இணைய வரைமுறைப் பாதுகாப்பு

இணைய வரைமுறைப் பாதுகாப்பு (IPsec) என்பது தரவு ஸ்ட்ரீமின் ஒவ்வொரு IP பாக்கெட்டையும் உறுதிப்படுத்தல் மற்றும் மறையீடாக்கல் மூலமாக பாதுகாப்பான இணைய வரைமுறைத் (IP) தொடர்புகளுக்கான வரைமுறைத் தொகுதி ஆகும். IPsec ஆனது செசனின் ஆரம்பத்தில் ஏஜண்ட்டுகளுக்கு இடையில் பரஸ்பர உறுதிப்பாட்டை நிறுவுவதற்கான வரைமுறைகளையும் உள்ளடக்கி இருக்கிறது. மேலும் செசனின் போது பயன்படுத்துவதற்கு தகவல்மறைப்பு விசைகளின் மாற்றங்களும் இருக்கின்றன. IPsec ஐ இணை ஹோஸ்டுகளுக்கு இடையில் (எ.கா. கணினிப் பயனர்கள் அல்லது சர்வர்கள்), இணைப் பாதுகாப்பு நுழைவாயில்ககளுக்கு இடையில் (எ.கா. ரவுட்டர்கள் அல்லது ஃபயர்வால்கள்) அல்லது பாதுகாப்பு நுழைவாயில் மற்றும் ஹோஸ்டுக்கு இடையில் தரவுப் பாய்வுகளைக் காப்பதற்கும் பயன்படுத்தலாம்.[1]

IPsec ஆனது இணைய வரைமுறைத் தொகுப்பு அல்லது OSI மாதிரி அடுக்கு 3 இன் இணைய அடுக்கில் இரட்டை மோட் என்ட்-டு-என்ட் பாதுகாப்புத் திட்டத்தைச் செயல்படுத்துவதாக இருக்கிறது. பரவலான பயன்பாட்டில் செக்யூர் சாக்கட்ஸ் லேயர் (SSL), போக்குவரத்து அடுக்குப் பாதுகாப்பு (TLS) மற்றும் செக்யூர் ஷெல் (SSH) போன்ற சில மற்ற இணையப் பாதுகாப்பு அமைப்புகள், இந்த மாதிரிகளின் மேல்நிலை அடுக்குகளில் இயக்கப்படுகின்றன. இதனால் IPsec ஐ இணையத்தில் பயன்பாட்டு நெரிசலைக் காப்பதற்காகவும் பயன்படுத்தலாம். பயன்பாடுகள் IPsec ஐப் பயன்படுத்துவதற்கு தனிச்சிறப்பாக வடிவமைக்கப்படத் தேவையில்லை. மற்றொரு வகையில் TLS/SSL இன் பயன்பாடு பொதுவாகப் பயன்பாட்டின் வடிவமைப்பினுள் உள்ளிணைக்கப்பட்டதாக இருக்க வேண்டும்.

IPsec ஆனது ISO தரநிலை நெட்வொர்க் அடுக்குப் பாதுகாப்பு வரைமுறையின் (NLSP) வழித்தோன்றி ஆகும். NLSP, NIST மூலமாக வெளியிடப்பட்ட SP3 வரைமுறையைச் சார்ந்தது. ஆனால் தேசியப் பாதுகாப்பு அமைப்பின் (NSA) பாதுகாப்புத் தரவு நெட்வொர்க் அமைப்புத் திட்டப்பணி மூலமாக வடிவமைக்கப்பட்டது.

IPsec ஆனது சொல்லின் அதிகாரப்பூர்வ முதலாக்க பாணி உள்ளிட்ட பல்வேறு ஆக்கக்கூறுகள் மற்றும் விரிவாக்கங்ளை உள்ளடக்கிய ஆணைகளுக்கான கோரிக்கைகளின் வரிசைகளில் இன்டர்நெட் இன்ஜினியரிங் டாஸ்ட் ஃபோர்ஸ் (IETF) மூலமாக அதிகாரப்பூர்வமாகக் குறிப்பிடப்படுகிறது.

வார்ப்புரு:IPstack

பாதுகாப்புக் கட்டமைப்பு

தொகு

IPsec தொகுப்பு தர நிலைகளின் கட்டமைப்பாக இருக்கிறது. IPsec ஆனது பல்வேறு செயல்பாடுகளைச் செய்வதற்காக பின்வரும் வரைமுறைகளைப் பயன்படுத்துகிறது:[2][3]

  • இணைய விசைப் பரிமாற்றம் (IKE மற்றும் IKEv2), வரைமுறைகள் மற்றும் நெறிமுறைகளின் மாற்றங்களைக் கையாளுவதன் மூலமாக செக்யூரிட்டி அசோசியேசனை (SA) அமைப்பதற்குப் பயன்படுகிறது. மேலும் IPsec ஆல் பயன்படுத்தப்படும் மறையீடாக்க மற்றும் உறுதிப்பாட்டு விசைகளை உருவாக்குவதற்குப் பயன்படுகிறது.[4][5]
  • ஆத்தண்டிகேசன் ஹெட்டர் (AH), இணைப்பற்ற ஒருமைப்பாடு மற்றும் IP டேட்டாகிராம்களுக்கான தரவு மூல உறுதிப்பாடு வழங்குவதற்குப் பயன்படுகிறது. மேலும் மறுஓட்டத் தாக்குதல்களுக்கு எதிரான காப்பை வழங்குவதற்கும் பயன்படுத்தப்படுகிறது.[6][7]
  • என்கால்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP), காப்புறுதி, தரவு மூல உறுதிப்பாடு, இணைப்பற்ற ஒருமைப்பாடு, ஒரு மறுஓட்டத்திற்கு எதிரான சேவை (பகுதியளவுத் தொடர் ஒருமைப்பாடின் வடிவம்) மற்றும் வரையறுக்கப்பட்ட நெரிசல் பாய்வுக் காப்புறுதி ஆகியவற்றை வழங்குவதற்குப் பயன்படுத்தப்படுகிறது.[1]

ஆத்தண்டிடேசன் ஹெட்டர்

தொகு

ஆத்தண்டிகேசன் ஹெட்டர் (AH) என்பது IPsec வரைமுறைத் தொகுப்பின் உறுப்பினர் ஆகும். AH ஆனது IP பாக்கெட்டுகளில் இணைப்பற்ற ஒருமைப்பாடு மற்றும் தரவு மூல உறுதிப்பாடு ஆகியவற்றுக்கு உறுதியளிக்கிறது. மேலும் இது விருப்பத்தேர்வாக ஸ்லைடிங் விண்டோ உத்தி மற்றும் பழைய பாக்கெட்டுகளைக் கைவிடுதல் மூலமாக மறுஓட்டத் தாக்குதல்களுக்கு எதிரான காப்பினை வழங்கலாம். AH, IP பேலோட் மற்றும் மாறக்கூடிய ஃபீல்டுகள் தவிர (அதாவது, அவை டிரான்சிட்டினால் மாற்றப்படலாம்) IP டேட்டாகிராமின் மற்ற அனைத்து ஹெட்டர் ஃபீல்டுகள் ஆகியவற்றைக் காக்கிறது.[6]

  • இணைய நெறிமுறைப் பதிப்பு 4 இல் மாறக்கூடிய (மற்றும் அதனால் உறுதிப்பாடு இல்லாத) IP ஹெட்டர் ஃபீல்டுகள், DSCP/TOS, ஃபிளாக்ஸ், ஃபிராக்மண்ட் ஆஃப்செட், TTL மற்றும் ஹெட்டர் செக்சம் ஆகியவற்றை உள்ளடக்கியிருக்கின்றன.

AH ஆனது IP வரைமுறை எண் 51 ஐப் பயன்படுத்தி IP இன் மேல் நேரடியாக இயங்குகிறது.[8]

பின்வரும் AH பாக்கெட் விளக்கப்படம் எப்படி AH பாக்கெட் உருவாக்கப்படுகிறது மற்றும் பரிமாற்றப்படுகிறது என்பதை விளக்குகிறது:[6][7]

0 - 7 பிட் 8 - 15 பிட் 16 - 23 பிட் 24 - 31 பிட்
அடுத்த ஹெட்டர் பேலோட் நீளம் RESERVED
செக்யூரிட்டி பெராமீட்டர்ஸ் இன்டக்ஸ் (SPI)
வரிசை எண்
colspan="4" style="text-align:center;" உறுதிப்பாட்டுத் தரவு (மாறி)

ஃபீல்ட் அர்த்தங்கள்:

அடுத்த ஹெட்டர்
அடுத்த ஹெட்டர் என்பது ஒரு 8 பிட் ஃபீல்ட் ஆகும், இது ஆத்தண்டிகேசன் ஹெட்டருக்குப் பிறகு அடுத்த பேலோடின் வகையைக் கண்டறிவதற்குப் பயன்படுகிறது. இந்த ஃபீல்டின் மதிப்பு இணைய ஒதுக்கப்பட்ட எண்கள் ஆணையத்திடம் இருந்து மிகவும் சமீபமாக "ஒதுக்கப்பட்ட எண்கள்" RFC இல் இருந்து வரையறுக்கப்பட்ட IP வரைமுறை எண்கள் தொகுப்பில் இருந்து தேர்ந்தெடுக்கப்படுகிறது. IP வரைமுறை எண்கள் பட்டியலைப் பார்க்கவும்.
பேலோட் நீளம்
AH பாக்கெட்டின் அளவு.
RESERVED
எதிர்காலப் பயன்பாட்டிற்காக ஒதுக்கப்பட்டது (அதுவரை அனைத்தும் பூஜ்ஜியமாக இருக்கும்).
செக்யூரிட்டி பெராமிட்டர்ஸ் இன்டக்ஸ் (SPI)
IP முகவரியுடன் இணைப்பில் உள்ள பாதுகாப்பு பெராமீட்டர்களைக் கண்டறிகிறது. பின்னர் இந்தப் பாக்கெட்டுடன் நிறைவேற்றப்படும் செக்யூரிட்டி அசோசியேசனைக் கண்டறிகிறது.
வரிசை எண்
ஒரு போக்காக அதிகரிக்கும் எண் இது மறுஓட்டத் தாக்குதலைத் தவிர்ப்பதற்குப் பயன்படுத்தப்படுகிறது.
உறுதிப்பாட்டுத் தரவு
பாக்கெட்டை உறுதிப்படுத்துவதற்குத் தேவையான ஒருமைப்பாடு சோதித்தல் மதிப்பு (ICV); இது பேடிங்கைக் கொண்டிருக்கலாம்.

என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட்

தொகு

என்கால்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP) என்பது IPsec வரைமுறைத் தொகுப்பின் உறுப்பினர் ஆகும். IPsec இல் இது மூல உறுதிப்பாடு, ஒருமைப்பாடு மற்றும் பாக்கெட்டுகளின் காப்புறுதியைக் காத்தல் ஆகியவற்றை வழங்குகிறது. ESP மறையீடாக்கம்-மட்டும் மற்றும் உறுதிப்பாடு-மட்டும் கொண்ட அமைவடிவத்தையும் ஆதரிக்கிறது. ஆனால் உறுதிப்பாடு இல்லாமல் மறையீடாக்கத்தைப் பயன்படுத்துதல் கடுமையாக ஆதரிக்கப்படுவதில்லை. ஏனெனில் இது பாதுகாப்பானது அல்ல.[9][10][11] ஆத்தண்டிகேசன் ஹெட்டரைப் (AH) போலல்லாமல் ESP ஆனது IP பாக்கெட் ஹெட்டரைக் காப்பது இல்லை. எனினும் புதிய பாக்கெட் ஹெட்டர் இணைக்கப்படுவதுடன் முழு ஒரிஜினல் IP பாக்கெட்டும் என்காப்சுலேட்டடில் இருக்கும் டன்னல் மோடில், ESP காப்பு அனைத்து உட்புற IP பாக்கெட்டுகளுக்கும் (உட்புற ஹெட்டர் உட்பட) வழங்கப்படுகிறது. அதேசமயம் வெளிப்புற ஹெட்டர் காப்பற்றதாகவே நீடித்திருக்கும். ESP ஆனது IP வரைமுறை எண் 50 ஐப் பயன்படுத்தி IP இன் மேல் நேரடியாக இயக்கப்படுகிறது.[8]

பின்வரும் ESP பாக்கெட் விளக்கப்படம் எப்படி ESP பாக்கெட் உருவாக்கப்படுகிறது மற்றும் பரிமாற்றப்படுகிறது என்பதை விளக்குகிறது:[1]

0 - 7 பிட் 8 - 15 பிட் 16 - 23 பிட் 24 - 31 பிட்
செக்யூரிட்டி பெராமீட்டர்ஸ் இண்டக்ஸ் (SPI)
வரிசை எண்
colspan="4" style="text-align:center; border-bottom: none" பேலொட் தரவு (மாறி)
  பேட்டிங் (0-255 பைட்டுகள்)  
    பேட் நீளம் அடுத்த ஹெட்டர்
colspan="4" style="text-align:center;" உறுதிப்பாட்டுத் தரவு (மாறி)

ஃபீல்ட் அர்த்தங்கள்:

செக்யூரிட்டி பெராமிட்டர்ஸ் இண்டக்ஸ் (SPI)
IP முகவரியுடன் இணைந்து செக்யூரிட்டி பெராமீட்டர்களைக் கண்டறிகிறது.
வரிசை எண்
ஒரு போக்காக அதிகரிக்கும் எண், மறுஓட்டத் தாக்குதல்களைக் காக்கிறது.
பேலோட் தரவு
பரிமாற்றப்படும் தரவு.
பேட்டிங்
சில தொகுதி பூஜ்ஜியங்களுடன், முழு நீளத் தொகுதிக்கு தரவை உடன்படுத்துவதற்குப் பயன்படுகிறது.
பேட் நீளம்
பைட்டுகளில் பேட்டிங்கின் அளவு.
அடுத்த ஹெட்டர்
பேலோட் தரவின் வரைமுறையைக் கண்டறிகிறது. இந்த ஃபீல்டின் மதிப்பு இணைய ஒதுக்கப்பட்ட எண்கள் ஆணையத்திடம் இருந்து மிகவும் சமீபமாக "ஒதுக்கப்பட்ட எண்கள்" RFC இல் இருந்து வரையறுக்கப்பட்ட IP வரைமுறை எண்கள் தொகுப்பில் இருந்து தேர்ந்தெடுக்கப்படுகிறது. வரைமுறை எண்களின் பட்டியலைப் பார்க்கவும் .
உறுதிப்பாட்டுத் தரவு
பாக்கெட்டின் உறுதிப்பாட்டுக்குப் பயன்படுத்தப்படும் தரவைக் கொண்டிருக்கும்.

செக்யூரிட்டி அசோசியேசன்

தொகு

IP பாதுகாப்புக் கட்டமைப்பானது IPயினுள் பாதுகாப்புச் செயல்பாடுகளை உருவாக்குவதற்கான அடிப்படையாக செக்யூரிட்டி அசோசியேசனின் உத்தியைப் பயன்படுத்துகிறது. செக்யூரிட்டி அசோசியேசன் என்பது எளிமையாக நெறிமுறைகள் மற்றும் பெராமீட்டர்களின் (விசைகள் போன்றவை) தொகுப்பு ஆகும். அது ஒரு திசையில் குறிப்பிட்ட பாய்வின் மறையீடு மற்றும் உறுதிப்பாட்டுக்குப் பயன்படுத்தப்படுகிறது. ஆகையால் சாதாரன இரு-திசை நெரிசலில் பாய்வுகள் செக்யூரிட்டி அசோசியேசன் இணையின் மூலமாக பாதுகாக்கப்படுகிறது. உண்மையில் மறையீடாக்கம் மற்றும் உறுதிப்பாட்டு நெறிமுறைகள் (வரையறுக்கப்பட்ட பட்டியலில் இருந்து) தேர்ந்தெடுப்பு IPsec நிர்வகிப்பாளர்களைச் சார்ந்ததாக இருக்கிறது.

வெளியேறும் பாக்கெட்டுகளுக்கு என்ன பாதுகாப்பு வழங்கப்பட வேண்டும் என்பதை தீர்மானிப்பதற்கு மாறாக IPsec செக்யூரிட்டி பெராமீட்டர் இண்டக்ஸ் (SPI), பாக்கெட் ஹெட்டரின் இலக்கு முகவரியுடன் செக்யூரிட்டி அசோசியேசன் தரவுத்தளத்துக்கான (SADB) உள்ளடக்கம் ஆகியவற்றைப் பயன்படுத்துகிறது, அது ஒன்றினைந்து பாக்கெட்டுக்கான செக்யூரிட்டி அசோசியேசனைத் தனித்துக் கண்டறிகின்றன. உள்வரும் பாக்கெட்டுக்கும் இதே போன்ற நடைமுறை செயல்படுத்தப்படுகிறது. அதில் IPsec செக்யூரிட்டி அசோசியேசன் தரவுத்தளத்தில் இருந்து மறையீடு நீக்கம் மற்றும் சரிபார்த்தல் விசைகள் ஆகியவற்றை ஒன்றினைக்கிறது.

மல்ட்டிகாஸ்டுக்கான செக்யூரிட்டி அசோசியேசன் குழுவுக்கு வழங்கப்படுகிறது, மேலும் குழுவின் அனைத்து அங்கீகரிக்கப்பட்ட ஏற்பிகளுக்கு நகலை வழங்குகிறது. ஒரு குழுவுக்கு ஒன்றுக்கு மேற்பட்ட செக்யூரிட்டி அசோசியேசன் மாறுபட்ட SPIகளைப் பயன்படுத்திக் கொண்டு இருக்கலாம். ஆகையால் குழுவினுள் பல நிலைகள் மற்றும் பாதுகாப்புத் தொகுப்புகள் அனுமதிக்கப்படும். உண்மையில் ஒவ்வொரு அனுப்புநரும் பல செக்யூரிட்டி அசோசியேசன்கள் அனுமதிக்கும் உறுதிப்பாட்டைக் கொண்டிருக்கலாம். எனினும் ஒரு ஏற்பிக்கு தரவை அனுப்புவதற்கு ஒருவருக்கு விசைகள் தெரிந்திருக்கிறது என்பது மட்டுமே தெரிந்திருக்கலாம். பொருத்தமானத் தரநிலை எப்படி அசோசியேசன் தேர்ந்தெடுக்கப்படுகிறது மற்றும் குழுக்களுக்கு இடையில் நகலிடப்படுகிறது என்பதை வரையறுப்பதில்லை என்பது குறிப்பிடத்தக்கது; பொறுப்புள்ள நபர் தேர்ந்தெடுப்பைச் செய்துகொள்ளலாம் எனக்கருதப்படுகிறது.

செயல்பாட்டின் மோடுகள்

தொகு

IPsec ஹோஸ்ட்-டு-ஹோஸ்ட் போக்குவரத்து மோட் அத்துடன் நெட்வொர்க் டன்னல் மோட் ஆகியவற்றில் செயல்படுத்தப்படலாம்.

போக்குவரத்து மோட்

தொகு

போக்குவரத்து மோடில் IP பாக்கெட்டின் பேலோட் (நீங்கள் பரிமாற்றும் தரவு) மட்டுமே மறையிடப்படுகிறது மற்றும்/அல்லது உறுதிப்படுத்தப்படுகிறது. ரூட்டிங் முழுமையாக இருக்கிறது. இருந்த போதும் IP ஹெட்டர் மாற்றப்படுவதுமில்லை மறையீடாக்கப்படுவதுமில்லை; எனினும் உறுதிப்பாட்டு ஹெட்டர் பயன்படுத்தப்படும் போது IP முகவரியைப் பரிமாற்றம் செய்ய முடியாது. அதுபோல இது ஹேஷ் மதிப்பைப் பயனற்றதாக்கலாம். போக்குவரத்து மற்றும் பயன்பாட்டு அடுக்குகள் எப்போதும் ஹேஷினால் பாதுகாக்கப்படுகின்றன. அதனால் அவற்றை எந்த வழியிலும் மாற்ற முடியாது (எடுத்துக்காட்டாக போர்ட் எண்களைப் பரிமாற்றுதல்). போக்குவரத்து மொட் ஹோஸ்ட்-டு-ஹோஸ்ட் தொடர்புகளுக்குப் பயன்படுத்தப்படுகிறது.

NAT டிராவர்சலுக்கான IPsec செய்திகளை என்காப்ஸுலேட் செய்வதற்கான வழிவகை NAT-T இயங்கமைப்பை வரையறுக்கும் RFC ஆவணங்கள் மூலமாக வரையறுக்கப்படுகிறது.

டன்னல் மோட்

தொகு

டன்னல் மோடில் முழு IP பாக்கெட்டும் (தரவு மற்றும் IP ஹெட்டர்) மறையீடாக்கப்படுகிறது மற்றும்/அல்லது உறுதிப்படுத்தப்படுகிறது. அது பின்னர் புதிய IP ஹெட்டருடன் புதிய IP பாக்கெட்டினுள் என்காப்சுலேட் செய்யப்படுகிறது. டன்னல் மோட் ஆனது நெட்வொர்க்கிலிருந்து நெட்வொர்க் தொடர்புகள் (எ.கா. தளங்களை இணைப்பதற்கு ரவுட்டர்களுக்கு இடையில்) ஹோஸ்டிலிருந்து நெட்வொர்க் தொடர்புகள் (எ.கா. தொலைப் பயனர் அனுகல்) மற்றும் ஹோஸ்டிலிருந்து ஹோஸ்ட் தொடர்புகள் (எ.கா. தனிப்பட்ட சாட்) ஆகியவற்றுக்கான வெர்ச்சுவல் பிரைவேட் நெட்வொர்குகளை உருவாக்குவதற்குப் பயன்படுத்தப்படுகிறது.

தகவல் மறைப்பு நெறிமுறைகள்

தொகு

IPsec உடன் பயன்படுத்துவதற்காக வரையறுக்கப்பட்ட தகவல் மறைப்பு நெறிமுறைகள் பின்வருமாறு:

  • HMAC-SHA1 ஒருமைப்பாடு காத்தல் மற்றும் நம்பகத்தன்மை ஆகியவற்றுக்கானது.
  • ட்ரிபில்DES-CBC காப்புறுதிக்கானது
  • AES-CBC காப்புறுதிக்கானது.

மேலும் தகவல்களுக்கு RFC 4835 ஐப் பார்க்கவும்.

மென்பொருள் செயலாக்கம்

தொகு

IPsec ஆதரவு விசை மேலாண்மை மற்றும் பயனர் இடத்தில் இருந்து எடுக்கப்படும் ISAKMP/IKE மாற்றப்படுதல் ஆகியவற்றுடன் கெர்னலில் பொதுவாக செயல்படுத்தப்படுகிறது. ஏற்கனவே உள்ள IPsec செயலாக்கங்கள் பொதுவாக இரண்டையும் உள்ளடக்கியதாக இருக்கிறது. எனினும் விசை மேலாண்மைக்கான தரநிலை இடைமுகம் இருக்கின்ற போதும் மாறுபட்ட செயலாக்கங்களில் இருந்து விசை மேலாண்மைக் கருவிகளைப் பயன்படுத்தி ஒரு கெர்னல் IPsec ஸ்டேக்கைக் கட்டுப்படுத்துவதற்கு சாத்தியம் இருக்கிறது.

இதன் காரணமாக சில நேரங்களில் லினக்ஸ் கெர்னலில் செயலாக்கங்களின் மூலங்களைக் கண்டறிவதில் குழப்பம் நேருகிறது. ஃப்ரீS/WAN திட்டப்பணி லினக்ஸுக்கான IPsec இன் முதல் முழுமையான மற்றும் திறந்த மூல செயலாக்கங்களை உருவாக்குகின்றன. இது கெர்னல் IPsec ஸ்டேக்குகள் (KLIPS) அத்துடன் விசை மேலாண்மை டேமான் (ப்ளூட்டோ) மற்றும் பல ஷெல் ஸ்கிரிப்ட்டுகள் ஆகியவற்றைக் கொண்டிருக்கின்றன. ஃப்ரீS/WAN திட்டப்பணி 2004 ஆம் ஆண்டு மார்ச் மாதத்தில் கலைக்கப்பட்டது. ஓப்பன்ஸ்வான் மற்றும் ஸ்ட்ராங்ஸ்வான் ஆகியவை ஃப்ரீS/WAN இன் தொடர்ச்சி ஆகும். KAME திட்டப்பணி, நெட்BSD, ஃப்ரீBSD ஆகியவற்றுக்கான முழுமையான IPsec ஆதரவையும் செயல்படுத்துகிறது. அதன் விசை மேலாண்மை டேமான் ராகூன் என அழைக்கப்படுகிறது. ஓப்பன்BSD எளிமையாக isakmpd (அதன் மூலம் லினக்ஸ் உள்ளிட்ட மற்ற அமைப்புகளிலும் இணைக்கலாம்) என அழைக்கப்படும் அதன் சொந்த ISAKMP/IKE டேமானை உருவாக்குகிறது.

எந்த கெர்னல் IPsec ஸ்டாக்குகளும் லினக்ஸ் கெர்னலினுள் ஒருங்கிணைக்கப்படுவதில்லை. அலெக்ஸே குஸ்னெட்சோவ் மற்றும் டேவிட் எஸ். மில்லர் ஆகியோர் 2002 ஆம் ஆண்டின் இறுதி வாக்கில் லினக்ஸ் கெர்னலுக்கான ஸ்க்ராட்சிலிருந்து கெர்னல் IPsec செயலாக்கத்தினை எழுதினர். இந்த ஸ்டேக்கானது லினக்ஸ் 2.6 இன் ஒரு பகுதியாக பின்னர் வெளியிடப்பட்டது. மேலும் இது "நேடிவ்" அல்லது "NETKEY" ஆக பலவற்றுக்குக் குறிப்பிடப்படுகிறது.

ஆகையால் தற்போதைய லினக்ஸ் IPsec ஸ்டாக் KAME திட்டப்பணியில் இருந்து உருவாக்கப்பட்டிருக்கவில்லை. இது வழக்கமான PF KEY வரைமுறை (RFC 2367) மற்றும் விசை மேலாண்மைக்கான நேடிவ் XFRM இடைமுகம் ஆகியவற்றை ஆதரித்த போதும் லினக்ஸ் IPsec ஸ்டாக் ஓப்பன்ஸ்வான்/ஸ்ட்ராங்ஸ்வான் ஆகியவற்றில் இருந்து ப்ளூட்டோ , ஓப்பன்BSD திட்டப்பணியில் இருந்து isakmpd, KAME திட்டப்பணியில் இருந்து ராகூன் ஆகியவற்றுடனோ அல்லது எந்த ISAKMP/IKE டேமான் (கையால் விசையிடுதலைப் பயன்படுத்தி) இல்லாமலோ உள்ள இணைப்பில் பயன்படுத்தப்படலாம்.

ஒருங்கிணைக்கப்பட்ட மறையீடாக்க இஞ்ஜின்களுடன் கூடிய பல்-அடிப்படைச் செயலகங்கள் உள்ளிட்ட நெட்வொர்க் செயலகங்களின் புதிய கட்டமைப்புகள், IPsec ஸ்டாக்குகள் வடிவமைக்கப்படும் வழிகளில் சில மாற்றங்களைப் பரிந்துரைக்கின்றன. அர்ப்பணிக்கப்பட்ட ஃபாஸ்ட் பாத் ஆஃப்லோட் IPsec செயல்பாட்டுக்கு (SA, SP லுக்கப்ஸ், மறையீடாக்கம் மற்றும் பல.) தற்போது பொதுவாகப் பயன்படுத்தப்படுகிறன. அர்ப்பணிக்கப்பட்ட அடிப்படைகளில் இயங்கும். இந்த ஃபாஸ்ட்-பாத் IPsec-ஸ்டாக் நிகழ்வுகள், லினக்ஸுடன் அல்லது அவற்றைக் கட்டுப்படுத்தும் மற்ற அடிப்படைகளில் இயங்கும் RTOS நிகழ்வுகளுடன் ஒருங்கிணைக்கப்பட்டிருக்க வேண்டும்.

IPsec மற்றும் ISAKMP/IKE வரைமுறைகளுக்கு பல செயலாக்கங்கள் இருக்கின்றன. அவை பின்வருமாறு:

  • NRL[12] IPsec, IPsec குறியீட்டில் ஒரிஜினல் மூலங்களில் ஒன்று.[13]
  • ஓப்பன்BSD 1996 ஆம் ஆண்டில் ஜான் இயோஅன்னிடிஸ் மற்றும் ஆங்க்லோஸ் டி. கெரொமிடிஸ் ஆகியோரால் எழுதப்பட்ட BSD/OS செயலாக்கங்களில் இருந்து பெறப்பட்ட அதன் சொந்தக் குறியீட்டுடன் இருக்கிறது.
  • KAME ஸ்டாக், இது Mac OS X, நெட்BSD மற்றும் ஃப்ரீBSD ஆகியவற்றில் உள்ளடக்கப்பட்டிருக்கிறது.
  • சிஸ்கோ IOS மென்பொருளில் "IPsec" [14]
  • விண்டோஸ் XP[15][16], விண்டோஸ் 2000[17], விண்டோஸ் 2003[18], விண்டோஸ் விஸ்டா, விண்டோஸ் சர்வர் 2008[19] மற்றும் விண்டோஸ் 7 உள்ளிட்ட மைக்ரோசாப்ட் விண்டோஸில் "IPsec".[20]
    • விண்டோஸ் விஸ்டா மற்றும் அதற்குப் பின்வருவனவற்றில் IPsec
  • சேஃப்Net குவிக்செக் டூல்கிட்டுகள்[21]
  • சொலாரிஸில் IPsec[22]
  • IBM AIX இயங்கமைப்பு
  • IBM z/OS
  • HP-UX இல் IPsec மற்றும் IKE (HP-UX IPsec)

தரநிலைகள் நிலை

தொகு

IPsec, IPv6 உடன் இணைத்து உருவாக்கப்பட்டது. மேலும் அதனால் இது IPv6 இன் அனைத்து தரநிலைகள்-நிர்வகித்தல் செயலாக்கங்களில் கட்டாயமானதாக இருக்கிறது.[23] ஆனால் இதன் செயலாக்கம் இணைய நெறிமுறைப் பதிப்பு 4 க்கு விருப்பத்தேர்வு விரிவாக்கமாக இருக்கிறது. எனினும் IPv6 இன் மெதுவான செயல்பாட்டின் காரணமாக IPsec மிகவும் பொதுவாக பாதுகாப்பான IPv4 போக்குவரத்துகுப் பயன்படுத்தப்படுகிறது. IPsec வரைமுறைகள் முதலில் 1995 ஆம் ஆண்டில் வெளியிடப்பட்ட ஆணைகளுக்கான கோரிக்கைகளில் வரையறுக்கப்பட்டது. 1998 ஆம் ஆண்டில் இந்த ஆவணங்கள் முரண்பாடான அம்சங்களுடன் RFC 2401 மற்றும் RFC 2412 ஆகியவற்றில் மாற்றப்பட்டன. எனினும் அவை கருத்து ரீதியாக ஒத்த தன்மையுடையவை. கூடுதலாக பரஸ்பர உறுதிப்பாடு மற்றும் விசைப் பரிமாற்ற வரைமுறை இணைய விசைப் பரிமாற்றம் (IKE) செக்யூரிட்டி அசோசியேசன்களை உருவாக்குவதற்கு மற்றும் நிர்வகிப்பதற்கு வரையறுக்கப்பட்டன. 2005 ஆம் ஆண்டு டிசம்பர் மாதத்தில் புதிய தரநிலைகள் RFC 4301 மற்றும் RFC 4309 இல் வரையறுக்கப்பட்டன. அவை இணைய விசைப் பரிமாற்றத் தரநிலை IKEv2 இன் இரண்டாவது பதிப்புடன் முந்தைய பதிப்புகளின் சூப்பர்செட்டாகப் பெருமளவில் இருக்கின்றன. இந்த மூன்றாம்-தலைமுறை ஆவணங்கள் IPsec இன் சுருக்கத்தை பெரிய எழுத்து “IP” மற்றும் சிறிய எழுத்து “sec” ஆகியவையாக நிர்ணயித்திருந்தன. RFCக்கள் 1825 மற்றும் 1829 ஆகியவற்றுக்கான ஆதரவு வழங்குவதற்கான ஏதேனும் ஒரு பொருளைப் பார்ப்பது அசாதாரானமானது. “ESP” பொதுவாக RFC 2406 க்குக் குறிப்பிடப்படுகிறது. அதே சமயம் ESPbis RFC 4303 க்குக் குறிப்பிடப்படுகிறது.

2008 ஆம் ஆண்டின் மத்தியில் இருந்து IPsec பராமரிப்பு மற்றும் விரிவாக்கங்கள் பணியாற்றும் குழு IETF இல் இயக்கத்தில் இருக்கிறது.[24][25]

மேலும் காண்க

தொகு
  • தகவல் பாதுகாப்பு
  • செக்யூர் சாக்கட்ஸ் லேயர் வெர்ச்சுவல் பிரைவேட் நெட்வொர்க்
  • ஆப்பர்சூனிஸ்டிக் மறையீடாக்கம்
  • டைனமிக் மல்ட்டிபாயிண்ட் வெர்ச்சுவல் பிரைவேட் நெட்வொர்க்

குறிப்புதவிகள்

தொகு
  1. 1.0 1.1 1.2 S. Kent (BBN Corp) and R. Atkinson (@Home Network). ""RFC 2406 IP Encapsulating Security Payload (ESP)"". Internet Engineering Task Force (IETF). http://www.ietf.org/rfc/rfc2406.txt. 
  2. R. Thayer (Sable Technology Corporation), N. Doraswamy (Bay Networks), R. Glenn (NIST). "RFC 2411 IP Security Document Roadmap". National Institute of Standards and Technology (NIST) இம் மூலத்தில் இருந்து 2008-09-18 அன்று. பரணிடப்பட்டது.. https://web.archive.org/web/20080918100831/http://csrc.nist.gov/archive/ipsec/papers/rfc2411-roadmap.txt. 
  3. P. Hoffman (VPN Consortium). "RFC 4308 Cryptographic Suites for IPsec". Internet Engineering Task Force (IETF). http://www.ietf.org/rfc/rfc4308.txt. 
  4. D. Harkins and D. Carrel (Cisco Systems). "RFC 2409 The Internet Key Exchange (IKE)". Internet Engineering Task Force (IETF). http://www.ietf.org/rfc/rfc2409.txt. 
  5. "RFC 4306 IKE Version 2". Internet Engineering Task Force (IETF). 
  6. 6.0 6.1 6.2 S. Kent (BBN Corp) and R. Atkinson (@Home Network). "RFC 2402 IP Authentication Header". Internet Engineering Task Force (IETF). http://www.ietf.org/rfc/rfc2402.txt. 
  7. 7.0 7.1 S. Kent (BBN Technologies). "RFC 4302 IP Authentication Header". Internet Engineering Task Force (IETF). http://www.ietf.org/rfc/rfc4302.txt. 
  8. 8.0 8.1 "Assigned Internet Protocol Numbers". Internet Assigned Numbers Authority (IANA).
  9. Bellovin, Steven M.(1996). "Problem Areas for the IP Security Protocols". Proceedings of the Sixth Usenix Unix Security Symposium, 1–16. 2007-07-09 அன்று அணுகப்பட்டது.
  10. K.G. Paterson and A. Yau(2006). "Cryptography in theory and practice: The case of encryption in IPsec". Eurocrypt 2006, Lecture Notes in Computer Science Vol. 4004, 12–29. 2007-08-13 அன்று அணுகப்பட்டது.
  11. J.P. Degabriele and K.G. Paterson(2007). "Attacking the IPsec Standards in Encryption-only Configurations". IEEE Symposium on Security and Privacy, IEEE Computer Society, 335–349. 2007-08-13 அன்று அணுகப்பட்டது.
  12. "காப்பகப்படுத்தப்பட்ட நகல்". Archived from the original on 2007-08-08. பார்க்கப்பட்ட நாள் 2010-03-10.
  13. "காப்பகப்படுத்தப்பட்ட நகல்". Archived from the original on 2007-09-27. பார்க்கப்பட்ட நாள் 2010-03-10.
  14. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtml
  15. http://support.microsoft.com/?kbid=884909
  16. http://support.microsoft.com/kb/818043/en-us
  17. http://www.microsoft.com/windows2000/technologies/communications/ipsec/default.mspx
  18. http://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx
  19. http://technet.microsoft.com/en-us/network/bb531150.aspx
  20. http://technet.microsoft.com/en-us/library/cc748991%28WS.10%29.aspx
  21. "காப்பகப்படுத்தப்பட்ட நகல்". Archived from the original on 2007-10-06. பார்க்கப்பட்ட நாள் 2010-03-10.
  22. http://docs.sun.com/app/docs/doc/817-2694?a=expand
  23. "RFC 4294 IPv6 Node Requirements". Internet Engineering Task Force (IETF). 
  24. ipsecme சார்ட்டர்
  25. ipsecme நிலை

புற இணைப்புகள்

தொகு

தரநிலைகள்

தொகு
  • RFC 2367: PF_KEY இடைமுகம்
  • RFC 2401: இணைய வரைமுறைக்கான பாதுகாப்புக் கட்டமைப்பு (IPsec மேல்நோக்குப் பார்வை) RFC 4301 மூலமாக வழக்கற்றதானது
  • RFC 2403: ESP மற்றும் AH ஆகியவற்றுக்குள் HMAC-MD5-96 இன் பயன்பாடு
  • RFC 2404: ESP மற்றும் AH ஆகியவற்றுக்குள் HMAC-SHA-1-96 இன் பயன்பாடு
  • RFC 2405: The ESP DES-CBCஎக்ஸ்பிளிசிட் IV உடன் பூஜ்ஜிய நெறிமுறை
  • RFC 2409: த இன்டர்நெட் கீ எக்ஸ்சேஞ்ச்
  • RFC 2410: NULL மறையீடாக்க நெறிமுறை மற்றும் IPsec உடன் அதன் பயன்பாடு
  • RFC 2411: IP செக்யூரிட்டி டாகுமெண்ட் ரோட்மேப்
  • RFC 2412: OAKLEY கீ டிடர்மினேசன் ப்ரோட்டோக்கால்
  • RFC 2451: ESP CBC-மோட் சைபர் நெறிமுறைகள்
  • RFC 2857: ESP மற்றும் AH ஆகியவற்றினுள் HMAC-RIPEMD-160-96 இன் பயன்பாடு
  • RFC 3526: இணைய விசை பரிமாற்றத்துக்கான (IKE) மோர் மாடுலர் எக்ஸ்பொனன்ஸியல் (MODP) டிஃப்பி-ஹெல்மேன் க்ரூப்ஸ்
  • RFC 3706: டெட் இணைய விசைப் பரிமாற்றம் (IKE) பீர்சைக் கண்டறிவதன் போக்குவரத்து-சார்ந்த முறை
  • RFC 3715: IPsec-நெட்வொர்க் அட்ரெஸ் டிரான்ஸ்லேசன் (NAT) பொருந்துதல் தேவைகள்
  • RFC 3947: IKE இல் NAT-டிராவர்சலின் மாற்றங்கள்
  • RFC 3948: IPsec ESP பாக்கெட்டுகளின் UDP என்காப்சுலேசன்
  • RFC 4106: IPsec என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோடில் (ESP) கலொயிஸ்/கவுண்டர் மோடின் (GCM) பயன்பாடு
  • RFC 4301: இணைய நெறிமுறைக்காக பாதுகாப்புக் கட்டமைப்பு
  • RFC 4302: IP ஆத்தண்டிகேசன் ஹெட்டர்
  • RFC 4303: IP என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட்
  • RFC 4304: இணையப் பாதுகாப்பு அசோசியேசன் மற்றும் விசை மேலாண்மை வரைமுறைக்கான (ISAKMP) IPsec டொமைன் ஆஃப் இன்டர்பிரடேசனுக்கு (DOI) விரிவாக்கப்பட்ட வரிசை எண் (ESN) இணைப்பு
  • RFC 4306: இணைய விசைப் பரிமாற்ற (IKEv2) வரைமுறை
  • RFC 4307: இணைய விசைப் பரிமாற்றம் பதிப்பு 2 (IKEv2) இன் பயன்பாட்டுக்கான தகவல்மறைப்பு நெறிமுறைகள்
  • RFC 4308: IPsec க்கான தகவல்மறைப்புத் தொகுதிகள்
  • RFC 4309: IPsec என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோடுடன் (ESP) மேம்பட்ட மறையீடாக்கத் தரநிலை (AES) CCM மோடைப் பயன்படுத்துதல்
  • RFC 4478: இணைய விசைப் பரிமாற்ற (IKEv2) நெறிமுறையின் தொடர்ந்த உறுதிப்பாடு
  • RFC 4543: IPsec ESP மற்றும் AH ஆகியவற்றில் கலோயிஸ் செய்தி உறுதிப்பாட்டுக் குறியீடின் (GMAC) பயன்பாடு
  • RFC 4555: IKEv2 மொபைலிட்டி மற்றும் மல்டிஹோமிங் வரைமுறை (MOBIKE)
  • RFC 4621: IKEv2 மொபைலிட்டி மற்றும் மல்ட்டிஹோமிங் (MOBIKE) வரைமுறையின் வடிவமைப்பு
  • RFC 4718: IKEv2 விளக்கங்கள் மற்றும் செயல்டுத்துதல் வழிகாட்டிகள்
  • RFC 4806: IKEv2 க்கு ஆன்லைன் சான்றளிப்பு நிலை வரைமுறை (OCSP) விரிவாக்கங்கள்
  • RFC 4809: IPsec சான்றளிப்பு மெலாண்மை ப்ரொஃபைலுக்கான தேவைகள்
  • RFC 4835: என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP) மற்றும் ஆத்தண்டிகேசன் ஹெட்டருக்கான (AH) தகவல்மறைப்பு நெறிமுறை செயல்படுத்தல் தேவைகள்
  • RFC 4945: IKEv1/ISAKMP, IKEv2 மற்றும் PKIX ஆகியவற்றின் இணைய IP பாதுகாப்பு PKI ப்ரொஃபைல்