مستندات ابر آراد

IPSec VPN

IPSec VPN چیست؟

IPSec مخفف “Internet Protocol Security“ (امنیت پروتکل اینترنتی) است که با استفاده از آن مجموعه ای از پروتکل ها برای ایجاد تونل های امن بر روی شبکه های عمومی استفاده می شود. داده هایی که از طریق این تونل ها عبور می کنند، رمزگذاری و احراز هویت می شوند و تقریباً برای افراد غیرمجاز غیرممکن است که شنود یا دستکاری کنند.

شبکه های عمومی باز و بدون رمز هستند، به این معنی که هر کسی بالقوه می تواند داده ها را هنگام سفر در شبکه، شنود کند. این امر به ویژه برای اطلاعات حساس مانند داده های تجاری یا جزئیات شخصی نگران کننده است.

به یک تونل امن فکر کنید: IPSec VPN یک تونل امن ساخته شده در یک بزرگراه عمومی است. فقط وسایل نقلیه مجاز (بسته های داده) می توانند در نقاط مشخص شده وارد و خارج شوند و همه چیز در داخل از دید پنهان است.

تصور یک کیف قفل شده را داشته باشید: هنگام استفاده از IPSec، داده‌ مانند یک کیف قفل شده است. حتی اگر کسی آن را رهگیری کند، بدون کلید نمی تواند محتویات آن را ببیند یا به آن دسترسی پیدا کند.

در بخش “امکانات پیشرفته” تب IPsec قابل دسترسی است.

بر روی ایجاد «IPSec VPN» کلیک کنید.

در قسمت فوق موارد زیر را تکمیل کنید:

در صورت تمایل، یک نام جدید وارد کنید. (نکته: نام اختیاری می باشد و در صورتی که نام را وارد نکنید، نام به صورت کانتر IPsec01، IPsec02 و … تولید می شود).
وضعیت روشن و خاموش IPSec VPN را نیز مشخص کنید.

با انتخاب ادامه به تب “نمایه امنیتی” منتقل می شوید. نمایه امنیتی پس از ایجاد IPSec VPN، قابلیت ویرایش دارد.

نمایه امنیتی (Security Profile) را می توانید بصورت”پیشفرض” یا “دستی” انتخاب کنید.

دستی همان سفارشی‌سازی مشخصات امنیتی تونل IPSec VPN می باشد. ( پس از ایجاد IPSec VPN می توانید تنظیمات دستی را انتخاب کنید.) همچنین می توانید سفارشی سازی را در این مرحله انجام دهید. اطلاعات باید ذخیره شوند و بعد از ایجاد IPsec تغییرات ایجاد شود. (تمام این موارد باید بصورت صف ایجاد گردد.)

با انتخاب «ادامه» به تب “احراز هویت همتا” منتقل می شوید.

در این مرحله باید یک کلید Pre-Shared را وارد کنید و با انتخاب «ادامه» به تب “شبکه مبدا” منتقل می شوید. این فیلد اجباری است و تا وقتی که چیزی وارد نکرده اید، دکمه ادامه باید غیر فعال باشد.

در این مرحله بایستی یکی از آدرس IPهای خریداری شده را انتخاب کنید.

نکته: این فیلد اجباری است و تا وقتی که چیزی وارد نکرده اید، دکمه ادامه باید غیر فعال باشد.

سپس آدرس های شبکه مورد نظر خود را اضافه کنید.

نکته: این فیلد اجباری است و تا وقتی که چیزی وارد نکرده اید، دکمه ادامه باید غیر فعال باشد.

با انتخاب «ادامه» به تب “شبکه مقصد” منتقل می شوید.

در اینجا باید IP ریموت مورد نظر خود را وارد کنید.

نکته: این آدرس نمی تواند با آدرس 13 یکی باشد همچنین این فیلد اجباری است و تا وقتی که چیزی وارد نکرده اید، دکمه ادامه باید غیر فعال باشد.

سپس آدرس های شبکه مورد نظر خود را اضافه کنید.

نکته: این آدرس ها نباید با آدرس های انتخاب شده در 14 یکسان باشد همچنین این فیلد اجباری است و تا وقتی که چیزی وارد نکرده اید، دکمه ادامه باید غیر فعال باشد.

شناسه شبکه مقصد را طبق توضیحات اولیه سند باید وارد کنید. (اختیاری)

با انتخاب «ادامه» طبق شکل زیر، به تب “بررسی و ایجاد” منتقل می شوید.

در نهایت با انتخاب «ساخت و ادامه» در لیست IPSec VPN ایجاد می گردد.

تنظیمات IPSecVPN

بعد از تکمیل ساخت IPSec، برای اعمال تغییرات روی آن میتوانید بر روی عنوان ( نام) IPSec ساخته شده کلیک نموده و وارد تنظیمات آن شوید. بعد از کلیک بر روی نام IPSec صفحه ی تنظیمات، نمایش داده میشود که میتوانید وارد بخش نمایه امنیتی شوید و تنظیمات فعلی را ویرایش کنید.

پیکربندی نمایه های تبادل کلید اینترنتی(IKE):

در قسمت نسخه، یک نسخه پروتکل IKE را برای راه اندازی یک انجمن امنیتی (SA) در مجموعه پروتکل IPSec انتخاب کنید: (Version)

IKEv1: فقط از پروتکل IKEv1 استفاده می‌کند.
IKEv2: گزینه پیش‌فرض، فقط از پروتکل IKEv2 استفاده می‌کند.
IKE-Flex: در صورت عدم موفقیت IKEv2، اتصال IKEv1 از سمت “ریموت” را می‌پذیرد.
در قسمت نوع رمزگذاری، الگوریتم رمزنگاری مورد نظر را انتخاب کنید. (Encryption)

سپس الگوریتم درهم‌سازی امن (Digest) را انتخاب کنید.

نکته مهم: AES GCM 128 ,192 ,256 الگوریتم درهم سازی ندارند.

گروه Diffie-Hellman را انتخاب کنید.

مدت زمان ارتباط را در صورت نیاز تغییر دهید. (اختیاری)

پیکربندی تونل Tunnel Configuration) :IPSec VPN)

برای فعال کردن Perfect Forward Secrecy، گزینه مربوطه را روشن کنید.

سیاست defragmentation را انتخاب کنید:

Copy: بیت defragmentation را از بسته داخلی به بسته بیرونی کپی می‌کند.
Clear: بیت defragmentation را در بسته داخلی نادیده می‌گیرد.
پس از انتخاب سیاست یکپارچه سازی موارد زیر را تکمیل کنید:

نوع رمزنگاری مورد نظر را انتخاب کنید. (Encryption)
الگوریتم درهم‌سازی امن (Digest) را انتخاب کنید.
نکته مهم: AES GCM 128 ,192 ,256 الگوریتم درهم سازی ندارند.

گروه Diffie-Hellman را انتخاب کنید.
(اختیاری) زمان اعتبار ارتباط (Association Lifetime) را در صورت نیاز تغییر دهید.
(اختیاری) بازه زمانی بررسی (Probe Interval) را برای تشخیص خرابی ارتباط تغییر دهید. (DPD Configuration)

نکات

پروفایل‌های مبادله کلید اینترنتی (IKE) اطلاعات مربوط به الگوریتم‌هایی را که برای احراز هویت، رمزگذاری و برقراری راز مشترک بین سایت‌های شبکه هنگام ایجاد تونل IKE استفاده می‌شود، ارائه می‌دهند.

در اینجا جزئیات بیشتری در مورد نقش پروفایل‌های IKE ارائه می‌شود:

احراز هویت: پروفایل‌های IKE روش احراز هویت بین نقاط انتهایی تونل را تعریف می‌کنند. معمولاً از گواهی‌های دیجیتال (Certificate) یا کلیدهای پیش‌مشترک (Pre-Shared Key) برای احراز هویت استفاده می‌شود.

رمزگذاری: IKE از الگوریتم‌های رمزگذاری برای ایمن‌سازی پیام‌های مبادله‌شده بین نقاط انتهایی تونل استفاده می‌کند. انتخاب الگوریتم رمزگذاری مناسب به سطح امنیتی مورد نیاز و قدرت محاسباتی تجهیزات شبکه بستگی دارد.

راز مشترک: IKE یک راز مشترک امن بین نقاط انتهایی تونل ایجاد می‌کند. این راز مشترک برای رمزگذاری ترافیک عبوری از طریق تونل IPSec استفاده می‌شود. (گروه Diffie-Hellman)

مهم است که پروفایل‌های IKE با دقت پیکربندی شوند تا سطح امنیتی مناسب برای تونل IPSec تضمین شود. هنگام پیکربندی پروفایل‌های IKE، باید عوامل زیر را در نظر بگیرید

نسخه پروتکل IKE: نسخه IKEv2 امن‌تر و توصیه‌شده‌تر توسط IKE است.

الگوریتم‌های رمزگذاری: از الگوریتم‌های رمزگذاری قوی با طول کلید کافی استفاده کنید.

الگوریتم‌های درهم‌سازی: از الگوریتم‌های درهم‌سازی قوی برای حفاظت از پیام‌های IKE در برابر دستکاری استفاده کنید.

گروه Diffie-Hellman: گروه Diffie-Hellman با اندازه کافی برای مقاومت در برابر حملات محاسباتی انتخاب کنید.