تفاوت امنیت IPSec و IKEv2 از نظر امنیت در چیست؟

تفاوت پروتکل IPSec و IKEv2 در Tunneling از نظر امنیت در چیست؟ امنیت IPSec بیشتر است یا IKEv2 ؟ داده‌های بین کلاینت و سرور همگی رمزگذاری می‌شوند تا از دسترسی به محتوای اصلی توسط فرد سوم در بین راه جلوگیری شود. علاوه بر این، اطلاعات با چکسام‌هایی علامت گذاری می‌شوند تا اگر در بین راه اطلاعات توسط فرد سومی جهت تخریب تغییر داده شوند، مقصد از آن مطلع شود. یعنی به اطلاعات قابلیت محرمانگی و یکپارچگی را می‌دهد.البته باید توجه داشته باشید که این رمزگذاری برای بین مسیر می باشد و برای امنیت دو سر ارتباط هم باید چاره اندیشیده باشیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

VPN Tunneling

تونلینگ (Tunneling) روشی است که در آن می‌توانیم از پروتکل‌ها و الگوریتم های رمزگذاری که اغلب روی بستر اینترنت پشتیبانی نمی‌شوند، استفاده کنیم. برای مثال با استفاده از تونل زنی می‌توانیم از پروتکل اینترنت (Internet Protocol IP) استفاده کنیم تا پروتکل دیگری را به عنوان بخش داده در بسته‌های IP ارسال کنیم.از پروتکل های VPN می توانیم به IPSec و IKEv2 اشاره کنیم.که با توجه به گستردگی پشتیبانی از پروتکل های رمزگذاری و صحت داده گذینه مناسبی برای ایجاد ارتباط VPN می باشد.

Ikev2 other vpn

IPSec و IKEv2

Ipsec و یا Internet Protocol Security یک پروتکل برای امن کردن پرتکل IP در انتقال داده و ارتباطات است یا به عبارت ساده تر امن کردن بستر اینترنت برای استفاده.این پروتکل برای عملی کردن این کار از بررسی صحت ارتباط در مقصد و همچنین رمزگذاری روی هر قطعه از داده، در زمان برقرار شدن ارتباط استفاده می کند.بر قراری ارتباط در این نوع پروتکل ها در سه مرحله ایجاد می شود.در هر مرحله ما تعریف می کنیم که: به کجا و با چه نوع VPN پروتکلی و چه سیاستی و چه الگوریتمی از رمزگذاری می خواهیم ارتباط برقرار شود.

  • Peer(Phase1) تعریف مرحله اول شناسایی و دست به دست شدن 2 سر ارتباط در محیط امن
  • Policy(Phase2) ایجاد بستر تبادل داده و سیاست دسترسی به منابع و تعریف به عبارتی Routing
  • Proposal(Transformer set) تعریف پروتکل ها و الگوریتم های رمزنگاری و تعریف زمان تغییر کد رمز در بازه های زمانی.

محاسن IPsec : از اکثر پروتکل های VPN خیلی قوی تر است.امکان انجام تنظیمات پیشرفته.پشتیبانی در اقلب دستگاهها.استفاده از انواع رمزگذاری های پیشرفته

IKEv2 ویا Internet Key Exchange version 2 نسل دوم استاندارد برای امن کردن ارتباطات بین تجهیزات است. IKEv2 بر پایه IPsec-base-tunneling protocol ارتباط امن را ایجاد می کند.یکی از مهمترین قابلیت IKEv2 برقراری ارتباط پیوسته در زمان تغیر بستر از سیمی به وایرلس و یا اینترنت مبایلی است.این کار با قابلیت ارتباط مجدد بسیار سریع فراهم می شود،در صورتی که این امر در L2TP/IPSec با نقصان روبروست.

  • محاسن IKEv2 : تنظیمات ساده . قابلیت اتصل مجدد سریع، پایداری، سرعت بیشتر ،پشتیبانی در اقلب دستگاه ها.

IKEv2 Strongswan با MOBIKE امکان اتصال دائم یه شبکه خصوصی روی گوشی مبایل بدون اینکه مصرف باتری و مصرف منابع گوشی اضافه ای ایجاد کند را فراهم می کند.این قابلیت به کاربرانی که روی مبایل در ارتباط VPN در سه حال سیمی و یا وایرلس و یا اینترنت مبایل استفاده میکنند اجازه می دهد بدون فقفه به ارتباط VPN بازگردند.IKEv2 به نسبت PPTP, L2TP/IPSec and SSTP سربار کمتری دارد ،بدون کم کردن قابلیت های امنیتی.امکان ایجاد 20000 تونل همزمان روی VPN سرور های صنعتی T IKEv2 در دو مد Transport و Tunnel پیاده سازی می شود.

Transport Mode : از این مد بیشتر برای ارتباط End-To-End استفاده می شود.Server To Clinet از مد Transport برای استفاده در ارتباط Site to site زمانیکه با یک پروتکل دیگر میخواهیم ترکیب کنیم هم استفاده می شود.مثلا L2TPو یا IPIPو.... حسن این مد در هنگام ترکیب با پروتکل های دیگر این است که امکان استفاده از Dynamic Routing را برای ما فراهم می کند.Tunnel Mode : از این مد بیشتر برای ارتباط Gateway-To-Gateway استفاده می شود Router To Router حسن این مد استفاده کمتر از منابع Router است.

ikev2 supported platform

در جدول زیر لیست الگوریتم ها رمز نگاری و تایید صحت و احراز هویت را می توانیم مشاهده کنید:

لیست الگوریتم های رمز نگاری

لیست مخفف برخی کلمات در رمزگذاری:

  • AES Advanced Encryption Standard
  • CA Certification Authority
  • CBC Cipher Block Chaining mode
  • CFB Cipher Feedback mode
  • CKMS Cryptographic Key Management System.
  • CP Certificate Policy.
  • CPS Certification Practice Statement.
  • CRL Certificate Revocation List.
  • CTR Counter mode
  • DES Data Encryption Standard
  • DH Diffie-Hellman algorithm.
  • DSA Digital Signature Algorithm
  • ECB Electronic Codebook mode
  • ECDSA Elliptic Curve Digital Signature Algorithm
  • FIPS Federal Information Processing Standard
  • HMAC Keyed-Hash Message Authentication Code
  • IPSEC Internet Protocol Security.
  • PKI Public Key Infrastructure
  • RA Registration Authority
  • RSA Rivest, Shamir and Adleman
  • SHA Secure Hash Algorithm
  • SP Special Publication
  • SSH Secure Shell protocol.
  • TDEA Triple Data Encryption Algorithm; specified in
  • TLS Transport Layer Security

چند توصیه در پیاده سازی IPsec VPN:

بدون رمزگذاری پیاده سازی نکنید

هم از قابلیت احراز هویت (پیشنهاد esp-sha256-hmac است) و هم از رمزگذاری (پیشنهاد esp-aes است) استفاده کنید

چند توصیه در پیاده سازی IKE VPN

از IKE Group های غیر از 1 و 2 و 5 استفاده کنید .از IKE Group های 15 و16 و17 در صورت امکان استفاده کنید. از AES برای رمزگذاری استفاده کنید.

IKE

دو پارامتر در هنگام برقراری ارتباط تعیین کننده هستند

یکی ارگوریتم رمزگذاری و دیگری الکوریتم Hash

IKE phase

نکته: برای برقراری ارتباط ،رمز شده و برسی صحت داده، در دو سر ارتباط باید یکسان پشتیبانی شود و یا به عبارتی هر دو سر ارتباط تنظیمات یکسانی از جهت انتخاب پروتکل رمزگذاری و تایید صحت داده، برخوردار باشند.ادامه....


نظرات