بعد التقدم والتطور الذي حصل في عالم أمن المعلومات، وبعد تطور أساليب المخترقين في عملياتهم وتنوعها مثل: , Man-IN-The-Middle) Sniffing , (Relaying والكثير غيرها، كان لا بد من إيجاد طريقة آمنة لتخطي هذه الأمور وخصوصاً في التعاملات المالية كالتجارة الإلكترونية وعمليات كشف الحسابات عن طريق الإنترنت وغيرها، فكان لابد من طريقه لتأمين ذلك، فتم تطوير تقنية الSSL : Secure Socket Layer وامنت هذه الطريقة قيام اتصال آمن مشفر Encrypted ضمن تعقيدات متفاوتة فمنها ال40Bit ومنها 128bit فتم استخدام الSSL لتشفير وحماية قنوات الاتصال التي تنتقل عبرها البيانات مثل SMTP او الDatabase Communications.
وتم استخدام ما يعرف بSSL over HTTP في المواقع التجارية ومواقع البريد الالكتروني فأصبحت تسمى HTTPS : Secure Hyper Text Transfer Protocol واستخدم بورت 443 بدلاً من 80 الخاص بHTTP ــ، وانتشر واشتهر بشكل كبير.
ثم ظهرت تقنية مشابه له ولاستخدامه وهي الTLS : Transport Layer Security وهي تقنية محسنة من الSSL ولكنهما يختلفان في طريقة أداء العملية ، والطريقتان تحتاجان للشهادات الالكترونية Certificates أو بالأحرى Web-based Certificates .
وظهرت تقنية أخرى داخل الشبكة نفسها وليس على شبكة عالمية كالانترنت ، وهي SMB Signing ، الجميع يعلم أن الSMB : Server Message Block هي الpackets الي يتم إرسالها بين السيرفر والأجهزه في عملية المشاركة في الملفات وغيره Sharing ، وللحماية من طريقة سرقة المعلومات أثناء مرورها في الأسلاك Man In The Middle MITM وهذه الطريقه تدعى SMB Signing ، يتم بواسطتها إضافة الHash (وهي طريقة يتم من خلالها استخلاص رمز معين تم حسابه باستخدام عمليات رياضية
من الرسالة ، ومن الامثلة عليه MD4 , MD5 , SHA-1 ويتم تشفير هذا الHash واضافته للرسالة وبذلك نحافظ على صحة الرسالة Message or Packet Integrity .
لكن ظهرت المشكلة الكبرى بكون جميع هذه التقنيات تعمل على طبقة التطبيقات المسماة ب((Application Layer في النموذج المعياري لربط النُظُم المفتوحة المسمى ب(OSI Model) أي أن وظائف هذه التقنيات السابقة محدودة جدًا، فهي لا تستطيع تشفير الا ما بنيت لأجله، ولذلك كان لا بد من ابتكار طريقة تمكننا من تشفير كل حزمة (Packet) تصدر من أي جهاز ،، فتم ابتكار تقنيه الIP Security وهي تقنيه تعمل على طبقة الشبكة المسماة ب( Network Layer ) في الOSI Model بمعنى انه يقوم بتشفير كل شيء يصدر عن الجهاز ويرسله على الشبكه Network بما ان ال( Network Layer ) هي الجهة التي من خلالها يمرر كل شيء للشبكة.IPSec تقنية توفر الموثوقية والصحة والتشفير لكل شيء يمر من خلالها على مستوى الIP Packet. وفي هذه الورقة ستتناول كل مايتعلق بال IPمن أنواعه وأقسامه وفوائده وكيفية عمله.
- ما هي الIPSec ؟
IPSec: هي مجموعة معايير من البروتوكولات والخوارزميات طورت بواسطة اللجنة الخاصة لنظام الإنترنت Internet Engineering Task Force (IETF) واعتمدت كمعايير الإنترنتِ لتوفر التحقق من سلامة وسرية المعلومات التي أرسلت عبر شبكات الIP، وذلك بجعلها تعمل في طبقة الIP بحيث تتمكن من حماية أي نوع من نقل البيانات من خلال الIP.
عادةً يعبر عن الIPSec بأنها Transparent Security Protocol لأن المستخدم و التطبيقات لايشعرون بوجودها لأنها تعمل على طبقة الشبكة ( Network Layer )، ويعمل الIPSec في البيئات التي تكون سرعة الاتصال بها سريعة.
- بروتوكولات الIPSec
ينقسم الIPSec الى ثلاث بروتوكولات:
أولاً: AH : Authentication Header
يستخدم الAH في توقيع Sign الرسائل والبيانات ولا يعمل على تشفيرها Encryption ، حيث يحافظ على:
1.موثوقية البيانات Data authenticity: أي أن البيانات المرسلة من هذا المستخدم هي منه وليست مزورة أو مدسوسة.
2.صحة البيانات Data Integrity : أي أن البيانات المرسلة لم يتم تعديلها على الطريق (أثناء مرورها على الأسلاك) .
3.عدم إعادة الإرسال Anti-Replay : وهذه الطريقة التي يستخدمها المخترقون حيث يقومون بسرقة كلمة المرور وهي مشفرة ويقومون بإعادة إرسالها في وقت آخر للسيرفر وهي مشفرة وبالطبع يفك السيرفر التشفير ويدخل اسم المستخدم على أنه شخص آخر، فالIPSec يقدم حلولاً لمنع هذه العملية من الحدوث.
4.الحماية ضد الخداع Anti-Spoofing protection : ويوفر أيضاً الIPSec حماية ضد الخداع من قبل المستخدمين ، مثلاً يمكن ان يحدد مدير الشبكه انه لا يسمح لغير المستخدمين على الsubnet 192.168.0.X بينما لا يسمح لحاملي الهويه 192.168.1.x من دخول السيرفر ، فيمكن للمستخدم ان يغير الIP Address الخاص به ، لكن الIPSec يمنع ذلك .(وايضا يمكنك القياس على ذلك من خارج الشبكه الى داخلها) يكون لكل حزمة Packet موقعها Digitally signed.
هذا هو الشكل العام لحزمة البيانات Packet التي تمر في بروتوكول AH .
