محل استقرار تجهیزات رمزنگاری در شبکه
در این بخش مقاله محل استقرار تجهیزات رمزنگاری در شبکه برای مقابله با حملات را آماده کردیم که بر اساس کتاب اصول امنیت شبکه های کامپیوتری نوشته استالینگز می باشد. در ادامه با ما همراه باشید تا یک بررسی در رابطه با رمزنگاری پیوند و رمزگذاری سرتاسر داشته باشیم.
رمزنگاری در شبکه برای مقابله با حملات
قوی ترین و معمول ترین روش برای مقابله با حملات امنیتی به شبکه، رمزنگاری است. در استفاده از رمزنگاری لازم است تصمیم بگیریم که چه چیزی را رمزنگاری کرده و لوازم مربوط به رمزنگاری را در کجا قرار دهیم. در این مورد دو انتخاب اصلی وجود دارد؛ رمزنگاری پیوند (link encryption) و رمزگذاری سرتاسر (end – to – end encryption) که استفاده از آنها در عرض یک شبکه سوئیچ بسته ای در شکل بالا نشان داده شده است.
رمزنگاری پیوند در شبکه
در رمزنگاری پیوند (link encryption)، هر پیوند مخابراتی آسیب پذیر، در هر یک از دو انتها با یک وسیله رمزنگاری تجهیز می شود. بنابراین کل ترافیک روی تمام پیوندهای مخابراتی امن خواهند شد. اگرچه در یک شبکه وسیع، این روش نیاز به تعداد زیادی تجهیزات رمزنگاری دارد، ولی در عین حال سطح بالائی از امنیت را ایجاد خواهد کرد. یکی از معایب این روش این است که پیام هر بار که وارد یک سوئیچ بسته ای می شود، بایستی رمزگشائی گردد. علت این امر این است که سوئیچ بایستی آدرس موجود در سر آیند بسته (شماره مدار مجازی) را خوانده تا بتواند آن را مسیریابی نماید. بهمین دلیل پیام از نظر امنیتی در محل سوئیچ آسیب پذیر خواهد بود. اگر این شبکه، یک شبکه سوئیچ بسته ای همگانی باشد، کاربر کنترلی بر امنیت گره ها نخواهد داشت.
شکل 2: روند رمزنگاری پیوند
رمزگذاری سرتاسر در شبکه
در رمزنگاری سرتاسر یا سر به سر (end – to – end encryption)، رمزنگاری در دو سیستم انتهائی صورت می پذیرد. میزبان یا پایانه منبع، داده ها را به رمز در می آورد. آنگاه داده ها، با فرم رمزنگاری شده و بدون تغییر در عرض شبکه به پایانه و یا میزبان مقصد عبور می کند. مقصد با کلیدی که همانند کلید منبع است، پیام را رمزگشایی می کند. بنظر میرسد که این روش، انتقال پیام در مقابل حملاتی که به پیوندها و یا سوئیچ ها می شود را تضمین می نماید. با وجود این هنوز یک نقطه سُست باقی است.
مثالی از سرتاسر
حالت زیر را در نظر بگیرید، یک میزبان به یک شبکه سوئیچ بسته ای X25 وصل شده، یک مدار مجازی با میزبان دیگری را برقرار کرده و آماده است تا دیتا را با استفاده از رمزنگاری سرتاسر برای میزبان دیگر بفرستد. دیتا روی چنین شبکه ای بصورت بسته هائی منتقل می گردد که شامل یک سر آیند و بخش داده هاست. میزبان کدام بخش را باید رمزنگاری نماید؟ فرض کنید که میزبان کل بسته که شامل سرآیند نیز هست را رمزنگاری کند. این امر عملی نخواهد بود، زیرا فراموش نکنید که تنها میزبان انتهائی قادر به رمزگشایی است. در این حالت، گره سوئیچ بسته ای که یک بسته رمزنگاری شده را دریافت می کند قادر به خواندن سرآیند آن نبوده و بنابراین نخواهد توانست تا آن را مسیریابی نماید.
شکل 3: روند رمزگذاری سرتاسر
پس چنین بنظر میرسد که میزبان مبدأ فقط می تواند بخش داده های بسته دیتا را رمزنگاری کرده و بایستی بخش سرآیند را آزاد گذاشته تا شبکه بتواند با خواندن آن بسته را به مسیر صحیح هدایت کند. بنابراین در رمزنگاری سر به سر، داده های کاربر امن می مانند اما چون سرآیند بسته ها بصورت ساده منتقل میگردند، الگوی ترافیک امن نخواهد بود. برای ایجاد امنیت بیشتر، هم رمزنگاری پیوند و هم رمزنگاری سرتاسر مورد نیازند که این مطلب در شکل اول نشان داده شده است.
نتیجه گیری
بطور خلاصه، هر وقت از هر دو فرم رمزنگاری استفاده می شود، میزبان مبدأ در ابتدا بخش داده های کاربر در یک بسته دیتا را با استفاده از یک کلید رمزنگاری سرتاسر رمزنگاری می کند و سپس تمام بسته با استفاده از یک کلید رمزنگاری پیوند به رمز در می آید. همینطور که بسته دیتا در عرض شبکه عبور می نماید، هر سوئیچ، بسته را با استفاده از یک کلید رمزنگاری پیوند رمز گشایی کرده تا سرآیند آن را خوانده و سپس مجددا تمام بسته را برای ارسال روی پیوند بعدی مسیر رمزنگاری می نماید. بدین ترتیب تمام یک بسته دیتا، مگر در زمانی که بسته در حافظه یک سوئیچ بسته ای قرار داشته، امن است که فقط در آن زمان سرآیند بسته بصورت رمز نشده قابل مشاهده خواهد بود.
منبع: کتاب اصول امنیت شبکه های کامپیوتری استالینگز
هیچ نظری ثبت نشده است