امنیت اَمنِت

در طراحی المانهای سیستم عامل امنت، قسمت مجزایی برای مدیریت سیستم در نظر گرفته شده است که تمامی سرویسهای مدیریتی در این فضا محبوس می شود. و این امر باعث میشود که سرویسهای درون روتر از شر دیگران در امان باشد. دسترسی به این سرویسها فقط از طریق شبکه اختصاصی مدیریتی امکان پذیر است.

security

در طراحی اَمنِت، تمامی تنظیمات ریشه امنیتی در یک سیستم طراحی امنیتی Offline قرار گرفته شده است و مدیر محلی نودها نمی تواند تنظیمات امنیتی را تغییر دهد. در سیستم امنیتی مرکزی المانهای زیر ایجاد می گردد:

PKI

در نرم افزار مدیریت امنیتی مرکزی یک ساختار کلید عمومی ایجاد میگردد که برای امنیت اتصالات TLS مربوط به Control Plane بین نودها و همچنین برای امنیت ارتباط TLS سرویسهای وبی مورد استفاده قرار میگردد. قسمت های زیر در این نرم افزار ایجاد می گردد:

  1. کلید ریشه PKI کل شبکه: قسمت عمومی این کلید توسط دانگل به تمامی نودها منتقل میگردد و همچنین برای Browser مدیر شبکه نیز باید مورد استفاده قرار گیرد.

  2. کلید PKI هر نود: این کلید که توسط کلید ریشه (البته کلید مرحله ۱) امضا می گردد به طور کامل(قسمت عمومی و قسمت خصوصی) درون دانگل قرار گرفته و به نودها منتقل میگردد.

  3. کلید PKI هر کاربر: این کلید که توسط کلید ریشه (البته کلید مرحله ۱) امضا می گردد به طور کامل(قسمت عمومی و قسمت خصوصی) درون دانگل قرار گرفته و مورد استفاده برنامه کاربر قرار می گیرد.

pki

ساختار تایید هویت نودها

گرچه ارتباط بین نودها توسط TLS و به صورت امن صورت میگیرد ولی برای تایید هویت هر نود در زمان اتصال به نودهای هماهنگ کننده در Control Plane تایید هویت جداگانه ای انجام می شود که ساختاری شبیه به PKI دارد. تمامی کلیدها دارای دو قسمت خصوصی و عمومی هستند. قسمت خصوصی که باید مخفی بماند ولی قسمت عمومی دارای اطلاعات Authorization نیز می باشد.

این ساختار دارای المانهای زیر است:

  1. کلید اصلی کل شبکه: این کلید که قسمت عمومی آن در تمامی نودها قرار میگیرد برای امضای کلید مرحله ۱ مورد استفاده قرار میگیرد.

  2. کلید های مرحله ۱ : قسمت عمومی این کلید که توسط کلید اصلی امضا شده در تمامی نودها قرار می‌گیرد.

  3. کلید تایید هویت: این کلید که توسط یک کلید مرحله ۱ امضا میشود حاوی اطلاعات هویتی و محدودیتهای کاربر نیز میباشد. این کلید به ازای هر نود یا کاربر، جداگانه تولید می‌شود و هر دو قسمت عمومی و خصوصی آن به نود مربوطه یا کاربر منتقل می‌گردد.

authorization

WireGuard

WireGuard یک VPN بسیار ساده و در عین حال سریع و مدرن است که از رمزنگاری پیشرفته استفاده می کند. این پروتکل سریع‌تر، ساده‌تر، چابک‌تر و مفیدتر از IPsec می‌باشد. البته عملکرد بسیار بهتری نسبت به OpenVPN دارد. در حال حاضر این پروتکل به عنوان امن ترین، سهل‌ترین و ساده ترین راه حل VPN در صنعت می‌باشد.

هر تونل WireGuard برای اتصال فقط نیاز به داشتن موارد زیر است:

  1. کلید عمومی و خصوصی نود محلی

  2. کلید عمومی و آدرس IP طرف مقابل

مابقی موارد توسط WireGuard مدیریت می‌شود. WireGuard از ساختار رمزنگاری پیشرفته زیر استفاده میکند:

  • پروتکل Noise

  • الگوریتم های : Curve 25519 و ChaCha20 و Poly1305 و BLAKE2 و SipHash24 و HKDF

این انتخاب‌ها با دقت محافظه‌کارانه و منطقی انجام شده و توسط رمزنگاران بررسی شده است.