بخشی از پاورپوینت
اسلاید 1 :
بسم الله الرحمن الرحیم
IPSec
اسلاید 2 :
IPSecپیاده سازی
اسلاید 3 :
مقدمه ای از IPSec
ip security یا ipsec رشته ای از پروتکل هاست که امنیت ارتباطات IP را توسط احراز هویت و رمزنگاری هر بسته IP در جریان داده ها فراهم می کند.
ipsec به شما امکان می دهد تا یک تونل رمزشده را بین دو شبکه خصوصی ایجاد کنید. همچنین امکان تایید هویت دو سر تونل را نیز برای شما فراهم می کند.
Ipsec می تواند برای حفاظت جریان داده ها بین دو هاست ، بین دو دروازه امنیتی مانند روترها یا فایروالها، یا بین یک دروازه امنیتی و یک هاست استفاده شود.
Ipsec یک مدل دو واحدی end-to-end می باشد که در شبکه(لایه سوم OSI) امنیت آن اجرا می شود.
Ipsec می تواند بمنظور حفاظت از هر برنامه ترافیکی در اینترنت استفاده شود.(مدیریت جریان ترافیک)
اسلاید 4 :
سرویسهای اصلی که ipsec ارائه می دهد شامل:
کنترل دسترسی_ کنترل دسترسی بار در وب سایت های بازدید شده، چگونه باید به حداقل برسد؟
یکپارچگی اتصالات
احراز هویت مبدا داده ارسالی
حفاظت از تکرار بسته
عدم پذیرش تکرار بسته
اسلاید 5 :
معماری Ipsec
نقشه مسیرهای IPSec
پروتکلهای IPSec شامل:
- AH
ESP-
IKE-
ISAKMP/Oakley-
Transforms_
به منظور درک، پیاده سازی، و استفاده از IPSec، لازم به درک رابطه میان این اجزاء است. نقشه مسیر IPSec تعریف می کند که چگونه اجزای مختلف IPSec با یکدیگر ارتباط برقرار می کنند.
اسلاید 6 :
پروتکلهای Ipsec
معماری IPSec قابلیتهایی که هاستها و دروازه ها باید فراهم کنند را تعریف می کند. معماری معنای پروتکلهای IPSec و مسائل درگیر در تراکنش میان پروتکلهای IPSec و بقیه مجموعه پروتکلهای TCP/IP را بحث می کند.
اسناد ESP و AH، پروتکل،فرمت عنوان محموله، سرویسهایی که آنها فراهم می کنند،و قواعد پردازش بسته ها را تعریف می کند.
Transformها انجام تبدیل داده ها برای امنیت را تعریف می کند. این شامل: الگوریتم، اندازه کلید و اینکه چطور استخراج شده اند، فرایند تبدیل، و هر الگوریتم خاص اطلاعات است.
IKE برای پروتکلهای IPSec کلید تولید می کند. همچنین برای کلیدهای مذاکره برای پروتکلهای دیگر که نیاز به کلید دارند نیز استفاده می شود.فرمت IKE بسیار عمومی است. IKE برای کلیدهای مذاکره در هر پروتکلی استفاده می شود و خود را محدود به کلید مذاکره IPSec نمی کند.
اگر دو نهاد بخواهند باهم ارتباط برقرار کنند POLICY تعیین می کند که از چه تبدیلی استفاده کنند. اگر تبدیل مناسب نباشد دو نهاد نمی توانند باهم ارتباط برقرار کنند.
اسلاید 7 :
پیاده سازی IPSec
IPSec می تواند در هاست یا دروازه یا هردوی آنها پیاده سازی و اجرا شود.
اینکه IPSec در کجای شبکه قرار بگیرد بستگی به امنیت مورد نیاز کاربران دارد.
پیاده سازی IPSec در ابزارهای شبکه شامل:
پیاده سازی هاست
پیاده سازی روترها
اسلاید 8 :
پیاده سازی هاست
هاست ابزاری است که بسته از آن سرچشمه می گیرد.
پیاده سازی هاست مزایای زیر را در بر دارد:
_امنیت end to end را فراهم می کند
_توانای اجرای همه مدهای امنیت IPSec را دارد
_روی هر جریان پایه امنیت را فراهم می کند
_ توانایی حفظ بستر کاربر بمنظور احراز هویت در برقراری ارتباط IPSec را دارد
پیاده سازی هاست می تواند به موارد زیر دسته بندی شود:
الف_پیاده سازی که با سیستم عامل (OS) هاست یکپارچه شده. (پیاده سازی هاست)
ب_پیاده سازی که شیم بین لایه شبکه و پیوند داده ها از پروتکل پشته می باشد.( پیاده سازی انفجار در پشته)
اسلاید 9 :
الف_ سیستم عامل یکپارچه شده
در پیاده سازی هاست، IPSec ممکن است با سیستم عامل یکپارچه شود. از آنجا که IPSec یک پروتکل از لایه شبکه است، ممکن است بعنوان بخشی از لایه شبکه که در شکل نشان داده شده است پیاده سازی شود.لایه IPSec نیاز به سرویسهایی از لایه شبکه برای ایجاد هدر IP دارد.
مزایای بسیاری در یکپارچگی IPSec با سیستم عامل وجود دارد.
اسلاید 10 :
ب_انفجار در پشته (BITS)
برای شرکتهایی که راه حلی برای VPNها و اینترانتها فراهم می کنند، راه حل یکپارچگی با سیستم عامل یک اشکال جدی دارد. برای فائق آمدن بر این مشکلات IPSec بعنوان یک شیم اجرا شده و بین لایه های شبکه و پیوند داده قرار گرفته است.
این پیاده سازی بیشتر ویژگیهای لایه شبکه را مانند: فرگمنت کردن و جدول مسیریابی را نیاز دارد.
یکی از مزایای اجرای BITSتوانایی یک اجرا برای فراهم کردن یک راه حل کامل است.
اسلاید 11 :
پیاده سازی روترها
پیاده سازی روترها، امنیت یک بسته روی یک قسمت از شبکه را فراهم میکند.
پیاده سازی IPSec امنیت را از طریق تونل زدن بسته ها فراهم می کند.
پیاده سازی روترها مزایای زیر را دارد:
_تامین امنیت جریان بسته ها بین 2 شبکه در یک شبکه عمومی مانند اینترنت
_تامین احراز هویت و مجوز دهی به کاربران در شبکه خصوصی. این قابلیتی است که بعضی از سازمانها به منظور اجازه دهی به کارمندانشان برای برقراری ارتباط از راه دور از طریق اینترنت از آن به عنوان VPN یا اینترانت استفاده می کنند.
اسلاید 12 :
دو نوع پیاده سازی روتر وجود دارد:
_اجرای محلی:مانند پیاتده سازی یکپارچه با سیستم عامل در هاست است.ولی IPSec با نرم افزار روتر یکپارچه شده.
_انفجار در سیم(BITW) : شبیه به پیاده سازی BITS است. ولی IPSec در ابزاری که متصل به ارتباط فیزیکی روتر است اجرا می شود.
اسلاید 13 :
نکاتی از پیاده سازی روترها:
پیاده سازی ها باید بر کارایی تمرکز کنند.
بعضی از پیاده سازی ها از سخت افزارهای کمکی برای اجرای عملیات کلید عمومی، تولید اعداد تصادفی، رمزگذاری و رمزگشایی، و محاسبه هشها استفاده می کنند.
حافظه روترها هنوز کم است. اگر بخواهد جدول مسیریابی بزرگی را ذخیره کند حافظه کافی ندارد.
اسلاید 14 :
کار اصلی پیاده سازی AH و ESP در IPSec
AH
بعد از ارسال بسته داده ها با هدر AH، آن بسته فقط به نود مقصد ارسال می شود. نودهای میانی داده را تصدیق نمی کنند. زیرا امنیت از مبدا به مقصد، هاست به هاست بنا شده است. اگر هر نود میانی بخواهد داده را تغییر دهد، احراز هویت داده تغییر می کند.و همینطور نمی تواند MAC (کد احراز هویت پیام)مشلبه تولید کند. چون کلید سری مبدا و مقصد را ندارد.یکپارچگی و احراز هویت داده ها حفظ می ماند. (بخاطر ACK بین مبدا و مقصد).
ESP
هدر ESP مانند هدر AH به مقصد انتقال می یابد. نودهای میانی قادر به دیدن بسته داده های کپسوله شده نیستند.
نودهای میانی نمی تواند داده را تغییر دهند، زیرا تنها هدر جدید IPکه بیرون بسته کپسوله شده قرار دارد، برای نود حمله کننده قابل مشاهده است. هدر اصلی IP و بسته داده ها توسط کلید اشراک گذاسته شده بین مبدا و مقصد کپسوله شده هستند. نود مقصد بعد از دریافت بسته آن را رمزگشایی می کند و یک بسته ACK بمنظور تصدیق محرمانگی، یکپارچگی، و صحت برمی گرداند. اگر مبدا پیام ACK را دریافت نکرد آن بسته داده را دوباره می فرستد.
اسلاید 15 :
الگوریتم پیشنهادی پیاده سازی IPSec در شبکه ad-hoc
1-مسیریابی توسط SAODV (Secure Ad hoc On-demand Distance Vector)
Source Destination
در این فاز کلید اشتراک گذاسته شده بین مبدا و مقصد مبادله می شود.
2-استقرار SA
Data_Message= ((Sequence Number Counter +AH Information/ESP Information) EKS-priv) EKD-pub: Source Destination
(With First UDP Packet)
[AH information: authentication algorithm, shared secret
key, key lifetime]
[ESP information: encryption algorithm, shared secret key,
key lifetime]
{اطلاعات AH: الگوریتم احراز هویت،اشتراک کلید، مدت زمان حیاط کلید}
{اطلاعات ESP: الگوریتم رمزنگاری،اشتراک کلید، مدت زمان حیاط کلید}
اسلاید 16 :
3-انتقال داده
IF (AH implemented packet)
Packet with AH header: Source Destination and Destination Source
ELSE IF (ESP implemented packet)
Packet with ESP header: Source Destination and Destination Source
4-ACK_PKT
IF (Check (Authentication) = = true))
Send ACK_PKT
ELSE IF ((De encapsulate (Packet) & & check (Authentication)) = = true)
Send ACK_PKT
ELSE
Drop PKT
5-Receive ACK_PKT
If sender Receive (ACK_PCK) = = true)
Send next packet
Else
Retransmit same data packet
6-End
اسلاید 17 :
مقایسه پروتکلهای پیاده سازی AHو ESP
جدول زیر تفاوت زمانی بسته داده ها همراه با پیاده سازی AH و بدون پیاده سازی AH را برای نودها نشان می دهد.
وقتی تعداد نودها افزایش می یابد،تفاوت زمانی نیز افزایش می یابد. تفاوت زمانی رنج 3-11 کمتر از 0.5 است اما برای رنج 11-15 نسبت به رنج 3-11 بیشتر از دو برابر افزایش داشته. 15 به بالا تغییر زمانی آنها ناچیز است.
بنابراین در انتقال بسته داده ها با پیاده سازی AH مدت زمان بیشتری نسبت به انتقال بسته داده ها بدون پیاده سازی AH صرف می کند.
اسلاید 18 :
مقایسه پروتکلهای پیاده سازی AHو ESP
در جدول تفاوت زمانی بین ارسال بسته با پیاده سازی ESP و بدون آن را نشان می دهد.
تفاوت 7-9 0.6MS می باشد. سپس 9-11 کاهش می یابد. 13-15 تفاوت آنها 2.4 میشود. سپس دوباره افزایش می یابد
شکل زیر آن را نشان می دهد.
اسلاید 19 :
نتیجه تحقیق
در AH مدت زمان سربار حداکثر تا 2.12 MS برای 21 نود افزایش داشته. این مدت زمان اضافی می تواند صرف فراهم کردن سرویس احراز هویت شود.
در ESP نیز مدت زمان 9.89 میلی ثانیه برای رمزنگاری و رمزگشایی صرف شده است.
در مقابل AH، مدت زمان سربار در ESP بیشتر است که تفاوت زمانی در پیاده سازی کردن یا نکردن آن 9.89 می باشد. اما سرویسهای فراهم کننده توسط ESP بیشتر از AH می باشند.
اسلاید 20 :
نتیجه
ارسال و دریافت داده توسط IPSEC مدت زمان بیشتری می برد.
بین AHو ESP، ESP زمان بیشتری بدلیل رمزنگاری مصرف می کند.
اگر تنها نیاز به احراز هویت باشد پیشنهاد می شود که تنها از پیاده سازی AH بمنظور کمینه کردن مدت زمان استفاده شود.
در این مقاله تشویق به پیاده سازی IPSec همراه با ESP برای همه سرویسهای امنیتی همراه با مدت زمان سربار متوسط، شده است.
