IPSec, İnternet Protokolü Güvenliği anlamına gelir. IP ağı üzerindeki iki iletişim noktası arasında veri kimlik doğrulaması, veri bütünlüğü ve gizlilik sağlayan bir protokoller paketidir. İnternet Mühendisliği Görev Gücü (IETF) tarafından 1995 yılında geliştirilmiştir. IP ağ trafiği için güvenlik hizmetleri mimarisini tanımlar ve IP katmanında güvenlik sağlamak için bir çerçeve ve kimlik doğrulama yoluyla güvenlik sağlamak için tasarlanmış protokoller paketi sunar. IP ağ paketlerinin şifrelenmesi. IPsec, şifreleme, şifre çözme ve kimlik doğrulama için kullanılan kriptografik algoritmaları tanımlayan protokolleri içerir.
IPsec vpn birden çok yapıyı birbirine bağlamada kullanılır. Hatta SD-WAN teknolojisi ile birleştiğinde yedekli olarak bu yapı sağlanmış olur.
IP paketlerinde güvenlik için iki mekanizma tanımlar:
- ESP Protokolü (Kapsülleme Güvenlik Yük Protokolü): IP paketlerindeki verileri şifrelemek için yöntem sağlar.
- AH Protokolü (Kimlik Doğrulama Başlığı Protokolü): IP paketlerinin dijital olarak imzalanması için yöntemi tanımlar.
IPsec aşağıdakileri yapmak için kullanılabilir:
- Uygulama katmanı verilerini şifrelemek için.
- Genel internet üzerinden yönlendirme verileri gönderen yönlendiriciler için güvenlik sağlamak.
- Şifreleme olmadan kimlik doğrulama sağlamak için, verilerin bilinen bir gönderenden geldiğini doğrulamak gibi.
- Sanal Özel Ağ (VPN) bağlantısında olduğu gibi, iki uç nokta arasında tüm verilerin şifrelenmiş olduğu IPsec tünelini kullanarak devreler kurarak ağ verilerini korumak için.
- Veri Şifreleme Standardı (DES)
- Üçlü DES (3DES)
- Diffie-Hellman (DH)
- Mesaj Özeti 5 (MD5)
- Güvenli Karma Algoritma-1 (SHA-1)
- Rivest, Shamir ve Adelman (RSA) İmzaları
- İnternet Anahtar Değişimi (IKE)
- Sertifika Yetkilileri (CA'lar)
DES Algoritması
DES, yüksek performanslı şifreleme sağlayan 56 bitlik bir anahtar kullanır. DES, paket verilerini şifrelemek ve şifresini çözmek için kullanılır. DES, şifreleme algoritması ile açık metni şifreli metne dönüştürür. Uzak uçtaki şifre çözme algoritması, şifreli metinden net metni geri yükler. Paylaşılan gizli anahtarlar, şifreleme ve şifre çözmeyi etkinleştirir.
Üçlü DES Algoritması (3DES)
Üçlü DES (3DES), Cisco ürünlerinde IPSec'te kullanım için desteklenen bir şifreleme protokolüdür. 3DES algoritması, 56 bit DES'in bir varyantıdır. 3DES, verilerin 64 bitlik bloklara bölünmesi açısından DES'e benzer şekilde çalışır. 3DES daha sonra her bloğu üç kez, her seferinde bağımsız bir 56 bit anahtarla işler. 3DES, şifreleme gücünü 56 bit DES'e göre etkili bir şekilde ikiye katlar.
Diffie-Hellman (DH)
Diffie-Hellman (DH), açık anahtarlı bir şifreleme protokolüdür. İki tarafın, güvenli olmayan bir iletişim kanalı üzerinden şifreleme algoritmaları (örneğin DES veya MD5) tarafından kullanılan paylaşılan bir gizli anahtar oluşturmasına izin verir. DH, IKE içinde oturum anahtarlarını oluşturmak için kullanılır. 768 bit ve 1024 bit DH grupları, Cisco yönlendiricilerinde ve PIX Güvenlik Duvarında desteklenir. 1024 bitlik grup, daha büyük anahtar boyutu nedeniyle daha güvenlidir.
Mesaj Özeti 5 (MD5)
Mesaj Özeti 5 (MD5), paket verilerinin kimliğini doğrulamak için kullanılan bir karma algoritmadır. Cisco yönlendiricileri ve PIX Güvenlik Duvarı, ek bir karma düzeyi sağlayan MD5 karma ileti kimlik doğrulama kodu (HMAC) varyantını kullanır. Karma, rastgele uzunlukta bir giriş mesajını alan ve sabit uzunlukta bir çıkış mesajı üreten tek yönlü bir şifreleme algoritmasıdır. IKE, AH ve ESP, kimlik doğrulama için MD5 kullanır.
Güvenli Karma Algoritma-1 (SHA-1)
Güvenli Karma Algoritma-1 (SHA-1), paket verilerinin kimliğini doğrulamak için kullanılan bir karma algoritmadır. Cisco yönlendiricileri ve PIX Güvenlik Duvarı, ek bir karma düzeyi sağlayan SHA-1 HMAC varyantını kullanır. IKE, AH ve ESP, kimlik doğrulama için SHA-1'i kullanır.
Rivest, Shamir ve Adelman (RSA) İmzaları
Rivest, Shamir ve Adelman (RSA), kimlik doğrulama için kullanılan açık anahtarlı bir kriptografik sistemdir. Cisco yönlendirici veya PIX Güvenlik Duvarı üzerindeki IKE, şifreleme algoritmaları tarafından kullanılan her IPSec eşindeki gizli anahtarları belirlemek için bir DH değişimi kullanır. DH değişimi, RSA imzaları veya önceden paylaşılan anahtarlarla doğrulanabilir.
İnternet Anahtar Değişimi (IKE)
İnternet Anahtar Değişimi (IKE), IPSec için yardımcı hizmet hizmetleri sağlayan karma bir protokoldür: IPSec eşlerinin kimlik doğrulaması, IKE ve IPSec güvenlik ilişkilerinin anlaşması ve IPSec tarafından kullanılan şifreleme algoritmaları için anahtarların oluşturulması.
IP Güvenlik Protokolü - Kimlik Doğrulama Başlığı (AH)
Kimlik Doğrulama Başlığı (AH), iki sistem arasında aktarılan datagramlara kimlik doğrulama ve bütünlük sağlar.
Bunu, bir mesaj özeti oluşturmak için datagrama anahtarlı tek yönlü bir hash işlevi uygulayarak başarır. Aktarım sırasında verikatarının herhangi bir kısmı değiştirilirse, verikatarında aynı tek yönlü hash fonksiyonunu gerçekleştirdiğinde ve gönderenin sağladığı mesaj özetinin değerini karşılaştırdığında alıcı tarafından tespit edilecektir. Tek yönlü karma, iki sistem arasında paylaşılan bir sırrın kullanılmasını da içerir, bu da gerçekliğin garanti edilebileceği anlamına gelir.
AH ayrıca, bir alıcı ana bilgisayarın paketin görüldüğünü belirtmek için başlıktaki tekrar bitini ayarlamasını gerektirerek yeniden oynatma korumasını da uygulayabilir. Bu koruma olmadan, bir saldırgan aynı paketi birçok kez yeniden gönderebilir: örneğin, "X hesabından 100 $ çek" içeren bir paket göndermek. , iki yönlendiriciyi gösterir ve aralarındaki verilerin açık metin olarak gönderildiğini doğrular.
AH işlevi, geçiş sırasında değişen tüm değiştirilebilir IP başlık alanları haricinde tüm datagrama uygulanır: örneğin, iletim yolu boyunca yönlendiriciler tarafından değiştirilen Yaşam Süresi (TTL) alanları. AH şu şekilde çalışır:
|
|
Aşama 1 |
IP başlığı ve veri yükü karma hale getirilir. |
|
|
Aşama 2 |
Karma, orijinal pakete eklenen yeni bir AH başlığı oluşturmak için kullanılır. |
|
|
Aşama 3 |
Yeni paket, IPSec eş yönlendiricisine iletilir. |
|
|
Aşama 4 |
Eş yönlendirici, IP başlığını ve veri yükünü karma hale getirir, iletilen karmayı AH başlığından çıkarır ve iki karmayı karşılaştırır. Karmalar tam olarak eşleşmelidir. İletilen pakette bir bit değiştirilse bile, alınan paketteki hash çıkışı değişecek ve AH başlığı eşleşmeyecektir. |
IP Güvenlik Protokolü - Kapsüllenen Güvenlik Yükü (ESP)
Encapsulated Security Payload (ESP), trafik akışı analizini yenerek gizlilik (şifreleme), veri kaynağı kimlik doğrulaması, bütünlük, isteğe bağlı anti replay hizmeti ve sınırlı trafik akışı gizliliği sağlamak için kullanılan bir güvenlik protokolüdür. Veri yükünün ESP ile şifrelenmiş olduğunu göstermektedir.
ESP, IP paket katmanında şifreleme gerçekleştirerek gizlilik sağlar. Çeşitli simetrik şifreleme algoritmalarını destekler. IPSec için varsayılan algoritma 56 bit DES'tir. Bu şifre, IPSec ürünleri arasında birlikte çalışabilirliği garanti etmek için uygulanmalıdır. Cisco ürünleri ayrıca güçlü şifreleme için 3DES kullanımını destekler. Gizlilik, diğer tüm hizmetlerden bağımsız olarak seçilebilir.
Hazırlayan: Mehmet Özyiğit