ipsec

1. ‫شبکه‬ ‫امنیت‬ ‫درس‬
‫احمد‬‫وحید‬ ‫و‬ ‫رحمانیان‬‫شهابی‬
Ipsec or IP Security

2. Ipsec‫عبارت‬ ‫شده‬ ‫کوتاه‬IP security‫است‬
Ipsec‫الگوریتم‬ ‫و‬ ‫ها‬ ‫استاندارد‬ ‫ها‬ ‫پروتکل‬ ‫از‬ ‫ای‬ ‫مجموعه‬
‫است‬.
‫هدف‬Ipsec‫است‬ ‫عمومی‬ ‫شبکه‬ ‫یک‬ ‫تحت‬ ‫ترافیک‬ ‫کردن‬ ‫امن‬.
‫پکت‬ ‫دریافت‬ ‫و‬ ‫ارسال‬ ‫و‬ ‫ارتباطات‬ ‫در‬ ‫امنیت‬ ‫ایجاد‬ ‫برای‬
‫میگیرد‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫ها‬.
Ipsec‫چیست؟‬

3. ‫های‬ ‫روش‬Ipsec
Ipsec‫مح‬ ‫و‬ ‫هویت‬ ‫اهرار‬ ‫برای‬ ‫مختلف‬ ‫روش‬ ‫دو‬ ‫از‬
‫استفاده‬ ‫اطالعات‬ ‫رمانگی‬‫کند‬ ‫می‬
.1Authentication Header (AH)
(a‫میکند‬ ‫چک‬ ‫را‬ ‫فرستنده‬ ‫اطالعات‬ ‫هویت‬ ‫صحت‬
(b‫برای‬ ‫را‬ ‫اطالعات‬ ‫فرستنده‬ ‫هویت‬ ‫احراز‬ ‫و‬ ‫یکپارچگی‬ ‫ایجاد‬ ‫تامین‬
‫دیتاگرام‬
‫میشود‬ ‫انجام‬ ‫صورت‬ ‫دو‬ ‫به‬ ‫هویت‬ ‫احراز‬:
(1‫اطالعات‬ ‫یکپارچگی‬2)‫اطالعات‬ ‫فرستنده‬ ‫هویت‬ ‫احراز‬
2.Encapsulation Security Payload (ESP)
(a‫حمالت‬ ‫برابر‬ ‫در‬ ‫حفاظت‬ ‫و‬ ‫یکپارچگی‬replay‫محرمانگی‬ ‫تضمین‬ ‫و‬
(b‫روش‬ ‫این‬‫از‬ ‫تنها‬IP data payload‫میکن‬ ‫محافظت‬ ‫فرضش‬ ‫پیش‬ ‫تنظیمات‬ ‫با‬
‫د‬
(c‫حالت‬ ‫در‬Tunnel‫هردوی‬ ‫از‬ ‫میتواند‬ ‫روش‬ ‫این‬ ،payload‫هدر‬ ‫و‬IP‫محافظت‬
‫کند‬.

4. ‫نیاز‬ ‫به‬ ‫بستگی‬ ‫حالت‬ ‫دو‬ ‫این‬ ‫که‬ ‫میکند‬ ‫عمل‬ ‫صورت‬ ‫حالت‬ ‫دو‬ ‫در‬
‫دارد‬ ‫پروتکل‬ ‫آن‬ ‫سازی‬ ‫پیاده‬ ‫نحوه‬ ‫و‬ ‫شبکه‬:
.1Tunnel
.2Transport
‫های‬ ‫فرم‬IPSec‫شبکه‬ ‫در‬

5. IP Sec Tunnel Mod
(1‫از‬ ‫کامل‬ ‫بصورت‬ ‫و‬ ‫ها‬ ‫پکت‬ ‫تمامی‬ ‫عبور‬Tunnel
(2IPSEC‫دریافت‬ ‫را‬ ‫پکت‬‫بعد‬ ‫و‬ ‫کرده‬‫بندی‬ ‫بسته‬
(3‫کردن‬ ‫اضافه‬Header‫های‬‫به‬ ‫آن‬ ‫ارسال‬ ‫و‬ ‫الزمه‬‫دیگ‬ ‫سمت‬
‫ر‬Tunnel
‫از‬ ‫استفاده‬ipsec‫در‬ ‫معموال‬Gateway‫روتر‬ ‫در‬ ‫ها‬‫های‬
،‫سیسکو‬، ‫،لینوکس‬ ‫ویندوز‬ ‫عاملهای‬ ‫وسیستم‬ ‫میکروتیک‬
‫دستگاه‬‫فایروال‬ ‫های‬‫بسیاری‬ ‫و‬‫ها‬ ‫دستگاه‬ ‫از‬‫س‬ ‫پیاده‬
‫شود‬ ‫می‬ ‫ازی‬.

6. IP Sec Tunnel Mode

7. IP Sec Transport Mode
(a‫برقرار‬ ‫ایمن‬ ‫بصورت‬ ‫یکدیگر‬ ‫با‬ ‫پایانی‬ ‫نقاطی‬ ‫بین‬ ‫ارتباط‬‫می‬
‫شوند‬
(bTransport‫از‬ ‫یافته‬ ‫تشکیل‬‫هدر‬TCP‫و‬UDP‫به‬‫هدر‬ ‫عالوه‬AH‫یا‬ESP‫م‬
‫ی‬‫باشد‬
(c‫میکند‬ ‫کپسوله‬ ‫را‬ ‫نظر‬ ‫مورد‬ ‫اطالعات‬.
(d‫پکت‬ ‫در‬ ‫اطالعات‬ ‫بقیه‬‫ماند‬ ‫می‬ ‫باقی‬ ‫نخورده‬ ‫دست‬
(e‫هدر‬IP‫پروتکل‬ ‫الیه‬ ‫بجز‬ ‫ماند‬ ‫می‬ ‫باقی‬ ‫نخورده‬ ‫دست‬ ‫روش‬ ‫این‬ ‫در‬
‫با‬ ‫که‬‫هدر‬ESP‫یا‬ ‫و‬AH‫میکند‬ ‫تغییر‬
(f‫داده‬ ‫برگشت‬ ‫پکت‬ ‫به‬ ‫رمزگشایی‬ ‫هنگام‬ ‫در‬ ‫و‬ ‫شود‬ ‫می‬ ‫ذخیره‬ ‫پکت‬
‫میشود‬.

8. ‫دیاگرام‬‫روش‬IPsec Transport

9. ‫اصلی‬ ‫سرویس‬ ‫چهار‬Ipsec
.1‫محرمانگي‬:‫با‬‫استفاده‬‫از‬،‫رمزنگاري‬‫از‬‫سرقت‬‫اطالعات‬‫جلوگیري‬
‫كند‬‫مي‬
.2‫یكپارچگي‬:‫با‬‫استفاده‬‫از‬‫الگوریتم‬‫هشینگ‬(Hashing)‫از‬‫عدم‬‫دستكار‬
‫ي‬‫یا‬‫تغیر‬‫در‬‫ترافیك‬‫اطمینان‬‫حاصل‬‫كند‬‫مي‬.
.3‫تصدیق‬‫اعتبار‬(Authentication):‫هویت‬‫ارسال‬‫كننده‬‫دیتا‬‫را‬‫با‬‫استفاد‬
‫ه‬‫از‬pre-shared key‫ها‬‫یا‬‫یك‬CA78‫بررسي‬‫مي‬‫كند‬.
.4‫ضد‬‫تكرار‬(Anti-replay):‫از‬‫تكرار‬‫هاي‬‫بسته‬‫رمز‬‫شده‬‫با‬‫استفاده‬‫از‬
‫تخصیص‬‫یك‬‫شماره‬‫دهي‬‫ترتیب‬
(sequencing number)‫منحصر‬،‫بفرد‬‫جلوگیري‬‫كند‬‫مي‬.

10. ‫محرمانگي‬‫رمز‬ ‫و‬
‫در‬ ‫نگاري‬IPSec
‫است‬ ‫تر‬‫امن‬ ‫و‬ ‫تر‬‫قوي‬ ،‫باشد‬ ‫تر‬‫طوالني‬ ‫آن‬ ‫مقادیر‬ ‫رشته‬ ‫كه‬ ‫كلیدي‬.‫طو‬
‫بیت‬ ‫حسب‬ ‫بر‬ ‫كلید‬ ‫یك‬ ‫ل‬‫شود‬‫مي‬ ‫گیري‬‫اندازه‬.
‫دو‬‫دارند‬ ‫وجود‬ ‫كه‬ ‫كلیدهایي‬ ‫از‬ ‫نوع‬:
.1‫متقارن‬ ‫هاي‬ ‫كلید‬(Symmetric)‫دیت‬ ‫رمزگشایي‬ ‫در‬ ‫و‬ ‫كردن‬ ‫رمز‬ ‫در‬ ‫كه‬
‫كاربرد‬ ‫ا‬‫دارد‬
.2‫نامتقارن‬ ‫كلیدهاي‬(Asymmetric keys)‫كلیدها‬ ‫به‬ ‫رمزنگاري‬ ‫براي‬ ‫كه‬
‫دارد؛‬ ‫نیاز‬ ‫متفاوتي‬ ‫ي‬‫كلید‬‫كلید‬ ‫و‬ ‫عمومي‬‫خصوصي‬
‫روتر‬ ‫دو‬ ‫كه‬ ‫كنید‬ ‫فرض‬A‫و‬B‫داریم‬.‫عمومي‬ ‫كلید‬ ‫زیرساخت‬ ‫از‬ ‫سناریو‬ ‫این‬ ‫در‬
‫ایم‬‫كرده‬ ‫استفاده‬ ‫خصوصي‬ ‫كلید‬ ‫و‬:
‫هردوروتر‬A‫و‬B‫دارند‬ ‫را‬ ‫خودشان‬ ‫خاص‬ ‫خصوصي‬ ‫كلیدهاي‬.
‫هردوروتر‬A‫و‬B‫كنند‬‫مي‬ ‫مبادله‬ ‫را‬ ‫خود‬ ‫خاص‬ ‫عمومي‬ ‫كلیدهاي‬.
‫روتر‬ ‫كه‬ ‫هنگامي‬B‫روتر‬ ‫مقصد‬ ‫به‬ ‫را‬ ‫دیتایي‬A‫كلیدعم‬ ‫از‬ ،‫كند‬‫مي‬ ‫رمزنگاري‬
‫روتر‬ ‫ومي‬A‫بلعكس‬ ‫و‬ ‫كند‬‫مي‬ ‫استفاده‬ ‫اینكار‬ ‫براي‬.

11. ‫هشینگ‬ ‫و‬ ‫اطالعات‬ ‫یكپارچگي‬
‫با‬ ‫باشد‬ ‫امان‬ ‫در‬ ‫آلودگی‬ ‫گونه‬ ‫هر‬ ‫از‬ ‫شبکه‬ ‫در‬ ‫اطالعات‬ ‫که‬ ‫این‬ ‫برای‬
‫ب‬ ‫هشینگ‬ ‫الگوریتم‬ ‫کار‬ ‫نحوه‬ ‫شود‬ ‫استفاده‬ ‫هشینگ‬ ‫ازالگوریتم‬ ‫از‬ ‫ید‬
‫است‬ ‫صورت‬ ‫این‬ ‫ه‬:
‫ارسال‬ ‫كه‬ ‫اي‬‫بسته‬ ‫هر‬ ‫به‬ ‫خاص‬ ‫هش‬ ‫مقدار‬ ‫یك‬ ‫تخصیص‬ ‫و‬ ‫محاسبه‬ ‫با‬‫شو‬‫مي‬
‫د‬
‫دیتا‬ ‫رسیدن‬ ‫از‬ ‫بعد‬‫اجرا‬ ‫و‬ ‫محاسبه‬ ‫آن‬ ‫روي‬ ‫هش‬ ‫الگوريتم‬ ‫مجددا‬‫شود‬‫مي‬
Hashed Message Authentication Code‫یا‬HMAC
‫استفاده‬ ‫محرمانه‬ ‫كليد‬ ‫يك‬ ‫از‬ ‫هش‬ ‫مقدار‬ ‫محاسبه‬ ‫هنگام‬‫كند‬‫مي‬
‫الگوریتم‬ ‫نوع‬ ‫دو‬ ‫از‬ ‫گسترده‬ ‫بطور‬HMAC‫شود‬‫مي‬ ‫استفاده‬:
.1HMAC-MD5‫یا‬Message-Digest 5‫هش‬ ‫كلیدهاي‬128‫كند‬‫مي‬ ‫تولید‬ ‫بیتي‬.
.2HMAC-SHA1‫یا‬Secure Hash Algorithm‫هش‬ ‫كلیدهاي‬160‫كن‬‫مي‬ ‫تولید‬ ‫بیتي‬
‫د‬.

12. ‫معماری‬IPSec
: Encapsulating Security Payload (ESP)‫ارائه‬‫هو‬ ‫احراز‬ ‫و‬ ‫رمزنگاری‬ ‫مثل‬ ‫هایی‬ ‫سرویس‬
‫میگیرد‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ‫یت‬.
: Authentication Header (AH)‫سرویس‬‫رمز‬ ‫و‬ ‫کرده‬ ‫ایجاد‬ ‫را‬ ‫دیتاگرام‬ ‫هویت‬ ‫احراز‬
‫نمیکند‬ ‫ارائه‬ ‫را‬ ‫نگاری‬.
DOI:‫دهی‬ ‫فرمت‬payload‫اطالعات‬ ‫نامگذاری‬ ‫و‬ ‫دیتا‬ ‫تبادالت‬ ‫انواع‬ ،‫امنیتی‬
‫ن‬‫کته‬: Anti-replay‫های‬ ‫پروتکل‬ ‫زیر‬ ‫از‬ ‫یکی‬IPSec‫مست‬ ‫غیر‬ ‫بصورت‬ ‫پروتکل‬ ‫این‬ ‫است‬
: (ISAKMP )Internet Security Association and Key Management Protoco
‫ا‬‫منیت‬‫مختلف‬ ‫ارتباطات‬ ‫در‬ ‫را‬ ‫الزم‬‫با‬ ،‫ترکیب‬
‫و‬ ‫کلید‬ ‫مدیریت‬ ،‫هویت‬ ‫احراز‬ ‫از‬ ‫امنیتی‬ ‫مفاهیم‬
‫برقرار‬ ‫امنیتی‬ ‫ارتباطات‬‫میسازد‬.
Policy‫موج‬ ‫دو‬ ‫میکند‬ ‫تعین‬ ‫که‬ ‫است‬ ‫ای‬ ‫کلیدی‬ ‫عنصر‬
‫یکدیگر‬ ‫با‬ ‫میتوانند‬ ‫ودیت‬‫ارتباط‬‫برقرا‬
‫خیر‬ ‫یا‬ ‫کنند‬ ‫ر‬.

13. ‫عناصر‬‫تشک‬
‫دهنده‬ ‫یل‬IPSec
 Internet Key Exchange (IKE)
 Internet Security Association Key Management Protocol (ISAKMP)
 Oakley
 IPSec Policy Agent

14. ‫سازی‬‫پیاده‬IPSec‫و‬‫های‬‫پروتکل‬‫اصلی‬
‫سازی‬‫پیاده‬IPSec
‫پیاده‬‫سازی‬IPSec‫عناصرمختلف‬ ‫از‬ ‫تکراری‬ ‫شامل‬IPSec‫ایج‬ ‫های‬ ‫اینترفیس‬ ،
‫خروج‬ ‫و‬ ‫ورود‬ ‫فرآیند‬ ‫و‬ ‫عناصر‬ ‫توسط‬ ‫شده‬ ‫اد‬‫بسته‬‫هاست‬.
‫از‬IPSsc‫بسته‬‫شده‬ ‫استفاده‬ ‫عامل‬ ‫سیستم‬ ‫نوع‬ ‫به‬‫است‬.
‫های‬ ‫سازی‬ ‫پیاده‬ ‫اکثرا‬IPSec‫میکنند‬ ‫تعریف‬ ‫را‬ ‫عناصر‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ،
‫شامل‬ ‫که‬:‫اصلی‬ ‫های‬ ‫پروتکل‬IPSec،SADB،SPD،Manual keying،ISAKMP/IKE،
SA Management‫و‬Policy Management
‫اصلی‬ ‫های‬‫پروتکل‬:
IPSec‫سازی‬ ‫پیاده‬ ‫شامل‬ ‫که‬ESP‫و‬AH‫است‬.‫ر‬ ‫ها‬ ‫بسته‬ ‫امنیت‬ ‫هدرها‬ ،‫سازی‬ ‫پیاده‬ ‫این‬ ‫در‬
‫با‬ ‫داخلی‬ ‫فرآیند‬ ‫توسط‬ ‫ا‬SPD‫و‬SADB‫تامین‬‫میکنند‬.
SADB
SPD