31 روز قبل آزمون CCNAسیسکو

توپولوژی‌های WAN و IPsec و VPN – روز 7

4 روز پیش
0 خواندن این مطلب 13 دقیقه زمان میبرد
lightsaber collection T IN5o3kxyA unsplash

امروز مروری کلی بر توپولوژی‌های WAN، گزینه‌های اتصال WAN، شبکه‌های خصوصی مجازی (VPN)، و امنیت پروتکل اینترنت (IPsec) خواهیم داشت. بیشتر این موضوعات ، مفهومی هستند و نیازی به مهارت‌های پیکربندی ندارند. بنابراین، این مطلب را چندین بار مطالعه کنید.

توپولوژی‌های WAN

WAN Topology Options

عکس بالا چهار گزینه اصلی توپولوژی WAN را که یک سازمان می‌تواند برای زیرساخت WAN خود انتخاب کند، نشان می‌دهد:

  • Point-to-Point: معمولاً از یک اتصال اختصاصی و اجاره‌ای مانند T1/E1 استفاده می‌کند.
  • Hub-and-Spoke: یک توپولوژی single-homed به صورت point-to-multipoint است که در آن یک اینترفیس روی روتر مرکزی (hub) می‌تواند با چندین روتر شاخه (spoke routers) از طریق اینترفیس‌های مجازی به اشتراک گذاشته شود.
  • Full Mesh: هر روتر به سایر روترها متصل می‌شود. این روش نیاز به تعداد زیادی اینترفیس مجازی دارد.
  • Dual-Homed: افزونگی را برای توپولوژی single-homed hub-and-spoke فراهم می‌کند، به این صورت که یک hub دوم برای اتصال به روترهای شاخه در نظر گرفته می‌شود.

یک سازمان می‌تواند بسته به نیاز خود از هر یک از این توپولوژی‌ها استفاده کند. به‌عنوان مثال، یک شرکت ممکن است تصمیم بگیرد از توپولوژی full mesh بین دفاتر مرکزی خود استفاده کند. همچنین ممکن است از توپولوژی hub-and-spoke بین دفاتر مرکزی و شعبه‌ها استفاده کند. اگر دو شعبه ترافیک زیادی با یکدیگر داشته باشند، مدیران شبکه ممکن است یک اتصال point-to-point برای کاهش بار روی hub routers در نظر بگیرند. استفاده از dual-homed برای اتصال به اینترنت تضمین می‌کند که مشتریان، شرکا، و کاربران از راه دور همیشه به منابع سازمان دسترسی دارند.

گزینه‌های اتصال WAN

گزینه‌های متعددی برای پیاده‌سازی راهکارهای WAN در دسترس هستند. این گزینه‌ها از نظر فناوری، سرعت و هزینه متفاوت‌اند. عکس زیر یک نمای کلی از انواع گزینه‌های اتصال لینک WAN را ارائه می‌دهد. بخش‌های بعدی این گزینه‌ها را با جزئیات بیشتری توضیح می‌دهند.

WAN Link Connection Options

گزینه‌های اتصال اختصاصی (Dedicated Connection Options)

اتصالات اختصاصی که به آنها leased lines نیز گفته می‌شود، شامل لینک‌های WAN point-to-point از محل مشتری تا یک مقصد از طریق شبکه ارائه‌دهنده خدمات هستند.

Leased Lines

اتصالات leased line معمولاً از خدمات switched گران‌تر هستند، زیرا هزینه‌ی ارائه‌ی یک سرویس always-on به مشتری را دربر دارند. ظرفیت اختصاصی این اتصالات باعث حذف latency و jitter می‌شود و همچنین یک لایه‌ی امنیتی فراهم می‌کند، زیرا تنها ترافیک مشتری روی لینک مجاز است.

انواع و ظرفیت‌های Leased Line

نوع خط ظرفیت بیت‌ریت نوع خط ظرفیت بیت‌ریت
56k 56 kbps OC-9 466.56 Mbps
64k 64 kbps OC-12 622.08 Mbps
T1 1.544 Mbps OC-18 933.12 Mbps
E1 2.048 Mbps OC-24 1244.16 Mbps
J1 2.048 Mbps OC-36 1866.24 Mbps
E3 34.064 Mbps OC-48 2488.32 Mbps
T3 44.736 Mbps OC-96 4976.64 Mbps
OC-1 51.84 Mbps OC-192 9953.28 Mbps
OC-3 155.54 Mbps OC-768 39,813.12 Mbps

گزینه‌های اتصال Circuit-Switched

دو نوع اصلی از اتصالات circuit-switched شامل analog dialup و ISDN هستند. هر دو فناوری، امروزه کاربرد محدودی در شبکه‌ها دارند. با این حال، هنوز در مناطق دورافتاده و نقاطی که فناوری‌های جدیدتر در دسترس نیستند، استفاده می‌شوند.

Analog dialup از مودم‌هایی با سرعت بسیار پایین استفاده می‌کند که ممکن است برای انتقال اطلاعاتی مانند قیمت فروش، گزارش‌های روتین، ایمیل یا به‌عنوان یک لینک پشتیبان اضطراری مناسب باشند.

ISDN حلقه محلی را به یک اتصال دیجیتال TDM تبدیل می‌کند که امکان انتقال سیگنال‌های دیجیتال را فراهم کرده و نسبت به مودم‌های آنالوگ، اتصالات switched با کیفیت بالاتری ارائه می‌دهد. دو نوع رابط ISDN وجود دارند:

  • Basic Rate Interface (BRI): شامل دو کانال B با سرعت 64 kbps برای انتقال داده یا صوت و یک کانال D با سرعت 16 kbps برای سیگنالینگ کنترلی است.
  • Primary Rate Interface (PRI): شامل 23 کانال B با سرعت 64 kbps و 1 کانال D با سرعت 64 kbps در آمریکای شمالی است که مجموعاً نرخ انتقال 1.544 Mbps را ارائه می‌دهد. در اروپا، 30 کانال B و 1 کانال D استفاده می‌شود که نرخ انتقال 2.048 Mbps را فراهم می‌کند.

عکس زیر تفاوت‌های بین خطوط ISDN BRI و PRI را نشان می‌دهد.

ISDN Network Infrastructure and PRIBRI Line Capacity

گزینه‌های اتصال Packet-Switched

رایج‌ترین فناوری‌های packet-switching که امروزه در شبکه‌های WAN سازمانی استفاده می‌شوند، شامل Metro Ethernet و MPLS هستند. فناوری‌های قدیمی‌تر شامل X.25 و ATM می‌شوند.

توجه: Frame Relay نیز یک فناوری packet-switched است که هنوز سهمی از بازار دارد، اما دیگر در آزمون CCNA پوشش داده نمی‌شود.

Metro Ethernet

Metro Ethernet (MetroE) از Ethernet switches با قابلیت تشخیص IP در شبکه ارائه‌دهنده خدمات استفاده می‌کند تا سازمان‌ها بتوانند سرویس‌های یکپارچه‌ای برای صدا، داده، و ویدئو را با سرعت Ethernet دریافت کنند. برخی از مزایای Metro Ethernet عبارت‌اند از:

  • کاهش هزینه‌ها و مدیریت ساده‌تر: این امکان را برای سازمان‌ها فراهم می‌کند که سایت‌های متعدد خود را در یک منطقه شهری با هزینه‌ی کمتر به یکدیگر و به اینترنت متصل کنند، بدون نیاز به تبدیل پرهزینه به ATM یا Frame Relay.
  • یکپارچه‌سازی آسان با شبکه‌های موجود: امکان اتصال آسان به Ethernet LANهای موجود را فراهم می‌کند.
  • افزایش بهره‌وری کسب‌وکار: به سازمان‌ها این امکان را می‌دهد که از برنامه‌های مبتنی بر IP استفاده کنند که پیاده‌سازی آن‌ها روی شبکه‌های TDM یا Frame Relay دشوار است، مانند ارتباطات IP میزبان، VoIP، و پخش ویدئویی.

MPLS

MPLS (Multiprotocol Label Switching) دارای ویژگی‌های زیر است:

  • پروتکل چندگانه (Multiprotocol): می‌تواند هر نوع ترافیکی را حمل کند، از جمله IPv4، IPv6، Ethernet، ATM، DSL، و Frame Relay.
  • برچسب‌ها (Labels): از برچسب‌های داخل شبکه ارائه‌دهنده خدمات برای شناسایی مسیرها بین روترهای دوردست استفاده می‌کند، به‌جای اینکه ارتباط مستقیماً بین نقاط پایانی انجام شود.
  • سویچینگ (Switching): بسته‌های IPv4 و IPv6 را مسیریابی می‌کند، اما سایر ترافیک‌ها را به‌صورت switched منتقل می‌کند.

Popular MPLS Connection Options

عکس بالا نشان‌دهنده‌ی انواع گزینه‌های اتصال MPLS در شبکه‌های WAN است، از جمله serial leased lines، Metro Ethernet، ATM، Frame Relay و DSL.

توجه: MPLS عمدتاً به‌عنوان یک فناوری WAN برای ارائه‌دهندگان خدمات استفاده می‌شود.

گزینه‌های اتصال اینترنت

گزینه‌های اتصال باندپهن (broadband connection) معمولاً برای اتصال کارمندان دورکار به سایت‌های سازمانی از طریق اینترنت استفاده می‌شوند. این گزینه‌ها شامل DSL (Digital Subscriber Line)، اینترنت کابلی (cable) و ارتباطات بی‌سیم (wireless) هستند.

DSL

Teleworker DSL Connection

فناوری DSL که در عکس بالا نشان داده شده است، یک فناوری اتصال always-on است که از خطوط تلفن twisted-pair موجود برای انتقال داده‌های پهن‌باند و ارائه خدمات IP به کاربران استفاده می‌کند.

فناوری‌های DSL امروزی از تکنیک‌های کدگذاری و مدولاسیون پیشرفته‌ای استفاده می‌کنند تا نرخ انتقال داده‌ای تا 8.192 Mbps را ارائه دهند. انواع مختلف DSL، استانداردها و فناوری‌های نوظهور در این حوزه وجود دارند.

مودم کابلی (Cable Modem)

Teleworker Cable Modem Connection

مودم کابلی یک اتصال always-on را فراهم کرده و نصب ساده‌ای دارد. عکس بالا نشان می‌دهد که چگونه یک مشترک می‌تواند یک کامپیوتر یا روتر را به مودم کابلی متصل کند. مودم کابلی سیگنال‌های دیجیتال را به فرکانس‌های پهن‌باندی تبدیل می‌کند که برای انتقال در شبکه‌های تلویزیونی کابلی استفاده می‌شوند.

بی‌سیم (Wireless)

در گذشته، محدودیت اصلی اتصال بی‌سیم این بود که کاربران باید در محدوده‌ی یک روتر بی‌سیم یا مودم بی‌سیم با اتصال سیمی به اینترنت قرار می‌گرفتند. اما امروزه، فناوری‌های بی‌سیم به کاربران این امکان را می‌دهند که تقریباً از هر مکانی به اینترنت متصل شوند:

  • Municipal Wi-Fi: بسیاری از شهرها شبکه‌های Wi-Fi شهری راه‌اندازی کرده‌اند. برخی از این شبکه‌ها، اینترنت پرسرعت رایگان یا با هزینه‌ی کمتر از سایر سرویس‌های پهن‌باند را ارائه می‌دهند.
  • WiMAX: یا Worldwide Interoperability for Microwave Access (WiMAX) یک فناوری بر پایه استاندارد IEEE 802.16 است. این فناوری، اینترنت پهن‌باند بی‌سیم با پوشش وسیع مشابه شبکه‌های موبایلی را فراهم می‌کند.
  • Satellite Internet: این فناوری معمولاً در مناطق دورافتاده‌ای که اینترنت کابلی یا DSL در دسترس نیست، استفاده می‌شود.
  • Cellular Service: اینترنت موبایل گزینه‌ای برای کاربران و مکان‌های دورافتاده‌ای است که سایر فناوری‌های WAN در آنجا در دسترس نیستند. روش‌های رایج دسترسی شامل نسل سوم (3G)، نسل چهارم (4G)، و فناوری LTE (Long-Term Evolution) هستند.

انتخاب یک گزینه اتصال WAN

مزایا و معایب انواع گزینه‌های اتصال WAN را مقایسه می‌کند.

گزینه توضیحات مزایا معایب پروتکل‌های نمونه
Leased line اتصال point-to-point بین دو شبکه LAN بالاترین امنیت پرهزینه PPP، HDLC، SDLC
Circuit switching مسیر اختصاصی ایجادشده بین نقاط پایانی. نمونه‌ی بارز آن اتصالات dial-up است. کم‌هزینه ایجاد تأخیر در تماس PPP، ISDN
Packet switching ارسال داده‌ها از طریق یک لینک اشتراکی point-to-multipoint در شبکه‌ی حامل. بسته‌های با طول متغیر از طریق PVCs یا SVCs ارسال می‌شوند. بهره‌وری بسیار بالا در استفاده از پهنای باند لینک مشترک بین کاربران Frame Relay، Metro Ethernet
Internet Packet switching بدون اتصال (connectionless) که از اینترنت به عنوان زیرساخت WAN استفاده می‌کند. از آدرس‌های شبکه‌ای برای ارسال بسته‌ها استفاده می‌شود. به دلیل مسائل امنیتی، باید از VPN استفاده شود. کم‌هزینه‌ترین، در دسترس در سراسر جهان امنیت پایین‌تر DSL، مودم کابلی، بی‌سیم

فناوری VPN

VPN (Virtual Private Network) یک اتصال رمزگذاری‌شده بین شبکه‌های خصوصی از طریق یک شبکه عمومی مانند اینترنت است. به‌جای استفاده از یک اتصال اختصاصی Layer 2 مانند Leased Line، یک VPN از اتصالات مجازی به نام VPN tunnels استفاده می‌کند که از طریق اینترنت، شبکه‌ی خصوصی سازمان را به یک شبکه‌ی از راه دور یا میزبان کارمند متصل می‌کند.

مزایای VPN

برخی از مزایای VPN شامل موارد زیر هستند:

  • صرفه‌جویی در هزینه: حذف نیاز به WAN links اختصاصی و بانک‌های مودم.
  • امنیت: استفاده از پروتکل‌های رمزگذاری پیشرفته و احراز هویت برای محافظت از داده‌ها در برابر دسترسی غیرمجاز.
  • مقیاس‌پذیری: امکان افزودن ظرفیت بیشتر بدون ایجاد زیرساخت اضافی.
  • سازگاری با فناوری‌های پهن‌باند: با پشتیبانی از ارائه‌دهندگان خدمات پهن‌باند، کارکنان موبایل و کارمندان دورکار می‌توانند از اینترنت پرسرعت خانگی خود برای دسترسی ایمن به شبکه‌های سازمانی استفاده کنند.

انواع دسترسی VPN

1. Site-to-Site VPNs: این نوع VPN شبکه‌های کامل را به یکدیگر متصل می‌کند. به‌عنوان مثال، یک site-to-site VPN می‌تواند یک شبکه‌ی شعبه را به شبکه‌ی دفتر مرکزی متصل کند، همان‌طور که در عکس پایین نشان داده شده است. هر سایت دارای یک VPN gateway مانند یک روتر، فایروال، VPN concentrator یا appliance امنیتی است.

Site-to-Site VPNs

2. Remote-Access VPNs: این نوع VPN به کاربران منفرد مانند کارکنان دورکار، کاربران موبایل و شرکای خارجی امکان می‌دهد که از طریق اینترنت به شبکه‌ی سازمانی متصل شوند. عکس پایین نشان‌دهنده‌ی عملکرد Remote-Access VPN است. هر میزبان معمولاً دارای یک نرم‌افزار client برای اتصال به VPN یا از یک مرورگر وب برای اتصال بدون نیاز به client استفاده می‌کند. این نوع VPN معمولاً از اتصالات SSL/TLS استفاده می‌کند که نسخه‌ی امن‌تر SSL محسوب می‌شوند.

Remote-Access VPNs

Generic Routing Encapsulation (GRE)

یک VPN IPsec استاندارد (بدون GRE) فقط می‌تواند تونل‌های امن برای unicast traffic ایجاد کند. اما GRE یک پروتکل تونل‌زنی site-to-site غیرامن است که می‌تواند از multicast و broadcast نیز پشتیبانی کند، ویژگی‌ای که برای برخی از پروتکل‌های لایه‌ی شبکه ضروری است.

با این حال، GRE به‌طور پیش‌فرض رمزگذاری و احراز هویت را ارائه نمی‌دهد، بنابراین نمی‌تواند یک تونل VPN ایمن باشد. برای حل این مشکل، می‌توان پروتکل مسیریابی را درون یک بسته‌ی GRE قرار داد و سپس آن را درون یک بسته‌ی رمزگذاری‌شده‌ی IPsec قرار داد تا از آن برای رمزگذاری تونل VPN استفاده شود. عکس زیر این مفهوم را نشان می‌دهد.

Transport, Carrier, and Passenger Protocols

Dynamic Multipoint VPN (DMVPN)

DMVPN یک راهکار اختصاصی Cisco برای ایجاد VPNهای متعدد به روشی پویا، مقیاس‌پذیر و آسان است. DMVPN به مدیران شبکه اجازه می‌دهد که تونل‌های hub-to-spoke و spoke-to-spoke را به‌صورت پویا ایجاد کنند، همان‌طور که در تصویر زیر نشان داده شده است.

DMVPN Sample Topology

DMVPN پیکربندی تونل VPN را ساده کرده و یک گزینه‌ی انعطاف‌پذیر برای اتصال یک سایت مرکزی با شعب مختلف ارائه می‌دهد. این فناوری از یک توپولوژی hub-and-spoke برای ایجاد یک توپولوژی full mesh استفاده می‌کند. سایت‌های spoke تونل‌های VPN ایمنی را با سایت hub برقرار می‌کنند. هر سایت با استفاده از Multipoint Generic Routing Encapsulation (mGRE) پیکربندی می‌شود. این رابط mGRE به یک GRE منفرد اجازه می‌دهد که به‌صورت پویا از چندین تونل IPsec پشتیبانی کند.

فناوری‌های مورد استفاده در DMVPN

  • Next Hop Resolution Protocol (NHRP): نگاشت آدرس‌های IP عمومی برای همه‌ی تونل‌های spoke.
  • IPsec encryption: رمزگذاری امنیتی برای انتقال داده‌های خصوصی از طریق شبکه‌های عمومی.
  • mGRE: امکان پشتیبانی از چندین تونل IPsec را با یک GRE واحد فراهم می‌کند.
  • IPsec Virtual Tunnel Interface (VTI): مشابه DMVPN اما با امکان ارسال و دریافت unicast و multicast encrypted traffic.
  • Service Provider MPLS VPNs:
    • Layer 3 MPLS VPN: ارائه‌دهنده‌ی خدمات، در مسیریابی مشتریان مشارکت کرده و مسیرها را از طریق شبکه‌ی MPLS مجدداً توزیع می‌کند.
    • Layer 2 MPLS VPN: ارائه‌دهنده‌ی خدمات، در مسیریابی مشتریان دخالتی ندارد، بلکه از VPLS برای شبیه‌سازی یک شبکه‌ی Ethernet استفاده می‌کند.

اجزای VPN

VPN Components

عکس بالا یک توپولوژی معمولی VPN را نشان می‌دهد. اجزای موردنیاز برای ایجاد این VPN شامل موارد زیر هستند:

  • یک شبکه‌ی سازمانی موجود که دارای سرورها و ایستگاه‌های کاری است.
  • یک اتصال به اینترنت.
  • VPN gateways شامل روترها، فایروال‌ها، VPN concentrators و Adaptive Security Appliances (ASA) که به‌عنوان نقاط پایانی برای ایجاد، مدیریت و کنترل اتصالات VPN عمل می‌کنند.
  • نرم‌افزار مناسب برای ایجاد و مدیریت تونل‌های VPN.

برقراری اتصالات امن VPN

VPNها داده‌ها را از طریق encapsulation و encryption ایمن می‌کنند. در مورد VPNها، این دو مفهوم به‌صورت زیر تعریف می‌شوند:

  • Encapsulation همچنین با عنوان tunneling شناخته می‌شود، زیرا فرآیند تونل‌زنی داده‌ها را به‌صورت شفاف از شبکه‌ی مبدا به شبکه‌ی مقصد از طریق یک زیرساخت اشتراکی انتقال می‌دهد.
  • Encryption داده‌ها را با استفاده از یک کلید امنیتی رمزگذاری می‌کند و همان کلید در طرف دیگر اتصال برای رمزگشایی استفاده می‌شود.

تونل‌زنی VPN (VPN Tunneling)

تونل‌زنی از سه دسته پروتکل استفاده می‌کند:

  • Carrier Protocol: پروتکلی که اطلاعات از طریق آن انتقال پیدا می‌کند، مانند Frame Relay، PPP یا MPLS.
  • Encapsulating Protocol: پروتکلی که داده‌ی اصلی را دربر می‌گیرد، مانند GRE، IPsec، L2F، PPTP یا L2TP.
  • Passenger Protocol: پروتکلی که داده‌ی اصلی را حمل می‌کند، مانند IPX، AppleTalk، IPv4 یا IPv6.

تصویر زیر جریان ارسال یک پیام ایمیل را از طریق اینترنت در یک اتصال VPN نشان می‌دهد.

Packet Encapsulation in a VPN Tunnel

کپسوله‌سازی بسته در یک تونل VPN (Packet Encapsulation in a VPN Tunnel)

تصویر بالا فرآیند کپسوله‌سازی بسته در یک تونل VPN را نشان می‌دهد. این فرآیند شامل مراحل زیر است:

  1. بسته از کلاینت ارسال‌کننده: داده‌هایی مانند SMTP، TCP و IP تولید و آماده ارسال می‌شوند.
  2. بسته در حال انتقال از طریق اینترنت: داده‌ها درون یک لایه‌ی دیگر از پروتکل‌ها (مانند PPP، GRE یا IPsec) کپسوله شده و از طریق اینترنت ارسال می‌شوند.
  3. بسته در مقصد VPN: در سمت گیرنده، بسته از حالت کپسوله خارج شده و به مقصد نهایی تحویل داده می‌شود.

الگوریتم‌های رمزگذاری VPN (VPN Encryption Algorithms)

میزان امنیتی که یک الگوریتم رمزگذاری ارائه می‌دهد، به طول کلید آن بستگی دارد. برخی از رایج‌ترین الگوریتم‌های رمزگذاری و طول کلیدهای مورد استفاده‌ی آن‌ها عبارت‌اند از:

  • Data Encryption Standard (DES): از کلید 56 بیتی استفاده می‌کند و رمزگذاری با عملکرد بالا ارائه می‌دهد. DES یک الگوریتم رمزگذاری متقارن است.
  • Triple DES (3DES): نسخه‌ی پیشرفته‌ای از DES است که داده‌ها را با یک کلید رمزگذاری کرده، با کلید دیگری رمزگشایی می‌کند و سپس مجدداً با کلیدی دیگر رمزگذاری می‌کند.
  • Advanced Encryption Standard (AES): امنیت قوی‌تری نسبت به DES ارائه داده و از نظر محاسباتی کارآمدتر از 3DES است. این الگوریتم دارای طول کلیدهای 128، 192 و 256 بیتی است.
  • Rivest, Shamir, and Adleman (RSA): یک الگوریتم رمزگذاری نامتقارن است که از کلیدهایی با طول 512، 768، 1024 یا بیشتر استفاده می‌کند.

در رمزگذاری متقارن، کلید رمزگذاری و رمزگشایی یکسان است. درحالی‌که در رمزگذاری نامتقارن، این دو کلید متفاوت هستند.

هش‌ها (Hashes)

VPNها از یک الگوریتم HMAC (Hashed Message Authentication Code) مبتنی بر کلید برای تضمین یکپارچگی و اعتبار پیام بدون نیاز به مکانیسم‌های اضافی استفاده می‌کنند.

قدرت رمزنگاری HMAC به قدرت الگوریتم هش زیربنایی، اندازه و کیفیت کلید، و اندازه خروجی هش (برحسب بیت) بستگی دارد. دو الگوریتم HMAC رایج عبارت‌اند از:

  • Message Digest 5 (MD5): از یک کلید مخفی 128 بیتی مشترک استفاده می‌کند.
  • Secure Hash Algorithm 1 (SHA-1): از یک کلید مخفی 160 بیتی استفاده می‌کند.

تصویر پایین نمونه‌ای از استفاده از MD5 به‌عنوان الگوریتم HMAC را نشان می‌دهد.

Creating and Verifying a Message Digest 1 1 Creating and Verifying a Message Digest 2

ایجاد و تأیید پیام هش (Creating and Verifying a Message Digest)

یک HMAC دو پارامتر دارد: یک ورودی پیام و یک کلید مخفی مشترک که فقط فرستنده و گیرنده‌ی موردنظر پیام از آن اطلاع دارند. در تصویر بالا، هر دو روتر R1 و R2 کلید مخفی را می‌دانند. مراحل این فرآیند به شرح زیر است:

  1. مرحله 1: R1 از MD5 برای اجرای تابع هش استفاده کرده و مقدار هش را تولید می‌کند. سپس این مقدار هش به پیام اصلی اضافه شده و به R2 ارسال می‌شود.
  2. مرحله 2: R2 مقدار هش را از پیام اصلی دریافت کرده، همان عملیات هش را اجرا می‌کند و مقدار هش خود را با مقدار هش ارسال‌شده از سوی R1 مقایسه می‌کند. اگر این دو مقدار هش مطابقت داشته باشند، یکپارچگی داده تأیید می‌شود و مشخص می‌شود که پیام تغییر نکرده است.

احراز هویت VPN (VPN Authentication)

دستگاه در انتهای دیگر تونل VPN باید قبل از شروع ارتباط، احراز هویت شود تا مسیر ارتباطی امن باشد. دو روش رایج احراز هویت شامل موارد زیر هستند:

  • Pre-Shared Key (PSK): یک کلید مخفی بین دو طرف به‌اشتراک گذاشته می‌شود که قبل از استفاده باید از طریق یک کانال امن تبادل شود.
  • RSA Signature: این روش از تبادل گواهی‌های دیجیتال برای احراز هویت همتایان استفاده می‌کند.

پروتکل‌های امنیتی IPsec

هر دو فناوری IPsec و SSL VPN امکان دسترسی به تقریباً هر برنامه یا منبع شبکه‌ای را فراهم می‌کنند. با این حال، در مواردی که امنیت اولویت دارد، IPsec گزینه‌ی برتری محسوب می‌شود. در جدول زیر تفاوت‌های بین IPsec و SSL را در پیاده‌سازی‌های remote access مقایسه می‌کند.

مقایسه IPsec و SSL برای دسترسی از راه دور

ویژگی IPsec SSL
برنامه‌های پشتیبانی‌شده گسترده – از تمام برنامه‌های مبتنی بر IP پشتیبانی می‌کند. محدود – فقط برنامه‌های مبتنی بر وب و file sharing را پشتیبانی می‌کند.
قدرت احراز هویت قوی – از احراز هویت دوطرفه با کلیدهای اشتراکی یا گواهی‌های دیجیتال استفاده می‌کند. متوسط – از احراز هویت یک‌طرفه یا دوطرفه استفاده می‌کند.
قدرت رمزگذاری قوی – از کلیدهای 56 تا 256 بیتی استفاده می‌کند. متوسط تا قوی – از کلیدهای 40 تا 256 بیتی استفاده می‌کند.
پیچیدگی اتصال متوسط – نیاز به نصب VPN client روی سیستم دارد. کم – فقط به یک مرورگر وب روی میزبان نیاز دارد.
گزینه‌ی اتصال محدود – فقط دستگاه‌های خاص با تنظیمات مشخص می‌توانند متصل شوند. گسترده – هر دستگاهی که مرورگر وب دارد می‌تواند متصل شود.

پروتکل‌های امنیتی در IPsec

IPsec فرآیند پیام‌رسانی لازم برای ایمن‌سازی ارتباطات VPN را مشخص می‌کند، اما برای انجام این کار به الگوریتم‌های رمزنگاری موجود تکیه دارد. دو پروتکل اصلی در چارچوب IPsec عبارت‌اند از:

  • Authentication Header (AH): زمانی استفاده می‌شود که محرمانگی داده موردنیاز یا مجاز نباشد. این پروتکل یکپارچگی و احراز هویت بسته‌های IP را تضمین می‌کند. همچنین، مبدا پیام‌ها را تأیید کرده و تضمین می‌کند که هیچ بسته‌ای در مسیر تغییر نکرده است. با این حال، AH به‌تنهایی رمزگذاری داده را ارائه نمی‌دهد و فقط حفاظت محدودی دارد. بنابراین، معمولاً همراه با ESP برای ارائه‌ی رمزگذاری و ویژگی‌های امنیتی ضد دستکاری استفاده می‌شود.
  • Encapsulating Security Payload (ESP): امنیت و محرمانگی داده را با رمزگذاری بسته‌ی IP فراهم می‌کند. در ESP، هم رمزگذاری و هم احراز هویت اختیاری هستند، اما حداقل یکی از آن‌ها باید انتخاب شود.

چارچوب امنیتی IPsec

IPsec برای پیاده‌سازی خدمات امنیتی خود، از الگوریتم‌های موجود برای رمزگذاری، احراز هویت، و تبادل کلید استفاده می‌کند. تصویر زیر ساختار IPsec را نشان می‌دهد.

IPsec Framework

مدیر شبکه هنگام پیکربندی IPsec باید موارد زیر را انتخاب کند:

  1. انتخاب پروتکل IPsec: می‌توان بین ESP، AH یا ترکیبی از این دو (ESP + AH) یکی را انتخاب کرد.
  2. انتخاب الگوریتم رمزگذاری: بر اساس سطح امنیت موردنیاز، می‌توان از الگوریتم‌هایی مانند DES، 3DES یا AES استفاده کرد.
  3. انتخاب الگوریتم احراز هویت: برای تضمین یکپارچگی داده، الگوریتم‌هایی مانند MD5 یا SHA را می‌توان انتخاب کرد.
  4. انتخاب گروه Diffie-Hellman (DH): این گروه‌ها اطلاعات کلید را بین همتایان تبادل می‌کنند. گزینه‌های موجود شامل DH1، DH2 و DH5 هستند.
برچسب ها
4 روز پیش
0 خواندن این مطلب 13 دقیقه زمان میبرد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا