تفاوت IPsec و SSL

by | فوریه 19, 2022 | دسته‌بندی نشده | 0 comments

با در اختیار داشتن یک V.P.N مناسب، شرکت می تواند خطرات امنیتی ذاتی برای دسترسی به شبکه از راه دور را با انجام رمزگذاری قوی برای حفظ امنیت داده ها و نیز احراز هویت قوی برای محدود کردن دسترسی به برنامه ها بر اساس سیاست های امنیتی تعریف شده را کاهش دهد.

شرکت‌ها نه تنها باید خطرات امنیتی مختلف هر نوع رمزگذاری اتصال شبکه را بهبود ببخشند، بلکه باید مزایای نسبی مربوط به عملکرد شبکه، نگهداری و پیکربندی را هنگام مقایسه IPsec و SSL V.P.N را نیز بسنجند.

تفاوت اصلی بین IPsec V.P.N و SSL V.P.N مربوط به لایه های شبکه ای است که رمزگذاری و احراز هویت در آن انجام می شود.

IPsec در لایه شبکه عمل می کند و می تواند برای رمزگذاری داده های ارسال شده بین هر سیستمی که با آدرس های IP قابل شناسایی است استفاده شود.

SSL یا به احتمال زیاد، پروتکل امنیت لایه انتقال (TLS) که جایگزین پروتکل SSL منسوخ شده است، در حال حاضر در لایه انتقال عمل می کند و برای رمزگذاری داده های ارسال شده بین هر دو فرآیندی که توسط شماره های پورت روی هاست های متصل به شبکه شناسایی می شوند، استفاده می شود.

تفاوت مهم دیگر این است که IPsec به طور مشخص رمزگذاری اتصالات را مشخص نمی کند، در حالی که SSL V.P.N ها به طور پیش فرض برای رمزگذاری ترافیک شبکه هستند.

هیچ بحثی در مورد V.P.N ها بدون ذکر SSH که می تواند برای فعال کردن تونل های امن بین کلاینت ها و سرورها استفاده شود کامل نیست. SSH پروتکل های رمزگذاری و احراز هویت خود را برای فعال کردن مدارهای امن بین مشتری و سرور پیاده سازی می کند.

گاهی اوقات نیز به عنوان نوعی ad hoc V.P.N استفاده می شود، مانند زمانی که کاربران راه دور به سیستم کاری خود وارد شده تا به خدمات و سیستم های درون شبکه سازمانی دسترسی پیدا کنند.

تشخیص مزایا و معایب IPsec و SSL V.P.N با درک نحوه عملکرد IPsec و SSL برای محافظت از اتصالات شبکه از راه دور آغاز می شود. و هیچ مقایسه ای از مزایای IPsec و SSL V.P.N بدون پیشنهاد برای تست محصولات و نرم افزار V.P.N کامل نیست.

IPsec چگونه کار می کند؟

IPsec که به عنوان امنیت پروتکل اینترنت نیز شناخته می شود، معماری رسمی ایمن سازی ترافیک شبکه IP را تعریف می کند.

IPsec روش هایی را مشخص می کند که میزبان های IP می توانند داده های ارسال شده در لایه شبکه IP را رمزگذاری و احراز هویت کنند. IPsec برای ایجاد یک تونل امن بین موجودیت هایی که توسط آدرس IP شان شناسایی می شوند استفاده می شود.

IPsec V-P-N ها معمولا برای اتصال یک میزبان راه دور به یک سرور V-P-N شبکه استفاده می شود. ترافیک ارسال شده از طریق اینترنت عمومی بین سرور V-P-N و میزبان راه دور رمزگذاری می شود. IPsec میزبان های ارتباطی را قادر می سازد تا در مورد اینکه کدام الگوریتم های رمزنگاری برای رمزگذاری یا احراز هویت داده ها استفاده شود مذاکره کنند.

این نوع تونل زنی سیستم کاربر کنترل راه دور (کلاینت V-P-N) را قادر می سازد تا با هر سیستمی که در پشت سرور V-P-N قرار دارد ارتباط برقرار کند.

میزبان راه دور درباره اتصال اولیه با سرور V-P-N مذاکره می کند، پس از آن تمام ترافیک بین میزبان راه دور و هر سیستم درون شبکه محافظت شده رمزگذاری می شود. ممکن است بر سر احراز هویت داده های شبکه علاوه بر رمزگذاری و یا به جای آن، بین میزبان راه دور و سرور V-P-N مذاکره انجام شود.

با این حال، V-P-N ها از رمزگذاری برای پنهان کردن کلیه داده های ارسال شده بین مشتری و سرور V-P-N استفاده می کنند.

مهاجمی که ترافیک شبکه رمزگذاری شده بین مشتری V-P-N و سرور V-P-N را تحت نظر دارد، می تواند ببیند که دو میزبان در حال ارتباط هستند و می تواند ترافیک را به صورت رمزگذاری شده با IPsec شناسایی کند.

IPsec V-P-N ها معمولاً به هر نقطه پایانی راه دور برای استفاده از نرم افزار خاصی جهت ایجاد و مدیریت مدارهای IPsec نیاز دارند، این یعنی راه اندازی، پیکربندی و مدیریت آن ها نسبت به SSL V-P-N ها پیچیده تر است.

SSL چگونه کار می کند؟

SSL V*P*N های مدرن در واقع از TLS برای رمزگذاری جریان داده های شبکه که بین فرآیندها ارسال می شوند استفاده می کنند.

پروتکل TLS رمزگذاری و احراز هویت اتصالات بین برنامه ها را امکان پذیر می کند. این اتصالات معمولاً با آدرس های IP نقاط پایانی و همچنین شماره پورت برنامه های در حال اجرا در آن نقاط پایانی تعریف می شوند.

TLS میزبان های ارتباطی را قادر می سازد تا در مورد اینکه کدام الگوریتم های رمزنگاری برای رمزگذاری یا احراز هویت داده ها استفاده می شود مذاکره کنند. در حالی که هنوز هم برخی از پیکربندی‌ها اجازه استفاده از نسخه‌های SSL منسوخ را می‌ دهند، بهترین رویکردهای امنیتی استفاده از آخرین نسخه‌ های TLS را توصیه می‌کنند.

SSL V*P*N ها را می توان برای محافظت از تعاملات شبکه بین یک مرورگر وب و یک وب سرور یا بین یک سرویس گیرنده ایمیل و یک سرور ایمیل استفاده کرد. مشتریان SSL V*P*N با اتصال به سرور SSL V*P*N که خود به عنوان یک پروکسی برای سرویس های محافظت شده در داخل شبکه سازمانی عمل می کند، به خدمات خاصی دسترسی پیدا می کنند.

SSL V*P*N ها کنترل دقیقتری را روی اتصالات اعمال می کنند. در حالی که IPsec V*P*N اتصال بین یک میزبان راه دور مجاز و هر سیستمی را در محیط سازمانی امکان پذیر می کند. یک SSL V*P*N را می توان به گونه ای پیکربندی کرد که اتصال را فقط بین میزبان های راه دور مجاز و خدمات خاص ارائه شده در محیط سازمانی  فعال کند.

همچنین عملیات در لایه انتقال به این معنی است که یک مهاجم خارجی که ترافیک شبکه را تحت نظر دارد ممکن است بتواند پروتکل های برنامه مورد استفاده توسط کاربران راه دور را شناسایی کند.

به جای یک مدار تونل تکی که تمام تعاملات شبکه را مانند IPsec در بر می گیرد، یک مدار شبکه جداگانه برای هر اتصال مختلف وجود خواهد داشت، بنابراین مهاجم ممکن است بتواند اطلاعاتی در مورد برنامه ها و خدماتی که توسط کاربران از راه دور استفاده می شود به دست آورد.

SSL V*P*N ها را می توان بدون نیاز به نصب نرم افزار کلاینت بر روی هاست های راه دور پیاده سازی کرد، زیرا می توان از کلاینت های مدرن مرورگر با قابلیت TLS برای ایجاد تونل های ایمن استفاده کرد.

مقایسه IPsec با SSL V.P.N

انتخاب بین IPsec و SSL V.P.N باید بر اساس شرایط و الزامات سازمان باشد. در حالی که ممکن است اولویت های فلسفی یا نظری برای انتخاب یک مدل وجود داشته باشد، تصمیم گیری واقعی باید بر اساس واقع بینی و نیز مزایا و معایبی که در زمان استفاده عملی حاصل می شود باشد.

مقایسه مزایا و معایب IPsec و SSL VPN

اولین قدم در مقایسه IPsec و SSL V.P.N، تعیین الزامات برای سازمان و کاربران آن و تصمیم گیری در مورد مهمترین ویژگی ها و عملکردهای V.P.N است.

برخی از تفاوت های IPsec و SSL V.P.N عبارتند از:

  • کارایی:

با بکار گیری سخت افزار مدرن، معمولاً نوع رمزگذاری مورد استفاده توسط IPsec و SSL V.P.N مشکلات عملکردی ایجاد نمی کند، اما سازمان ها باید معیارهای خود را روی V.P.N انتخابی تست کنند.

IPsec V.P.N ها با استفاده از یک نرم افزار روی کلاینت، تونلی بین کلاینت و سرور را پیکربندی می کنند، که ممکن است فرآیند نصب نسبتا طولانی داشته باشد. SSL V.P.N هایی که از طریق مرورگرهای وب کار می کنند معمولاً می توانند اتصالات را بسیار سریعتر راه اندازی کنند.

  • امنیت:

یک نوع V.P.N خاص لزوماً در همه شرایط ایمن ترین نیست. مهمترین عامل در تعیین اینکه کدام نوع V.P.N ایمن تر خواهد بود، مدل تهدیدی است که سازمان نیازمندی های V.P.N خود را بر اساس آن تعریف می کند.

هر نوع V.P.N باید در زمینه نوع حملاتی که سازمان در برابر آن دفاع می کند، ارزیابی شود. امنیت الگوریتم های رمزگذاری مورد استفاده مهم است، اما امنیت سایر اجزای پیاده سازی نیز اهمیت دارد.

  • احراز هویت داده ها:

V.P.N ها می توانند تمام داده های ارسال شده را رمزگذاری کنند، حتی می توانند احراز هویت داده ها را برای محافظت در برابر دستکاری با استفاده از الگوریتم های احراز هویت رمزنگاری قوی اضافه کنند تا تأیید شود که داده ها در حین انتقال بین سرویس گیرندگان V.P.N و سرورها تغییر نکرده اند.

با این حال، آنها برای فعال کردن احراز هویت، به مکانیزم تبادل کلید امن نیاز دارند. در حالی که پروتکل SSL/TLS شامل مذاکره الگوریتم های تبادل کلید است، IPsec برای این کار به پروتکل خارجی تبادل کلید امن متکی است.

  • دفاع از حمله:

حملات به IPsec V.P.N و SSL V.P.N و دفاع در برابر این حملات بر اساس زیرسازی پروتکل V.P.N، پیاده سازی و ویژگی های اضافه شده متفاوت خواهد بود. تفاوت اصلی بین IPsec و SSL V.P.N در تفاوت نقاط پایانی برای هر پروتکل نهفته است.

یک IPsec V.P.N معمولاً دسترسی از راه دور به کل شبکه و تمام دستگاه ها و خدمات ارائه شده در آن شبکه را امکان پذیر می کند. اگر مهاجمان به تونل امن دسترسی پیدا کنند، ممکن است بتوانند به هر چیزی در شبکه خصوصی دسترسی داشته باشند. SSL اتصال بین یک دستگاه، سیستم‌ها و برنامه‌های خاص را امکان‌پذیر می‌کند، بنابراین سطح حمله محدودتر است.

  • امنیت کلاینت:

اگرچه پروتکل IPsec بخشی از مجموعه TCP/IP است، اما همیشه به عنوان بخش پیش فرض سیستم عامل هایی که از TCP/IP پشتیبانی می کنند، پیاده سازی نمی شود. در مقابل، SSL V.P.N ها به TLS که به طور پیش فرض در مرورگرهای وب و همچنین بسیاری از پروتکل های لایه کاربردی دیگر گنجانده شده اند متکی هستند.

در نتیجه، مقایسه IPsec و SSL V.P.N باید شامل بررسی نحوه  اتصال و استفاده مشتریان به V.P.N و نیز امکانات ایمنی آنها باشد. مجریان باید نحوه اتصال کلاینت‌ها به V.P.N، سطح حمله کلاینت‌های دارای V.P.N و نمایه‌های کاربر V.P.N را در نظر بگیرند.

  • دروازه VPN:

احتمالاً یک دروازه SSL V.P-N امکانات پیکربندی دقیق تری را تا حدی که دسترسی به سیستم ها یا خدمات خاص در شبکه محافظت شده را محدود کند، فعال می سازد. معمولا دروازه‌های محصولات IPsec V.P-N پیکربندی بسیار کمتری دارند.

اگرچه ممکن است ویژگی‌های فیلتر بسته را اضافه کرده باشند که سیاست‌ها یا پیکربندی‌هایی را برای محدود کردن دسترسی به آدرس‌های IP خاص یا زیرمجموعه‌های شبکه محافظت‌شده را امکان‌پذیر می‌سازد اما باید مراقب بود که از ایجاد پیچیدگی‌های غیرضروری و خطرات امنیتی اضافی ناشی از افزونه‌های نرم‌افزاری جلوگیری شود.

در هر صورت، استقرار V.P-N در کنار یک سیستم کنترل دسترسی به شبکه می‌تواند امنیت کلی را با محدود کردن دسترسی به منابع شبکه بر اساس سیاست‌های تعریف شده مشخص افزایش دهد.

  • شبکه End-to-end:

TLS در لایه انتقال استفاده می شود، یعنی لایه شبکه ای که ارتباط بین فرآیندها در آن انجام می شود. در مقابل، IPsec در لایه شبکه ای که ارتباط بین گره های شبکه با آدرس های IP انجام می شود، عمل می کند.

هنگامی که هر دو طرف مدار V.P-N امن در شبکه ای که از ترجمه آدرس شبکه (NAT) برای مجازی سازی آدرس های IP استفاده می کنند قرار دارند، ایمن سازی رمزگذاری سراسری دشوارتر می شود. با IPsec V.P-N، فعال کردن ارتباط امن در سراسر دروازه های NAT نیاز به پیکربندی و مدیریت بیشتری دارد.

در حالی که بسیاری از تفاوت های بین IPsec و SSL V.P-N به تفاوت بین پروتکل های اساسی در حال پیاده سازی نسبت داده می شود، پیاده سازی های خاص نیز باید در نظر گرفته شوند.

Submit a Comment

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *