ﺷﺒﻜﻪ داده و ﺷ ﻜ ااﻣﻨﻴﺖ ا اﻣﻨﻴﺖ IP ول 90-91 ل اول ﻲ -ﻧﻴﻤﺴﺎل ﻲ اﻣﻴﻨﻲ ﻣﺮﺗﻀﻲ ﺮ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ http://dnsl.ce.sharif.edu ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ ﻣﻌﻤﺎري IPSec ﻣﻌ ﺎ ي ﭘﺮوﺗﻜﻞ AH ﭘﺮوﺗﻜﻞ ESP ﺗﺮﻛﻴﺐ SAﻫﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 2 ﻣﻘﺪﻣﻪ -ﻣﺜﺎﻟﻲ از TCP/IP ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 3 IPV4 ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 4 ﻣﻘﺪﻣﻪ راهﺣﻞﻫﺎي اﻣﻨﻴﺘﻲ واﺑﺴﺘﻪ ﺑﻪ ﻛﺎرﺑﺮد )ﺗﺎﻛﻨﻮن( اﻟﻜﺘﺮوﻧﻴﻜﻲ ﺖ اﻟﻜﺘ ﻧ ﻜ ﺖ ﭘﺴﺖ S/MIMEو :PGPااﻣﻨﻴﺖ :Kerberosاﻣﻨﻴﺖ ﺑﻴﻦ ﻛﺎرﺑﺮ-ﻛﺎرﮔﺰار )اﺣﺮاز اﺻﺎﻟﺖ( :SSLاﻳﺠﺎد ﻳﻚ ﻛﺎﻧﺎل اﻣﻦ در وب ﻧﻴﺎز ﺑﻪ اﻣﻨﻴﺖ در ﺳﻄﺢ IP ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﺤﺘﻮاي ﺑﺴﺘﻪﻫﺎي IP اﺣﺮاز اﺻﺎﻟﺖ ﻓﺮﺳﺘﻨﺪه و ﮔﻴﺮﻧﺪه ﺑﺴﺘﻪﻫﺎ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 5 ﻣﻘﺪﻣﻪ IPSecﻳﻚ ﭘﺮوﺗﻜﻞ ﺗﻨﻬﺎ ﻧﻴﺴﺖ ﺑﻠﻜﻪ ﻣﺠﻤﻮﻋﻪاي از اﻟﮕﻮرﻳﺘﻢﻫﺎي ارﺗﺒﺎط ااﻣﻦ ﻦ ﺮاري ﻳﻳﻚ ار ﺒ ﺑﺮﻗﺮاري ﻛﻠﻲ را ﺑﺮاي ﺑﺮ رﭼﻮﺑﻲ ﻲ ﭼﺎرﭼﻮﺑﻲ ﺖ ﻛﻪ ﭼ ﻲ ااﺳﺖ اﻣﻨﻴﺘﻲ ا ﻴ ﻓﺮاﻫﻢ ﻣﻲ ﻧﻤﺎﻳﺪ. ﺗﻮﺳﻂ IPSec ﺷﺪه ﺗ ﻂ ﻓﺮاﻫﻢ ﺷﺪ اﻣﻨﻴﺘﻲ ﻓ اﻫ ﻫﺎي ا ﻨ ﺘ ﺳﺮوﻳﺲﻫﺎ اﺣﺮاز اﺻﺎﻟﺖ )ﺑﻪ ﻫﻤﺮاه ﻛﻨﺘﺮل ﺻﺤﺖ دادهﻫﺎ( ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﺴﺘﻪﻫﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ )ﺗﺒﺎدل اﻣﻦ ﻛﻠﻴﺪ( ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 6 ﻛﺎرﺑﺮد IPSec ﻧﻤﻮﻧﻪ ﻛﺎرﺑﺮدﻫﺎي IPSec اﻳﺠﺎد ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ ﻣﺠﺎزي ) (VPNﺑﺮاي ﺷﻌﺒﻪﻫﺎي ﻣﺨﺘﻠﻒ ﻳﻚ ﺳﺎزﻣﺎن از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ دﺳﺘﺮﺳﻲ اﻣﻦ ﻛﺎرﻣﻨﺪان ﺷﺮﻛﺖ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﻜﻪ از ﻃﺮﻳﻖ اﻳﻨﺘﺮﻧﺖ اﻣﻜﺎن ارﺗﺒﺎط اﻣﻦ ﺑﻴﻦ ﭼﻨﺪ ﺳﺎزﻣﺎن ﺑﻪ وﺟﻮد آوردن ﺧﺪﻣﺎت اﻣﻨﻴﺘﻲ ﺑﺮاي ﻛﺎرﺑﺮدﻫﺎي دﻳﮕﺮ )ﻣﺜﻞ ﺗﺠﺎرت اﻟﻜﺘﺮوﻧﻴﻜﻲ( ﺮو ﻴ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 7 ﻧﻤﻮﻧﻪاي اي از ﻛﺎرﺑﺮد IPSec ﻧﻤﻮﻧﻪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 8 ﻣﻘﺪﻣﻪ ﻣﺰاﻳﺎي اﺳﺘﻔﺎده از IPSec ﺑﻜﺎرﮔﻴﺮي ددر ﺻﻮرت ﺑﻜﺎ ﮔ ي ﺧﺎرج LANددر ﺻﻮ ت ﻦ داﺧﻞ و ﺧﺎ ج اﻣﻨﻴﺖ ﻗﻮي ﺑﺑﻴﻦ ﺗﺎﻣﻴﻦ اﻣﻨ ﺖ ﺗﺎﻣ ﻦ ﻣﺴﻴﺮﻳﺎﺑﻬﺎ و ﺣﻔﺎظ ﻫﺎ )Firewallﻫﺎ( اﻧﺘﻬﺎﻳﻲ رﻣﺰﻧﮕﺎري ددر ﻧﻘﺎط اﻧﺘﻬﺎﻳ ﺳﺮﺑﺎر ﻣﺰﻧﮕﺎ ي ﻋﺪم ﺳ ﺑﺎ ﭘﻨﻬﺎﻧﻲ از ﻧﻈﺮ ﻛﺎرﺑﺮان ﭘﻨﻬﺎﻧﻲ از دﻳﺪ ﺑﺮﻧﺎﻣﻪﻫﺎي ﻛﺎرﺑﺮدي ﻻﻳﻪﻫﺎي ﺑﺎﻻﺗﺮ ) IPSecزﻳﺮ ﻻﻳﻪ اﻧﺘﻘﺎل ﻋﻤﻞ ﻣﻲﻧﻤﺎﻳﺪ( اﻳﺠﺎد ارﺗﺒﺎط اﻣﻦ ﺑﻴﻦ ﻛﺎرﻛﻨﺎن ﺳﺎزﻣﺎن از ﺧﺎرج ﺑﻪ داﺧﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 9 وﻳﮋﮔﻴﻬﺎي IPSec داراي ﺗﻮﺻﻴﻒ ﻧﺴﺒﺘﺎ ﻣﺸﻜﻞ اﻟﺰاﻣﻲ در IPv6و اﺧﺘﻴﺎري در IPv4 ﭘﺮوﺗﻜﻞ IPSecدر ﺳﺮآﻳﻨﺪﻫﺎي ﺗﻮﺳﻌﻪ ﻳﺎﻓﺘﻪ و ﺑﻌﺪ از ﺳﺮآﻳﻨﺪ اﺻﻠﻲ IP ﭘﻴﺎدهﺳﺎزي ﻣﻲﺷﻮد. ﻢ ﺑﻮده و ﺑﻪ ﺻﻮرت زﻳﺮ دﺳﺘﻪﺑﻨﺪي ﺷﺪه اﺳﺖ: ﻣﺴﺘﻨﺪات IPSecﺑﺴﻴﺎر ﺣﺠﻴﻢ ﻣﻌﻤﺎري )(Architecture : (ESP) Encapsulating Security Payloadرﻣﺰﻧﮕﺎري ﺑﺴﺘﻪﻫﺎ )اﺣﺮاز اﺧﺘﻴﺎري( اﺻﺎﻟﺖ ﺑﻪ ﺻﻮرت اﺧ ﺎ ا ﺎﻟ : (AH) Authentication Headerاﺣﺮاز اﺻﺎﻟﺖ ﺑﺴﺘﻪﻫﺎ ﻛﻠﻴﺪﻫﺎ ﻦ ﻴ ل اﻣﻦ ﺗﺒﺎدل ﻛﻠﻴﺪ :ﺒ ﻣﺪﻳﺮﻳﺖ ﻴ ﻳﺮﻳ اﻟﮕﻮرﻳﺘﻢﻫﺎي رﻣﺰﻧﮕﺎري و اﺣﺮاز اﺻﺎﻟﺖ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 10 ﺳﺎﺧﺘﺎر ﻣﺴﺘﻨﺪات IPSec ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 11 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ ﻣﻌﻤﺎري IPSec ﭘﺮوﺗﻜﻞ AH ﭘﺮوﺗﻜﻞ ESP ﺗﺮﻛﻴﺐ SAﻫﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 12 ﺳﺮوﻳﺲﻫﺎي IPSec ﺳﺮوﻳﺲﻫﺎي اراﺋﻪ ﺷﺪه: دﺳﺘﺮﺳﻲ ﻲ ﺮل ﺮ ﻛﻨﺘﺮل ﺗﻀﻤﻴﻦ ﺻﺤﺖ دادهﻫﺎ در ارﺗﺒﺎط Connectionless اﺣﺮاز اﺻﺎﻟﺖ ﻣﻨﺒﻊ دادهﻫﺎ )(Data Origin ﺗﺸﺨﻴﺺ ﺑﺴﺘﻪﻫﺎي ﺑﺎزارﺳﺎل ﺷﺪه و رد آﻧﻬﺎ )ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت ﺗﻜﺮار( ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﺴﺘﻪﻫﺎ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺟﺮﻳﺎن ﺗﺮاﻓﻴﻚ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 13 ﺳﺮوﻳﺲﻫﺎي IPSec ﻫﺎ ﺑﺎ دو ﭘﺮوﺗﻜﻞ زﻳﺮ اراﺋﻪ ﻣﻣﻲﺷﻮﻧﺪ: ﻫﻤﻪ ﺳﺮوﻳﺲ ﺳﺮوﻳﺲﻫﺎ )Authentication Header (AH )Encapsulating Security Payload (ESP )Encapsulating Security Payload (ESP AH )ESP (encryption only ESP (encryption plus )authentication ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ ﺻﺤﺖ connectionless ﻣﻨﺒﻊ داده اﺣﺮاز اﺻﺎﻟﺖ ﻣﻨ ﻊ اﺣ از رد ﺑﺴﺘﻪﻫﺎي ﺑﺎزارﺳﺎل ﺷﺪه ﻲ ﺑﺴﺘﻪﻫﺎ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺟﺮﻳﺎن ﺗﺮاﻓﻴﻚ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 14 ﻣﺠﻤﻊ اﻣﻨﻴﺘﻲ ﺗﻌﺮﻳﻒ :ﻣﺠﻤﻊ اﻣﻨﻴﺘﻲ) (Security Associationﻳﻚ ﻣﻔﻬﻮم ﻛﻠﻴﺪي در ﻣﻜﺎﻧﻴﺰمﻫﺎي اﺣﺮاز اﺻﺎﻟﺖ و ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﺮاي IPﺑﻮده و ﻳﻚ راﺑﻄﻪ ﻳﻚ ﻃﺮﻓﻪ ﺑﻴﻦ ﻓﺮﺳﺘﻨﺪه و ﮔﻴﺮﻧﺪه ﺑﺴﺘﻪ اﻳﺠﺎد ﻣﻲﻛﻨﺪ. SAدر IPﺑﻪ ﻧﻮﻋﻲ ﻣﻌﺎدل Connectionدر TCPاﺳﺖ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 15 ﻣﺠﻤﻊ اﻣﻨﻴﺘﻲ وﻳﮋﮔﻴﻬﺎ: ﺷﻮد: ﻣﺸﺨﺺ ﻣﻲﺷ د ﭘﺎراﻣﺘﺮ ﺸﺨ ﻳﻜﺘﺎ ﺎﺑﺎ 3ﺎ ا ﺘ ﺑﺼﻮرت ﻜﺘﺎ ت ﻳﻚ SA ﻚ :(SPI) Security Parameters Indexﻳﻚ رﺷﺘﻪ ﺑﻴﺘﻲ ﻧﺴﺒﺖ داده ﺷﺪه ﺑﻪ SA : IP Destination Addressآدرس ﻣﻘﺼﺪ ﻧﻬﺎﻳﻲ SA ﻖ SAﺑﺑﻪ AHﻳﻳﺎ ESP ﺑﻴﺎﻧﮕﺮ ﺗﻌﻠﻖ : Security Protocol Identifierﺑﻴ ﺮ y ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 16 ﻣﺠﻤﻊ اﻣﻨﻴﺘﻲ ﭘﺎراﻣﺘﺮﻫﺎي SA :Sequence Number Counterﺷﻤﺎره ﺳﺮﻳﺎل ﺑﺴﺘﻪﻫﺎ ﺷﻤﺎرﻧﺪه ﺮرﻳﺰ درر ر :Sequence Counter Overflowﻧﺸﺎﻧﮕﺮﺮ ﺳﺮرﻳﺰ q :Anti Replay Windowاﺳﺘﻔﺎده ﺑﺮاي ﻣﺸﺨﺺ ﻛﺮدن ﺗﻜﺮاري ﺑﻮدن ﺑﺴﺘﻪ درﻳﺎﻓﺘﻲ آﻧﻬﺎ و ... ﻋﻤﺮ ﻬ ﻃﻮل ﺮ اﺣﺮاز اﺻﺎﻟﺖ ،ﻛﻠﻴﺪﻫﺎ و ﻮل اﻟﮕﻮرﻳﺘﻢ ﺮ ز :AH Informationﻮر ﻢ :ESP Informationاﻟﮕﻮرﻳﺘﻢ رﻣﺰ و اﺣﺮاز اﺻﺎﻟﺖ ،ﻛﻠﻴﺪﻫﺎ و ﻃﻮل ﻋﻤﺮ آﻧﻬﺎ ،ﻣﻘﺎدﻳﺮ اوﻟﻴﻪ و ... :SA Lifetimeﻃﻮل ﻋﻤﺮ SA :IPSec Protocol Modeﻳﻚ از ﻣﺪﻫﺎي اﻧﺘﻘﺎل و ﺗﻮﻧﻞ ﺣﺪاﻛﺜﺮ اواﺣﺪ ﻗﺎ ﻞ ﻗﺎﺑﻞ ﻣﻘﺪار ) MTUاﻛ ﻫﺮﮔﻮﻧﻪ ا :Maximum Transmission Unitﮔ M i T i i U it اﻧﺘﻘﺎل( ﻣﺸﺎﻫﺪه ﺷﺪه در ﻣﺴﻴﺮ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 17 ﻣﺪﻫﺎي ﻣﺪﻫﺎي اﻧﺘﻘﺎل ﺑﺴﺘﻪ در IPSec در ﻫﺮ دوي AHو ESPدو ﻣﺪ اﻧﺘﻘﺎل وﺟﻮد دارد: (T )(Transport Mode ﻣﺪ اﻧﺘﻘﺎل) M d ﺗﻐﻴﻴﺮات ﺗﻨﻬﺎ روي ﻣﺤﺘﻮاي ﺑﺴﺘﻪ ﺻﻮرت ﻣﻲ ﮔﻴﺮد ،ﺑﺪون ﺗﻐﻴﻴﺮ ﺳﺮآﻳﻨﺪ IP ﻣﺪ ﺗﻮﻧﻞ )(Tunnel Mode اﻋﻤﺎل ﺗﻐﻴﻴﺮات روي ﻛﻞ ﺑﺴﺘﻪ ) IPﺳﺮآﻳﻨﺪ (Payload+و ﻓﺮﺳﺘﺎدن ﻧﺘﻴﺠﻪ ﺑﻪ ﻋﻨﻮان ﻳﻚ ﺑﺴﺘﻪ ﺟﺪﻳﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 18 ﺪ اﻧﺘﻘﺎل در IPSec ﻣﻣﺪ ﻣﺪ اﻧﺘﻘﺎل در ﻛﺎرﺑﺮدﻫﺎي اﻧﺘﻬﺎ ﺑﻪ اﻧﺘﻬﺎ ) (end‐to‐endﻣﺜﻞ ﻛﺎرﮔﺰار/ﻛﺎرﻓﺮﻣﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد. : ESPرﻣﺰﻧﮕﺎري )ﺿﺮوري( و ﺻﺤﺖ )اﺧﺘﻴﺎري( ﻣﺤﺘﻮاي ﺑﺴﺘﻪ ﺑﺴﺘﻪ ﺳﺮآﻳﻨﺪ ﺘ ﺷﺪه آ اﻧﺘﺨﺎب ﺷ ﻗﺴﻤﺘﻬﺎي اﻧﺘﺨﺎ ﺑﺴﺘﻪ و ﻗ ﺘ ﺎ ﻣﺤﺘﻮاي ﺘ : AHﺻﺤﺖ ﺘ ا ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 19 ﺪ ﺗﻮﻧﻞ در IPSec ﻣﻣﺪ ﻣﺪ ﺗﻮﻧﻞ ﻣﻮرد اﺳﺘﻔﺎده در ارﺗﺒﺎط Gatewayﺑﻪ .Gateway ﺳﺮآﻳﻨﺪ داﺧﻠﻲ ﻲ ﻴﺺ ﺮ ﻳ ﻗﺎدر ﺑﺑﻪ ﺗﺸﺨﻴﺺ ﻣﻴﺎﻧﻲ ر ب ) (routerﻴ ﻲ ﻴﭻ ﻣﺴﻴﺮﻳﺎب ﻫﻴﭻ ﻧﻴﺴﺖ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 20 ﻗﺎﺑﻠﻴﺖ ﻫﺎي ﻣﺪﻫﺎي ﻣﺪﻫﺎي اﻧﺘﻘﺎل و ﺗﻮﻧﻞ ﻣﺪ اﻧﺘﻘﺎل ﻣﺪ ﺗﻮﻧﻞ AH ﻞ ﺑﺑﺴﺘﻪ IPداﺧﻠﻲ ﻲ اﺣﺮازز اﺻﺎﻟﺖ ﻛﻞ ﺮ ﺑﺨﺸﻬﺎﻳﻲ ﻳﻲ دادههاي IPو ﺑ ﻬ ﺑﺨﺶ ا ﺮاز ﺑ ﺶ ااﺣﺮاز ﺑﻪ اﻧﻀﻤﺎم ﺑﺨﺸﻬﺎﻳﻲ از ﺳﺮآﻳﻨﺪ IP از ﺳﺮآﻳﻨﺪ IP ﺑﺴﺘﻪ ﺑﻴﺮوﻧﻲ ESP رﻣﺰ ﺑﺨﺶ دادهاي IPﻛﻪ ﺑﻪ دﻧﺒﺎل ﺳﺮآﻳﻨﺪ ESPﻗﺮار دارد. داﺧﻠﻲ رﻣﺰ ﻛﻞ ﺑﺴﺘﻪ IPداﺧﻠ ESP with Authentication رﻣﺰ ﺑﺨﺶ دادهاي IPﻛﻪ ﺑﻪ دﻧﺒﺎل دارد. ﻗﺮار دا د ﺳﺮآﻳﻨﺪ ESPﻗ ا ﺳ آﻳﻨﺪ اﺣﺮاز اﺻﺎﻟﺖ ﺑﺨﺶ دادهاي IPو ﻧﻪ ﺳﺮآﻳﻨﺪ آن. رﻣﺰ ﻛﻞ ﺑﺴﺘﻪ IPداﺧﻠﻲ. داﺧﻠﻲ ﺑﺴﺘﻪ IPداﺧﻠ اﺣﺮاز اﺻﺎﻟﺖ ﺑ ﺘﻪ اﺣ از ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 21 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ ﻣﻌﻤﺎري IPSec ﻣﻌ ﺎ ي ﭘﺮوﺗﻜﻞ AH ﭘﺮوﺗﻜﻞ ESP ﺗﺮﻛﻴﺐ SAﻫﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 22 )Authentication Header (AH Authentication Header اﺣﺮاز اﺻﺎﻟﺖ ﺑﺴﺘﻪﻫﺎي IP ﺗﻀﻤﻴﻦ ﺻﺤﺖ و اﺣ از ﺗﺎﻣﻴﻦ ﺳﺮوﻳﺲ ﺻﺤﺖ دادهﻫﺎ ﺑﺎ اﺳﺘﻔﺎده از MAC HMAC‐MD5‐96ﻳﻳﺎ HMAC‐SHA‐1‐96 ﺑﻪ ﻣﻘﺪار ﻓﻴﻠﺪ MACدر ،AHﻣﻘﺪار ﻛﻨﺘﺮل ﺻﺤﺖ ) (ICVﮔﻔﺘﻪ ﻣﻲﺷﻮد. ﻃﺮﻓﻴﻦ ﻧﻴﺎز ﺑﻪ ﺗﻮاﻓﻖ روي ﻳﻚ ﻛﻠﻴﺪ ﻣﺸﺘﺮك ﻣﺘﻘﺎرن دارﻧﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 23 )Authentication Header (AH ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 24 )Authentication Header (AH ﻓﻴﻠﺪﻫﺎي :AH در ﺑﺑﺴﺘﻪ ﻣﻮﺟﻮد ر ﺑﻌﺪي ﻮﺟﻮ ﺳﺮآﻳﻨﺪ ﺑ ي ﻮع ﺮ ﻳ 8) Next Headerﺑﻴﺑﻴﺖ(( :ﻧﻮع 8) PayLoad Length ﺑﻴﺖ( :ﺑﻴﺎﻧﮕﺮ ﻃﻮل ) AHﺑﺎ واﺣﺪ ﻛﻠﻤﻪ 32 ﺑﻴﺘﻲ( ﻣﻨﻬﺎي 2 16) Reservedﺑﻴﺖ( :رزرو ﺷﺪه ﺑﺮاي اﺳﺘﻔﺎدهﻫﺎي آﻳﻨﺪه 32) Sec. Param. Indexﺑﻴﺖ( :ﺑﺮاي ﺗﻌﻴﻴﻦ SPIﻣﺮﺑﻮط ﺑﻪ SA 32) Sequence Numberﺑﻴﺖ( :ﺷﻤﺎرﻧﺪه ) Authentication Dataﻣﺘﻐﻴﺮ( :درﺑﺮﮔﻴﺮﻧﺪه MACﻳﺎ ICV (Integrity Check Value ) h k l ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 25 )Authentication Header (AH ﻣﺤﺎﺳﺒﻪ MAC ﻃﻮل ﭘﻴﺶ ﻓﺮض 96ﺑﻴﺖ ) 3ﺗﺎ 32ﺑﻴﺘﻲ( اﻟﮕﻮرﻳﺘﻢ HMAC ﺧﺮوﺟﻲ اﻟﮕ ﺘ ﺑﻴﺖ ﺧ اوﻟﻴﻦ 96ﺖ اﻟ HMAC‐MD5ﻳﺎ HMAC‐SHA‐1 ﮔﻴﺮد: اﻧﺠﺎم ﻣﻲﮔ د ﻣﻘﺎدﻳﺮ ززﻳﺮ اﻧ ﺎ ﻣﺤﺎﺳﺒﻪ MACروي ﻘﺎد ﺎ ﻪ ﺳﺮآﻳﻨﺪ ﻧﺎﻣﺘﻐﻴﺮ ،IPﺳﺮآﻳﻨﺪ ﻧﺎﻣﺘﻐﻴﺮ AHو ﻣﺤﺘﻮاي ﺑﺴﺘﻪ ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﻨﺪ ) ﺎﻧﻨﺪ ﻣﺎﻧﻨﺪ اﺣﺘﻤﺎﻻ ددر اﻧﺘﻘﺎل ﺗﻐ ﺳﺮآﻳﻨﺪ ﻛﻪ ا ﺘ ﺎﻻ ﻗﺴﻤﺘﻬﺎﻳﻲ از آ ﻨﺪ ﻗ ﺘﺎ ،(TTLدر ﻣﺤﺎﺳﺒﻪ MACﺻﻔﺮ ﻣﻨﻈﻮر ﻣﻲﺷﻮﻧﺪ. دﺧﻴﻞ ﻫ ﺘﻨﺪ ﻫﺴﺘﻨﺪ ﻣﺤﺎﺳﺒﻪ MACدﺧ ﻞ ﻧﻴﺰ ددر ﻣﺤﺎﺳ ﻪ ﮔﻴﺮﻧﺪه ﻧ ﺰ ﻓﺮﺳﺘﻨﺪه و ﮔ ﻧﺪه آدرﺳﻬﺎي ﻓ ﺳﺘﻨﺪه آد ﺳﻬﺎي )ﺟﻬﺖ ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻠﻪ ﺟﻌﻞ (IP ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 26 )Authentication Header (AH ﻣﺪﻫﺎي اﻧﺘﻘﺎل و ﺗﻮﻧﻞ در :AH ﻣﺪ اﻧﺘﻘﺎل ) :(Transportﺑﺮاي اﺣﺮاز اﺻﺎﻟﺖ ﻣﺴﺘﻘﻴﻢ ﺑﻴﻦ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻛﺎرﺑﺮ و ر ﺰر ﻛﺎرﮔﺰار ﻦ ﻛﺎرﺑﺮ و ﺣﻔﺎظ )(firewall ﻣﺪ ﺗﻮﻧﻞ ) :(Tunnelﺑﺮاي اﺣﺮاز اﺻﺎﻟﺖ ﺑﻴﻦ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 27 اﻧﻮاع اﺣﺮاز اﺻﺎﻟﺖ ﺑﺎ AH ﺑﺎ اﺳﺘﻔﺎده از ﻣﺪ اﻧﺘﻘﺎل ﺗﻮﻧﻞ ﻞ ﺑﺎ اﺳﺘﻔﺎده ازز ﻣﺪ ﻮ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 28 ﻣﺤﺪوده اﺣﺮاز اﺻﺎﻟﺖ AH ﻣﺪ اﻧﺘﻘﺎل ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 29 ﻣﺤﺪوده اﺣﺮاز اﺻﺎﻟﺖ AH ﻣﺪ ﺗﻮﻧﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 30 ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﺗﻜﺮار در AH روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﺗﻜﺮار )(Replay ﺻﻔﺮ ﺑﻪ ﻫﻫﺮ SA ﻣﻘﺪار ﺻﻔ ﻧﺪه ﺑﺎ ﻣﻘﺪا ﺷﻤﺎرﻧﺪه اﺧﺘﺼﺎص ﻳﻚ ﺷﻤﺎ اﻓﺰاﻳﺶ ﺷﻤﺎرﻧﺪه ﺑﻪ ازاي ﻫﺮ ﺑﺴﺘﻪ ﺟﺪﻳﺪ ﻛﻪ ﺑﺎ اﻳﻦ SAﻓﺮﺳﺘﺎده ﻣﻲ ﺷﻮد. ﻮ اﮔﺮ ﺷﻤﺎرﻧﺪه ﺑﻪ ﻣﻘﺪار 232‐1ﺑﺮﺳﺪ ،ﺑﺎﻳﺪ از ﻳﻚ SAﺟﺪﻳﺪ ﺑﺎ ﻛﻠﻴﺪ ﺟﺪﻳﺪ اﺳﺘﻔﺎده ﻛﺮد. درﻧﻈﺮﮔﺮﻓﺘﻦ ﻳﻚ ﭘﻨﺠﺮه ﺑﻪ اﻧﺪازه ﭘﻴﺶ ﻓﺮض W =64 ﻟﺒﻪ ﺳﻤﺖ راﺳﺖ ﭘﻨﺠﺮه ﺑﻪ ﺑﺰرﮔﺘﺮﻳﻦ ﺷﻤﺎره ﺑﺴﺘﻪ رﺳﻴﺪه و ﺗﺎﻳﻴﺪﺷﺪه از ﻧﻈﺮ ﺻﺤﺖ اﺧﺘﺼﺎص ﻣﻲﻳﺎﺑﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 31 ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﺗﻜﺮار در AH ﻣﻜﺎﻧﻴﺰم ﺑﺮﺧﻮرد ﺑﺎ ﺑﺴﺘﻪ ﺟﺪﻳﺪ در ﭘﻨﺠﺮه ﺑﺴﺘﻪ ﺟﺪﻳﺪ و داﺧﻞ ﻣﺤﺪوده ﭘﻨﺠﺮه ﺑﺴﺘﻪ ﺧﺎرج از ﻣﺤﺪوده ﭘﻨﺠﺮه )ﺳﻤﺖ راﺳﺖ( ﻣﺤﺎﺳﺒﻪ MACو ﻋﻼﻣﺖ زدن ﺧﺎﻧﻪ ﻣﺘﻨﺎﻇﺮ در ﭘﻨﺠﺮه در ﺻﻮرت اﺣﺮاز اﺻﺎﻟﺖ ﻣﺤﺎﺳﺒﻪ ،MACاﺣﺮاز اﺻﺎﻟﺖ و ﺷﻴﻔﺖ ﭘﻨﺠﺮه ﺑﻪ ﺳﻤﺖ راﺳﺖ ،ﺑﻪ ﻃﻮري ﻛﻪ ﻧﺸﺎن دﻫﺪ. ﺖ ﻟﻟﺒﻪ ﭘﻨﺠﺮه راا ﻧﺸﺎ ﺖ اراﺳﺖ ﻣﺘﻨﺎﻇﺮ ﺳﻤﺖ ﺧﺎﻧﻪ ﺘ ﺎﻇ ﺧﺎﻧ ﺑﺴﺘﻪ ﺟﺪﻳﺪ ﺧﺎرج از ﻣﺤﺪوده ﭘﻨﺠﺮه ﻳﺎ ﻋﺪم اﺣﺮاز اﺻﺎﻟﺖ آن دور اﻧﺪاﺧﺘﻪ ﻣﻣﻲﺷﻮد! ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 32 ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﺗﻜﺮار در AH ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 33 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ ﻣﻌﻤﺎري IPSec ﻣﻌ ﺎ ي ﭘﺮوﺗﻜﻞ AH ﭘﺮوﺗﻜﻞ ESP ﺗﺮﻛﻴﺐ SAﻫﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 34 Encapsulating Security )Payload (ESP وﻳﮋﮔﻴﻬﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ از ﻣﺤﺮﻣﺎﻧﮕﻲ داده و ﺗﺎ ﺣﺪي ﻣﺤﺮﻣﺎﻧﮕﻲ ﺗﺮاﻓﻴﻚ اﻣﻜﺎن اﺣﺮاز اﺻﺎﻟﺖ )ﻣﺸﺎﺑﻪ (AH اﺳﺘﻔﺎده از اﻟﮕﻮرﻳﺘﻢ DESدر ﻣﺪ ) CBCاﻣﻜﺎن اﺳﺘﻔﺎده از ,3‐DES دارد((. CAST ,3‐IDEAو Blowfishﻧﻴﺰ وﺟﻮد ا 3 IDEA ,IDEA ,RC5 ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 35 Encapsulating Security )Payload (ESP ﻓﻴﻠﺪﻫﺎي ESP ﻓﻠ ﺎ : SPIﺷﻨﺎﺳﻪ SA ﺗﻜﺮار ﺣﻤﻠﻪ ﻜ ا ﺟﻠﻮﮔﻴﺮي ااز ﻠ ﺑﺮاي ﻠ ﮔ ﺷﻤﺎرﻧﺪه ا : Sequence Numberﺎ S N b ﻣﺸﺎﺑﻪ AH رﻣﺰ ﻣﻲﺷﻮد ﺑﺴﺘﻪ ﻛﻪ ﻣﺰ : Payloadﻣﺤﺘﻮاي ﺑ ﺘﻪ : Paddingﺑﻴﺘﻬﺎي اﺿﺎﻓﻲ : Pad Lengthﻃﻮل ﻓﻴﻠﺪ ﺑﺎﻻ Pad Length : Next Headerﻧﻮع داده ﻣﻮﺟﻮد در Payload Data : Authentication Dataﻣﻘﺪار MACﻣﺤﺎﺳﺒﻪ ﺷﺪه )ﺑﺪون در Authentication Data ﻧﻈﺮ ﮔﺮﻓﺘﻦ ﺧﻮد ﻓﻴﻠﺪ( ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 36 Encapsulating Security )Payload (ESP ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 37 ﺪ اﻧﺘﻘﺎل در ESP ﻣﻣﺪ ﻣﺪ اﻧﺘﻘﺎل ﻦ hostﻫﺎ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﻴﻦ ﺗﻀﻤﻴﻦ ﺮ ﻲ ﻦ رﻣﺰﻧﮕﺎري ﺑﺴﺘﻪ داده ،دﻧﺒﺎﻟﻪ ESPو اﺿﺎﻓﻪ ﺷﺪن MACدرﺻﻮرت ﻣﺒﺪاء ﺗﻮﺳﻂ ﺒ اﺣﺮازز اﺻﺎﻟﺖ ﻮ ب ﺮ اﻧﺘﺨﺎب ﺗﻌﻴﻴﻦ ﻣﺴﻴﺮ ﺗﻮﺳﻂ ﻣﺴﻴﺮﻳﺎﺑﻬﺎي ﻣﻴﺎﻧﻲ ﺑﺎ اﺳﺘﻔﺎده از ﺳﺮآﻳﻨﺪﻫﺎي اﺻﻠﻲ اﻧﺪ( ﻧﺸﺪهاﻧﺪ )ﻛﻪ رﻣﺰ ﻧﺸﺪه ﭼﻚ ﻛﺮدن ﺳﺮآﻳﻨﺪ IPﺗﻮﺳﻂ ﻣﻘﺼﺪ و واﮔﺸﺎﻳﻲ رﻣﺰ ﺑﺎﻗﻴﻤﺎﻧﺪه ﭘﻴﺎم اﻣﻜﺎن آﻧﺎﻟﻴﺰ ﺗﺮاﻓﻴﻚ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 38 ﺪ اﻧﺘﻘﺎل در ESP ﻣﻣﺪ ﺑﺮاي ارﺗﺒﺎط ﺑﻴﻦ ﻣﻴﺰﺑﺎنﻫﺎ ﻣﺤﺪوده ESP = ESP trailer Padding, Pad Length, and dN Next H Header d Fi Fields ld ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 39 ﺪ ﺗﻮﻧﻞ در ESP ﻣﻣﺪ ﻣﺪ ﺗﻮﻧﻞ ﻲ ﻓﺮﺳﺘﻨﺪه و اﺿﺎﻓﻪ ﺷﺪن آدرس ﻣﺒﺪاء و ﻣﻘﺼﺪ دروازهﻫﺎي ﺧﺮوﺟﻲ ﮔﻴﺮﻧﺪه ،ﺳﺮآﻳﻨﺪ ESPو دﻧﺒﺎﻟﻪ ESPو ﻗﺴﻤﺖ ﻣﺮﺑﻮط ﺑﻪ MACدر ﺻﻮرت ﻧﻴﺎز )ﺑﺮاي اﺣﺮاز اﺻﺎﻟﺖ( اﻧﺠﺎم ﻣﺴﻴﺮﻳﺎﺑﻲ در ﻣﺴﻴﺮﻳﺎبﻫﺎي ﻣﻴﺎﻧﻲ از روي آدرسﻫﺎي ﺟﺪﻳﺪ رﺳﻴﺪن ﺑﺴﺘﻪ ﺑﻪ ﻓﺎﻳﺮوال ﺷﺒﻜﻪ ﻣﻘﺼﺪ و ﻣﺴﻴﺮﻳﺎﺑﻲ از روي آدرس IP ﻗﺒﻠﻲ ﺗﺎ ﮔﺮه ﻧﻬﺎﻳﻲ ﺧﺼﻮﺻﻲ ﻣﺠﺎزي ﺷﺒﻜﻪﻫﺎي ﺧﺼﻮﺻ ﻫﺎي اﻳﺠﺎد ﺷ ﻜﻪ وشﻫﺎي ﻳﻜﻲ از روش ﻣﺪ ﺗﻮﻧﻞ IPSecﻳﻜ ﻣﺪ ) (VPNاﺳﺖ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 40 ﺪ ﺗﻮﻧﻞ در ESP ﻣﻣﺪ ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ ﻣﺠﺎزي )(VPN ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺤﺪوده ESP ﺗﻮﻧﻞ ﻞ درر ﻣـﺪ ﻮ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 41 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ ﻣﻌﻤﺎري IPSec ﻣﻌ ﺎ ي ﭘﺮوﺗﻜﻞ AH ﭘﺮوﺗﻜﻞ ESP ﺗﺮﻛﻴﺐ SAﻫﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 42 ﺗﺮﻛﻴﺐ SAﻫﺎ ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ اﻳﻨﻜﻪ ﻫﺮ SAﺗﻨﻬﺎ ﻳﻜﻲ از ﺳﺮوﻳﺲﻫﺎي AHﻳﺎ ESPرا ﭘﻴﺎدهﺳﺎزي ﻛﺮده اﺳﺖ ،ﺑﺮاي اﺳﺘﻔﺎده از ﻫﺮ دو ﺳﺮوﻳﺲ ﺑﺎﻳﺪ آﻧﻬﺎ را ﺑﺎﻫﻢ ﺗﺮﻛﻴﺐ ﻛﺮد. ﺗﺮﻛﻴﺒﻬﺎي ﻣﺨﺘﻠﻒ ﭘﻴﺎده ﺳﺎزي IPSecﺗﻮﺳﻂ hostﻫﺎي ﻣﺘﻨﺎﻇﺮ ﭘﻴﺎده ﺳﺎزي IPSecﺗﻮﺳﻂ gatewayﻫﺎ ﺣﺎﻟﺖ ﺎﻻ ﺑﺎﻻ ﺗﺮﻛﻴﺐ دو ﺎﻟ ﻛ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 43 ﺗﺮﻛﻴﺐ SAﻫﺎ ﺷﻮﻧﺪ، ﻋﻤﺎل ﺷ ﻧ ﻳﻚ ﺑﺴﺘﻪ ا ﺎل ﻫﺎ ﻛﻛﻪ ﺎﺑﺎﻳﺪ ﺑﺮ روي ﻚ ﺗﺮﺗﻴﺒﻲ ااز SAﺎ ﺗﺗ bundleﻧﺎﻣﻴﺪه ﻣﻲ ﺷﻮﻧﺪ. SAﻫﺎ در ﻳﻚ bundleﺑﻪ دو ﻃﺮﻳﻖ ﻗﺎﺑﻞ ﺗﺮﻛﻴﺐ ﻫﺴﺘﻨﺪ: Transport Adjacency اﻋﻤﺎل ﭼﻨﺪ SAدر ﻣﺪ اﻧﺘﻘﺎل ﺑﻪ ﺑﺴﺘﻪ ﺻﺮﻓﺎً ﻳﻚ ﺳﻄﺢ از ﺗﺮﻛﻴﺐ را ﺑﺮاي AHو ESPﻓﺮاﻫﻢ ﻣﻲﻧﻤﺎﻳﺪ. Iterated Tunneling در ﺗﻮﻮ ﺗﻮ ر ﻫﺎي ﻮ ﻞ ي ﺗﻮﻧﻞ اﻣﻨﻴﺘﻲ ﺑﺎ ﻮ ﻲ ﭼﻨﺪ ﻻﻳﻪ اﻳﺠﺎد ﭼ ﻣﺒﺪا و ﻣﻘﺼﺪ ﻫﺮ ﺗﻮﻧﻞ ﻣﻲﺗﻮاﻧﺪ در ﺳﺎﻳﺘﻬﺎي ﻣﺨﺘﻠﻔﻲ از ﻣﺴﻴﺮ ﺑﺎﺷﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 44 ﺗﺮﻛﻴﺐ SAﻫﺎ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﻪ ﺻﻮرت ﺗﻮأم از ﻃﺮﻳﻖ: اﻣﻜﺎن داﺷﺘﻦ اﺣﺮاز اﺻﺎﻟﺖ و ﻣﺤﺮﻣﺎﻧﮕ :ESP with Authentication Optionاﺣﺮاز اﺻﺎﻟﺖ ﻣﺤﺘﻮاي رﻣﺰﺷﺪه :Transport Adjacencyاﻋﻤﺎل ESPو ﺳﭙﺲ AHﺑﺮ روي آن در ﻣﺪ اﻧﺘﻘﺎل ﺳﺮآﻳﻨﺪ IP ﺖ ﺮآﻳ ل :ﻋﺪمم ﺣﻔﺎﻇﺖ ﻣﺪ ااﻧﺘﻘﺎل ﻣﺪ ﺗﻮﻧﻞ :ﺣﻔﺎﻇﺖ ﻛﻞ ﺑﺴﺘﻪ داﺧﻠﻲ ﺣﻔﺎﻇﺖ از ﺳﺮآﻳﻨﺪ IPو ﺳﺮآﻳﻨﺪ ،ESPﺣﻔﻆ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﺴﺘﻪ :Transport‐Tunnel Bundleاﻋﻤﺎل AHدر ﻣﺪ اﻧﺘﻘﺎل و ﺳﭙﺲ ESP l dl در ﻣﺪ ﺗﻮﻧﻞ ﻣﺘﻐﻴﺮ( ﻓﻴﻠﺪﻫﺎي ﻣﺘﻐ ﺳﺮآﻳﻨﺪ ) IPﺑﻪ ﻏﻏﻴﺮ از ﻓ ﻠﺪﻫﺎي اﺣﺮاز اﺻﺎﻟﺖ داده و ﺳ آﻳﻨﺪ اﺣ از ﻣﺤﺮﻣﺎﻧﮕﻲ ﻛﻞ ﺑﺴﺘﻪ و اﻣﻀﺎي آن ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 45 ﺗﺮﻛﻴﺐ SAﻫﺎ :ﺣﺎﻟﺖ 1 اﻧﺘﻬﺎ اﻧﺘﻬﺎ-ﺑﻪ-ا ﺎ IPSecﺑﻪ ﺻﻮرت ا ﺎ ﺳﺎزي IPS ﭘﻴﺎده ﺎ ﺎ اﻣﻜﺎن اﺳﺘﻔﺎده از ﻫﺮ ﻳﻚ از ﺗﺮﻛﻴﺒﺎت ﻣﻤﻜﻦ از اﻧﻮاع SAﻫﺎ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 46 ﺗﺮﻛﻴﺐ SAﻫﺎ :ﺣﺎﻟﺖ 2 ﺑﺮﻗﺮاري ﺗﻮﻧﻞ اَﻣﻦ ﺑﻴﻦ دروازه ﻫﺎ :ﺷﺒﻜﻪ ﺧﺼﻮﺻﻲ ﻣﺠﺎزي اﻳﺠﺎد ﺗﻮﻧﻞ در ﻳﻜﻲ از ﻣﺪﻫﺎي ESP ،AHو ﻳﺎ .ESP with Auth. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 47 ﺗﺮﻛﻴﺐ SAﻫﺎ :ﺣﺎﻟﺖ 3 ﺣﺎﻟﺖ 1و 2 ﺗﺮﻛﻴﺐ دو ﺎﻟﺖ ﺗﻛ اﮔﺮ ﺗﻮﻧﻞ ﺑﻴﻦ دروازهﻫﺎ از ﻧﻮع ESPﺑﺎﺷﺪ ،ﺑﻪ ﻃﻮر ﻣﺤﺪود ﻣﺤﺮﻣﺎﻧﮕﻲ ﺗﺮاﻓﻴﻚ ﮔﺮدد. ﻧﻴﺰ ﻓﺮاﻫﻢ ﻣﻣﻲﮔﺮدد ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 48 ﺗﺮﻛﻴﺐ SAﻫﺎ :ﺣﺎﻟﺖ 4 داﺧﻠﻲ ﻳﻚ ﺷﺒﻜﻪ اﺧﻠ ﺳﻴﺴﺘﻢ ﺷ ﻜ ﺘ ﺑﻴﺮوﻧﻲ ﺑﻪ ﻚ ﻣﻴﺰﺑﺎن ﻧ ﻳﻚ ﺎ اﺗﺼﺎل ﻚ ﺑﺮاي اﺗ ﺎل ا اﻳﺠﺎد ﺗﻮﻧﻞ ﺗﺎ دروازه ﺷﺒﻜﻪ داﺧﻠﻲ ،ﺗﺮﻛﻴﺐ ﭼﻨﺪ SA ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 49 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ ﻣﻌﻤﺎري IPSec ﻣﻌ ﺎ ي ﭘﺮوﺗﻜﻞ AH ﭘﺮوﺗﻜﻞ ESP ﺗﺮﻛﻴﺐ SAﻫﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 50 ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﺎ ﺑﻪ 4ﻛﻠﻴﺪ ﺳﺮي ،دو ﺗﺎ ﺑﺮاي AHو دو ﺗﺎ ﺑﺮاي ) ESPدر دو ﺎزﻣﻨﺪﻳﻢ. ﺟﻬﺖ( ﻧﻴ ز ﺑﺮاي ﺗﻮﻟﻴﺪ و ﺗﻮزﻳﻊ اﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺑﻪ ﻳﻚ ﻣﻜﺎﻧﻴﺰم ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻧﻴﺎزﻣﻨﺪﻳﻢ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 51 ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ دﺳﺘﻲ :ﺗﻨﻬﺎ در ﺳﻴﺴﺘﻢ ﻫﺎي اﻳﺴﺘﺎ و ﻛﻮﭼﻚ ﻗﺎﺑﻞ ﺖ. ااﺳﺘﻔﺎده ااﺳﺖ ﺧﻮدﻛﺎر: ﻛﻠﻴﺪ ﺧ دﻛﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠ ﺪ ﺪ ﺖ ﭘﺮوﺗﻜﻞ اﺗﻮﻣﺎﺗﻴﻚ و ﭘﻴﺶ ﻓﺮض ﻣﺪﻳﺮﻳﺖ و ﺗﻮزﻳﻊ ﻛﻠﻴﺪ IPSec اﺻﻄﻼﺣﺎ ISAKMP/Oakleyﻧﺎﻣﻴﺪه ﻣﻣﻲ ﺷﻮد. Internet Security Association and Key Management Protocol ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 52 ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺧﻮدﻛﺎر ﺑﻪ ﻧﺎم ISAKMP/Oakleyﻣﻌﺮوف اﺳﺖ ﻞ اﺳﺖ: ﭘﺮوﺗﻜﻞ ﺷﺎﻣﻞ دوو ﭘﺮو و ﻞ ﭘﺮوﺗﻜﻞ ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ Oakley ﻓﺮم ﺗﻮﺳﻌﻪ ﻳﺎﻓﺘﻪ ﭘﺮوﺗﻜﻞ Diffie‐Hellmanﻛﻪ ﺿﻌﻔﻬﺎي آن را ﺑﺮﻃﺮف ﻛﺮده اﺳﺖ. ﭘﺮوﺗﻜﻞ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ و SAدر ااﻳﻨﺘﺮﻧﺖ )(ISAKMP ﺗﻌﺮﻳﻒ روﻳﻪﻫﺎ و ﻗﺎﻟﺐ ﺑﺴﺘﻪﻫﺎ ﺑﺮاي ﺑﺮﻗﺮاري ،ﻣﺬاﻛﺮه ،ﺗﻐﻴﻴﺮ ﻳﺎ ﺣﺬف SA ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 53 ﭘﺮوﺗﻜﻞ Oakley ﭘﺮوﺗﻜﻞ Oakley ﺧﺼﻮﺻﻴﺎت ﺗﻜﻞ ﺎت ﺧ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ Clogging در :DHﻣﻨﺎﺑﻊ ﻗﺮﺑﺎﻧﻲ ﺑﺎ درﺧﻮاﺳﺘﻬﺎي ﺷﻮد. ﻛﻠﻴﺪﺪ ﺗﻠﻒ ﻣﻲﺷ د ﺎدل ﻛﻠ ﻣﻜﺮر ﺗﺗﺒﺎدل ﻜ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﻣﺮد ﻣﻴﺎﻧﻲ در :DH ﺑﺎ اﺳﺘﻔﺎده از ﺗﻌﺮﻳﻒ ﻣﻔﻬﻮﻣﻲ ﺗﺤﺖ ﻋﻨﻮان ﻛﻮﻛﻲ ) (Cookieﻣﺸﻜﻞ اﻳﻦ ﻲ ﻛﻨﺪ. ﺑﺮﻃﺮف ﻣﻲ ﺣﻤﻠﻪ ررا ﺑﺮ ﺮ ﻛﻠﻴﺪ DH ﺗﺒﺎدل ﻛﻠ ﺪ اﺣﺮاز اﺻﺎﻟﺖ ددر ﺗ ﺎدل اﺣ از ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﺗﻜﺮار: ﻣﻘﺎﺑﻠﻪ ﻣﻲﻛﻛﻨﺪ. ﺗﻜﺮار ﻘﺎ ﻠ ﻫﺎي ﺗﻜ ا ﺣﻤﻠﻪ ﺎ ﻧﺎﻧﺲ ﺎﺑﺎ ﻠ اﺳﺘﻔﺎده ااز ﻧﺎﻧ ﺎﺑﺎ ا ﺘﻔﺎ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 54 ﭘﺮوﺗﻜﻞ Oakley Clogging ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ Cl i اﺳﺘﻔﺎده از ﻛﻮﻛﻲ )ﺗﻮﺳﻂ ﻫﺮ ﻳﻚ از ﻃﺮﻓﻴﻦ( ﺑﻪ ﺻﻮرت زﻳﺮ: ارﺳﺎل ﻋﺪد ﺗﺼﺎدﻓﻲ ﻛﻮﻛﻲ ﺗﻮﺳﻂ ﻫﺮﻳﻚ از ﻃﺮﻓﻴﻦ ارﺗﺒﺎط ارﺳﺎل ackﺗﻮﺳﻂ ﻃﺮف دﻳﮕﺮ ﻧﻴﺎز ﺑﻪ ارﺳﺎل ackﺗﻮﺳﻂ ﻣﺒﺪأ در اوﻟﻴﻦ ﭘﻴﺎم DH اﮔﺮ ﻣﻬﺎﺟﻢ از آدرس ﺟﻌﻠﻲ ﺑﺮاي ارﺳﺎل ﻛﻮﻛﻲ اﺳﺘﻔﺎده ﻛﺮده ﺑﺎﺷﺪ، ﭼﻮن ackرا درﻳﺎﻓﺖ ﻧﻤﻲﻛﻨﺪ ،ﻧﻤﻲ ﺗﻮاﻧﺪ DHرا آﻏﺎز ﻧﻤﺎﻳﺪ. ﺑﺎﻳﺪ ﺗﻮﻟﻴﺪ و وارﺳﻲ ﻛﻮﻛﻲ ﻛﻢ ﻫﺰﻳﻨﻪ ﺑﺎﺷﺪ ﺗﺎ ﺣﻤﻼت اﺗﻼف ﻣﻨﺎﺑﻊ ﻣﻤﻜﻦ ﻧﺒﺎﺷﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 55 ﭘﺮوﺗﻜﻞ ISAKMP ﺗﻌﺮﻳﻒ روﻳﻪﻫﺎ و ﻗﺎﻟﺐ ﺑﺴﺘﻪﻫﺎ ﺑﺮاي ﺑﺮﻗﺮاري ،ﻣﺬاﻛﺮه ،ﺗﻐﻴﻴﺮ ﻳﺎ ﺣﺬف SA ﻗﺎﻟﺐ ﺑﺴﺘﻪﻫﺎي ISAKMP ﺑﺮاي دادهااي ا ﺑﺨﺶ ا ﻳﻚ ﻧﻧﻮع ﺨﺶ ﺳﺮآﻳﻨﺪ و ﻚ ﺷﺎﻣﻞ آ ﭘﻴﺎم ISAKMPﺷﺎ ﻞ ﻳﻚ ﺎ ﻚ ﺗﺒﺎدل دادهﻫﺎي ﻣﺮﺑﻮط ﺑﻪ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ و اﺣﺮاز اﺻﺎﻟﺖ اﺳﺖ. روﻳﻪﻫﺎ وﻳﻪ ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪاي از ﺗﻌﺎﻣﻞﻫﺎي )ﭘﺮوﺗﻜﻞﻫﺎي( از ﻗﺒﻞ ﺗﻌﺮﻳﻒ ﺷﺪه ﺑﺮاي ﻮر ﻣﺨﺘﻠﻒ اﻣﻮر ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 56 ISAKMP اﻧﻮاع ﺑﺨﺶ داده اي در yp p Type Description Security Association (SA) Used to negotiate security attributes and indicate the DOI and Situation under which negotiation is taking place. Proposal (P) Used during SA negotiation; indicates protocol to be used and number of transforms. Transform (T) Used during SA negotiation; indicates transform and related SA attributes. Key Exchange (KE) Identification (ID) Certificate (CERT) Supports a variety of key exchange techniques. Used to exchange identification information. information Used to transport certificates and other certificate- related information. Certificate Request (CR) Used to request certificates; indicates the types of certificates requested and the acceptable certificate authorities. authorities Hash (HASH) Signature (SIG) Nonce (NONCE) Notification (N) Contains data generated by a hash function. Contains data generated by a digital signature function. Contains a nonce. Used to transmit notification data, such as an error condition. Delete (D) Indicates an SA that is no longer valid. 57 (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ اﻧﻮاع ﺗﻌﺎﻣﻼت در ISAKMP :Base Exchangeﺗﺒﺎدل ﻛﻠﻴﺪ و اﺣﺮاز اﺻﺎﻟﺖ ﺑﺪون ﻣﺤﺎﻓﻈﺖ از ﺷﻨﺎﺳﻪ. ﭘﺎﻳﻪ ﺑﺑﺎ ﺣﻔﺎﻇﺖ ازز ﻞﭘﻳ ﺗﻮﺳﻌﻪ ﺗﻌﺎﻣﻞ :Identity Protection Exchangeﻮ y g ﺷﻨﺎﺳﻪ ﻃﺮﻓﻴﻦ. ﺻﺮﻓﺎ اﺣﺮاز اﺻﺎﻟﺖ دوﻃﺮﻓﻪ ﺑﺪون :Authentication Only Exchangeﺻﺮﻓﺎً Authentication Only Exchange ﺗﺒﺎدل ﻛﻠﻴﺪ. ﺗﺒﺎدﻟﻲ ﺑﺎ ﻋﺪم ﺣﻔﺎﻇﺖ از ﺎﻣﻬﺎي ﺗ ﺎدﻟ :Aggressive Exchangeﻛﺎﻫﺶ ﺗﻌﺪاد ﭘﭘﻴﺎﻣﻬﺎي Aggressive Exchange ﺷﻨﺎﺳﻪ. ﻣﺪﻳﺮﻳﺖ .SA ﺑﺮاي ﺪ ﺖ ﺎت ا اﻃﻼﻋﺎت ﻓﻪ اﻃﻼ ﻳﻜﻄﺮﻓﻪ ﺎل ﻜﻄ :Informational Exchangeاارﺳﺎل Informational Exchange ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 58 ﭘﺎﻳﺎن ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ http://dnsl.ce.sharif.edu ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ [email protected] ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 59
© Copyright 2025 Paperzz