ما هو IPSEC؟ - شرح أمان بروتوكول الإنترنت

IPsec عبارة عن مجموعة من البروتوكولات المستخدمة معًا لإعداد اتصالات مشفرة بين الأجهزة. يساعد في الحفاظ على البيانات المرسلة عبر الشبكات العامة آمنة.

يعرّف IPsec في الأصل بروتوكولين لتأمين حزم IP: رأس المصادقة (AH) وتغليف حمولة الأمان (ESP). يوفر الأول سلامة البيانات وخدمات مكافحة إعادة التشغيل ، بينما يقوم الأخير بتشفير البيانات والمصادقة عليها.

ما هو IPSEC؟

في عالم الشبكات الافتراضية الخاصة VPN ، يوجد عادةً نوعان يمكن للمؤسسة الاختيار من بينهما ... IPSEC أو OpenSSL. على الرغم من انتقال العديد من الأشخاص إلى وضع OpenSSL نظرًا لسهولة النشر النسبية الجديدة ، لا تزال هناك شركات تقوم بنشر الشبكات الظاهرية الخاصة القائمة على IPSEC بسبب طبقات الأمان الإضافية التي توفرها والتي لا تتوفر في شبكات VPN المستندة إلى OpenSSL.

IPsec عبارة عن مجموعة من البروتوكولات المستخدمة معًا لإعداد اتصالات مشفرة بين الأجهزة. يساعد في الحفاظ على البيانات المرسلة عبر الشبكات العامة آمنة. غالبًا ما يتم استخدام IPsec لإعداد شبكات VPN ، وهو يعمل عن طريق تشفير حزم IP ، جنبًا إلى جنب مع مصادقة المصدر الذي تأتي منه الحزم.

ضمن المصطلح "IPsec" ، تشير "IP" إلى "بروتوكول الإنترنت" و "ثانية" تعني "آمن". بروتوكول الإنترنت هو بروتوكول التوجيه الرئيسي المستخدم على الإنترنت ؛ يحدد أين ستذهب البيانات باستخدام عناوين IP. IPsec آمن لأنه يضيف التشفير * والمصادقة إلى هذه العملية.

* التشفير هو عملية إخفاء المعلومات عن طريق تعديل البيانات رياضيًا بحيث تظهر عشوائية. بعبارات أبسط ، التشفير هو استخدام "رمز سري" لا يمكن تفسيره إلا من قبل الأطراف المصرح لهم.

كيف يعمل IPsec؟

تتضمن اتصالات IPsec الخطوات التالية:

تبادل المفاتيح: المفاتيح ضرورية للتشفير؛ المفتاح عبارة عن سلسلة من الأحرف العشوائية التي يمكن استخدامها "لقفل" (تشفير) و "إلغاء تأمين" (فك تشفير) الرسائل. يقوم IPsec بإعداد المفاتيح مع تبادل المفاتيح بين الأجهزة المتصلة ، بحيث يمكن لكل جهاز فك تشفير رسائل الجهاز الآخر.

رؤوس الحزم والمقاطع الدعائية: يتم تقسيم جميع البيانات التي يتم إرسالها عبر الشبكة إلى أجزاء أصغر تسمى الحزم. تحتوي الحزم على حمولة أو بيانات فعلية يتم إرسالها ورؤوس أو معلومات حول تلك البيانات حتى تعرف أجهزة الكمبيوتر التي تتلقى الحزم ما يجب فعله بها. يضيف IPsec عدة رؤوس إلى حزم البيانات التي تحتوي على معلومات المصادقة والتشفير. يضيف IPsec أيضًا مقطورات ، والتي تتبع حمولة كل حزمة بدلاً من قبل.

المصادقة: يوفر IPsec مصادقة لكل حزمة ، مثل ختم المصادقة على عنصر قابل للتحصيل. هذا يضمن أن الحزم من مصدر موثوق وليست مهاجمًا.

التشفير: تقوم IPsec بتشفير الحمولات داخل كل حزمة ورأس IP لكل حزمة (ما لم يتم استخدام وضع النقل بدلاً من وضع النفق - انظر أدناه). هذا يحافظ على البيانات المرسلة عبر IPsec آمنة وخاصة.

الإرسال: تنتقل حزم IPsec المشفرة عبر شبكة واحدة أو أكثر إلى وجهتها باستخدام بروتوكول النقل. في هذه المرحلة ، تختلف حركة مرور IPsec عن حركة مرور IP العادية من حيث أنها تستخدم UDP في أغلب الأحيان كبروتوكول نقل خاص بها ، بدلاً من TCP. يُنشئ بروتوكول التحكم في الإرسال TCP اتصالات مخصصة بين الأجهزة ويضمن وصول جميع الحزم. UDP ، بروتوكول مخطط بيانات المستخدم ، لا يقوم بإعداد هذه الاتصالات المخصصة. يستخدم IPsec بروتوكول UDP لأن هذا يسمح لحزم IPsec بالوصول عبر جدران الحماية.

فك التشفير: في الطرف الآخر من الاتصال ، يتم فك تشفير الحزم ، ويمكن للتطبيقات (مثل المتصفح) الآن استخدام البيانات التي تم تسليمها.

لماذا تختار IPSEC VPN بدلاً من OpenSSL؟

في حين أن الشبكات الافتراضية الخاصة القائمة على SSL (SSL-based VPNs) لديها مجموعة خاصة بها من ميزات وضع الأمان ، فإن شبكات VPN من IPSEC تأخذها إلى المستوى التالي وتوفر وسائل قوية لضمان أمان البيانات التي يتم نقلها والتي لا تتوفر في شبكات VPN المستندة إلى SSL.

ما الذي يمثله IPSEC وماذا يفعل؟

IPSEC لتقف على أمان IP. إنها مجموعة بروتوكولات قياسية لفريق هندسة الإنترنت (IETF) بين نقطتي اتصال عبر شبكة IP التي توفر مصادقة البيانات وسلامتها وسريتها. كما تحدد الحزم المشفرة والمفكوكة والمصادقة عليها. يتم تحديد بروتوكولات IPSEC اللازمة لتبادل المفاتيح الآمن وإدارة المفاتيح فيه.

ما هي المنافذ التي يعمل بها IPSEC؟

يجب فتح منفذ UDP 500 كما يجب فتح بروتوكولي IP 50 و 51. يجب فتح منفذ UDP 500 للسماح بإعادة توجيه ISAKMP عبر جدار الحماية بينما يسمح البروتوكولين 50 و 51 بإعادة توجيه حركة مرور ESP و AH على التوالي.

ما هو ISAKMP؟

ISAKMP تعني ارتباط أمان الإنترنت وبروتوكول إدارة المفاتيح. هذان مكونان رئيسيان لشبكة IPSEC VPN التي يجب أن تكون في مكانها حتى تعمل بشكل طبيعي وتحمي حركة المرور العامة التي يتم إعادة توجيهها بين العميل وخادم VPN أو خادم VPN إلى خادم VPN.

ما المقصود بـ ESP و AH؟

لا ، ESP ليس تصورًا فوق حسي! يرمز ESP إلى Encapsulating Security Protocol و AH لتقف على رأس المصادقة.

تغليف بروتوكول الأمان

يوفر ESP الحماية لبروتوكولات الطبقة العليا الجديدة ، مع منطقة موقعة تشير إلى مكان توقيع حزمة البيانات المحمية من أجل التكامل ، ومنطقة مشفرة تشير إلى المعلومات المحمية بسرية. ما لم تكن حزمة البيانات قيد الأنفاق ، فإن ESP يحمي فقط حمولة بيانات IP (ومن هنا جاء الاسم) ، وليس عنوان IP.

يمكن استخدام ESP لضمان السرية ، ومصادقة أصول البيانات ، والسلامة غير المتصلة ، ودرجة معينة من السرية على مستوى حركة المرور ، وخدمة منع إعادة التشغيل (شكل من أشكال تكامل التسلسل الجزئي الذي يحمي من استخدام الأوامر أو بيانات الاعتماد التي تم تم الاستيلاء عليها من خلال استنشاق كلمات المرور أو هجمات مماثلة) .3

رأس المصادقة (Authentication Header)

رأس المصادقة (AH) هو بروتوكول جديد وجزء من مجموعة بروتوكولات أمان بروتوكول الإنترنت (IPsec) ، والتي تصادق على أصل حزم IP (مخططات البيانات) وتضمن سلامة البيانات. يؤكد AH المصدر الأصلي للحزمة ويضمن أن محتوياتها (كل من الرأس والحمولة) لم تتغير منذ الإرسال.

إذا تم إنشاء اقترانات أمنية ، يمكن تكوين AH اختياريًا للدفاع ضد هجمات إعادة التشغيل باستخدام تقنية النافذة المنزلقة.

ما هو IPSEC
Image Source: TechTarget

كيف يعملون معًا؟

عند تكوينها بشكل صحيح ، توفر IPSEC VPN طبقات متعددة من الأمان تضمن وضع الأمان وسلامة البيانات التي يتم إرسالها عبر النفق المشفر. بهذه الطريقة يمكن للمؤسسة أن تشعر بالثقة من أنه لم يتم اعتراض البيانات وتعديلها أثناء النقل وأنه يمكنها الاعتماد على ما تشاهده.

هل شبكة VPN IPSEC مناسبة لي؟

يعتمد ذلك حقًا على ما تحاول تحقيقه بالإضافة إلى عناصر التحكم في الأمان والخصوصية الموجودة لديك داخل مؤسستك. بينما توفر شبكات VPN الخاصة بـ OpenSSL قدرًا كبيرًا من الأمان ، إلا أن هناك جوانب لا يمكن لشبكة IPSEC VPN توفيرها ببساطة.

ما الفرق بين وضع نفق IPsec ووضع النقل IPsec؟

يتم استخدام وضع نفق IPsec بين جهازي توجيه مخصصين ، حيث يعمل كل جهاز توجيه كنهاية واحدة لـ "نفق" افتراضي عبر شبكة عامة. في وضع نفق IPsec ، يتم تشفير عنوان IP الأصلي الذي يحتوي على الوجهة النهائية للحزمة ، بالإضافة إلى حمولة الحزمة. لإخبار أجهزة التوجيه الوسيطة بمكان إعادة توجيه الحزم ، يضيف IPsec رأس IP جديدًا. في كل نهاية النفق ، تقوم أجهزة التوجيه بفك تشفير رؤوس IP لتسليم الحزم إلى وجهاتها.

في وضع النقل ، يتم تشفير الحمولة لكل حزمة ، ولكن لا يتم تشفير عنوان IP الأصلي. وبالتالي ، فإن أجهزة التوجيه الوسيطة قادرة على عرض الوجهة النهائية لكل حزمة - ما لم يتم استخدام بروتوكول نفق منفصل (مثل GRE).