• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
11 data netsec-ip-sec(madsg.com)
 

11 data netsec-ip-sec(madsg.com)

on

  • 103 views

 

Statistics

Views

Total Views
103
Views on SlideShare
85
Embed Views
18

Actions

Likes
0
Downloads
1
Comments
0

1 Embed 18

http://madsg.com 18

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    11 data netsec-ip-sec(madsg.com) 11 data netsec-ip-sec(madsg.com) Document Transcript

    • ‫ﻜ‬ ‫ﺷ‬ ‫ا‬ ‫ا‬‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬ ‫اﻣﻨﻴﺖ‬IP ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90 ‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬ http://dnsl.ce.sharif.edu ‫ﻲ‬ ‫ﻲ‬ ‫ﺮ‬‫ل‬‫ول‬
    • ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ي‬ ‫ﺎ‬ ‫ﻣﻌ‬IPSec ‫ﻣﻌﻤﺎري‬IPSec ‫ﭘﺮوﺗﻜﻞ‬AH ‫ﭘﺮوﺗﻜﻞ‬ESP ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ 2
    • ‫ﻣﻘﺪﻣﻪ‬-‫از‬ ‫ﻣﺜﺎﻟﻲ‬TCP/IP ‫ﻣﻘﺪﻣﻪ‬‫از‬ ‫ﻣﺜﺎﻟﻲ‬TCP/IP ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(3
    • IPV4IPV4 ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(4
    • ‫ﻣﻘﺪﻣﻪ‬‫ﻣﻘﺪﻣﻪ‬ ‫راه‬‫ﺣﻞ‬‫ﻛﺎرﺑﺮد‬ ‫ﺑﻪ‬ ‫واﺑﺴﺘﻪ‬ ‫اﻣﻨﻴﺘﻲ‬ ‫ﻫﺎي‬)‫ﺗﺎﻛﻨﻮن‬( S/MIMEPGP‫ﻜ‬ ‫ﻧ‬ ‫اﻟﻜﺘ‬ ‫ﺖ‬ ‫ﺖ‬ ‫ا‬ S/MIME‫و‬PGP:‫اﻟﻜﺘﺮوﻧﻴﻜﻲ‬ ‫ﭘﺴﺖ‬ ‫اﻣﻨﻴﺖ‬ Kerberos:‫ﻛﺎرﺑﺮ‬ ‫ﺑﻴﻦ‬ ‫اﻣﻨﻴﺖ‬-‫ﻛﺎرﮔﺰار‬)‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬( SSL:‫در‬ ‫اﻣﻦ‬ ‫ﻛﺎﻧﺎل‬ ‫ﻳﻚ‬ ‫اﻳﺠﺎد‬‫وب‬ ‫ﺳﻄﺢ‬ ‫در‬ ‫اﻣﻨﻴﺖ‬ ‫ﺑﻪ‬ ‫ﻧﻴﺎز‬IP ‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺘﻮاي‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬‫ﻫﺎي‬IP ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬‫ﺑﺴﺘﻪ‬ ‫ﮔﻴﺮﻧﺪه‬ ‫و‬ ‫ﻓﺮﺳﺘﻨﺪه‬‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬‫ﺑﺴﺘﻪ‬ ‫ﮔﻴﺮﻧﺪه‬ ‫و‬ ‫ﻓﺮﺳﺘﻨﺪه‬‫ﻫﺎ‬ 5
    • ‫ﻣﻘﺪﻣﻪ‬‫ﻣﻘﺪﻣﻪ‬ IPSec‫ﻫﺎي‬‫اﻟﮕﻮرﻳﺘﻢ‬ ‫از‬ ‫اي‬‫ﻣﺠﻤﻮﻋﻪ‬ ‫ﺑﻠﻜﻪ‬ ‫ﻧﻴﺴﺖ‬ ‫ﺗﻨﻬﺎ‬ ‫ﭘﺮوﺗﻜﻞ‬ ‫ﻳﻚ‬ ‫اﻣﻦ‬ ‫ارﺗﺒﺎط‬ ‫ﻳﻚ‬ ‫ﺑﺮﻗﺮاري‬ ‫ﺑﺮاي‬ ‫را‬ ‫ﻛﻠﻲ‬ ‫ﭼﺎرﭼﻮﺑﻲ‬ ‫ﻛﻪ‬ ‫اﺳﺖ‬ ‫اﻣﻨﻴﺘﻲ‬‫ﻦ‬ ‫ا‬ ‫ﺒ‬ ‫ار‬ ‫ﻳ‬ ‫ﺮاري‬ ‫ﺑﺮ‬ ‫ﺑﺮاي‬ ‫را‬ ‫ﻲ‬ ‫رﭼﻮﺑﻲ‬ ‫ﭼ‬ ‫ﺖ‬ ‫ا‬ ‫ﻲ‬ ‫ﻴ‬ ‫ا‬ ‫ﻧﻤﺎﻳﺪ‬ ‫ﻣﻲ‬ ‫ﻓﺮاﻫﻢ‬. ‫ﻂ‬ ‫ﺗ‬ ‫ﺷﺪ‬ ‫اﻫ‬ ‫ﻓ‬ ‫ﺘ‬ ‫ﻨ‬ ‫ا‬ ‫ﻫﺎ‬IPSec ‫ﺳﺮوﻳﺲ‬‫ﺗﻮﺳﻂ‬ ‫ﺷﺪه‬ ‫ﻓﺮاﻫﻢ‬ ‫اﻣﻨﻴﺘﻲ‬ ‫ﻫﺎي‬IPSec ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬)‫ﻛﻨﺘﺮل‬ ‫ﻫﻤﺮاه‬ ‫ﺑﻪ‬‫ﺻﺤﺖ‬‫داده‬‫ﻫﺎ‬( ‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬‫ﻫﺎ‬ ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬)‫ﻛﻠﻴﺪ‬ ‫اﻣﻦ‬ ‫ﺗﺒﺎدل‬( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(6
    • ‫ﻛﺎرﺑﺮد‬IPSec ‫ﻛﺎرﺑﺮد‬IPSec ‫ﻛﺎرﺑﺮدﻫﺎي‬ ‫ﻧﻤﻮﻧﻪ‬IPSec VPN ‫اﻳﺠﺎد‬‫ﻣﺠﺎزي‬ ‫ﺧﺼﻮﺻﻲ‬ ‫ﺷﺒﻜﻪ‬)VPN(‫ﺑﺮاي‬‫ﻫﺎي‬‫ﺷﻌﺒﻪ‬‫ﻳﻚ‬ ‫ﻣﺨﺘﻠﻒ‬ ‫اﻳﻨﺘﺮﻧﺖ‬ ‫ﻃﺮﻳﻖ‬ ‫از‬ ‫ﺳﺎزﻣﺎن‬ ‫ﻃﺮﻳﻖ‬ ‫از‬ ‫ﺷﺒﻜﻪ‬ ‫ﻣﻨﺎﺑﻊ‬ ‫ﺑﻪ‬ ‫ﺷﺮﻛﺖ‬ ‫ﻛﺎرﻣﻨﺪان‬ ‫اﻣﻦ‬ ‫دﺳﺘﺮﺳﻲ‬‫اﻳﻨﺘﺮﻧﺖ‬ ‫ﺳﺎزﻣﺎن‬ ‫ﭼﻨﺪ‬ ‫ﺑﻴﻦ‬ ‫اﻣﻦ‬ ‫ارﺗﺒﺎط‬ ‫اﻣﻜﺎن‬ ‫ﺑ‬‫ﻪ‬‫ﺑﺮاي‬ ‫اﻣﻨﻴﺘﻲ‬ ‫ﺧﺪﻣﺎت‬ ‫آوردن‬ ‫وﺟﻮد‬‫ﻛﺎرﺑﺮدﻫﺎ‬‫دﻳﮕﺮ‬ ‫ي‬)‫ﺗﺠﺎرت‬ ‫ﻣﺜﻞ‬ ‫اﻟﻜﺘﺮوﻧﻴﻜ‬‫ﻲ‬( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻴ‬ ‫ﺮو‬‫ﻲ‬ 7
    • ‫ﻛﺎرﺑﺮد‬ ‫از‬ ‫ﻧﻤﻮﻧﻪاي‬IPSec ‫ﻛﺎرﺑﺮد‬ ‫از‬ ‫اي‬‫ﻧﻤﻮﻧﻪ‬IPSec ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(8
    • ‫ﻣﻘﺪﻣﻪ‬‫ﻣﻘﺪﻣﻪ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﻣﺰاﻳﺎي‬IPSec ‫ج‬ ‫ﺧﺎ‬ ‫و‬ ‫داﺧﻞ‬ ‫ﻦ‬ ‫ﺑ‬ ‫ﻗﻮي‬ ‫ﺖ‬ ‫اﻣﻨ‬ ‫ﻦ‬ ‫ﺗﺎﻣ‬LAN‫د‬ ‫ي‬ ‫ﮔ‬ ‫ﺑﻜﺎ‬ ‫ت‬ ‫ﺻﻮ‬ ‫د‬ ‫ﺧﺎرج‬ ‫و‬ ‫داﺧﻞ‬ ‫ﺑﻴﻦ‬ ‫ﻗﻮي‬ ‫اﻣﻨﻴﺖ‬ ‫ﺗﺎﻣﻴﻦ‬LAN‫در‬ ‫ﺑﻜﺎرﮔﻴﺮي‬ ‫ﺻﻮرت‬ ‫در‬ ‫ﻣﺴﻴﺮﻳﺎﺑﻬﺎ‬‫و‬‫ﻫﺎ‬ ‫ﺣﻔﺎظ‬)Firewall‫ﻫﺎ‬( ‫اﻧﺘﻬﺎﻳ‬ ‫ﻧﻘﺎط‬ ‫د‬ ‫ي‬ ‫ﻣﺰﻧﮕﺎ‬ ‫ﺑﺎ‬ ‫ﺳ‬ ‫ﻋﺪم‬ ‫اﻧﺘﻬﺎﻳﻲ‬ ‫ﻧﻘﺎط‬ ‫در‬ ‫رﻣﺰﻧﮕﺎري‬ ‫ﺳﺮﺑﺎر‬ ‫ﻋﺪم‬ ‫ﭘﻨﻬﺎﻧﻲ‬‫ﻛﺎرﺑﺮان‬ ‫ﻧﻈﺮ‬ ‫از‬ ‫ﭘﻨﻬﺎﻧﻲ‬‫ﺑﺮﻧﺎﻣﻪ‬ ‫دﻳﺪ‬ ‫از‬‫ﻻﻳﻪ‬ ‫ﻛﺎرﺑﺮدي‬ ‫ﻫﺎي‬‫ﺑﺎﻻﺗﺮ‬ ‫ﻫﺎي‬)IPSec‫ﻻﻳﻪ‬ ‫زﻳﺮ‬ ‫ﻧﻤﺎﻳﺪ‬‫ﻣﻲ‬ ‫ﻋﻤﻞ‬ ‫اﻧﺘﻘﺎل‬( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫داﺧ‬ ‫ﺑﻪ‬ ‫ﺧﺎرج‬ ‫از‬ ‫ﺳﺎزﻣﺎن‬ ‫ﻛﺎرﻛﻨﺎن‬ ‫ﺑﻴﻦ‬ ‫اﻣﻦ‬ ‫ارﺗﺒﺎط‬ ‫اﻳﺠﺎد‬‫ﻞ‬ 9
    • ‫وﻳﮋﮔﻴﻬﺎي‬IPSec ‫وﻳﮋﮔﻴﻬﺎي‬IPSec ‫ﻣﺸﻜﻞ‬ ‫ﻧﺴﺒﺘﺎ‬ ‫ﺗﻮﺻﻴﻒ‬ ‫داراي‬ ‫ﻣﺸﻜﻞ‬ ‫ﻧﺴﺒﺘﺎ‬ ‫ﺗﻮﺻﻴﻒ‬ ‫داراي‬ ‫در‬ ‫اﻟﺰاﻣﻲ‬IPv6‫در‬ ‫اﺧﺘﻴﺎري‬ ‫و‬IPv4 ‫ﭘﺮوﺗﻜﻞ‬IPSec‫اﺻﻠﻲ‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫از‬ ‫ﺑﻌﺪ‬ ‫و‬ ‫ﻳﺎﻓﺘﻪ‬ ‫ﺗﻮﺳﻌﻪ‬ ‫ﺳﺮآﻳﻨﺪﻫﺎي‬ ‫در‬IP ‫ﭘﺮوﺗﻜﻞ‬IPSec‫اﺻﻠﻲ‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫از‬ ‫ﺑﻌﺪ‬ ‫و‬ ‫ﻳﺎﻓﺘﻪ‬ ‫ﺗﻮﺳﻌﻪ‬ ‫ﺳﺮآﻳﻨﺪﻫﺎي‬ ‫در‬IP ‫ﭘﻴﺎده‬‫ﻣﻲ‬ ‫ﺳﺎزي‬‫ﺷﻮد‬. ‫ﻣﺴﺘﻨﺪات‬IPSec‫اﺳﺖ‬ ‫ﺷﺪه‬ ‫ﺑﻨﺪي‬‫دﺳﺘﻪ‬ ‫زﻳﺮ‬ ‫ﺻﻮرت‬ ‫ﺑﻪ‬ ‫و‬ ‫ﺑﻮده‬ ‫ﺣﺠﻴﻢ‬ ‫ﺑﺴﻴﺎر‬: ‫ﻢ‬ ‫ﻣﻌﻤﺎري‬)Architecture( (ESP) Encapsulating Security Payload:‫ﺑﺴﺘﻪ‬ ‫رﻣﺰﻧﮕﺎري‬‫ﻫﺎ‬)‫اﺣﺮاز‬ ‫ﺎﻟ‬ ‫ا‬‫ﺎ‬ ‫اﺧ‬( ‫اﺻﺎﻟﺖ‬‫اﺧﺘﻴﺎري‬ ‫ﺻﻮرت‬ ‫ﺑﻪ‬( (AH) Authentication Header:‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬‫ﺑﺴﺘﻪ‬‫ﻫﺎ‬ ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬:‫ﻛﻠﻴﺪﻫﺎ‬ ‫اﻣﻦ‬ ‫ﺗﺒﺎدل‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻴ‬ ‫ﻳﺮﻳ‬‫ﻴ‬ ‫ﻦ‬ ‫ل‬ ‫ﺒ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫و‬ ‫رﻣﺰﻧﮕﺎري‬ ‫ﻫﺎي‬‫اﻟﮕﻮرﻳﺘﻢ‬ 10
    • ‫ﻣﺴﺘﻨﺪات‬ ‫ﺳﺎﺧﺘﺎر‬IPSec ‫ﻣﺴﺘﻨﺪات‬ ‫ﺳﺎﺧﺘﺎر‬IPSec ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(11
    • ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﻣﻌﻤﺎري‬IPSec ‫ﻣﻌﻤﺎري‬IPSec ‫ﭘﺮوﺗﻜﻞ‬AH ‫ﭘﺮوﺗﻜﻞ‬ESP ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ 12
    • ‫ﺳﺮوﻳﺲ‬‫ﻫﺎ‬‫ي‬IPSec ‫ﺳﺮوﻳﺲ‬‫ﻫﺎ‬‫ي‬IPSec ‫ﺳﺮوﻳﺲ‬‫ﺷﺪه‬ ‫اراﺋﻪ‬ ‫ﻫﺎي‬: ‫دﺳﺘﺮﺳﻲ‬ ‫ﻛﻨﺘﺮل‬‫ﻲ‬ ‫ﺮ‬ ‫ﺮل‬ ‫ﺗﻀﻤ‬‫ﻴ‬‫ﺻﺤ‬ ‫ﻦ‬‫داده‬ ‫ﺖ‬‫در‬ ‫ﻫﺎ‬‫ارﺗﺒﺎط‬Connectionless ‫اﺣﺮاز‬‫اﺻﺎﻟﺖ‬‫داده‬ ‫ﻣﻨﺒﻊ‬‫ﻫﺎ‬)Data Origin( ‫ﺗﺸﺨ‬‫ﻴ‬‫ﺺ‬‫ﺑﺴﺘﻪ‬‫ﻫﺎي‬‫ﺑﺎز‬‫ﺷﺪه‬ ‫ارﺳﺎل‬‫آﻧﻬﺎ‬ ‫رد‬ ‫و‬)‫ﺗﻜﺮار‬ ‫ﺣﻤﻼت‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬( ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬‫ﻫﺎ‬‫ﺑﺴﺘﻪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﺗﺮاﻓﻴﻚ‬ ‫ﺟﺮﻳﺎن‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ 13
    • ‫ﺳﺮوﻳﺲ‬‫ﻫﺎ‬‫ي‬IPSec ‫ﺳﺮوﻳﺲ‬‫ﻫﺎ‬‫ي‬IPSec ‫ﺷﻮﻧﺪ‬ ‫ﻣ‬ ‫اراﺋﻪ‬ ‫زﻳﺮ‬ ‫ﭘﺮوﺗﻜﻞ‬ ‫دو‬ ‫ﺑﺎ‬ ‫ﺳﺮوﻳﺲﻫﺎ‬ ‫ﻫﻤﻪ‬: ‫ﺷﻮﻧﺪ‬‫ﻣﻲ‬ ‫اراﺋﻪ‬ ‫زﻳﺮ‬ ‫ﭘﺮوﺗﻜﻞ‬ ‫دو‬ ‫ﺑﺎ‬ ‫ﻫﺎ‬‫ﺳﺮوﻳﺲ‬ ‫ﻫﻤﻪ‬: Authentication Header (AH) Encapsulating Security Payload (ESP) Encapsulating Security Payload  (ESP) ESP (encryption plus authentication) ESP (encryption only) AH    ‫دﺳﺘﺮﺳﻲ‬ ‫ﻛﻨﺘﺮل‬   ‫ﺻﺤﺖ‬connectionless   ‫از‬ ‫اﺣ‬‫داده‬ ‫ﻊ‬ ‫ﻣﻨ‬ ‫اﺻﺎﻟﺖ‬  ‫اﺣﺮاز‬‫داده‬ ‫ﻣﻨﺒﻊ‬ ‫اﺻﺎﻟﺖ‬    ‫ﺑﺴﺘﻪ‬ ‫رد‬‫ﺷﺪه‬ ‫ﺑﺎزارﺳﺎل‬ ‫ﻫﺎي‬   ‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(14 ‫ﻲ‬   ‫ﺗﺮاﻓﻴﻚ‬ ‫ﺟﺮﻳﺎن‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
    • ‫اﻣﻨﻴﺘﻲ‬ ‫ﻣﺠﻤﻊ‬‫اﻣﻨﻴﺘﻲ‬ ‫ﻣﺠﻤﻊ‬ ‫ﺗﻌﺮﻳﻒ‬:‫اﻣﻨﻴﺘﻲ‬ ‫ﻣﺠﻤﻊ‬)Security Association(‫ﻳﻚ‬‫ﻣﻔﻬﻮم‬ ‫ﻣﻜﺎﻧﻴﺰم‬ ‫در‬ ‫ﻛﻠﻴﺪي‬‫اﺣﺮاز‬ ‫ﻫﺎي‬‫اﺻﺎﻟﺖ‬‫ﺑﺮاي‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫و‬IP‫و‬ ‫ﺑﻮده‬ ‫ﻣﻜﺎﻧﻴﺰم‬ ‫در‬ ‫ﻛﻠﻴﺪي‬‫اﺣﺮاز‬ ‫ﻫﺎي‬‫اﺻﺎﻟﺖ‬‫ﺑﺮاي‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫و‬IP‫و‬ ‫ﺑﻮده‬ ‫ﻳﻚ‬ ‫راﺑﻄﻪ‬ ‫ﻳﻚ‬‫ﻣﻲ‬ ‫اﻳﺠﺎد‬ ‫ﺑﺴﺘﻪ‬ ‫ﮔﻴﺮﻧﺪه‬ ‫و‬ ‫ﻓﺮﺳﺘﻨﺪه‬ ‫ﺑﻴﻦ‬ ‫ﻃﺮﻓﻪ‬‫ﻛﻨﺪ‬. SA‫در‬IP‫ﻣﻌﺎدل‬ ‫ﻧﻮﻋﻲ‬ ‫ﺑﻪ‬Connection‫در‬TCP‫اﺳﺖ‬. ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(15
    • ‫اﻣﻨﻴﺘﻲ‬ ‫ﻣﺠﻤﻊ‬‫اﻣﻨﻴﺘﻲ‬ ‫ﻣﺠﻤﻊ‬ ‫وﻳﮋﮔﻴﻬﺎ‬: ‫ﻚ‬SA‫ﺎ‬ ‫ﻜﺘﺎ‬ ‫ت‬3‫ﺘ‬ ‫ا‬ ‫ﺎ‬‫ﺸﺨ‬‫د‬ ‫ﺷ‬: ‫ﻳﻚ‬SA‫ﺑﺎ‬ ‫ﻳﻜﺘﺎ‬ ‫ﺑﺼﻮرت‬3‫ﭘﺎراﻣﺘﺮ‬‫ﻣﺸﺨﺺ‬‫ﻣﻲ‬‫ﺷﻮد‬: Security Parameters Index)SPI(:‫داده‬ ‫ﻧﺴﺒﺖ‬ ‫ﺑﻴﺘﻲ‬ ‫رﺷﺘﻪ‬ ‫ﻳﻚ‬ ‫ﺑﻪ‬ ‫ﺷﺪه‬SA ‫ﺑﻪ‬ ‫ﺷﺪه‬SA IP Destination Address:‫ﻧﻬﺎﻳﻲ‬ ‫ﻣﻘﺼﺪ‬ ‫آدرس‬SA Security Protocol Identifier:‫ﺗﻌﻠﻖ‬ ‫ﺑﻴﺎﻧﮕﺮ‬SA‫ﺑﻪ‬AH‫ﻳﺎ‬ESP y‫ﻖ‬ ‫ﺮ‬ ‫ﺑﻴ‬‫ﺑ‬‫ﻳ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(16
    • ‫اﻣﻨﻴﺘﻲ‬ ‫ﻣﺠﻤﻊ‬‫اﻣﻨﻴﺘﻲ‬ ‫ﻣﺠﻤﻊ‬ ‫ﭘﺎراﻣﺘﺮﻫﺎي‬SA ‫ﭘﺎراﻣﺘﺮﻫﺎي‬SA Sequence Number Counter:‫ﺳﺮﻳﺎل‬ ‫ﺷﻤﺎره‬‫ﺑﺴﺘﻪ‬‫ﻫﺎ‬ Sequence Counter Overflow:‫ﺷﻤﺎرﻧﺪه‬ ‫در‬ ‫ﺳﺮرﻳﺰ‬ ‫ﻧﺸﺎﻧﮕﺮ‬ q‫ر‬ ‫ر‬ ‫ﺮرﻳﺰ‬ ‫ﺮ‬ Anti Replay Window:‫درﻳﺎﻓﺘﻲ‬ ‫ﺑﺴﺘﻪ‬ ‫ﺑﻮدن‬ ‫ﺗﻜﺮاري‬ ‫ﻛﺮدن‬ ‫ﻣﺸﺨﺺ‬ ‫ﺑﺮاي‬ ‫اﺳﺘﻔﺎده‬ AH Information:‫و‬ ‫آﻧﻬﺎ‬ ‫ﻋﻤﺮ‬ ‫ﻃﻮل‬ ‫و‬ ‫ﻛﻠﻴﺪﻫﺎ‬ ،‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫اﻟﮕﻮرﻳﺘﻢ‬... ‫و‬ ‫ﻬ‬ ‫ﺮ‬ ‫ﻮل‬ ‫و‬ ‫ز‬‫ﺮ‬ ‫ﻢ‬ ‫ﻮر‬ ESP Information:‫ﻣﻘﺎدﻳﺮ‬ ،‫آﻧﻬﺎ‬ ‫ﻋﻤﺮ‬ ‫ﻃﻮل‬ ‫و‬ ‫ﻛﻠﻴﺪﻫﺎ‬ ،‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫و‬ ‫رﻣﺰ‬ ‫اﻟﮕﻮرﻳﺘﻢ‬ ‫و‬ ‫اوﻟﻴﻪ‬... SA Lifetime:‫ﻋﻤﺮ‬ ‫ﻃﻮل‬SA IPSec Protocol Mode:‫ﺗﻮﻧﻞ‬ ‫و‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪﻫﺎي‬‫ﻣ‬ ‫از‬ ‫ﻳﻚ‬ M i T i i U it‫ا‬ ‫ﮔ‬MTU‫ﻞ‬ ‫ﻗﺎ‬ ‫ا‬ ‫اﻛ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( Maximum Transmission Unit:‫ﻣﻘﺪار‬ ‫ﻫﺮﮔﻮﻧﻪ‬MTU)‫ﻗﺎﺑﻞ‬ ‫واﺣﺪ‬ ‫ﺣﺪاﻛﺜﺮ‬ ‫اﻧﺘﻘﺎل‬(‫ﻣﺴﻴﺮ‬ ‫در‬ ‫ﺷﺪه‬ ‫ﻣﺸﺎﻫﺪه‬ 17
    • ‫ﺪﻫﺎي‬‫ﻣ‬‫در‬ ‫ﺑﺴﺘﻪ‬ ‫اﻧﺘﻘﺎل‬IPSec ‫ﻣﺪﻫﺎي‬‫در‬ ‫ﺑﺴﺘﻪ‬ ‫اﻧﺘﻘﺎل‬IPSec ‫دوي‬ ‫ﻫﺮ‬ ‫در‬AH‫و‬ESP‫دارد‬ ‫وﺟﻮد‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ ‫دو‬: (T M d ) ‫ﺪ‬‫ﻣ‬‫اﻧﺘﻘﺎل‬(Transport Mode) ‫ﮔﻴﺮد‬ ‫ﻣﻲ‬ ‫ﺻﻮرت‬ ‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺘﻮاي‬ ‫روي‬ ‫ﺗﻨﻬﺎ‬ ‫ﺗﻐﻴﻴﺮات‬،‫ﺳﺮآﻳﻨﺪ‬ ‫ﺗﻐﻴﻴﺮ‬ ‫ﺑﺪون‬IP ‫ﺪ‬‫ﻣ‬‫ﺗﻮﻧﻞ‬(Tunnel Mode) ‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬ ‫روي‬ ‫ﺗﻐﻴﻴﺮات‬ ‫اﻋﻤﺎل‬IP)‫ﺳﺮآﻳﻨﺪ‬+Payload(‫و‬‫ﻓﺮﺳﺘﺎدن‬‫ﻧﺘﻴﺠﻪ‬ ‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬ ‫روي‬ ‫ﺗﻐﻴﻴﺮات‬ ‫اﻋﻤﺎل‬IP)‫ﺳﺮآﻳﻨﺪ‬+Payload(‫و‬‫ﻓﺮﺳﺘﺎدن‬‫ﻧﺘﻴﺠﻪ‬ ‫ﺟﺪﻳﺪ‬ ‫ﺑﺴﺘﻪ‬ ‫ﻳﻚ‬ ‫ﻋﻨﻮان‬ ‫ﺑﻪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(18
    • ‫در‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬IPSec ‫در‬ ‫اﻧﺘﻘﺎل‬ ‫ﻣﺪ‬IPSec ‫ﺪ‬‫ﻣ‬‫اﻧﺘﻘﺎل‬ ‫ﻛﺎرﺑﺮدﻫﺎي‬ ‫در‬‫اﻧﺘﻬﺎ‬ ‫ﺑﻪ‬ ‫اﻧﺘﻬﺎ‬)end‐to‐end(‫ﻛﺎرﮔﺰار‬ ‫ﻣﺜﻞ‬/‫ﻛﺎر‬‫ﻓﺮﻣﺎ‬ ‫ﻣ‬ ‫اﺳﺘﻔﺎده‬‫ﻲ‬‫ﺷﻮد‬. ESP:‫رﻣﺰﻧﮕﺎري‬)‫ﺿﺮوري‬(‫و‬‫ﺻﺤ‬‫ﺖ‬)‫ا‬‫ﺧﺘﻴﺎري‬(‫ﻣﺤﺘﻮاي‬‫ﺑﺴﺘﻪ‬ AH‫ﺖ‬‫ا‬ ‫ﺘ‬‫ﺷ‬ ‫اﻧﺘﺨﺎ‬ ‫ﺎ‬ ‫ﺘ‬ ‫ﻗ‬ ‫ﺘ‬‫ﺘ‬ ‫آ‬ AH:‫ﺻﺤ‬‫ﺖ‬‫ﻣﺤﺘﻮاي‬‫ﺷﺪ‬ ‫اﻧﺘﺨﺎب‬ ‫ﻗﺴﻤﺘﻬﺎي‬ ‫و‬ ‫ﺑﺴﺘﻪ‬‫ه‬‫ﺑﺴﺘﻪ‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(19
    • ‫در‬ ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬IPSec ‫در‬ ‫ﺗﻮﻧﻞ‬ ‫ﻣﺪ‬IPSec ‫ﺪ‬‫ﻣ‬‫ﺗﻮﻧﻞ‬ ‫در‬ ‫اﺳﺘﻔﺎده‬ ‫ﻣﻮرد‬‫ارﺗﺒﺎط‬Gateway‫ﺑﻪ‬Gateway. ‫ﻫﻴﭻ‬‫ﻣﺴ‬‫ﻴ‬‫ﺮ‬‫ﻳ‬‫ﺎب‬)router(‫داﺧﻠﻲ‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺑﻪ‬ ‫ﻗﺎدر‬ ‫ﻣﻴﺎﻧﻲ‬ ‫ﻴﭻ‬‫ﻴ‬‫ﺮ‬‫ﻳ‬‫ب‬‫ﻲ‬ ‫ﻳ‬ ‫ﺮ‬ ‫ﻴﺺ‬ ‫ﺑ‬ ‫ر‬ ‫ﻲ‬ ‫ﻴ‬ ‫ﻧﻴﺴﺖ‬. ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(20
    • ‫ﺗﻮﻧﻞ‬ ‫و‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪﻫﺎي‬‫ﻣ‬ ‫ﻫﺎي‬ ‫ﻗﺎﺑﻠﻴﺖ‬‫ﺗﻮﻧﻞ‬ ‫و‬ ‫اﻧﺘﻘﺎل‬ ‫ﻣﺪﻫﺎي‬ ‫ﻫﺎي‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ ‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬IP‫داﺧﻠﻲ‬ ‫اﺣﺮاز‬‫داده‬ ‫ﺑﺨﺶ‬‫اي‬IP‫ﺑﺨﺸﻬﺎﻳﻲ‬ ‫و‬ AH‫ﺑ‬ ‫ﻞ‬ ‫ز‬‫ﺮ‬‫ﻲ‬ ‫ﺑﺨﺸﻬﺎﻳﻲ‬ ‫اﻧﻀﻤﺎم‬ ‫ﺑﻪ‬‫ﺳﺮآﻳﻨﺪ‬ ‫از‬IP ‫ﺑﻴﺮوﻧﻲ‬ ‫ﺑﺴﺘﻪ‬ ‫ﺮاز‬ ‫ا‬‫ه‬ ‫ا‬ ‫ﺶ‬ ‫ﺑ‬‫اي‬‫ﻳﻲ‬ ‫ﻬ‬ ‫ﺑ‬ ‫و‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫از‬IP AH ‫رﻣﺰ‬‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬IP‫داﺧﻠ‬ ‫داده‬ ‫ﺑﺨﺶ‬ ‫رﻣﺰ‬‫اي‬IP‫ﻛﻪ‬‫دﻧﺒﺎل‬ ‫ﺑﻪ‬ ESP‫رﻣﺰ‬‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬IP‫داﺧﻠﻲ‬ ‫داده‬ ‫ﺑﺨﺶ‬ ‫رﻣﺰ‬‫اي‬IP‫ﻛﻪ‬‫دﻧﺒﺎل‬ ‫ﺑﻪ‬ ‫ﺳﺮآﻳﻨﺪ‬ESP‫دارد‬ ‫ﻗﺮار‬. ESP ‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬ ‫رﻣﺰ‬IP‫داﺧﻠﻲ‬. ‫ﺘﻪ‬ ‫ﺑ‬ ‫اﺻﺎﻟﺖ‬ ‫از‬ ‫اﺣ‬IP‫داﺧﻠ‬ ‫داده‬ ‫ﺑﺨﺶ‬ ‫رﻣﺰ‬‫اي‬IP‫دﻧﺒﺎل‬ ‫ﺑﻪ‬ ‫ﻛﻪ‬ ‫آﻳﻨﺪ‬ ‫ﺳ‬ESP‫د‬ ‫دا‬ ‫ا‬ ‫ﻗ‬ ESP with Authentication‫ﺑﺴﺘﻪ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬IP‫داﺧﻠﻲ‬ ‫ﺳﺮآﻳﻨﺪ‬ESP‫دارد‬ ‫ﻗﺮار‬. ‫داده‬ ‫ﺑﺨﺶ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬‫اي‬IP‫ﻧﻪ‬ ‫و‬ ‫آن‬ ‫ﺳﺮآﻳﻨﺪ‬. Authentication ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(21
    • ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ي‬ ‫ﺎ‬ ‫ﻣﻌ‬IPSec ‫ﻣﻌﻤﺎري‬IPSec ‫ﭘﺮوﺗﻜﻞ‬AH ‫ﭘﺮوﺗﻜﻞ‬ESP ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ 22
    • Authentication Header (AH)Authentication Header (AH) Authentication Header ‫ﺗﻀﻤﻴﻦ‬‫ﺻﺤ‬‫از‬ ‫اﺣ‬ ‫و‬ ‫ﺖ‬‫اﺻﺎﻟﺖ‬‫ﺑﺴﺘﻪ‬‫ﻫﺎي‬IP ‫ﺗﻀﻤﻴﻦ‬‫ﺻﺤ‬‫اﺣﺮاز‬ ‫و‬ ‫ﺖ‬‫اﺻﺎﻟﺖ‬‫ﺑﺴﺘﻪ‬‫ﻫﺎي‬IP ‫ﺳﺮوﻳﺲ‬ ‫ﺗﺎﻣﻴﻦ‬‫ﺻﺤ‬‫ﺖ‬‫ﻫﺎ‬‫داده‬‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺎ‬MAC HMAC‐MD5‐96‫ﻳﺎ‬HMAC‐SHA‐1‐96 ‫ﻳ‬ ‫ﻓﻴﻠﺪ‬ ‫ﻣﻘﺪار‬ ‫ﺑﻪ‬MAC‫در‬AH،‫ﺻﺤﺖ‬ ‫ﻛﻨﺘﺮل‬ ‫ﻣﻘﺪار‬)ICV(‫ﺷﻮد‬‫ﻣﻲ‬ ‫ﮔﻔﺘﻪ‬. ‫ﻳﻚ‬ ‫روي‬ ‫ﺗﻮاﻓﻖ‬ ‫ﺑﻪ‬ ‫ﻧﻴﺎز‬ ‫ﻃﺮﻓﻴﻦ‬‫ﻛﻠ‬‫ﻴ‬‫ﺪ‬‫ﻣﺘﻘﺎرن‬ ‫ﻣﺸﺘﺮك‬‫دارﻧﺪ‬. ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(23
    • Authentication Header (AH)Authentication Header (AH) ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(24
    • Authentication Header (AH)Authentication Header (AH) ‫ﻓﻴﻠﺪﻫﺎي‬AH: Next Header)8‫ﺑﻴﺖ‬:(‫ﺑﺴﺘﻪ‬ ‫در‬ ‫ﻣﻮﺟﻮد‬ ‫ﺑﻌﺪي‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫ﻧﻮع‬ )‫ﺑﻴ‬(‫ﺑ‬ ‫ر‬ ‫ﻮﺟﻮ‬ ‫ي‬ ‫ﺑ‬ ‫ﻳ‬ ‫ﺮ‬ ‫ﻮع‬ PayLoad Length )8‫ﺑﻴﺖ‬:(‫ﻃﻮل‬ ‫ﺑﻴﺎﻧﮕﺮ‬AH)‫ﻛﻠﻤﻪ‬ ‫واﺣﺪ‬ ‫ﺑﺎ‬32 ‫ﺑﻴﺘﻲ‬(‫ﻣﻨﻬﺎي‬2 Reserved)16‫ﺑﻴﺖ‬:(‫اﺳﺘﻔﺎده‬ ‫ﺑﺮاي‬ ‫ﺷﺪه‬ ‫رزرو‬‫آﻳﻨﺪه‬ ‫ﻫﺎي‬ Sec. Param. Index)32‫ﺑﻴﺖ‬:(‫ﺗﻌﻴﻴﻦ‬ ‫ﺑﺮاي‬SPI‫ﺑﻪ‬ ‫ﻣﺮﺑﻮط‬SA Sequence Number)32‫ﺑﻴﺖ‬:(‫ﺷﻤﺎرﻧﺪه‬ Authentication Data)‫ﻣﺘﻐﻴﺮ‬:(‫درﺑﺮﮔﻴﺮﻧﺪه‬MAC‫ﻳﺎ‬ICV h k l ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( )Integrity Check Value( 25
    • Authentication Header (AH)Authentication Header (AH) ‫ﻣﺤﺎﺳﺒﻪ‬MAC ‫ﻣﺤﺎﺳﺒﻪ‬MAC ‫ﻓﺮض‬ ‫ﭘﻴﺶ‬ ‫ﻃﻮل‬96‫ﺑﻴﺖ‬)3‫ﺗﺎ‬32‫ﺑﻴﺘﻲ‬( ‫ﻟ‬ ‫ا‬96‫ﺘ‬ ‫اﻟﮕ‬ ‫ﺧ‬ ‫ﺖ‬HMAC ‫اوﻟﻴﻦ‬96‫اﻟﮕﻮرﻳﺘﻢ‬ ‫ﺧﺮوﺟﻲ‬ ‫ﺑﻴﺖ‬HMAC HMAC‐MD5‫ﻳﺎ‬HMAC‐SHA‐1 ‫ﻪ‬ ‫ﺎ‬MAC‫ز‬ ‫ﻘﺎد‬‫ﺎ‬ ‫اﻧ‬‫د‬ ‫ﮔ‬ ‫ﻣﺤﺎﺳﺒﻪ‬MAC‫روي‬‫زﻳﺮ‬ ‫ﻣﻘﺎدﻳﺮ‬‫ﻣﻲ‬ ‫اﻧﺠﺎم‬‫ﮔﻴﺮد‬: ‫ﻧﺎﻣﺘﻐﻴﺮ‬ ‫ﺳﺮآﻳﻨﺪ‬IP،‫ﻧﺎﻣﺘﻐﻴﺮ‬ ‫ﺳﺮآﻳﻨﺪ‬AH‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺘﻮاي‬ ‫و‬ ‫ﻛﻨﻨﺪ‬ ‫ﺗﻐ‬ ‫اﻧﺘﻘﺎل‬ ‫د‬ ‫ﺎﻻ‬ ‫ﺘ‬ ‫ا‬ ‫ﻛﻪ‬ ‫ﻨﺪ‬ ‫آ‬ ‫از‬ ‫ﺎ‬ ‫ﺘ‬ ‫ﻗ‬)‫ﺎﻧﻨﺪ‬ ‫ﻛﻨﻨﺪ‬‫ﻣﻲ‬ ‫ﺗﻐﻴﻴﺮ‬ ‫اﻧﺘﻘﺎل‬ ‫در‬ ‫اﺣﺘﻤﺎﻻ‬ ‫ﻛﻪ‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫از‬ ‫ﻗﺴﻤﺘﻬﺎﻳﻲ‬)‫ﻣﺎﻧﻨﺪ‬ TTL(،‫ﻣﺤﺎﺳﺒﻪ‬ ‫در‬MAC‫ﺷﻮﻧﺪ‬‫ﻣﻲ‬ ‫ﻣﻨﻈﻮر‬ ‫ﺻﻔﺮ‬. ‫ﻪ‬ ‫ﻣﺤﺎﺳ‬ ‫د‬ ‫ﺰ‬ ‫ﻧ‬ ‫ﻧﺪه‬ ‫ﮔ‬ ‫و‬ ‫ﺳﺘﻨﺪه‬ ‫ﻓ‬ ‫ﺳﻬﺎي‬ ‫آد‬MAC‫ﺘﻨﺪ‬ ‫ﻫ‬ ‫ﻞ‬ ‫دﺧ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻣﺤﺎﺳﺒﻪ‬ ‫در‬ ‫ﻧﻴﺰ‬ ‫ﮔﻴﺮﻧﺪه‬ ‫و‬ ‫ﻓﺮﺳﺘﻨﺪه‬ ‫آدرﺳﻬﺎي‬MAC‫ﻫﺴﺘﻨﺪ‬ ‫دﺧﻴﻞ‬ )‫ﺣﻤﻠﻪ‬ ‫از‬ ‫ﺟﻠﻮﮔﻴﺮي‬ ‫ﺟﻬﺖ‬‫ﺟﻌﻞ‬IP(26
    • Authentication Header (AH)Authentication Header (AH) ‫ﺪﻫﺎي‬‫ﻣ‬‫در‬ ‫ﺗﻮﻧﻞ‬ ‫و‬ ‫اﻧﺘﻘﺎل‬AH: ‫ﺪ‬‫ﻣ‬‫اﻧﺘﻘﺎل‬)Transport(:‫ﺑﺮا‬‫اﺣﺮاز‬ ‫ي‬‫اﺻﺎﻟﺖ‬‫و‬ ‫ﻛﺎرﺑﺮ‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫ﺑﻴﻦ‬ ‫ﻣﺴﺘﻘﻴﻢ‬ ‫ﻛﺎرﮔﺰار‬‫ر‬ ‫ﺰ‬ ‫ر‬ ‫ﺪ‬‫ﻣ‬‫ﺗﻮﻧﻞ‬)Tunnel(:‫ﺑﺮا‬‫اﺣﺮاز‬ ‫ي‬‫اﺻﺎﻟﺖ‬‫و‬ ‫ﻛﺎرﺑﺮ‬ ‫ﺑﻴﻦ‬‫ﺣﻔﺎظ‬)firewall( ‫ﻦ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(27
    • ‫ﺑﺎ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫اﻧﻮاع‬AH ‫ﺑﺎ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫اﻧﻮاع‬AH ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺎ‬ ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(28 ‫ﻞ‬ ‫ﻮ‬ ‫ز‬
    • ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫ﻣﺤﺪوده‬AH ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫ﻣﺤﺪوده‬AH ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(29
    • ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫ﻣﺤﺪوده‬AH ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫ﻣﺤﺪوده‬AH ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(30
    • ‫در‬ ‫ﺗﻜﺮار‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬AH ‫در‬ ‫ﺗﻜﺮار‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬AH ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬ ‫روش‬‫ﺗﻜﺮار‬)Replay( ‫ﻫ‬ ‫ﺑﻪ‬ ‫ﺻﻔ‬ ‫ﻣﻘﺪا‬ ‫ﺑﺎ‬ ‫ﻧﺪه‬ ‫ﺷﻤﺎ‬ ‫ﻳﻚ‬ ‫اﺧﺘﺼﺎص‬SA ‫ﻫﺮ‬ ‫ﺑﻪ‬ ‫ﺻﻔﺮ‬ ‫ﻣﻘﺪار‬ ‫ﺑﺎ‬ ‫ﺷﻤﺎرﻧﺪه‬ ‫ﻳﻚ‬ ‫اﺧﺘﺼﺎص‬SA ‫اﻳﻦ‬ ‫ﺑﺎ‬ ‫ﻛﻪ‬ ‫ﺟﺪﻳﺪ‬ ‫ﺑﺴﺘﻪ‬ ‫ﻫﺮ‬ ‫ازاي‬ ‫ﺑﻪ‬ ‫ﺷﻤﺎرﻧﺪه‬ ‫اﻓﺰاﻳﺶ‬SA‫ﻣﻲ‬ ‫ﻓﺮﺳﺘﺎده‬ ‫ﺷﻮد‬. ‫ﻮ‬ ‫ﻣﻘﺪار‬ ‫ﺑﻪ‬ ‫ﺷﻤﺎرﻧﺪه‬ ‫اﮔﺮ‬232‐1‫ﺑﺮﺳﺪ‬،‫ﻳﻚ‬ ‫از‬ ‫ﺑﺎﻳﺪ‬SA‫ﻛﻠﻴﺪ‬ ‫ﺑﺎ‬ ‫ﺟﺪﻳﺪ‬ ‫ﻛﺮد‬ ‫اﺳﺘﻔﺎده‬ ‫ﺟﺪﻳﺪ‬. ‫درﻧﻈﺮﮔﺮﻓﺘﻦ‬‫ﺑﻪ‬ ‫ﭘﻨﺠﺮه‬ ‫ﻳﻚ‬‫ﻓﺮض‬ ‫ﭘﻴﺶ‬ ‫اﻧﺪازه‬64=W ‫ﭘﻨﺠﺮه‬ ‫راﺳﺖ‬ ‫ﺳﻤﺖ‬ ‫ﻟﺒﻪ‬‫ﺑﺰرﮔﺘﺮﻳﻦ‬ ‫ﺑﻪ‬‫از‬ ‫ﺗﺎﻳﻴﺪﺷﺪه‬ ‫و‬ ‫رﺳﻴﺪه‬ ‫ﺑﺴﺘﻪ‬ ‫ﺷﻤﺎره‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻧﻈﺮ‬‫ﺻﺤ‬‫ﺖ‬‫ﻣﻲ‬ ‫اﺧﺘﺼﺎص‬‫ﻳﺎﺑﺪ‬. 31
    • ‫در‬ ‫ﺗﻜﺮار‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬AH ‫در‬ ‫ﺗﻜﺮار‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬AH ‫ﻣﻜﺎﻧﻴ‬‫ﺰ‬‫ﭘﻨﺠﺮه‬ ‫در‬ ‫ﺟﺪﻳﺪ‬ ‫ﺑﺴﺘﻪ‬ ‫ﺑﺎ‬ ‫ﺑﺮﺧﻮرد‬ ‫م‬ ‫ﭘﻨﺠﺮه‬ ‫ﻣﺤﺪوده‬ ‫داﺧﻞ‬ ‫و‬ ‫ﺟﺪﻳﺪ‬ ‫ﺑﺴﺘﻪ‬ ‫ﭘﻨﺠﺮه‬ ‫ﻣﺤﺪوده‬ ‫داﺧﻞ‬ ‫و‬ ‫ﺟﺪﻳﺪ‬ ‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺎﺳﺒﻪ‬MAC‫ﭘﻨﺠﺮه‬ ‫در‬ ‫ﻣﺘﻨﺎﻇﺮ‬ ‫ﺧﺎﻧﻪ‬ ‫زدن‬ ‫ﻋﻼﻣﺖ‬ ‫و‬‫اﺣﺮاز‬ ‫ﺻﻮرت‬ ‫در‬ ‫اﺻﺎﻟﺖ‬ ‫ﻣﺤﺪود‬ ‫از‬ ‫ﺧﺎرج‬ ‫ﺑﺴﺘﻪ‬‫ه‬‫ﭘﻨﺠﺮه‬)‫راﺳﺖ‬ ‫ﺳﻤﺖ‬( ‫ﻣﺤﺎﺳﺒﻪ‬MAC‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ،‫راﺳﺖ‬ ‫ﺳﻤﺖ‬ ‫ﺑﻪ‬ ‫ﭘﻨﺠﺮه‬ ‫ﺷﻴﻔﺖ‬ ‫و‬،‫ﺑ‬‫ﻪ‬‫ﻃﻮري‬‫ﻛﻪ‬ ‫ﻧﺸﺎ‬ ‫ا‬ ‫ﻟ‬ ‫ﺖ‬ ‫ا‬ ‫ﺖ‬ ‫ﺎﻇ‬ ‫ﺘ‬ ‫ﺧﺎﻧ‬‫دﻫﺪ‬ ‫ﻧﺸﺎن‬ ‫را‬ ‫ﭘﻨﺠﺮه‬ ‫ﻟﺒﻪ‬ ‫راﺳﺖ‬ ‫ﺳﻤﺖ‬ ‫ﻣﺘﻨﺎﻇﺮ‬ ‫ﺧﺎﻧﻪ‬. ‫اﺣﺮاز‬ ‫ﻋﺪم‬ ‫ﻳﺎ‬ ‫ﭘﻨﺠﺮه‬ ‫ﻣﺤﺪوده‬ ‫از‬ ‫ﺧﺎرج‬ ‫ﺟﺪﻳﺪ‬ ‫ﺑﺴﺘﻪ‬‫اﺻﺎﻟﺖ‬‫آن‬ ‫ﺷﻮد‬ ‫ﻣ‬ ‫اﻧﺪاﺧﺘﻪ‬ ‫دور‬! ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﺷﻮد‬‫ﻣﻲ‬ ‫اﻧﺪاﺧﺘﻪ‬ ‫دور‬! 32
    • ‫در‬ ‫ﺗﻜﺮار‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬AH ‫در‬ ‫ﺗﻜﺮار‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬AH ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(33
    • ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ي‬ ‫ﺎ‬ ‫ﻣﻌ‬IPSec ‫ﻣﻌﻤﺎري‬IPSec ‫ﭘﺮوﺗﻜﻞ‬AH ‫ﭘﺮوﺗﻜﻞ‬ESP ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ 34
    • Encapsulating Security Payload (ESP)Payload (ESP) ‫وﻳﮋﮔﻴﻬﺎ‬ ‫ﺗﺮاﻓﻴﻚ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫ﺣﺪي‬ ‫ﺗﺎ‬ ‫و‬ ‫داده‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫از‬ ‫ﭘﺸﺘﻴﺒﺎﻧﻲ‬ ‫اﻣﻜﺎن‬‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬)‫ﻣﺸﺎﺑﻪ‬AH( ‫اﻣﻜﺎن‬‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬)‫ﻣﺸﺎﺑﻪ‬AH( ‫اﻟﮕﻮرﻳﺘﻢ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬DES‫ﻣﺪ‬ ‫در‬CBC)‫از‬ ‫اﺳﺘﻔﺎده‬ ‫اﻣﻜﺎن‬3‐DES, RC5IDEA3 IDEACASTBlowfish‫ﻧ‬‫ا‬( RC5,IDEA,3‐IDEA,CAST‫و‬Blowfish‫ﻧ‬‫ﻴ‬‫دارد‬ ‫وﺟﻮد‬ ‫ﺰ‬.( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(35
    • Encapsulating Security Payload (ESP)Payload (ESP) ‫ﺎ‬ ‫ﻠ‬ ‫ﻓ‬ESP ‫ﻓﻴﻠﺪﻫﺎي‬ESP SPI:‫ﺷﻨﺎﺳﻪ‬SA S N b‫ﻠ‬ ‫ا‬ ‫ﮔ‬ ‫ﻠ‬ ‫ا‬ ‫ﺎ‬‫ا‬ ‫ﻜ‬ Sequence Number:‫ﺣﻤﻠﻪ‬ ‫از‬ ‫ﺟﻠﻮﮔﻴﺮي‬ ‫ﺑﺮاي‬ ‫ﺷﻤﺎرﻧﺪه‬‫ﺗﻜﺮار‬ ‫ﻣﺸﺎﺑﻪ‬AH Payload:‫ﻣﺰ‬ ‫ﻛﻪ‬ ‫ﺘﻪ‬ ‫ﺑ‬ ‫ﻣﺤﺘﻮاي‬‫ﻣ‬‫ﺷﻮد‬ Payload:‫رﻣﺰ‬ ‫ﻛﻪ‬ ‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺘﻮاي‬‫ﻣ‬‫ﻲ‬‫ﺷﻮد‬ Padding:‫ﺑ‬‫ﻴ‬‫ﺘﻬﺎ‬‫ي‬‫اﺿﺎﻓ‬‫ﻲ‬ Pad Length:‫ﺑﺎﻻ‬ ‫ﻓﻴﻠﺪ‬ ‫ﻃﻮل‬ Pad Length:‫ﺑﺎﻻ‬ ‫ﻓﻴﻠﺪ‬ ‫ﻃﻮل‬ Next Header:‫در‬ ‫ﻣﻮﺟﻮد‬ ‫داده‬ ‫ﻧﻮع‬Payload Data Authentication Data:‫ﻣﻘﺪار‬MAC‫ﺷﺪه‬ ‫ﻣﺤﺎﺳﺒﻪ‬)‫در‬ ‫ﺑﺪون‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( Authentication Data:‫ﻣﻘﺪار‬MAC‫ﺷﺪه‬ ‫ﻣﺤﺎﺳﺒﻪ‬)‫در‬ ‫ﺑﺪون‬ ‫ﻓ‬ ‫ﺧﻮد‬ ‫ﮔﺮﻓﺘﻦ‬ ‫ﻧﻈﺮ‬‫ﻴ‬‫ﻠﺪ‬( 36
    • Encapsulating Security Payload (ESP)Payload (ESP) ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(37
    • ‫در‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ESP ‫در‬ ‫اﻧﺘﻘﺎل‬ ‫ﻣﺪ‬ESP  ‫ﺪ‬‫ﻣ‬‫اﻧﺘﻘﺎل‬ ‫ﺑﻴﻦ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫ﺗﻀﻤﻴﻦ‬host‫ﻫﺎ‬ ‫ﻦ‬ ‫ﻲ‬ ‫ﺮ‬ ‫ﻦ‬ ‫داده‬ ‫ﺑﺴﺘﻪ‬ ‫رﻣﺰﻧﮕﺎري‬،‫دﻧﺒﺎﻟﻪ‬ESP‫ﺷﺪن‬ ‫اﺿﺎﻓﻪ‬ ‫و‬MAC‫درﺻﻮرت‬ ‫اﻧﺘﺨﺎب‬‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬‫ﻣﺒﺪاء‬ ‫ﺗﻮﺳﻂ‬ ‫ب‬‫ز‬‫ﺮ‬‫ﺒ‬ ‫ﻮ‬ ‫ﺗ‬‫ﻌ‬‫ﺗﻮﺳﻂ‬ ‫ﻣﺴﻴﺮ‬ ‫ﻴﻴﻦ‬‫ﻣﺴﻴﺮﻳﺎﺑ‬‫اﺻﻠﻲ‬ ‫ﺳﺮآﻳﻨﺪﻫﺎي‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺎ‬ ‫ﻣﻴﺎﻧﻲ‬ ‫ﻬﺎي‬ )‫ﻧﺸﺪهاﻧﺪ‬ ‫رﻣﺰ‬ ‫ﻛﻪ‬( )‫اﻧﺪ‬‫ﻧﺸﺪه‬ ‫رﻣﺰ‬ ‫ﻛﻪ‬( ‫ﺳﺮآﻳﻨﺪ‬ ‫ﻛﺮدن‬ ‫ﭼﻚ‬IP‫ﭘﻴﺎم‬ ‫ﺑﺎﻗﻴﻤﺎﻧﺪه‬ ‫رﻣﺰ‬ ‫واﮔﺸﺎﻳﻲ‬ ‫و‬ ‫ﻣﻘﺼﺪ‬ ‫ﺗﻮﺳﻂ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﺗﺮاﻓﻴﻚ‬ ‫آﻧﺎﻟﻴﺰ‬ ‫اﻣﻜﺎن‬ 38
    • ‫در‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ESP ‫در‬ ‫اﻧﺘﻘﺎل‬ ‫ﻣﺪ‬ESP ‫ﻣﻴﺰﺑﺎن‬ ‫ﺑﻴﻦ‬ ‫ارﺗﺒﺎط‬ ‫ﺑﺮاي‬‫ﻫﺎ‬ ‫ﻣﻴﺰﺑﺎن‬ ‫ﺑﻴﻦ‬ ‫ارﺗﺒﺎط‬ ‫ﺑﺮاي‬‫ﻫﺎ‬ ‫ﻣﺤﺪوده‬ESP ESP trailer = Padding, Pad Length, d N H d Fi ld ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(39 and Next Header Fields
    • ‫در‬ ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬ESP ‫در‬ ‫ﺗﻮﻧﻞ‬ ‫ﻣﺪ‬ESP  ‫ﺪ‬‫ﻣ‬‫ﺗﻮﻧﻞ‬ ‫دروازه‬ ‫ﻣﻘﺼﺪ‬ ‫و‬ ‫ﻣﺒﺪاء‬ ‫آدرس‬ ‫ﺷﺪن‬ ‫اﺿﺎﻓﻪ‬‫و‬ ‫ﻓﺮﺳﺘﻨﺪه‬ ‫ﺧﺮوﺟﻲ‬ ‫ﻫﺎي‬‫ﻲ‬ ‫ﮔﻴﺮﻧﺪه‬،‫ﺳﺮآﻳﻨﺪ‬ESP‫و‬‫دﻧﺒﺎﻟﻪ‬ESP‫ﺑﻪ‬ ‫ﻣﺮﺑﻮط‬ ‫ﻗﺴﻤﺖ‬ ‫و‬MAC‫در‬ ‫ﻧﻴﺎز‬ ‫ﺻﻮرت‬)‫ﺑﺮا‬‫ي‬‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬( ‫در‬ ‫ﻣﺴﻴﺮﻳﺎﺑﻲ‬ ‫اﻧﺠﺎم‬‫ﻣﺴﻴﺮﻳﺎب‬‫آدرس‬ ‫روي‬ ‫از‬ ‫ﻣﻴﺎﻧﻲ‬ ‫ﻫﺎي‬‫ﺟﺪﻳﺪ‬ ‫ﻫﺎي‬ ‫آدرس‬ ‫روي‬ ‫از‬ ‫ﻣﺴﻴﺮﻳﺎﺑﻲ‬ ‫و‬ ‫ﻣﻘﺼﺪ‬ ‫ﺷﺒﻜﻪ‬ ‫ﻓﺎﻳﺮوال‬ ‫ﺑﻪ‬ ‫ﺑﺴﺘﻪ‬ ‫رﺳﻴﺪن‬IP ‫آدرس‬ ‫روي‬ ‫از‬ ‫ﻣﺴﻴﺮﻳﺎﺑﻲ‬ ‫و‬ ‫ﻣﻘﺼﺪ‬ ‫ﺷﺒﻜﻪ‬ ‫ﻓﺎﻳﺮوال‬ ‫ﺑﻪ‬ ‫ﺑﺴﺘﻪ‬ ‫رﺳﻴﺪن‬IP ‫ﻧﻬﺎﻳﻲ‬ ‫ﮔﺮه‬ ‫ﺗﺎ‬ ‫ﻗﺒﻠﻲ‬ ‫ﺪ‬‫ﻣ‬‫ﺗﻮﻧﻞ‬IPSec‫اﻳﺠﺎد‬ ‫وشﻫﺎي‬ ‫از‬ ‫ﻳﻜ‬‫ﻜﻪ‬ ‫ﺷ‬‫ﻣﺠﺎزي‬ ‫ﺧﺼﻮﺻ‬ ‫ﻫﺎي‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻣﺪ‬‫ﺗﻮﻧﻞ‬IPSec‫اﻳﺠﺎد‬ ‫ﻫﺎي‬‫روش‬ ‫از‬ ‫ﻳﻜﻲ‬‫ﺷﺒﻜﻪ‬‫ﻣﺠﺎزي‬ ‫ﺧﺼﻮﺻﻲ‬ ‫ﻫﺎي‬ )VPN(‫اﺳﺖ‬. 40
    • ‫در‬ ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬ESP ‫در‬ ‫ﺗﻮﻧﻞ‬ ‫ﻣﺪ‬ESP ‫ﻣﺠﺎزي‬ ‫ﺧﺼﻮﺻﻲ‬ ‫ﺷﺒﻜﻪ‬ )VPN( )VPN( ‫ﻣﺤﺪوده‬ESP ‫ﺗﻮﻧﻞ‬ ‫ـﺪ‬‫ﻣ‬ ‫در‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻞ‬ ‫ﻮ‬ ‫ر‬ 41
    • ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ي‬ ‫ﺎ‬ ‫ﻣﻌ‬IPSec ‫ﻣﻌﻤﺎري‬IPSec ‫ﭘﺮوﺗﻜﻞ‬AH ‫ﭘﺮوﺗﻜﻞ‬ESP ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ 42
    • ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫ﻫﺮ‬ ‫اﻳﻨﻜﻪ‬ ‫ﺑﻪ‬ ‫ﺗﻮﺟﻪ‬ ‫ﺑﺎ‬SA‫ﻫﺎي‬‫ﺳﺮوﻳﺲ‬ ‫از‬ ‫ﻳﻜﻲ‬ ‫ﺗﻨﻬﺎ‬AH‫ﻳﺎ‬ESP‫را‬ ‫ﭘﻴﺎده‬‫اﺳﺖ‬ ‫ﻛﺮده‬ ‫ﺳﺎزي‬،‫ﺑﺎﻳﺪ‬ ‫ﺳﺮوﻳﺲ‬ ‫دو‬ ‫ﻫﺮ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺮاي‬‫آ‬‫ﻧﻬﺎ‬ ‫ﻛﺮد‬ ‫ﺗﺮﻛﻴﺐ‬ ‫ﺑﺎﻫﻢ‬ ‫را‬. ‫ﻣﺨﺘﻠﻒ‬ ‫ﺗﺮﻛﻴﺒﻬﺎي‬ ‫ﭘ‬‫ﻴ‬‫ﺳﺎز‬ ‫ﺎده‬‫ي‬IPSec‫ﺗﻮﺳﻂ‬host‫ﻫﺎ‬‫ي‬‫ﻣﺘﻨﺎﻇﺮ‬ ‫ﭘ‬‫ﻴ‬‫ﺳﺎز‬ ‫ﺎده‬‫ي‬IPSec‫ﺗﻮﺳﻂ‬host‫ﻫﺎ‬‫ي‬‫ﻣﺘﻨﺎﻇﺮ‬ ‫ﭘ‬‫ﻴ‬‫ﺳﺎز‬ ‫ﺎده‬‫ي‬IPSec‫ﺗﻮﺳﻂ‬gateway‫ﻫﺎ‬ ‫ﻛ‬‫ﺎﻻ‬ ‫ﺎﻟ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﺗﺮﻛ‬‫ﻴ‬‫ﺑﺎﻻ‬ ‫ﺣﺎﻟﺖ‬ ‫دو‬ ‫ﺐ‬ 43
    • ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫ا‬ ‫ﺗ‬ ‫ﺗ‬SA‫ﻧ‬ ‫ﺷ‬ ‫ﺎل‬ ‫ا‬ ‫ﻚ‬ ‫ﺎ‬ ‫ﻛ‬ ‫ﺎ‬ ‫از‬ ‫ﺗﺮﺗﻴﺒﻲ‬SA،‫ﺷﻮﻧﺪ‬ ‫ﻋﻤﺎل‬‫ا‬ ‫ﺑﺴﺘﻪ‬ ‫ﻳﻚ‬ ‫روي‬ ‫ﺑﺮ‬ ‫ﺑﺎﻳﺪ‬ ‫ﻛﻪ‬ ‫ﻫﺎ‬ bundle‫ﺷﻮﻧﺪ‬ ‫ﻣﻲ‬ ‫ﻧﺎﻣﻴﺪه‬. SA‫ﻳﻚ‬ ‫در‬ ‫ﻫﺎ‬bundle‫ﻫﺴﺘﻨﺪ‬ ‫ﺗﺮﻛﻴﺐ‬ ‫ﻗﺎﺑﻞ‬ ‫ﻃﺮﻳﻖ‬ ‫دو‬ ‫ﺑﻪ‬: Transport Adjacency ‫ﭼﻨﺪ‬ ‫ﻋﻤﺎل‬‫ا‬SA‫ﺑﺴﺘﻪ‬ ‫ﺑﻪ‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ ‫در‬ ‫ﺑﺮاي‬ ‫را‬ ‫ﺗﺮﻛﻴﺐ‬ ‫از‬ ‫ﺳﻄﺢ‬ ‫ﻳﻚ‬ ً‫ﺎ‬‫ﺻﺮﻓ‬AH‫و‬ESP‫ﻣﻲ‬ ‫ﻓﺮاﻫﻢ‬‫ﻧﻤﺎﻳﺪ‬. Iterated Tunneling ‫ﺗﻮﻧﻞ‬ ‫ﺑﺎ‬ ‫اﻣﻨﻴﺘﻲ‬ ‫ﻻﻳﻪ‬ ‫ﭼﻨﺪ‬ ‫اﻳﺠﺎد‬‫ﺗﻮ‬ ‫در‬ ‫ﺗﻮ‬ ‫ﻫﺎي‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻞ‬ ‫ﻮ‬ ‫ﻲ‬ ‫ﭼ‬‫ﻮ‬ ‫ر‬ ‫ﻮ‬ ‫ي‬ ‫ﻣﻲ‬ ‫ﺗﻮﻧﻞ‬ ‫ﻫﺮ‬ ‫ﻣﻘﺼﺪ‬ ‫و‬ ‫ﻣﺒﺪا‬‫ﺑﺎﺷﺪ‬ ‫ﻣﺴﻴﺮ‬ ‫از‬ ‫ﻣﺨﺘﻠﻔﻲ‬ ‫ﺳﺎﻳﺘﻬﺎي‬ ‫در‬ ‫ﺗﻮاﻧﺪ‬. 44
    • ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫ﻃﺮﻳﻖ‬ ‫از‬ ‫ﺗﻮأم‬ ‫ﺻﻮرت‬ ‫ﺑﻪ‬ ‫ﻣﺤﺮﻣﺎﻧﮕ‬ ‫و‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫داﺷﺘﻦ‬ ‫اﻣﻜﺎن‬: ‫ﻃﺮﻳﻖ‬ ‫از‬ ‫ﺗﻮأم‬ ‫ﺻﻮرت‬ ‫ﺑﻪ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫و‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫داﺷﺘﻦ‬ ‫اﻣﻜﺎن‬: ESP with Authentication Option:‫رﻣﺰﺷﺪه‬ ‫ﻣﺤﺘﻮاي‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬:‫ﺳﺮآﻳﻨﺪ‬ ‫ﺣﻔﺎﻇﺖ‬ ‫ﻋﺪم‬IP ‫ل‬ ‫ا‬‫ﺮآﻳ‬ ‫ﺖ‬ ‫م‬ ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬:‫داﺧﻠﻲ‬ ‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬ ‫ﺣﻔﺎﻇﺖ‬ Transport Adjacency:‫ﻋﻤﺎل‬‫ا‬ESP‫ﺳﭙﺲ‬ ‫و‬AH‫ﺪ‬‫ﻣ‬ ‫در‬ ‫آن‬ ‫روي‬ ‫ﺑﺮ‬  ‫اﻧﺘﻘﺎل‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫از‬ ‫ﺣﻔﺎﻇﺖ‬IP‫ﺳﺮآﻳﻨﺪ‬ ‫و‬ESP‫ﺑﺴﺘﻪ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫ﺣﻔﻆ‬ ، l dl Transport‐Tunnel Bundle:‫ﻋﻤﺎل‬‫ا‬AH‫ﺳﭙﺲ‬ ‫و‬ ‫اﻧﺘﻘﺎل‬ ‫ﺪ‬‫ﻣ‬ ‫در‬ESP ‫ﺗﻮﻧﻞ‬ ‫ﺪ‬‫ﻣ‬ ‫در‬ ‫آﻳﻨﺪ‬ ‫ﺳ‬ ‫و‬ ‫داده‬ ‫اﺻﺎﻟﺖ‬ ‫از‬ ‫اﺣ‬IP)‫ﻣﺘﻐ‬ ‫ﻠﺪﻫﺎي‬ ‫ﻓ‬ ‫از‬ ‫ﻏ‬ ‫ﺑﻪ‬( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﺳﺮآﻳﻨﺪ‬ ‫و‬ ‫داده‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬IP)‫ﻣﺘﻐﻴﺮ‬ ‫ﻓﻴﻠﺪﻫﺎي‬ ‫از‬ ‫ﻏﻴﺮ‬ ‫ﺑﻪ‬( ‫آن‬ ‫اﻣﻀﺎي‬ ‫و‬ ‫ﺑﺴﺘﻪ‬ ‫ﻛﻞ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ 45
    • ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬1 ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬1 ‫ﺎ‬ ‫ﺎ‬IPS‫ﺎ‬ ‫ا‬‫ﺎ‬ ‫ا‬ ‫ﺳﺎزي‬ ‫ﭘﻴﺎده‬IPSec‫اﻧﺘﻬﺎ‬ ‫ﺻﻮرت‬ ‫ﺑﻪ‬-‫ﺑﻪ‬-‫اﻧﺘﻬﺎ‬ ‫اﻧﻮاع‬ ‫از‬ ‫ﻣﻤﻜﻦ‬ ‫ﺗﺮﻛﻴﺒﺎت‬ ‫از‬ ‫ﻳﻚ‬ ‫ﻫﺮ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫اﻣﻜﺎن‬SA‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(46
    • ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬2 ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬2 ‫ﻫﺎ‬ ‫دروازه‬ ‫ﺑﻴﻦ‬ ‫َﻣﻦ‬‫ا‬ ‫ﺗﻮﻧﻞ‬ ‫ﺑﺮﻗﺮاري‬:‫ﻣﺠﺎزي‬ ‫ﺧﺼﻮﺻﻲ‬ ‫ﺷﺒﻜﻪ‬ ‫ﺪﻫﺎي‬‫ﻣ‬ ‫از‬ ‫ﻳﻜﻲ‬ ‫در‬ ‫ﺗﻮﻧﻞ‬ ‫اﻳﺠﺎد‬AH،ESP‫ﻳﺎ‬ ‫و‬ESP with Auth.. ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(47
    • ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬3 ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬3 ‫ﺎﻟﺖ‬ ‫ﻛ‬ ‫ﺗ‬12 ‫ﺣﺎﻟﺖ‬ ‫دو‬ ‫ﺗﺮﻛﻴﺐ‬1‫و‬2 ‫دروازه‬ ‫ﺑﻴﻦ‬ ‫ﺗﻮﻧﻞ‬ ‫اﮔﺮ‬‫ﻧﻮع‬ ‫از‬ ‫ﻫﺎ‬ESP‫ﺗﺮاﻓﻴﻚ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫ﻣﺤﺪود‬ ‫ﻃﻮر‬ ‫ﺑﻪ‬ ،‫ﺑﺎﺷﺪ‬ ‫ﻣ‬ ‫ﻓﺮاﻫﻢ‬ ‫ﻧﻴﺰ‬‫ﻣﻲﮔﺮدد‬ ‫ﻓﺮاﻫﻢ‬ ‫ﻧﻴﺰ‬‫ﮔﺮدد‬. ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(48
    • ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬4 ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬:‫ﺣﺎﻟﺖ‬4 ‫اﺧﻠ‬ ‫ﻜ‬ ‫ﺷ‬ ‫ﺘ‬ ‫ﻚ‬ ‫ﻧ‬ ‫ﺎ‬ ‫ﻚ‬ ‫ﺎل‬ ‫اﺗ‬ ‫ا‬ ‫داﺧﻠﻲ‬ ‫ﺷﺒﻜﻪ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﻚ‬ ‫ﺑﻪ‬ ‫ﺑﻴﺮوﻧﻲ‬ ‫ﻣﻴﺰﺑﺎن‬ ‫ﻳﻚ‬ ‫اﺗﺼﺎل‬ ‫ﺑﺮاي‬ ‫ﭼﻨﺪ‬ ‫ﺗﺮﻛﻴﺐ‬ ،‫داﺧﻠﻲ‬ ‫ﺷﺒﻜﻪ‬ ‫دروازه‬ ‫ﺗﺎ‬ ‫ﺗﻮﻧﻞ‬ ‫اﻳﺠﺎد‬SA ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(49
    • ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ي‬ ‫ﺎ‬ ‫ﻣﻌ‬IPSec ‫ﻣﻌﻤﺎري‬IPSec ‫ﭘﺮوﺗﻜﻞ‬AH ‫ﭘﺮوﺗﻜﻞ‬ESP ‫ﺗﺮﻛﻴﺐ‬SA‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ 50
    • ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ ‫ﺑﻪ‬ ‫ﻋﻤﻮﻣﺎ‬4‫ﻛﻠ‬‫ﻴ‬‫ﺗﺎ‬ ‫دو‬ ،‫ﺳﺮي‬ ‫ﺪ‬‫ﺑﺮا‬‫ي‬AH‫ﺗﺎ‬ ‫دو‬ ‫و‬‫ﺑﺮا‬‫ي‬ESP)‫دو‬ ‫در‬ ‫ﺟﻬﺖ‬(‫ﻧ‬‫ﻴ‬‫ﺎزﻣﻨﺪ‬‫ﻳ‬‫ﻢ‬. ‫ﺟﻬﺖ‬(‫ﻴ‬‫ز‬‫ﻳ‬‫ﻢ‬ ‫ﺑﺮا‬‫ي‬‫ﺗﻮﻟ‬‫ﻴ‬‫ﺗﻮز‬ ‫و‬ ‫ﺪ‬‫ﻳ‬‫ا‬ ‫ﻊ‬‫ﻳ‬‫ﻛﻠ‬ ‫ﻦ‬‫ﻴ‬‫ﺑﻪ‬ ‫ﺪﻫﺎ‬‫ﻳ‬‫ﻣﻜﺎﻧ‬ ‫ﻚ‬‫ﻴ‬‫ﻣﺪ‬ ‫ﺰم‬‫ﻳ‬‫ﺮ‬‫ﻳ‬‫ﻛﻠ‬ ‫ﺖ‬‫ﻴ‬‫ﺪ‬ ‫ﻧ‬‫ﻴ‬‫ﺎزﻣﻨﺪ‬‫ﻳ‬‫ﻢ‬. ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(51
    • ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ ‫دﺳﺘﻲ‬ ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬:‫ﻗﺎﺑﻞ‬ ‫ﻛﻮﭼﻚ‬ ‫و‬ ‫اﻳﺴﺘﺎ‬ ‫ﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫در‬ ‫ﺗﻨﻬﺎ‬ ‫اﺳﺖ‬ ‫اﺳﺘﻔﺎده‬.‫ﺖ‬ ‫ا‬ ‫ا‬ ‫دﻛﺎ‬ ‫ﺧ‬ ‫ﺪ‬ ‫ﻛﻠ‬ ‫ﺖ‬ ‫ﺪ‬ ‫ﺧﻮدﻛﺎر‬ ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬: ‫اﺗﻮﻣﺎﺗﻴﻚ‬ ‫ﭘﺮوﺗﻜﻞ‬‫ﭘ‬ ‫و‬‫ﻴ‬‫ﻛﻠﻴﺪ‬ ‫ﺗﻮزﻳﻊ‬ ‫و‬ ‫ﻣﺪﻳﺮﻳﺖ‬ ‫ﻓﺮض‬ ‫ﺶ‬IPSec ‫اﺻﻄﻼﺣﺎ‬ISAKMP/Oakley‫ﺷﻮد‬ ‫ﻣ‬ ‫ﻧﺎﻣﻴﺪه‬ ‫اﺻﻄﻼﺣﺎ‬ISAKMP/Oakley‫ﺷﻮد‬ ‫ﻣﻲ‬ ‫ﻧﺎﻣﻴﺪه‬. Internet Security Association and Key Management Protocol ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(52 and Key Management Protocol
    • ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ ‫ﻧﺎم‬ ‫ﺑﻪ‬ ‫ﺧﻮدﻛﺎر‬ ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ISAKMP/Oakley‫اﺳﺖ‬ ‫ﻣﻌﺮوف‬ ‫و‬‫اﺳﺖ‬ ‫ﭘﺮوﺗﻜﻞ‬ ‫دو‬ ‫ﺷﺎﻣﻞ‬: ‫و‬‫ﻞ‬ ‫ﭘﺮو‬ ‫و‬ ‫ﻞ‬ ‫ﻛﻠﻴﺪ‬ ‫ﺗﻌﻴﻴﻦ‬ ‫ﭘﺮوﺗﻜﻞ‬Oakley ‫ﭘﺮوﺗﻜﻞ‬ ‫ﻳﺎﻓﺘﻪ‬ ‫ﺗﻮﺳﻌﻪ‬ ‫ﻓﺮم‬Diffie‐Hellman‫ﺑﺮﻃﺮف‬ ‫را‬ ‫آن‬ ‫ﺿﻌﻔﻬﺎي‬ ‫ﻛﻪ‬ ‫اﺳﺖ‬ ‫ﻛﺮده‬. SA‫ا‬ISAKMP ‫و‬ ‫ﻛﻠﻴﺪ‬ ‫ﻣﺪﻳﺮﻳﺖ‬ ‫ﭘﺮوﺗﻜﻞ‬SA‫اﻳﻨﺘﺮﻧﺖ‬ ‫در‬)ISAKMP( ‫روﻳﻪ‬ ‫ﺗﻌﺮﻳﻒ‬‫ﺑﺴﺘﻪ‬ ‫ﻗﺎﻟﺐ‬ ‫و‬ ‫ﻫﺎ‬‫ﺣﺬف‬ ‫ﻳﺎ‬ ‫ﺗﻐﻴﻴﺮ‬ ،‫ﻣﺬاﻛﺮه‬ ،‫ﺑﺮﻗﺮاري‬ ‫ﺑﺮاي‬ ‫ﻫﺎ‬SA ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(53
    • ‫ﭘﺮوﺗﻜﻞ‬Oakley ‫ﭘﺮوﺗﻜﻞ‬Oakley ‫ﺗﻜﻞ‬ ‫ﺎت‬ ‫ﺧ‬Oakley ‫ﭘﺮوﺗﻜﻞ‬ ‫ﺧﺼﻮﺻﻴﺎت‬Oakley ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬Clogging ‫در‬DH:‫درﺧﻮاﺳﺘﻬﺎي‬ ‫ﺑﺎ‬ ‫ﻗﺮﺑﺎﻧﻲ‬ ‫ﻣﻨﺎﺑﻊ‬ ‫ﺗﻠﻒ‬ ‫ﺪ‬ ‫ﻛﻠ‬ ‫ﺎدل‬ ‫ﺗ‬ ‫ﻜ‬‫د‬ ‫ﻣﻲﺷ‬ ‫ﺗﻠﻒ‬ ‫ﻛﻠﻴﺪ‬ ‫ﺗﺒﺎدل‬ ‫ﻣﻜﺮر‬‫ﺷﻮد‬. ‫ﻛﻮﻛﻲ‬ ‫ﻋﻨﻮان‬ ‫ﺗﺤﺖ‬ ‫ﻣﻔﻬﻮﻣﻲ‬ ‫ﺗﻌﺮﻳﻒ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺎ‬)Cookie(‫اﻳﻦ‬ ‫ﻣﺸﻜﻞ‬ ‫ﻛﻨﺪ‬ ‫ﻣﻲ‬ ‫ﺑﺮﻃﺮف‬ ‫را‬ ‫ﺣﻤﻠﻪ‬. ‫ﻲ‬ ‫ﺮ‬ ‫ﺑﺮ‬ ‫ر‬ ‫در‬ ‫ﻣﻴﺎﻧﻲ‬ ‫ﻣﺮد‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬DH: ‫ﺪ‬ ‫ﻛﻠ‬ ‫ﺎدل‬ ‫ﺗ‬ ‫د‬ ‫اﺻﺎﻟﺖ‬ ‫از‬ ‫اﺣ‬DH ‫ﻛﻠﻴﺪ‬ ‫ﺗﺒﺎدل‬ ‫در‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬DH ‫ﺗﻜﺮار‬ ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬: ‫ﻠ‬ ‫ﺎ‬ ‫ﻧﺎﻧ‬ ‫ا‬ ‫ﺘﻔﺎ‬ ‫ا‬ ‫ﺎ‬‫ﻠ‬ ‫ﻘﺎ‬ ‫ا‬ ‫ﺗﻜ‬ ‫ﺎ‬‫ﻛ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻧﺎﻧﺲ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺎ‬‫ﻣﻲ‬ ‫ﻣﻘﺎﺑﻠﻪ‬ ‫ﺗﻜﺮار‬ ‫ﻫﺎي‬‫ﻛﻨﺪ‬. 54
    • ‫ﭘﺮوﺗﻜﻞ‬Oakley ‫ﭘﺮوﺗﻜﻞ‬Oakley Cl i ‫ﺣﻤﻠﻪ‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬Clogging ‫از‬ ‫اﺳﺘﻔﺎده‬‫ﻛﻮﻛﻲ‬)‫ﻃﺮﻓﻴﻦ‬ ‫از‬ ‫ﻳﻚ‬ ‫ﻫﺮ‬ ‫ﺗﻮﺳﻂ‬(‫زﻳﺮ‬ ‫ﺻﻮرت‬ ‫ﺑﻪ‬: ‫ارﺗﺒﺎط‬ ‫ﻃﺮﻓﻴﻦ‬ ‫از‬ ‫ﻫﺮﻳﻚ‬ ‫ﺗﻮﺳﻂ‬ ‫ﻛﻮﻛﻲ‬ ‫ﺗﺼﺎدﻓﻲ‬ ‫ﻋﺪد‬ ‫ارﺳﺎل‬ ‫ارﺳﺎل‬ack‫دﻳﮕﺮ‬ ‫ﻃﺮف‬ ‫ﺗﻮﺳﻂ‬ ‫ارﺳﺎل‬ ‫ﺑﻪ‬ ‫ﻧﻴﺎز‬ack‫ﭘﻴﺎم‬ ‫اوﻟﻴﻦ‬ ‫در‬ ‫ﻣﺒﺪأ‬ ‫ﺗﻮﺳﻂ‬DH ،‫ﺑﺎﺷﺪ‬ ‫ﻛﺮده‬ ‫اﺳﺘﻔﺎده‬ ‫ﻛﻮﻛﻲ‬ ‫ارﺳﺎل‬ ‫ﺑﺮاي‬ ‫ﺟﻌﻠﻲ‬ ‫آدرس‬ ‫از‬ ‫ﻣﻬﺎﺟﻢ‬ ‫اﮔﺮ‬ ‫ﭼﻮن‬ack‫ﻧﻤﻲ‬ ‫درﻳﺎﻓﺖ‬ ‫را‬‫ﺗﻮاﻧﺪ‬ ‫ﻧﻤﻲ‬ ،‫ﻛﻨﺪ‬DH‫ﻧﻤﺎﻳﺪ‬ ‫آﻏﺎز‬ ‫را‬. ‫ﻣﻨﺎﺑﻊ‬ ‫اﺗﻼف‬ ‫ﺣﻤﻼت‬ ‫ﺗﺎ‬ ‫ﺑﺎﺷﺪ‬ ‫ﻫﺰﻳﻨﻪ‬ ‫ﻛﻢ‬ ‫ﻛﻮﻛﻲ‬ ‫وارﺳﻲ‬ ‫و‬ ‫ﺗﻮﻟﻴﺪ‬ ‫ﺑﺎﻳﺪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻧﺒﺎﺷﺪ‬ ‫ﻣﻤﻜﻦ‬. 55
    • ‫ﭘﺮوﺗﻜﻞ‬ISAKMP ‫ﭘﺮوﺗﻜﻞ‬ISAKMP ‫روﻳﻪ‬ ‫ﺗﻌﺮﻳﻒ‬‫ﺑﺴﺘﻪ‬ ‫ﻗﺎﻟﺐ‬ ‫و‬ ‫ﻫﺎ‬‫ﻳﺎ‬ ‫ﺗﻐﻴﻴﺮ‬ ،‫ﻣﺬاﻛﺮه‬ ،‫ﺑﺮﻗﺮاري‬ ‫ﺑﺮاي‬ ‫ﻫﺎ‬ ‫ﺣﺬف‬SA ‫ﺣﺬف‬SA ‫ﺑﺴﺘﻪ‬ ‫ﻗﺎﻟﺐ‬‫ﻫﺎي‬ISAKMP ‫ﺎ‬ ‫ﻚ‬ISAKMP‫ا‬ ‫ﺨﺶ‬ ‫ﻧ‬ ‫ﻚ‬ ‫آ‬ ‫ﻞ‬ ‫ﺷﺎ‬‫ا‬ ‫ا‬ ‫ﭘﻴﺎم‬ ‫ﻳﻚ‬ISAKMP‫داده‬ ‫ﺑﺨﺶ‬ ‫ﻧﻮع‬ ‫ﻳﻚ‬ ‫و‬ ‫ﺳﺮآﻳﻨﺪ‬ ‫ﺷﺎﻣﻞ‬‫ﺑﺮاي‬ ‫اي‬ ‫داده‬ ‫ﺗﺒﺎدل‬‫اﺳﺖ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫و‬ ‫ﻛﻠﻴﺪ‬ ‫ﺗﻮﻟﻴﺪ‬ ‫ﺑﻪ‬ ‫ﻣﺮﺑﻮط‬ ‫ﻫﺎي‬. ‫وﻳﻪ‬‫ﻫﺎ‬ ‫روﻳﻪ‬‫ﻫﺎ‬ ‫ﻣﺠﻤﻮﻋﻪ‬ ‫ﺷﺎﻣﻞ‬‫ﺗﻌﺎﻣﻞ‬ ‫از‬ ‫اي‬‫ﻫﺎي‬)‫ﭘﺮوﺗﻜﻞ‬‫ﻫﺎي‬(‫ﺑﺮاي‬ ‫ﺷﺪه‬ ‫ﺗﻌﺮﻳﻒ‬ ‫ﻗﺒﻞ‬ ‫از‬ ‫ﻣﺨﺘﻠﻒ‬ ‫اﻣﻮر‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( ‫ﻮر‬ 56
    • ‫در‬ ‫اي‬ ‫داده‬ ‫ﺑﺨﺶ‬ ‫اﻧﻮاع‬ISAKMP ‫در‬ ‫اي‬ ‫داده‬ ‫ﺑﺨﺶ‬ ‫اﻧﻮاع‬ISAKMP Type Descriptionyp p Security Association (SA) Used to negotiate security attributes and indicate the DOI and Situation under which negotiation is taking place. Proposal (P) Used during SA negotiation; indicates protocol to be used and number of transforms.number of transforms. Transform (T) Used during SA negotiation; indicates transform and related SA attributes. Key Exchange (KE) Supports a variety of key exchange techniques. Identification (ID) Used to exchange identification informationIdentification (ID) Used to exchange identification information. Certificate (CERT) Used to transport certificates and other certificate- related information. Certificate Request (CR) Used to request certificates; indicates the types of certificates requested and the acceptable certificate authoritiesrequested and the acceptable certificate authorities. Hash (HASH) Contains data generated by a hash function. Signature (SIG) Contains data generated by a digital signature function. Nonce (NONCE) Contains a nonce. ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( Notification (N) Used to transmit notification data, such as an error condition. Delete (D) Indicates an SA that is no longer valid. 57
    • ‫در‬ ‫ﺗﻌﺎﻣﻼت‬ ‫اﻧﻮاع‬ISAKMP ‫در‬ ‫ﺗﻌﺎﻣﻼت‬ ‫اﻧﻮاع‬ISAKMP Base Exchange:‫ﺷﻨﺎﺳﻪ‬ ‫از‬ ‫ﻣﺤﺎﻓﻈﺖ‬ ‫ﺑﺪون‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫و‬ ‫ﻛﻠﻴﺪ‬ ‫ﺗﺒﺎدل‬. Identity Protection Exchange:‫از‬ ‫ﺣﻔﺎﻇﺖ‬ ‫ﺑﺎ‬ ‫ﭘﺎﻳﻪ‬ ‫ﺗﻌﺎﻣﻞ‬ ‫ﺗﻮﺳﻌﻪ‬ y g‫ز‬ ‫ﺑ‬ ‫ﻳ‬ ‫ﭘ‬ ‫ﻞ‬ ‫ﻮ‬ ‫ﻃﺮﻓﻴﻦ‬ ‫ﺷﻨﺎﺳﻪ‬. Authentication Only Exchange:‫ﺑﺪون‬ ‫دوﻃﺮﻓﻪ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ً‫ﺎ‬‫ﺻﺮﻓ‬ Authentication Only Exchange:‫ﺑﺪون‬ ‫دوﻃﺮﻓﻪ‬ ‫اﺻﺎﻟﺖ‬ ‫اﺣﺮاز‬ ‫ﺻﺮﻓﺎ‬ ‫ﻛﻠﻴﺪ‬ ‫ﺗﺒﺎدل‬. Aggressive Exchange:‫از‬ ‫ﺣﻔﺎﻇﺖ‬ ‫ﻋﺪم‬ ‫ﺑﺎ‬ ‫ﺎدﻟ‬ ‫ﺗ‬ ‫ﺎﻣﻬﺎي‬ ‫ﭘ‬ ‫ﺗﻌﺪاد‬ ‫ﻛﺎﻫﺶ‬ Aggressive Exchange:‫از‬ ‫ﺣﻔﺎﻇﺖ‬ ‫ﻋﺪم‬ ‫ﺑﺎ‬ ‫ﺗﺒﺎدﻟﻲ‬ ‫ﭘﻴﺎﻣﻬﺎي‬ ‫ﺗﻌﺪاد‬ ‫ﻛﺎﻫﺶ‬ ‫ﺷﻨﺎﺳﻪ‬. Informational Exchange‫ﺖ‬ ‫ﺪ‬ ‫ا‬ ‫ﺎت‬ ‫اﻃﻼ‬ ‫ﻓﻪ‬ ‫ﻜﻄ‬ ‫ﺎل‬ ‫ا‬SA ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu( Informational Exchange:‫ﻣﺪﻳﺮﻳﺖ‬ ‫ﺑﺮاي‬ ‫اﻃﻼﻋﺎت‬ ‫ﻳﻜﻄﺮﻓﻪ‬ ‫ارﺳﺎل‬SA. 58
    • ‫ﭘﺎﻳﺎن‬‫ﭘﺎﻳﺎن‬ ‫اﻣﻨﻴﺖ‬ ‫ﻣﺮﻛﺰ‬‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ http://dnsl.ce.sharif.edu ‫اﻟﻜﺘﺮوﻧﻴﻜﻲ‬ ‫ﭘﺴﺖ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬)http://dnsl.ce.sharif.edu(59 m_amini@ce.sharif.edu