IP Güvenliği (IPSec)

Merhaba arkadaşlar,

Bu makalemde sizlere IP güvenliğinden bahsedeceğim. Bir veri akışındaki her IP paketinin, şifrelenmesi ve/veya tanımlanması yoluyla tüm iletişimin güvenliğini sağlamak için oluşturulmuş protokoller (usuller) takımıdır. SSL (Secure Socket Layer) ve TSL gibi diğer güvenlik protokollerine göre daha esnek ve güvenlidir. Hem TCP hem de UDP tabanlı protokollerin güvenliğini sağlar.

Uçtan uca (end to end) bir iletişim olduğundan verinin gönderileceği yerde de IPSec kullanılıyor olması yeterlidir. Yani iletişim için kullanılan switch, router gibi cihazların uyumsuzluğu gibi bir durum söz konusu değildir.
IPsec iki iletim modu kullanır:
_________________________
>> Transport Mode; yerel ağda bulunan iki istemci arasındaki (client-to-client) iletişim için kullanılır.
——————————————————–

>> Tunnel Mode; sadece geçityolları (gateway) arasındaki trafiğin korunması esasına dayanır. Bu modda paketler geçityolundan çıktıkları zaman şifrelenir ve hedef ağın geçityoluna vardıklarında şifreleri çözülür. Bu modda iki geçityolu arasında bir tünel oluşturulur ve istemciden istemciye olan iletişim, tünel protokolü kullanılarak kapsüllenir. Bu modda kaynak ve hedef istemci bilgisayarların IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, geçityolu bir tünel server, router, firewall veya VPN cihazı kullanılabilir.
——————————————————–

IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:

1. Unsur >> Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.

——————————————————–

2. Unsur >> Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz:

1-  Önpaylaşımlı anahtar (preshared key) (MS-CHAP)
2- Kerberos (Windows tabanlı ağlar için)
3- Sertifika yetkilisi (certificate authority)

——————————————————–

3. Unsur >> Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.

——————————————————–

IPSec’ in güvenli bir iletişim kurmak için kullandığı protokoller aşağıdaki gibi sıralayabiliriz:

1. Protokol >> Authentication Header (AH) (kimlik doğrulama başlığı): IPSec’in veri bütünlüğü (Integrity) ve kimlik doğrulama (Authentication) özelliklerini destekler. AH, veriyi şifreleyemediği için IPSec’in gizlilik (Confidentiality) özelliğini kullanamazsınız. Diğer bir deyişle, eğer ağ üzerindeki iletimin şifreli bir şekilde gerçekleşmesini istiyorsanız bu protokol ihtiyacınıza cevap vermeyecektir.

——————————————————–

2. Protokol >> Encapsulating Security Payload (ESP): Bu protokol, IPSec’in veri bütünlüğü (Integrity), kimlik doğrulama (Authentication) ve gizlilik (Confidentiality) özelliklerinin üçünü birden destekler. Yüksek seviyede güvenlik sağlar. Hedefteki sistemlerde, kaynakta kullanılan şifreleri çözebilecek programların bulunması gerekmektedir.