1 / 63

IPSEC

IPSEC. İsmail KIRBAŞ 055122007. IPSEC (INTERNET PROTOCOL SECURITY). Internet Protocol Security (IPSec) g ü venli haberleşmeler sağlamak ve IP ağları ü zerinde kişisel gizliliği korumak i ç in standartlar ü zerine kurulmuş bir yapıdır.

Download Presentation

IPSEC

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IPSEC İsmail KIRBAŞ 055122007

  2. IPSEC (INTERNET PROTOCOL SECURITY) • Internet Protocol Security (IPSec) güvenli haberleşmeler sağlamak ve IP ağları üzerinde kişisel gizliliği korumak için standartlar üzerine kurulmuş bir yapıdır. • IPSec RFC (Requests for Comments) 2401-2411 de tanımlanmış olan bir IETF (Internet Engineering Task Force) standartıdır.

  3. Kullandığı teknikler ve yararları • Gizlilik (Confidentiality) • Veri Bütünlüğü (Data Integrity) • İnkar Edememe (Technical Non-Repudiation) • Doğrulama (Authentication)

  4. IPSEC • Ip paketleri üzerindeki korumayı temin eder. • Alıcı ve gönderici aynı IPSEC kriterlerine göre yapılandırılmış bilgisayarlardır. Bunlar dışında kalan hiçbir bilgisayar bu ip paketlerini alamaz ve kullanamaz.

  5. Amaç: • IPSEC standart ip paketlerine uygulanır. • Temel amaç verilerin şifreleme yöntemi ile güvenliğinin sağlanması ve doğrulama mekanizmalarının işletilmesidir.

  6. IPSEC network güvenliğini şu şekilde sağlar • Karşılıklı olarak bilgisayarlar arasında kimlik doğrulama yapılır. • İki bilgisayar arasında güvenlik anlaşması yapılır. • Veriler şifrelenmiş olarak karşılıklı el değiştirir.

  7. IPsec kullanım alanları: • VPN • LAN / WIRELES • GÜVENLİ –UZAK YÖNETİM(secure remote-managment)

  8. Ipsec Çatısı Altında Kullanılan Şifreleme Algoritmaları • “ Güçlü” olarak tanımlanan birçok şifreleme algoritması mevcuttur fakat IPSec çatısı altında kullanılmak üzere bunlardan sadece birkaçı resmen deklare edilmiştir: DES, Digital Encryption Standard, ve 3DES, Triple-pass DES.

  9. DES ve 3DES • DES 56-bit anahtar kullanmaktadır ve kullanılan diğer 40-bitlik algoritmalarla aynı güce sahip olduğu düşünülmektedir. Triple-pass DES ise her üç DES geçişinde üç ayrı anahtar kullanmaktadır ve teorik olarak 168-bit’lik anahtar uzunluğu oluşturmaktadır

  10. IPSec uygulaması aşağıda örnekleri verilen diğer bilinen şifreleme algoritmalarını da kullanmaktadır. Asimetrik Şifreler: • RSA • El-Gamal • DSA • Diffie-Hellman Simetrik Şifreler: • DES (56 bits) • 3DES (168 bits in theory) • Blowfish (40-448 bits) • CAST-128 (128 bits) • AES (128-256 bits)

  11. Simetrik şifreler hızlı olduklarından Ipsec tarafından en fazla kullanılanlardır. • Blok şifre modları: • CBC • Counter • ECB, OFB, CFB • IV public randomization factor

  12. CBC MOD:

  13. COUNTER MOD:

  14. ŞİFRE ÖZELLİKLERİ

  15. Doğrulama Mekanizması’nın Rolü (Authentication Mechanism) • “ Şifreleme yeterince güvenlik sağlamıyor mu?” diye sorulabilir. • Mesajın iletim esnasında değiştirilmesi söz konusu olduğunda devreye Doğrulama Mekanizması girer. Mekanizma alıcıya, mesajın gerçekten gönderdiğini bildiği kişiden geldiğini ispat eder ve daha da önemlisi, mesajın gönderen tarafından gönderildikten sonra değiştirilmediğini ispat eder.

  16. DOĞRULAMA • Hash fonksiyonları kullanılır: • MD5 • SHA1 Tüm mesajlar doğrulanırken IPsec de HMAC kullanılır. • HMAC: hashi ortak gizli anahtar K ile şifreler HMAC(K, M) = H(K  opad, H(K  ipad, M))

  17. HMAC-MD5 ya da HMAC-SHA-1 olarak adlandırılır. • MD5 ve SHA-1 512-bit blokları üzerinde çalışır. HMAC çıkışı hash fonksiyonlarının temelini oluşturur. (128 ya da 160 bit MD5 ve SHA-1) • h döngülü hash fonksiyonu, K is a gizli anahtar m doğrulanacak mesaj , outer padding ve inner padding iki one-block–long hexadesimal sabit.

  18. Özellikler • (difficult to forge) yanlızca sahibi gizli anahtarla imzalayabilir • (unalterable: once signed can not be modified) değişmezlik:ilk imzalama değişmeye uğramaz • (non-transformable: the signature can not be used for other packets) Kullanılamama:bir imza farklı paketler için kullanılamaz • (nonrepudiable: signed packet can not be repudiated later) inkar etmeme: imzalanan paket daha sonra reddedilememeli

  19. IPSEC BİLEŞENLERİ • SA Database • IPSec base protocol • Policy Database (SPD) • Policy Engine • Internet Key Exchange (IKE) • Logger

  20. Güvenlik ilişkileri (SA)(Security Association) • İki makine IPSec ile haberleşmeden önce birbirlerinin kimlik tanılamasını yapmalı ve bir kriptolama metodu üzerinde anlaşmalıdırlar. Makineler bunu bir veya daha fazla Güvenlik İlişkisi (SA) kurarak gerçekleştirirler. • Bir bağlantı esnasında sunucu istemciden güven belgesi ister ve kendi içerisinde bulunan sertifikayı gönderir.

  21. Güvenlik İlişkisi iki makine arasında kullanılacak olan belirli güvenlik ayarlarına bağlı bir anlaşma gibi düşünülebilir. • Güvenlik İlişkileri her IPSec bilgisayarda belirli bir veritabanında saklanır (SAD). SA`lar veritabanı içerisinde her AH veya ESP başlığında bulunan Güvenlik Parametre İndeksinden (SPI) tanınırlar. • SA nın kullanımı içinde IKE protokolü kullanılır.

  22. IKE (Internet Key Exchange ) • Veriyi şifrelemek ve doğrulamak ; şifreleme ve doğrulama algoritmaları ve bunlar için gerekli anahtarla yapılır. • IKE protokolü bu “oturum anahtarları”’nın (session keys) dağıtımını yapmak ve uç noktalarının hangi güvenlik politikalarında anlaşacaklarını kararlaştırmak için kullanılan bir metotdur.

  23. Yani IKE SA`ların yaratılmasını üstlenir ve bilgiyi güvenli hale getirmede kullanılacak anahtarları yaratır. Bu teknik veriyi kriptolayıp dekriptolamada kullanılacak simetrik anahtarların yaratılmasını sağlar

  24. IKE’ini üç ana görevi vardır: • Uç noktalara karşılıklı doğrulama için yöntem sağlar • Yeni IPSEC bağlantıları oluşturur (SA’ler yaratır) • Mevcut bağlantıları yönetir

  25. IKE her bağlantıya SA tahsis ederek bağlantıların izini tutar. SA bir bağlantı için atanmış ESP, AH, oturum anahtarları gibi tüm parametreleri tanımlar. • SA tek yönlüdür. Belirli ömürleri vardır. Zaman ve veri miktarı cinsinden.

  26. IPsec Protokolleri • AH (Authentication Header) • ESP (Encapsulating Security Payload)

  27. AH (Authentication Header):Kimlik Doğrulama Başlığı • IPSec`in kullandığı protokollerden biridir.

  28. Version IHL Type of Service Total Length Identifier Flags Fragment Offset Time To Live Protocol Header Checksum Source Address Destination Address Options + Padding 32 bits

  29. Next Header Length Reserved Security Parameter Index (SPI) 32 bits Sequence Number 32 bits Authentication Data 96 bits IP Header(usually 20 bytes) Payload Data

  30. Sonraki başlığı (Next Header) :Orjinal IP başlığının protokol numarası. • Yük boyutu (Payload Length) :Kimlik doğrulama başlığının uzunluğu. • Güvenlik Parametre İndeksi (Security Parameter Index - SPI): Kimlik doğrulama başlığı bağlantılarını diğerlerinden ayırmayı mümkün kılan 32-bitlik bir seri numara

  31. Sıra Numarası (Sequence Number) :Replay koruması için AH datagram`ının seri numarası • Bütünlük Kontrol Değeri (Integrity Check Value-ICV) :AH datagram`ının kriptografik bir bütünlük sağlama toplamı (checksum)

  32. AH data akışını doğrulamak için kullanılan bir protokoldür. IP paketinde bulunan veriden MAC oluşturmak için kriptografik hash fonksiyonu kullanır. Elde edilen MAC, karşı tarafa, mesajın bütünlüğünün korunduğunun anlaşılması için orijinal paketle birlikte iletilir

  33. AH bir ağı 3 tip saldırıdan korur: • Replay Saldırıları, kötü amaçlı bir kişinin bazı paketleri yakalaması, daha sonrası için kaydetmesi ve sonra tekrar yollaması. Bu tip saldırılar saldırganın artık ağda bulunmayan bir makinenin yerine geçebilmesini sağlar. AH pakete anahtarlanmış bir 'hash' ekleyerek, başkalarının paketi tekrar gönderebilmesini engelleyerek replay saldırılarına karşı koruma sağlar. • Değişiklik, IPSec`in kullandığı anahtarlanmış hash paketin gönderildikten sonra içeriğinin değiştirilmediğine emin olunmasını sağlar. • Spoof, AH protokolü iki-yönlü kimlik tanılama sunar, istemci ve sunucunun her ikisinin de bir diğerinin kimliğinden emin olmasını sağlar.

  34. ESP (Encapsulating Security Payload) • ESP protokolü IP paketinin hem şifrelenmesi hem de doğrulanması için kullanılır. ESP protokolü IP paketinin sadece şifrelenmesi veya sadece doğrulanması için de kullanılabilir.

  35. ESP protokolü IP başlığından sonra ESP başlığı yerleştirir. ESP başlığından sonraki tüm veri şifrelenmektedir ve/veya doğrulanmaktadır. AH protokolünden farkı; ESP IP paketinin şifrelenmesini sağlamaktadır

  36. Gizlilik • Kimlik tanılama başlığı (AH) saldırılara karşı kimlik tanılama sağlar. • IPSec ayrıca gizlilik için anlaşılan bir algoritma ile veriyi kriptolamak için ESP (Encapsulating Security Payload) protokolünü de kullanır. ESP protokolü her paketin içindeki tüm içeriği kriptolar fakat IP başlığında bir kriptolama veya checksum sağlamaz.

  37. IPsec ESP header IP Header Protocol = ESP SPI(32 bits) ESP Header 8 bytes + Crypto block size Sequence Number(32 bits) IV(variable block size) Payload Data (variable) Encrypted Payload, Padding and Trailer Padding (0-255) Pad Len Next Hdr Authentication Data (96 bits) Keyed MD5-HMAC or SHA-1-HMAC ESP Auth 8 bytes

  38. Güvenlik Parametre İndeksi (SPI)Hedef adres ve güvenlik protokolü (AH veya ESP) ile birlikte kullanıldığında haberleşme için doğru güvenlik ilişkisini (SA) tanımlar. Alıcı bu değeri kullanarak bununla hangi güvenlik ilişkisinin kullanılacağını belirler. • Sıra NumarasıSA için anti-replay koruması sağlar. 32 bit`tir. 1 den başlayarak arttırılarak haberleşmede güvenlik ilişkisi üzerinde gönderilen paket sayısını belirler. Sıra numarasının tekrarlanmasına izin verilmez. Alıcı bu numaraya ait güvenlik ilişkisinin sıra numarasını kontrol ederek daha önce alınıp alınmadığını belirler. Eğer daha önce alınmış ise paket kabul edilmez.

  39. Ekleme/Takviye (Padding)Kullanılan blok şifrelemenin blok ölçüsüne uyacak şekilde verinin uzunluğunu değiştirir. 0 ile 255 byte arasında. • Pad uzunluğuTakviye alanının byte olarak uzunluğu. Bu alan alıcı tarafından takviye alanını atmada kullanılır.

  40. Sonraki Başlığı (Next header)Orjinal IP başlığının protokol numarasıdır. Yükü tanımlamak için kullanılır, TCP veya UDP gibi. • ESP IP başlığından sonra TCP, UDP ,ICMP gibi üst katman protokolden önce yada zaten yerleştirilmiş olan diğer IPSec başlıklarından önce yerleştirilir. • ESP`yi takip eden herşey (üst katman protokolü, veri ve ESP trailer) imzalanır. IP başlığı imzalanmaz ve bu sebeple değişikliklerden korunmaz. Üst katman protokolü bilgisi, veri ve ESP trailer kriptolanır.

  41. NORMAL IP YAPISI

  42. ESP+IP

  43. ESP+AH+IP

  44. Ipsec modları İki protokol de iki moddan birinde kullanılabilir 1)nakil 2)tünel AH ve ESP`nin moda dayalı olarak işlemleri farklı değildir, tek fark verinin bütünlük amaçlı imzalanmasıdır. Modların ve protokollerin 4 mümkün kombinasyonu vardır. AH ve ESP tünel veya nakil modlarında kullanılabilir.

  45. Nakil modu (TRANSPORT) • Bu modda AH ve ESP nakil katmanından ağ katmanına akan paketleri yakalarlar ve AH ve ESP başlığı altında korurlar. • Ayarlanan güvenliği sağlarlar.(SA)

  46. IPSec`in nakil modu sadece güvenlik son noktadan son noktaya arzulanıyorsa yapılabilir. Yani 2 nokta arasında bağlantı kurmak istenirse yapılır.

  47. Tünel modu : • Saklama yönlendirme işlemlerinin tümüne tünel oluşturma denir. Özgün paket yeni bir paket içinde gizlenir ya da saklanır. • Bu yeni pakette, ağlar arasında dolaşmasını sağlayan yeni adresleme ve yönlendirme bilgileri olabilir. • Tünel oluşturma gizlilikle birleştirildiği zaman, özgün paket verisi mesela özgün kaynak ve hedef bilgileri gibi... ağdaki trafiği dinleyenlere gösterilmez.

  48. Saklı alınan paketler hedeflerine ulaştığında, saklama üstbilgisi kaldırılır ve paketi son hedefe yönlendirmek için özgün paket üstbilgisi kullanılır. • Tünelin kendisi, içinden saklı paketlerin geçtiği mantıksal veri yoludur

More Related