پروتکل IPsec وی پی ان (VPN) چیست؟
در محاسبات ، پروتکل امنیت اینترنت (IPsec) یک مجموعه پروتکل شبکه ایمن است که بسته های داده را تأیید و رمزگذاری می کند تا ارتباط رمزگذاری شده ایمن بین دو کامپیوتر از طریق شبکه پروتکل اینترنت را فراهم کند. در وی پی ان (VPN) استفاده می شود. IPsec شامل پروتکل هایی برای ایجاد احراز هویت متقابل بین عوامل در ابتدای جلسه و مذاکره برای کلیدهای رمزنگاری برای استفاده در طول جلسه است. IPsec می تواند از جریان داده ها بین یک جفت میزبان (میزبان به میزبان) ، بین یک جفت دروازه امنیتی (شبکه به شبکه) یا بین یک دروازه امنیتی و یک میزبان (شبکه به میربان) محافظت کند.
IPsec از خدمات امنیتی رمزنگاری برای محافظت از ارتباطات از طریق شبکه های پروتکل اینترنت (IP) استفاده می کند. این از احراز هویت همکار در سطح شبکه ، تأیید اعتبار منبع داده ، یکپارچگی داده ، محرمانه بودن داده (رمزگذاری) و محافظت از پخش مجدد پشتیبانی می کند.مجموعه اولیه IPv4 با رعایت موارد اندک امنیتی ایجاد شده است. به عنوان بخشی از پیشرفت IPv4 ، IPsec یک مدل امنیتی ۳ لایه OSI یا نوعی لایه امنیتی اینترنتی است. در مقابل ، در حالی که برخی دیگر از سیستم های امنیتی اینترنتی که به طور گسترده استفاده می شوند ، در بالای لایه ۳ کار می کنند ،IPsec می تواند به طور خودکار برنامه ها را در لایه IP ایمن کند.
تاریخچه
از اوایل دهه ۱۹۷۰ ، آژانس پروژه های تحقیقات پیشرفته از مجموعه ای از دستگاه های رمزگذاری آزمایشی ARPANET حمایت مالی کرد ، در ابتدا برای رمزگذاری بسته ARPANET بومی و سپس برای رمزگذاری بسته TCP / IP. برخی از اینها تایید شده و میدانی هستند.
از سال ۱۹۸۶ تا ۱۹۹۱ ،NSA تحت برنامه Secure Data Network Systems) SDNS) از توسعه پروتکل های امنیتی برای اینترنت حمایت کرد. این فروشندگان مختلفی از جمله موتورولا را که در سال ۱۹۸۸ یک دستگاه رمزگذاری شبکه تولید کرده بودند ، گرد هم آورد. این کار به طور آشکار از سال ۱۹۸۸ توسط NIST منتشر شد و از این تعداد ، پروتکل امنیتی در لایه ۳ (SP3) در نهایت به پروتکل امنیتی لایه شبکه استاندارد (NLSP) تبدیل می شود.
*
از سال ۱۹۹۲ تا ۱۹۹۵ ، گروه های مختلف تحقیقاتی در مورد رمزگذاری لایه IP انجام دادند- در سال ۱۹۹۲ ، آزمایشگاه تحقیقات نیروی دریایی ایالات متحده (NRL) پروژه ساده پروتکل اینترنت به علاوه (SIPP) را برای تحقیق و اجرای رمزگذاری IP آغاز کرد.
- در سال ۱۹۹۳، در دانشگاه کلمبیا و آزمایشگاه های AT&T بل جان یوانیدیس و دیگران در مورد نرم افزار آزمایشی پروتکل رمزگذاری IP نرم افزار (swIPe) در SunOS تحقیق کردند.
- در سال ۱۹۹۳ ، با پشتیبانی پروژه خدمات اینترنتی وایت هاوس ، وی زو در سیستم های اطلاعاتی معتمد (TIS) بیشتر در مورد پروتکل های امنیتی IP نرم افزار تحقیق کرد و پشتیبانی سخت افزاری استاندارد رمزگذاری داده DES سه گانه را که در هسته BSD 4.1 کدگذاری شده بود ، توسعه داد. و از معماری x86 و SUNOS پشتیبانی می کند. تا دسامبر ۱۹۹۴ ،TIS محصول Gauntlet Firewall منبع باز مورد حمایت DARPA خود را با رمزگذاری سخت افزار ۳DES با سرعت بیش از T1 پشتیبانی کرد. این اولین بار با استفاده از اتصالات IPSec VPN بین سواحل شرقی و غربی ایالات بود که به عنوان اولین محصول تجاری IPSec VPN شناخته می شود.
- تحت تلاش تحقیقاتی NRL توسط بودجه IETF ، DARPA مشخصات پیگیری استانداردهای RFC 1825 تا RFC 1827 را برای IPsec توسعه داد که در هسته BSD 4.4 کدگذاری شده بود و از هر دو پردازنده x86 و SPARC پشتیبانی می کرد. پیاده سازی IPsec NRL در مقاله آنها در مجموعه مقالات کنفرانس USENIX 1996 شرح داده شد. NRL باز است-پیاده سازی منبع IPsec توسط MIT به صورت آنلاین در دسترس قرار گرفت و پایه ای برای بیشترین پیاده سازی های تجاری اولیه شد
معماری امنیتی IPsec
IPsec یک استاندارد باز به عنوان بخشی از مجموعه IPv4 است. IPsec برای انجام عملکردهای مختلف از پروتکل های زیر استفاده می کند:- سرصفحه های تأیید اعتبار (AH) یکپارچگی داده های بدون اتصال و احراز هویت منبع داده ها را برای داده های IP فراهم می کند و از حملات تکرار محافظت می کند.
- کپسوله سازی بارهای امنیتی (ESP) محرمانه بودن ، یکپارچگی داده های بدون اتصال ، احراز هویت منبع داده ، سرویس ضد پخش (نوعی از یکپارچگی توالی جزئی) و محرمانه بودن جریان ترافیک را فراهم می کند.
- انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP) چارچوبی برای احراز هویت و تبادل کلید فراهم می کند ، با مواد کلید دار معتبر واقعی یا با پیکربندی دستی با کلیدهای از قبل به اشتراک گذاشته شده ، تبادل کلید اینترنتی (IKE و IKEv2) ، مذاکره اینترنتی با اینترنت از کلیدها (KINK) یا سوابق IPSECKEY DNS. هدف تولید انجمن های امنیتی (SA) با مجموعه ای از الگوریتم ها و پارامترهای لازم برای عملیات AH و / یا ESP است.