internet protocol security an overview of ipsec. رئوس مطالب: مشکلات امنیتی...
TRANSCRIPT
Internet Protocol SecurityAn Overview of IPSec
: مطالب رئوس چیست؟ امنیتی مشکالت مفهومTCP/IP سطحی؟ چه در امنیتIP Security سرویسهایIPSec Security عملکرد حاالتIPSec Security ProtocolsOutbound/Inbound IPSec Processing واقعی دنیای در شده سازی پیاده مثالهای
چیست؟ امنیتی مشکالت
تشکیل زیر مواد از اول درجه در اینترنت امروزهشده:
Public Un-trusted Unreliable IP networks
تهدید مورد اینترنت امنیت، فقدان بودن ذاتی خاطر به. است گرفته قرار حمالت انواع
: اینترنت تهدیدات
Data integrity. است تغییر قابل تصادفی یا عمدی صورت به چه ، بسته یک محتوای
Identity spoofingمنشا است . IPممکن کند تغییر بسته
Anti-reply attacksیا . Dataداده شود ارسال دوباره میتواند مجاز غیر
Loss of privacyگیرد قرار بررسی مورد میتواند عبور حیت در بسته یک محتوای
TCP/IPمفهوم مرجع OSIمدل
Application Layer
Transport Layer
Network Layer
Physical Layer
Presentation Layer
Session Layer
Logical Link Layer
TCP, UDP
IP
Network Adapter
Device Driver
Application
HT
TP
SM
TP
FT
P
SN
MP
NF
S
FT
P
DN
S
TCP/IPمفهوم Encapsulation برای Network Deliveryاطالعات
Original Message
Application Layer
TCP/IPمفهوم Encapsulation برای Network Deliveryاطالعات
Original Message
Data 3
Application Layer
Transport Layer(TCP, UDP)
TCP/IPمفهوم Encapsulation برای Network Deliveryاطالعات
Original Message
Data 3Header 3Transport Layer(TCP, UDP)
Application Layer
TCP/IPمفهوم Encapsulation برای Network Deliveryاطالعات
Original Message
Data 3Header 3
Data 2
Transport Layer(TCP, UDP)
Network Layer(IP)
Application Layer
TCP/IPمفهوم Encapsulation برای Network Deliveryاطالعات
Original Message
Data 3Header 3
Data 2Header 2
Transport Layer(TCP, UDP)
Network Layer(IP)
Application Layer
TCP/IPمفهوم Encapsulation برای Network Deliveryاطالعات
Original Message
Data 3Header 3
Data 2Header 2
Transport Layer(TCP, UDP)
Network Layer(IP)
Data 1
Application Layer
Data Link Layer
TCP/IPمفهوم Encapsulation برای Network Deliveryاطالعات
Original Message
Data 3Header 3
Data 2Header 2
Transport Layer(TCP, UDP)
Network Layer(IP)
Data 1Header 1
Application Layer
Data Link Layer
TCP/IPمفهوم
Data 1Header 1
Packet
توسط شده ارسال HOST Aبسته
Data Link Layer
TCP/IPمفهوم
Network Layer
Data Link Layer
توسط شده دریافت میانجی Routerبسته
TCP/IPمفهوم
Data 1Header 1
Packet
توسط شده دریافت HOST B بسته
Data Link Layer
TCP/IPمفهوم
Data 1Header 1
De-capsulation از Network Deliveryاطالعات
Data Link Layer
TCP/IPمفهوم De-capsulation از Network Deliveryاطالعات
Data 1Data Link Layer
TCP/IPمفهوم De-capsulation از Network Deliveryاطالعات
Data 2Header 2Network Layer(IP)
TCP/IPمفهوم De-capsulation از Network Deliveryاطالعات
Data 2Network Layer(IP)
TCP/IPمفهوم De-capsulation از Network Deliveryاطالعات
Data 3Header 3Transport Layer(TCP, UDP)
TCP/IPمفهوم De-capsulation از Network Deliveryاطالعات
Data 3Transport Layer(TCP, UDP)
TCP/IPمفهوم De-capsulation از Network Deliveryاطالعات
Original Message
Application Layer
TCP/IPمفهوم De-capsulation از Network Deliveryاطالعات
Original Message
Application Layer
سطحی؟ چه در امنیت
Application Layer
Transport Layer
Network Layer
Data Link Layer
PGP, Kerberos, SSH, etc.
Transport Layer Security (TLS)
IP Security
Hardware encryption
الیه در Applicationامنیت
(PGP, Kerberos, SSH, etc.)
درend-host . میشود سازی پیاده هامزایا
عامل - سیستم کردن درگیر . applicationبدون دهد می گسترش را-Application. میکند فراهم را امنیت و درک را اطالعات
معایبهر - برای امنیتی طراحی Applicationمکانیزمهای جداگانه صورت به
. اند شده
الیه در Transportامنیت
Transport Layer Security (TLS)
درend-host . میشود سازی پیاده هامزایا
-Application میشوند امن وقفه بدون موجود های
معایبخاص - پروتکل
الیه در Networkامنیت
IP Security (IPSec)
مزایابرای - امنیت وقفه بدون کردن لنتقال applicationفراهم الیه و ( ULPs)هاکنترل - به دادن اجازه نتیجه در امنیتی اتصال یا جریان هر به دادن اجازه
. شده ریز امنیتی های
معایبیک - انداختن کار به چند userسخت که هایی کامپیوتر . userدر دارند
الیه در Data Linkامنیت افزاری سخت رمزگذاری بین ارتباطی خط یک دادن اختصاص به & hostاحتیاج
routers
مزایاسرعت-
معایبپذیری - مقیاس قابل غیرجداگانه - ارتباطی خط یک به اجتیاج
IP Security (IPSec)
IPSec باز کاری قالب یا چارچوب یکتوسط که است Internetاستاندارد
Engineering Task Force (IETF) توسعهیافته.
اعتبارسنجی،ارتباطات امنیت، آورنده وجود بهدر مطمئن
بر مبتنی های IPشبکه
IPSec Securityسرویسهای اتصال یکپارچگی
. نشده داده تغییر دریافتی ترافیک که این به داشتن شامل Integrity اعتمادپرتوکل است anti-replyزیر
ها داده مبدا اعتبارسنجیقانونی بخشهای یا بخش از شده دریافت ترافیک به داشتن اعتماد
محرمانگیغیرمجاز بخشهای توسط کاربران ترافیک که این به داشتن اعتماد
باشد نمی بررسی قابل
دسترسی کنترلمنابع از غیرمجاز استفاده از جلوگیری
عملکرد IPSecحاالت حالتTransport :پروتکلها باالیی های الیه از حفاظت
IP Header
TCPHeader
DataOriginal IP Datagram
IP Header
TCPHeader
IPSecHeader
DataTransport Mode protected packet
حالتTunnel :کل از IP Payloadحفاظت
Tunnel Mode protected packet
New IP Header
TCPHeader
IPSecHeader
DataOriginal IP Header
protected
protected
Tunnelحالت
Host-to-Network, Network-to-Network
ProtectedData
IPSec
IP Layer
SG
InternetInternet
Transport Layer
Application Layer
IP Layer
Host B
ProtectedData
IPSec
IP Layer
SG
Transport Layer
Application Layer
IP Layer
Host A
SG = Security Gateway
Transport حالت
Transport Layer
Application Layer
Host-to-Host
Transport Layer
Application Layer
IP Layer
Data Link Layer
IPSec
Host B
IP Layer
Data Link Layer
IPSec
Host A
IPSec Security Protocols
Authentication Header (AH) Encapsulating Security Payload (ESP)
IPSec Security Protocols Authentication Header (AH) provides:
اتصال - یکپارچگیداده - منبع سنجی اعتباربرابر - در replay attacksمحافظت
Encapsulating Security Payload (ESP) provides: -) رمزگذاری) محرمانگیاتصال - یکپارچگیداده - منبع سنجی اعتباربرابر - در replay attacksمحافظت
صورت به یا جداگانه صورت به پروتکل دو هر که دارد امکان. گیرند قرار استفاده مورد یکدیگر از ترکیبی
Outbound/Inbound IPSec Processing
فرایندinbound IPSec وoutbound IPSec هستند یکدیگر از مستقل کامال
Packet
SPDIPSec policies
SAD
SPD = Security Policy DatabaseSAD = Security Association DatabaseSA = Security Association
Packet
Outbound IPSec Processing
selector
1. Drop the packet.2. Bypass IPSec.3. Apply IPSec.
SAout
SPDIPSec policies
Packet
Inbound IPSec ProcessingCase 1:
موجود IPSec headersاگر بود
.1Headers شوند می پردازش.2SPD بسته یک آیا اینکه برای
خیر Sainبراساس یا گیرد می قرار تیید مورد
میکند مشورت
SPD = Security Policy DatabaseSAD = Security Association DatabaseSA = Security Association
SPDIPSec policies
Packet
Inbound IPSec ProcessingCase 2:
در IPSec headersاگر نباشد کار
.1SPD شناسایی برایروی کار برای سروسی
کند می مشورت بستهیک .2 مخصوص trafficاگر
توسط مراقبت به احتیاجIPSec آن لی و باشد داشتهtraffic باید نباشد موجودشود حذف
SPD = Security Policy DatabaseSAD = Security Association DatabaseSA = Security Association
دنیای در شده سازی پیاده مثالهایواقعی
VPNs
Wireless
Internet
SG
Internet
Encrypted / Authenticated