Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
YayınlayanGülistan Okyar Değiştirilmiş 8 yıl önce
1
IPSec
2
● IPsec IP protokolünün IP ve daha üst katmanlar için güvenlik sağlayan bir genişletmesidir. ● İlk olarak yeni IPv6 standardı için geliştirilmiş daha sonra IPv4 için "geriye yapılandırılmıştır". ● IPsec iletişimin doğruluğunu kanıtlamak, bütünlük ve gizliliğinden emin olmak için iki farklı protokol kullanır: AH ve ESP.
3
● Tüm IP datagramını koruyabileceği gibi sadece daha üst katmanların protokollerini de koruyabilir. ● Bu durumlar için karşılık gelen modlar tünel ve taşıma modlarıdır. ● Tünel modunda IP datagramı IPsec protokolünü kullanarak yeni bir IP datagramı tarafından tamamen kapsüllenir. ● Taşıma modunda ise IP datagramının sadece kullanıcı verisi (payload) IPsec protokolü tarafından IPsec başlığı IP başlığı ile daha üst katman protokol başlığı arasına yerleştirilerek işlenir.
5
● IPsec protokolleri IP datagramlarının bütünlüğünü korumak için hash mesaj doğrulama kodlarını (HMAC) kullanır. ● MD5 ve SHA gibi hash algoritmaları kullanarak IP datagramı ve bir gizli anahtarı temel alan HMAC'i çıkartırlar. ● Daha sonra bu HMAC IPsec protokol başlığına eklenir ve paketin alıcısı eğer gizli anahtara erişimi varsa bu HMAC'i kontrol edebilir.
6
● IPsec protokolleri IP datagramlarının gizliliğini korumak için standart simetrik şifreleme algoritmalarını kullanır. ● IPsec standartı NULL ve DES gerçeklenimlerine ihtiyaç duysa da günümüzde genel olarak 3DES, AES ve Blowfish gibi daha güçlü algoritmalar kullanılmaktadır.
7
● IPsec paketlerini karşılıklı olarak kapsülleyip açabilen eşlerin gizli anahtarı, algoritmaları ve iletişimde izin verilen IP adreslerini saklamak için bir yönteme ihtiyaçları vardır. ● IP datagramlarının korunması için ihtiyaç duyulan bütün bu parametreler bir güvenlik anlaşmasında (security association) (SA) saklanır. ● Güvenlik anlaşmaları sırayla güvenlik anlaşmaları veritabanında (SAD) saklanırlar.
8
● Her bir güvenlik anlaşması aşağıdaki parametreleri tanımlar: – Oluşan IPsec başlığının hedef ve kaynak IP adresleri. Bu adresler paketleri koruyan IPsec eşlerinin IP adresleridir. – IPsec protokolü (AH veya ESP), bazen sıkıştırma (IPCOMP) da desteklenir. – IPsec protokolünün kullandığı gizli anahtar ve protokol. – Güvenlik Parametre Dizini (Security Parameter Index - SPI). Bu güvenlik anlaşmasını belirleyen 32- bit bir sayıdır.
9
● Bazı güvenlik anlaşması veritabanı gerçeklenimleri başka parametrelerin de saklanmasına izin verir: – IPsec modu (tünel veya taşıma) – Cevap ataklarına karşı koruma sağlayan kayan pencerenin büyüklüğü. – Güvenlik anlaşmasının geçerlilik süresi.
10
● Güvenlik anlaşması kaynak ve hedef IP adreslerini tanımladığından çift yönlü IPsec iletişiminde sadece bir yöndeki trafikte koruma sağlayabilir. IPsec her iki yönde de koruma sağlamak için iki adet tek yönlü güvenlik anlaşmasına ihtiyaç duyar. ● Güvenlik anlaşmaları sadece IPsec'in trafiği nasıl koruyacağını belirlerler. Hangi trafiğin ne zaman korunacağını tanımlamak için ilave bilgiye ihtiyaç duyulur. Bu bilgi günelik anlaşması veritabanında bulundurulan güvenlik politikasında (SP) saklanır.
11
● Güvenlik anlaşmasının elle yapılandırılması hataya yatkın ve çok güvenli de değildir. ● Gizli anahtarların ve şifreleme algoritmalarının sanal özel ağdaki tüm eşler arasında paylaşılması gerekir. Henüz bir şifreleme sağlanmamışken simetrik anahtarların değişimi nasıl yapılacaktır? ● Özellikle anahtarların değişimi sistem yöneticisi için kritik problemler yaratır: Henüz bir şifreleme sağlanmamışken simetrik anahtarların değişimi nasıl yapılacaktır?
12
● Bu problemin çözümü için internet anahtar değişim protokolü (IKE) geliştirilmiştir. ● Bu protokol ilk olarak eşlerin kimlik denetimini yapar, ardından güvenlik anlaşmaları tertip edilir ve simetrik anahtarlar Diffie Hellmann anahtar değişimi kullanılarak seçilir. ● IKE protokolü gizli anahtarların güvenliğinden emin olmak için periyodik olarak yapılacak anahtar yenilemelerinde de devreye girer.
13
● IPsec protokol ailesi iki bağımsız IP protokolünden oluşur: – Kimlik Kanıtlama Başlığı (AH) – Kapsüllenen Güvenlik Yükü (ESP). ● AH 51 ve ESP ise 50 numaralı protokollerdir
14
AH - Kimlik Kanıtlama Başlığı ● AH protokolü IP datagramının bütünlüğünü korur. Bunu yapabilmek için datagramın HMAC'ini hesaplar. ● HMAC hesaplanırken gizli anahtar, paketteki kullanıcı verisi ve IP başlığındaki IP adresi gibi değişmeyen bölümleri temel alınır. Bu bilgi daha sonra paketin AH başlığına eklenir.
16
● AH başlığı 24 byte uzunluğundadır. İlk byte Next Header alanıdır. Bu alan takip eden başlığın protokolünü belirtir. Tünel modunda bütüm IP datagramı kapsüllendiğinden bu alanın değeri 4'tür. Bir TCP datagramı taşıma modunda kapsüllendiğinde kullanılan sayı ise 6'dır. ● Sonraki byte yükün uzunluğunu gösterir. ● Bu alanı iki adet ayrılmış byte takip eder. ● Sıradaki 32 bit uzunluğundaki alanda Güvenlik Parametre Dizini (SPI) bulunur. SPI, kapsüllenmiş paketin açılmasında kullanılacak güvenlik anlaşmasını belirler. ● 32 bit uzunluğundaki Ardışıklık Numarası cevaplama ataklarına karşı koruma sağlar. ● Son alan olan HMAC ise 96 bitlik alan kaplar. Sadece gizli anahtarı bilen eşler HMAC yaratıp onu kontrol edebildiklerinden HMAC alanı paketin bütünlüğünü korur.
17
● AH protokolü IP datagramının IP başlığındaki IP adresi gibi değişmeyen parçalarını da koruduğundan NAT'a izin vermez. ● Ağ Adresi Çeviricisi (NAT) IP başlığındaki IP adresini (genellikle kaynak IP) başka bir IP adresiyle değiştirir. ● Böylece HMAC değişeceğinden artık geçersiz olur. ● IPsec protokolünün bir genişletmesi olan Aykırı- NAT bu kısıtlamanın etrafından dolanan bir çözümdür.
18
ESP - Kapsüllenen Güvenlik Yükü ● ESP protokolü hem HMAC kullanarak paketin bütünlüğünü hem de şifreleme kullanarak paketin gizliğini garanti eder. ● Paketin şifrelendikten sonra HMAC hesaplanır ve ESP başlığı oluşturulur ve pakete eklenir.
20
● ESP başlığındaki ilk bölüm Güvenlik Parametre Dizini (SPI)'dir. SPI kapsüllenmiş ESP paketinin açılmasında kullanılacak SA'yı belirtir. ● İkinci bölüm Ardışıklık Numarasıdır. Bu numara cevaplama ataklarına karşı koruma sağlar. ● Üçüncü bölümde ise şifreleme işleminde kullanılan İlklendirme Vektörü (IV) bulunur. Simetrik şifreleme algoritmaları eğer IV kullanılmazsa frekans saldırılarına karşı zayıftırlar. IV sayasinde iki eşit yüke karşılık iki farklı şifrelenmiş yük oluştuğundundan emin olunabilir.
21
● IPsec şifreleme sürecinde blok şifreleme algoritmaları kullandığından eğer şifrelenecek yükün uzunluğu bir bloğun tam katı değilse takviye edilmelidir. Bu takviyenin uzunluğu da başlığa eklenir. Bunun ardından Next Header bölümü gelir. ESP başlığında son olarak paketin bütünlüğünden emin olunmasını sağlayan 96 bit uzunluğundaki HMAC bulunur. IP başlığı hesaplama sürecine dahil edilmez. ● Bu yüzden ESP protokolü NAT kullanımına mani olmaz. Yine de bir çok durumda IPsec ile NAT'ın beraber kullanımı mümkün olmamaktadır. Aykırı-NAT ESP paketlerini UDP paketlerinin içine kapsülleyen bir çözüm sunar.
22
IKE Protokolü ● IKE protokolü güvenli iletişimin en ünlü sorununu çözer: eşlerin kimlik kanıtlama yapması ve simetrik anahtarların değişimi. ● Bu sayede güvenlik anlaşmaları yapılır ve SAD oluşturulur. ● IKE protokolü genellikle kullanıcı tarafı sürecine ihtiyaç duyar, işletim sisteminde bir gerçekleştirmesi yoktur. ● İletişim için 500/UDP portunu kullanır.
23
Aykırı NAT ● Sıklıkla VPN'deki taraflardan biri bir NAT aygıtının arkasında bulunur. ● En başta taraflardan birinin orjinal IP adresi NAT aygıtı tarafından gizlenir. NAT cihazı orjinal kaynak IP adresini kendi IP adresiyle değiştirir. ● Böylece IPsec AH protokolü kullanılamaz hale gelir. Ama iki taraf da doru yapılandırılırsa ESP hala kullanılabilir. ● Öyleyse neden Aykırı-NAT'a ihtiyaç duyulsun? Çünkü aynı NAT aygıtının arkasındaki iki makinenin dışarıya bir tünel oluşturmaya çalışmalarıyla birlikte ikisi birden çalışmaz hale gelir.
24
● Neden böyle olur? – NAT aygıtı gönderdiği paketlere gelen yanıtları doğru istemcilere gönderebilmek için nat'ladığı bağlantıların kaydını tutmak zorundadır. Bu yüzden NAT aygıtında bir tablo bulunur ve nat'lanan tüm bağlantılar bu tabloya yazılır. – Şimdi bir istemcinin internet üzerinden bir web sunucusuna bağladığını varsayalım. – NAT cihazı istemcinin adresi yerine kendi adresini kaynak adres olarak gösterir ve tablosuna seçilen istemci protundan gelen tüm paketleri orjinal istemci1'e göndermesi gerektiği notunu alır.
25
● İkinci bir istemci iletişime başlar başlamaz aynı eşdeğer bağlantıyı kurar. Şayet ikinci istemci de tesadüfen aynı istemci portunu seçerse, NAT aygıtı bir belirsizlik olmaması için istemci portunu da değiştirecektir. ● Bu işlem TCP ve UDP kullanımında problem çıkartmayacaktır çünkü her ikisi de portlarla çalışmaktadır. Ama ESP port kullanmaz. Bu yüzden NAT aygıtı paketleri ayırt etmek için sadece protokolü kullanabilir. ● İlk istemci bağlandığında tabloya tüm ESP paketlerinin ilk istemciye "geriye-natlanması" gerektiği yazılır. İkinci istemci bağladığında bu girdinin üzerine ikinci istemciye uygun bilgiler yazılır ve böylece en azından ilk istemcinin bağlantısı kesilir.
26
● Bu duruma yardımcı olmak için Aykırı-NAT ne sunar? – Aykırı-NAT benzer şekilde ESP paketlerini UDP paketlerine kapsüller. Bu bir NAT aygıtı tarafından kolayca yapılabilir çünkü portlarla çalışabilirler. – Öntanımlı olarak 4500/udp portu kullanılır. Aykırı- NAT için bir çok taslak bulunmasına rağmen henüz bir RFC yoktur. – Aykırı-NAT'ın güzel bir özelliği bir kez aktif hale getirildiğinde tarafların ihtiyaç duyduklarında onu otomatik olarak kullanabilmeleridir.
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.