30 Aralık 2009 Çarşamba

IPsec NEDIR?

     Ipsec(Internet Protokol Security) standardı IP protokolünün ihtiyaç duyduğu      aşağıdaki  güvenlik ihtiyaçlarını karşılamak için geliştirilmiş bir yapıdır.
   1. IP adresini taklit etmek kolay (Kimlik doğrulama sorunu)
         2.Veri paketlerini değiştirmek kolay (Bütünlük, tekrarlama güvenliği ile beraber)
         3.Veri trafiğini izlemek kolay (Gizlilik ihlali)   
     Bu güvenlik ihtiyaclarının karşılanmasında Ipsec in rolü    verilerin şifreleme yöntemi ile güvenliğinin sağlanması ve doğrulama mekanizmalarının işletilmesidir. 

     Ipsec bu ihtiyaçları karşılamak için iki adet moda sahiptir, bu modlar:  tünel ve taşıma modlarıdır gelin bu modlara biraz göz atalım.  

     Tunel Modunda;  IP datagramı IPsec protokolünü kullanarak  yeni bir IP datagramı tarafından tamamen kapsüllenerek güvenlik sağlanırken ,taşıma modunda IP datagramının sadece kullanıcı verisi (payload) IPsec protokolü tarafından IPsec başlığı IP başlığı ile daha üst katman protokol başlığı arasına yerleştirilerek güvenlik sağlanır.Aşağıdaki resimde bu modların IP paketlerinin transferinde nasıl bir yöntem kullandıkları gösterilmektedir.






                               

    Peki Ipsec protokol ailesinde bulunan protokoller nelerdir?  AH(Authentication Header)  ve Esp(Encapsulating Security Payload)  protokolleri IPsec protokol ailesinin üyeleridir.AH  data akışını doğrulamak için kullanılan bir protokoldür, IP paketinde bulunan veriden MAC oluşturmak için kriptografik hash fonksiyonu kullanır ve elde edilen MAC karşı tarafa mesajın bütünlüğünün korunduğunun anlaşılması için orijinal paketle birlikte iletilir .ESP ise IP paketinin hem şifrelenmesi hem de doğrulanması için kullanılır  ESP protokolü IP paketinin sadece şifrelenmesi veya sadece doğrulanması için de kullanılabilir.
   Ipsec in en önemli adımların biri olan kimlik kanıtlama nasıl sağlanır  ve bunun icin    kullanılan metotlar nasıl belirlenir diyecek olursak, IPSec kullanacak olan sistemlerde hangi kimlik doğrulama metodunun kullanılacağı önceden belirlenmedir, IPSec üç farklı Kimlik   Doğrulama Metodu kullanır ve bu metotlar:  
      1. Kerberos (Widows domain yapısı grektirir)
      2.X.509 Sertifikaları (Sertifikasyon otoritesi gerektirir)
      3.Preshared Key (Önceden tanımlanmış şifre gerektirir)  olmak uzere 3 çesittir.   

   Bu kısa bilgilerden sonra gelin Ipsec in calısma mekanizmasını kısaca inceleyelim:Ipsec protokolleri IP datagramlarının bütünlüğünü korumak için hash mesaj doğrulama kodlarını (HMAC) kullanır. MD5 ve SHA gibi hash algoritmaları kullanarak IP datagramı ve bir gizli anahtarı temel alan HMAC'i çıkartırlar. Daha sonra bu HMAC IPsec protokol başlığına eklenir ve paketin alıcısı eğer gizli anahtara erişimi varsa bu HMAC'i kontrol edebilir.Bu islemi yapabilmek icin eşlerin gizli anahtarı, algoritmaları ve iletişimde izin verilen IP adreslerini saklamak için bir yönteme ihtiyaçları vardır. IP datagramlarının korunması için ihtiyaç duyulan bütün bu parametreler bir güvenlik anlaşmasında (security association) (SA) saklanır. Güvenlik anlaşmaları sırayla güvenlik anlaşmaları veritabanında (SAD) saklanırlar.Her bir güvenlik anlaşması aşağıdaki parametreleri tanımlar: 
    1.Oluşan IPsec başlığının hedef ve kaynak IP adresleri. Bu adresler paketleri koruyan IPsec eşlerinin IP adresleridir.
    2.—IPsec protokolü (AH veya ESP), bazen sıkıştırma (IPCOMP) da desteklenir.  
    3.IPsec protokolünün kullandığı gizli anahtar ve protokol. 
    4.Güvenlik Parametre Dizini (Security Parameter Index - SPI). Bu güvenlik anlaşmasını   belirleyen 32-bit bir sayıdır. 
    örnek vermek istersek " add 10.0.0.11 10.0.0.216 ah 15700 -A hmac-md5 "1234567890123456"  bir Sa ornegidir.
    Peki Ipsec nerelerde kullanılır? Ipseci ağ geçitleri arasında, sunucu ve ağ  geçidi  arasında       kullanarak :   Network Monitoring/Sniffing, Denial of Service (DOS), Address Spofing gibi  saldırılardan korunmuş oluruz.

0 yorum: