جلسه دهم امنیت شبکه

به نام خدا

پروتکلIPsec امنیتی

 

پروتکل‌IPSec در لایه سه اعمال شده و مکانیزم‌های امنیتی را بر روی پروتکلIP اعمال می‌کند. ایجاد این مکانیزم‌ها بر روی IP باعث می‌شود تا حدودی امنیت در شبکه‌ اینترنت بر روی داده‌ها اعمال شود. این پروتکل در لایه سه و به همراه IPv6 به صورت اجباری اعمال می‌شود و باعث ایمن نمودن ارتباط ایجاد شده در شبکه داخلی و در کل شبکه می‌گردد.

اعمال این پروتکل امنیتی در لایه سه، نیازی به تغییر در برنامه‌های کاربردی نصب شده در شبکه ندارد و پس از پیاده‌سازی آن، همان برنامه ها و پروتکل‌های قبل از اعمالIPSec به کار خود ادامه می‌دهند.

این پروتکل مسیریابی مطمینی در شبکه موجب می‌گردد و از بسیاری از حملاتی که ناشی از مسیریابی جعلی است ممانعت می‌نماید.

این پروتکل در دو م‍د transport و tunnel مورد بهره‌برداری قرار می‌گیرد. در مد انتقال، از payload یا همان داده و قسمتی از سرآیند IP که این پروتکل به آن اضافه شده است، محافظت می‌شود و سرآیندهای مربوط به IP محافظت نمی‌شوند.

 مد تونل‌زنی‌IPSec بر روی دروازه‌ها و یا گره‌هایی که توسط آنها اطلاعات از زیرشبکه خارج می‌گردد، اعمال می‌گردد و در زمان خروج بسته‌ها ایمنی بر روی آن‌ها اضافه می‌شود و از payload محافظت می‌گردد.

کل داده به همراه بخش‌های ایمنی، به عنوان داده جدید برای datagram جدید درنظر گرفته شده و سرآیند مربوط به datagram نیز محافظت می‌شود. به این معنی که یک سرآیند خارجی امنیتی به کل بسته ‌IP شامل داده و سرآیند آن اضافه می‌گردد.

 

پروتکلIPsec از حملاتی نظیرIPSpoofing ممانعت می‌کند و به علت تعریف شماره‌های توالی در خود از حمله تکرار نیز جلوگیری می‌کند. در حمله تکرار مهاجم بسته فرستاده شده در شبکه را دریافت نموده و دوباره آن را ارسال می‌کند. در صورت داشتن شماره توالی و   یا sequence Number در یک بسته وقتی دوباره بسته‌ای فرستاده باشد، این شماره توالی در شبکه تکراری خواهد بود و گیرنده با دریافت این موضوع بسته را drop می‌کند. در صورتی که بسته‌ای نیز از شبکه حذف شود، شماره توالی مربوط به آن حذف شده است و شبکه متوجه مفقود شدن یک بسته خواهد شد.

نوشتن شماره توالی و time stamp و یا مهر زمانی‌ برای جلوگیری از حمله تکرار می‌باشد.

هر کدام از این دو مد کاری پروتکلIPSec، می‌توانند در دو نوع حالت پیاده‌سازی شوند. پیاده‌سازی این پروتکل با دو روش AH,ESP مورد اجرا قرار می‌گیرد. سرویس‌های پروتکل AH شامل احراز هویت، یکپارچگی داده و کنترل دسترسی است.

روش ESP با رمزنگاری، شامل سرویس‌های محرمانگی داده، کنترل دسترسی و محرمانگی جریان داده می‌باشد.

هر دو روش از ایجاد حمله تکرار بسته‌ها با استفاده از یک مقدار شماره توالی سی و دو بیتی، ممانعت می‌کنند.  

زمان انتقال ترافیک، وقتی که بسته‌IP، به هر گره‌ای که بر روی آن IPSec نصب شده است، برخورد کند، بر اساس آدرس مقصد می‌تواند تشخیص دهد که این گره، کاربر نهایی، مسیریاب و یا یک دیواره آْتش است.

ادامه مطالب در مقاله های بعدی می‌آید.

سال جدید سال خوبی باشه و به آرزوهاتون برسین……………….

/ 5 نظر / 40 بازدید
رضا

سلام خسته نباشی وب بدی نداری اما در مورد مطلبهای که مینویسی خیلی کوتا ومختصر حرف میزنی متمرکز نمیشی روی یه بحث و کاملش کنی البته که این کار برای شما هزینه داره در هر صورت از زحماتت تشکر میکنم

فاطمه اختصاری

(((ببخشید دندانتان توی گردن من است!))) سلام دوست خوبم! به روزم با کلی شعر و مطلب و خبر و ... (((به چیزهای قشنگی که هست فکر بکن!!))) ....الف. لام. میم.... «مهدی موسوی» بودن غمگین است! ....الف. لام. میم.... ميمون، به دُمت نگاه كن! ....الف. لام. میم.... «PMS» مخفف وضعيت پست مدرن «Post Modern Situation» نيست بلكه ... ....الف. لام. میم.... «همين است كه عقل من ادراك مي كند» «شمس» دارد زندگی ام را زیر و رو می کند ....الف. لام. میم.... PLOP! او داشت قِل مي خورد! ....الف. لام. میم.... شماره چهارم فصلنامه‌ی همين فردا بود چاپ شد (به زمان با دید غیرخطی نگاه کنید!) ..... (((شاعر ان خوب به بهشت مي روند، شاعران بد به همه جا!))) (نقدی متفاوط!! و ... راجع به برگزاری جشنواره های شعر کشور) پوتين براي سربازان جديد ... (((پرنده ی نخی ام زیر چرخ خیاطی))) ... و ديگر هیچ!

علیرضا

سلام سال نو مبارک باشه انشااله سال خوبی داشته باشید موفق باشید[گل]

وب فوکاس

وب فوکاس در نظر دارد در جهت افزایش رتبه سایت در موتورهای جستجو اقدام به تبادل لینک با وبلاگ ها و وب سایت ها نماید لذا در صورتیکه تمایل به تبادل لینک دارید ابتدا بنر یا لینک متنی ما را با یکی از عناوین آموزش برنامه نویسی وب آموزش طراحی وب آموزش PHP آموزش JavaScript آموزش CSS آموزش HTML در سایت یا وبلاگ خود قرار دهید ، سپس با آدرس info [at] webfocus.ir مکاتبه نمایید تا لینک به سایت شما حداکثر ظرف مدت 24 ساعت در سایت قرار گیرد.

محسن

سلام وبلاگت واقعا عاليه به منم سربزن بهترين کيلاگر دنيا با قابليت اتصال به سيستم قرباني بهترين سي دي هک در ايران کلاسهاي فوق العاده ويژوال بيسيک از مبتدي تا حرفه اي برنامه تبليغ در بلاگفا و 100 ها برنامه تووووپ ديگر همگي در www.m0rtalKombat.com www.MortalKombat.ir با قراردادن لينک باکس ما در وبلاگ خود و سپس ثبت لينک خود آمار وبلاگ خودتون رو 10 برابر کنيد www.Padash.Mihanblog.com