دانلود رایگان ترجمه مقاله نمای کلی طراحی IPsec VPN WAN (سال ۲۰۰۶)

مبتدی (مناسب برای درک مفهوم کلی مطلب) 

طراحی P2P GRE بر روی IPsec هر سه ویژگی که در پاراگراف قبلی شرح داده شده است را امکان‌پذیر می‌کند، درحالی‌که طراحی DMVPN یا طراحی VTI تنها الزامات پروتکل مسیریابی IGP و IP multicast را اجرا می‌کنند.
سایر پروتکل‌های تونل‌زنی ممکن شامل موارد زیر هستند:
• لایه امنیت سوکت/ امنیت لایه انتقال (SSL / TLS)
• VPN (WebVPN)
• پروتکل تونل‌زنی نقطه به نقطه (PPTP)
• لایه دوم پروتکل تونل‌زنی (L2TP)
این پروتکل‌ها بر اساس اتصالات VPN کاربر یا سرویس‌گیرنده به دروازه هستند که معمولا با نام راه‌حل‌های دسترسی از راه دور شناخته می‌شوند و در این راه‌حل اجرا نمی‌شوند.

پروتکل‌های IPsec
بخش‌های زیر دو پروتکل IP مورد استفاده در استاندارد IPsec را شرح می‌دهند: ESP و AH.

بسته شدن پروتکل امنیتی
هدر ESP (IP پروتکل ۵۰) هسته پروتکل IPsec را تشکیل می‌دهد. این پروتکل، در رابطه با یک مجموعه توافق شده از پارامترهای امنیتی یا مجموعه انتقال، داده‌ها را با شناسایی آنها محافظت می‌کند. این پروتکل تنها بخش داده‌های بسته را رمزگذاری می‌کند و از دیگر محافظت‌ها (HMAC) برای دیگر حفاظت‌ها (یکپارچگی اطلاعات، ضد پاسخ، man-in-the-middle) استفاده می‌کند. به صورت اختیاری می‌توان آن را برای احراز هویت داده‌های محافظت شده نیز ارائه کرد. شکل ۴ نشان می‌دهد که چگونه ESP یک بسته IP را محصور می‌کند.

سرصفحه تایید (AH)
پروتکل AH (IP پروتکل ۵۱) بخش دیگری از IPsec را تشکیل می‌دهد. AH اطلاعات را در فایل با پنهان کردن داده‌ها به‌صورت معمول رمزگذاری نمی‌کند، اما یک مهر و موم مشخص به داده‌ها اضافه می‌کند. همچنین از زمینه‌های غیر قابل تغییر در هدر IP حمل داده‌ها محافظت می‌کند، که شامل هدر IP است. پروتکل AH در صورتی که نیاز به محرمانه بودن اطلاعات باشد نباید به تنهایی مورد استفاده قرار گیرد. شکل ۵ نشان می‌دهد که چگونه AH یک بسته IP را کپسوله می‌کند.

استفاده همزمان از ESP و AH
امکان استفاده همزمان از ESP و AH در انجمن امنیتی IPsec (SA) یکسان وجود دارد. ESP شامل احراز هویت یکسانی به عنوان AH است وهمچنین رمزگذاری و حفاظت از داده‌ها را فراهم می‌کند. فقط استفاده از ESP در معماری توصیف شده در این راهنما نشان داده شده است.

حالت‌های IPsec
IPsec دو حالت زیر را برای ارسال داده در یک شبکه دارد:
• حالت تونل
• حالت حمل و نقل
عملکرد هر کدام بنا به مقدار سربار اضافه شده به بسته متفاوت است. این حالت‌ها در دو بخش بعدی با جزئیات شرح داده می‌شود.

حالت تونل
حالت تونل با بسته‌بندی و حفاظت از کل بسته IP عمل می‌کند. از آنجا که حالت تونل هدر IP بسته را قبل از رمزگذاری پنهان می‌کند، هدر جدید IP اضافه می‌شود به طوری که بسته با موفقیت ارسال شود. دستگاه‌های رمزنگاری خودشان IP مورد استفاده در هدر جدید را مشخص می‌کنند. این آدرس‌ها را می‌توان در پیکربندی روترهای IOS سیسکو مشخص کرد. حالت تونل می‌تواند با هر یک یا هر دو پروتکل IPsec (ESP و AH) استفاده شود. حالت تونل در نتیجه گسترش بسته به دلیل هدر IP جدید حدود ۲۰ بایت است. حالت تونل به طور گسترده‌ای امن‌تر و انعطاف‌پذیرتر از حالت حمل و نقل است. حالت تونل IPsec منبع و آدرس‌های IP مقصد در بسته اصلی را رمزگذاری می‌کند و اطلاعات را از شبکه محافظت نشده پنهان می‌کند. این مورد به جلوگیری از حملات مهندسی اجتماعی کمک می‌کند.
شکل ۶ گسترش بسته‌های IP را نشان می‌دهد.

حالت حمل و نقل
حالت حمل و نقل IPsec با قرار دادن سرصفحه ESP یا AH بین هدر IP و پروتکل بعدی یا لایه انتقال بسته کار می‌کند. هر دو IP دو گره از شبکه را نشان می‌دهند که ترافیک آنها توسط IPsec در هدر IP بسته که پس از رمزگذاری قابل مشاهده است محافظت می‌شود. این حالت IPsec می‌تواند حساس به حملات تجزیه و تحلیل ترافیک باشد. بااین حال، چرا هیچ هدر IP اضافی اضافه نشده است، زیرا نتیجه این مورد انبساط بسته را کاهش می‌دهد. حالت حمل و نقل را می‌‎توان با یک یا هر دو ESP و AH اعمال کرد. حالت حمل و نقل را می‌توان با P2P GRE بر روی IPsec استفاده کرد، زیرا این طراحی آدرس انتهایی را با اضافه کردن سرصفحه IP خود پنهان می‌کند. اگر آدرس IP منبع یا آدرس IP مقصد آدرس سازگار RFC 1918 باشد، بسته نمی‌تواند در اینترنت عمومی منتقل شود، و این آدرس‌ها نمی‌توانند یک آدرس شبکه (NAT) یا پورت آدرس ترجمه (PAT) را بدون عدم اعتبار HMAC بسته رمزنگاری انتقال دهند.
شکل ۷ گسترش بسته‌های IP را نشان می‌دهد.

تبادل کلید اینترنت
برای پیاده‌سازی یک راه حل VPN با رمزگذاری، تغییر دوره‌ای کلید رمزگذاری جلسه ضروری است. عدم تغییر این کلید باعث می‌شود که VPN به حملات رمزگشایی شدید دست یابد. IPsec مشکل را با پروتکل IKE حل می‌کند که از دو پروتکل دیگر برای احراز هویت یک peer و برای تولید کلیدها استفاده می‌کند. IKE از یک الگوریتم ریاضی به نام مبادله دیفی-هلمن برای تولید کلید‌های جلسه متقارن استفاده می‌کند که توسط دو نفر از همتایان رمزنگاری استفاده شده‌ است. همچنین IKE مذاکره را مانند پارامترهای امنیتی نظیر اطلاعات محافظت شده، قدرت کلیدها، روش‌های هش استفاده شده و این که آیا بسته‌ها از ضد پاسخ محافظت می‌شوند، مدیریت می‌کند. ISAKMP معمولا از پورت ۵۰۰ پورت UDP به عنوان هر دو پورت منبع و مقصد استفاده می‌کند.
انجمن امنیتی
یک انجمن امنیتی (SA) یک توافق دو طرفه درگیر در مبادله رمزنگاری است. این توافق شامل نوع و قدرت الگوریتم رمزنگاری مورد استفاده برای حفاظت از داده‌ها است. SA شامل روش و قدرت احراز هویت داده‌ها و روش ایجاد کلیدهای جدید برای حفاظت از داده‌ها است. همتایان رمزنگاری در بخش زیر شرح داده شده اند.
هر SA دارای یک مقدار طول عمر است تا یک SA معتبر در نظر گرفته شده است. مقدار طول عمر با هر دو معیار زمان (ثانیه) و حجم (تعداد بایت) اندازه‌گیری می‌شود و در ایجاد SA مورد مذاکره است. این دو طول عمر مقایسه می‌شوند و توافق بر روی پایین‌ترین مقدار صورت می‌گیرد. تحت شرایط عادی، مقدار طول عمر از طریق زمان قبل از محدودیت حجم، منقضی می‌شود. بنابراین، اگر یک بسته جالب در ۱۲۰ ثانيه آخر عمر مقدار يک SA فعال با SA منطبق باشد، فرآيند بازيابي رمزگشايي به طور معمول فراخوانده می‌شود تا فرآیند کلید رمزنگاری دیگری برای یک SA فعال قبل از حذف SA موجود ایجاد کند. این نتیجه، یک انتقال صاف با حداقل دستکاری بسته به SA جدید است.

انجمن امنیتی ISAKMP
ISAKMP SAیک کانال مذاکره امن دوطرفه است که توسط همتایان رمزنگاری برای ارتباطات پارامترهای مهم امنیتی با یکدیگر، مانند پارامترهای امنیتی IPsec(تونل داده) استفاده می‌شود.
در IOS سیسکو، سیاست ISAKMP SA طول عمر پیش فرض ۸۶،۴۰۰ ثانیه بدون محدودیت حجم دارد.

انجمن امنیت IPsec (تونل داده)
IPsec SA یک کانال ارتباطی یک طرفه بین یک peer با دیگری است. اطلاعات واقعی مشتری فقط یک IPsec SA است و هرگز بیش از ISAKMP SA نمی‌تواند باشد. هر طرف تونل IPsec یک جفت IPsec SA برای هر اتصال دارد یکی از راه دور، یکی برای راه دور. این جفت اطلاعات IPsec SA به صورت محلی در پایگاه داده SA ذخیره می‌شوند.
در IOS سیسکو، سیاست IPsec SA طول عمر پیش فرض ۳۶۰۰ ثانیه با ۴،۶۰۸،۰۰۰ کیلوبایت محدودیت حجم دارد.