Ağ Güvenliği P2P Ağlarda Güvenlik Mustafa K. Madanoğlu 704061021 Bilgisayar Bilimleri
Akış Giriş: P2P ağ nedir ve kısa tarihçesi. P2P ağların yapısı. Güvenlik açıkları. Alınan önlemler. Sonuç
Giriş P2P ağ nedir? P2p hesaplama sistemler arasında bilgisayar kaynakları ve hizmetlerinin doğrudan değişimidir. Bu kaynak ve hizmetler bilgi, proses çevrimi, cache bellek ve disk bellek değişimini de içermektedir.
En geniş tanımı ile p2p ağlar sunucu istemci sistemlerini de içine alacaktır. Ancak son dönemde ortaya çıkan p2p anlayışı aynı makinenin hem sunucu hem istemci olduğu ağlardır
Peer-to-peer sistemler Dağılım Desentralizasyon Kendini organizasyon Simetrik iletişim
Geçmişi İlk ortaya çıkanlar Napster, Gnutella,Freenet’tir Dosya paylaşımı(CFS,PAst) Ağ Depolama (Farsite) Haber dağıtımı(Herald,Bayeux)
P2P Ağların kullanım alanları: Dosya paylaşımı Birlikte çalışma Uç hizmetler Dağıtılmış hesaplama Akıllı ajanlar
The GRID Dağıtılmış,heterojen,çoklu organize kaynak sağlayan sanal sistemler oluşturmaya yarayan aletler bütünü. 1995-96’da Ian Foster ve Carl Kesselman geliştirdi. İlk sistem dağıtılmış olarak işleyen bir sistemdi. NSF TeraGrid,NASA IPGRID,EUROGrid.
P2P ağların yapısı Node’lar yakındaki diğer node’ların listesini tutar. Bir istek geldiğinde diğer node’lara bir mesaj yollar. 23-byte -id,type,TTL,hops,payload length Elinde istenen olan node doğrudan geri döner.
IP/port değişimi ile birbirini tanır. -Asıllama olmadan yapıldığından Flooding ve DoS saldırılarına açık. -Saldırgan istek yapan node’u başka bir node’a hatalı olarak yönlendirebilir. Bunu çoğalırsa hedef node kendini DoS saldırısından koruyamaz. -İstek yapan node ve istediği veri gizli olmadığından bunu herkes görebilir.
Sunucularda çalışan istemcilerden oluşur. Sunucuların birbirini görmesi gerekir. Doğrudan birbirini görmeyenler için yönlendirme sistemi gerekir(Ağ katmanının üzerinde). Süper-peer’ler mevcuttur.
Güvenlik açıkları Flooding ve DOS Ping Pong – ip,port, paylaşılan dosyalar Query – istek ve min. hat hızı Query hit – isteğe uyan dosyalar, boyutları ve hat hızı Push – Firewall arkasındaki istemcilere dosya yüklemek için
Pong, query etkisiz. Ping – önceden etkin. Süper-node önledi. Query flooding haal etkin bir saldırı.
İçerik Asıllama Gelen dosya ne bilmiyoruz. Önceden alıcının incelemesi çok zor. Güvene dayalı.
İstek Kaçırma Her komşu node diğerinin içeriğini görebilir. Herkes isteği ve isteği veren node’u görebilir. Napster’a açılan davada bu kullanıldı.
Çözümler Dağıtılmış Öz Tabloları (DHT) Yeni nesil p2p ağlar bunu kullanıyor. Bir öz fonksiyonun dosya id ile nod’u birbirine bağlamasına dayanıyor. Pastry, CAN, Chord.
Pastry NodeId’ler 128-bit id uzayında dairesel olarak uniform dağılır.
Anahtara en yakın nodeId’e sahip node’a gidilir. Her node komşularının listesini tutar. ID’ler CA tarafından imzalanırsa güvenli olur. Yoksa kötü niyetli araya giren sistemi bozar.
Chord 160 bit dairesel id uzayı kullanır. N node’lu bir ağ için her node O(logN) komşu bilgisi saklar. Her node’a ve anahtara bir id verilir. Genelde IP ve KEY SHA-1 gibi bir öz almadan geçirilir.
İşaretçiler dairesel olarak sıralanmıştır. 2^m elemanlı bir daire Her node bir tablo tutar. Burada i. Giriş kendisinden 2^(i-1) uzaktaki node’un id’sidir. m. Terim onun halefidir. Halef olan node’lara aynı anahtar atanır.
İçerik Adreslenebilir Ağlar(CAN) Her node öz uzayının bir bölümüne sahip olacak şekilde d-boyutlu bir hiper küpe yönlendirir. Her node da O(d) girdili bir routing tablosu var. Ve herhangi bir node’a en fazla (d/4)(N^1/4) atlama ile ulaşılabilir. İyi yanı routing tablosunun ağ ile büyümemesidir. Ancak uygulamaya henüz geçirilememiştir. Çünkü hataya dayanıklı node bağlantıları sağlayamamaktadır.
NodeId isteğe bağlı atanabilirse Bir dosya belli bir alanda tutulabilir Bir kullanıcının tüm routingi kontrol edilebilir Rastgele olması gerekir. Bir CA tarafında atanması ile sağlanabilir. Güvenilir bir otorite lazım Basit bir anahtar alt yapısı kurulabilir.
Kötü amaçlı routing. Mesela en yakın node olduğunu iddia ederse rotuing bozulur. 2 routing tablosu tutulursa çözülür.
Asıllama Dosyaların bir 3. aracı tarafından asıllanması sağlanabilir. Merkezi bir yaklaşım olur.tüm gelen giden dosyalar için belli bir bilgi tutulması gerekir. İş zorlaşır. Ağın küçük olduğu yada dosya değişikliğinin ciddi hasara neden olduğu sistemlerde kullanılabilir. Ancak çok sayıda kullanıcısı olan büyük, dinamik ağlarda uygulanması mümkün değildir.
Başka bir yöntemde birkaç kaynaktan dosyayı almak ve aynı olup olmadıklarına bakmaktır. Bu basit bir checksum ile yapılabilir. Ancak dosyanın yada büyük bir kısmının birkaç kere çekilmesi gerekir.verimli bir yöntem değildir.
FFT (Hızlı Fourier Dönüşüm) F(X), ve F(Y’) hesaplanabilir. Y’, Y’nin tersidir. Daha sonra F(X) ve F(Y’)’nin çarpımından elde edilen sinyalin ters Forier dönüşümü yapılırsa belli bir sinyal profili elde edilecektir.
FFT’nin başlıca avantajı: Dosyaların bit olarak eş olmasının gerekmemesi, Dosyanın tamamının çekilmesinin gerekmemesidir.
Şifreleme Karşılıklı şifreleme içerik güvenliği açısından düşünülebilir. Ancak sonuçta istek vb. gören yine karşıdaki peer olduğundan dolayı şifrelemenin çözüm olması olası değildir.
Sonuç Görüldüğü gibi p2p sistemler çok büyük ölçüde güvene dayanmaktadır. Bir peer kötü niyetli olduğunda onu önlemek çok zordur. Ancak bu problemler sadece Gnutella, Kazaa, Napster gibi çok zayıf bağlı ağlarda söz konusudur. Grid benzeri yapılarda güçlü güvenlik önlemleri uygulanmaktadır.
Kaynaklar Security for Peer-to-Peer Networks, Dan S. Wallach, Rice University Secure routing for structured peer-to-peer overlay networks, Miguel Castro, Peter Druschel, Ayalvadi Ganesh, Antony Rowstron and Dan S. Wallach Analysis of Peer-to-Peer Network Security using Gnutella, Dimitri DeFigueiredo, Antonio Garcia, and Bill Kramer Peer-to-Peer Security, Allan Friedman, L. Jean Camp, Harvard University http://www.etse.urv.es/~cpairot/dhts.html
Sorular