ماهو ipsec

[سراب]

بسم الله الرحمن الرحيم

مقدمه :
بعد التقدم والتطور الذي حصل في عالم السيكيورتي ، وبعد تطور اساليب المخترقين في عملياتهم وتنوعها كMan-IN-THe-Midle و كSniffing والRelaying والكثير غيرها ،، كان لا بد من ايجاد طريقة امنه لتخطي هذه الامور وخصوصا في الامور الحساسه كالتجاره الالكترونيه وعمليات كشف الحسابات عن طريق الانترنت وغيرها ، فكان لابد من طريقه لتامين ذلك ،، فتم تطوير تقنيه الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال امن مشفر Encrypted ضمن تعقيدات متفاوته فمنها ال40Bit ومنها 128bit ،، فتم استخدام الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها الداتا مثل SMTP او الDatabase communications ،

وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443 بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير،،

ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،، والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى Web-based Certificates .

وظهرت تقنيه اخرى داخل الشبكه نفسها وليس على شبكه عالميه كالانترنت ، وهي SMB Signing ،، الجميع يعلم ان الSMB : Server Message Block هي الpackets الي يتم ارسالها بين السيرفر والاجهزه في عملية المشاركه في الملفات وغيره Sharing ،، وللحمايه من طريقة سرقة المعلومات اثناء مرورها في الاسلاك Man In The Middle MITM وهذه الطريقه تدعى SMB Signing ،، يتم بواسطتها اضافة الHash (وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات
رياضيه من الرساله ، ومن الامثله عليه MD4 , MD5 , SHA-1 ) ويتم تشفير هذا الHash واضافته للرساله وبذلك نحافظ على صحة الرساله Message or Packet Integrity .

لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .

IPSec Protocols
الIPsec هو طريقه وليس بروتوكول كما يخطأ البعض ،، لكن للIPSec بروتوكولان رئيسيان هما :

اولا: AH : Authentication Header

يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Encryption ، حيث يحافظ فقط على ما يلي للمستخدم :

1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .

2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .

3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.

4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ،، فيمكن للمستخدم ان يغير الIP Address خاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل الحزمه Packet موقعه Digitally signed.

هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .




هذه الصورة مأخوذة من موقع لنكس جورنال




ثانيا: ESP : Encapsulating Security Payload

يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Encryption and Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public Network مثل الانترنت ،

يوفر الESP المزايا التاليه:

1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ،(هوية المرسل).

2. التشفير للبيانات Data Encryption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .

3.Anti-Replay : موضحه في الAH .

4.Anti-Spoofing Protection : موضحه في ال AH.



ثالثا : IKE : Internet Key Exchange

الوظيفة الاساسيه لهذا البروتوكول هي ضمان الكيفيه وعملية توزيع ومشاركة المفاتيح Keys بين مستخدمي الIPSec ، فهو بروتوكول الnegotiation اي النقاش في نظام الIPSec كما انه يعمل على تاكيد طريقة الموثوقيه Authentication والمفاتيح الواجب استخدامها ونوعها (حيث ان الIPSec يستخدم التشفير 3DES وهو عباره عن زوج من المفاتيح ذاتها يتولد عشوائيا بطرق حسابيه معقده ويتم اعطاءه فقط للجهة الثانيه ويمنع توزيعه وهو من نوع Symmetric Encryption اي التشفير المتوازي ويستخدم تقنية الPrivate Key .

هكذا نكون قد انهينا مكونات الIPSec , لننتقل الى موضوع IPSec modes اي طرق او انواع الIPSec التي يستخدمها في الشبكه


ينقسم الIPSec الى نظامين او نوعين وهما :

1. نظام النقل Transport Mode

2. نظام النفق Tunnel Mode .
اولا : Transport Mode

يستخدم هذا النظام عادة داخل الشبكه المحليه LAN : Local Area Network حبث يقدم خدمات التشفير للبيانات التي تتطابق والسياسه المتبعه في الIPSec بين اي جهازين في الشبكه اي يوفر Endpoint-to-Endpoint Encryption فمثلا اذا قمت بضبط سياسة الIPSec على تشفير جميع الحركه التي تتم على بورت 23 وهو بورت الTelnet (حيث ان الTelnet ترسل كل شيء مثلما هو دون تشفير Plain Text ) فاذا تمت محادثه بين السيرفر والمستخدم على هذا البورت فان الIPSec يقوم بتشفير كل البيانات المرسله من لحظت خروجها من جهاز المستخدم الى لحظه وصولها الى السيرفر.


يتم تطبيق هذا النظام Transport Mode في الحالات التاليه :

اولا: المحادثه تتم بين الاجهزه في داخل او نفس الشبكه الداخليه الخاصه Private LAN .

ثانيا: المحادثه تتم بين جهازين ولا يقطع بينهما Firewall حائط ناري يعمل عمل NAT : Network Address Translation (نظام يمكن الFirewall من استبدال جميع عناوين الIPs في الشبكه الداخليه عن حزمة البيانات Packet واستبدالها في عنوان Public IP اخر ،، ونستفيد من ذلك هو اننا لن نحتاج سوى الى عنوان IP واحد One Public IP ، وايضا انه يقوم باخفاء عناوين الاجهزه عن شبكة الانترنت للحمايه من الاختراق الخارجي) .

ثانيا: Tunnel Mode

يتم استخدام هذا النظام لتطبيق الIPSec بين نقطتين تكون بالعاده بين راوترين 2 Routers ، اذا يتم استخدام هذا النظام بين نقطتين بعيدتين جغرافيا اي سيتم قطع الانترنت في طريقها الى الطرف الثاني ، مثل الاتصالات التي تحدث بين الشبكات المتباعده جغرافيا WAN : Wide Area Network ، يستخدم هذا النظام فقط عند الحاجه لتأمين البيانات فقط اثناء مرورها من مناطق غير امنه كالانترنت ، فمثلا اذا اراد فرعين لشركه ان يقوم بتشفير جميع البيانات التي يتم ارسالها فيما بينهم على بروتوكول FTP : File Transfere Protocol فيتم اعداد الIPSec على اساس الTunneling Mode .


كنت قد قلت في الدرس السابق اني ساضيف مخططا لحزمة بيانات الESP ،، وهذه صوره مخطط لكل من الPackets في الAH , ESP في كلتا النظامين Tunnel and Transport Modes .





وسنتناول الان بعض المميزات الرئيسيه في الIPSec والتي جعلته متفوقا على غيره :

فوائده IPSec Benefits

بالاضافه الي الفائده التي ذكرناها في الدرس السابق :



لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .

IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .



لقد ظهر ضعف كبير في عملية الEncryption العاديه التي تتم بين الاجهزه في الشبكات ، وهذا الضغف تمثل في صعوبة تطبيق هذا الموضوع ، وايضا استهلاكله للوقت اي بطئه الشديد في القيام بعملية التشفير وفكه Encryption and decryption ،فالفائده الكبرى التي ظهرت في الIPSec هي انه يوفر حماية كامله وواضحه لجميع البروتوكولات التي تعمل على الطبقة الثالث Layer 3 of the OSI Model وما بعد هذه الطبقه ، مثل طبقة التطبيقات Application Layer وغيرها .

يقوم في العاده مدير الشبكه بوضع السياسات التي يريد ان يطبق الIPSec عليها بعد دراسة جميع النتائج لهذا التطبيق ، فمثلا يقوم بعمل قائمه للبروتوكولات الواجب تشفيرها كHTTP , FTP , SMTP ويقوم بجمعها معا في ما يسمى سياسه الIPSec او IPSec Policy . تحتوي هذه السياسه على الفلاتر المتعدده التي يستخدمها الIPSec لتحديد اي البروتوكولات يحتاج الى التشفير Encryption (اي باستخدام ESP) وايها بحاجه الى توقيع الكتروني Digital Signing (اي باستخدام AH ) او الاثنين معا . قتبعا لذلك كما ذكرنا ، فان اي حزمه من البيانات تمر من خلال هذه البورتات وتستخدم البروتوكولات المحدده فانه يتم تشفيرها او توقيعها كما هو محدد . والافضل في هذه العمليه ، ان المستخدم لا يشعر بشيء وغير مطلوب منه عمل شيء ،، وانما مدير الشبكه يقوم يتطبيق سياسة الIPSec على الDomain او على اي OU : Organaizational Unit قيتم بشكل تلقائي التشفير وفكه عند ارساله من جهاز وعند وصوله للجهاز الاخر .

من مميزات الIPSec ايضا هو انه موجود اصلا Built-in في داخل حزمة الIP Packet ، فلذلك هو لا يحتاج لاي اعدادت لانتقاله عبر الشبكه ولا يحتاج لاي اجهزه اضافية لذلك .

ينقسم الIPSec الى نظامين او نوعين وهما :

1. نظام النقل Transport Mode

2. نظام النفق Tunnel Mode .
اولا : Transport Mode

يستخدم هذا النظام عادة داخل الشبكه المحليه LAN : Local Area Network حبث يقدم خدمات التشفير للبيانات التي تتطابق والسياسه المتبعه في الIPSec بين اي جهازين في الشبكه اي يوفر Endpoint-to-Endpoint Encryption فمثلا اذا قمت بضبط سياسة الIPSec على تشفير جميع الحركه التي تتم على بورت 23 وهو بورت الTelnet (حيث ان الTelnet ترسل كل شيء مثلما هو دون تشفير Plain Text ) فاذا تمت محادثه بين السيرفر والمستخدم على هذا البورت فان الIPSec يقوم بتشفير كل البيانات المرسله من لحظت خروجها من جهاز المستخدم الى لحظه وصولها الى السيرفر.


يتم تطبيق هذا النظام Transport Mode في الحالات التاليه :

اولا: المحادثه تتم بين الاجهزه في داخل او نفس الشبكه الداخليه الخاصه Private LAN .

ثانيا: المحادثه تتم بين جهازين ولا يقطع بينهما Firewall حائط ناري يعمل عمل NAT : Network Address Translation (نظام يمكن الFirewall من استبدال جميع عناوين الIPs في الشبكه الداخليه عن حزمة البيانات Packet واستبدالها في عنوان Public IP اخر ،، ونستفيد من ذلك هو اننا لن نحتاج سوى الى عنوان IP واحد One Public IP ، وايضا انه يقوم باخفاء عناوين الاجهزه عن شبكة الانترنت للحمايه من الاختراق الخارجي) .

ثانيا: Tunnel Mode

يتم استخدام هذا النظام لتطبيق الIPSec بين نقطتين تكون بالعاده بين راوترين 2 Routers ، اذا يتم استخدام هذا النظام بين نقطتين بعيدتين جغرافيا اي سيتم قطع الانترنت في طريقها الى الطرف الثاني ، مثل الاتصالات التي تحدث بين الشبكات المتباعده جغرافيا WAN : Wide Area Network ، يستخدم هذا النظام فقط عند الحاجه لتأمين البيانات فقط اثناء مرورها من مناطق غير امنه كالانترنت ، فمثلا اذا اراد فرعين لشركه ان يقوم بتشفير جميع البيانات التي يتم ارسالها فيما بينهم على بروتوكول FTP : File Transfere Protocol فيتم اعداد الIPSec على اساس الTunneling Mode .


كنت قد قلت في الدرس السابق اني ساضيف مخططا لحزمة بيانات الESP ،، وهذه صوره مخطط لكل من الPackets في الAH , ESP في كلتا النظامين Tunnel and Transport Modes .





وسنتناول الان بعض المميزات الرئيسيه في الIPSec والتي جعلته متفوقا على غيره :

فوائده IPSec Benefits

بالاضافه الي الفائده التي ذكرناها في الدرس السابق :



لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .

IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .



لقد ظهر ضعف كبير في عملية الEncryption العاديه التي تتم بين الاجهزه في الشبكات ، وهذا الضغف تمثل في صعوبة تطبيق هذا الموضوع ، وايضا استهلاكله للوقت اي بطئه الشديد في القيام بعملية التشفير وفكه Encryption and decryption ،فالفائده الكبرى التي ظهرت في الIPSec هي انه يوفر حماية كامله وواضحه لجميع البروتوكولات التي تعمل على الطبقة الثالث Layer 3 of the OSI Model وما بعد هذه الطبقه ، مثل طبقة التطبيقات Application Layer وغيرها .

يقوم في العاده مدير الشبكه بوضع السياسات التي يريد ان يطبق الIPSec عليها بعد دراسة جميع النتائج لهذا التطبيق ، فمثلا يقوم بعمل قائمه للبروتوكولات الواجب تشفيرها كHTTP , FTP , SMTP ويقوم بجمعها معا في ما يسمى سياسه الIPSec او IPSec Policy . تحتوي هذه السياسه على الفلاتر المتعدده التي يستخدمها الIPSec لتحديد اي البروتوكولات يحتاج الى التشفير Encryption (اي باستخدام ESP) وايها بحاجه الى توقيع الكتروني Digital Signing (اي باستخدام AH ) او الاثنين معا . قتبعا لذلك كما ذكرنا ، فان اي حزمه من البيانات تمر من خلال هذه البورتات وتستخدم البروتوكولات المحدده فانه يتم تشفيرها او توقيعها كما هو محدد . والافضل في هذه العمليه ، ان المستخدم لا يشعر بشيء وغير مطلوب منه عمل شيء ،، وانما مدير الشبكه يقوم يتطبيق سياسة الIPSec على الDomain او على اي OU : Organaizational Unit قيتم بشكل تلقائي التشفير وفكه عند ارساله من جهاز وعند وصوله للجهاز الاخر .

من مميزات الIPSec ايضا هو انه موجود اصلا Built-in في داخل حزمة الIP Packet ، فلذلك هو لا يحتاج لاي اعدادت لانتقاله عبر الشبكه ولا يحتاج لاي اجهزه اضافية لذلك .
*******************************
اتمنى ان ينال اعجابكم واتمنى الفائدة للجميع
كل التحية لكم
سراب

[النسر الذهبي]

يسلموووووووووو اديك اختي سراب على المعلومات الرائعة
ولك جزيل الشكر والتقدير على مجهودك الرائع والمميز
دمتي بخير

[سراب]

اسعدني مرورك اخي النسر
كل التحية الك
سراب

[رامي مازن]

حقا شئ رائع ... لمشرفة اروع
الف شكر لكي اختي على هذه المواضيع الرائعه

[سراب]

شكرا كتير اخي رامي لمرورك
ومتل ماحكيت مافي اروع من مروركم عليه انتو الي بتعطوه القيمة
وقمية الموضوع بقيمة الافادة
كل التحية لك
سراب

[عــــــلاء الثــــائـر]

كل الشكر والتقدير اختي سراب
تقبلي تحيتي

[ابوسيف]

موضوع رائع وجميل ........الى الامام ..........