IPSEC: IP Security

IPSEC, diğer adıyla IP Security, kullanıcılar için önem taşıyan trafiği koruyan protokoller çerçevesi olarak kullanılmaktadır. Şirket içi iletişim ihtiyaçları değiştikçe, IPSec’e olan ihtiyaç çok daha artmıştır. Günümüzde birçok firmanın çalışanları farklı lokasyonlarda görev alıyorlar ve bu kişiler devamlı veri alışverişi yapıyorlar. IPSec endüstri standart algoritmalar vasıtası ile güvenli data iletişimi sağlamaktadır.

Genellikle IPsec ile Virtual Private Network VPN kavramları birbirleriyle karıştırılır. VPN iki uç nokta arasında bir sanal ağ kurmak için kullanılır. IPSec , oluşturulan VPN bağlantılarına güvenliği arttırıcı fonksiyonlar sağlar. Sanal özel ağ (VPN) oluşturmak için katman 2 ve katman 3 de farklı yollar mevcuttur. IPSec bu yollardan sadece bir tanesidir. Günümüzde Internet’in gelişmesiyle birlikte IPSec VPN bağlantılar kolaylıkla yapılabildiğinden bu iki kavram iç içe geçmiş durumdadır. Aşağıda sanal ağlarla ilgili bir görsel bulunmaktadır.

Eskiden şirketler ofisleri arasında bağlantı kurabilmek için noktadan noktaya kiralık hatlar satın almak zorundaydı. Sonraları ise X.25, ATM, Frame Relay gibi paylaşımlı ağlar ortaya çıktı. Bu WAN teknolojileri sayesinde router ın bir arayüzü birden fazla sanal devreye (virtual circuit) sahip olabiliyor. Böylece birden fazla ofise bağlantı kurulabiliyordu. Günümüzde hemen hemen her şirketin Internet bağlantısı mevcut. Özellikle küçük ölçekli işletmeler, fiyatları yüksek olan noktadan noktaya bağlantı almak veya ofisleri arasında frame relay hat çekmek yerine Internet’i kullanıyorlar. Ancak Internet açık bir ağ olduğu için kullanıcıların önemli verileri istenmeyen kişilerin eline geçebilir. Bu güvenlik açıkları, IPSec in getirdiği fonksiyonlar sayesinde kapanmaktadır.

IPSec Avantajları

IPSec protokolleri OSI 3. katmanda  yani network layer’da çalışmaktadır. Diğer güvenlik protokolleri (SSL, TLS, SSH) 4. ve daha üst katmanlarda çalışmaktadır. Bu durum IPSec’i daha esnek bir hale getirmiştir. IPSec , içinde TCP ve UDP’nin de bulunduğu layer 4 ve yukarı katman protokolleri koruyabilir. IPSec’in diğer güvenlik protokollerinden bir üstünlüğü ise IPSec’in application katmanından yani kullanıcıların yazılımlarından bağımsız çalışabilmesidir. Oysa ki SSL in kullanılabilmesi için kullanıcı yazılımının desteklemesi gerekmektedir.

IPSec Fonksiyonları

IPSec aşağıdakileri yapabilmek için gerekli olan protokolleri barındıran bir frameworkdür.

Authentication (Doğrulama): Veri iletişimindeki kullancıların gerçekten doğru kişiler olması.

Data Integrity (Değiştirilmeme): Verinin içeriğinin değiştirilmeden karşı tarafa ulaştırılması.

Confidentiality (Gizlilik): Verinin üçüncü kişi tarafından ele geçirilse bile anlaşılmayacak halde olması.

Anti-Replay: Bir paketin alıcıya yalnızca bir defa ulaştığını garantileme. Aynı zamanda oturumların kopyalanmasını engellemede kullanılır. Sequence number kullanılarak yapılır.

Aşağıdaki görselde IPSec ile yapılabilecekler ve bu fonksiyonları yerine getirebilmek için kullanılabilecek algoritmaların listesi bulunmaktadır.

IPSec, standart IP’ye güvenlik eklentileri getirmek için “security association” (SA) kullanır. Security association, IPSec ile güvenli veri iletişiminde kullanılacak protokolleri ve parametreleri (örneğin keyler) bulundurur. IPSec ile haberleşen cihazlar SA sayesinde birbirlerine hangi algoritmaları kullanarak veri iletimi yapacaklarını kararlaştırırlar. SA içerisinde kullanılacak algoritmalar tamamen kullanıcının seçimindedir.

IPSec Protokolleri

IKE: Internet Key Exchange

Internet Key Exchange (IKE) IPSec VPN yapacak cihazlar arasında kullanılacak security associationları karşılıklı olarak görüştüren ve cihazların hangi güvenlik algoritmalarını kullanacaklarına karar vermelerini sağlayan bir yapıdır.

IKE ilerde ayrıntılı olarak işleneceğinden şu an detaylı bilgi verilmemektedir.

AH: Authentication Header

AH, veri iletişimi esnasında authentication (doğrulama) ve data integrity (değiştirilmeme) fonksiyonlarının kullanımı sağlar.

Aşağıda AH paketinin diyagramı bulunmaktadır.

Next header 

Gönderilecek verinin protokolü.

Payload length 

AH paketinin boyutu.

RESERVED 

İleriki zamanlarda kullanılmak üzere rezerve edilmiştir. (şu an 0 gönderiliyor)

Security parameters index (SPI) 

Kullanılan security assocation’u (SA) tanımlar.

Sequence number 

Anti-replay fonksiyonu için kullanılır.

Authentication data 

Doğrulama (authentication) yapılabilmesi için kullanılacak veri bulunur.

ESP: Encapsulating Security Payload

ESP, veri iletişimi esnasında authentication (doğrulama), data integrity (değiştirilmeme) ve confidentiality ( gizlilik) fonksiyonlarının kullanımı sağlar.

Aşağıda ESP paketinin diyagramı bulunmaktadır.

Security parameters index (SPI) 

Kullanılan security assocation’u (SA) tanımlar.

Sequence number 

Anti-replay fonksiyonu için kullanılır.

Payload data 

Gönderilen kullanıcı verisi burada bulunur.

Pad length 

Padding bölümünün boyutu.

Next header 

Gönderilecek verinin protokolü.

Authentication data 

Doğrulama (authentication) yapılabilmesi için kullanılacak veri bulunur.

IPSec Modları

Yukarıdaki görselde IPSec’in iki modu olduğu görülüyor. Transport mode’da sadece payload (kullanıcı verisi) authentication ve/veya encryption yapılır. IP headerına dokunulmadığından routing bilgisine zarar gelmemiş olur. Transport mode genellikle bilgisayar – bilgisayar arası IPSec VPN bağlantılarda kullanılır. Tunnel mode’da ise katman 3 ve üstü tüm bilgilere  authentication ve/veya encryption yapılır. Böylece tünelin arkasında duran bilgisayarların IP bilgisi de saklanmış olur. Routing işleminin yapılabilmesi için IP header bilgisi yeniden yazılır. Tunnel mode genellikle network – network arası IPSec VPN bağlantılarında kullanılır.

Aşağıda IPSec protokolleri ile IPSec modlarının kullanımı sonucunda kullanıcı verisinin enkapsülasyonu görülmektedir.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.