Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Internet Katmanı Güvenlik Protokolleri

YayınlayanToydeniz Karakas Değiştirilmiş 10 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Internet Katmanı Güvenlik Protokolleri"— Sunum transkripti:

1 Internet Katmanı Güvenlik Protokolleri
Çiçek Çavdar Bilişim Enstitüsü, Bilgisayar Bilimleri Bilgisayar Ağlarında Güvenlik 2004

2 Bilgisayar Ağlarında Güvenlik 2004
İçerik Geçmiş çalışmalar IP Güvenlik Protokolü (IPSP) IP Anahtar Yönetim Protokolü (IPKMP) Verili protokollerden bazı örnekler Bilgisayar Ağlarında Güvenlik 2004

3 Bilgisayar Ağlarında Güvenlik 2004
Geçmiş Çalışmalar Security Protocol 3 (NSA ve NIST) Üst katman tarafından iletilen mesajlar SP3 tarafından bir alt katmana gönderilmeden önce işlenir Network Layer Security Protocol (ISO) Integrated NLSP (K.Robert Glenn) swIPe (J.Ionnidis, M.Blaze) Bilgisayar Ağlarında Güvenlik 2004

4 Bilgisayar Ağlarında Güvenlik 2004
Ortak Özellikler IP kapsülleme işlemi ile asıllama ve şifreleme işlemi paralel Var olan IP kapsülleme aynen geçerli IP paket başlığı da kapsülleniyor ve şifreleniyor Güvenlik protokolü ayrı bir başlık ekler Bilgisayar Ağlarında Güvenlik 2004

5 Bilgisayar Ağlarında Güvenlik 2004
IP paketi Bilgisayar Ağlarında Güvenlik 2004

6 Bilgisayar Ağlarında Güvenlik 2004
IETF IPsecWG 1992- amaç IPv6 için bir güvenlik mimarisi IETF tarafından IP Güvenlik Protokolü (IPSP) ve Internet Anahtar Yönetim Protokolü (IKMP) standardizasyonu IKMP bir Güvenlik Birliği (SA) kurar ve Güvenlik Parametre İndekslerini (SPI) başlatır IPSP , SA ve SPI ları kullanarak IP paketlerini şifreli gönderir Bilgisayar Ağlarında Güvenlik 2004

7 IP güvenlik mimarisi standartlar
Bilgisayar Ağlarında Güvenlik 2004

8 Bilgisayar Ağlarında Güvenlik 2004
IP Güvenlik Protokolü IPv6 Asıllama + şifreleme Asıllama Başlığı: Kaynak asıllama ve veri bütünlüğü Encapsulating Security Payload (ESP): Bağlantısız veri güvenilirlik servisleri Trafik Analizine karşı tam güvenlik yok. Bilgisayar Ağlarında Güvenlik 2004

9 Bilgisayar Ağlarında Güvenlik 2004
Güvenlik Birliği Asıllama algoritması, modu ve anahtarlar Şifreleme algoritması, modu ve anahtarlar Şifreleme algoritması senkronizasyonu için Başlangıç Vektörü (IV) uzunluğu Anahtarlar ve Güvenlik Birliğinin ömrü GB nin kaynak adresi ( ağ ya da alt ağ adresi de olabilir) Korunan verinin duyarlılık derecesi (sunucular çok katmanlı güvenlik hizmeti veriyorsa) Bilgisayar Ağlarında Güvenlik 2004

10 Bilgisayar Ağlarında Güvenlik 2004
GB kullanımı Bir IP paketi nin çözülebilmesi için Her GB bir Güvenlik Parametre Indeks (SPI) değeri tarafından tanımlı SPI Anahtar Yönetim Protokolü sırasında belirlenir GB kurulurken farklı anahtarlama yaklaşımları ayırdedilir Bilgisayar Ağlarında Güvenlik 2004

11 Bilgisayar Ağlarında Güvenlik 2004
IPSP de anahtarlama 3 yaklaşım 1. Her host çiftine farklı anahtar 2. Her kullanıcı çiftine farklı 3. Her oturuma farklı anh Bilgisayar Ağlarında Güvenlik 2004

12 GB ve SPI değerlerinin başlatılması
Paketler tek bir kullanıcıya gönderilir: SPI yerel bir tabloya indekstir, tabloda GB içeriği tutulur Paketler birden fazla kullanıcıya gönderilir: Her grup üyesi SPI ve grup adresi ile güvenlik parametreleri arasında bağlantı kurar. Bilgisayar Ağlarında Güvenlik 2004

13 Bilgisayar Ağlarında Güvenlik 2004
Asıllama Başlığı IP paketleri için veri kaynak asıllama ve veri bütünlüğü servisi IP paketlerine asıllama verisi eklenir Problem: IP başlığında yol boyunca yapılan değişiklikler asıllama başlığına yansımamalı Hop sayısı her defada artırılır Yönlendirme başlığında IP hedef adres alanı ara hedeflere yönlendirilir Bilgisayar Ağlarında Güvenlik 2004

14 Bilgisayar Ağlarında Güvenlik 2004
Asıllama Başlığı 8 bit Sonraki Başlık alanı: Sonraki payload tipi 8 bit asıllama verisi uzunluk alanı 16 bit reserve alanı sonraki kullanımlar için 32 bit SPI alanı alıcı taraftaki IP paketinde GB yi tanımlamak için Bilgisayar Ağlarında Güvenlik 2004

15 Asıllama Başlığı formatı
Bilgisayar Ağlarında Güvenlik 2004

16 Bilgisayar Ağlarında Güvenlik 2004
ESP Encapsulating Security Payload (ESP) IP paketinin payload verisi asıllama sırasında açıktır verinin güvenilirliği için şifreleme Bilgisayar Ağlarında Güvenlik 2004

17 Bilgisayar Ağlarında Güvenlik 2004
ESP formatı Bilgisayar Ağlarında Güvenlik 2004

18 Bilgisayar Ağlarında Güvenlik 2004
ESP formatı 32 bit SPI alanı alıcı tarafta güvenlik parametrelerine indeks 32 bit IV(başlangıç vektörü): rastgele sayı Değişken uzunluklu payload verisi Değişken uzunluklu dolgu alanı: toplam payload (mod 8)=6 olmalı 8 bit dolgu uzunluk alanı Bilgisayar Ağlarında Güvenlik 2004

19 Bilgisayar Ağlarında Güvenlik 2004
1. Ulaşım Kipi IP paketinin yükü (payload) olarak üst katman protokol verisi taşınır Ek IP başlığı şifrelemede kullanılmadığından yer muhafaza edilir Gönderilecek IP paketinde üst katman protokol verisi seçilir Gönderilecek IP paketine yük olarak şifrelenir Bilgisayar Ağlarında Güvenlik 2004

20 Bilgisayar Ağlarında Güvenlik 2004
2. Tünel Kipi IP paketinde sadece üst katman protokol verisi değil tüm paket şifrelenir ve kapsüllenerek yeni bir IP paketi yaratılır. Yönlendiriciler arasında güvenli kanal oluşturmak için kullanılır. (güvenlik geçitleri)Kendileri başlatıcı değil aracıdır. İki güvenlik geçidi arasında tünel: arka plandaki gönderici ve alıcının bilgilerine erişilemez Bilgisayar Ağlarında Güvenlik 2004

21 Bilgisayar Ağlarında Güvenlik 2004
Tünel Kipi Gönderici GB bilgisini kullanıcı kimliği ve varış IP sinden elde eder. SPI ve IP başlığı açık olarak gönderilir. Bilgisayar Ağlarında Güvenlik 2004

22 Ulaşım ve tünel kipi paket formatı
Bilgisayar Ağlarında Güvenlik 2004

23 IP Güvenlik Protokolü özet
AH ve ESP asıllama ve şifreleme mekanizmaları birbirinden bağımsız Birlikte veya ayrı ayrı IP paketine uygulanabilir Her IP paketi için ek işlem getirir Güvenliği artırdığı gibi performans düşer Bilgisayar Ağlarında Güvenlik 2004

24 Internet Anahtar Yönetim Protokolü(IKMP)
GB nin kurulumu, sadece birlik üyeleri tarafından bilinen anahtarların paylaşımını gerektirir 1996 da IETF Ipsec WG tarafından bir IKMP çıkarılmıştır Bilgisayar Ağlarında Güvenlik 2004

25 İlkel IKMP çalışmaları
MKMP: modular key management protocol Baş (master) anahtar modülü Oturum Anahtarı modülü Baş anahtar üç şekilde belirlenir: Elle Merkezi Sertifika temelli Bilgisayar Ağlarında Güvenlik 2004

26 Bilgisayar Ağlarında Güvenlik 2004
MKMP AB: Ra,(Ra,k)K BA : Rb,(Rb,Ra)K K baş anahtar, nasıl paylaşılacağı belirsiz k, önceden her iki tarafın da bildiği bir sayı, bir önceki MKMP den kalma bir sayı Bilgisayar Ağlarında Güvenlik 2004

27 Bilgisayar Ağlarında Güvenlik 2004
SKIP IP ile oturum merkezli bir anahtar dağıtım mekanizması tasarlamak için IP altına bir yapay oturum katmanı Anahtarların kurulumu ve güncellenmesi için Bunun yerine oturum merkezli olmayan bir yapı gerekli IP de: SKIP(Simple Key Management for IP) Bilgisayar Ağlarında Güvenlik 2004

28 Bilgisayar Ağlarında Güvenlik 2004
SKIP Anahtarların kurulumu için bir ön haberleşme gerekmez Oturum tabanlı değil paket tabanlı anahtarlar kullanılır Diffie Hellman anahtar değişim protokolü ile bir ilkel anahtar yarat: Kab’ Baş anahtar Kab= h(Kab’, counter) Bilgisayar Ağlarında Güvenlik 2004

29 Bilgisayar Ağlarında Güvenlik 2004
SKIP Baş anahtarın bir sayaçla sürekli yenilenmesi atılan paket anahtarlarının yeniden kullanımına karşı önlem Gönderici A rastgele bir Kp paket anh üretir Yeni IP paketi: (Kab(Kp), Kp(IP Paketi)) Yeni IP başlığını da yeni pakete ekler Her pakette yeni Kp üretilebilir Bilgisayar Ağlarında Güvenlik 2004

30 Bilgisayar Ağlarında Güvenlik 2004
SKIP Bilgisayar Ağlarında Güvenlik 2004

31 Çoklu-gönderimde SKIP
Grup başı tayin edilir ve grubun baş anahtarı onunla haberleşme sırasında belirlenir. Bu sayede Baş anahtarla şifrelenen Pk her defasında değiştirilebilir Bilgisayar Ağlarında Güvenlik 2004

32 Bilgisayar Ağlarında Güvenlik 2004
SKIP + PFS PFS: Perfect Forward Secrecy Hiç bir anahtar bir önceki üretilen anahtarlara bağımlı olmamalı Türetim için kullanılan anahtarlar kısa süre içinde silinerek yeni anahtarlara göre yeniden türetim yapılmalı Diffie Hellman da iki çeşit anh. çifti var: Uzun ve kısa kullanımlı. Bilgisayar Ağlarında Güvenlik 2004

33 Bilgisayar Ağlarında Güvenlik 2004
SKIP mekanizması Anahtar Yönetim Sunucusu: D-H uzun süreli gizli anah ve ondan türetilen baş anahtarı hesaplamaktan ve cepte tutmaktan sorumlu Rastgele paket anahtarı yaratmak için SKIP çekirdeği ile birlikte çalışır Bilgisayar Ağlarında Güvenlik 2004

34 Bilgisayar Ağlarında Güvenlik 2004
SKIP mekanizması Veri Şifreleme Makinesi: Şifreleme için çeşitli algoritmaları içerir Akış Modülü: TCP/IP protokol yığını ve ağ arayüzü arasına yerleştirilir. Eşin IP adresine bağlı olarak erişim kontrol listesi tutar. Paketler düz geçirilir veya veri şifreleme makinesine gönderilir. Kullanıcı düzeyinde yönetim birimleri tarafından listeler oluşturulabilir. Bilgisayar Ağlarında Güvenlik 2004

35 Bilgisayar Ağlarında Güvenlik 2004
Photuris (NSA) STU-III Güvenli telefon için tasarlanmış Araya girme saldırısına karşı açık anahtarın asıllaması yapılır Asal sayılar önceden tanımlanarak algoritma hızı artırılır 1. Çerez değişim: Saldırganın IP adresini ortaya çıkarmak amacıyla ve tekrarlama saldırılarına karşı 2. Değer değişim: D-H anah değişimi 3. Kimlik değişim: Karşılıklı kimlik tanıtımı ve asıllaması. Bilgisayar Ağlarında Güvenlik 2004

36 Photuris Mesaj Akışları
Bilgisayar Ağlarında Güvenlik 2004

37 Bilgisayar Ağlarında Güvenlik 2004
Photuris+ veya SKEME IBM araştırma merkezinde geliştirilmiş Deneysel amaçlı Anahtar değişiminde esneklik Hız ve verimlilik artar. Gerekmediğinde D-H kullanılmaz. Dört parçadan oluşur: Cookies, Share, Exchange, Auth Bilgisayar Ağlarında Güvenlik 2004

38 Bilgisayar Ağlarında Güvenlik 2004
Photuris paylaşım Parçaları gönderme: AB: (Ka)kB BA: (Kb)kA Parçaları birleştirme: Kab=h(Ka,Kb) Kimlik bildirimi eklenirse: AB: (idA, Ka)kB BA: (idB, Kb)kA Bilgisayar Ağlarında Güvenlik 2004

39 Photuris: farklı modlar
Bu adımların farklı uygulamaları SKEME protokolünün değişik modlarını oluşturur. Paylaşım yeterli mod(Share Only Mode) Önceden paylaşımlı anahtar modu(Preshared Key Mode) Hızlı anahtarlama modu (Fast Rekey Mode) Bilgisayar Ağlarında Güvenlik 2004

40 Bilgisayar Ağlarında Güvenlik 2004
ISAKMP (Internet Security Association Key Management Protocol) INFOSEC Computer Science ‘ın NSA Ofisi tarafından herhangi bir internet ya da ulaşım katmanı protokolü üzerine uygulanabilir. Diğerlerine göre çok daha esnektir. Hiç bir anahtar paylaşım tekniği önceden belirlenmez. İki taraf arasında bir Güvenlik Birliğinin kurulumuna yardımcı olacak tanımlamaları yapar. Kimliklerin anonimliği sağlanamaz çünkü burada kimlikler ortak gizli anahtar oluşturulmadan önce bildirilir. Bilgisayar Ağlarında Güvenlik 2004

41 Bilgisayar Ağlarında Güvenlik 2004
OAKLEY 1996’da University of Arizona’da geliştirilmiştir. Photuris ve SKEME’ye benzer olarak burada da ortak gizli anahtarlarda PFS’yi sağlamak amacıyla Diffie Hellmann anahtar değişim protokolü kullanılır. Temel farkı şifreleme, öz alma ve asıllamada kullanılan algoritmaların daha esnek bir biçimde seçilebilir olmasıdır. Diğer fark ise çerez bölümündedir. Bu bölümde IP numarası belirlenirken oluşturulacak anahtara özgü bir anahtar numarası verilir. Photuris’teki üç bölüm burada da korunur. Bilgisayar Ağlarında Güvenlik 2004

42 Bilgisayar Ağlarında Güvenlik 2004
Sonuç IPSP iki güvenlik duvarı arasında tünel yaratmak için kullanılabilir. Bir başka kullanım alanı hareketli konaklar ile sabit ağın güvenlik duvarı arasında tünel oluşturmaktır. IPSP ve IKMP VPN kurmaya olanak sağlar. Bilgisayar Ağlarında Güvenlik 2004

43 Bilgisayar Ağlarında Güvenlik 2004
Kaynaklar [1] [2] ftp://ftp.csua.berkeley.edu/pub/cypherpunks/swIPe/swipe.tar.Z [3] [4] [5] InternetIntranetSecurity2e/index.htm [6] Bilgisayar Ağlarında Güvenlik 2004

"Internet Katmanı Güvenlik Protokolleri" indir ppt

Benzer bir sunumlar

Bilgisayar Ağları ve İnternet

Bilgisayar Ağları ve İnternet
TCP/IP Mimarisi ve Katmanları

TCP/IP Mimarisi ve Katmanları
OSI Referans Modeli Açık Sistem Bağlantıları (Open Systems Interconnection - OSI ) Bilgisayarlar arası iletişimin başladığı günden itibaren farklı bilgisayar.

OSI Referans Modeli Açık Sistem Bağlantıları (Open Systems Interconnection - OSI ) Bilgisayarlar arası iletişimin başladığı günden itibaren farklı bilgisayar.
WEB TASARIM Temel Kavramlar.

WEB TASARIM Temel Kavramlar.
Özel Site.NET İnternet Nedir? Soner Sevindik.

Özel Site.NET İnternet Nedir? Soner Sevindik.
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.

IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
BBY 302 Bilgi Teknolojisi ve Yönetimi

BBY 302 Bilgi Teknolojisi ve Yönetimi
Veri Haberleşmesi Sunumu Konu : ZigBee

Veri Haberleşmesi Sunumu Konu : ZigBee
Network Layer4-1 4. Bölüm Ağ Katmanı Computer Networking: A Top Down Approach 4 th edition. Jim Kurose, Keith Ross Addison-Wesley, July 2007.

Network Layer Bölüm Ağ Katmanı Computer Networking: A Top Down Approach 4 th edition. Jim Kurose, Keith Ross Addison-Wesley, July 2007.
İNTERNET.

İNTERNET.
Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.

Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.
30.03.2004Mehmet Tahir SANDIKKAYA1 Rolf Oppliger, Internet and Intranet Security, Artech House, 1998, pp. 215–247. Ulaşım Katmanı Güvenlik Protokolleri.

Mehmet Tahir SANDIKKAYA1 Rolf Oppliger, Internet and Intranet Security, Artech House, 1998, pp. 215–247. Ulaşım Katmanı Güvenlik Protokolleri.
 Meltem KORCAY 20053530  Ayşe KUBİLAY 20052695.

 Meltem KORCAY  Ayşe KUBİLAY
3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.

3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.
MD-5 (Message-Digest Algoritma).

MD-5 (Message-Digest Algoritma).
Proxy-DNS Nedir?.

Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.

AĞ PROTOKOLÜ.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.

BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
AĞ GÜVENLİĞİ.

AĞ GÜVENLİĞİ.
SOME-Bus Mimarisi Üzerinde Mesaj Geçişi Protokolünün Başarımını Artırmaya Yönelik Bir Algoritma Çiğdem İNAN, M. Fatih AKAY Çukurova Üniversitesi Bilgisayar.

SOME-Bus Mimarisi Üzerinde Mesaj Geçişi Protokolünün Başarımını Artırmaya Yönelik Bir Algoritma Çiğdem İNAN, M. Fatih AKAY Çukurova Üniversitesi Bilgisayar.

Benzer bir sunumlar

Google Reklamları