IPsec

Vikipedi, özgür ansiklopedi
Atla: kullan, ara

Internet Protokolü Güvenliği

TCP/IP protokolü geliştirilirken güvenlik üzerinde pek fazla durulmamıştı. Çünkü TCP/IP protokolünün bu denli yoğun ve standart olarak kabul edilip kullanılacağı düşünülmemişti. Bu nedenle verilerimiz ağ üzerinde savunmasız olarak ilerler ve birçok tehlikeyle karşılaşabilirler. Bu tehlikeler verilerimizin değiştirilmesi, verilerimizin kaybolması ve bununla beraber verilerimizin istenilen hedeflere ulaştırılmaması olabilmesi cok münkün. IPsec protokolü sayesinde verilerimiz ağ üzerinde güvenli bir şekilde ulaşmak istedikleri hedeflere ulaştırılır. IPsec protokolü IP protokollerinin güvenlik ihtiyaçlarını karşılamak için geliştirilmiş olan bir güvenlik protokolüdür.

IP kimlik doğrulaması ve veri akışı her IP paket şifreleme ile iletişim Internet Protokolü güvenlik protokolleri bir takımdır. IPsec da oturumu sırasında kullanılmak üzere ajanları arasında oturum ve şifreleme anahtarlarının müzakere başında karşılıklı doğrulama kurmak için protokolleri içerir. IPsec barındıran bir çift arasında veri akışını korumak için kullanılan, güvenlik kapı bir çift arasında bilgisayar kullanıcıları veya sunucu gibi, yönlendiriciler veya güvenlik duvarları gibi veya bir güvenlik ağ geçidi ve ev sahibi arasında.

IPsec ISO standart NLSP (Ağ Katmanı Güvenliği protokolün ardılı) olduğunu. Bu NLSP protokolüdür NIST tarafından basılmış olan SP3 protokolü dayalı ama NSA ve Güvenli Veri Ağı Sistemi projesi tarafından tasarlanmıştır.

IPsec Güvenlik Nasıl Sağlanır ?[değiştir | kaynağı değiştir]

IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:

1.Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.

2.Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz:

  • Önpaylaşımlı anahtar (preshared key) (MS-CHAP)
  • Kerberos (Windows tabanlı ağlar için)
  • Sertifika yetkilisi (certificate authority)

3.Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.

Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu işlemede Decryption denir.


IPsec çift mod end-to-end ise, İnternet Katmanı Internet Protokolü Suite Yaklaşık Katmanı 3 OSI modelde olduğu güvenlik düzeni işletim. SSL, TLS ve SSH gibi yaygın kullanımı, bazı diğer Internet güvenlik sistemleri, bu modellerin alt katmanlara faaliyet, SSL VPN bir örnek olmaktır. Çünkü trafiği korumak için kullanılabilir. Çünkü uygulama kullanımı ise IPsec kullanmak için tasarlanmış olması gerekmez. IPsec daha yığıtın bir alt düzey olarak bir at çalışma, esnek TLS / SSL veya diğer yüksek katman protokolleri bu düzeyde uygulamaların tasarım dahil olmalıdır.

IPsec Protokolleri[değiştir | kaynağı değiştir]

IP Doğrulama Başlığı[değiştir | kaynağı değiştir]

Çeşitli matematiksel algoritmalar kullanılarak gönderilen veri paketine bir numara verilir. Daha sonra veri paketi hedefe ulaştığında aynı algoritma kullanılarak verilen numara tespit edilmeye çalışılır. Gönderilen veri paketi ağ üzerinde herhangi bir değişikliğe ve veri kaybına uğramışsa numara farklı olacağından veri paketi kabul edilmez.

IPsec protokolleri IP datagramlarının bütünlüğünü korumak için hash mesaj doğrulama kodlarını (HMAC) kullanır.
MD5 ve SHA gibi hash algoritmaları kullanarak IP datagramı ve bir gizli anahtarı temel alan HMAC'i çıkartırlar.
Daha sonra bu HMAC IPsec protokol başlığına eklenir ve paketin alıcısı eğer gizli anahtara erişimi varsa bu HMAC'i kontrol edebilir.

Kapsüllenen Güvenlik Yükü[değiştir | kaynağı değiştir]

IP Doğrulama başlığı tarafından numarası verilmiş IP paketlerini bizim belirlediğimiz algoritmalar yardımıyla şifrelemek ve hedefte aynı algoritmalar yardımıyla şifrelenen paketi açmaktır. Bu işlemi IP paketlerini kapsurulur ve istemciden istemciye olan iletişim, tünel protokolü kullanılarak kapsüllenir. Kaynak ve hedef istemci bilgisayarların, IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, geçityolu bir tünel server, router, firewall veya VPN cihazı kullanılabilir.

IPSec Kimlik Doğrulama Metodları[değiştir | kaynağı değiştir]

  1. Manuel Olarak
  2. Sertifika kullanılara

Kaynaklar[değiştir | kaynağı değiştir]

IPsec

Dış bağlantılar[değiştir | kaynağı değiştir]