IPsec هو إطار التقنيات المستخدمة ل تأمين الاتصال بين نقطتين. وهو يرمز إلى أمان بروتوكول الإنترنت وغالبًا ما يتم رؤيته في شبكات VPN. قد يكون الأمر معقدًا إلى حد ما ، ولكنه خيار مفيد لتأمين الاتصالات في مواقف معينة.
يقسم هذا الدليل IPsec إلى أجزاء سهلة ، مما يوفر لك مقدمة تغطي ماهية البروتوكول ، وكيف يعمل ، وبعض مشكلات الأمان المحتملة..
أمن بروتوكول الإنترنت: نظرة عامة
تم تطوير IPsec مبدئيًا لأن بروتوكول الإنترنت الأكثر شيوعًا ، IPv4 ، لا يحتوي على الكثير من أحكام الأمان. يمكن بسهولة اعتراض البيانات المنقولة عبر IPv4 أو تغييرها أو إيقافها, مما يجعله نظامًا سيئًا لأي عمليات نقل مهمة.
هناك حاجة إلى مجموعة جديدة من المعايير لحماية المعلومات. سد IPsec هذه الفجوة من خلال العمل كإطار عمل يمكنه مصادقة الاتصالات ، بالإضافة إلى إثبات سلامة البيانات وجعلها سرية. IPsec هو معيار مفتوح يعمل على مستوى الشبكة. يمكن استخدامه لنقل البيانات بشكل آمن من مضيف إلى مضيف ، من شبكة إلى شبكة ، أو بين شبكة ومضيف.
يستخدم IPsec بشكل شائع لتأمين حركة المرور التي تمر عبر IPv4. في البداية ، كان هناك أيضًا متطلبات لتطبيق بروتوكول الإنترنت الأحدث ، IPv6 ، لدعم IPsec. على الرغم من ذلك ، فهي الآن مجرد توصية ولا يتم تنفيذها.
كإطار عمل ، IPsec يتكون من ثلاثة عناصر رئيسية. الأولين هما البروتوكولات, تغليف حمولة الأمان (ESP) ورأس المصادقة (AH). الجمعيات الأمنية هي الجانب الأخير.
يمكن استخدام ESP لتشفير البيانات وتوثيقها ، في حين لا يمكن استخدام AH إلا للمصادقة عليها. عادة ما يتم استخدام الخيارين بشكل منفصل ، على الرغم من أنه من الممكن استخدامهما معًا.
يستخدم IPsec SAs لتأسيس معلمات الاتصالات. تتضمن هذه المعلمات أنظمة الإدارة الأساسية التي سيستخدمها كل طرف لمصادقة بعضهم البعض ، وكذلك خوارزميات التشفير وخوارزميات التجزئة وعناصر أخرى مهمة لتشغيل اتصال آمن ومستقر.
يمكن أن يستخدم IPsec كلاً من ESP و AH في وضع النفق أو النقل. عند استخدام وضع النفق ، يتم تشفير حزمة البيانات بالكامل أو مصادقتها (أو كليهما). يتم تغليف الحمولة والرأس والمقطورة (إن وجدت) في حزمة بيانات أخرى لحمايتها.
في وضع النقل ، يبقى الرأس الأصلي ، ولكن تتم إضافة رأس جديد أسفله. هناك أيضًا بعض التغييرات الأخرى ، اعتمادًا على ما إذا كان يتم استخدام ESP أو AH. يعمل هذا على حماية الحزمة ، ومع ذلك ، لا تزال بعض المعلومات متاحة للمهاجمين.
التكوين الأكثر شيوعا الذي نراه هو ESP مع المصادقة في وضع النفق. هذا هو ما تعتمد عليه العديد من شبكات VPN لتأمين البيانات. إنه يعمل مثل النفق المشفر ، مما يمنح البيانات ممرًا آمنًا أثناء مرورها عبر شبكات وسيطة قد تكون خطرة.
تاريخ IPsec
في الأيام الأولى للإنترنت ، لم يكن الأمن يمثل أولوية كبيرة في العديد من المواقف. هذا لأن مجتمع الإنترنت كان مقصورًا على من لديهم المعرفة والموارد والرغبة في استخدامه. كان عدد المستخدمين ضئيلاً مقارنة باليوم الحديث ، وكان يتم نقل كمية أقل بكثير من البيانات. وبسبب هذا ، كان المهاجمون فرص أقل بكثير.
كما نما المجتمع وأصبحت الإنترنت أكثر نشاطا, أصبح الأمن أكثر من ضرورة. في الثمانينيات ، استخدمت وكالة الأمن القومي برنامج أنظمة شبكات البيانات الآمنة (SDNS) لتمويل تطوير عدد من البروتوكولات التي تركز على الأمان.
تم نشر النتائج من قبل المعهد الوطني للمعايير والتكنولوجيا (NIST) في عام 1988. أحد البروتوكولات التي حددها NIST, بروتوكول الأمان في الطبقة 3 (SP3), انتهى الأمر أصبح معيار الإنترنت ، و بروتوكول أمان طبقة الشبكة (NLSP).
مع مرور الوقت ، بدأت العديد من المنظمات في تحسين SP3 ، مع المشاريع التي تنفذها الولايات المتحدة مختبر أبحاث البحرية (NRL) ، AT&T Bell Labs ، أنظمة المعلومات الموثوقة وغيرها. في الوقت نفسه ، مكنت التطورات الأخرى ، مثل برنامج تشغيل الجهاز لمعيار تشفير البيانات (DES) ، من إرسال البيانات بأمان بين سواحل الولايات المتحدة بسرعات معقولة للفترة الزمنية.
لو تركت هذه التطورات لتستمر بشكل منفصل ، لكانت ستؤدي إلى ذلك مشكلات التشغيل المتداخل بين الأنظمة المختلفة. شكلت فرقة عمل هندسة الإنترنت (IETF) مجموعة عمل أمان IP لتوحيد هذه التطورات في بروتوكول قابل للتشغيل المتبادل. في عام 1995 ، نشر IETF تفاصيل معيار IPsec في RFC 1825 و RFC 1826 و RFC 1827.
كان NRL أول من توصل إلى تنفيذ عملي للمعيار ، والذي بدأ منذ ذلك الحين في الاستخدام السائد. على مر السنين ، كانت هناك العديد من التحديثات لـ IPsec ووثائقها ، ولكن لا يزال يتم نشرها لمصادقة كلا الجانبين من الاتصال وتأمين البيانات التي تنتقل بين.
كيف يعمل IPsec?
قبل الدخول في التفاصيل الفنية الخاصة بـ IPsec وأنماطه المختلفة ، سنتحدث عن ذلك من خلال قياس يسهل تصور التكوينات المعقدة إلى حد ما. أولاً ، عليك أن تفهم قليلاً حول كيفية عمل الحزم على IPv4 ، ومشاكل الأمان المرتبطة بها.
ما هي حزم البيانات وكيف تعمل?
يتم نقل البيانات في حزم ، والتي تتكون من الحمولة ورأس في IPv4. الحمولة النافعة هي البيانات نفسها التي يتم إرسالها ، في حين أن الرأس يتضمن نوع البروتوكول والعناوين والمعلومات الأخرى اللازمة للتأكد من أن البيانات يمكن أن تصل إلى الموقع المطلوب.
أحد أفضل الطرق لتصوير حزم البيانات هو اعتبارها بطاقات بريدية. الحمولة هي الرسالة التي يكتبها شخص ما على ظهره ، والرأس هو معلومات التسليم التي تضعها في المقدمة. تمامًا كما هو الحال مع البطاقات البريدية ، فإن البيانات المرسلة في حزمة IPv4 عادية ليست آمنة جدًا.
في هذه الحزم القياسية, يمكن لأي شخص رؤية الحمولة, تماما مثل ساعي البريد أو أي مهاجم يعترض بطاقة بريدية يمكن قراءتها. يمكن تغيير هذه الحزم كما لو كنت قد كتبت في البداية البطاقة البريدية بالقلم الرصاص ومحو المهاجم الرسالة الأصلية وكتب في شيء آخر.
يمكن للمهاجمين أيضًا رؤية معلومات الرأس, تماما مثل الجانب الأمامي من بطاقة بريدية. هذا يتيح لهم معرفة من تتواصل معه وكيف تقوم بذلك. يمكنهم حتى مزيفة حزم IPv4 الخاصة بهم لجعلها تبدو كما لو كنت أرسلت لهم ، وهذا يشبه إلى حد كبير إذا نسخت أسلوب خط اليد وتظاهر بأنك أنت.
كما ترون ، هذه ليست طريقة آمنة للاتصال ، وهناك العديد من الطرق التي يمكن أن يعطلها المهاجمون. هذا هو ما أدى إلى تطوير IPsec. أناوفر طريقة لمصادقة الاتصالات ، وإثبات سلامة البيانات ، والحفاظ عليها سرية ، كل ذلك على مستوى الشبكة. بدون IPsec أو بروتوكولات الأمان الأخرى المعمول بها ، سيكون للمهاجمين حرية عرض أو تغيير أي بيانات حساسة وقيمة اعترضوها.
تغليف حمولة الأمان (ESP): تصور
سنتحدث عن ESP أولاً لأن هذا هو البروتوكول الأكثر استخدامًا. عندما يتم تطبيقه مع المصادقة في وضع النفق ، يتم استخدامه لتشكيل شبكات VPN قم بتوصيل المضيفين والشبكات بأمان عبر الشبكات الوسيطة غير الآمنة التي تكمن بين.
كما رأينا أعلاه ، ليس من الآمن إرسال بيانات حساسة باستخدام IPv4. يعمل وضع ESP الخاص بـ IPsec على حل هذه المشكلة عن طريق توفير طريقة لذلك تشفير البيانات, مما يجعل البيانات سرية ويمنع المهاجمين من الوصول إليها. يمكن أيضًا استخدام ESP لمصادقة البيانات ، والتي يمكن أن تثبت شرعيتها.
عند استخدام ESP مع التشفير ، فإن الأمر يشبه إلى حد كبير وضع البطاقة البريدية في صندوق مغلق وإرسالها عبر البريد السريع. لا يمكن لأحد رؤية محتويات البطاقة البريدية ، ولا يمكنه تغييرها. يمكنهم أن يروا أي معلومات بريدية مكتوبة على الصندوق المقفل ، لكن هذا يختلف عما هو مكتوب على البطاقة البريدية.
إذا تم استخدام ESP مع المصادقة أيضًا ، فسيكون مثل توقيع البطاقة البريدية أو وضع ختمك الشخصي عليها قبل وضعها في الصندوق. عندما يتلقى المستلم الصندوق المقفل ، يمكنه فتحه وإخراج البطاقة البريدية. عندما يرون الختم أو التوقيع ، فإنهم يعلمون أن البطاقة البريدية منكم شرعية.
عندما يكون ESP في وضع النقل ، يبدو الأمر كما لو أن البطاقة البريدية مقفلة في صندوق ويتم إرسالها عن طريق البريد ، باستثناء المربع الذي يحتوي على نافذة واضحة يمكنك من خلالها رؤية معلومات عنوان البطاقة البريدية. عندما تكون في وضع النفق ، تشبه البطاقة البريدية في صندوق صلب ، مع معلومات عنوان مختلفة من الخارج.
بالطبع ، هذا مجرد تشبيه لمساعدتك على تصور ما يجري. في الواقع ، هناك بعض اختلافات كبيرة مثل البيانات التي تنتقل بين الشبكات والمضيفين, بدلا من شخص واحد فقط إرسال المعلومات إلى آخر.
تغليف حمولة الأمان (ESP): التفاصيل الفنية
الآن وقد قدمنا لك فكرة تقريبية عن كيفية عمل ESP لحماية البيانات ، فقد حان الوقت للنظر إليها على مستوى أكثر تقنية. يمكن استخدام ESP مع مجموعة من خوارزميات تشفير مختلفة, مع AES كونها واحدة من الأكثر شعبية. يمكن تنفيذه حتى بدون تشفير ، على الرغم من أنه نادراً ما يتم ذلك في الممارسة العملية. تحتوي رؤوس حزم بيانات ESP على فهرس معلمات الأمان (SPI) ورقم التسلسل.
SPI هو معرف يتيح للمستلم معرفة الاتصال الذي تتصل به البيانات ، وكذلك معلمات ذلك الاتصال. رقم التسلسل هو معرف آخر يساعد على منع المهاجمين من تغيير حزم البيانات.
يتميز ESP أيضًا بمقطورة تحتوي على حشوة وتفاصيل عن نوع البروتوكول للرأس التالي وبيانات المصادقة (في حالة استخدام المصادقة). عندما تكون المصادقة في مكانها ، يتم ذلك باستخدام أ رمز مصادقة الرسائل المجزأة (HMAC), الذي يتم حسابه باستخدام خوارزميات مثل SHA-2 و SHA-3.
تقوم مصادقة ESP بالتحقق من صحة عنوان ESP والحمولة المشفرة فقط ، ولكنها لا تؤثر على بقية الحزمة. عندما يتم تشفير الحزمة باستخدام ESP ، يمكن للمهاجمين فقط رؤية البيانات من الرأس وليس من الحمولة.
تغليف حمولة الأمان (ESP): وضع النقل
يستخدم وضع النقل الخاص بـ ESP لحماية المعلومات المرسلة بين مضيفين. يتم الاحتفاظ برأس IP أعلى حزمة ESP ، ويظل جزء كبير من معلومات الرأس كما هو ، بما في ذلك عناوين المصدر والوجهة. تقوم بتشفير الحزمة وتوثيقها اختياريًا ، مما يوفر السرية ويمكن استخدامها للتحقق من سلامة الحزمة أيضًا.
تغليف حمولة الأمان (ESP): وضع النفق
عندما يكون ESP في وضع النفق ، يتم تغليف حزمة بيانات IP بالكامل داخل حزمة أخرى ، وإضافة رأس جديد في الأعلى. عندما تكون المصادقة أيضًا في مكانها ، يمكن استخدام وضع نفق ESP كشبكة VPN. هذا هو التكوين الأكثر استخدامًا لـ IPsec.
إن إجراءات المصادقة وإثبات النزاهة والسرية المتضمنة في وضع النفق المصادق لـ ESP تجعله مفيدًا للانضمام بأمان إلى شبكتين منفصلتين عبر الشبكات غير الموثوق بها والخطيرة المحتملة والتي تقع بينهما.
يتم وصف هذا الوضع بشكل أفضل من خلال المبتذلة الشائعة لبناء نفق مشفر بين النقطتين ، مما يؤدي إلى إنشاء اتصال آمن لا يمكن للمهاجمين اختراقه. عند استخدام ESP لتشفير المصادقة, يمكن للمهاجمين الذين يعترضون البيانات فقط معرفة أن VPN تستخدم للاتصال. لا يمكنهم رؤية الحمولة أو الرأس الأصلي.
تم استخدام الشبكات الافتراضية الخاصة في البداية من قبل الشركات لتوصيل المكاتب الإقليمية بالمقر الرئيسي. يسمح هذا النوع من الاتصال للشركات بمشاركة البيانات بسهولة وأمان بين مواقعها المنفصلة. في السنوات الأخيرة ، أصبحت شبكات VPN أيضًا خدمة شائعة للأفراد. غالبًا ما يتم استخدامها للخداع الجغرافي أو لتأمين الاتصالات ، خاصة عند استخدام شبكة wifi العامة.
مصادقة رأس (AH): تصور
الآن وقد قمنا بتغطية ESP ، يجب أن يكون فهم AH أسهل قليلاً. نظرًا لأنه لا يمكن استخدام AH إلا لمصادقة حزم البيانات ، فهو يشبه توقيع بطاقة بريدية أو إضافة ختمك الخاص إليها. نظرًا لعدم وجود تشفير ، لا يوجد صندوق مقفل أو حامل في هذا القياس.
إن الافتقار إلى الحماية المشفرة يشبه إلى حد ما البطاقة البريدية التي يتم إرسالها عبر البريد العادي ، حيث يستطيع ساعي البريد وأي مهاجمين الاطلاع على معلومات العنوان وكذلك الرسالة المكتوبة على ظهر البطاقة. ومع ذلك ، بسبب الختم أو التوقيع ، لا يمكن تغيير هذه المعلومات. وبالمثل ، يسمح لك الختم والتوقيع بإثبات أنك المرسل الحقيقي ، بدلاً من شخص كان يحاول تقليدك..
في وضع النقل AH ، تتم إضافة رأس المصادقة ، الذي يحمي الحمولة والغالبية العظمى من معلومات الرأس. يشبه هذا بطاقة بريدية وهمية تحتوي على ختم واضح يحمي غالبية محتوياته.
لا يمكن تغيير أي شيء أسفل الختم ، لكن يمكن رؤية البطاقة البريدية بالكامل من قبل أي شخص يعترضها. لا يتم تغطية بعض التفاصيل بواسطة الختم ويمكن تغييرها على الأرجح ، ولكن يتم تأمين جميع المعلومات المهمة عن طريق الختم. يحتوي الختم أيضًا على بعض المعلومات المكتوبة عليه ، ولكن لأغراض هذا المثال ، ليس من المهم توضيح ذلك الآن.
في وضع النفق ، يتم تغليف الحزمة داخل أخرى ، وتتم مصادقة الأغلبية. يتشابه هذا التشابه قليلاً في هذه الحالة ، لكن الأمر يشبه إلى حد كبير التفاف البطاقة البريدية في مظروف واضح مع ختم. يحتوي المغلف على معلومات العنوان الخاصة به أيضًا ، ويحمي الختم كل شيء تقريبًا من التعديل.
رأس المصادقة (AH): التفاصيل الفنية
يتم استخدام AH للمصادقة على أن البيانات تأتي من مصدر شرعي ، وكذلك أنها تحتفظ بتكاملها. يمكن استخدامه لإظهار أن البيانات لم يتم العبث بها ولحمايتها من هجمات الإعادة.
لا يتم تطبيق AH بشكل متكرر ، ولكن لا يزال من المهم مناقشته. ويضيف رأس المصادقة الخاصة به ويستخدم رموز مصادقة رسائل التجزئة (HMACs) لحماية غالبية حزمة البيانات. يتضمن هذا الحمولة بالكامل ، وكذلك معظم الحقول الموجودة في الرأس. يتم احتساب HMACs باستخدام خوارزميات التجزئة مثل SHA-2.
رأس المصادقة (AH): وضع النقل
يتم استخدام وضع النقل AH عموما ل التواصل في اتجاهين بين المضيفين. تتم إضافة رأس AH إلى الحزمة ، ويتم نقل بعض رمز البروتوكول. عندما تصل حزمة AH ويتم فحص HMAC ، يتم أخذ رأس AH بعيدا ويتم إجراء بعض التغييرات الأخرى. بمجرد عودة حزمة البيانات في شكلها الطبيعي ، يمكن معالجتها كالمعتاد.
رأس المصادقة (AH): وضع النفق
في هذا الوضع ، يتم تغليف الحزمة الأصلية داخل أخرى ، ثم المصادقة مع HMAC. هذه عملية تضيف رأس المصادقة, مصادقة كامل الرأس الأصلي (في وضع النقل ، لا يتم تغطية أجزاء قليلة من الرأس) وكذلك غالبية الرأس المضافة حديثًا. يتم التحقق من الحمولة أيضًا.
عندما تصل هذه الحزم إلى وجهتها ، فإنها تخضع لفحص المصادقة ، ثم يتم إرجاع الحزمة إلى وضعها الطبيعي عن طريق إزالة كل من رأس المضافة حديثًا ، وكذلك رأس المصادقة.
الجمعيات الأمنية
تقوم اقترانات الأمان (SAs) بتعيين وتخزين المعلمات لاتصال IPsec. يتم استخدامها من قِبل كل من AH و ESP لإنشاء عملية اتصال مستقرة تلبي الاحتياجات الأمنية لكل جانب. يحتوي كل مضيف أو شبكة على ضمانات منفصلة لكل طرف يتصل به ، وكلها لها مجموعة من المعلمات الخاصة بها.
عندما يتفاوض مضيفان بشأن علاقتهما لأول مرة ، تشكيل SA مع المعلمات التي سيتم استخدامها في الاتصال. يفعلون ذلك في عملية تدريجية ، حيث يقدم أحد الأطراف سياسة يمكن للطرف الآخر قبولها أو رفضها. تستمر هذه العملية حتى يتم التوصل إلى سياسة مقبولة للطرفين ويتم تكرارها لكل معلمة منفصلة.
يتضمن كل SA الخوارزميات التي سيتم استخدامها, سواء كانت للمصادقة (مثل SHA-2) أو التشفير (مثل AES). تتضمن SAs أيضًا المعلمات الخاصة بتبادل المفاتيح (مثل IKE) وسياسة تصفية IP وقيود التوجيه وغير ذلك. بمجرد إنشاء جمعية الأمان ، يتم تخزينها في قاعدة بيانات رابطة الأمان (SAD).
عندما تتلقى واجهة حزمة بيانات ، فإنها تستخدم ثلاثة أجزاء مختلفة من المعلومات للعثور على SA الصحيحة. الأول هو عنوان IP للشريك, الذي قد تفترض ، هو عنوان IP للطرف الآخر في الاتصال. والثاني هو بروتوكول IPsec, إما ESP أو AH.
الجزء الأخير من المعلومات هو مؤشر معلمات الأمان (SPI), وهو معرف يضاف إلى الرأس. يتم استخدامه للاختيار بين SAs من اتصالات مختلفة من أجل التأكد من أن يتم تطبيق المعلمات الصحيحة.
يسير كل SA في اتجاه واحد فقط ، لذلك هناك حاجة إلى اثنتين على الأقل حتى يمكن الاتصال في الاتجاهين. إذا تم استخدام AH و ESP معًا ، فستكون هناك حاجة إلى SA في كل اتجاه لكل بروتوكول ، بإجمالي أربعة.
IPsec مقابل TLS / SSL
في بعض الأحيان قد يكون من الصعب فهم الفرق بين IPsec والبروتوكولات مثل TLS / SSL. بعد كل شيء ، كلاهما مجرد توفير الأمن ، أليس كذلك؟ إنهم يفعلون ذلك ، لكنهم يفعلون ذلك بطرق مختلفة وعلى مستويات مختلفة.
واحدة من أفضل الطرق لمقارنة IPsec و TLS / SSL هي ننظر إليها في سياق نموذج OSI. نموذج OSI هو نظام مفاهيمي يُستخدم للمساعدة في فهم وتوحيد الجوانب والطبقات المختلفة لعملية الاتصال المعقدة الخاصة بنا.
في هذا النموذج, وظائف IPsec في الطبقة الثالثة, طبقة الشبكة ، مما يعني أنها في وضع يمكنها من نقل حزم البيانات إلى مضيف عبر مجموعة واحدة أو سلسلة من الشبكات.
عندما ننظر إلى TLS / SSL ، تصبح الأمور مربكة أكثر. هذا لأنه يعمل عبر وسيلة نقل أخرى ، TCP. هذا يجب أن مكان TLS / SSL فوق طبقة أربعة في نموذج OSI.
يقوم TLS / SSL أيضًا بتنظيم رسائل المصافحة ، والتي هي المستوى الخامس ، طبقة الجلسة. هذا من شأنه أن يضع TLS / SSL في أي من الطبقات ستة أو سبعة.
يصبح الأمر أكثر تعقيدًا عندما تفكر في أن التطبيقات تستخدم TLS / SSL كبروتوكول نقل. هذا من شأنه أن يضع TLS / SSL في المستوى الرابع أو أقل. لكن كيف يمكن أن يكون في وقت واحد في طبقات ستة أو سبعة ، وكذلك في طبقة أربعة أو أقل?
الجواب هو أن لا يتوافق TLS / SSL مع النموذج. الأسباب الكامنة وراء هذا خارج نطاق هذه المقالة. أهم شيء تحتاج إلى معرفته هو أن نموذج OSI هو ذلك النموذج ، وأحيانًا لا يتوافق الواقع مع النماذج الأنيقة والأنيقة الخاصة بنا.
عندما نتحدث عن هذه المعايير بالمعنى العملي, يتمثل دور TLS / SSL في مصادقة البيانات والتحقق من سلامتها وتشفيرها وضغطها. يمكن تنفيذه لتأمين مجموعة من البروتوكولات الأخرى ، مثل HTTP أو SMTP ، ويمكن رؤيته أيضًا في مجموعة واسعة من التطبيقات ، مثل VoIP وتصفح الويب.
يختلف IPsec بعدة طرق ، الأول هو ذلك إنه إطار, بدلا من بروتوكول واحد. كما أنه أكثر تعقيدًا ، مما يجعل من الصعب الإعداد والصيانة.
في النهاية ، تعد TLS / SSL أبسط من IPsec ، وهذا سبب آخر يجعلها تميل إلى التنفيذ بطريقة أكثر انتشارًا. إنه جزء أساسي من أحد بروتوكولات الأنفاق البديلة الرئيسية ، OpenVPN.
أنظر أيضا: الدليل النهائي ل TCP / IP
أمان IPsec
في السنوات القليلة الماضية ، كان هناك الكثير من الحديث عنها الهيئات الحكومية التي تضع خلفيات في IPsec وتستفيد من نقاط الضعف لاستهداف من يستخدمون البروتوكول. ظهرت بعض المزاعم المبكرة في عام 2010 ، عندما اتصل جريج بيري بالمطور الرئيسي لشركة OpenBSD.
وأكد ذلك كان مكتب التحقيقات الفيدرالي قد وضع العديد من الخلفية ، وكذلك آليات لتسريب مفتاح القناة الجانبية ، في رمز OpenBSD. تم ادعاء هذا التأثير على مكدس OpenBSD IPsec ، والذي يستخدم على نطاق واسع.
في تسريبات Snowden 2013 ، تم الكشف عن أن كانت وكالة الأمن القومي تستهدف أشكالًا مختلفة من التشفير وأدوات الأمان الأخرى. يبدو أن المستندات تؤكد أن وكالة الأمن القومي لديها طرقها الخاصة للوصول إلى المفاتيح المستخدمة في IPsec ، مما يسمح لها بالتطفل على اتصالات معينة.
الوثائق التي تسربها Shadow Brokers في عام 2016 توضح أن لدى NSA أداة يمكن استخدامها لكسر تطبيق IPsec المستخدم في جدران الحماية من Pisco. على الرغم من توقف جدران الحماية هذه في عام 2009 ، إلا أنه يمكن استخدام هجوم BENIGNCERTAIN للوصول إلى كلمات مرور أجهزة PIX.
تضمن الهجوم إرسال حزم تبادل مفتاح الإنترنت (IKE) إلى خادم PIX, والتي من شأنها أن تؤدي إلى إطلاق بعض من ذاكرتها. يمكن البحث في هذه المعلومات للعثور على معلومات التكوين والمفتاح الخاص RSA ، والذي يمكن استخدامه بعد ذلك بواسطة NSA للتجسس على اتصال IPsec. ضع في اعتبارك أن هذا مجرد تطبيق واحد ضعيف ، ولا يؤثر على أي من أشكال IPsec الحالية.
في عام 2023 ، استغل الباحثون عيبًا في بروتوكول IKE ، مما سمح لهم بفك تشفير الاتصالات. يمكن استخدام إثبات المفهوم للقيام بهجمات في الوسط ، حيث يمكن للمهاجمين اعتراض البيانات أو العبث بها أو حتى منع إرسالها.
تستخدم هذه التقنية أوراكل Bleichenbacher لفك تشفير nonces ، مما يعطل مصادقة RSA في المرحلة الأولى من IKE. هذا يسمح للمهاجمين باستخدام مفاتيح متماثلة مصادقة بطريقة احتيالية مع هدفهم. يمكنهم بعد ذلك محاكاة ساخرة لنقطة نهاية IPsec ، مما يؤدي إلى تعطيل التشفير ، مما يسمح لهم بإدراج أنفسهم في اتصال آمن سابقًا.
على الرغم من أن هذا الهجوم مثير للقلق ، فقد تم إصدار تصحيحات للتطبيقات المعروفة أنها تؤثر عليها. قامت كل من Huawei و Cisco و Clavister و XyXEL بإصدار تصحيحات بعد فترة وجيزة من تنبيههم إلى نقاط الضعف. من الآمن استخدام هذه التطبيقات المتأثرة سابقًا طالما كانت محدّثة.
هناك العديد من نقاط الضعف المحتملة في IPsec ، والعديد منها يتضمن IKE. رغم هذه القضايا, لا يزال يعتبر IPsec آمنًا للاستخدام العام, طالما تم تنفيذه بشكل صحيح والتنفيذ يستخدم أحدث التحديثات.
لم يتم كسر IPsec نفسه. من المهم أن تتذكر أنه مجرد إطار يمكنه استخدام عدد من البروتوكولات المختلفة. لا يزال من الممكن استخدام IPsec بأمان ، طالما يتم استخدام البروتوكولات الصحيحة بالطريقة المناسبة. ومع ذلك ، فإن التكوينات غير الآمنة لديها القدرة على مهاجمتها من قبل وكالة الأمن القومي والأطراف الأخرى ، لذلك من المهم أن تستخدم IPsec بشكل صحيح.
يجب أن تستخدم IPsec?
يستخدم IPsec في الغالب لتكوين نفق آمن في الشبكات الخاصة الافتراضية ، لكنه ليس الخيار الوحيد. إذا كنت قلقًا بشأن أمانك ، فمن الأفضل أن تفكر في الخيارات الأخرى وإيجاد حل يناسب حالة الاستخدام الخاصة بك وملف تعريف المخاطر.
البدائل الرئيسية هي PPTP و SSTP و OpenVPN. يعد بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) قديمًا ولديه الكثير من مشكلات الأمان ، لذا فهو كذلك أفضل لتجنب ذلك في جميع الظروف. يعد بروتوكول نفق مأخذ التوصيل الآمن (SSTP) خيارًا أفضل لمستخدمي Windows ، ولكنه كذلك لا المراجعة بشكل مستقل.
OpenVPN هو بديل مفتوح المصدر يحتوي على مجموعة من خيارات التكوين المختلفة. ويستخدم SSL / TLS وليس من المعروف أن لديه أي مشاكل أمنية, لذلك فهو الخيار الأفضل لأي شخص مهتم بمشكلات الأمان التي تم العثور عليها في IPsec.
هذا لا يعني أن جميع اتصالات IPsec غير آمنة بطبيعتها ، فهذا يعني فقط أن هناك بدائل أكثر أمانًا لأولئك الذين يدركون الأمن ، أو يواجهون مستوى تهديد عاليًا.
ذات صلة: IPSec مقابل SSL
لوحة مفاتيح كمبيوتر مرخص تحت CC0
IPsec هو إطار تقنيات مهم لتأمين الاتصال بين نقطتين، ويستخدم عادة في شبكات VPN. يعتبر IPsec معيارًا مفتوحًا يعمل على مستوى الشبكة، ويتكون من ثلاثة عناصر رئيسية: تغليف حمولة الأمان (ESP) ورأس المصادقة (AH) والجمعيات الأمنية. يمكن استخدام ESP لتشفير البيانات وتوثيقها، في حين لا يمكن استخدام AH إلا للمصادقة عليها. يستخدم IPsec SAs لتأسيس معلمات الاتصالات، ويمكن استخدامه كلاً من ESP و AH في وضع النفق أو النقل. يعتبر IPsec خيارًا مفيدًا لتأمين الاتصالات في مواقف معينة، ويمكن استخدامه لنقل البيانات بشكل آمن من مضيف إلى مضيف، من شبكة إلى شبكة، أو بين شبكة ومضيف.