19 Haziran 2010 Cumartesi

IPSEC, Yönlendirme Teknikleri, OSI ve TCP Arasındaki Farklar, TC/IP Katmanları

IPSEC(Internet Protocol Security)

IPV4 çıkışında güvenlik ön planda tutulmamıştı. 
Internet’in yaygınlaşmasıyla güvenlik önemli bir hal aldı.
 Asıl IPV6 için çıkartılan IPSEC IPV4’tede kullanmak 
üzere değiştirildi.Asıl çıkış amacı IPV6’da güvenliği
 sağlamaktır. IPSEC’te şifreleme ve filtreleme bir
 arada kullanılarak bilgilerin güvenliği sağlanılıyor.


Güvenlik anlaşmaları : Ipsec’in trafiği nasıl 
koruyacağını belirler.
Bu problemin çözümü için internet anahtar değişim
 protocolu IKE geliştirilmiştir.
IPSEC protocolleri IP datagramlarının gizliliğini 
korumak için standart şifreleme algoritmalarını
 kullanırlar. IP datagramların koruması için ihtiyaç 
duyulan bütün bu parametreler bir güvenlik 
anlaşmasında(security association) saklanılır.
Güvenlik anlaşması kaynak ve hedef IP adreslerini 
tanımladığından çift yönlü IPSEC iletişiminde sadece bir
 yöndeki trafikte koruma sağlayabilir. IPSEC her iki yönde 
de koruma sağlamak için iki adet tek yönlü güvenlik 
anlaşmasına ihtiyaç duyar. Güvenlik anlaşması sadece IPSEC 
trafiğinin nasıl koruyacağını belirler.
2 farklı protocol kullanır.Bunlar : AH ve ESP
Bu protocolleri kullanma amacı : Iletişimin doğruluğunu
 kanıtlamak, bütünlük ve gizliliğinden emin olmak içindir. 
Tüm IP datagramlarını koruyabileceği gibi sadece daha üst
 katmanalrın protocollerini de koruyabilir.Bu durumlar
 için karşılık gelen modlar 1. Tünel 2.Taşıma dır.
Tünel modunda, ıp datagramını ıpsec protocolunu kullanarak 
yeni bir ıp datagramı tarafından tamamen kapsüllenir(wan’lar arasında)
Taşıma modunda ise ip datagramının sadece kullanıcı 
verisi(payload), ipsec protokolü tarafından ip başlığı ile daha 
üst katman protocol başlığı arasına yerleştirilerek 
işlenir(LAN üzerinde yapılan ipsec uygulamaları)
Modlar : http://prntscr.com/hos8


Bütünlük koruma : IPSEC protokolleri ipdatagramının bütünlüğünü 
korumak için hash mesaj doğrulama kodlarını (HMAC) kullanırlar.
MD5 ve SHA gibi hash algoritmaları kullanarak ip datagramını 
ve bir gizli anahtarı temel alan HMAC çıkartılır.Amaç verinin
 değiştirilmesini engellemektir.oluşturulan HMAC, ipsec 
protocol başlığına eklenir ve paketin alıcısı, eğer eğer
 gizli anahtara erişimi varsa bu HMAC’ı kontrol edebilir.
Gizlilik : Ipsec protokolleri, ip datagramlarının gizliliğini 
korumak için standart olarak, simetrik şifreleme algoritmaları
 kullanır.Günümüğzde genel olarak 3DES,AES, Blowfish gibi 
güçlü algoritmalar kullanılır.
Ipsec protokollerini karşılıklı olarak kapsülleyip açabilen
 eşlerin gizli anahtarı algoritmaları ve iletişiminde 
izin verilen ip adreslerini saklamak için bir yönteme 
ihtiyaçları vardır.Ip datagramlarının korunması için ihtiyaç
 duyulan bu parametreler bir güvenlik anlaşmasında 
saklanılır(SA).Güvenlik anlaşmaları sırayla güvenlik 
anlaşmaları vt sinde(SAD) da saklanırlar.
•  Her bir güvenlik anlaşması aşağıdaki parametreleri tanımlar;
1.Oluşan ipsec başlığının hedef ve kaynak ip adresleri.
 Bu adresler, paketleri koruyan ipsec eşlerinin ip adresleridir.
2.Ipsec protokolü(AH veya ESP) bazen sıkıştırmada desteklenir.
3.Ipsec protokolünün kullandığı gizli anahtar ve protokol
4.Günlük parametre dizinini(SPI) : Bu güvenlik anlaşmasını
 belirleyen 32 bit sayı.
•Bazı SAD gerçeklenimleri başka parametrelerinde saklanmasına izin verir.
1.Ipsec modu(tünel ya da taşıma)
2.Cevap ataklarına karşı koruma sağlayan kayan pencerenin büyüklüğü
3.Güvenlik anlaşmasının geçerlilik süresi
•Güvenlik anlaşması kaynak ve hedef ip adresini tanımladığında
 çift yönlü iletişiminde sadece bir yöndeki trafikte koruma
 sağlayabilir.Ipsec 2 yönde de koruma sağlamak için 2
 adet tek yönlü güvenlik anlaşmasına ihtiyaç duyar.
•Güvenlik anlaşması elle yapılandırılması hataya yatkın ve çok da güvenli değil.
•Gizli anahtarın ve şifreleme algoritmaların VPN deki tüm
 eşler arasında paylaşamsı gerekir.
•Ipsec protokol ailesi 2 bağımsız ip protokolünden oluşur.
1.Kimlik kanıtlama başlığı(AH) : 51 nolu protokol
2.Kapsüllenen güvenlik yükü(ESP) : 50 nolu protokol
•AH(Authentication Header)(Kimlik Kanıtlama Başlığı) : 
AH protokolü ip datagramının bütünlüğünü korur.Bunu yapabilmek
 için datagramının HMAC’ini hesaplar.HMAC hesaplanırken, gizli 
anahtar, paketteki kullanıcı verisi ve ip başlığındaki ip adresi
 gibi değişmeyen bölümler temel alınır.Bu bilgi daha sonra paketin 
AH başlığına eklenir.


TCP/IP protocol takımında, veri iletişimi için nelerin gerekli 
olduğunu ve bunların nasıl gerçekleştirileceği tanımlanmıştır.
 Katmanlar ve bu katmanlarda çalışacak(IP, TCP gibi)
 protocoller belirlenmiştir.OSI referans modelindeyse sadece
 veri iletişimi için gerekli olan şeyler belirlenmiştir.
Protocol : Katmanlar arası konuşmayı düzenleyen kurallar topluluğudur.
 AH : Kimlik kanıtlama başlığı
ESP : Kapsüllenen güvenlik yükü.ESP protokolü hem hmac
 kullanarak paketin bütünlüğünü hem de şifreleme kullanrak 
paketin gizliliğini garanti eder.
NAT : Ağ adres çeviricisi
TCP : Transmission control protocol
IP :  Internet protocol
DNS : Domain Name System
http : Hyper Text Transfer Protocol
HTTPS : Secure http
FTP : File Transfer Protocol
SFTP : Secure FTP
SNMP : Simple Network Managment Protocol
DHCP : Dynamic Host Configuration Protocol
NFS : Network File System
LPD : Line Printer Daemon
SMTP : Simple Mail Transfer Protocol
POP3 : Post Office Protocol 3
Telnet : Telecommunication Network
SLIP : Serial Line Internet Protocol
PPP : Point-to-point Protocol
UDP : User Datagram Protocol


Yönlendirme



1.Static   2.Dinamik  3.Kaynaktan yönlendirme  
4.Hop by hop yönlendirme
  Yönlendirme Teknikleri
1-En kısa yolu bulma algoritması : Bilgisayar ağlarında iki
 nokta arasındaki en kısa yolu bulurken ölçüt olarak:
a-Bağlantı noktaları arasındaki coğrafi uzaklık
b-Geçilen düğüm(sekme) sayısı
c-Hatalar üzerinde ortaya çıkan aktarım süreleri, 
gecikme değerleri sonuçta amacımız, kullanılan ölçüte 
bağlı olarak kaynak noktasından varış noktasına
 en kısa yolun bulunmasıdır.
2.Flooding : Bu yöntemde bir düğüme ulaşan paketin 
kopyaları çıkarılır ve bu kopyalar paketin geldiği 
bağlantı(hat) dışındaki tüm bağlantılardan gönderilir.
3.Distance Vector Routing : Uzaklık vektörü yönlendirmesi
 dinamik yönlendirme algoritmasıdır. Bu teknikte her 
yönlendirici bir yönlendirme tablosu tutar.Bu tabloda ağdaki 
her yönlendirici için bir satır bulunur. Her satırda ilgili 
yönlendiricinin tablonun bulunduğu yönlendiriciye olan 
uzaklığı ve ilgili yönlendirmeye hangi çıkış hattı üzerinden 
ulaşılacağı bilgisi saklanılır.Uzaklık vektörü 
yönlendirmesinde her yönlendirici(peryodik olarak) her 
T milisaniyede bir kendi tablosunda bulunan ölçüt değerlerini
 komşularına gönderir ve benzer bir tabloyu da komşusundan alır.


RSA(Anahtar Üretimi)



Örnek: 123 şifreleyip göndermek için  verilen p=61, 
q=53 n=p*q=3233      
q=(p-1)(q-1)=60*52=3120 1<e13120 olacak şekilde 3120 
ile arasında asal 17’yi seçelim. d*17=1(mod 3120) 
olması için d=2753 bulunur.
Açık anahtar (3233, 17) şifreleme c=m^e(mod n) 
Gizli anahtar 2753 deşifreleme m=c^d(mod n)
Bunlar verilir
C=123^17 (mod 3233)=855 bu şifrelenmiş hali. 
855 i deşifrelemek için m=855^2753(mod 3233)=123


TC/IP Katmanları



Uygulama : Telnet,FTP,SMTP,DNS
Taşıma : TCP, UDP
Ağ : IP/Arp, ICMP,IGMP
Fiziksel : Arpnet, LAN

OSI ve TCP Arasındaki Farkla

1.OSI’de özel bir protocol eğilimi yok.Ama TCP/IP protocol kullanır.
2.OSI VE TCP/IP modellerindeki katman sayıları farklıdır.
3.OSI modelinde(oturum ve sunum katmanları hariç) 
bilgisayar ağlarını tartışmak ve tasarlamak için yararlı 
bir başvuru modelidir. TCP/IP yeni ağ tasarımı için 
faydalı bir model olmuştur.
4.OSI’de hizmet, arayüz ve protocollarda net hizmet farkı
 belirlenmiş. TCP/IP net bir ayrım yapmamış.
5.OSI VE TCP hizmet türü


Bağlantı hızları: http://prntscr.com/hosj

Hiç yorum yok:

Yorum Gönder