IP Güvenliği (IPSec -IPv6)

Arkadaşlar Bir veri akışındaki her IP paketinin, şifrelenmesi ve/veya tanımlanması yoluyla tüm iletişimin güvenliğini sağlamak için oluşturulmuş protokoller (usuller) takımıdır.

 SSL (Secure Socket Layer) ve TSL gibi diğer güvenlik protokollerine göre daha esnek ve güvenlidir. Hem TCP hem de UDP tabanlı protokollerin güvenliğini sağlar. Uçtan uca (endto end) bir iletişim olduğundan verinin gönderileceği yerde de IPSec kullanılıyor olması yeterlidir. Yani iletişim için kullanılan switch, router gibi cihazların uyumsuzluğu gibi bir durum söz konusu değildir.
IPsec iki iletim modu kullanır:

> Transport Mode; yerel ağda bulunan iki istemci arasındaki (client-to-client)iletişim için kullanılır.

> Tunnel Mode;


sadece geçityolları (gateway) arasındaki trafiğin korunması
esasına dayanır. Bu modda paketler geçityolundan çıktıkları zaman şifrelenir ve hedef ağın geçityoluna vardıklarında şifreleri çözülür. Bu modda iki geçityolu arasında bir tünel oluşturulur ve istemciden istemciye olan iletişim, tünel protokolü kullanılarak kapsüllenir. Bu modda kaynak ve hedef istemci
bilgisayarların IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, Appletalk, NetBEUI) kullanabilirler.
Bu modda, geçityolu bir tünel server, router, firewall veya VPN cihazı kullanılabilir.
IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:

> Bütünlük (integrity);hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.

> Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler.
Bunları şöyle sıralayabiliriz:

- Önpaylaşımlı anahtar (preshared key) (MS-CHAP)

- Kerberos (Windows tabanlı ağlar için)

- Sertifika yetkilisi (certificate authority)

> Gizlilik (Confidentiality);gönderilen verinin ağ üzerinden şifrelenmiş bir
şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur.
Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.

IPSec’ in güvenli bir iletişim kurmak için kullandığı protokoller aşağıdaki
gibi sıralayabiliriz:

> Authentication Header (AH) (kimlik doğrulama başlığı): IPSec’in veri
bütünlüğü (Integrity) ve kimlik doğrulama (Authentication) özelliklerini
destekler. AH, veriyi şifreleyemediği için IPSec’in gizlilik (Confidentiality)
özelliğini kullanamazsınız. Diğer bir deyişle, eğer ağ üzerindeki iletimin şifreli
bir şekilde gerçekleşmesini istiyorsanız bu protokol ihtiyacınıza cevap
vermeyecektir.

> Encapsulating Security Payload (ESP):Bu protokol, IPSec’in veri bütünlüğü (Integrity), kimlik doğrulama (Authentication) ve gizlilik (Confidentiality)özelliklerinin üçünü birden destekler. Yüksek seviyede güvenlik sağlar. Hedefteki sistemlerde, kaynakta kullanılan şifreleri çözebilecek programların bulunması gerekmektedir.

Posted in: Authentication Header,IP Güvenliği,Tunnel Mode