رد: سؤال: IKE phase>>IPsec
السلام عليكم ورحمة الله
هذا الموضوع فعلا يشتت الكثير سأحاول ان ابسطه لك قدر ما استطيع
نبدأ بــ IKE Phase I :-
فى هذه المرحله تحدث ثلاثه اشياء مهمه فى عمليه تأمين البيانات
اولا يجب ان يتفق كلا الطرفين على Security Association و هى عباره عن مجموعه من الاعدادت تستخدم فى تامين المفاوضات اللاحقه فيما بعد وليس تامين ال Traffic نفسه - افهم الجمله السابقه جيدا
و يطلق لفظ ISAKMP Policy على هذه الاعدات عندما يتم عمل configuration لها على الراوتر
ثانيا يحدث ما يسمى بــ DH Key Exchange و هذه هى النقطة الاكثر تعقيدا فى الموضوع
اولا ما هو ال DH ؟
- عبارة عن خوارزميه تتحيح عمل shared-secret-key بطريقة غير مباشرة عبر بيئه غير امنه مثل الانترنت
هذا ما تريد منك سيسكو ان تعرفه و لكنه للاسف غير كافى و لفهم هذه العمليه ستدخل فى علم التشفير او ما يسمى Cryptography
فى هذا الجزء يبدأ الطرفان فى الاتفاق على رقمين غير سريان (اى يمكن لاى احد التصنت على العمليه وكشف هذه الارقام)
ويقوم كل peer باستخراج قيمة لل public key من هذين الرقمين و بعد ذلك و هنا السحر لمن لا يفقه شىء فى الرياضيات
سيستطيع كل peer استخراج shared-secret-key و سيكون هو نفس القيمة فى الجهه الاخرى
خلاصه هذا الكلام هو انه سيسقوم كل peer بعمل بعض العمليات الحسابيه ليكون الناتج متاشبه فى الناحيتين من دون ارسال شىء عن طريق الانترنت
و اخر شىء عمل authentication لل peer
اما بخصوص ike ohase II فهذه تتم حمايته بواسطة phase 1
مكان name ستقوم بكتابه اسم الاكسيس لست التى ستحدد الترافيك الذى سيدخل ال tunnel
منتظر استفساراتك :D
نصيحه لفهم هذا الموضوع جيدا اسمع شرح jermey من cbtnugget فى منهج ccna sec R(config-crypto-map)#match address name
رد: سؤال: IKE phase>>IPsec
اقتباس:
المشاركة الأصلية كتبت بواسطة sherif-magdy
السلام عليكم ورحمة الله
ويقوم كل peer باستخراج قيمة لل public key من هذين الرقمين و بعد ذلك و هنا السحر لمن لا يفقه شىء فى الرياضيات
سيستطيع كل peer استخراج shared-secret-key و سيكون هو نفس القيمة فى الجهه الاخرى
خلاصه هذا الكلام هو انه سيسقوم كل peer بعمل بعض العمليات الحسابيه ليكون الناتج متاشبه فى الناحيتين من دون ارسال شىء عن طريق الانترنت
منتظر استفساراتك :D
نصيحه لفهم هذا الموضوع جيدا اسمع شرح jermey من cbtnugget فى منهج ccna sec R(config-crypto-map)#match address name
جزاك الله خيرًا أخي شريف
هل أنت متأكد من هذه المعلومة الملونة باللون الأحمر
ما أتذكره أنه يقوم كل راوتر بإنشاء public key و private key ويقوم كل راوتر بتبادل ال public مع الراوتر الآخر ويظل ال private دون نقل
يقوم كل راوتر باستخدام ال public المرسل له وعمل خلطة مع ال private لإنشاء ال shared-secret-key
هل هذا ما تقصده ؟
رد: سؤال: IKE phase>>IPsec
شكرا يا بشمهندس
افهم من حضرتك ان احن بندمج ike 1 و ال ike 2
طيب وال DH حضرتك بسط طريقة عملها
ولكن الغرض من تشفيرها هو :
عدم استغلال ال hacker لكلمة السر المشفره
وكتابتها مثلا في secrt 5
اي بعد ما يسرق md5
لو حاول يكتبها من غير ما يفك الشفره
ال dh تمنعه
لان احن عندنا مثلا 3des تقوم بالتشفير
وال md5 تقوم بالتأكد من المرسل
وال esp تقوم بعملية التفاوض
اما ال dh تتأكد من عدم كتابة الكلمه المشفره
والانت شرحت هذه الية التنفيذ ؟!!
ان شاء الله اكون فهمتها :-))
--------------------------------------
سؤال اخر :-)))
كيف اطبق اوامر ال
tunnel and transport mode
على ال Router
----------------------------
السؤال الثاني
هل بال ipsec
لا يصبح فائده لل aaa
الا view
وشكرا جدا على مجهودك
والسلام عليكم ورحمة الله :-)
رد: سؤال: IKE phase>>IPsec
السلام عليكم
شكرا لوجودك يا بشمهندس ايهاب
وانا اعتقد كمان الانت قلت عليه
هو ال CA
رد: سؤال: IKE phase>>IPsec
اقتباس:
المشاركة الأصلية كتبت بواسطة ahab
جزاك الله خيرًا أخي شريف
هل أنت متأكد من هذه المعلومة الملونة باللون الأحمر
ما أتذكره أنه يقوم كل راوتر بإنشاء public key و private key ويقوم كل راوتر بتبادل ال public مع الراوتر الآخر ويظل ال private دون نقل
يقوم كل راوتر باستخدام ال public المرسل له وعمل خلطة مع ال private لإنشاء ال shared-secret-key
هل هذا ما تقصده ؟
تمام ما اردت توضيحه هو عدم وجود ارسال مباشر لل shared-secret-key من طرف الى طرف اخر عن طريق تشفيرة بال private-key و ارساله
بل هو كما قلت يتم ادخال ال public الخاص بال peer مع ال private الخاص فى عمليه حسابيه ليكون الناتج فى النهايه متاشبه فى كلا الناحيتين
من دون ارسال ال shared-key نفسه
رد: سؤال: IKE phase>>IPsec
اقتباس:
كيف اطبق اوامر ال
tunnel and transport mode
على ال Router
----------------------------
السؤال الثاني
هل بال ipsec
لا يصبح فائده لل aaa
الا view
بالنسبه للاوامرة ستجدها فى الكثير من الكتب
عموما ستكون كالاتى :-
Router(config)#crypto ipsec transform-set TRANSFORM esp-3des
Router(cfg-crypto-trans)#mode tunnel
OR
Router(cfg-crypto-trans)#mode transport
بالنسبه لل AAA فلا يمكن ان تقول انها ليس لها فائده مع ال VPN , قد لا تجد موضوع لا يمكن تطبيقه مع ال AAA
و يمكن استخدامها فى تطبيقات متقدمة على سبيل المثال REMOTE-ACCESS vpn مع ال Xauth
بالنسبه للجزء الاول من السوال فعفوا لم افهمه اتمنى توضيح السوال
رد: سؤال: IKE phase>>IPsec
شكرا يا بشمهندس
انا اقصد بالجزء الاول هو ما فهمته انا
فعرضته لتأكد من صحته
يعني الانت كتابته هذا الية تنفيذ
زي ال PKI او SCEP
في ال IPsec
الهو كمان ممكن يتضمن شرح لل
certificates
السؤال:
ما هي وظيفت ال DH بالظبط(وليست الية تنفيذه)
هل يمنع ال hacher من اعادة ارسال كلمة السر وهيمشفره؟؟
MD5:يتأكد فقط ان username و password صح
DES:عملية encrypt
AH:التأكد من سلامة البيانات
DH2:???????
واسف انا غلبتك :-))
وزي ما ارحت عقلي في النقاط السابقه
ارح عقلي في هذه النقطه :-))
(انا ناوي ابدأ CCNP ان شاء الله كمان اسبوع
وناوي قبلها اكون فاهم كل حاجه في ال ccna وال security)
فشكرا على مساعدتك
رد: سؤال: IKE phase>>IPsec
حسنا ساحاول ان ابسط اكثر
من اساسيات الحمايه كما يعرف الجميع عامل مهم جدااا و يسمى confidentiality و السرية , ما معنى هذا الكلام ؟
تحقيق اول مبادىء الحمايه يجب ان يتوفر security mechanism تضمن لنا سرية المعلومات و فى حالتنا هذه سنختار ال encryption ليضمن لنا سرية البيانات المرسله و المستقبله , ما هو التشفير او ال encryption ?
ببساطة هى عمليه تشوية للبيانات لكى لا يستطيع قرأتها احد غير مصرح له بذلك , و لنشفير البيانات يجب ان يتوفر لنا شىء يسمى Encryption Key و هى قيمة تساعد فى تشفير البيانات , فمثلا عندنا key قيمته "cisco123456" عندما نقوم بتشفير نص مثل "arabhardware" سيكون النص المشفر او cipher text كالاتى " Ad&bShS6%SxBsdkd بينما لو قمنا بعمليه التشفير بمفتاح اخر سيختلف النص المشفر تماما
و ايضا نستخدم نفس المفتاح الذى قمنا بتشفير البيانات به بفك التشفير
اذا اهم شىء فى هذه العمليه هو حمايه هذا ال key لانه لو عرفه احد فلا فائده من عمليه التشفير هذه نهائيا
و يجب ان يتوفر عندنا mechanism اتغير هذا ال key بطريقة اتوماتيكية كل فترة و ايضا يتم ذلك بسرية
و هذا ما يحققه لنا خوارزميه DH
لنفترض انه يوجد لدينا 2 روتر متصلين عبر ال vpn
R1 --------- InterNet ----------R2
و منطقه الانترنت هذه منطقه خطرة تعج بالهكر و المخترقين و كل شىء و مع ذلك نحن نريد ان نستخدمه كوسيله اتصال بين الطرفين و فى نفس الوقت نضمن سرية المعلومات المتراسله تمام ؟
اذا ليس امامنا الا حل ال encryption لضمان سرية المعلومات , فحتى لو حصل الهكر عليها سيجدها مشفرة و لن يفهم منها شىء
ولكن يوجد مشكله بسيطة هنا يجب ان يتفق كلا الطرفين على key واحد يستخدمه الطرفين فى التشفير و فك التشفير فكيف سيتفق الطرفان على نفس ال key ?
من الممكن ان يقوم R1 بان يرسل ل R2 ال key و يقول له استخدم هذا ال key فى عمليه التشفير و فك التشفير
ولكن نفترض ان الهكر يصنت علينا فى هذه الحاله سيستطيع الهكر الحصول على ال key و يستطيع ايضا استخدامه فى فك التشفير اذا نحن هكذا لم نفعل اى شىء !!!
هنا ياتى دور ال DH و هى و خوارزميه تقوم بتبادل بعض الارقام فى كلا الطرفين (يستطبع الهكر معرفتهم) و من ثم ادخال هذه الارقام فى عمليات حسابيه
تقوم بتوليد ال KEY فى كلا الطرفين متاشبه
مع ان الهكر قد يستطيع الحصول على هذه الاراقم الا انه من المستحيل حتى هذه اللحظة معرفه هذا ال KEY و لتفهم هذا التناقض يمكنك ان تطلع على طريقة عمل الخوارزميه على االانترنت لتفهم الفكرة
ارى انك تخلط بين عمليه التشفير و عمليه ال authentication التى قد تستخدم ال CERTIFICATE بها
اتمنى ان اكون وفقت فى شرح الفكرة
تحياتى ,,,
رد: سؤال: IKE phase>>IPsec
ياااه
شكرا جدا يا بشمهندس
حضرتك فكيت عندي لبس
وضحلي الامور كلها
تسلم ايدك :-))
ومعلش تعبتك وجزاك الله كل خير
و يسر لك الصعاب ان شاء الله
احمد امييييين :-)))))))))))))