سؤال: IKE phase>>IPsec

**Eng.AhmedAmin** · 23-03-2011, 02:47

السلام عليكم

ike phase 1 ikephase 2

انا شفت ناس بتشرحها على انهم منفصلين في التطبيق

وشفت الاغلب بيشرحها على ان احن بنعمل
isakmp
وبعدين لازم نعمل
transform-set

فانه الاصح؟؟؟

السؤال الثاني
R(config-crypto-map)#match address name

اكتب اسم ال
ACL او اكتب اسم ايه بالظبط

السؤال الاخير:
ايه بالظبط وظيفة ال DH
او يعني
anti-reply

شكرا جدا :-)

السلام عليكم

**sherif-magdy** · 23-03-2011, 11:49

السلام عليكم ورحمة الله

هذا الموضوع فعلا يشتت الكثير سأحاول ان ابسطه لك قدر ما استطيع

نبدأ بــ IKE Phase I :-
فى هذه المرحله تحدث ثلاثه اشياء مهمه فى عمليه تأمين البيانات
اولا يجب ان يتفق كلا الطرفين على Security Association و هى عباره عن مجموعه من الاعدادت تستخدم فى تامين المفاوضات اللاحقه فيما بعد وليس تامين ال Traffic نفسه - افهم الجمله السابقه جيدا
و يطلق لفظ ISAKMP Policy على هذه الاعدات عندما يتم عمل configuration لها على الراوتر

ثانيا يحدث ما يسمى بــ DH Key Exchange و هذه هى النقطة الاكثر تعقيدا فى الموضوع
اولا ما هو ال DH ؟
- عبارة عن خوارزميه تتحيح عمل shared-secret-key بطريقة غير مباشرة عبر بيئه غير امنه مثل الانترنت
هذا ما تريد منك سيسكو ان تعرفه و لكنه للاسف غير كافى و لفهم هذه العمليه ستدخل فى علم التشفير او ما يسمى Cryptography
فى هذا الجزء يبدأ الطرفان فى الاتفاق على رقمين غير سريان (اى يمكن لاى احد التصنت على العمليه وكشف هذه الارقام)
ويقوم كل peer باستخراج قيمة لل public key من هذين الرقمين و بعد ذلك و هنا السحر لمن لا يفقه شىء فى الرياضيات
سيستطيع كل peer استخراج shared-secret-key و سيكون هو نفس القيمة فى الجهه الاخرى
خلاصه هذا الكلام هو انه سيسقوم كل peer بعمل بعض العمليات الحسابيه ليكون الناتج متاشبه فى الناحيتين من دون ارسال شىء عن طريق الانترنت

و اخر شىء عمل authentication لل peer

اما بخصوص ike ohase II فهذه تتم حمايته بواسطة phase 1

السؤال الثاني

مكان name ستقوم بكتابه اسم الاكسيس لست التى ستحدد الترافيك الذى سيدخل ال tunnel

منتظر استفساراتك :D
نصيحه لفهم هذا الموضوع جيدا اسمع شرح jermey من cbtnugget فى منهج ccna sec R(config-crypto-map)#match address name

**ahab** · 23-03-2011, 12:35

المشاركة الأصلية كتبت بواسطة sherif-magdy

السلام عليكم ورحمة الله

ويقوم كل peer باستخراج قيمة لل public key من هذين الرقمين و بعد ذلك و هنا السحر لمن لا يفقه شىء فى الرياضيات
سيستطيع كل peer استخراج shared-secret-key و سيكون هو نفس القيمة فى الجهه الاخرى
خلاصه هذا الكلام هو انه سيسقوم كل peer بعمل بعض العمليات الحسابيه ليكون الناتج متاشبه فى الناحيتين من دون ارسال شىء عن طريق الانترنت

منتظر استفساراتك :D
نصيحه لفهم هذا الموضوع جيدا اسمع شرح jermey من cbtnugget فى منهج ccna sec R(config-crypto-map)#match address name

جزاك الله خيرًا أخي شريف

هل أنت متأكد من هذه المعلومة الملونة باللون الأحمر

ما أتذكره أنه يقوم كل راوتر بإنشاء public key و private key ويقوم كل راوتر بتبادل ال public مع الراوتر الآخر ويظل ال private دون نقل

يقوم كل راوتر باستخدام ال public المرسل له وعمل خلطة مع ال private لإنشاء ال shared-secret-key

هل هذا ما تقصده ؟

**Eng.AhmedAmin** · 23-03-2011, 12:39

شكرا يا بشمهندس
افهم من حضرتك ان احن بندمج ike 1 و ال ike 2

طيب وال DH حضرتك بسط طريقة عملها
ولكن الغرض من تشفيرها هو :
عدم استغلال ال hacker لكلمة السر المشفره
وكتابتها مثلا في secrt 5
اي بعد ما يسرق md5
لو حاول يكتبها من غير ما يفك الشفره
ال dh تمنعه

لان احن عندنا مثلا 3des تقوم بالتشفير
وال md5 تقوم بالتأكد من المرسل
وال esp تقوم بعملية التفاوض
اما ال dh تتأكد من عدم كتابة الكلمه المشفره
والانت شرحت هذه الية التنفيذ ؟!!
ان شاء الله اكون فهمتها :-))
--------------------------------------
سؤال اخر :-)))
كيف اطبق اوامر ال
tunnel and transport mode
على ال Router

----------------------------

السؤال الثاني
هل بال ipsec
لا يصبح فائده لل aaa
الا view
وشكرا جدا على مجهودك
والسلام عليكم ورحمة الله :-)

**Eng.AhmedAmin** · 23-03-2011, 12:40

السلام عليكم
شكرا لوجودك يا بشمهندس ايهاب
وانا اعتقد كمان الانت قلت عليه
هو ال CA

**sherif-magdy** · 23-03-2011, 15:04

المشاركة الأصلية كتبت بواسطة ahab

جزاك الله خيرًا أخي شريف

هل أنت متأكد من هذه المعلومة الملونة باللون الأحمر

ما أتذكره أنه يقوم كل راوتر بإنشاء public key و private key ويقوم كل راوتر بتبادل ال public مع الراوتر الآخر ويظل ال private دون نقل

يقوم كل راوتر باستخدام ال public المرسل له وعمل خلطة مع ال private لإنشاء ال shared-secret-key

هل هذا ما تقصده ؟

تمام ما اردت توضيحه هو عدم وجود ارسال مباشر لل shared-secret-key من طرف الى طرف اخر عن طريق تشفيرة بال private-key و ارساله
بل هو كما قلت يتم ادخال ال public الخاص بال peer مع ال private الخاص فى عمليه حسابيه ليكون الناتج فى النهايه متاشبه فى كلا الناحيتين
من دون ارسال ال shared-key نفسه

**sherif-magdy** · 23-03-2011, 15:19

كيف اطبق اوامر ال
tunnel and transport mode
على ال Router

----------------------------

السؤال الثاني
هل بال ipsec
لا يصبح فائده لل aaa
الا view

بالنسبه للاوامرة ستجدها فى الكثير من الكتب
عموما ستكون كالاتى :-

Router(config)#crypto ipsec transform-set TRANSFORM esp-3des
Router(cfg-crypto-trans)#mode tunnel
OR
Router(cfg-crypto-trans)#mode transport

بالنسبه لل AAA فلا يمكن ان تقول انها ليس لها فائده مع ال VPN , قد لا تجد موضوع لا يمكن تطبيقه مع ال AAA
و يمكن استخدامها فى تطبيقات متقدمة على سبيل المثال REMOTE-ACCESS vpn مع ال Xauth

بالنسبه للجزء الاول من السوال فعفوا لم افهمه اتمنى توضيح السوال

**Eng.AhmedAmin** · 23-03-2011, 17:04

شكرا يا بشمهندس

انا اقصد بالجزء الاول هو ما فهمته انا
فعرضته لتأكد من صحته

يعني الانت كتابته هذا الية تنفيذ
زي ال PKI او SCEP
في ال IPsec

الهو كمان ممكن يتضمن شرح لل
certificates

السؤال:
ما هي وظيفت ال DH بالظبط(وليست الية تنفيذه)

هل يمنع ال hacher من اعادة ارسال كلمة السر وهيمشفره؟؟

MD5:يتأكد فقط ان username و password صح
DES:عملية encrypt
AH:التأكد من سلامة البيانات
DH2:???????

واسف انا غلبتك :-))
وزي ما ارحت عقلي في النقاط السابقه
ارح عقلي في هذه النقطه :-))

(انا ناوي ابدأ CCNP ان شاء الله كمان اسبوع
وناوي قبلها اكون فاهم كل حاجه في ال ccna وال security)

فشكرا على مساعدتك

**sherif-magdy** · 23-03-2011, 19:17

حسنا ساحاول ان ابسط اكثر

من اساسيات الحمايه كما يعرف الجميع عامل مهم جدااا و يسمى confidentiality و السرية , ما معنى هذا الكلام ؟
تحقيق اول مبادىء الحمايه يجب ان يتوفر security mechanism تضمن لنا سرية المعلومات و فى حالتنا هذه سنختار ال encryption ليضمن لنا سرية البيانات المرسله و المستقبله , ما هو التشفير او ال encryption ?
ببساطة هى عمليه تشوية للبيانات لكى لا يستطيع قرأتها احد غير مصرح له بذلك , و لنشفير البيانات يجب ان يتوفر لنا شىء يسمى Encryption Key و هى قيمة تساعد فى تشفير البيانات , فمثلا عندنا key قيمته "cisco123456" عندما نقوم بتشفير نص مثل "arabhardware" سيكون النص المشفر او cipher text كالاتى " Ad&bShS6%SxBsdkd بينما لو قمنا بعمليه التشفير بمفتاح اخر سيختلف النص المشفر تماما
و ايضا نستخدم نفس المفتاح الذى قمنا بتشفير البيانات به بفك التشفير
اذا اهم شىء فى هذه العمليه هو حمايه هذا ال key لانه لو عرفه احد فلا فائده من عمليه التشفير هذه نهائيا
و يجب ان يتوفر عندنا mechanism اتغير هذا ال key بطريقة اتوماتيكية كل فترة و ايضا يتم ذلك بسرية
و هذا ما يحققه لنا خوارزميه DH
لنفترض انه يوجد لدينا 2 روتر متصلين عبر ال vpn

R1 --------- InterNet ----------R2

و منطقه الانترنت هذه منطقه خطرة تعج بالهكر و المخترقين و كل شىء و مع ذلك نحن نريد ان نستخدمه كوسيله اتصال بين الطرفين و فى نفس الوقت نضمن سرية المعلومات المتراسله تمام ؟
اذا ليس امامنا الا حل ال encryption لضمان سرية المعلومات , فحتى لو حصل الهكر عليها سيجدها مشفرة و لن يفهم منها شىء
ولكن يوجد مشكله بسيطة هنا يجب ان يتفق كلا الطرفين على key واحد يستخدمه الطرفين فى التشفير و فك التشفير فكيف سيتفق الطرفان على نفس ال key ?
من الممكن ان يقوم R1 بان يرسل ل R2 ال key و يقول له استخدم هذا ال key فى عمليه التشفير و فك التشفير
ولكن نفترض ان الهكر يصنت علينا فى هذه الحاله سيستطيع الهكر الحصول على ال key و يستطيع ايضا استخدامه فى فك التشفير اذا نحن هكذا لم نفعل اى شىء !!!
هنا ياتى دور ال DH و هى و خوارزميه تقوم بتبادل بعض الارقام فى كلا الطرفين (يستطبع الهكر معرفتهم) و من ثم ادخال هذه الارقام فى عمليات حسابيه
تقوم بتوليد ال KEY فى كلا الطرفين متاشبه
مع ان الهكر قد يستطيع الحصول على هذه الاراقم الا انه من المستحيل حتى هذه اللحظة معرفه هذا ال KEY و لتفهم هذا التناقض يمكنك ان تطلع على طريقة عمل الخوارزميه على االانترنت لتفهم الفكرة

ارى انك تخلط بين عمليه التشفير و عمليه ال authentication التى قد تستخدم ال CERTIFICATE بها

اتمنى ان اكون وفقت فى شرح الفكرة

تحياتى ,,,

**Eng.AhmedAmin** · 23-03-2011, 20:03

ياااه
شكرا جدا يا بشمهندس
حضرتك فكيت عندي لبس
وضحلي الامور كلها

تسلم ايدك :-))

ومعلش تعبتك وجزاك الله كل خير
و يسر لك الصعاب ان شاء الله
احمد امييييين :-)))))))))))))