تفاوت حالت تونل و حالت انتقال در IPSec

چه تفاوتی بین حالت تونل/حالت انتقال در IPSes  وجود دارد؟

IPSes اتصال VPN را امکان پذیر می سازد. ما را قادر به شبیه سازی یک خط اجاره در سراسر اینترنت عمومی و بنابراین قادر به بدست آوردن اینترنت امن در محیط سرتاسر نا امن می کند. رمز گذاری ، احراز هویت و حفاظت از داده های ما هنگامیکه روی جهان نا امن اینترنت می فرستیم را ممکن می سازد.

 

این ارزانترین راه برای شبیه سازی یک خط اجاره ای است، راهی برای ارسال داده های خصوصی روی شبکه عمومی بدون به خطر انداختن حریم خصوصی. هدف از IPSes این است که سروریس های امن و هزینه های پایین برای انتقال داده ها ارائه دهد. سعی کنید این را نسبت به قیمت انتقال داد از طریق کابل تاریک/ خطهای اجاره ای مقایسه کنید.

در اینجا دو بخش از مجموعه های امنیتی IPSes وجود دارد

ESP : Encapsulating Security Payload

AH : Authentication Header هدر احراز هویت

بر اساس وضعیت ما می توانیم دو حالت متفاوت را پیکر بندی کنیم و می توانیم تفاوت ها و فن آوری پشت آن حالت ها را شفاف سازی کنیم.

حالت تونل و حالت انتقال IPSEC

حالت تونل

حالت تونل کل بسته IP  را بوسیله هر یک از رمز گذاری، تصدیق هویت یا به احتمال زیاد هر دو آنها  کپسوله سازی می کند. حالت تونل بسته های ما را با هدرها و تریلرهای IPses کپسوله سازی می کنند.

ESP و AH استفاده شده است. ESP هدر و تریلر به همراه AH  در جلو  و پشت بسته IP  ما با هم دیگر الحاق شده است. گاهی اوقات این تنها بخش ESP است. بعد از کپسوله سازی یک هدر IP  جدید برای بسته آماده شده است بنابراین اطلاعاتی درباره نقاط پایانی IPSes به عنوان منبع و مقصد جدید دارد. بدون این قسمت ما نمی توانیم بسته را انتقال دهیم برای اینکه به احتمال زیاد رمز گذاری شده و دستگاه های واسطه نمی توانند آدرس مقصد IP را درون ببینند و استنباط کنند بعدا کجا فرستاده می شود.

حالت تونل ممکن است با هر نوع ترافیک IP  استفاده شود. از سوی دیگر اگر IPSes در حال حفاظت ترافیک از میزبان ها پشت جفت های IPSes این باید استفاده شود. این بدان معنی است که اگر شما در حال ساخت VPN سایت به سایت و حفاظت کردن ترافیک از پشت میزبان از هر دو طرف تونلی که آنها از طریق آن با هم صحبت می کنند هستید بایدآن استفاده بشود. برای مثال، حالت تونل با VPN استفاده شده است جاییکه میزبان ها روی یک شبکه محافظت شده بسته ها را برای میزبان در دومین شبکه حفاظت شده با جفت IPSes همتا می فرستد. در حالت وی پی ان سایت به سایت ، هاست هایی در شبکه های مجزا endpoint های session هستند و  IPSEC تنها ترافیک بین کاربران را حفاظت میکند. می توانیم بگویم همتاهای IPses پروکسی هایی هستند برای هاست هاپشت آنها هستند. این تصویر می تواند کمک کند:

IPSec tunnel mode

اتصالات VPN کلاینت همچنین حالت تونل را استفاده میکند وفتیکه IPses VPNs با دروازه از راه دور ایجاد می شود. اگر برخی از کارکنان راه دور در حال اتصال نوب بوک خود از کلاینت VPN استفاده می کنند این اتصال با فایروال ASA است که یک دروازه در ترافیک اداره است از آن کلاینت کپسوله سازی یا رمزگذاری خواهد شد با هدر و تریلر IP جدید و به ASA می فرستد. وقتی دریافت و رمز گذاری می شود بوسیله ASA بسته اصلی داده IP به دستگاه LAN محلی که در مقصد بود فرستاده شود. این همچنین وارونه کار می کند اما اساسا آن کاربر NAT شده خواهد بود برای برخی آدرس IP شبکه LAN داخلی بنابراین  مانند وقتیکه در اداره متصل است قادر به کار خواهد بود.

در حالت تونل IPSes اساسا با هر دو ESP  یا هدر AH الحاق شده بین IP بسته واقعی و بالاترین لایه پروتکل در محل تنظیم شود. وقتی این به راه حل تونل وی پی ان IPSes می آید ESP ترجیح داده می شود.

در اینجا تصویر دیگری وجود دارد که کمی به فهمیدن کپسوله سازی در مد تونل IPSes  با هدر ESP کمک می کند:

IPSec encapsulation

ما می توانیم ببینیم که ESP در استفاده با شناسایی پروتکل IP 50 داخلی هدر IP جدید به بسته هایی از این نوع اضافه شده. اگر شما در مکان پروتکل ID 51 پروتکل ID 50 پیدا می کند ، به این معنی که در اینجا AH به جای ESP استفاده شده است. AH با ESP با هم دیگر یا بتنهایی بکار برده میشه ، وقتیکه ما درباره IPSes صبحت می کنیم در حالت تونل است. AH از کل بسته حفاظت می کند. این درست نیست درباره زمینه در هدر IP جدید وقتیکه آنها نیاز دارند تا خوانده شود و در انتقال ویرایش شود.

نمودار حالت تونل IPSes با هدر AH بسته زیر نشان می دهد:

IPSec with AH Header

حالت انتقال

حالت انتقال می تواند برای حفاظت همتاهای IPSes که بوسیله خودشان تبادل و تولید می شوند بکار برده شود. این به این معنی است که اگر ما حالت انتقال را بر روی برخی خط اتصال تونل پیکر بندی کنیم این تنها وقتی مورد استفاده خواهد بود وقتیکه ترافیک حفاظت شده آدرس های IP یکسان به عنوان همتاهای IPSes دارد. هر چند آن نیز می تواند در حالت تونل مانند هر چیز دیگری کپسوله سازی شود اما اینجا یک مفهوم جالب است.

IPSec Tunnel

اگر ما در حال استفاده از حالت تونل هستیم این اساسا یک مکانیسم تونلینگ است که همه چیز را درون یک کپسول هدر تریلر پنهان می کند. اما چه می شود اگر ما در حال استفاده از GRE باشیم. اگر ما در حال استفاده از GRE و بعد از آن حالت تونل IPSes هستیم ما اساسا تونلینگ و تونلینگ دیگری درون تونل درست خواهیم ساخت. تنها یکی از آن تونل ها رمزگذاری خواهد کرد و دیگر را نه. فعال کردن GRE برای رمزگذاری و جلوگیری تونلینگ بوسیله فعال کردن حالت انتقال روی تونل GRE دو برابر شده.

تنظیمات حالت انتقال ، اگر تنظیم شود، همه ترافیک های دیگر نادیده گرفته شده است. و بقیه در حالت تونل کپسوله شده. اساسا به این معنی است که اگر شما حالت انتقال را پیکر بندی کنید اجازه خواهید داد برای اینکه آن روتر با همتای راه دور که چه حالت انتقال و یا اینکه حالت تونل را استفاده کنند گفتگو کنند.

حالت انتقال تنها payload را حفاظت می کند نه هدرها از جمله رمز نگاری کردن و پنهان کردن. داده ها رمزگذاری شده ، احراز هویت شده و همه آن با هم دیگر اما هدر کاملا همانطور که بود باقی می ماند. payload در آن راه بوسیله هدر ها و تریلرهای IPSes پنهان خواهد  شد. به همان شکل هدر و تریلر قدیمی ESP ، هدر AH، یا هر دو. هنگامیکه وقتی آن تصاویر پایین را نگاه میکنید خودتان را گیج نکنید ، هدر بهمان شکل باقی می ماند اما هنوز برای payload اصلی تکرار شده و اضافه شده است که بوسیله رمز گذاری حفاظت شده بوده. این روش برای این استفاده می شود که مسیر بسته را از فرستنده به سمت دریافت کننده بدست آورد.

یکی از نمونه های دیگری که مد انتقال استفاده می شود برای حفاظت از رمزگذاری روتر مدیریت ترافیک است. این می تواند همچنین هنگامیکه یک  session RDP رمزگذاری شده یا SSH از کامپیوتر شما به سرور استفاده می کنید وجود داشته باشد. همچنین برای استفاده حالت انتقال در مواردی که دو هاست به صورت مستقیم با هم از طریق تونل IPSes صحبت می کنند خوب خواهد بود.

محموله در حالت انتقال بوسیله هدر و تریلر IPSes کپسوله شده فرستاده می شود. هدر IP اصلی یکسان باقی می ماند اما پروتکل IP برای ESP به 50 یا برای AH به 51 تغییر می کند ارزش پروتکل اصلی همیشه در تریلر IPSes ذخیره می شود بنابراین زمانی که بسته رمز گشایی شد می تواند به حالت اول برگردانده شود.

حالت انتقال که هدر ESP استفاده می کند:

IPSec ESP

دیگری به هدر AH :

AH Header

وقتیکه پیکربندی  IPSes در حالت انتقال است. AH معمولا کل بسته را حفاظت می کند ما می توانیم AH یا تنها ESP  را بتنهایی استفاده کنیم ، با این حال در مورد IPSes در حالت انتقال شبیه آن نیست بنابراین IP هدر جدید در جلو بسته بوجود نخواهد آورد. در عوض ، هدر اصلی را کپی و جلوی چیزی که رمزنگاری کرده قرار میدهد. با وجود تغییرات اندک در ID پروتکل ، حفاظت ضروری را در هدر IP -که همانطور که میدانید حاوی IP مبدا و مقصد و چیزهای دیگر است- انجام نمی دهد.

فرقی نمی کند ESP یا AH ، IPSes در حالت انتقال هدرIP را در معرض خطر قرار می دهد.

howdoesinternetwork.com/2014/ipsec-tunnel-transport-mode