IPSec Internet
Protocol Security (IPSec) ver 4
از اين سرويس براي حفاظت كردن Network Traffic از حمله افراد مزاحم و هكرها استفاده مي شود اين
سرويس در لايه 3 شبكه فعال مي باشد
توسط اين روش يك IP Packet را مي توان
به دو روش كه در شكل مشاهده مي كنيد Encrypt ويا Sign كرد
در روش AH كه در زير
مشاهده مي كنيد يك Packet به طور كامل Sign
مي شود يعني كل
آن به صورت Unmodify يا غيره
قابل تغيير مي شود
در اين روش يك Packet را مي توان
خواند ولي تغيير نمي توان داد در روش دوم ESP يك Packet
را
سيستم بوسيله يك سري الگوريتم كد
مي كند كه با
اين الگوريتم ها آشنا خواهيد شد
فرق اين روش با روش AH در اين هست كه در روش دوم سيستم كاري با IP Header ندارد
البته شما مي توانيد از هر دو روش
نيز در يك لحظه براي شبكه استفاده كنيد
كه بهترين راه نيز همين مي باشد
و امنيت شبكه بسيار بالا مي رود
IPSec security protocols
قبل از شروع بايد دو Protocol مهم كه
اين سرويس از آنها براي محافظت از Packet
هاي IP استفاده مي كند را معرفي كرد AH and ESP
Authentication Header (AH)
اين روش براي محافظت از يك Packet مي باشد
كه هم از قسمت Header و هم بقيه قسمتهاي يك
packet
محافظت مي كند به اين ترتيب كه كل آن Packet را Sign مي كند
يعني غيره قابل تغيير
در اين روش مي توان يك Packet
را Read كرد ولي امكان Write
را نداريم چون در حالت
unmodify مي باشد
لازم بذكر هست كه براي تغييردادن مسيريك Packet
بايدHeader آن را تغيير
داد وچون اين روش از اين كار جلوگيري مي كند يعني
اجازه Write شدن به Header
را نمي دهد
امكان داردايجاد مشكل كند اين مشكل درRouter ها به چشم
مي آيد چون كار يكRouter تغير دادن
مسيرمقصد
يك Packet مي باشد
كه براي اين كار بايد Header يك Packet را دستكاري كند Authentication Header (AH)
براي رفع اين مشكل Router ها راه حلي پيدا كرده اند سرويسي به نام ICV وجود دارد
كه تغييرات Packet
در بين مسير را Check
مي كند كه تغييري نكند فيلدهايي كه در داخل Header توسط Router تغيير مي كند براي اين سرويس ارزش صفر دارند بنابراين
AH دچار مشكل
با Router ها
نمي شود
Encapsulating Security Payload (ESP)
اين سرويس براي كد كردن يك Packet استفاده مي شود منظور از كد كردن همان Encrypt
كردن آن مي باشداين كدكردن توسط
يك سري الگوريتم هاي رياضي مي باشدكه MD5 and 3DES
از معروف ترين اين الگوريتم ها مي باشند البته مانند
شكل كه مشاهده مي كنيد اين نوع قسمتي از
Packet
را Sign مي كند البته زماني كه يك Packet
در حالت Tunnel
ساخته شود و فرستاده
شود اين قسمت ازPacket
توسط اين Protocol
به صورت Sign مي شود همان طور كه در شكل
مي بينيد اين روش به IP
Header كاري ندارد