IP IPSec ( ) 13 Network - - PDF document

ip ipsec
SMART_READER_LITE
LIVE PREVIEW

IP IPSec ( ) 13 Network - - PDF document

Oct 10, 2022 330 likes •569 views

IP IPSec ( ) 13 Network Security, Principles and Practice,2nd Ed. : http://www.fata.ir

slide-1
SLIDE 1

١

ﻨﻣاﻴﺖ IP ) IPSec (

ﺮﺑ ﻲﻨﺘﺒﻣﻞﺼﻓ 13بﺎﺘﻛ زا Network Security, Principles and Practice,2nd Ed. ﻂﺳﻮﺗ هﺪﺷ ﺶﻳاﺮﻳو :ﺎﺿر ﺪﻴﻤﺣيرﺎﻳﺮﻬﺷ

http://www.fata.ir http://mehr.sharif.edu/~shahriari

٢

ﺐﻟﺎﻄﻣ ﺖﺳﺮﻬﻓ

ﻪﻣﺪﻘﻣ يرﺎﻤﻌﻣ

IPSec

يﺎﻫ ﺲﻳوﺮﺳ

IPSec

ﻨﻣا ﻊﻤﺠﻣﻴﺘﻲ)

SA (

ﺖﻟﺎﺣ ﺎﻫيﻪﺘﺴﺑ لﺎﻘﺘﻧا ﺎﻫ

  • AH
  • ESP

ﺐﻴﻛﺮﺗ

SAﺎﻫ

ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ

slide-2
SLIDE 2

٣

ﻪﻣﺪﻘﻣ-زاﻲﻟﺎﺜﻣ TCP/IP

Sharif Network Security Center

٤

IPV4

slide-3
SLIDE 3

٥

ﻪﻣﺪﻘﻣ

دﺮﺑرﺎﻛ ﻪﺑ ﻪﺘﺴﺑاو ﻲﺘﻴﻨﻣا يﺎﻫ ﻞﺣ هار)نﻮﻨﻛﺎﺗ (

  • S/MIME

و PGP :ﻲﻜﻴﻧوﺮﺘﻜﻟا ﺖﺴﭘ ﺖﻴﻨﻣا

  • Kerberos

:ﺮﺑرﺎﻛ ﻦﻴﺑ ﺖﻴﻨﻣا-راﺰﮔرﺎﻛ)زاﺮﺣاﺖﻳﻮﻫ (

  • SSL

:دﺎﺠﻳا ﻚﻳردﻦﻣا لﺎﻧﺎﻛ بو

ﺢﻄﺳ رد ﺖﻴﻨﻣا ﻪﺑ زﺎﻴﻧ

IP

يﺎﻫ ﻪﺘﺴﺑ ياﻮﺘﺤﻣ ﻲﮕﻧﺎﻣﺮﺤﻣ

IP

ﺎﻫ ﻪﺘﺴﺑ هﺪﻧﺮﻴﮔ وهﺪﻨﺘﺳﺮﻓ ﻲﺳﺎﻨﺷ ﺖﻳﻮﻫ

٦

ﻪﻣﺪﻘﻣ

  • IPSec

زا يا ﻪﻋﻮﻤﺠﻣ ﻪﻜﻠﺑ ﺖﺴﻴﻧ ﺎﻬﻨﺗ ﻞﻜﺗوﺮﭘ ﻚﻳ يﺎﻬﻤﺘﻳرﻮﮕﻟا ﻚﻤﻛ ﻪﺑ ﻪﻛ ﺪﻨﻛ ﻲﻣ ﻢﻫاﺮﻓ ﻲﻠﻛ ﻲﺑﻮﭼرﺎﭼ وﻲﺘﻴﻨﻣا دﺮﻛ راﺮﻗﺮﺑ ﻲﻨﻣا طﺎﺒﺗرا نآ.

ﻂﺳﻮﺗ هﺪﺷ ﻢﻫاﺮﻓ ﻲﺘﻴﻨﻣا يﺎﻬﺴﻳوﺮﺳ

IPSec

ﺳﺎﻨﺷ ﺖﻳﻮﻫﻲ)ﺎﻫهداد ﺖﻴﻌﻣﺎﺟ لﺮﺘﻨﻛ هاﺮﻤﻫ ﻪﺑ ( ﺎﻫ ﻪﺘﺴﺑ ﻲﮕﻧﺎﻣﺮﺤﻣ ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ )ﺪﻴﻠﻛ ﻦﻣا لدﺎﺒﺗ(

slide-4
SLIDE 4

٧

ﻪﻣﺪﻘﻣ

يﺎﻫدﺮﺑرﺎﻛ ﻪﻧﻮﻤﻧ

IPSec

دﺎﺠﻳا

VPN ياﺮﺑ يﺎﻫ ﻪﺒﻌﺷ ﺖﻧﺮﺘﻨﻳا ﻖﻳﺮﻃ زا نﺎﻣزﺎﺳ ﻚﻳ ﻒﻠﺘﺨﻣ

ﻖﻳﺮﻃ زا ﻪﻜﺒﺷ ﻊﺑﺎﻨﻣ ﻪﺑ ﺖﻛﺮﺷ ناﺪﻨﻣرﺎﻛ ﻦﻣا ﻲﺳﺮﺘﺳد ﺖﻧﺮﺘﻨﻳا نﺎﻣزﺎﺳ ﺪﻨﭼ ﻦﻴﺑ ﻦﻣا طﺎﺒﺗرا نﺎﻜﻣا ﺑﻪياﺮﺑ ﻲﺘﻴﻨﻣا تﺎﻣﺪﺧ ندروآ دﻮﺟو ﺎﻫدﺮﺑرﺎﻛ ﺮﮕﻳد ي)ترﺎﺠﺗ ﻞﺜﻣ

ﻚﻴﻧوﺮﺘﻜﻟا (

Sharif Network Security Center

٨

IPSec

slide-5
SLIDE 5

٩

ﻪﻣﺪﻘﻣ

زا هدﺎﻔﺘﺳا يﺎﻳاﺰﻣ

IPSec

جرﺎﺧ وﻞﺧاد ﻦﻴﺑ يﻮﻗ ﺖﻴﻨﻣا ﻦﻴﻣﺎﺗ

LAN رد يﺮﻴﮔرﺎﻜﺑ ترﻮﺻ رد وﺎﻬﺑﺎﻴﻫار ظﺎﻔﺣ ﺎﻫ) Firewallﺎﻫ(

ﻲﻳﺎﻬﺘﻧا طﺎﻘﻧ رد يرﺎﮕﻧﺰﻣر رﺎﺑﺮﺳ مﺪﻋ

ناﺮﺑرﺎﻛ ﺮﻈﻧ زا ﺖﻴﻓﺎﻔﺷ ﺮﺗﻻﺎﺑ يﺎﻫ ﻪﻳﻻ يدﺮﺑرﺎﻛ يﺎﻫ ﻪﻣﺎﻧﺮﺑ ﺪﻳد زا ﺖﻴﻓﺎﻔﺷ ﺧاد ﻪﺑ جرﺎﺧ زا نﺎﻣزﺎﺳ نﺎﻨﻛرﺎﻛ ﻦﻴﺑ ﻦﻣا طﺎﺒﺗرا دﺎﺠﻳا ﻞ

١٠

رﺎﻤﻌﻣي:IPSec ﺎﻬﻴﮔﮋﻳو

ﺎﻬﻴﮔﮋﻳو

ﻞﻜﺸﻣ ﺎﺘﺒﺴﻧ ﻒﻴﺻﻮﺗ ياراد رد ﻲﻣاﺰﻟا

IPv6 رد يرﺎﻴﺘﺧا و IPv4

ﺮﻳز دراﻮﻣ ﻦﺘﻓﺮﮔﺮﺑ رد : ﻞﻜﺗوﺮﭘ

IPSecﺪﻨﻳآﺮﺳ رد ) Header (ﻲﻠﺻا ﺪﻨﻳآﺮﺳ زا ﺪﻌﺑ وﻪﺘﻓﺎﻳ ﻪﻌﺳﻮﺗ يﺎﻫ IPهدﺎﻴﭘ دﻮﺷ ﻲﻣ يزﺎﺳ

تاﺪﺘﺴﻣ

IPSecﺖﺳا هﺪﺷ يﺪﻨﺑ ﻪﺘﺳد ﺮﻳز ترﻮﺻ ﻪﺑ وهدﻮﺑ ﻢﻴﺠﺣ رﺎﻴﺴﺑ :

  • Architecture
  • (ESP) Encapsulating Security Payload

:يرﺎﮕﻧﺰﻣر ﺎﻫ ﻪﺘﺴﺑ )يرﺎﻴﺘﺧا ترﻮﺻ ﻪﺑ ﺖﻳﻮﻫ زاﺮﺣا(

(AH) Authentication Header

:ﺎﻫﻪﺘﺴﺑ ﺖﻳﻮﻫ ﺺﻴﺨﺸﺗ

ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ :ﺎﻫﺪﻴﻠﻛ ﻦﻣا لدﺎﺒﺗ ﻢﺘﻳرﻮﮕﻟا ﺖﻳﻮﻫ ويرﺎﮕﻧﺰﻣر يﺎﻫ ﻲﺳﺎﻨﺷ

slide-6
SLIDE 6

١١

رﺎﻤﻌﻣي:IPSec ﺎﻫﺲﻳوﺮﺳ

هﺪﺷ ﻪﺋارا يﺎﻫ ﺲﻳوﺮﺳ :

IPSec ﻲﻣ ﺎﻬﻤﺘﺴﻴﺳ ﻪﺑ ار نﺎﻜﻣا ﻦﻳا ﺎﻬﻠﻜﺗوﺮﭘ ﺎﺗ ﺪﻫد،يﺎﻬﺴﻳوﺮﺳ ﻪﺋارا ياﺮﺑ مزﻻ يﺎﻫﺪﻴﻠﻛ وﺎﻬﻤﺘﻳرﻮﮕﻟا ﺪﻨﻨﻛ بﺎﺨﺘﻧا ار ﺮﻳز

ﻲﺳﺮﺘﺳد لﺮﺘﻨﻛ ﻤﻀﺗﻴﻦردﺎﻫ هداد ﺖﻴﻣﺎﻤﺗ طﺎﺒﺗرا

Connectionless

ﺎﻫ هداد ﻊﺒﻨﻣ ﺖﻳﻮﻫ زاﺮﺣا)

Data Origin (

ﺨﺸﺗﻴﺺهﺪﺷ لﺎﺳرا هرﺎﺑود يﺎﻫ ﻪﺘﺴﺑ ﺎﻬﻧآ در و)

Replay Attack (

ﻲﮕﻧﺎﻣﺮﺤﻣﻪﺘﺴﺑ ﺎﻫ ﻚﻴﻓاﺮﺗ نﺎﻳﺮﺟ ﻲﮕﻧﺎﻣﺮﺤﻣ

Sharif Network Security Center

١٢

رﺎﻤﻌﻣي:IPSec ﺎﻫﺲﻳوﺮﺳ

slide-7
SLIDE 7

١٣

رﺎﻤﻌﻣي:IPSec Security Association

ﻒﻳﺮﻌﺗ:ﻲﺘﻴﻨﻣا ﻊﻤﺠﻣ ) Security Association (ﻚﻳمﻮﻬﻔﻣ ياﺮﺑ ﻲﮕﻧﺎﻣﺮﺤﻣ وﺖﻳﻮﻫ زاﺮﺣا يﺎﻬﻣﺰﻴﻧﺎﻜﻣ رد يﺪﻴﻠﻛ IPﻪﻄﺑار ﻚﻳ وهدﻮﺑ ﻚﻳﻪﻓﺮﻃ ﺪﻨﻛ ﻲﻣ دﺎﺠﻳا ﻪﺘﺴﺑ هﺪﻧﺮﻴﮔ وهﺪﻨﺘﺳﺮﻓ ﻦﻴﺑ .

  • SA

رد IPلدﺎﻌﻣ ﻲﻋﻮﻧ ﻪﺑ Connection رد TCPﺖﺳا

١٤

رﺎﻤﻌﻣي:IPSec Security Association

ﺎﻬﻴﮔﮋﻳو :

ﻚﻳ

SAﺎﺑﺎﺘﻜﻳ ترﻮﺼﺑ 3دﻮﺷ ﻲﻣ ﻦﻴﻴﻌﺗ ﺮﺘﻣارﺎﭘ :

  • Security Parameters Index

) SPI ( :ﻲﺘﻴﺑ ﻪﺘﺷر ﻚﻳ ﻪﺑهﺪﺷ هداد ﺖﺒﺴﻧ SA

  • IP Destination Address

:ﻲﻳﺎﻬﻧ ﺪﺼﻘﻣ سردآ SA

  • Security Protocol Identifier

:ﻖﻠﻌﺗ ﺮﮕﻧﺎﻴﺑ SAﻪﺑ AHﺎﻳ ESP

slide-8
SLIDE 8

١٥

رﺎﻤﻌﻣي:IPSec Security Association

  • SA
  • Sequence Number Counter
  • Sequence Counter Overflow
  • Anti Replay Windows
  • AH Information
  • ESP Information
  • SA Lifetime
  • IPSec Protocol Mode
  • Maximum Transmission Unit

١٦

رﺎﻤﻌﻣي:IPSec

ﺎﻬﺘﻟﺎﺣ يﻪﺘﺴﺑ لﺎﻘﺘﻧا ﺎﻫ

ﺮﻫ رديود

AHو ESP دراد دﻮﺟو لﺎﻘﺘﻧا ﺖﻟﺎﺣ ود :

لﺎﻘﺘﻧا ﺖﻟﺎﺣ(Transport Mode)

دﺮﻴﮔ ﻲﻣ ترﻮﺻ ﻪﺘﺴﺑ ياﻮﺘﺤﻣ يور ﺎﻬﻨﺗ تاﺮﻴﻴﻐﺗ،ﺪﻨﻳآﺮﺳ ﺮﻴﻴﻐﺗ نوﺪﺑ

IP

ﻞﻧﻮﺗ ﺖﻟﺎﺣ(Tunnel Mode)

ﻪﺘﺴﺑ ﻞﻛ يور تاﺮﻴﻴﻐﺗ لﺎﻤﻋا

IP )ﺪﻨﻳآﺮﺳ+ Payload (وندﺎﺘﺳﺮﻓ ﻪﺑﻪﺠﻴﺘﻧ ﺪﻳﺪﺟ ﻪﺘﺴﺑ ﻚﻳ ناﻮﻨﻋ

slide-9
SLIDE 9

١٧

رﺎﻤﻌﻣي:IPSec

ﺎﻬﺘﻟﺎﺣ يﻪﺘﺴﺑ لﺎﻘﺘﻧا ﺎﻫ

لﺎﻘﺘﻧا ﺖﻟﺎﺣ

يﺎﻫدﺮﺑرﺎﻛ رد ﺎﻬﺘﻧا ﻪﺑ ﺎﻬﺘﻧا )

end-to-end (راﺰﮔرﺎﻛ ﻞﺜﻣ /رﺎﻛ هدﺎﻔﺘﺳا ﺎﻣﺮﻓ ﻣﻲدﻮﺷ

  • ESP

:يرﺎﮕﻧﺰﻣر)يروﺮﺿ(ﻲﺳﺎﻨﺷ ﺖﻳﻮﻫ و)ايرﺎﻴﺘﺧ( Payload ﻪﺘﺴﺑ

  • AH

:ﻲﺳﺎﻨﺷ ﺖﻳﻮﻫ Payload ﺪﺷ بﺎﺨﺘﻧا يﺎﻬﺘﻤﺴﻗ وﻪﺘﺴﺑ هﺪﻨﻳآﺮﺳ ﻪﺘﺴﺑ

١٨

رﺎﻤﻌﻣي:IPSec

  • ﻞﻧﻮﺗ ﺖﻟﺎﺣ

رد هدﺎﻔﺘﺳا درﻮﻣ طﺎﺒﺗرا

Gateway ﻪﺑ Gateway

ﭻﻴﻫﺴﻣﻴﺮﻳبﺎ)

router (ﻲﻠﺧاد ﺪﻨﻳآﺮﺳ ﺺﻴﺨﺸﺗ ﻪﺑ ردﺎﻗ ﻲﻧﺎﻴﻣ ﺖﺴﻴﻧ

slide-10
SLIDE 10

Sharif Network Security Center

١٩

Functionality of Modes

٢٠

Authentication Header (AH)

  • Authentication Header

يﺎﻫ ﻪﺘﺴﺑ ﺖﻳﻮﻫ زاﺮﺣا وﺖﻴﻣﺎﻤﺗ ﻦﻴﻤﻀﺗ

IP

ﺖﻴﻣﺎﻤﺗ ﺲﻳوﺮﺳ ﻦﻴﻣﺎﺗ هداد ﺎﻫزاهدﺎﻔﺘﺳا ﺎﺑ

MAC

  • HMAC-MD5-96

ﺎﻳ HMAC-SHA-1-96

ﻚﻳ يور ﻖﻓاﻮﺗ ﻪﺑ زﺎﻴﻧ ﻦﻴﻓﺮﻃ ﻠﻛﻴﺪكﺮﺘﺸﻣ نرﺎﻘﺘﻣ ﺪﻧراد

slide-11
SLIDE 11

Sharif Network Security Center

٢١

Authentication Header

٢٢

AH

يﺎﻫﺪﻠﻴﻓ

AH :

  • Next Header

) 8ﺖﻴﺑ :(ﻪﺘﺴﺑ رد دﻮﺟﻮﻣ يﺪﻌﺑ ﺪﻨﻳآﺮﺳ عﻮﻧ

  • PayLoad Length

) 8ﺖﻴﺑ :(لﻮﻃ ﺮﮕﻧﺎﻴﺑ AH

  • Reserved

) 16ﺖﻴﺑ :(هﺪﻨﻳآ يﺎﻫ هدﺎﻔﺘﺳا ياﺮﺑ هﺪﺷ ورزر

  • Sec. Param. Index

) 32ﺖﻴﺑ :(ﻦﻴﻴﻌﺗ ياﺮﺑ SPI ﻪﺑ طﻮﺑﺮﻣ SA

  • Sequence Number

) 32ﺖﻴﺑ :(هﺪﻧرﺎﻤﺷ

  • Authentication Data

)ﺮﻴﻐﺘﻣ :(هﺪﻧﺮﻴﮔﺮﺑرد MAC ﺎﻳ ICV

slide-12
SLIDE 12

٢٣

AH

ﻪﺒﺳﺎﺤﻣ

MAC

ضﺮﻓ ﺶﻴﭘ لﻮﻃ96ﺖﻴﺑ )3ﺎﺗ32ﻲﺘﻴﺑ ( ﻦﻴﻟوا96ﻢﺘﻳرﻮﮕﻟا ﻲﺟوﺮﺧ ﺖﻴﺑ

HMAC

  • HMAC-MD5

ﺎﻳ HMAC-SHA-1

ﻪﺒﺳﺎﺤﻣ

MAC يور ﺮﻳدﺎﻘﻣ ﺮﻳز دﺮﻴﮔ ﻲﻣ مﺎﺠﻧا

ﺮﻴﻐﺘﻣﺎﻧ ﺪﻨﻳآﺮﺳ

IP ،ﺮﻴﻐﺘﻣﺎﻧ ﺪﻨﻳآﺮﺳ AHﻪﺘﺴﺑ ياﻮﺘﺤﻣ و

ﻲﻣ ﺮﻴﻴﻐﺗ لﺎﻘﺘﻧا رد ﻻﺎﻤﺘﺣا ﻪﻛ ﺪﻨﻳآﺮﺳ زا ﻲﻳﺎﻬﺘﻤﺴﻗ ﺪﻨﻨﻛ )ﺪﻨﻧﺎﻣ

TTL ( ،ﻪﺒﺳﺎﺤﻣ رد MAC ﺪﻧﻮﺷ ﻲﻣ رﻮﻈﻨﻣ ﺮﻔﺻ.

ﻪﺒﺳﺎﺤﻣ رد ﺰﻴﻧ هﺪﻧﺮﻴﮔ وهﺪﻨﺘﺳﺮﻓ يﺎﻬﺳردآ

MAC ﺪﻨﺘﺴﻫ ﻞﻴﺧد )ﻪﻠﻤﺣ زا يﺮﻴﮔﻮﻠﺟ ﺖﻬﺟ ﻞﻌﺟ IP (

٢٤

AH

رد ﻞﻧﻮﺗ ولﺎﻘﺘﻧا يﺎﻬﺘﻟﺎﺣ

AH :

لﺎﻘﺘﻧا ﺖﻟﺎﺣ )

Transport ( :اﺮﺑ ﺮﺗﻮﻴﭙﻣﺎﻛ ﻦﻴﺑ ﻢﻴﻘﺘﺴﻣ ﺖﻳﻮﻫ زاﺮﺣا ي وﺮﺑرﺎﻛ راﺰﮔرﺎﻛ

ﻞﻧﻮﺗ ﺖﻟﺎﺣ )

Tunnel ( :اﺮﺑ وﺮﺑرﺎﻛ ﻦﻴﺑ ﺖﻳﻮﻫ زاﺮﺣا يظﺎﻔﺣ ) firewall

slide-13
SLIDE 13

Sharif Network Security Center

٢٥

End-to-end versus End-to- Intermediate Authentication

Sharif Network Security Center

٢٦

Scope of AH Authentication Before Application

IP payload is TCP segment (data unit)

slide-14
SLIDE 14

Sharif Network Security Center

٢٧

Scope of AH Authentication Transport Mode

IPv6: AH is end-to-end payload

Sharif Network Security Center

٢٨

Scope of AH Authentication Tunnel Mode

slide-15
SLIDE 15

٢٩

AH

ﻪﻠﻤﺣ ﺎﺑ ﻪﻠﺑﺎﻘﻣ شور راﺮﻜﺗ )

Replay (

ﺮﻫ ﻪﺑ ﺮﻔﺻ راﺪﻘﻣ ﺎﺑ هﺪﻧرﺎﻤﺷ ﻚﻳ صﺎﺼﺘﺧا

SA

ﻦﻳا ﺎﺑ ﻪﻛ ﺪﻳﺪﺟ ﻪﺘﺴﺑ ﺮﻫ يازا ﻪﺑ هﺪﻧرﺎﻤﺷ ﺶﻳاﺰﻓا

SAدﻮﺷ ﻲﻣ هدﺎﺘﺳﺮﻓ

راﺪﻘﻣ ﻪﺑ هﺪﻧرﺎﻤﺷ ﺮﮔا232-1ﺪﺳﺮﺑ ،ﻚﻳزا ﺪﻳﺎﺑ

SAﺪﻳﺪﺟ ﺪﻴﻠﻛ ﺎﺑ ﺪﻳﺪﺟ دﺮﻛ هدﺎﻔﺘﺳا

ﻦﺘﻓﺮﮔﺮﻈﻧرد ﺰﻳﺎﺳ ﻪﺑ هﺮﺠﻨﭘ ﻚﻳ )64=(

W

هﺮﺠﻨﭘ ﺖﺳار ﺖﻤﺳ ﻪﺒﻟ ﻪﺑﻦﻳﺮﺘﮔرﺰﺑ ﺮﻈﻧ زا هﺪﺷﺪﻴﻳﺎﺗ وهﺪﻴﺳر ﻪﺘﺴﺑ هرﺎﻤﺷ

ﺪﺷﺎﺑ ﻲﻣ ﺖﻴﻌﻣﺎﺟ

٣٠

AH

ﻴﻧﺎﻜﻣﺰهﺮﺠﻨﭘ رد ﺪﻳﺪﺟ ﻪﺘﺴﺑ ﺎﺑ درﻮﺧﺮﺑ م

هﺮﺠﻨﭘ هدوﺪﺤﻣ ﻞﺧاد وﺪﻳﺪﺟ ﻪﺘﺴﺑ

ﻪﺒﺳﺎﺤﻣ

MAC هﺮﺠﻨﭘ رد ﺮﻇﺎﻨﺘﻣ ﻪﻧﺎﺧ ندز ﺖﻣﻼﻋ وترﻮﺻ رد ﺖﻳﻮﻫ ﺪﻴﻳﺎﺗ

هﺮﺠﻨﭘ دوﺪﺤﻣ زا جرﺎﺧ ﻪﺘﺴﺑ)ﺖﺳار ﺖﻤﺳ(

ﻪﺒﺳﺎﺤﻣ

MAC ،ﺖﺳار ﺖﻤﺳ ﻪﺑ هﺮﺠﻨﭘ ﺖﻔﻴﺷ وﺖﻳﻮﻫ ﺪﻴﻳﺎﺗ،ﺑﻪيرﻮﻃ ﻪﻧﺎﺧ ﻪﻛ ﺪﻫد نﺎﺸﻧ ار هﺮﺠﻨﭘ ﻪﺒﻟ ﺖﺳار ﺖﻤﺳ ﺮﻇﺎﻨﺘﻣ

زاﺮﺣا مﺪﻋ ﺎﻳ هﺮﺠﻨﭘ هدوﺪﺤﻣ زا جرﺎﺧ ﺪﻳﺪﺟ ﻪﺘﺴﺑﺖﻳﻮﻫ نآ

دﻮﺷ ﻲﻣ ﻪﺘﺧاﺪﻧا رود!

slide-16
SLIDE 16

٣١ ٣٢

ESP

ﺎﻬﻴﮔﮋﻳو

ﻚﻴﻓاﺮﺗ ﻲﮕﻧﺎﻣﺮﺤﻣ يﺪﺣ ﺎﺗ وهداد ﻲﮕﻧﺎﻣﺮﺤﻣ زا ﻲﻧﺎﺒﻴﺘﺸﭘ ﻲﺳﺎﻨﺷ ﺖﻳﻮﻫ زا هدﺎﻔﺘﺳا نﺎﻜﻣا)ﻪﺑﺎﺸﻣ

AH (

ﻢﺘﻳرﻮﮕﻟا زا هدﺎﻔﺘﺳا

DES ﺪﻣ رد CBC )زاهدﺎﻔﺘﺳا نﺎﻜﻣا3-DES , RC5 , IDEA , 3-IDEA , CAST و Blowfishﻧﻴدﻮﺟو ﺰ دراد (

slide-17
SLIDE 17

٣٣

ESP

يﺎﻫﺪﻠﻴﻓ

ESP

  • SPI

:ﻪﺳﺎﻨﺷ SA

  • Sequence Number

:ﻪﻠﻤﺣ زا يﺮﻴﮔﻮﻠﺟ ياﺮﺑ هﺪﻧرﺎﻤﺷراﺮﻜﺗ ﻪﺑﺎﺸﻣ AH

  • Payload

:ﺰﻣر ﻪﻛ ﻪﺘﺴﺑ ياﻮﺘﺤﻣﻣﻲدﻮﺷ

  • Padding

:ﺑﻴﺎﻬﺘ يﻓﺎﺿا ﻲ

  • Pad Length

:ﻻﺎﺑ ﺪﻠﻴﻓ لﻮﻃ

  • Next Header

:رددﻮﺟﻮﻣ هداد عﻮﻧ Payload Data

  • Authentication Data

:راﺪﻘﻣ MACهﺪﺷ ﻪﺒﺳﺎﺤﻣ )ﺮﻈﻧ رد نوﺪﺑ ﻓدﻮﺧ ﻦﺘﻓﺮﮔﻴﺪﻠ(

Sharif Network Security Center

٣٤

Encapsulating Security Payload

slide-18
SLIDE 18

٣٥

ESP

لﺎﻘﺘﻧا ﺖﻟﺎﺣ

ﻦﻴﺑ ﻲﮕﻧﺎﻣﺮﺤﻣ ﻦﻴﻤﻀﺗ

host ﺎﻫ

هداد ﻪﺘﺴﺑ يرﺎﮕﻧﺰﻣر،ﻪﻟﺎﺒﻧد

ESP نﺪﺷ ﻪﻓﺎﺿا و MAC ترﻮﺻرد ءاﺪﺒﻣ ﻂﺳﻮﺗ ﻲﺳﺎﻨﺷ ﺖﻳﻮﻫ بﺎﺨﺘﻧا

ﺗﻌﻂﺳﻮﺗ ﺮﻴﺴﻣ ﻦﻴﻴ

Router يﺎﻫﺪﻨﻳآﺮﺳ زا هدﺎﻔﺘﺳا ﺎﺑ ﻲﻧﺎﻴﻣ يﺎﻫ ﻲﻠﺻا)ﺪﻧا هﺪﺸﻧ ﺰﻣر ﻪﻛ (

ﺪﻨﻳآﺮﺳ ندﺮﻛ ﻚﭼ

IPمﺎﻐﻴﭘ هﺪﻧﺎﻤﻴﻗﺎﺑ ﺰﻣر ﻲﻳﺎﺸﮔاو وﺪﺼﻘﻣ ﻂﺳﻮﺗ

ﻚﻴﻓاﺮﺗ ﺰﻴﻟﺎﻧآ نﺎﻜﻣا

Sharif Network Security Center

٣٦

Transport Mode ESP

used for communication between hosts

scope

slide-19
SLIDE 19

٣٧

ESP

ﻞﻧﻮﺗ ﺖﻟﺎﺣ

وهﺪﻨﺘﺳﺮﻓ ﻲﺟوﺮﺧ يﺎﻫ هزاورد ﺪﺼﻘﻣ وءاﺪﺒﻣ سردآ نﺪﺷ ﻪﻓﺎﺿا

هﺪﻧﺮﻴﮔ،ﺪﻨﻳآﺮﺳ ESPوﻪﻟﺎﺒﻧد ESP ﻪﺑ طﻮﺑﺮﻣ ﺖﻤﺴﻗ و MAC رد زﺎﻴﻧ ترﻮﺻ)اﺮﺑ يﻮﻫﻳﺖﺳﺎﻨﺷ ﻲ(

رد ﻲﺑﺎﻳﺮﻴﺴﻣ مﺎﺠﻧا

Router سردآ يور زا ﻲﻧﺎﻴﻣ يﺎﻫ ﺪﻳﺪﺟ يﺎﻫ

سردآ يور زا ﻲﺑﺎﻳﺮﻴﺴﻣ وﺪﺼﻘﻣ ﻪﻜﺒﺷ لاوﺮﻳﺎﻓ ﻪﺑ ﻪﺘﺴﺑ نﺪﻴﺳر

IP ﻲﻳﺎﻬﻧ هﺮﮔ ﺎﺗ ﻲﻠﺒﻗ

ﻞﻧﻮﺗ ﺖﻟﺎﺣ

IPSec دﺎﺠﻳا يﺎﻬﺷور زا ﻲﻜﻳ VPN ﺖﺳا ﺎﻫ

Sharif Network Security Center

٣٨

Tunnel Mode ESP

slide-20
SLIDE 20

٣٩

ﺐﻴﻛﺮﺗ SAﺎﻫ

ﺮﻫ ﻪﻜﻨﻳا ﻪﺑ ﻪﺟﻮﺗ ﺎﺑ

SAيﺎﻬﺴﻳوﺮﺳ زا ﻲﻜﻳ ﺎﻬﻨﺗ AHﺎﻳ ESP ﺖﺳا هدﺮﻛ يزﺎﺳ هدﺎﻴﭘ ار،ﺪﻳﺎﺑ ﺲﻳوﺮﺳ ود ﺮﻫ زا هدﺎﻔﺘﺳا ياﺮﺑ آدﺮﻛ ﺐﻴﻛﺮﺗ ﻢﻫﺎﺑ ار ﺎﻬﻧ

ﻒﻠﺘﺨﻣ يﺎﻬﺒﻴﻛﺮﺗ

ﭘﻴهدﺎ زﺎﺳ ي

IPSec ﻂﺳﻮﺗ hostﺎﻫيﺮﻇﺎﻨﺘﻣ

ﭘﻴهدﺎ زﺎﺳ ي

IPSec ﻂﺳﻮﺗ gateway ﺎﻫ

ﻛﺮﺗ ﻴﻻﺎﺑ ﺖﻟﺎﺣ ود ﺐ

Sharif Network Security Center

٤٠

slide-21
SLIDE 21

Sharif Network Security Center

٤١

Sharif Network Security Center

٤٢

slide-22
SLIDE 22

Sharif Network Security Center

٤٣

٤٤

ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ

ﻪﺑ ﺎﻣﻮﻤﻋ4ﻠﻛﻴ،يﺮﺳ ﺪﺎﺗود اﺮﺑ ي

AHوﺎﺗود اﺮﺑ ي ESP )ﺖﻬﺟ ود رد (ﻧﻴﺪﻨﻣزﺎﻳﻢ.اﺮﺑ يﻟﻮﺗﻴوﺪزﻮﺗﻳاﻊﻳﻦﻠﻛﻴﺎﻫﺪ ﻪﺑ ﻳﻚ ﻧﺎﻜﻣﻴمﺰﺪﻣﻳﺮﻳﺖﻠﻛﻴﻧﺪﻴﺪﻨﻣزﺎﻳﻢ.

slide-23
SLIDE 23

٤٥

ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ

ﻲﺘﺳد ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ :ﻞﺑﺎﻗ ﻚﭼﻮﻛ وﺎﺘﺴﻳا يﺎﻫ ﻢﺘﺴﻴﺳ رد ﺎﻬﻨﺗ

هدﺎﻔﺘﺳاﺖﺳا

رﺎﻛدﻮﺧ ﺖﻳﺮﻳﺪﻣ :

ﻚﻴﺗﺎﻣﻮﺗا ﻞﻜﺗوﺮﭘﭘوﻴﺪﻴﻠﻛ ﻊﻳزﻮﺗ وﺖﻳﺮﻳﺪﻣ ضﺮﻓ ﺶ

IPSec ﺎﺣﻼﻄﺻا ISAKMP/Oakley دﻮﺷ ﻲﻣ هﺪﻴﻣﺎﻧ .

Internet Security Association and Key Management Protocol

٤٦

ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ

مﺎﻧ ﻪﺑ رﺎﻛدﻮﺧ ﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ

ISAKMP/Oakleyوﺖﺳا فوﺮﻌﻣ ودﻞﻣﺎﺷ زﺎﻓﺖﺳا

ﺪﻴﻠﻛ ﻦﻴﻴﻌﺗ ﻞﻜﺗوﺮﭘ

Oakley :ﻞﻜﺗوﺮﭘ ﻪﺘﻓﺎﻳ ﻪﻌﺳﻮﺗ مﺮﻓ Diffie- Hellman هدﺮﻛ فﺮﻃﺮﺑ ار نآ يﺎﻬﻔﻌﺿ ﻪﻛ ﺖﺳا

  • Clogging Attack

:ﻲﻧﺎﺑﺮﻗ ﻊﺑﺎﻨﻣ ﻒﻠﺗدﻮﺷ ﻲﻣ .

زا هدﺎﻔﺘﺳا ﺎﺑ ﻒﻳﺮﻌﺗ ناﻮﻨﻋ ﺖﺤﺗ ﻲﻣﻮﻬﻔﻣ

Cookie ﻞﻜﺸﻣ ﻦﻳا فﺮﻃﺮﺑ ار ﻪﻠﻤﺣ ﻲﻣﺪﻨﻛ

  • Man-In-The-Middle-Attack
  • Replay Attack

زا هدﺎﻔﺘﺳا ﺎﺑ

Nonceﺪﻨﻛ ﻲﻣ ﻪﻠﺑﺎﻘﻣ راﺮﻜﺗ يﺎﻫ ﻪﻠﻤﺣ ﺎﺑ .

وﺪﻴﻠﻛ ﺖﻳﺮﻳﺪﻣ ﻞﻜﺗوﺮﭘ

SAﺖﻧﺮﺘﻨﻳا رد ) ISAKMP (

فﺬﺣ ﺎﻳ ﺮﻴﻴﻐﺗ ،هﺮﻛاﺬﻣ ،يراﺮﻗﺮﺑ ياﺮﺑ ﺎﻫ ﻪﺘﺴﺑ ﺐﻟﺎﻗ وﺎﻫ ﻪﻳور ﻒﻳﺮﻌﺗ

SA