1 / 43

Internet Katmanı Güvenlik Protokolleri

Internet Katmanı Güvenlik Protokolleri. Çiçek Çavdar Bilişim Enstitüsü, Bilgisayar Bilimleri. İçerik. Geçmiş çalışmalar IP Güvenlik Protokolü (IPSP) IP Anahtar Yönetim Protokolü (IPKMP) Verili protokollerden bazı örnekler. Geçmiş Çalışmalar. Security Protocol 3 (NSA ve NIST)

glynn
Download Presentation

Internet Katmanı Güvenlik Protokolleri

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Internet Katmanı Güvenlik Protokolleri Çiçek Çavdar Bilişim Enstitüsü, Bilgisayar Bilimleri Bilgisayar Ağlarında Güvenlik 2004

  2. İçerik • Geçmiş çalışmalar • IP Güvenlik Protokolü (IPSP) • IP Anahtar Yönetim Protokolü (IPKMP) • Verili protokollerden bazı örnekler Bilgisayar Ağlarında Güvenlik 2004

  3. Geçmiş Çalışmalar • Security Protocol 3 (NSA ve NIST) • Üst katman tarafından iletilen mesajlar SP3 tarafından bir alt katmana gönderilmeden önce işlenir • Network Layer Security Protocol (ISO) • Integrated NLSP (K.Robert Glenn) • swIPe (J.Ionnidis, M.Blaze) Bilgisayar Ağlarında Güvenlik 2004

  4. Ortak Özellikler • IP kapsülleme işlemi ile asıllama ve şifreleme işlemi paralel • Var olan IP kapsülleme aynen geçerli • IP paket başlığı da kapsülleniyor ve şifreleniyor • Güvenlik protokolü ayrı bir başlık ekler Bilgisayar Ağlarında Güvenlik 2004

  5. IP paketi Bilgisayar Ağlarında Güvenlik 2004

  6. IETF IPsecWG • 1992- amaç IPv6 için bir güvenlik mimarisi • IETF tarafından IP Güvenlik Protokolü (IPSP) ve Internet Anahtar Yönetim Protokolü (IKMP) standardizasyonu • IKMP bir Güvenlik Birliği (SA) kurar ve Güvenlik Parametre İndekslerini (SPI) başlatır • IPSP , SA ve SPI ları kullanarak IP paketlerini şifreli gönderir Bilgisayar Ağlarında Güvenlik 2004

  7. IP güvenlik mimarisi standartlar Bilgisayar Ağlarında Güvenlik 2004

  8. IP Güvenlik Protokolü • IPv6 • Asıllama + şifreleme • Asıllama Başlığı: Kaynak asıllama ve veri bütünlüğü • Encapsulating Security Payload (ESP): Bağlantısız veri güvenilirlik servisleri • Trafik Analizine karşı tam güvenlik yok. Bilgisayar Ağlarında Güvenlik 2004

  9. Güvenlik Birliği • Asıllama algoritması, modu ve anahtarlar • Şifreleme algoritması, modu ve anahtarlar • Şifreleme algoritması senkronizasyonu için Başlangıç Vektörü (IV) uzunluğu • Anahtarlar ve Güvenlik Birliğinin ömrü • GB nin kaynak adresi ( ağ ya da alt ağ adresi de olabilir) • Korunan verinin duyarlılık derecesi (sunucular çok katmanlı güvenlik hizmeti veriyorsa) Bilgisayar Ağlarında Güvenlik 2004

  10. GB kullanımı • Bir IP paketi nin çözülebilmesi için • Her GB bir Güvenlik Parametre Indeks (SPI) değeri tarafından tanımlı • SPI Anahtar Yönetim Protokolü sırasında belirlenir • GB kurulurken farklı anahtarlama yaklaşımları ayırdedilir Bilgisayar Ağlarında Güvenlik 2004

  11. IPSP de anahtarlama • 3 yaklaşım • 1. Her host çiftine farklı anahtar • 2. Her kullanıcı çiftine farklı • 3. Her oturuma farklı anh Bilgisayar Ağlarında Güvenlik 2004

  12. GB ve SPI değerlerinin başlatılması • Paketler tek bir kullanıcıya gönderilir: • SPI yerel bir tabloya indekstir, tabloda GB içeriği tutulur • Paketler birden fazla kullanıcıya gönderilir: • Her grup üyesi SPI ve grup adresi ile güvenlik parametreleri arasında bağlantı kurar. Bilgisayar Ağlarında Güvenlik 2004

  13. Asıllama Başlığı • IP paketleri için veri kaynak asıllama ve veri bütünlüğü servisi • IP paketlerine asıllama verisi eklenir • Problem: IP başlığında yol boyunca yapılan değişiklikler asıllama başlığına yansımamalı • Hop sayısı her defada artırılır • Yönlendirme başlığında IP hedef adres alanı ara hedeflere yönlendirilir Bilgisayar Ağlarında Güvenlik 2004

  14. Asıllama Başlığı • 8 bit Sonraki Başlık alanı: Sonraki payload tipi • 8 bit asıllama verisi uzunluk alanı • 16 bit reserve alanı sonraki kullanımlar için • 32 bit SPI alanı alıcı taraftaki IP paketinde GB yi tanımlamak için Bilgisayar Ağlarında Güvenlik 2004

  15. Asıllama Başlığı formatı Bilgisayar Ağlarında Güvenlik 2004

  16. ESP • Encapsulating Security Payload (ESP) • IP paketinin payload verisi asıllama sırasında açıktır • verinin güvenilirliği için şifreleme Bilgisayar Ağlarında Güvenlik 2004

  17. ESP formatı Bilgisayar Ağlarında Güvenlik 2004

  18. ESP formatı • 32 bit SPI alanı alıcı tarafta güvenlik parametrelerine indeks • 32 bit IV(başlangıç vektörü): rastgele sayı • Değişken uzunluklu payload verisi • Değişken uzunluklu dolgu alanı: toplam payload (mod 8)=6 olmalı • 8 bit dolgu uzunluk alanı Bilgisayar Ağlarında Güvenlik 2004

  19. 1. Ulaşım Kipi • IP paketinin yükü (payload) olarak üst katman protokol verisi taşınır • Ek IP başlığı şifrelemede kullanılmadığından yer muhafaza edilir • Gönderilecek IP paketinde üst katman protokol verisi seçilir • Gönderilecek IP paketine yük olarak şifrelenir Bilgisayar Ağlarında Güvenlik 2004

  20. 2. Tünel Kipi • IP paketinde sadece üst katman protokol verisi değil tüm paket şifrelenir ve kapsüllenerek yeni bir IP paketi yaratılır. • Yönlendiriciler arasında güvenli kanal oluşturmak için kullanılır. (güvenlik geçitleri)Kendileri başlatıcı değil aracıdır. • İki güvenlik geçidi arasında tünel: arka plandaki gönderici ve alıcının bilgilerine erişilemez Bilgisayar Ağlarında Güvenlik 2004

  21. Tünel Kipi • Gönderici GB bilgisini kullanıcı kimliği ve varış IP sinden elde eder. • SPI ve IP başlığı açık olarak gönderilir. Bilgisayar Ağlarında Güvenlik 2004

  22. Ulaşım ve tünel kipi paket formatı Bilgisayar Ağlarında Güvenlik 2004

  23. IP Güvenlik Protokolü özet • AH ve ESP asıllama ve şifreleme mekanizmaları birbirinden bağımsız • Birlikte veya ayrı ayrı IP paketine uygulanabilir • Her IP paketi için ek işlem getirir • Güvenliği artırdığı gibi performans düşer Bilgisayar Ağlarında Güvenlik 2004

  24. Internet Anahtar Yönetim Protokolü(IKMP) • GB nin kurulumu, sadece birlik üyeleri tarafından bilinen anahtarların paylaşımını gerektirir • 1996 da IETF Ipsec WG tarafından bir IKMP çıkarılmıştır Bilgisayar Ağlarında Güvenlik 2004

  25. İlkel IKMP çalışmaları • MKMP: modular key management protocol Baş (master) anahtar modülü Oturum Anahtarı modülü • Baş anahtar üç şekilde belirlenir: • Elle • Merkezi • Sertifika temelli Bilgisayar Ağlarında Güvenlik 2004

  26. MKMP • AB: Ra,(Ra,k)K • BA : Rb,(Rb,Ra)K K baş anahtar, nasıl paylaşılacağı belirsiz k, önceden her iki tarafın da bildiği bir sayı, bir önceki MKMP den kalma bir sayı Bilgisayar Ağlarında Güvenlik 2004

  27. SKIP • IP ile oturum merkezli bir anahtar dağıtım mekanizması tasarlamak için IP altına bir yapay oturum katmanı • Anahtarların kurulumu ve güncellenmesi için • Bunun yerine oturum merkezli olmayan bir yapı gerekli IP de: • SKIP(Simple Key Management for IP) Bilgisayar Ağlarında Güvenlik 2004

  28. SKIP • Anahtarların kurulumu için bir ön haberleşme gerekmez • Oturum tabanlı değil paket tabanlı anahtarlar kullanılır • Diffie Hellman anahtar değişim protokolü ile bir ilkel anahtar yarat: Kab’ • Baş anahtar Kab= h(Kab’, counter) Bilgisayar Ağlarında Güvenlik 2004

  29. SKIP • Baş anahtarın bir sayaçla sürekli yenilenmesi atılan paket anahtarlarının yeniden kullanımına karşı önlem • Gönderici A rastgele bir Kp paket anh üretir • Yeni IP paketi: (Kab(Kp), Kp(IP Paketi)) • Yeni IP başlığını da yeni pakete ekler • Her pakette yeni Kp üretilebilir Bilgisayar Ağlarında Güvenlik 2004

  30. SKIP Bilgisayar Ağlarında Güvenlik 2004

  31. Çoklu-gönderimde SKIP • Grup başı tayin edilir ve grubun baş anahtarı onunla haberleşme sırasında belirlenir. • Bu sayede Baş anahtarla şifrelenen Pk her defasında değiştirilebilir Bilgisayar Ağlarında Güvenlik 2004

  32. SKIP + PFS • PFS: Perfect Forward Secrecy • Hiç bir anahtar bir önceki üretilen anahtarlara bağımlı olmamalı • Türetim için kullanılan anahtarlar kısa süre içinde silinerek yeni anahtarlara göre yeniden türetim yapılmalı • Diffie Hellman da iki çeşit anh. çifti var: Uzun ve kısa kullanımlı. Bilgisayar Ağlarında Güvenlik 2004

  33. SKIP mekanizması • Anahtar Yönetim Sunucusu: • D-H uzun süreli gizli anah ve ondan türetilen baş anahtarı hesaplamaktan ve cepte tutmaktan sorumlu • Rastgele paket anahtarı yaratmak için SKIP çekirdeği ile birlikte çalışır Bilgisayar Ağlarında Güvenlik 2004

  34. SKIP mekanizması • Veri Şifreleme Makinesi: • Şifreleme için çeşitli algoritmaları içerir • Akış Modülü: • TCP/IP protokol yığını ve ağ arayüzü arasına yerleştirilir. Eşin IP adresine bağlı olarak erişim kontrol listesi tutar. Paketler düz geçirilir veya veri şifreleme makinesine gönderilir. • Kullanıcı düzeyinde yönetim birimleri tarafından listeler oluşturulabilir. Bilgisayar Ağlarında Güvenlik 2004

  35. Photuris (NSA) • STU-III Güvenli telefon için tasarlanmış • Araya girme saldırısına karşı açık anahtarın asıllaması yapılır • Asal sayılar önceden tanımlanarak algoritma hızı artırılır • 1. Çerez değişim: Saldırganın IP adresini ortaya çıkarmak amacıyla ve tekrarlama saldırılarına karşı • 2. Değer değişim: D-H anah değişimi • 3. Kimlik değişim: Karşılıklı kimlik tanıtımı ve asıllaması. Bilgisayar Ağlarında Güvenlik 2004

  36. Photuris Mesaj Akışları Bilgisayar Ağlarında Güvenlik 2004

  37. Photuris+ veya SKEME • IBM araştırma merkezinde geliştirilmiş • Deneysel amaçlı • Anahtar değişiminde esneklik • Hız ve verimlilik artar. Gerekmediğinde D-H kullanılmaz. • Dört parçadan oluşur: Cookies, Share, Exchange, Auth Bilgisayar Ağlarında Güvenlik 2004

  38. Photuris paylaşım • Parçaları gönderme: • AB: (Ka)kB • BA: (Kb)kA • Parçaları birleştirme: • Kab=h(Ka,Kb) • Kimlik bildirimi eklenirse: • AB: (idA, Ka)kB • BA: (idB, Kb)kA Bilgisayar Ağlarında Güvenlik 2004

  39. Photuris: farklı modlar • Bu adımların farklı uygulamaları SKEME protokolünün değişik modlarını oluşturur. • Paylaşım yeterli mod(Share Only Mode) • Önceden paylaşımlı anahtar modu(Preshared Key Mode) • Hızlı anahtarlama modu (Fast Rekey Mode) Bilgisayar Ağlarında Güvenlik 2004

  40. ISAKMP (Internet Security Association Key Management Protocol) • INFOSEC Computer Science ‘ın NSA Ofisi tarafından • herhangi bir internet ya da ulaşım katmanı protokolü üzerine uygulanabilir. • Diğerlerine göre çok daha esnektir. • Hiç bir anahtar paylaşım tekniği önceden belirlenmez. • İki taraf arasında bir Güvenlik Birliğinin kurulumuna yardımcı olacak tanımlamaları yapar. • Kimliklerin anonimliği sağlanamaz çünkü burada kimlikler ortak gizli anahtar oluşturulmadan önce bildirilir. Bilgisayar Ağlarında Güvenlik 2004

  41. OAKLEY • 1996’da University of Arizona’da geliştirilmiştir. • Photuris ve SKEME’ye benzer olarak burada da ortak gizli anahtarlarda PFS’yi sağlamak amacıyla Diffie Hellmann anahtar değişim protokolü kullanılır. • Temel farkı şifreleme, öz alma ve asıllamada kullanılan algoritmaların daha esnek bir biçimde seçilebilir olmasıdır. • Diğer fark ise çerez bölümündedir. Bu bölümde IP numarası belirlenirken oluşturulacak anahtara özgü bir anahtar numarası verilir. • Photuris’teki üç bölüm burada da korunur. Bilgisayar Ağlarında Güvenlik 2004

  42. Sonuç • IPSP iki güvenlik duvarı arasında tünel yaratmak için kullanılabilir. • Bir başka kullanım alanı hareketli konaklar ile sabit ağın güvenlik duvarı arasında tünel oluşturmaktır. • IPSP ve IKMP VPN kurmaya olanak sağlar. Bilgisayar Ağlarında Güvenlik 2004

  43. Kaynaklar [1] http://www2.xerox.com/xsis/dms/xmsp.html [2] ftp://ftp.csua.berkeley.edu/pub/cypherpunks/swIPe/swipe.tar.Z [3] http://www.ietf.org/html.charters/ipsec-charter.html [4] http://www.ietf.org/html.charters/ipsp-charter.html [5] http://www.ifi.unizh.ch/~oppliger/Presentations/ InternetIntranetSecurity2e/index.htm [6] http://skip.incog.com Bilgisayar Ağlarında Güvenlik 2004

More Related