درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

امنیت در IPsec و IKEv2

0 نظرات

به نام خدا


امنیت در VPN


رمزگذاری اطلاعات

داده‌های بین کلاینت و سرور همگی رمزگذاری می‌شوند تا از دسترسی به محتوای اصلی توسط فرد سوم در بین راه جلوگیری شود. علاوه بر این، اطلاعات با چکسام‌هایی علامت گذاری می‌شوند تا اگر در بین راه اطلاعات توسط فرد سومی جهت تخریب تغییر داده شوند، مقصد از آن مطلع شود. یعنی به اطلاعات قابلیت محرمانگی و یکپارچگی را می‌دهد.البته باید توجه داشته باشید که این رمزگذاری برای بین مسیر می باشد و برای امنیت دو سر ارتباط هم باید چاره اندیشیده باشیم.

VPN Tunneling
تونلینگ (Tunneling) روشی است که در آن می‌توانیم از پروتکل‌ها و الگوریتم های رمزگذاری که اغلب روی بستر اینترنت پشتیبانی نمی‌شوند، استفاده کنیم. برای مثال با استفاده از تونل زنی می‌توانیم از پروتکل اینترنت (Internet Protocol IP) استفاده کنیم تا پروتکل دیگری را به عنوان بخش داده در بسته‌های IP ارسال کنیم.


از پروتکل های VPN می توانیم به IPSec و IKEv2 اشاره کنیم.که با توجه به گستردگی پشتیبانی از پروتکل های رمزگذاری و صحت داده گذینه مناسبی برای ایجاد ارتباط VPN می باشد.
Ikev2 other vpn


IPSec و IKEv2 :

Ipsec و یا Internet Protocol Security یک پروتکل برای امن کردن پرتکل IP در انتقال داده و ارتباطات است یا به عبارت ساده تر امن کردن بستر اینترنت برای استفاده.این پروتکل برای عملی کردن این کار از بررسی صحت ارتباط در مقصد و همچنین رمزگذاری روی هر قطعه از داده، در زمان برقرار شدن ارتباط استفاده می کند.

بر قراری ارتباط در این نوع پروتکل ها در سه مرحله ایجاد می شود.در هر مرحله ما تعریف می کنیم که: به کجا و با چه نوع VPN پروتکلی و چه سیاستی و چه الگوریتمی از رمزگذاری می خواهیم ارتباط برقرار شود.
-Peer(Phase1) تعریف مرحله اول شناسایی و دست به دست شدن 2 سر ارتباط در محیط امن
-Policy(Phase2) ایجاد بستر تبادل داده و سیاست دسترسی به منابع و تعریف به عبارتی Routing
-Proposal(Transformer set) تعریف پروتکل ها و الگوریتم های رمزنگاری و تعریف زمان تغییر کد رمز در بازه های زمانی.

محاسن IPsec : از اکثر پروتکل های VPN خیلی قوی تر است.امکان انجام تنظیمات پیشرفته.پشتیبانی در اقلب دستگاهها.استفاده از انواع رمزگذاری های پیشرفته

IKEv2 ویا Internet Key Exchange version 2 نسل دوم استاندارد برای امن کردن ارتباطات بین تجهیزات است. IKEv2 بر پایه IPsec-base-tunneling protocol ارتباط امن را ایجاد می کند.یکی از مهمترین قابلیت IKEv2 برقراری ارتباط پیوسته در زمان تغیر بستر از سیمی به وایرلس و یا اینترنت مبایلی است.این کار با قابلیت ارتباط مجدد بسیار سریع فراهم می شود،در صورتی که این امر در L2TP/IPSec با نقصان روبروست.

محاسن IKEv2 : تنظیمات ساده . قابلیت اتصل مجدد سریع، پایداری، سرعت بیشتر ،پشتیبانی در اقلب دستگاه ها.
IKEv2 Strongswan با MOBIKE امکان اتصال دائم یه شبکه خصوصی روی گوشی مبایل بدون اینکه مصرف باتری و مصرف منابع گوشی اضافه ای ایجاد کند را فراهم می کند.این قابلیت به کاربرانی که روی مبایل در ارتباط VPN در سه حال سیمی و یا وایرلس و یا اینترنت مبایل استفاده میکنند اجازه می دهد بدون فقفه به ارتباط VPN بازگردند.
IKEv2 به نسبت PPTP, L2TP/IPSec and SSTP سربار کمتری دارد ،بدون کم کردن قابلیت های امنیتی.
امکان ایجاد 20000 تونل همزمان روی VPN سرور های صنعتی
IKEv2 در دو مد Transport و Tunnel پیاده سازی می شود.
Transport Mode : از این مد بیشتر برای ارتباط End-To-End استفاده می شود.Server To Clinet
از مد Transport برای استفاده در ارتباط Site to site زمانیکه با یک پروتکل دیگر میخواهیم ترکیب کنیم هم استفاده می شود.مثلا L2TPو یا IPIPو....
حسن این مد در هنگام ترکیب با پروتکل های دیگر این است که امکان استفاده از Dynamic Routing را برای ما فراهم می کند.
Tunnel Mode : از این مد بیشتر برای ارتباط Gateway-To-Gateway استفاده می شود Router To Router
حسن این مد استفاده کمتر از منابع Router است.
ikev2 supported platform


در جدول زیر لیست الگوریتم ها رمز نگاری و تایید صحت و احراز هویت را می توانیم مشاهده کنید:
لیست الگوریتم های رمز نگاری


لیست مخفف برخی کلمات در رمزگذاری:

AES Advanced Encryption Standard
CA Certification Authority
CBC Cipher Block Chaining mode
CFB Cipher Feedback mode
CKMS Cryptographic Key Management System.
CP Certificate Policy.
CPS Certification Practice Statement.
CRL Certificate Revocation List.
CTR Counter mode
DES Data Encryption Standard
DH Diffie-Hellman algorithm.
DSA Digital Signature Algorithm
ECB Electronic Codebook mode
ECDSA Elliptic Curve Digital Signature Algorithm
FIPS Federal Information Processing Standard
HMAC Keyed-Hash Message Authentication Code
IPSEC Internet Protocol Security.
PKI Public Key Infrastructure
RA Registration Authority
RSA Rivest, Shamir and Adleman
SHA Secure Hash Algorithm
SP Special Publication
SSH Secure Shell protocol.
TDEA Triple Data Encryption Algorithm; specified in
TLS Transport Layer Security


چند توصیه در پیاده سازی IPsec VPN:
بدون رمزگذاری پیاده سازی نکنید
هم از قابلیت احراز هویت (پیشنهاد esp-sha256-hmac است) و هم از رمزگذاری (پیشنهاد esp-aes است) استفاده کنید

چند توصیه در پیاده سازی IKE VPN
از IKE Group های غیر از 1 و 2 و 5 استفاده کنید .
از IKE Group های 15 و16 و17 در صورت امکان استفاده کنید
از AES برای رمزگذاری استفاده کنید.
IKE

دو پارامتر در هنگام برقراری ارتباط تعیین کننده هستند
یکی ارگوریتم رمزگذاری و دیگری الکوریتم Hash
IKE phase

نکته: برای برقراری ارتباط ،رمز شده و برسی صحت داده، در دو سر ارتباط باید یکسان پشتیبانی شود و یا به عبارتی هر دو سر ارتباط تنظیمات یکسانی از جهت انتخاب پروتکل رمزگذاری و تایید صحت داده، برخوردار باشند.

ادامه....



برچسب ها
ردیف عنوان قیمت
1 مروری بر انواع ارتباطات VPN رایگان
2 امنیت در IPsec و IKEv2 رایگان
3 برقراری ارتباط Site-To-Site با پروتکل IKEv2 روی میکروتیک رایگان
نظرات
هیچ نظری ارسال نشده است

برای ارسال نظر ابتدا به سایت وارد شوید

arrow