IpSec Nedir?

Selamlar arkadaşlar bu makalemde sizlere IPsec hakkında bilgiler vermeye çalışacağım.

IPSec (Internet Protocol Security) nedir?

İnternet Protokol Güvenliği (IPSec), IP kullanarak sağlanan iletişimlerde her paket için Doğrulama ve şifreleme kullanarak güvenlik sağlayan bir protokol paketidir. İçerisinde bulundurduğu protokoller sayesinde, bir bağlantı oluştururken karşılıklı doğrulama ve bağlantı sırasında anahtar değişimleri gerçekleştirme yetkisine sahiptir. Bu yapı iki bilgisayar arasında, networkler arasında ve network ile bir bilgisayar arasında veri akışını korumak için kullanılır. Ağ seviyesinde (Layer 3) çalışan IP Sec aygıtlarında bulunan bu protokol doğrulama, veri bütünlüğü, şifreleme yapar ve replay saldırılarına karşı koruma görevini üstlenir.

TCP/IP üzerinde herhangi bir güvenlik olmadan dataların gidip geldiğini düşünürsek, göndermiş olduğumuz datalar değiştirilmesi, dataların kaybolması ve istenilen yere ulaşmaması söz konusu olabilmektedir. IPSec sayesinde bu sorunların önüne geçilir ve IP’nin ihtiyaç duyduğu güvenli ortamı yaratmayı sağlayan bir Güvenlik protokolüdür.

Gizlilik (Confidentiality) :

IPSec şifreleme algoritmaları ile veri gizliliğini sağlamaktadır. Şifreleme işleminin sağlamlığı kullanılan algoritmanın anahtar uzunluğu ile şekillenmektedir. Anahtar ne kadar kısa olursa şifrenin kırılması ve veri ulaşılması da o kadar kolay olacaktır.

– Des : 56 bit uzunluğunda simetrik kriptolama tekniği kullanılan şifreleme türüdür. Aynı anahtarla şifrelenen bir veri, yine aynı anahtar ile açılabiliyorsa simetrik şifreleme algoritması kullanıldığı anlamına gelmektedir.

– 3Des : Des’in farklı bir çeşididir. 3 adet 56 bitlik bir şifreleme kullanılarak güvenlik sağlamaktadır.

– Aes : 3Des ve Des’e nazaran daha güvenli bir sistemdir. 128, 192 ve 256 bit olmak üzere 3 ayrı anahtar uzunluğuna sahiptir.

– Seal : 160 bit anahtar uzunluğuna sahip olan bir sistemdir.

Bütünlük (Integrity) :

IPSec veri bütünlüğü algoritmaları ile iletilmesi gereken veriyi değişmeden karşı tarafa ulaşmasını sağlar. HMAC (Hashed message Authentication Codes – Şifrelenmiş Meşaj Doğrulama Kodu ) içerdiği hash değeri ile veri bütünlüğünü koruyan bir algoritmadır. Bu sayede verinin yolda giderken değiştirilmesini önlemektir amacı. Gönderici tarafından veri şifrelenir ve hash algoritması yardımıyla bir Hash değeri üretir. Alıcı tarafında ise gönderilen kod ters çevrilir ve göndericinin hash kodu ile eşleşip eşleşmediği kontrol edilir. Eğer veri aynı ise veri bütünlüğü sağlanmıştır ancak farklı ise değiştirildiği anlaşılır ve veri kullanılmaz.

İki çeşit Hasg algoritması mevcuttur :

– HMAC – MD5 : 128 bitlik şifrelenmiş veriyi kullanır. Algoritmadan çıkmış halide 128 bitlik hash değeridir.

– HMAC – SHA1 : 160 bit uzunluğunda anahtarlama tekniğini kullanır. Güvenlik açısından HMAC – MD5 den daha güçlüdür.

Kimlik Denetimi (Authentication) :

IPSec kimlik denetimini sağlamak için PSK, RSA ve IKE olmak üzere 3 çeşit yöntem kullanmaktadır.

PSK : Ön paylaşımlı gizli anahtarlama metodu anlamına gelir. Cihazlarda kimlik denetimini sağlamak için belirlenmiş olan bir sayısal değer elle gerekli olan cihazlara girilir. Her cihaz karşısında bulunan cihazın kimlik bilgisini öğrendikten sonra ağ güvenli olacak ve veri aktarımı başlatılacaktır. Girilen değer artık cihazın imzası olarak varsayılan bir değer olacaktır. Bu sayede kimlik denetimi yapılır.

RSA : Asimetrik bir şifreleme algoritmasıdır. Simetriklerin aksine biri gizli diğeri açık olmak üzere iki anahtar kullanılır. Özellikle çok kullanıcılı sistemlerde kullanılır. Sistemin güvenirliğini ve hızını belirleyen en önemli faktör belirlenen şifrenin uzunluğudur.

IKE : Kimlik denetimini sağlamak için olan diğer bir yöntem ise IKE (Internet Key Exchange – İnternet Şifre Değişimi)’dir. IKE kimlik denetimi için Kullanıcı adı ve şifre, Tek seferlik şifreler ve Sayısal sertifikalar gibi çeşitli yöntemlerle gerçekleştirir.

Güvenli Anahtar Değişimi (Secure Key Exchange) :

Cihazlar arasında açık anahtar değişimini sağlamak için Diffie-Helman adı verilen algoritmayı kullanır IPSec. Cihazlar arasında şifreleme ve şifreyi çözme işlemlerini gerçekleştirmek için en kolay yöntem anahtar değişimini sağlamaktır. D-H algoritması sayesinde güvenli olmayan bir ortam da dahi veri aktarırken anahtar değişimi sorunsuz bir şekilde gerçekleştirilebilir. D-H1, D-H2, D-H5 ve D-H7 olmak üzere 4 farklı şekilde gruplanmıştır. Temelde bu algoritmalar arasında fark şifreleme yaparken kullanılan bit sayısıdır.

– D-H1 : 768 bit
– D-H2 : 1024 bit
– D-H5 : 1536 bitlik anahtar kullanırlar.
– Cisco 3000 D-H1,2,5’i kullanırken, Des ve 3Des şifreleme metodları D-H1 ve 2’yi, AES metodu ise D-H2 ve 5’i kullanır.

IPSec Protokolleri :

Bunlar AH ve ESP olmak üzere iki çeşittir.

AH (Authentication Header – Kimlik Denetimi Başlığı) : Genellikle gizlilik olmayan ya da izin verilmeyen yerlerde kullanılır. Gönderim işlemi sırasında oluşacak değişiklikleri engellemek, gönderilen içeriğin bütünlüğünü korumak için IP paketlerine sıra numaraları verilir. Eğer alıcı aldığı paketlerin sıra numarasında sorun yaşarsa paketler kabul edilmez. AH gizlilik sağlamadığından dolayı tek başına kullanılması durumunda güvenlik açığına neden olabilir.

ESP (Encapsulating Security Payload – Kapsüllenen Güvenlik Yükü) : Bu protokol gizlilik ve kimlik denetimini bir arada sağlayabilir. Bu protokol öncelikli olarak AH tarafından sıra numarası verilmiş IP paketlerini belirlenmiş algoritmalardan faydalanarak şifrelemek ve hedefe ulaştığında aynı algoritmaları kullanarak çözümlemektedir. Böylece AH tarafından oluşan güvenlik açığı engellenmiş olur.

Bu iki protokol iki farklı şekilde uygulanabilir.

Transport Mode (Aktarma Modu) : Bu modda güvenlik sadece OSI katmanlarından Transport katmanı ve üzerinde sağlanan bir özelliktir. IP paketinin AH veya ESP ile korunmasını sağlar. Paketin yük bölümü üzerinden koruma sağlanırken, gerçek ip adresinde değişiklik meydana gelmez. Aynı yerel ağ üzerinde bulunan cihazlar tarafından kullanılabilir.

Tunnel Mode (Tünel Mode) : Bu modda güvenlik bütün ip paketi üzerinden gerçekleştirilir. Gerçek IP paketi şifrelenir ve başka bir IP paketi yardımıyla kapsülleme yapılır. Genel olarak tünel modu veriler farklı bir ağdan geçiş yapacağı zaman kullanılır. Tünel modunda şifreleme işlemi veriler ağdan çıkış yaparken ağ geçidi (Gateway) üzerinde yapılır. İç ağlarda IPSec kullanmaya gerek yoktur.

Sonuç : IPSec veriyi, Kriptolayan (Encryption), Bütünlüğü sağlayan (Integrity), Kimlik doğrulaması (Authentication) ve Verinin network üzerinden güvenli iletimini (Secure Transmission) sağlayan bir ağ standartıdır.

Yararlı olması dileğiyle.

 

Bir Cevap Yazın