در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

امنیت در IPsec و IKEv2

به نام خدا

امنیت در VPN

رمزگذاری اطلاعات

داده‌های بین کلاینت و سرور همگی رمزگذاری می‌شوند تا از دسترسی به محتوای اصلی توسط فرد سوم در بین راه جلوگیری شود. علاوه بر این، اطلاعات با چکسام‌هایی علامت گذاری می‌شوند تا اگر در بین راه اطلاعات توسط فرد سومی جهت تخریب تغییر داده شوند، مقصد از آن مطلع شود. یعنی به اطلاعات قابلیت محرمانگی و یکپارچگی را می‌دهد.البته باید توجه داشته باشید که این رمزگذاری برای بین مسیر می باشد و برای امنیت دو سر ارتباط هم باید چاره اندیشیده باشیم.

VPN Tunneling

تونلینگ (Tunneling) روشی است که در آن می‌توانیم از پروتکل‌ها و الگوریتم های رمزگذاری که اغلب روی بستر اینترنت پشتیبانی نمی‌شوند، استفاده کنیم. برای مثال با استفاده از تونل زنی می‌توانیم از پروتکل اینترنت (Internet Protocol IP) استفاده کنیم تا پروتکل دیگری را به عنوان بخش داده در بسته‌های IP ارسال کنیم.


از پروتکل های VPN می توانیم به IPSec و IKEv2 اشاره کنیم.که با توجه به گستردگی پشتیبانی از پروتکل های رمزگذاری و صحت داده گذینه مناسبی برای ایجاد ارتباط VPN می باشد.

Ikev2 other vpn

IPSec و IKEv2 :

Ipsec و یا Internet Protocol Security یک پروتکل برای امن کردن پرتکل IP در انتقال داده و ارتباطات است یا به عبارت ساده تر امن کردن بستر اینترنت برای استفاده.این پروتکل برای عملی کردن این کار از بررسی صحت ارتباط در مقصد و همچنین رمزگذاری روی هر قطعه از داده، در زمان برقرار شدن ارتباط استفاده می کند.

بر قراری ارتباط در این نوع پروتکل ها در سه مرحله ایجاد می شود.در هر مرحله ما تعریف می کنیم که: به کجا و با چه نوع VPN پروتکلی و چه سیاستی و چه الگوریتمی از رمزگذاری می خواهیم ارتباط برقرار شود.

-Peer(Phase1) تعریف مرحله اول شناسایی و دست به دست شدن 2 سر ارتباط در محیط امن

-Policy(Phase2) ایجاد بستر تبادل داده و سیاست دسترسی به منابع و تعریف به عبارتی Routing

-Proposal(Transformer set) تعریف پروتکل ها و الگوریتم های رمزنگاری و تعریف زمان تغییر کد رمز در بازه های زمانی.

محاسن IPsec : از اکثر پروتکل های VPN خیلی قوی تر است.امکان انجام تنظیمات پیشرفته.پشتیبانی در اقلب دستگاهها.استفاده از انواع رمزگذاری های پیشرفته

IKEv2 ویا Internet Key Exchange version 2 نسل دوم استاندارد برای امن کردن ارتباطات بین تجهیزات است. IKEv2 بر پایه IPsec-base-tunneling protocol ارتباط امن را ایجاد می کند.یکی از مهمترین قابلیت IKEv2 برقراری ارتباط پیوسته در زمان تغیر بستر از سیمی به وایرلس و یا اینترنت مبایلی است.این کار با قابلیت ارتباط مجدد بسیار سریع فراهم می شود،در صورتی که این امر در L2TP/IPSec با نقصان روبروست.

محاسن IKEv2 : تنظیمات ساده . قابلیت اتصل مجدد سریع، پایداری، سرعت بیشتر ،پشتیبانی در اقلب دستگاه ها.

IKEv2 Strongswan با MOBIKE امکان اتصال دائم یه شبکه خصوصی روی گوشی مبایل بدون اینکه مصرف باتری و مصرف منابع گوشی اضافه ای ایجاد کند را فراهم می کند.این قابلیت به کاربرانی که روی مبایل در ارتباط VPN در سه حال سیمی و یا وایرلس و یا اینترنت مبایل استفاده میکنند اجازه می دهد بدون فقفه به ارتباط VPN بازگردند.

IKEv2 به نسبت PPTP, L2TP/IPSec and SSTP سربار کمتری دارد ،بدون کم کردن قابلیت های امنیتی.

امکان ایجاد 20000 تونل همزمان روی VPN سرور های صنعتی

IKEv2 در دو مد Transport و Tunnel پیاده سازی می شود.

Transport Mode : از این مد بیشتر برای ارتباط End-To-End استفاده می شود.Server To Clinet

از مد Transport برای استفاده در ارتباط Site to site زمانیکه با یک پروتکل دیگر میخواهیم ترکیب کنیم هم استفاده می شود.مثلا L2TPو یا IPIPو....

حسن این مد در هنگام ترکیب با پروتکل های دیگر این است که امکان استفاده از Dynamic Routing را برای ما فراهم می کند.

Tunnel Mode : از این مد بیشتر برای ارتباط Gateway-To-Gateway استفاده می شود Router To Router

حسن این مد استفاده کمتر از منابع Router است.

ikev2 supported platform

در جدول زیر لیست الگوریتم ها رمز نگاری و تایید صحت و احراز هویت را می توانیم مشاهده کنید:

لیست الگوریتم های رمز نگاری

لیست مخفف برخی کلمات در رمزگذاری:

AES Advanced Encryption Standard

CA Certification Authority

CBC Cipher Block Chaining mode

CFB Cipher Feedback mode

CKMS Cryptographic Key Management System.

CP Certificate Policy.

CPS Certification Practice Statement.

CRL Certificate Revocation List.

CTR Counter mode

DES Data Encryption Standard

DH Diffie-Hellman algorithm.

DSA Digital Signature Algorithm

ECB Electronic Codebook mode

ECDSA Elliptic Curve Digital Signature Algorithm

FIPS Federal Information Processing Standard

HMAC Keyed-Hash Message Authentication Code

IPSEC Internet Protocol Security.

PKI Public Key Infrastructure

RA Registration Authority

RSA Rivest, Shamir and Adleman

SHA Secure Hash Algorithm

SP Special Publication

SSH Secure Shell protocol.

TDEA Triple Data Encryption Algorithm; specified in

TLS Transport Layer Security

چند توصیه در پیاده سازی IPsec VPN:

بدون رمزگذاری پیاده سازی نکنید

هم از قابلیت احراز هویت (پیشنهاد esp-sha256-hmac است) و هم از رمزگذاری (پیشنهاد esp-aes است) استفاده کنید

چند توصیه در پیاده سازی IKE VPN

از IKE Group های غیر از 1 و 2 و 5 استفاده کنید .

از IKE Group های 15 و16 و17 در صورت امکان استفاده کنید

از AES برای رمزگذاری استفاده کنید.

IKE

دو پارامتر در هنگام برقراری ارتباط تعیین کننده هستند

یکی ارگوریتم رمزگذاری و دیگری الکوریتم Hash

IKE phase

نکته: برای برقراری ارتباط ،رمز شده و برسی صحت داده، در دو سر ارتباط باید یکسان پشتیبانی شود و یا به عبارتی هر دو سر ارتباط تنظیمات یکسانی از جهت انتخاب پروتکل رمزگذاری و تایید صحت داده، برخوردار باشند.

ادامه....

#رمزگذاری #امنیت #پروتکل_های_احراز_هویت
عنوان
1 مروری بر انواع ارتباطات VPN رایگان
2 امنیت در IPsec و IKEv2 رایگان
3 برقراری ارتباط Site-To-Site با پروتکل IKEv2 روی میکروتیک رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....