آموزش CCNA Security به زبان پارسی

[EVERAL]

(Public Key Cryptography Standard(PKCS
برای PKI تعدادی استاندارد وجود دارد که برای کار با Digital Certificateها استفاده می‌شود که شامل موارد زیر می‌باشد:
- PKCS#10
برای این استاندارد فرمتی برای Certificate Request می‌باشد.
- PKCS#7
این استاندارد فرمتی برای Response به Certificate Request از طرف CA می‌باشد به عبارت دیگر نقطه مقابل PKCS#10 می‎باشد.
- PKCS#1
استانداردی برای RSA Cryptography می‌باشد.
- PKCS#12
فرمتی برای ذخیره هر دو کلید Public و Private می‌باشد که توسط یک پسورد Symmetric می‌توان آن را Unlock کرد.
- PKCS#3
فرمتی برای تبادل کلیدها توسط Diffe-Hellman می‌باشد.

(Simple Certificate Enrollment Protocol(SCEP
یکی از پروتکل‌های شرکت Cisco می‌باشد که با استفاده از آن می‌توان عملیات Request و Install یک Certificate را از یک CA به صورت اتوماتیک انجام داد.
در شکل زیر می‌توانید نحوه کار SCEP را مشاهده کنید.

Revoked Certificates
برای مشاهده Certificate‌هایی که باطل یا Revoke شده‌اند بایستی لیست CRL را با استفاده از پروتکل HTTP و LDAP بررسی کنیم به عبارت دیگر به صفحه HTTP یک CRL رفته و با استفاده از پروتکل LDAP بایستی به صورت Manual عمل جستجو Certificate را انجام دهیم.
در شکل زیر می‌توانید دلایلی که می‌تواند باعث شود که یک Certificate باطل یا Revoke شود را مشاهده کنید.



Online Certificate Status Protocol
پروتکلی است که با استفاده از آن می‌توان به صورت Online وضعیت یک Certificate را بر اساس Serial Number آن بررسی کرد و دیگر نیازی به بررسی تمام لیست نمی‌باشد و خود این پروتکل عملیات جستجو را برای ما انجام می‌دهد.
در شکل زیر می‌توانید ساختار OCSP را مشاهده کنید.

(Authentication,Authorization,Accounting(AAA
عملیات بررسی Revoke Certificate‌ها را می‌توان توسط Cisco AAA نیز انجام داد ولی از آنجایی که این روش مختص شرکت سیسکو می‌باشد اغلب در PKI استفاده نمی‌شود.
Use For Digital Certificate
کاربرد Certificate شامل موارد زیر است:
- HTTPS یا (SSL (Secure Soket Layer
بیشتر در صفحات بانکی استفاده می‌شود.
- IPSEC VPN
بیشتر در قسمت Authentication میان سایت‌ها استفاده می‌شود.
- 802.1x
برای Authentication یک کاربر استفاده می‌شود.

PKI Topologies
انواع توپولوژی‌هایی که در PKI استفاده می‌شود شامل موارد زیر می‌باشد:

- Single Root
در این توپولوژی یک Root CA وجود دارد که وظیفه اختصاص Certificate را برعهده دارد که برای Scale‌های کوچک مناسب می‌باشد.
در شکل زیر می‌توانید ساختار Single Root CA را مشاهده کنید.

Hierarchical CA and Subordinate CA
در این توپولوژی شما یک Root CA و چندین Subordinate CA دارید که Subordinate CA‌ها Certificate خود را از Root CA می‌گیرند و Clientها نیز Certificate خود را از Subordinate CA می‌گیرند و شما برای Authentication یک CA نیاز به Certificate و Root دارید علاوه بر آن نیز نیاز به Certificate Subordinate دارید.
این توپولوژی بیشتر در سازمان‌های بزرگ استفاده می‌شود.
در شکل زیر Hierarchical CA را مشاهده می‎کنید:

Cross-Certifying CA
در این نوع توپولوژی یک Trust Relationship میان CA‌ها وجود دارد که باعث می‌شود از Certificate یک یا چندین CA دیگر نیز در ساختار خود استفاده کنیم.
در شکل زیر می‌توانید نحوه عملکرد Cross-Certifying CA را مشاهده کنید.

در مبحث آموزشی بعدی؛ اقدام به پیاده‌سازی یک سناریو عملی جهت راه‌اندازی یک CA Server برروی Cisco Router می‌کنیم؛ که هر SITE بایستی بتوانند CA Server را Authenticate کنند و در مرحله بعد بتوانند یک Certificate از CA نیز Enroll کنند و همچنین بایستی یک Identity Certificate از CA بتوانند دریافت کنند که این Certificate در سناریوهای بعدی برای اجرا و پیاده‌سازی IPSEC و یا SSL قابل استفاده خواهد بود.

[EVERAL]

Scenario Implement Cisco CA Server

در این سناریو قصد داریم برروی Cisco Router یک CA Server راه‌اندازی کنیم به نحوی که هر سایت باید CA Server را Authenticate کنند و در مرحله بعد بایستی یک Certificate از CA درخواست یا Enroll کنند و در مرحله آخر نیز بایستی یک Identity Certificate از CA دریافت کنند که این Certificate در سناریوهای بعدی برای پیاده‌سازی IPSEC و یا SSL قابل استفاده می‌باشد.

در سناریوهای PKI شما بایستی حتما از NTP برای Sync زمان میان تجهیزات استفاده کنید در این مرحله بایستی تنظیمات مربوط به IP Address سرور CA را انجام دهید.



در این مرحله باید تنظیمات مربوط به IP Address روتر R1 را انجام دهید.

در این مرحله باید تنظیمات مربوط به IP Address روتر R2 را انجام دهید.

در این مرحله باید چک کنید که آیا CA Server به روتر 1 و روتر 2 دسترسی دارد یا خیر؟



در این مرحله بایستی برای CA Server یک Key Pair تولید کنید.

در این مرحله بایستی Key Pair CA را در محل دیگر Export کنید تا در هر زمانی قابل دسترس باشد.

در این مرحله بایستی HTTP Server را برروی سرور فعال کنید.

در این مرحله بایستی مشخصات CA Server را پیکربندی کنید.

در این مرحله شما می‌توانید وضعیت Certificate مربوط به CA Server را مشاهده کنید.

در این مرحله بایستی در روتر 1 مشخصات CA Server را مشخص کنیم.

در این مرحله بایستی Certificate CA را Authenticate کنید.

در این مرحله بایستی برای روتر 1 یک Certificate از CA Server درخواست یا Enroll کنید.

در این مرحله شما می‌توانید Certificate روتر 1 را مشاهده کنید.

در این مرحله شما می‌توانید مانند روتر 1 نسبت به پیکربندی روتر 2 اقدام نموده و تست Verify بگیرید.

[esfehani]

سلام ، خیلی جامع و خوب توضیح دادید ، ممنون از شما

[EVERAL]

پروتکل IPSEC یکی از بهترین انواع VPN به حساب می‎‌آید که می‌توان آن را به صورت Site-to-Site یا Remote Access پیاده‌سازی کرد.
The Goal Of IPSEC
در شکل زیر می‌توانید مثالی از Topology IPSEC را مشاهده کنید.

در شکل زیر می‌توانید IPsec Stack را مشاهده کنید.

به صورت کلی می‌توان اهداف استفاده از IPsec را به صورت زیر دسته بندی کرد:
- Confidentiality
یکی از اهداف استفاده از IPsec رمز کردن اطلاعات با استفاده از الگوریتم‌های Encryption می‌باشد.
- Data Integrity
یکی دیگر از اهداف استفاده از IPsec تضمین کردن صحت دیتا با استفاده از الگوریتم‌های Hashing می‌باشد.
- Peer Authentication
یکی دیگر از اهداف استفاده از IPsec احراز هویت سمت مقابل با استفاده از متدهای Pre-Shared Key و یا RSA Digital Certificate می‌باشد.
- Antireply
یکی دیگر از اهداف استفاده از IPsec جلوگیری از Capture اطلاعات توسط یک Hacker و Replay آن به سمت یک Peer می‌باشد.
The Internet Key Exchange Protocol
پروتکل IPsec از دو قسمت تشکیل شده است:
Control Plane
در IPsec قسمت IKE عملیات کنترلی را انجام می‌دهد از IKE برای ایجاد بستر امن استفاده می‌شود.
Data Plane
در IPsec قسمت Ipsec عملیات Data Plane را انجام می‌دهد و از IPsec برای ایجاد امنیت دیتا استفاده می‌شود.
IPsec یک Framework است که شامل Header های زیر می‌باشد:
- AH
- ESP
در شکل زیر می‌توانید تفاوت این Header ها را مشاهده کنید:

در شکل زیر می‌توانید ساختار IPsec Framework را مشاهده کنید.
IKE شامل دو Version زیر می‌باشد:
- IKE Version1
IKE Version1 یک ساختار یا Framework می‌باشد که این Framework شامل پروتکل‌های زیر می‌باشد:
- ISAKMP
- OAKLEY
- SKEME
این پروتکل‌ها در IKE ver 1 برای ایجاد یک بستر امن استفاده می‌شود.
- IKE Version2
در IKE Version2 تعداد Packetها و نوع Encapslation متفاوت IKE Version1 است در IKE Version2 فاز یک و دو از چهار Packet استفاده می‌کنند.
از IKE برای Negotiation میان دو سایت استفاده می‌شود و از فازهای زیر تشکیل شده است:
- IKE Phase 1
این فاز برای ایجاد یک بستر امن برای Negotiate فاز دو می‌باشد.
IKE Phase 1 از دو Mode زیر استفاده می‌شود:
* Main Mode
در Site-to-Site VPN بیشتر از Main Mode استفاده می‌شود، در Main Mode از شش Packet زیر استفاده می‌شود:
- (Security Association (SA
به معنی توافق امنیتی است؛ به عبارت دیگر دو طرف بایستی با هم توافق امنیتی بکنند در این مرحله دو طرف بایستی سر مسائل زیر با هم توافق کنند:
Encryption
در این مرحله دو طرف بایستی سر الگوریتم Encryption با هم به توافق برسند برای مثال دو طرف از الگوریتم 3DES و یا AES استفاده کنند.
Authentication
در این مرحله دو طرف بایستی سر پروتکل Authentication با هم به توافق برسند برای مثال دو طرف از RSA Signature استفاده کنند و یا از Pre-Share Key استفاده کنند.
Hashing
در این مرحله دو طرف باستی سر الگوریتم Hashing با هم به توافق برسند برای مثال دو طرف از MD5 یا Sha-1 استفاده کنند.
Key Exchange
در این مرحله دو طرف بایستی سر الگورتیم Key Exchange با هم به توافق برسند برای مثال دو طرف از الگورتیم Diffe-Hellman استفاده کنند؛ الگوریتم Diffe-Hellman گروه‌های مختلفی دارد که تفاوت میان این گروه‌ها در سایز کلیدهایشان می‌باشد. به عبارت دیگر هر چه شماره گروه بزرگتر باشد سایز کلید نیز بزرگتر خواهد شد در نتیجه امنیت نیز بالاتر خواهد رفت. کلیدی که در الگوریتم Diffe-Hellman ایجاد و Exchange می‌شوئد کلیدی است که قرار است در الگوریتم Symmetric برای Encryption دیتا استفاده شود.
ما در IPsec ممکن است از دو کلید استفاده کنیم یکی کلیدی است که برای Encrypte کردن دیتا استفاده می‌شود و دیگری کلیدی که در متد Authentication به عنوان Pre-Shared Key استفاده می‌شود.
Lifetime
مدت زمان توافق را میان دو طرف مشخص می‌کند که به صورت پیش فرض یک روز می‌باشد.
این مرحله شامل دو Packet است.
- Diffe-Hellman
این مرحله نیز شامل دو Packet می‌باشد.
- Authentication
این مرحله نیز شامل دو Packet می‌باشد که در این مرحله دو طرف یکدیگر را Authenticate می‌کنند.
در مکانیزم Main Mode از شش Packet برای انجام فاز IKE1 استفاده می‌شود به عبارت دیگر بعد از اتمام فاز 1 ما به یک بستر امن خواهیم رسید که در این بستر ما می‌توانیم با سمت مقابل بر سر امن کردن دیتا توافق کنیم.
در شکل زیر می‌توانید Packet هایی که در IKE Phase1 میان سایت‌ها در Main Mode منتقل می‌شوند را مشاهده کنید.

[EVERAL]

Aggressive Mode
در Remote Access VPN بیشتر از Aggressive Mode استفاده می‌شود.
IKE Phase 2
در این فاز نحوه Negotiation میان دو سایت انجام می‌شود.
در این فاز مرحله زیر انجام می‌شود:
- (Security Association(SA
در این مرحله بایستی مشخص شود که از میان ESP و AH کدام یک استفاده می‌شود و در هر کدام از چه الگوریتمی برای Encryption و یا HMAC استفاده شود.
به فاز یک IKE SA می‌گویند و به فاز دو IPSEC SA می‌گویند؛ به فاز دو Quick Mode هم گفته می‌شود که با Packet 3 انجام می‌شود. بنابراین فاز یک و دو با Packet 9 انجام می‌شود. بعد از اینکه فاز یک و دو انجام شد در IPSec دیتا Secure خواهد شد.
در IPsec از دو Mode زیر استفاده می‌شود:
1- Tunnel Mode
زمانی از Mode استفاده می‌شود که قرار است دو سایت یکدیگر را ببینند و از طرف دیگر دیتای میان آن‌ها امن باشد.
2- Transport Mode
زمانی از این Mode استفاده می‌شود که دو سایت یکدیگر را می‌بینند و فقط قرار است دیتای میان آن‌ها امن شود برای مثال دو سایت از طریق MPLS VPN با یکدیگر ارتباط دارند و فقط قرار است دیتای میان آن‌ها امن شود.
در شکل زیر می‌توانید تفاوت میان Tunnel Mode و Transport Mode را مشاهده کنید.


در شکل زیر می‌توانید ساختار Header IPsec را در حالت‌های Tunnel و Transport مشاهده کنید.

تفاوت میان ESP و AH
در ESP عملیات زیر برروی دیتا انجام می‌شود:
- Confidentiality
- Data Integrity/Authentication
- Anti-Replay
در AH عملیات زیر برروی دیتا انجام می‌شود:
- Data Integrity/Authentication
- Anti-Replay
برای کلیه توافق‌های انجام شده در هر دو طرف در فاز دو یک SPI به صورت Random ایجاد می‌شود که اشاره به الگوریتم‌های Encryption و Authentication و غیره دارد که در زمانی که شما یک دیتای رمز شده را به سمت مقابل ارسال می‌کنید این SPI نیز برای سمت مقابل ارسال می‌شود که سمت مقابل بر اساس این SPI می‌فهمد که از چه الگوریتم‌های برای Decryption و یا Hashing بایستی استفاده کند.
در هر طرف یک دیتابیسی به نام SAD وجود دارد که این SPI‌ها به همراه توافق‌های انجام شده آن‌ها در آن وجود دارد.

Chapter 7 Implementing IPsec Site-to-Site VPNs

در شکل زیر می‌توانید نحوه پیاده‌سازی IPsec را به صورت Site-To-Site مشاهده کنید.

پروتکل‌هایی که برای پیاده‌سازی IPsec مورد نیاز است شامل موارد زیر می‌باشد:
- UDP Port 500
از این پروتکل در IKE version 1 برای Negotiate میان دو سایت استفاده می‌شود و بایستی این پورت برروی فایروال‌های میانی باز شود.
- UDP Port 4500
در صورتی که میان دو سایت از NAT استفاده شده باشد IPSEC کار نخواهد کرد و دلیل آن این است که پروتکل IPsec در لایه IP کار می‌کند و در زمان Translation بدلیل اینکه پورتی برای Translation وجود ندارد به مشکل خواهد خورد که برای حل این مشکل از Nat Traversal استفاده می‌شود که در در این حالت یک پورت UDP 4500 میان ESP و IP Header اضافه می‌کند تا NAT برروی IPsec انجام شود این قابلیت به صورت پیش فرض فعال می‌باشد.
- Layer 4 Protocol 50
این پروتکل برای Encapsulation و Decapsulation در IPsec Packet ها استفاده می‌شود که این عملیات توسط Encapsulation Security Payload یا ESP انجام می‌شود.
- Layer 4 Protocol 51
این پروتکل به Authentication Header یا AH معروف است که در IPSEC استفاده می‌شود بدلیل اینکه فاقد Encryption در IPsec می‌باشد از آن استفاده نمی‌شود و بجای آن از ESP استفاده می‌شود.

در قسمت بعد به ایجاد یک سناریو میان دفتر مرکزی Central Office که از طریق یک ASA Firewall برای لایه دفاعی استفاده کرده است و Branch آن سازمان که از یک Router IOS استفاده کرده است یک Site-To-Site IPsec VPN راه اندازی می‌کنیم.

[EVERAL]

سناریو شماره 1:
در این سناریو قصد داریم که میان Central Office که دفتر مرکزی یک سازمان می‌باشد و از یک ASA Firewall برای لایه دفاعی استفاده کرده است و Branch آن سازمان که از یک Router IOS استفاده کرده؛ یک Site to Site IPSec VPN راه‌اندازی کنیم.
در ابتدا برای ایجاد سناریو به IP Address UNL از طریق WEB متصل می‌شویم، همانطوری که در شکل زیر مشاهده می‌کنید:


در این مرحله برای ورود به UNL بایستی از Username admin و Password unl استفاده کنید و سپس برروی دکمه login کلیک کنید؛ همانطوری که در شکل زیر مشاهده می‌کنید:


در این قسمت باید یک Folder برای پروژه خود تعریف کنید؛ همانطوری که در شکل زیر مشاهده می‌کنید:

در این قسمت یک نام برای پروژه خود در نظر بگیرید؛ همانظوری که در شکل زیر مشاهده می‌کنید:



در درون Folder پروژه یک LAB جدید ایجاد کنید؛ همانظوری که در شکل زیر مشاهده می‌کنید:



در این قسمت باید یک نام برای LAB خود ایجاد کنید؛ همانطوری که در شکل زیر مشاهده می‌کنید:



در این قسمت برروی LAB خود کلیک کرده و سپس برروی دکمه Open کلیک کنید تا پروژه باز شود؛ همانطوری که در شکل زیر مشاهده می‌کنید:



برای اضافه کردن ASA Firewall برروی گزینه Add an Object کلیک کنید؛ همانطوری که در شکل زیر مشاهده می‌کنید:





در این قسمت از لیست Template باید Cisco ASA را انتخاب کنید؛ همانطوری که در شکل زیر مشاهده می‎کنید:



در این قسمت برروی دکمه Save کلیک کنید؛ همانطوری که در شکل زیر مشاهده می‎کنید:



در این قسمت برای اضافه کردن Router به پروژه خود برروی گزینه Add on Object کلیک کنید؛ همانظوری که در شکل زیر مشاهده می‌کنید:





در این قسمت باید از لیست Template روتر مورد نظر را انتخاب کنید؛ همانظوری که در شکل زیر مشاهده می‎کنید:



در این قسمت بعد از انتخاب روتر در قسمت Slot 1 ماژول مورد نظر را انتخاب کنید و سپس دکمه Save را بزنید؛ همانظوری که در شکل زیر مشاهده می‌کنید:



تمامی مراحل را برای اضافه کردن یک Router دیگر به پروژه انجام دهید؛ همانطوری که در شکل زیر مشاهده می‎کنید:





در این قسمت برای متصل کردن ASA به شبکه External باید یک Network به پروژه اضافه کنیم تا بتوانیم از طریق ASDM به آن متصل شویم.





در این قسمت برای متصل کردن روترها و ASA به هم از گزینه Connect در UNL استفاده می‌کنیم؛ همانطوری که در شکل زیر مشاهده می‌کنید: