سازمان و اینترنت ایجاد می‌نماید. با مصرف از دیوار آتش می‌توان عملیات مفرق ی را در جهت اعمال سیاست‌های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت‌های فعال، ایجاد محدودیت در رابطه به پروتکل‌های خاص، ایجاد محدودیت در نوع بسته‌های اطلاعاتی و… نمونه هائی از عملیاتی است که می‌توان با استفاده از دیوارآتش انجام داد.

رمزنگاری

Right
توصیه شده‌است که این مطلب یا بخش با رمزنگاری ادغام گردد. (بحث)
رمزنگاری فرایندی است که بامصرف از آن رایانه مبداءاطلاعاتی رمزشده را برای رایانه دیگر ارسال می‌نماید.بقیه رایانه های مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب بعد از ارسال اطلاعات بوسیله فرستنده، دریافت کنندگان، قبل ازاستفاده ازاطلاعات می‌بایست کار به رمزگشائی اطلاعات ارسال شده نمایند. سیستم ‌های رمزنگاری در رایانه به دو گروه عمده تقسیم می‌گردد:

رمزنگاری کلید متقارن

در رمز نگاری کلید متقارن هر از رایانه ها دارای کلید رمزنگاری (کد) بوده که بااستفاده ازآن قادر به رمزنگاری بسته اطلاعاتی قبل از ارسال در شبکه برای رایانه دیگر می‌باشند. درشیوه فوق می‌بایست در ابتدا نسبت به رایانه هایی که قصد برقراری ارسال اطلاعات جهت یکدیگر را دارند، آبعضی کامل وجود داشته باشد. هر یک از رایانه های کمپانی کننده در مبادله اطلاعاتی می‌بایست کلید رمزنگاری مشابه بمنظور رمزگشایی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی هم از کلید فوق استفاده خواهد شد.

برای مثال فرض بکنید قصد ارسال پیام رمز شده برای یکی از دوست ها را داشته باشید. بدین منظور از یک الگوریتم ویِژگزینشه برای رمزنگاری مصرف می‌شود. در الگوریتم فوق هر حرف به دوحرف بعداز خود تبدیل می‌گردد. (حرف A به حرف C، حرف B به حرف D و…). بعد از رمزنمودن پیام و ارسال آن، می‌بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام ارسال شده، هر حرف باید به دو حرف قبل از تبدیل گردد. در چنین حالتی می‌بایست به رفیق امین خود، واقعیت فوق (کلید رمزنگاری) گفته شود. در صورتیکه پیام فوق بوسیله افراد دیگری دریافت گردد، ب عدم آبرخی از کلید، آنان قادر به رمزگشایی مصرف از پیام ارسال شده نخواهند بود.

رمزنگاری کلید عمومی

در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی مصرف می‌شود. کلید خصوصی صرفاً برای رایانه شما (ارسال کننده) قابل شناسایی و استفاده‌است. کلید عمومی بوسیله رایانه شما در اختیار تمام رایانه های دیگری که قصد رابطه با آن را داشته باشند گذاشته می‌شود. بمنظور رمزگشائی یک پیام رمز شده، رایانه می‌بایست با مصرف از کلید عمومی (ارائه شده توسط رایانه ارسال کننده) کلید خصوصی مربوط به اقدام به رمزگشائی پیام ارسالی نماید. یکی از متداولترین وسائل های رمزنگاری کلید عمومی، روشی با نام پی‌جی‌پی است. با مصرف از اینروش می‌توان کار به رمزنگاری اطلاعات دلخواه خود نمود.

آی‌پی‌سک

Right
توصیه شده‌است که این مطلب یا بخش با آی‌پی‌سک ادغام گردد. (بحث)
پروتکل آی‌پی‌سک یکی از امکانات موجود برای ایجاد امنیت در ارسال دریافت اطلاعات می‌باشد. قابلیت این نحوه در مقایسه با الگوریتم‌های رمزنگاری بمراتب بیشتر است. پروتکل فوق دارای دوراهنمای رمزنگاری است: Tunnel، Transport. در نحوه tunel، هدر و Payload رمز شده درحالیکه درراهنمای transport صرفاً payload رمز می‌گردد. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای مفرق است:

روتر به روتر
فایروال به روتر
رایانه به روتر
رایانه به سرویس‌دهنده
جزئیات IP-Sec
VPN-Ipsec فقط برای اینترنت

Ipsec برخلافPPTP و L2TPروی لایه شبکه به مفهوملایه سوم کار می‌کند. این پروتکل داده‌هایی که می بایست فرستاده شود را همراه با تمام اطلاعات جانبی مانند گیرنده و پیغام‌های وضعیت رمز گذاری کرده به آن یک IP Header معمولی اضافه کرده به آن سوی تونل می‌فرستد.
رایانه ی که در آن سو قرار دارد IP Headerرا جدا کرده ، داده‌ها را رمز گشایی کرده و آن را به رایانه مقصد می‌فرستد.Ipsec را می‌توان با دو نحوه Tunneling پیکر بندی کرد. در این شیوه انتخاب اختیاری تونل، سرویس گیرنده نخست یک رابطه معمولی با اینترنت برقرار می‌کند سبعد از این مسیر جهت ایجاد اتصال مجازی به رایانه مقصد مصرف می‌کند. جهت این منظور، باید روی رایانه سرویس گیرنده پروتکل تونل نصب شده باشد. اکثرا ٌ ً کاربر اینترنت است که به اینترنت وصل می‌شود. ولی رایانه های داخل LAN هم می‌توانند رابطه VPN برقرا کنند. از آنجا که رابطه IPاز پیش موجود است تنها برقرار کردن رابطه VPN کافی است.
در روش تونل اجباری، سرویس گیرنده نمی بایست تونل را ایجاد نماید بلکه این کار به عهده فراهم ساز است. سرویس گیرنده تنها می بایست به ISP وصل شود. تونل به طور اتوماتیک از فراهم ساز تا ایستگاه مقصد وجود دارد. اما برای این کار بایستی همانگی‌های لازم با ISPانجام بگیرد.

ویژگی‌های امنیتی در IPsec

Ipsec از طریق AH مطمئن می‌شود که Packetهای دریافتی از طرف فرستنده واقعی نه از سوی یک نفوذ کننده(که قصد رخنه دارد) رسیده محتویات شان تغییر نکرده .AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در دارد تا از حملات Replay پیشگیری نماید . اما AH رمز گذاری نمی‌شود. رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می‌گیرد. در این روش داده‌های اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال می‌کند.
ESH همین طور کارکرده ایی برای تعیین اعتبار و خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست. جهت رمز گذاری تعیین اعتبارروش معین ثابتی وجود ندارد ولی با این همه، IETF جهت حفظ سازگاری بین محصولات مختلف، الگوریتم‌های اجباری برای پیاده سازی Ipsec تهیه دیده. جهت نمونه می‌توان به MD5،DES یا Secure Hash Algorithm اشاره کرد. مهمترین استانداردها و روش‌هایی که در Ipsec به کار می‌روند عبارتنداز:

Diffie-Hellman جهت مبادله کلیدها بین ایستگاه‌های دو سر ارتباط.
رمز گذاری Public Key برای ثبت اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاه‌های سهیم در ارتباط.
الگوریتم‌های رمز گذاری مانند DES برای اطمینان از درستی داده‌های انتقالی.
الگوریتم‌های درهم ریزی (Hash) جهت تعیین اعتبار تک تک Packetها.
امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی.
Ipsec بدون تونل

Ipsec در مقایسه با دیگر روش‌ها برتری دیگر هم دارد آن اینست که می‌تواند همچون پروتکل انتقال معمولی به کار برود.
در این حالت برخلاف حالت Tunneling تمام IP packet رمز گذاری دوباره بسته بندی نمی‌شود. بجای آن، فقط داده‌های اصلی رمزگذاری می‌شوند و Header همراه با آدرس‌های فرستنده گیرنده باقی می‌ماند. این باعث می‌شود که داده‌های سرباز (Overhead) کمتری جابجا شوند بخشی از پهنای باند آزاد شود. اما روشن است که در این وضعیت، خرابکاران می‌توانند به مبدا مقصد داده‌ها پی ببرند. از آنجا که در مـدل OSI داده‌ها از لایه ۳ به بالا رمز گذاری می‌شوند خرابکاران متوجه نمی‌شوند که این داده‌ها به رابطه با سرویس دهنده Mail مربوط می‌شود یا به چیز دیگر.

جریان رابطه Ipsec

بیش از آن که دو رایانه بتواننداز طریق Ipsec داده‌ها را میان جابجا کنند بایستی یکسری کارها انجام شود.

نخست بایستی ایمنی برقرار شود. جهت این منظور، رایانه ها برای یکدیگر معین می‌کنند که رمز گذاری، تعیین اعتبار تشخیص خطا یا هر سه آنها بایستی انجام بگیرد یا نه.
پس الگوریتم را معین می‌کنند، مثلاً DEC برای رمزگذاری و MD5 جهت خطایابی.
در گام بعدی، کلیدها را میان خود مبادله می‌کنند.
Ipsec برای حفظ ایمنی رابطه از SA استفاده می‌کند. SA چگونگی رابطه بین دو یا چند ایستگاه سرویس‌های ایمنی را معین می‌کند.SAهااز طرف SPI شناسایی می‌شوند.SPI از یک عدد تصادفی و آدرس مقصد تشکیل می‌شود. این به آن مفهوم است که همواره بین دو رایانه دو SPI وجود دارد:
یکی جهت رابطه A و B و یکی برای رابطه B به A. اگر یکی از رایانه ها بخواهد در حالت حفاظت شده داده‌ها را منتقل نماید نخست شیوه رمز گذاری مورد توافق با رایانه دیگر را نقد کرده آن شیوه را روی داده‌ها اعمال می‌کند. پس SPI را در Header نوشته و Packet را به سوی مقصد می‌فرستد.

مدیریت کلیدهای رمز در Ipsec

اگر چه Ipsec فرض را بر این می‌گذارد که توافقی جهت ایمنی داده‌ها وجود دارد ولی خودش جهت ایجاد این توافق نمی‌تواند کاری انجام بدهد.
Ipsec در این کار به IKE تکیه می‌کند که کارکردی همچون IKMP دارد. جهت ایجاد SA هر دو رایانه بایستی نخست تعیین اعتبار شوند. در حال حاضر برای این کار از راه‌های زیر استفاده می‌شود:

Pre shared keys: روی هر دو رایانه یک کلید نصب می‌شود که IKE از روی آن عدد Hash ساخته آن را به سوی رایانه مقصد می‌فرستد. چنانچه هر دو رایانه بتوانند این عدد را بسازند پس هر دو این کلید دارند به این ترتیب تعیین هویت انجام می‌گیرد
رمز گذاری Public Key:هر رایانه یک عدد تصادفی ساخته بعد از رمز گذاری آن با کلید عمومی رایانه مقابل، آن را به رایانه مقابل می‌فرستد. چنانچه رایانه مقابل بتواند با کلید شخصی این عدد را رمز گشایی کرده باز پس بفرستد برا ی رابطه مجاز است. در حال حاضر فقط ازروش RSA جهت این کار پیشنهاد می‌شود.
امضاء دیجیتال:در این شیوه، هر رایانه رشته داده را علامت گذاری(امضاء) کرده به رایانه مقصد می‌فرستد. در حال حاضر برای این کار از روش‌های RSA و DSS استفاده می‌شود. جهت امنیت بخشیدن به تبادل داده‌ها بایستی هر دو سر رابطه نخست بر سر یک کلید به توافق برسند که برای تبادل داده‌ها به کار می‌رود. برای این منظور می‌توان همان کلید به دست آمده از طریق Diffie Hellman را به فرد د که سریع تر است یا کلید دیگر تهیه که مطمئن تر است.
سرویس دهنده AAA

سرویس دهندگان AAA بمنظور ایجادامنیت بالا در محیط‌های وی‌پی‌ان از نوع دستیابی از راه دور استفاده می‌گردند. وقتی که فرد ان با مصرف از خط تلفن به سیسـتم متصل می‌شوند، سرویس دهنده AAA درخواست آنها را اخذ و عملیات زیر را انجام خواهد داد:

شما چه کسی هستید؟ (تایید،Authentication)
شما مجاز به انجام چه کاری هستید؟ (مجوز،Authorization)
چه کارهائی را انجام داده اید؟ (حسابداری،Accounting)

درباره ی admin

مطلب پیشنهادی

معرفی کتابخانه بلند اداری آدینا

معرفی کتابخانه بلند اداری آدینا با اینکه امروزه دنیا ، دنیای تکنولوژی است ولی همچنان …