TCP/IP V4 Protokol kümesi gelişitirlirken Güvenlik göz ardı edilmişti, çünkü TCP/IP'nin bu denli yoğun ve dünya standardı olarak kullanılacağı düşünülmemişti. Datalarımız network üzerinde savunmasız olarak yol alırlar, dolayısı ile bir çok tehlikeye maruz kalabilirler, bu tehlikeler datalarımızın editlenmesi, yanlış yerlere yönlendirilmesi... gibi özetlenebilir. IPSec sayesinde datalarımızın network üzerinde güvenli bir şekilde hedefine ulaşmasınız sağlarız.
IPSec (Internet Protocol Security)
Doğru bilginin doğru zamanda doğru kişinin eline geçmesi bu gün olduğu gibi yüz yıllar önce de oldukça önemli bir konuydu. Yüzyıllar önce Kriptex adı verilen ve rivayete göre Leonardo Da Vinci tarafından icat edilen bir Mekanizma kullanılıyordu.
İletilmesi istenen gizli biligi papirüs kağıdına yazılarak/çizilerek bu mekanik cihazın içindeki sirke dolu cama sarılıyordu, cam da bu mekanik aksamın içine yerleşitirliyordu, eğer şifreyi biliyor iseniz mekanizmayı açabiliyordunuz; yok eğer zor kullanarak mekanizmayı açmaya çalışır iseniz Kriptex içerisindeki Cam kırılıyor ve içindeki sirke Papirüs kağıdına dökülüyor böylece belgedeki gizli bilgi siz okuyamadan siliniyordu.
Günümüzde kriptex artık kullanılmıyor; bunun sebebi gizliliğin önenimi yitirmiş olması değil elbette. Şifreleme için çok farklı ve karmaşık algoritmaların geliştirilmiş olmasıdır.
İnternet ortamında gizliliği ve bilginin güvenliğini sağlamak için bizler IETF (Internet Engineering Task Force) tarafından geliştrilen ve Açık Standart olan, Microsoft ve Cisco gibi Bilişim Teknolojilerinde otorite kabul edilen firmalar tarafından tam anlamıyla desteklenen IPSeci kullanacağız.
Nedir IPSec?
TCP/IP Protokol kümesi 1969 yılında DARPA tarafından (Department of Defense Advanced Research Projects Agency) kendi iç networklerinde kullanılmak üzere geliştirilmiştir, ve geliştirilirken güvenlik kısmen göz ardı edilmiştir; çünkü TCP/IP protokol kümesinin bu denli yoğun ve hatta standart olarak kabul edilip kullanılacağı düşünülmemişti.
Microsoft IPSeci tanımlarken şu ifadeyi kullanıyor Internet Protokolü güvenliği (IPSec), şifreleme güvenlik hizmetlerini kullanarak Internet Protokolü (IP) ağları üzerinden özel, güvenli bir iletişim sağlamaya yönelik açık standartlar çerçevesidir.
IPSec Veriyi, kriptolayan (encryption), bütünlüğünü sağlayan (integrity) , kimlik doğrulaması (authentication) ve verinin network üzerinde güvenli iletimini (Secure transmission) sağlayan bir endüstri standardıdır.
IPSec Uçtan uca güvenlik modelini kullanır; datayı gönderen ve alan uçlar aynı IPSec Policyleriyle/Kriterleriyle yapılandırılır (aynı dili konuşmaları sağlanır ki anlaşabilsinler), bu uç sistemler haricinde hiçbir sistem Network üzerinde yol alan bu datayı kullanamaz.
IPSec uçtan uca güvenliği şu şekilde sağlar:
Uçlar arasında Kimlik Doğrulaması (Authentication),
Uçlar arasında Güvenlik Anlaşması (Security Association (SA))
Dataların encript edilerek uçlar arasında el değiştirmesi
Encryption (Şifreleme): Verinin çeşitli matematiksel algoritmalar kullanılarak kriptolanması/Şifrelenmesi.
Decryption: Encryptionın tam tersi bir işlem gerçekleştirilerek encript edilmiş (kriptolanmış/Şifrelenmiş) verinin açılması ve kullanılabilir hale getirilmesi.
IPSecin diğer Güvenlik Protokolleri ile karşılaştırılması:
Birçok uygulama kendilerine ait olan şifreleme ve yetkilendirme sistemleri kullanır. Uygulama katmanında yapılan bu güvenlik uygulamaları, kullandığınız uygulamada çeşitli ayarlar yapmanızı gerektirir. Uygulama katmanı güvenliği kullanan uygulamara örnek olarak Secure Socket Layer (SSL), e-mail güveliğinde kullanılan Pretty Good Privacy (PGP) ve Secure/Multipurpose Internet Mail Extension (S/MIME) gösterilebilir. Uygulama katmanı güveliği kullanıldığında güvenlik sadece söz konusu uygulamanın network trafiğini korur.
IPSec ise Kullandığımız uygulamalara bakmaksınız Network katmanında çalışarak bütün IP tabanlı network trafiğinin güvenliğini sağlar. Kullandığımız uygulamalarda, IPSec için herhangi bir ayar yapmamız gerekmez.
IPSecin Protokolleri:
IPSec, Standart IP paketlerine, Authentication Header (AH) ve Encapsulated Security Payload (ESP) ekleyerek network iletişimini güvenli hale getirir; bu protokolleri inceleyecek olursak:
AH: Authentication Header
AH, iletim esnasındaki olası değişiklerin önüne geçmek, Replay saldırılarını engellemek ve IP Paketinin bütünlüğünü korumak için çeşitli algoritmalar kullanarak IP Paketine sıra numarası verir, IP Paketi hedefine ulaştığında aynı algoritma kullanılarak sıra numarası tespit edilir, eğer IP paketi yolda bir şekilde editlendiyse (bir tek karakter bile değişse) sıra numarası farklı olacağından IP Paketi kabul edilmez. AH söz konusu sıra numarasını IP paketinin Header kısmında bazı alanları editleyerek yazar. Ancak IP paketini encript etmez, bu durumda AH tek başına bize güvenlik sağlamada yeterli olmaz; beraberinde encryptiona da ihtiyacımız var, ve bu ihtiyacımızı aşağıdaki maddede açıkladığımız ESP sağlar.
ESP: Encapsulating Security Payload (Kapsüllenen Güvenlik Yükü)
ESPnin birincil görevi AH tarafından sıra numarası verilmiş IP paketlerini belirlediğimiz algoritmalar yardımıyla encrypt etmek ve hedefte aynı algoritma yardımıya decrypt etmektir. Bunu IP paketlerini kapsülleyerek yapar; ismini de ordan alır.
IPSec iki biçimde kullanılabilir, bunlar:
Transport Mode (Aktarma Modu)
IPSec için varsayılan moddur; uçtan uca (end-to-end / Peer to peer / Host to Host) iletişim için kullanılır; aktarım modu kullanıldığında, IPSec yalnızca IP datalarını encrypt eder. Transport modu IP Datasının AH veya ESP ile korunmasını sağlar. Transport Mode, aynı LAN (Local Area Network) içerisinde bulunan iki bilgisayar arasında kullanılabilir. IPSec kullanacak olan sistemler IPSeci desteklemeli ve aynı protokolleri kullanacak şekilde konfigüre edilmiş olmalıdırlar.
Tunnel Mode (Tünel Modu)
IPSec tünel modu, datalarımız bizim kontrolümüzün dışında olan bir networkten geçeceği zaman, kullanılır, örneğin iki ayrı yerleşim biriminde şubesi olan şirketin şubeleri arasındaki bağlantı (Network-to-Network). IPSec Tunel modda kullanıldığında şubelerin iç networklerinde IPSec kullanamaya gerek yoktur, çünkü sistemlerin gönderdikleri IP Paketleri karşı networke ulaştırılmak üzere kendi GateWaylerine IPSec uygulanmadan gelir ve Encryption/Decyrption işlemi bu GateWaylerde yapılır ve IP Paketi şifrelenerek hedefe sisteme teslim edilmek üzere karşı GateWaye teslim edilir.
IPSec Kimlik Doğrulama Metodları:
IPSec kullanacak olan sistemlerde hangi kimlik doğrulama metodunun kullanılacağı önceden belirlenmedir IPSec üç farklı Kimlik Doğrulama Metodu kullanır:
· Kerberos (Widows domain yapısı grektirir)
· X.509 Sertifikaları (Sertifikasyon otoritesi gerektirir)
· Preshared Key (Önceden tanımlanmış şifre gerektirir)
Kimlik Doğrulama Metodlarını inceleyecek olursak:
Kerberos:
IPSecde uygulaması en kolay olan güvenilir bir kimlik doğrulama yöntemidir; iletişime geçecek olan uçlar aynı Active Directory Ormanında yer almalıdırlar; kimlik kontrolü, bağlı bulunulan Domain Controller tarafından yapılır, dolayısı ile iletişim kuracak olan sistemler Active Directoryye üye olmalıdırlar.
X.509 Sertifikaları:
Uçlar arasında karşılıklı kimlik doğrulaması için X.509 sertifikaları kullanılabilir; bunun için uçların güvendikleri bir (Certification Authority-CA) Sertifika Otoritesinden sertifika alınması gerekir. Sertifikaları sizin Active Directory Ormanınıza dahil olmayan partnerlerinizle olan iletişimlerinizde ve VPN (Virtual Private Network-Sanal Özel Ağ) bağlantılarınızda kullanabilirsiniz. VPN bağlantılarını IPSec kullanarak oluşturacak iseniz L2TP (Layer Two Tunelling Protocol-ikinci Katman Tunelleme Protokolü) ve Sertifika kullanmak zorundasınız.
Preshared Key:
Uçlar arasında Kimlik doğrulaması yapmak için Preshared Key (Önceden Paylaştırılmış Anahtar/Şifre) kullanabilirsiniz; ancak bu yöntem daha çok bağlantı testi için kullanılan bir yöntemdir. Uçlar kimliklerini doğrulamak için önceden belirlenmiş aynı şifreyi kullanırlar, ismini de ordan alır.
IPSecin bileşenleri:
1. IPSec Policy (IPSec Kriterleri)
İletişime geçecek olan Uç sistemlerin uymaları gereken kurallardır. Windows 2000 ve sonrası işletim sistemlerinde hazır bir şekilde kullanılabilecek 3 adet Policy gelir bunlar:
ü Client (Respond Only) Sadece Cevap Ver
İletişime geçtiğimiz sistem IPSec kullanmak istediğinde kullandığımız onun haricindeki iletişimlerimizde IPSec kullanmadığımız durumlardır.
ü Server (Request Securit) IPSec Kullanma Teklifi
İletişime geçtiğimiz sisteme IPSec kullanmak istedğimizi belirttiğimiz; ancak karşı sistem IPSec desteklemiyorsa yine de iletişim kurduğumuz durumlardır. Yani IPSec olsa da olmasa da iletişimin olduğu durumlardır, ancak IPSec tercihimizdir.
ü Secure Server (Require Security) IPSec olmadan asla
İletişime geçtiğimiz sistemden her halükarda IPSec kullanmak istediğimizi belirttiğimiz durumlardır; eğer IPSec yoksa iletişimin olmadığı durumlardır.
2. IKE (Internet Key Exchange)
Uç sistemler, güvenli veri iletişimine başlamadan önce veriyi nasıl koruyacakları konusunda bir anlaşma yapmaları gerekir. Bu anlaşmaya Security Association- SA denir. IKE bu güvenlik anlaşmasını yapar ve yönetir. IKE, Internet Security Association Key Management Protocol (ISAKMP) ve Oakley Protocol (Oakley) protokollerinden oluşur ve IKE diye bilinir.
IKEnin Main Mode ve Quick Mode olmak üzere iki operasyon Modu vardır, bunları inceleyecek olursak:
Main Mode:
Uç sistemlerin güvenli iletişim kurabilmeleri için aşağıdaki konularda uzlaşma sağlaması gerekir:
Kullanılacak olan Encryption Algoritması (DES veya 3DES)
Kullanılacak olan Hash Algoritması (MD5 veya SHA1)
Kimlik Doğrulama Metodu (Sertifika, Preshared Key, Kerberos V5)
Anahtar oluşturmak için Diffie-Hellman (DH) grubu kullanılır.
Quick Mode:
Main Mode uzlaşması tamamlandığında yada var olan Quick Modeun süresi dolduğunda IKE Quick Mode anlaşmasına başlar. IKE, kullanılacak olan Kriterleri, IPSecin Tunnel mi yoksa Transport mu olduğunu, protokolün AH mı ESP mi yoksa her ikisi mi olduğunu ve hangi şifreleme (Encryption) ve işaretleme (Hashing) algoritmalarının kullanıldığını sorgular.
3. IPSec Driver
IPSec Driverının görevi gelen ve giden IP paketlerinin önceden belirlenmiş olan IPSec Policylerine (Kriterler) uyup uymadığını kontrol etmektir; paketler belirlenen kriterlere uyuyorsa kabul edilir; uymuyorsa paket imha edilir.
IPSec Nerelere uygulanabilir?
· Ağ geçitleri arasına
Sunucu ve ağ geçidi arasında
IPSec Kullanarak aşağıdaki saldırı tiplerinden kurutalabiliriz.
Network Monitoring/Sniffing:
Networkünüzde şifrelenmemiş olan IP paketleri Network Monitoring/Sniffing programları ile izlenenilir ve paket içerikleri görüntülenebilir ÖR: clear text (düz metin) olarak gönderilen şifreleriniz bu bu programlar ile çok rahatlıkla elde edilebilir. Ethereal ve Microsoft Network Monitor bu programlara örnek olarak gösterilebilir.
Denial of Service (DOS)
Sunucu sisteme kaldırabileceğinden fazla iş yükü vererek sistemin servis dışı bırakılması suretiyle erişimimizin engellenmesi.Ör: Sunucu sisteme aynı anda çok miktarda mailin gönderilmesi, çok sayıda sistem tarafından belirli bir sunucuya yüksek kapasiteli Ping atılması.
Address Spofing:
Veriler gerçekte IP Paketleri üzerinde Destination (hedef ) olarak gösterilen bilgisayara değil de IP paketlerini ele geçiren kişinin gösterdiği bilgisayar hedefmiş gibi gösterilebilir, ve IP Paketleri yanlış hedefe gönderilebilir
Replay:
Network üzerindeki verinin, tekrar gönderen sisteme veya başka sisteme tekrar gönderilmesi.
Man in the Middle
Hedefine gitmekte olan verinin içeriğinin değiştirilmesi (yanlış bilginin gönderilmesi)
Örneklemek gerekirse:
Firmanız sipariş üzerine Mobilya üretim yapıyor diyelim; Satış departmanınız üretim departmanınıza Parası peşin olarak alınmış olan 10 Adet oturma odası siparişini, teslim adresini, firma bilgilerini mesaj olarak gönderiyor; Networkünüze sızan birisi Network Monitoring/Sniffing programları aracılığı ile bu sipariş mesajını ele geçiriyor ve sipariş adetini 10dan 100e teslim adresini de kendi adresini olacak şekilde değişitiriyor ve mesajı hedefine o şekilde gönderiyor. Eğer isterse bu mesajı istediği zaman içeriğini değişitirerek tekrar tekrar gönderebilir.
Bilgisayarınızın Diskinde bulunan veriyi bir şekilde güvenlik altına alabilirsiniz (NTFS dosya sistemi), ancak söz konusu veri network üzerinden başka bir bilgisayara iletileceği zaman veri yetkisiz kişiler tarafından kolaylıkla izlenebilecek biçimde savunmasız yol alır. IPSec tam olarak bu noktada işimize yarar, networkte hareket eden ve savunmasız olan IP Paketlerimizi IPSec ile koruyabiliriz.
IPSec (Internet Protocol Security)
Doğru bilginin doğru zamanda doğru kişinin eline geçmesi bu gün olduğu gibi yüz yıllar önce de oldukça önemli bir konuydu. Yüzyıllar önce Kriptex adı verilen ve rivayete göre Leonardo Da Vinci tarafından icat edilen bir Mekanizma kullanılıyordu.
İletilmesi istenen gizli biligi papirüs kağıdına yazılarak/çizilerek bu mekanik cihazın içindeki sirke dolu cama sarılıyordu, cam da bu mekanik aksamın içine yerleşitirliyordu, eğer şifreyi biliyor iseniz mekanizmayı açabiliyordunuz; yok eğer zor kullanarak mekanizmayı açmaya çalışır iseniz Kriptex içerisindeki Cam kırılıyor ve içindeki sirke Papirüs kağıdına dökülüyor böylece belgedeki gizli bilgi siz okuyamadan siliniyordu.
Günümüzde kriptex artık kullanılmıyor; bunun sebebi gizliliğin önenimi yitirmiş olması değil elbette. Şifreleme için çok farklı ve karmaşık algoritmaların geliştirilmiş olmasıdır.
İnternet ortamında gizliliği ve bilginin güvenliğini sağlamak için bizler IETF (Internet Engineering Task Force) tarafından geliştrilen ve Açık Standart olan, Microsoft ve Cisco gibi Bilişim Teknolojilerinde otorite kabul edilen firmalar tarafından tam anlamıyla desteklenen IPSeci kullanacağız.
Nedir IPSec?
TCP/IP Protokol kümesi 1969 yılında DARPA tarafından (Department of Defense Advanced Research Projects Agency) kendi iç networklerinde kullanılmak üzere geliştirilmiştir, ve geliştirilirken güvenlik kısmen göz ardı edilmiştir; çünkü TCP/IP protokol kümesinin bu denli yoğun ve hatta standart olarak kabul edilip kullanılacağı düşünülmemişti.
Microsoft IPSeci tanımlarken şu ifadeyi kullanıyor Internet Protokolü güvenliği (IPSec), şifreleme güvenlik hizmetlerini kullanarak Internet Protokolü (IP) ağları üzerinden özel, güvenli bir iletişim sağlamaya yönelik açık standartlar çerçevesidir.
IPSec Veriyi, kriptolayan (encryption), bütünlüğünü sağlayan (integrity) , kimlik doğrulaması (authentication) ve verinin network üzerinde güvenli iletimini (Secure transmission) sağlayan bir endüstri standardıdır.
IPSec Uçtan uca güvenlik modelini kullanır; datayı gönderen ve alan uçlar aynı IPSec Policyleriyle/Kriterleriyle yapılandırılır (aynı dili konuşmaları sağlanır ki anlaşabilsinler), bu uç sistemler haricinde hiçbir sistem Network üzerinde yol alan bu datayı kullanamaz.
IPSec uçtan uca güvenliği şu şekilde sağlar:
Uçlar arasında Kimlik Doğrulaması (Authentication),
Uçlar arasında Güvenlik Anlaşması (Security Association (SA))
Dataların encript edilerek uçlar arasında el değiştirmesi
Encryption (Şifreleme): Verinin çeşitli matematiksel algoritmalar kullanılarak kriptolanması/Şifrelenmesi.
Decryption: Encryptionın tam tersi bir işlem gerçekleştirilerek encript edilmiş (kriptolanmış/Şifrelenmiş) verinin açılması ve kullanılabilir hale getirilmesi.
IPSecin diğer Güvenlik Protokolleri ile karşılaştırılması:
Birçok uygulama kendilerine ait olan şifreleme ve yetkilendirme sistemleri kullanır. Uygulama katmanında yapılan bu güvenlik uygulamaları, kullandığınız uygulamada çeşitli ayarlar yapmanızı gerektirir. Uygulama katmanı güvenliği kullanan uygulamara örnek olarak Secure Socket Layer (SSL), e-mail güveliğinde kullanılan Pretty Good Privacy (PGP) ve Secure/Multipurpose Internet Mail Extension (S/MIME) gösterilebilir. Uygulama katmanı güveliği kullanıldığında güvenlik sadece söz konusu uygulamanın network trafiğini korur.
IPSec ise Kullandığımız uygulamalara bakmaksınız Network katmanında çalışarak bütün IP tabanlı network trafiğinin güvenliğini sağlar. Kullandığımız uygulamalarda, IPSec için herhangi bir ayar yapmamız gerekmez.
IPSecin Protokolleri:
IPSec, Standart IP paketlerine, Authentication Header (AH) ve Encapsulated Security Payload (ESP) ekleyerek network iletişimini güvenli hale getirir; bu protokolleri inceleyecek olursak:
AH: Authentication Header
AH, iletim esnasındaki olası değişiklerin önüne geçmek, Replay saldırılarını engellemek ve IP Paketinin bütünlüğünü korumak için çeşitli algoritmalar kullanarak IP Paketine sıra numarası verir, IP Paketi hedefine ulaştığında aynı algoritma kullanılarak sıra numarası tespit edilir, eğer IP paketi yolda bir şekilde editlendiyse (bir tek karakter bile değişse) sıra numarası farklı olacağından IP Paketi kabul edilmez. AH söz konusu sıra numarasını IP paketinin Header kısmında bazı alanları editleyerek yazar. Ancak IP paketini encript etmez, bu durumda AH tek başına bize güvenlik sağlamada yeterli olmaz; beraberinde encryptiona da ihtiyacımız var, ve bu ihtiyacımızı aşağıdaki maddede açıkladığımız ESP sağlar.
ESP: Encapsulating Security Payload (Kapsüllenen Güvenlik Yükü)
ESPnin birincil görevi AH tarafından sıra numarası verilmiş IP paketlerini belirlediğimiz algoritmalar yardımıyla encrypt etmek ve hedefte aynı algoritma yardımıya decrypt etmektir. Bunu IP paketlerini kapsülleyerek yapar; ismini de ordan alır.
IPSec iki biçimde kullanılabilir, bunlar:
Transport Mode (Aktarma Modu)
IPSec için varsayılan moddur; uçtan uca (end-to-end / Peer to peer / Host to Host) iletişim için kullanılır; aktarım modu kullanıldığında, IPSec yalnızca IP datalarını encrypt eder. Transport modu IP Datasının AH veya ESP ile korunmasını sağlar. Transport Mode, aynı LAN (Local Area Network) içerisinde bulunan iki bilgisayar arasında kullanılabilir. IPSec kullanacak olan sistemler IPSeci desteklemeli ve aynı protokolleri kullanacak şekilde konfigüre edilmiş olmalıdırlar.
Tunnel Mode (Tünel Modu)
IPSec tünel modu, datalarımız bizim kontrolümüzün dışında olan bir networkten geçeceği zaman, kullanılır, örneğin iki ayrı yerleşim biriminde şubesi olan şirketin şubeleri arasındaki bağlantı (Network-to-Network). IPSec Tunel modda kullanıldığında şubelerin iç networklerinde IPSec kullanamaya gerek yoktur, çünkü sistemlerin gönderdikleri IP Paketleri karşı networke ulaştırılmak üzere kendi GateWaylerine IPSec uygulanmadan gelir ve Encryption/Decyrption işlemi bu GateWaylerde yapılır ve IP Paketi şifrelenerek hedefe sisteme teslim edilmek üzere karşı GateWaye teslim edilir.
IPSec Kimlik Doğrulama Metodları:
IPSec kullanacak olan sistemlerde hangi kimlik doğrulama metodunun kullanılacağı önceden belirlenmedir IPSec üç farklı Kimlik Doğrulama Metodu kullanır:
· Kerberos (Widows domain yapısı grektirir)
· X.509 Sertifikaları (Sertifikasyon otoritesi gerektirir)
· Preshared Key (Önceden tanımlanmış şifre gerektirir)
Kimlik Doğrulama Metodlarını inceleyecek olursak:
Kerberos:
IPSecde uygulaması en kolay olan güvenilir bir kimlik doğrulama yöntemidir; iletişime geçecek olan uçlar aynı Active Directory Ormanında yer almalıdırlar; kimlik kontrolü, bağlı bulunulan Domain Controller tarafından yapılır, dolayısı ile iletişim kuracak olan sistemler Active Directoryye üye olmalıdırlar.
X.509 Sertifikaları:
Uçlar arasında karşılıklı kimlik doğrulaması için X.509 sertifikaları kullanılabilir; bunun için uçların güvendikleri bir (Certification Authority-CA) Sertifika Otoritesinden sertifika alınması gerekir. Sertifikaları sizin Active Directory Ormanınıza dahil olmayan partnerlerinizle olan iletişimlerinizde ve VPN (Virtual Private Network-Sanal Özel Ağ) bağlantılarınızda kullanabilirsiniz. VPN bağlantılarını IPSec kullanarak oluşturacak iseniz L2TP (Layer Two Tunelling Protocol-ikinci Katman Tunelleme Protokolü) ve Sertifika kullanmak zorundasınız.
Preshared Key:
Uçlar arasında Kimlik doğrulaması yapmak için Preshared Key (Önceden Paylaştırılmış Anahtar/Şifre) kullanabilirsiniz; ancak bu yöntem daha çok bağlantı testi için kullanılan bir yöntemdir. Uçlar kimliklerini doğrulamak için önceden belirlenmiş aynı şifreyi kullanırlar, ismini de ordan alır.
IPSecin bileşenleri:
1. IPSec Policy (IPSec Kriterleri)
İletişime geçecek olan Uç sistemlerin uymaları gereken kurallardır. Windows 2000 ve sonrası işletim sistemlerinde hazır bir şekilde kullanılabilecek 3 adet Policy gelir bunlar:
ü Client (Respond Only) Sadece Cevap Ver
İletişime geçtiğimiz sistem IPSec kullanmak istediğinde kullandığımız onun haricindeki iletişimlerimizde IPSec kullanmadığımız durumlardır.
ü Server (Request Securit) IPSec Kullanma Teklifi
İletişime geçtiğimiz sisteme IPSec kullanmak istedğimizi belirttiğimiz; ancak karşı sistem IPSec desteklemiyorsa yine de iletişim kurduğumuz durumlardır. Yani IPSec olsa da olmasa da iletişimin olduğu durumlardır, ancak IPSec tercihimizdir.
ü Secure Server (Require Security) IPSec olmadan asla
İletişime geçtiğimiz sistemden her halükarda IPSec kullanmak istediğimizi belirttiğimiz durumlardır; eğer IPSec yoksa iletişimin olmadığı durumlardır.
2. IKE (Internet Key Exchange)
Uç sistemler, güvenli veri iletişimine başlamadan önce veriyi nasıl koruyacakları konusunda bir anlaşma yapmaları gerekir. Bu anlaşmaya Security Association- SA denir. IKE bu güvenlik anlaşmasını yapar ve yönetir. IKE, Internet Security Association Key Management Protocol (ISAKMP) ve Oakley Protocol (Oakley) protokollerinden oluşur ve IKE diye bilinir.
IKEnin Main Mode ve Quick Mode olmak üzere iki operasyon Modu vardır, bunları inceleyecek olursak:
Main Mode:
Uç sistemlerin güvenli iletişim kurabilmeleri için aşağıdaki konularda uzlaşma sağlaması gerekir:
Kullanılacak olan Encryption Algoritması (DES veya 3DES)
Kullanılacak olan Hash Algoritması (MD5 veya SHA1)
Kimlik Doğrulama Metodu (Sertifika, Preshared Key, Kerberos V5)
Anahtar oluşturmak için Diffie-Hellman (DH) grubu kullanılır.
Quick Mode:
Main Mode uzlaşması tamamlandığında yada var olan Quick Modeun süresi dolduğunda IKE Quick Mode anlaşmasına başlar. IKE, kullanılacak olan Kriterleri, IPSecin Tunnel mi yoksa Transport mu olduğunu, protokolün AH mı ESP mi yoksa her ikisi mi olduğunu ve hangi şifreleme (Encryption) ve işaretleme (Hashing) algoritmalarının kullanıldığını sorgular.
3. IPSec Driver
IPSec Driverının görevi gelen ve giden IP paketlerinin önceden belirlenmiş olan IPSec Policylerine (Kriterler) uyup uymadığını kontrol etmektir; paketler belirlenen kriterlere uyuyorsa kabul edilir; uymuyorsa paket imha edilir.
IPSec Nerelere uygulanabilir?
· Ağ geçitleri arasına
Sunucu ve ağ geçidi arasında
IPSec Kullanarak aşağıdaki saldırı tiplerinden kurutalabiliriz.
Network Monitoring/Sniffing:
Networkünüzde şifrelenmemiş olan IP paketleri Network Monitoring/Sniffing programları ile izlenenilir ve paket içerikleri görüntülenebilir ÖR: clear text (düz metin) olarak gönderilen şifreleriniz bu bu programlar ile çok rahatlıkla elde edilebilir. Ethereal ve Microsoft Network Monitor bu programlara örnek olarak gösterilebilir.
Denial of Service (DOS)
Sunucu sisteme kaldırabileceğinden fazla iş yükü vererek sistemin servis dışı bırakılması suretiyle erişimimizin engellenmesi.Ör: Sunucu sisteme aynı anda çok miktarda mailin gönderilmesi, çok sayıda sistem tarafından belirli bir sunucuya yüksek kapasiteli Ping atılması.
Address Spofing:
Veriler gerçekte IP Paketleri üzerinde Destination (hedef ) olarak gösterilen bilgisayara değil de IP paketlerini ele geçiren kişinin gösterdiği bilgisayar hedefmiş gibi gösterilebilir, ve IP Paketleri yanlış hedefe gönderilebilir
Replay:
Network üzerindeki verinin, tekrar gönderen sisteme veya başka sisteme tekrar gönderilmesi.
Man in the Middle
Hedefine gitmekte olan verinin içeriğinin değiştirilmesi (yanlış bilginin gönderilmesi)
Örneklemek gerekirse:
Firmanız sipariş üzerine Mobilya üretim yapıyor diyelim; Satış departmanınız üretim departmanınıza Parası peşin olarak alınmış olan 10 Adet oturma odası siparişini, teslim adresini, firma bilgilerini mesaj olarak gönderiyor; Networkünüze sızan birisi Network Monitoring/Sniffing programları aracılığı ile bu sipariş mesajını ele geçiriyor ve sipariş adetini 10dan 100e teslim adresini de kendi adresini olacak şekilde değişitiriyor ve mesajı hedefine o şekilde gönderiyor. Eğer isterse bu mesajı istediği zaman içeriğini değişitirerek tekrar tekrar gönderebilir.
Bilgisayarınızın Diskinde bulunan veriyi bir şekilde güvenlik altına alabilirsiniz (NTFS dosya sistemi), ancak söz konusu veri network üzerinden başka bir bilgisayara iletileceği zaman veri yetkisiz kişiler tarafından kolaylıkla izlenebilecek biçimde savunmasız yol alır. IPSec tam olarak bu noktada işimize yarar, networkte hareket eden ve savunmasız olan IP Paketlerimizi IPSec ile koruyabiliriz.
![[NEO]](/data/avatars/m/688/688767.jpg?1657147017){kind=avatar}
