Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

IPSEC İsmail KIRBAŞ 055122007. IPSEC (INTERNET PROTOCOL SECURITY)  Internet Protocol Security (IPSec) g ü venli haberleşmeler sağlamak ve IP ağları ü.

Benzer bir sunumlar


... konulu sunumlar: "IPSEC İsmail KIRBAŞ 055122007. IPSEC (INTERNET PROTOCOL SECURITY)  Internet Protocol Security (IPSec) g ü venli haberleşmeler sağlamak ve IP ağları ü."— Sunum transkripti:

1 IPSEC İsmail KIRBAŞ

2 IPSEC (INTERNET PROTOCOL SECURITY)  Internet Protocol Security (IPSec) g ü venli haberleşmeler sağlamak ve IP ağları ü zerinde kişisel gizliliği korumak i ç in standartlar ü zerine kurulmuş bir yapıdır.  IPSec RFC (Requests for Comments) de tanımlanmış olan bir IETF (Internet Engineering Task Force) standartıdır.

3 Kullandığı teknikler ve yararları  Gizlilik (Confidentiality)  Veri B ü t ü nl ü ğ ü (Data Integrity)  İnkar Edememe (Technical Non- Repudiation)  Doğrulama (Authentication)

4 IPSEC  Ip paketleri üzerindeki korumayı temin eder.  Alıcı ve gönderici aynı IPSEC kriterlerine göre yapılandırılmış bilgisayarlardır. Bunlar dışında kalan hiçbir bilgisayar bu ip paketlerini alamaz ve kullanamaz.

5 Ama ç :  IPSEC standart ip paketlerine uygulanır.  Temel ama ç verilerin şifreleme y ö ntemi ile g ü venliğinin sağlanması ve doğrulama mekanizmalarının işletilmesidir.

6

7 IPSEC network g ü venliğini şu şekilde sağlar  Karşılıklı olarak bilgisayarlar arasında kimlik doğrulama yapılır.  İki bilgisayar arasında g ü venlik anlaşması yapılır.  Veriler şifrelenmiş olarak karşılıklı el değiştirir.

8 IPsec kullanım alanları:  VPN  LAN / WIRELES  G Ü VENLİ – UZAK Y Ö NETİM(secure remote- managment)

9 Ipsec Ç atısı Altında Kullanılan Şifreleme Algoritmaları  “ G üç l ü” olarak tanımlanan bir ç ok şifreleme algoritması mevcuttur fakat IPSec ç atısı altında kullanılmak ü zere bunlardan sadece birka ç ı resmen deklare edilmiştir: DES, Digital Encryption Standard, ve 3DES, Triple- pass DES.

10 DES ve 3DES  DES 56-bit anahtar kullanmaktadır ve kullanılan diğer 40-bitlik algoritmalarla aynı g ü ce sahip olduğu d ü ş ü n ü lmektedir. Triple-pass DES ise her üç DES ge ç işinde üç ayrı anahtar kullanmaktadır ve teorik olarak 168- bit ’ lik anahtar uzunluğu oluşturmaktadır

11 IPSec uygulaması aşağıda ö rnekleri verilen diğer bilinen şifreleme algoritmalarını da kullanmaktadır. Asimetrik Şifreler:  RSA  El-Gamal  DSA  Diffie-Hellman Simetrik Şifreler:  DES (56 bits)  3DES (168 bits in theory)  Blowfish ( bits)  CAST-128 (128 bits)  AES ( bits)

12 Simetrik şifreler hızlı olduklarından Ipsec tarafından en fazla kullanılanlardır.  Blok şifre modları: –CBC –Counter –ECB, OFB, CFB  IV public randomization factor

13 CBC MOD:

14 COUNTER MOD:

15 ŞİFRE ÖZELLİKLERİ EncryptionKey LengthBlock size DES56bit / 8 Byte un- stripped 8 Bytes CAST128bit8 Bytes Blowfish32bit to 448bit8 Bytes IDEA128bit8 Bytes Triple-DES168bit / 24 Byte un- stripped 8 Bytes AES128bit / 16 Byte 192bit / 24 Byte 256bit / 32 Byte 16 Bytes 24 Bytes 32 Bytes

16 Doğrulama Mekanizması ’ nın Rol ü (Authentication Mechanism )  “ Şifreleme yeterince g ü venlik sağlamıyor mu? ” diye sorulabilir.  Mesajın iletim esnasında değiştirilmesi s ö z konusu olduğunda devreye Doğrulama Mekanizması girer. Mekanizma alıcıya, mesajın ger ç ekten g ö nderdiğini bildiği kişiden geldiğini ispat eder ve daha da ö nemlisi, mesajın g ö nderen tarafından g ö nderildikten sonra değiştirilmediğini ispat eder.

17 DOĞRULAMA  Hash fonksiyonları kullanılır: –MD5 –SHA1 T ü m mesajlar doğrulanırken IPsec de HMAC kullanılır.  HMAC: hashi ortak gizli anahtar K ile şifreler HMAC(K, M) = H(K  opad, H(K  ipad, M))

18  HMAC-MD5 ya da HMAC-SHA-1 olarak adlandırılır.  MD5 ve SHA bit blokları ü zerinde ç alışır. HMAC ç ıkışı hash fonksiyonlarının temelini oluşturur. (128 ya da 160 bit MD5 ve SHA-1)  h d ö ng ü l ü hash fonksiyonu, K is a gizli anahtar m doğrulanacak mesaj, outer padding ve inner padding iki one- block – long hexadesimal sabit.

19 Ö zellikler  (difficult to forge) yanlızca sahibi gizli anahtarla imzalayabilir  (unalterable: once signed can not be modified) değişmezlik:ilk imzalama değişmeye uğramaz  (non-transformable: the signature can not be used for other packets) Kullanılamama:bir imza farklı paketler i ç in kullanılamaz  (nonrepudiable: signed packet can not be repudiated later) inkar etmeme: imzalanan paket daha sonra reddedilememeli

20 IPSEC BİLEŞENLERİ  SA Database  IPSec base protocol  Policy Database (SPD)  Policy Engine  Internet Key Exchange (IKE)  Logger

21 G ü venlik ilişkileri (SA) (Security Association)  İki makine IPSec ile haberleşmeden ö nce birbirlerinin kimlik tanılamasını yapmalı ve bir kriptolama metodu ü zerinde anlaşmalıdırlar. Makineler bunu bir veya daha fazla G ü venlik İlişkisi (SA) kurarak ger ç ekleştirirler.  Bir bağlantı esnasında sunucu istemciden g ü ven belgesi ister ve kendi i ç erisinde bulunan sertifikayı g ö nderir.

22  G ü venlik İlişkisi iki makine arasında kullanılacak olan belirli g ü venlik ayarlarına bağlı bir anlaşma gibi d ü ş ü n ü lebilir.  G ü venlik İlişkileri her IPSec bilgisayarda belirli bir veritabanında saklanır (SAD). SA`lar veritabanı i ç erisinde her AH veya ESP başlığında bulunan G ü venlik Parametre İndeksinden (SPI) tanınırlar.  SA nın kullanımı i ç inde IKE protokol ü kullanılır.

23 IKE (Internet Key Exchange )  Veriyi şifrelemek ve doğrulamak ; şifreleme ve doğrulama algoritmaları ve bunlar için gerekli anahtarla yapılır.  IKE protokolü bu “oturum anahtarları”’nın (session keys) dağıtımını yapmak ve uç noktalarının hangi güvenlik politikalarında anlaşacaklarını kararlaştırmak için kullanılan bir metotdur.

24  Yani IKE SA`ların yaratılmasını üstlenir ve bilgiyi güvenli hale getirmede kullanılacak anahtarları yaratır. Bu teknik veriyi kriptolayıp dekriptolamada kullanılacak simetrik anahtarların yaratılmasını sağlar

25 IKE’ini üç ana görevi vardır:  Uç noktalara karşılıklı doğrulama için yöntem sağlar  Yeni IPSEC bağlantıları oluşturur (SA’ler yaratır)  Mevcut bağlantıları yönetir

26  IKE her bağlantıya SA tahsis ederek bağlantıların izini tutar. SA bir bağlantı için atanmış ESP, AH, oturum anahtarları gibi tüm parametreleri tanımlar.  SA tek yönlüdür. Belirli ömürleri vardır. Zaman ve veri miktarı cinsinden.

27 IPsec Protokolleri  AH (Authentication Header)  ESP (Encapsulating Security Payload)

28 AH (Authentication Header): Kimlik Doğrulama Başlığı  IPSec`in kullandığı protokollerden biridir.

29 IdentifierFlags IHLTotal LengthVersion Fragment Offset Options + Padding Destination Address Source Address Time To Live 32 bits Type of Service ProtocolHeader Checksum

30 Payload Data IP Header (usually 20 bytes) Next HeaderLengthReserved Security Parameter Index (SPI) 32 bits Sequence Number 32 bits Authentication Data 96 bits

31  Sonraki başlığı (Next Header) :Orjinal IP başlığının protokol numarası.  Yük boyutu (Payload Length) :Kimlik doğrulama başlığının uzunluğu.  Güvenlik Parametre İndeksi (Security Parameter Index - SPI): Kimlik doğrulama başlığı bağlantılarını diğerlerinden ayırmayı mümkün kılan 32-bitlik bir seri numara

32  Sıra Numarası (Sequence Number) :Replay koruması için AH datagram`ının seri numarası  Bütünlük Kontrol Değeri (Integrity Check Value-ICV) :AH datagram`ının kriptografik bir bütünlük sağlama toplamı (checksum)

33 AH data akışını doğrulamak için kullanılan bir protokoldür. IP paketinde bulunan veriden MAC oluşturmak için kriptografik hash fonksiyonu kullanır. Elde edilen MAC, karşı tarafa, mesajın bütünlüğünün korunduğunun anlaşılması için orijinal paketle birlikte iletilir

34 AH bir ağı 3 tip saldırıdan korur:  Replay Saldırıları, k ö t ü ama ç lı bir kişinin bazı paketleri yakalaması, daha sonrası i ç in kaydetmesi ve sonra tekrar yollaması. Bu tip saldırılar saldırganın artık ağda bulunmayan bir makinenin yerine ge ç ebilmesini sağlar. AH pakete anahtarlanmış bir 'hash' ekleyerek, başkalarının paketi tekrar g ö nderebilmesini engelleyerek replay saldırılarına karşı koruma sağlar.  Değişiklik, IPSec`in kullandığı anahtarlanmış hash paketin g ö nderildikten sonra i ç eriğinin değiştirilmediğine emin olunmasını sağlar.  Spoof, AH protokol ü iki-y ö nl ü kimlik tanılama sunar, istemci ve sunucunun her ikisinin de bir diğerinin kimliğinden emin olmasını sağlar.

35 ESP (Encapsulating Security Payload)  ESP protokolü IP paketinin hem şifrelenmesi hem de doğrulanması için kullanılır. ESP protokolü IP paketinin sadece şifrelenmesi veya sadece doğrulanması için de kullanılabilir.

36  ESP protokolü IP başlığından sonra ESP başlığı yerleştirir. ESP başlığından sonraki tüm veri şifrelenmektedir ve/veya doğrulanmaktadır. AH protokolünden farkı; ESP IP paketinin şifrelenmesini sağlamaktadır

37 Gizlilik  Kimlik tanılama başlığı (AH) saldırılara karşı kimlik tanılama sağlar.  IPSec ayrıca gizlilik i ç in anlaşılan bir algoritma ile veriyi kriptolamak i ç in ESP (Encapsulating Security Payload) protokol ü n ü de kullanır. ESP protokol ü her paketin i ç indeki t ü m i ç eriği kriptolar fakat IP başlığında bir kriptolama veya checksum sağlamaz.

38 IPsec ESP header Encrypted Payload, Padding and Trailer SPI (32 bits) Sequence Number (32 bits) Payload Data (variable) Next Hdr Pad Len Padding (0-255) Authentication Data (96 bits) Keyed MD5-HMAC or SHA-1-HMAC ESP Header 8 bytes + Crypto block size ESP Auth 8 bytes IP Header IV (variable block size) Protocol = ESP

39  Güvenlik Parametre İndeksi (SPI) Hedef adres ve güvenlik protokolü (AH veya ESP) ile birlikte kullanıldığında haberleşme için doğru güvenlik ilişkisini (SA) tanımlar. Alıcı bu değeri kullanarak bununla hangi güvenlik ilişkisinin kullanılacağını belirler.  Sıra Numarası SA için anti-replay koruması sağlar. 32 bit`tir. 1 den başlayarak arttırılarak haberleşmede güvenlik ilişkisi üzerinde gönderilen paket sayısını belirler. Sıra numarasının tekrarlanmasına izin verilmez. Alıcı bu numaraya ait güvenlik ilişkisinin sıra numarasını kontrol ederek daha önce alınıp alınmadığını belirler. Eğer daha önce alınmış ise paket kabul edilmez.

40  Ekleme/Takviye (Padding) Kullanılan blok şifrelemenin blok ölçüsüne uyacak şekilde verinin uzunluğunu değiştirir. 0 ile 255 byte arasında.  Pad uzunluğu Takviye alanının byte olarak uzunluğu. Bu alan alıcı tarafından takviye alanını atmada kullanılır.

41  Sonraki Başlığı (Next header) Orjinal IP başlığının protokol numarasıdır. Yükü tanımlamak için kullanılır, TCP veya UDP gibi.  ESP IP başlığından sonra TCP, UDP,ICMP gibi üst katman protokolden önce yada zaten yerleştirilmiş olan diğer IPSec başlıklarından önce yerleştirilir.  ESP`yi takip eden herşey (üst katman protokolü, veri ve ESP trailer) imzalanır. IP başlığı imzalanmaz ve bu sebeple değişikliklerden korunmaz. Üst katman protokolü bilgisi, veri ve ESP trailer kriptolanır.

42 NORMAL IP YAPISI

43 ESP+IP

44 ESP+AH+IP

45 Ipsec modları İki protokol de iki moddan birinde kullanılabilir 1)nakil 2)tünel AH ve ESP`nin moda dayalı olarak işlemleri farklı değildir, tek fark verinin bütünlük amaçlı imzalanmasıdır. Modların ve protokollerin 4 mümkün kombinasyonu vardır. AH ve ESP tünel veya nakil modlarında kullanılabilir.

46 Nakil modu (TRANSPORT)  Bu modda AH ve ESP nakil katmanından ağ katmanına akan paketleri yakalarlar ve AH ve ESP başlığı altında korurlar.  Ayarlanan g ü venliği sağlarlar.(SA)

47  IPSec`in nakil modu sadece g ü venlik son noktadan son noktaya arzulanıyorsa yapılabilir. Yani 2 nokta arasında bağlantı kurmak istenirse yapılır.

48

49 T ü nel modu :  Saklama y ö nlendirme işlemlerinin t ü m ü ne t ü nel oluşturma denir. Ö zg ü n paket yeni bir paket i ç inde gizlenir ya da saklanır.  Bu yeni pakette, ağlar arasında dolaşmasını sağlayan yeni adresleme ve y ö nlendirme bilgileri olabilir.  T ü nel oluşturma gizlilikle birleştirildiği zaman, ö zg ü n paket verisi mesela ö zg ü n kaynak ve hedef bilgileri gibi... ağdaki trafiği dinleyenlere g ö sterilmez.

50  Saklı alınan paketler hedeflerine ulaştığında, saklama üstbilgisi kaldırılır ve paketi son hedefe yönlendirmek için özgün paket üstbilgisi kullanılır.  Tünelin kendisi, içinden saklı paketlerin geçtiği mantıksal veri yoludur

51  Tünel genellikle özgün kaynak ve hedef çiftine saydamdır ve ağ yolunda noktadan noktaya bağlantı olarak görünür. Çiftler, tünelin başlangıç ve bitiş noktaları arasındaki yönlendiricilerden, anahtarlardan, proxy sunucularından veya diğer güvenlik ağ geçitlerinden haberdar değillerdir.

52  T ü nel modu, g ü venliğin, paketlerin kaynağı olmayan bir cihaz tarafından sağlandığı durumlarda (VPN`lerde olduğu gibi) veya paketin ger ç ek hedefinden farklı bir yerde g ü venli hale getirilmesine ihtiya ç duyulduğunda kullanılır. Yani ağ ge ç itleri ve u ç sistemlerle birlikte ç alışılabilmeyi sağlarlar.  Kriptografik son-nokta bir ağ i ç in g ü venlik sağlayan bir g ü venlik ağ-ge ç ididir. Şekil 1-4 IPSec t ü nel modu ESP`nin sınırdan sınıra ö rneğini g ö stermektedir

53

54  IPSec tünel modu gelişmiş bir özellik olarak yalnızca ağ geçidinden ağ geçidine tünel oluşturma senaryolarında ve belirli sunucudan sunucuya veya sunucudan ağ geçidine yapılandırmalarında desteklenir

55 AH TÜNEL MODU:  AH tünel modu, tünelin içeriği için şifreleme gizliliği sağlamaz, yalnızca güçlü bütünlük ve kimlik doğrulama sağlar.  Tüm paket, yeni tünel üstbilgisi de dahil olmak üzere bütünlük için imzalanır. Bu nedenle, paket tünelin kaynağı tarafından gönderildikten sonra, kaynak veya hedef adreste hiçbir değişiklik yapılamaz

56 ESP TÜNEL MODU:  ESP Tünel modu: özgün IP üstbilgisi genellikle son kaynak ve hedef adreslerini dış IP üstbilgisi ise genellikle güvenlik ağ geçitlerinin kaynak ve hedef adresilerini içerir.  ESP tünel biçimi tünel içindeki akış için her zaman güçlü bütünlük ve kimlik doğrulama sağlar.ESP tüneli genellikle DES ve 3DES şifrelemesi kullanan tünel oluşturulmuş paketler için gizlilik sağlamak amacıyla kullanılır.

57 IPV4/IPV6  Internet Protocol version 6 IPv6, IP olarak da bilinen IPv4’ün yerini alacak olan yeni bir ağ katmanı protokolüdür.  Günümüz Interneti IPv4 protokolü üzerine kurulmuştur. IPv4 adresleri 32 bitten ibarettir. Bu adres alanı teoride 4,294,967,296 = 4,2.10^9 toplam adres oluşturur.

58  IPsec protokolü, hem IPv4 için hem de IPv6 için dogrulama (authentication),bütünlük (integrity) ve gizlilik (confidentiality) servisleri saglamak için tasarımlanmıstır. Transport seviyesinde çalıstıgı için uygulamalarda ek bir ayarlama yapmaya gerek yoktur. IPv4 aglarına IPSEC eklemek için bu görevi üstlenecek bir ag cihazı (router, VPN concentrator... vb) veya ag güvenlik duvarı kullanmak gerekmektedir. Kullanıcı da VPN client yazılımını makinasına kurmalıdır.

59  IPv6’nın tanımlamaları da tamamlanmak üzeredir. IPv6, daha büyük bir adres uzayı(128 bit adres), yönlendirme esnekligi, entegre servis kalitesi (QOS), otomatik konfigürasyon, mobil computing, “data multicasting” ve gelismis güvenliközelliklerine sahiptir.  IPv6 ‘da IPSEC destegi bütünlesik olarak gelmektedir. Bu tür bir entegrasyon bu servislerin daha sorunsuz ve etkin çalısmasını saglayacaktır. Örnegin ag seviyesinde dogrulama ile paketin belirtilen kaynak adresinden gelip gelmedigi tespit edilebilmektedir.

60  Mevcut olan IPv4 protokolünün servis kalitesine (QoS) destek vermiyor oluşu. IPv6 protokolü ise veri, görüntü, video ve ses taşımada IPv4'ten çok daha kalitelidir. Internet kullanıcılarının sayısı da arttıkça daha kaliteli servis isteği talepleri çığ gibi büyümektedir.  IPv6 ölçeklenebilir ve güvenli bir protokoldür. IPv4’te ise uluslararası güvenirlilik standartlarına uyumluluk yoktur.  IPv4’te hizmetin gerçek zaman aralığında olacağına (haberleşmenin belirli zaman aralığında olacağına) garanti yoktur.  IPv4 adres uzayının yılları arasında tükeneceği tahmin edilmektedir.  IPv4 adreslemenin başlangıçta etkin bir şekilde organize edilememesi ve adaletli dağıtılamaması sebebiyle bir çokülke IPv4 adres ihtiyacını karşılayamamaktadır. Kullanılabilen adres uzayının tükenmeden IPv6 sistemlerine geçişin hızlandırılması ihtiyacı vardır.

61  1995 yılında IETF 32 bit temelli IPv4 protokolünün yerine 128 bit temelli IPv6 versiyonun geliştirilmesini önermiştir.  IPv6 yeni nesil Internet teknolojisi IPv4’ten 2^96 kat daha fazla adres alanı sunar.

62  IPv4  IPv6

63 Teşekkürler…


"IPSEC İsmail KIRBAŞ 055122007. IPSEC (INTERNET PROTOCOL SECURITY)  Internet Protocol Security (IPSec) g ü venli haberleşmeler sağlamak ve IP ağları ü." indir ppt

Benzer bir sunumlar


Google Reklamları