أمان IP

السلام عليكم ورحمة الله وبركاته 

حزمة بروتوكول الإنترنت الأمنية  (IPSec) هي عبارة عن مجموعة قياسية من البروتوكولات لفريق هندسة الإنترنت (IETF) بين نقطتي اتصال عبر شبكة IP التي توفر مصادقة البيانات وسلامتها وسريتها، كما تحدد الحزم المشفرة والمفكوكة والمصادقة عليها ويتم تحديد البروتوكولات اللازمة لتبادل المفاتيح الآمنة وإدارة المفاتيح 

-استخدامات IPSec:

 -تشفير بيانات طبقة التطبيق. 

  -توفير الأمن لأجهزة التوجيه التي ترسل بيانات التوجيه عبر الإنترنت العام.    

-توفير المصادقة بدون تشفير ، مثل المصادقة على أن البيانات تنشأ من مرسل معروف.    

-حماية بيانات الشبكة عن طريق إعداد الدوائر باستخدام نفق IPsec حيث يتم تشفير جميع البيانات التي يتم إرسالها بين نقطتي النهاية، كما هو الحال مع اتصال الشبكة الافتراضية الخاصة (VPN).

-مكونات IPSec :

١-تغليف حمولة الأمان (ESP) :  يوفر سلامة البيانات والتشفير والمصادقة ومكافحة إعادة التشغيل، كما يوفر المصادقة على الحمولة.    

٢-رأس المصادقة (AH): يوفر سلامة البيانات والمصادقة ومكافحة إعادة التشغيل ولا يوفر تشفيرًا  ويحمي ضد إعادة التشغيل ويحمي من نقل الحزم غير المصرح به ولكن لا يحمي سرية البيانات.    

٣-تبادل مفتاح الإنترنت (IKE): هو بروتوكول أمان شبكة مصمم لتبادل مفاتيح التشفير ديناميكيًا وإيجاد طريقة عبر جمعية الأمان (SA) بين جهازين وتنشئ جمعية الأمان (SA) سمات أمان مشتركة بين كيانين شبكيين لدعم الاتصال الآمن وبروتوكول إدارة المفاتيح (ISAKMP) ورابطة أمان الإنترنت التي توفر إطارًا للمصادقة وتبادل المفاتيح، يخبر ISAKMP كيفية إعداد اقترانات الأمان (SAs) وكيفية الاتصالات المباشرة بين مضيفين يستخدمان IPsec  ويوفر (IKE) حماية لمحتوى الرسائل وأيضًا إطار مفتوح لتنفيذ الخوارزميات القياسية مثل SHA و MD5 وينتج مستخدمو IP sec للخوارزمية معرفًا فريدًا لكل حزمة ويسمح هذا المعرف للجهاز بتحديد ما إذا كانت الحزمة صحيحة أم لا ويتم تجاهل الحزم غير المصرح بها ولا يتم تسليمها إلى المستلم. 

-عملIPSec:

  ١-يتحقق المضيف مما إذا كان يجب إرسال الحزمة باستخدام IPsec أم لا وتؤدي حركة مرور الحزم هذه إلى تشغيل السياسة الأمنية لأنفسهم ويتم ذلك عندما يطبق النظام الذي يرسل الحزمة تشفيرًا مناسبًا ،يتم أيضًا فحص الحزم الواردة من قبل المضيف للتأكد من أنها مشفرة بشكل صحيح أم لا.   

٢- ثم تبدأ المرحلة الأولى من IKE حيث يقوم المضيفان (باستخدام IPsec) بمصادقة أنفسهما مع بعضهما البعض لبدء قناة آمنة ولها وضعان، الوضع الرئيسي الذي يوفر أمانًا أكبر والوضع العدواني الذي يمكّن المضيف من إنشاء دائرة IPsec بسرعة أكبر.   

٣- يتم بعد ذلك استخدام القناة التي تم إنشاؤها في الخطوة الأخيرة للتفاوض بأمان على الطريقة التي ستقوم بها دائرة IP بتشفير البيانات عبر دائرة IP.    

٤-الآن ، يتم إجراء IKE Phase 2 على القناة الآمنة التي يتفاوض فيها المضيفان على نوع خوارزميات التشفير لاستخدامها في الجلسة والاتفاق على مادة المفاتيح السرية لاستخدامها مع تلك الخوارزميات.   

٥- ثم يتم تبادل البيانات عبر النفق المشفر IPsec المنشأ حديثًا ويتم تشفير وفك تشفير هذه الحزم من قبل المضيفين باستخدام IPsec SAs.    

٦-عند اكتمال الاتصال بين المضيفين أو انتهاء مهلة الجلسة يتم إنهاء نفق IPsec عن طريق تجاهل المفاتيح من قبل كلا المضيفين.

المصدر هنا وهنا.