[smile]

سنبدأ ان شاء الله دراسه مفصله عن احد اهم التقنيات الحديثه وهو الIP Security او ما يعرف بالIPSec .

مقدمه :

بعد التقدم والتطور الذي حصل في عالم السيكيورتي ، وبعد تطور اساليب المخترقين في عملياتهم وتنوعها كMan-IN-THe-Midle و كSniffing والRelaying والكثير غيرها ،،

كان لا بد من ايجاد طريقة امنه لتخطي هذه الامور وخصوصا في الامور الحساسه كالتجاره الالكترونيه وعمليات كشف الحسابات عن طريق الانترنت وغيرها ، فكان لابد من طريقه لتامين ذلك ،، فتم تطوير تقنيه الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال امن مشفر Enpted ضمن تعقيدات متفاوته فمنها ال40Bit ومنها 128bit ،، فتم استخدام الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها الداتا مثل SMTP او الDatabase communications ،
وتم استخدام ما يعرف بSSL over HTTP في المواقع التجاريه ومواقع الايميل فاصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت443 بدلا من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير،،

ثم ظهرت تقنيه مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنيه محسنه من الSSL ولكنهما يختلفان في طريقة اداء العمليه ،، والطريقتان تحتاجان للشهادات الالكترونيه Certificates او بالاحرى Web-based Certificates .

وظهرت تقنيه اخرى داخل الشبكه نفسها وليس على شبكه عالميه كالانترنت ، وهي SMB Signing ،، الجميع يعلم ان الSMB : Server Message Block هي الpackets الي يتم ارسالها بين السيرفر والاجهزه في عملية المشاركه في الملفات وغيره Sharing ،، وللحمايه من طريقة سرقة المعلومات اثناء مرورها في الاسلاك Man In The Middle MITM وهذه الطريقه تدعى SMB Signing ،، يتم بواسطتها اضافة الHash (وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات رياضيه من الرساله ، ومن الامثله عليه MD4 , MD5 , SHA-1 ) ويتم تشفير هذا الHash واضافته للرساله وبذلك نحافظ على صحة الرساله Message or Packet Integrity .

لكن ظهرت المشكله الكبرى بكون جميع هذه الوسائل تعمل على الApplication Layer في الOSI Model اي ان وظائفها محدده جدا ، لا تستطيع تشفير الا ما بنيت لاجله ،، لذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل Packet تصدر من اي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على الIP Layer في الDOD Model او الNetwork Layer في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان الNetwork Layer هي الجهة التي من خلالها يمرر كل شيء للشبكه .
IPSec تقنيه توفر الموثوقيه والصحه والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet .


IPSec Protocols


الIPsec هو طريقه وليس بروتوكول كما يخطأ البعض ،، لكن للIPSec بروتوكولان رئيسيان هما :

اولا: AH : Authentication Header
يستخدم الAH في توقيع الرسائل والبيانات Sign ولا يعمل على تشفيرها Enption ، حيث يحافظ فقد على ما يلي للمستخدم :
1. موثوقية البيانات Data authenticity :اي ان البيانات المرسله من هذا المستخدم هي منه وليست مزوره او مدسوسه على الشبكه .
2. صحة البيانات Data Integrity : اي ان البيانات المرسله لم يتم تعديلها على الطريق (اثناء مرورها على الاسلاك) .
3. عدم اعادة الارسال Anti-Replay : وهذه الطريقه التي ستخدمها المخترقون حيث يقومون بسرقة الباسوورد وهي مشفره ويقومون باعادة ارسالها في وقت اخر للسيرفر وهي مشفره وطبعا يفك السيرفر التشفير ويدخل اليوزر على اساس انه شخص اخر،، فالIPSec يقدم حلولا لمنع هذه العمليه من الحدوث.
4.حمايه ضد الخداع Anti-Spoofing protection : ويوفر ايضا الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلا يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x مو دخول السيرفر ،، فيمطن للمستخدم ان يغير الIP Address خاصته ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها.





يكون كل الحزمه Packet موقعه Digitally signed




هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .

ثانيا: ESP : Encapsulating Security Payload

يوفر هذا البروتوكول التشفير والتوقيع للبيانات معا Enption and Signing ، ومن البديهي اذا ان يستخدم هذا البروتوكول في كون المعلومات سريه Confidential او Secret ،، او عند ارسال المعلومات عن طريق Public Network مثل الانترنت ،

يوفر الESP المزايا التاليه:
1.Source authentication : وهي مصداقية المرسل ، حيث كما وضحنا في مثال الSpoofing انه لا يمكن لاي شخص يستخدم الIPSec تزوير هويته ، (هوية المرسل) .
2. التشفير للبيانات Data Enption : حبث يوفر التشفير للبيانات لحمايتها من التعديل او التغيير او القراءه .
3.Anti-Replay : موضحه في الAH .
4.Anti-Spoofing Protection : موضحه في ال AH.

هذه مقدمه بسيطه ، ان شاء الله سنكمل المره القادمه بشكل الPacket تبع الESP اولا ، ثم بعدها نستعرض حالات الIPSec ، او IPSec modes ، وايضا عملية ادخال الIPSec في الويندز .

بالتوفيق

*الرجاء اعطائي رايكم في الموضوع ، اما اكمل ، او اقفل

بانتظاركم

ملخص من كتاب طرق التامين والحماية