Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Destek
www.wikipedia.tr-tr.nina.az
  • Vikipedi

internet Protokolü Güvenliği IPsec Internet Protokolü IP kullanılarak sağlanan iletişimlerde her paket için doğ

Ipsec

Ipsec
www.wikipedia.tr-tr.nina.azhttps://www.wikipedia.tr-tr.nina.az

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

(TCP/IP) protokolü geliştirilirken güvenlik üzerinde pek fazla durulmamıştı. Çünkü (TCP/IP) protokolünün bu denli yoğun ve standart olarak kabul edilip kullanılacağı düşünülmemişti. Bu nedenle verilerimiz ağ üzerinde savunmasız olarak ilerler ve birçok tehlikeyle karşılaşabilirler. Bu tehlikeler verilerimizin değiştirilmesi verilerimizin kaybolması ve bununla beraber verilerimizin istenilen hedeflere ulaştırılamamasıdır. IPsec protokolü sayesinde verilerimiz ağ üzerinde güvenli bir şekilde ulaşmak istedikleri hedeflere ulaştırılır. IPsec protokolü IP protokollerinin güvenlik ihtiyaçlarını karşılamak için geliştirilmiş olan bir güvenlik protokolüdür.

Tarihçe

Yazılım IP Şifreleme Protokolü swIPe 1993 yılı aralık ayında, John Ioannidis ve takımı ile birlikte Columbia Üniversitesi ve AT&T Bell Labs işbirliği ile araştırılmaya başlandı.

1994 Temmuz ayında, Trusted Information Systems'da çalışmakta olan Wei Xu, bu araştırmaya devam ederek IP protokollerinin gelişmesine katkı sağladı ve protokolün BSDI platformuna uygulanmasını başarı ile sonuçlandırdı. Bu başarının ardından, protokolü Sun OS ve HP UX gibi UNIX tabanlı sistemlere de uyarladı. DES ve 3-DES protokollerinin yavaş çalışması, araştırma sırasında karşılaştığı zorluklar arasındaydı. Yazılım şifrelemesi, Intel 80386 mimarisinde T1 hızını yakalayamıyordu. Wei Xu daha sonra, bugün tak-ve-çalıştır olarak bilinen otomatik cihaz sürücüsünü geliştirdi. Bu başarı ile birlikte Gauntlet Güvenlik Duvarı üretildi ve ticari olarak pazarlandı. 1994 aralık ayında, bu güvenlik duvarı ilk kez, Amerika Birleşik Devletleri'nde batı yakası ve doğu yakası arasında bazı siteler arasında güvenli bağlantı kurulması için kullanıldı.

Bir diğer IP Kapsüllenmiş Güvenlik Yükü, Naval Araştırma Laboratuvarlarında DARPA tarafından desteklenen bir proje olarak araştırılmış ve IEFT SIPP çalışma grubu tarafından SIPP ye güvenlik uzantısı olarak tasarlanmış ve 1993 Aralık ayında yayımlanmıştır. Kapsüllenmiş Güvenlik Yükü, ilk olarak Amerika Birleşik Devletlerini Savunma Bakanlığı SP3D protokolünden elde edilmiş, sanılanın aksine ISO Ağ Katmanı Güvenlik Protokolünden elde edilmemiştir.SP3D protokolünün özellikleri, NIST tarafından yayımlanmış, fakat Amerika Birleşik Devletlerini Savunma Bakanlığının Güvenli Bilgi Ağı Sistemi projesi tarafından tasarlanmıştır. Güvenlik Doğrulama Başlığı daha önce Basit Ağ Yönetim Protokolünün 2. Versiyonu için çalışan önceki IETF standartları tarafından elde edilmiştir.

1995 te, IEFT deki IPsec çalışma grubu ücretsiz kullanılabilen, Güvenli Bilgi Ağı Sistemi projesinde NSA sözleşmesi altında geliştirilen protokollerin incelenmiş versiyonlarını oluşturmaya başladı. Güvenli Bilgi Ağı Sistemi projesi NIST tarafından yayımlanan Güvenlik Protokolü Katmanı 3 tarafından tanımlanmış ve ISO Ağ Katmanı Güvenlik Protokolünün temellerini oluşturmuştur. Güvenlik Protokolü Katmanı 3 ün anahtar yönetimi IPsec komitesinde devam eden çalışmalara bir referans sağlayan Ağ Yönetim Protokolü tarafından desteklenmiştir.

IPsec IETF tarafından standartlaştırılmıştır.

Güvenlik Mimarisi

IPsec aşağıdaki protokolleri kullanarak çeşitli işlevler sağlamaktadır.

  • Doğrulama Başlığı: Bağlantısız olarak IP datagramları üzerinde bütünlük ve kaynak doğrulaması ve tekrarlama saldırılarına karşı koruma sağlar.
  • Kapsüllenmiş Güvenlik Yükü: Doğrulama Başlığının servislerinin yanı sıra, bir de veri gizliliği ve sınırlı olarak trafik akışı gizliliği sağlar.
  • Güvenlik Ortaklığı: Doğrulama Başlığı ve Kapsüllenmiş Güvenlik Yükü protokolleri için gerekli bilgileri sağlar ve içerisinde kullanılmak üzere çeşitli protokoller bulunur. İnternet Güvenlik Ortaklığı ve Anahtar Yönetimi Protokolü(ISAKMP) doğrulama ve anahtar değişimi için bir çatı(framework) sağlar.

Doğrulama Başlığı

Doğrulama Başlığı IPsec protokol paketinin bir parçasıdır ve bağlantısız olarak bütünlük ve kaynak doğrulaması sağlar. Ayrıca isteğe bağlı olarak kayan pencere tekniğini kullanarak replay saldırılarına karşı koruma sağlar ve bunu yaparken eski paketleri düşürür.

  • IPv4 kullanıldığında, IP paket yükünün ve IP başlığındaki alanlarından iletim sırasında değiştirilebilecek olanları hariç tümünü koruma altına alır. Ayrıca bu koruma, IP Güvenlik Opsiyonu(RFC-1108) gibi, IP opsiyonlarını da kapsar. Bahsedilen iletim sırasında değiştirilebilecek IPv4 başlığı alanları şunlardır;  DSCP/ToS, ECN, bayraklar, IP parçalama Ofseti, TTL ve Başlık Sağlaması.
  • IPv6 kullanıldığında, IP başlığının çoğunu, kendisine ait olan başlığı, değişken olmayan ek başlık alanlarını ve IP paket yükünü korur. IP başlığındaki şu değişken alanlarda koruma sağlamaz:  DSCP, ECN, Akış Etiketi ve Atlama Limiti.

Doğrulama Başlığı IP protokolünün üzerinde çalışır ve IP protokol numarası olarak 51 numarasını kullanır. Aşağıda Doğrulama Başlığı'nın nasıl oluşturulduğu gösterilmektedir.

Doğrulama Başlığı Formatı
Offsets Octet16 0 1 2 3
Octet16 Bit10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
0 0 Sonraki Başlık Yük Uzunluğu Rezerve
4 32 Güvenlik Parametreleri İndeksi (SPI)
8 64 Sıra Numarası
C 96 Bütünlük Kontrol Değeri (ICV)
…
… …
  • Sonraki Başlık(8 bit): Hangi üst katman protokolünün korunduğu bilgisi burada yer alır ve değerini IP protokol numaraları listesinden alır.
  • Yük Uzunluğu(8 bit): Doğrulama Başlığının uzunluğu. IPv6 ve IPv4 prtokollerinden hangisinin kullanıldığına göre değeri farklılık gösterir.
  • Rezerve(16 bit): Gelecekteki kullanımlar için boş bırakılmıştır ve değeri şu an için sıfırdır.
  • Güvenlik Parametreleri İndeksi(32 bit): Alıcı tarafta, hedef IP adresi ile birlikte Güvenlik Ortaklığını tanımlamak için kullanılır.
  • Sıra Numarası(32 bit): Replay saldırılarından korunma amaçlı kullanılan ve her gönderilen pakette 1 arttırılan, gönderilen pakete ait sıra numarasını içerir. Bir kez kullanılan sıra numarası tekrar kullanılmaz ve eğer maksimum değerini geçiyorsa yeni bir Güvenlik Ortaklığının kurulması gerekmektedir.
  • Bütünlük Kontrol Değeri: Değişken uzunluklu bir kontrol değeridir ve bütünlük kontrolü için, alıcı tarafta kullanılır.

Kapsüllenmiş Güvenlik Yükü

Kapsüllenmiş Güvenlik Yükü protokolü, IPsec protokol paketinin bir parçasıdır, kaynak doğrulama, bütünlük ve gizlilik sağlar. Sadece gizlilik ve sadece doğrulama gerçekleştirme ayarına sahiptir fakat sadece gizlilik ayarı güvenlik açıklarına yol açtığı önerilmemektedir. Doğrulama Başlığının aksine, taşıma modu ile kullanıldığında tüm IP paketi üzerinde bütünlük ve doğrulama sağlamamaktadır. Fakat tünel modu ile kullanıldığında, tüm paket kapsülleneceği ve yeni bir başlık ekleneceği için kapsüllenen paketin tamamında koruma sağlamaktadır.

Kapsüllenmiş Güvenlik Yükü protokolü, IP katmanının üzerinde çalışır ve IP protokol numarası olarak 50 numarasını kullanır. Aşağıda Kapsüllenmiş Güvenlik Yükü'nün nasıl oluşturulduğu gösterilmektedir.

Kapsüllenmiş Güvenlik Yükü Formatı
Offsets Octet16 0 1 2 3
Octet16 Bit10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
0 0 Güvenlik Parametreleri İndeksi (SPI)
4 32 Sıra Numarası
8 64 Yük Verisi
… …
… …    
… …   Dolgu (0-255 octets)  
… …   Dolgu Uzunluğu Sonraki Başlık
… … Bütünlük Kontrol Değeri (ICV)
…
… …
  • Güvenlik Parametreleri İndeksi(32 bit): Alıcı tarafta, hedef IP adresi ile birlikte Güvenlik Ortaklığını tanımlamak için kullanılır.
  • Sıra Numarası(32 bit): Replay saldırılarından korunma amaçlı kullanılan ve her gönderilen pakette 1 arttırılan, gönderilen pakete ait sıra numarasını içerir. Bir kez kullanılan sıra numarası tekrar kullanılmaz ve eğer maksimum değerini geçiyorsa yeni bir Güvenlik Ortaklığının kurulması gerekmektedir.
  • Yük Verisi(değişken uzunlukta): Korunmakta olan IP paketi burada tutulmaktadır. Paket ile beraber, korunma gerçekleştirilirken kullanılan diğer veriler de bu alanda bulunur.
  • Dolgu(0-255 oktet): Şifreleme aşamasında kullanılacak blok şifreleyicinin veri üzerinde düzgün çalışabilmesi için yük verisinin genişletecek dolgu.
  • Dolgu Uzunluğu(8 bit): Bu alanda dolgu alanındaki dolgunun uzunluğu tutulmaktadır.
  • Sonraki Başlık(8 bit): Hangi üst katman protokolünün korunduğu bilgisi burada yer alır ve değerini IP protokol numaraları listesinden alır.
  • Bütünlük Kontrol Değeri: Değişken uzunluklu bir kontrol değeridir ve bütünlük kontrolü için, alıcı tarafta kullanılır.

Güvenlik Ortaklığı

IPsec tarafından sağlanan güvenlik politikası kaynaktan hedefe gönderilecek olan her veri paketine uygulanır. Bu güvenlik politikası iki veritabanın etkileşimi ile belirlenir. Bu veritabanları Güvenlik Ortaklığı Veritabanı(Security Assocation Database) ve Güvenlik Politikası Veritabanı(Security Policy Database) olarak adlandırılır.

Güvenlik Ortaklığı

Güvenlik Ortaklığı(Security Association) alıcı ve gönderici arasında kurulmuş olan mantıksal bağlantıya verilen isimdir. Bu bağlantı tek yönlü olarak sağlanmaktadır. IPsec güvenlik işlemleri bu bağlantı içerisinde gönderilen veri paketleri üzerine uygulanır. Eğer sistemdeki alıcı ve göndericinin çift yönlü veri alışverişi yapmaları gerekiyorsa, iki farklı Güvenlik Ortaklığının kurulması gerekmektedir. Güvenik Ortaklıkları üç farklı değer ile birbirinden ayırt edilir;

  • Güvenlik Parametreleri İndeksi: 32-bit değere sahip olan bu indeks sayesinde, gönderici tarafından iletilmiş paketin alıcı tarafında doğru Güvenlik Ortaklığı ile ilişkilendirilmesi sağlanır. Bu ilişkilendirme sayesinde alıcı veri paketi üzerinde gerçekleştireceği işlemleri belirler. Güvenlik Parametreleri İndeksi sadece yerel olarak bir anlama sahiptir. Bunun nedeni her Güvenlik Ortaklığına özel olmasıdır.
  • IP Hedef Adresi: Bu değer ortaklığın kurulduğu uç veri paketlerinin gönderileceği, noktanın IP adresini tutmaktadır. Bu IP adresi, bir son kullanıcı sistemini gösterebileceği gibi, bir güvenlik duvarını veya bir yönlendiriciyi de göstermekte olabilir.
  • Güvenlik Protokolü Göstergesi: Gönderilen veri paketinin IP başlığı içerisinde bulunan bu değer, alıcıya, Güvenlik Ortaklığının Doğrulama Başlığı veya Kapsüllenen Güvenlik Yükü protokollerinden hangisinin kullanıldığının bilgisini verir.

Güvenlik Ortaklığı Veritabanı

Her IPsec uygulmasında bulunması zorunlu bir veritabanı olan Güvenlik Ortaklığı Veritabanı, sistemden sisteme işleyişinde farklılık gösterebilir. Bu farklılıklar, IPsec protokolünü gerçekleştiren kişiler tarafından belirlenir.

Bu veritabanının amacı, sistemde bulunan Güvenlik Ortaklıklarını tutmaktır. Veritabanı içerisinde Güvenlik Ortaklıkları aşağıdaki parametrelere bağlı olarak tutulmakta ve ayırt edilmektedir;

  • Güvenlik Parametreleri İndeksi: Güvenlik Ortaklığına verilmiş benzersiz bir göstergedir. Bu değer sayesinde Güvenlik Ortaklıkları birbirinden ayırt edilir ve gereken işlemlerde kullanılır. Eğer tutulan kayıt, sisteme giren bir Güvenlik Ortaklığına ait ise, bu gösterge sayesinde veri trafiği ilgili Güvenlik Ortaklığına yönlendirilir. Eğer tutulan kayıt, sistemden çıkan bir Güvenlik Ortaklığına ait ise, bu değer gönderilecek veri paketinin Doğrulama Başlığı veya Kapsüllenen Güvenlik Yükü başlıklarını oluşturmak için kullanılır.
  • Sıra Numarası Sayacı: Doğrulama Başlığı veya Kapsüllenen Güvenlik Yükü başlıklarının içerisinde bulunan sıra numarası değerini oluşturmak için kullanılan, 32-bit değere sahip bir göstergedir.
  • Sıra Sayacı Taşması: Bu alan bir boole değere sahip bir bayraktır. Kullanılmasının amacı, eğer Sıra Numarası Sayacında bir taşma meydana gelirse, sistemin veri trafiğini durdurup durdurmaması gerektiğini göstermektedir.
  • Yeniden Gönderme Karşıtı Pencere: Yeniden gönderme saldırılarından korunmak amacıyla kullanılmakta olan bir değerdir.
  • Doğrulma Başlığı Bilgisi: Bu alanda doğrulama için kullanılacak olan algoritma, yaşam süreleri ile beraber protokol tarafından kullanılacak anahtarlar ve Doğrulama Başlığı hakkında gerekli diğer bilgiler yer alır. Eğer IPsec, Doğrulama Başlığı protokolü ile kurulmuşsa Güvenlik Ortaklığı Veritabanı içerisinde bu alanın bulunması zorunludur.
  • Kapsüllenen Güvenlik Yükü Bilgisi: Bu alanda doğrulama ve şifreleme için kullanılacak algoritma, yaşam süreleri ile birlikte kullanılacak anahtarlar ve Kapsüllenen Güvenlik Yükü hakkında gerekli diğer bilgiler yer alır. Eğer Ipsec, Kapsüllenen Güvenlik Yükü protokolünü kullanıyorsa, bu alanın Güvenlik Ortaklığı Veritabanı içerisinde bulunması zorunludur.
  • IPsec Protokolü Operasyon Modu: IPsec protokolünün operasyon modlarından(Taşıma veya Tünel Modu) hangisinin kullanıldığını göstermektedir.
  • Maksimum İletim Birimi: Bir veri paketi gönderilirken, parçalamaya uğramayacak en küçük paket boyutunu gösterir.
  • Güvenlik Ortaklığı Yaşam Süresi: Bu alan, Güvenlik Ortaklığının yaşam süresini tutmakta ve yaşam süresi dolan ortaklığın hangi işleme tabii tutulacağını göstermektedir. Bu işlemler, ortaklığın tekrar kurulması veya tamamen silinmesi olabilir.

Güvenlik Politikası Veritabanı

Güvenlik Politikası Veritabanı(Security Policy Database), hangi veri trafiğinin hangi Güvenlik Ortaklığı ile ilişkili olduğunu belirten kayıtlara sahip olan bir veritabanıdır. Aynı zamanda veri paketleri üzerinde hangi koruma işlemlerinin gerçekleştirileceğini de göstermektedir. Bu veritabanında bulunan her kayıt, kaynak ve hedef IP adresleri ve port numaraları ile ayırt edilir. Veri paketleri işlenirken geçtiği aşamalar şu şekilde sıralanabilir; Öncelikle Güvenlik Politikası Veritabanı ilgili kayıt için aranır ve kayıtın gösterdiği Güvenlik Ortaklığı elde edilir. Daha sonra Güvenlik Ortaklığının sahip olduğu Güvenlik Parametreleri İndeksi bulunur. Bu indeks sayesinde pakete uygulanacak, kullanılan protokollerle ilişkili, işlemler elde edilir. Bu bilgiler doğrultusunda IPsec koruma işlemleri veri paketine uygulanır.

Operasyon Modları

IPsec protokolü uygulanırken kullanılan Doğrulama Başlığı ve Kapsüllenen Güvenlik Yükü, aşağıda anlatılan iki modu desteklemektedir.

Taşıma Modu

image
Taşıma modunda Doğrulama Başlığı (AH) kullanılan bir paket

Bu mod kullanıldığında, IPsec, Ağ Katmanının üzerinde yer alan Taşıma Katmanı ve Uygulama Katmanına koruma sağlamaktadır. IP paketinin yükü, IPsec başlığı ile genişletilmiştir. Genişletilmiş bu başlık daha sonra Ağ Katmanı protokolü olan IP protokolünün başlığı ile çevrelenir. Taşıma modu, IP paketinin yüküne, şifreleme ve/veya kimlik doğrulama işlemlerini uygulayarak çalışmaktadır. Bu mod, genellikle iki bilgisayar arasında, örnek olarak bir alıcı ve bir sunucu verilebilir, uçtan uca iletişimin korunması amaçlı kullanılır.

Doğrulama Başlığı ile kullanıldığında, IP paketinin yükünün ve IP paket başlığının belirlenen kısımlarının doğrulanması gerçekleştirilir.

Kapsüllenen Güvenlik Yükü ile kullanıldığında, IP paketinin yükü şifrelenir ve opsiyonel olarak doğrulama işlemi gerçekleştirilir. Fakat IP paket başlığı üzerinde bu işlemler gerçekleştirilmez.

Tünel Modu

image
Tünel modunda Doğrulama Başlığı (AH) kullanılan bir paket

Bu mod, tüm IP paketi üzerinde koruma sağlamaktadır. IP paketi üzerine Doğrulama Başlığı ve Kapsüllenen Güvenlik Yükü alanları eklenir. Oluşan yeni pakete yeni bir IP paket yükü gibi davranılır ve tekrar yeni bir IP başlığı ile çevrelenir. Orijinal IP paketi, içeride kalan yük içerisindedir. Paket bir noktadan diğerine iletilirken, iç içe oluşturulmuş bu yapı sayesinde, yol üzerindeki yönlendiriciler, içerideki IP paketini okuyamaz ve değerlendiremezler. Orijinal IP paketininde bulunan kaynak ve hedef adresleri, gönderilmekte olan pakette bulunan kaynak ve hedef adreslerinden farklı olacağı için bu durum, güvenliğe katkıda bulunmaktadır. Tünel modu, Security Association'ın tek veya iki tarafının da, bir güvenlik duvarı veya IPsec uygulanmış bir yönlendirici gibi, bir güvenlik geçidi(gateway) ise kullanılmaktadır.

Doğrulama Başlığı ile kullanıldığında, gönderilen paket içerisinde bulunan tüm IP paketi üzerinde doğrulama işlemi gerçekleştirilir. Buna içerideki IP paketinin başlığı da dahildir. Dışarıda bulunan IP paket başlığının belirli kısımlarının da doğrulanması gerçekleştirilir.

Kapsüllenmiş Güvenlik Yükü ile kullanıldığında, gönderilen paket içerisinde bulunan IP paketine şifreleme ve opsiyonel olarak doğrulama işlemleri gerçekleştirilir.

Bu mod, VPN (Virtual Private Network) oluşturmak için kullanılmaktadır.

Paket İşleme

IPsec protokolü işlemleri, gönderilecek veya alınan her paket için ayrı ayrı uygulanır. Gönderilecek ve alınan paketler için detaylı adımlar aşağıda anlatılmıştır.

Gönderilecek Paketlerde

  1. IPsec Güvenlik Politikası Veritabanında gönderilecek olan bu pakete karşılık gelen kaydı arar. Eğer bir kayıt bulunamazsa paket düşürülür ve sistem hata mesajı ile yanıt verir.
  2. Eğer bir kayıt bulunduysa, kayıt içerisinde belirtilen politikaya bakılır. Bu politika, paketin düşürülmesi gerektiğini gösteriyorsa, paket düşürülür. Eğer paketin baypas edilmesi gerektiğini gösteriyorsa, paket herhangi bir IPsec işlemine tabii tutulmadan iletim işlemine başlanır. Eğer pakete koruma işlemlerinin uygulanması gerektiğini gösteriyorsa, Güvenlik Ortaklığı Veritabanında ilgili Güvenlik Ortaklığı aranır.
  3. Eğer bir kayıt bulunamazsa, Güvenlik Ortaklığı olmadığı anlaşılır ve İnternet Anahtar Değişimi protokolü ile sistem ve hedef arasında bir Güvenlik Ortaklığı oluşturulur. Bu ortaklık Güvenlik Ortaklığı Veritabanına kayıt edilir.
  4. Güvenlik Ortaklığı kaydı -önceden oluşturulmuş veya yeni oluşturulmuş- ile pakete uygulanacak işlemler hakkında bilgi elde edilmiş olur. Paket üzerine bu bilgiler doğrultusunda, şifreleme, doğrulama ve IPsec operasyon modu(Taşıma veya Tünel) uygulanır.
  5. İşlenen paket, Ağ Katmanına iletime başlanması üzere iletilir.

Alınan Paketlerde

  1. Alınan paketin, IPsec ile korunmakta olan bir paket olup olmadığı IP başlığındaki değerler yardımı ile belirlenir. Korumalı ve korumasız paketler üzerinde gerçekleştirilecek işlemler farklılık göstermektedir.
  2. Eğer paket korumasız ise, yani herhangi bir IPsec koruma işleminden geçmediyse, Güvenlik Politikası Veritabanı pakete karşılık gelen kayıt için aranır ve bu kayda göre paketin düşürüleceğine veya Taşıma Katmanına iletileceğine karar verilir.
  3. Eğer paket IPsec korumalı ise, Güvenlik Ortaklığı Veritabanı ilgili Güvenlik Ortaklığı için aranır. Kayıt bulunamazsa, paket düşürülür. Kayıt bulunursa, kayıt bilgilerine bakarak pakete Doğrulama Başlığı veya Kapsüllenmiş Güvenlik Yükü protokollerinin gerektirdiği işlemler uygulanır.
  4. Paket, Taşıma Katmanına iletilir.

IPsec Güvenlik Nasıl Sağlanır ?

IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:

1.Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.

2.Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz:

  • Önpaylaşımlı anahtar (preshared key) (MS-CHAP)
  • Kerberos (Windows tabanlı ağlar için)
  • Sertifika yetkilisi (certificate authority)

3.Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.

Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu işlemede Decryption denir.

IPsec çift mod end-to-end ise, İnternet Katmanı Internet Protokolü Suite Yaklaşık Katmanı 3 OSI modelde olduğu güvenlik düzeni işletim. SSL, TLS ve SSH gibi yaygın kullanımı, bazı diğer Internet güvenlik sistemleri, bu modellerin alt katmanlara faaliyet, SSL VPN bir örnek olmaktır. Çünkü trafiği korumak için kullanılabilir. Çünkü uygulama kullanımı ise IPsec kullanmak için tasarlanmış olması gerekmez. IPsec daha yığıtın bir alt düzey olarak bir at çalışma, esnek TLS / SSL veya diğer yüksek katman protokolleri bu düzeyde uygulamaların tasarım dahil olmalıdır.

Kriptografi Algoritmaları

Aşağıda IPsec içerisinde kullanım için tanımlanmış algoritmalar bulunmaktadır.

  • HMAC-SHA-1, bütünlük ve doğrulama için.
  • Üçlü DES-(CBC), gizlilik için.
  • AES-CBC, gizlilik için.
  • AES-(GCM),gizlilik ve doğrulama için. İkisinin beraber kullanıldığında etkin sonuçlar vermektedir.

Daha fazla detay için: RFC-7321.

Yazılım Uygulamaları

IPsec desteği genellikle kernel içine, anahtar yönetimi ile birlikte uygulanır ve  ISAKMP/IKE anlaşması kullanıcı uzayında gerçekleştirilir. PF_KEY Key Management API, Version 2, uygulama tarafında anahtar yönetimi sağlayarak kernel içerisinde depolanmış Güvenlik Ortaklıklarının güncellenmesini sağlar.

Var olan IPsec uygulamaları genellikle Doğrulma Başlığı, Kapsüllenmiş Güvenlik Yükü ve İnternet Anahtar Değişimi(IKE) protokollerini içerisinde bulundurur. Sun Solaris ve Linux gibi UNIX tabanlı işletim sistemleri içerisinde PF_KEY versiyon 2'yi hazır olarak bulundurmaktadır.

Standartların Durumu

IPsec, IPv6 bağlamı ile geliştirilmiştir ve RFC-6434 dokümanın yayınlanmasından önce IPv6'nın bütün standartlarıyla uyumlu uygulamaları tarafından desteklenmesi gereklidir. Ayrıca IPsec IPv4 standartları ile isteğe bağlı olarak kullanılabilir ama IPv6'nın yavaş uygulanmasından dolayı çoğunlukla IPv4 kullanılır.

IPsec protokolü, 1995'te yayınlanan RFC-1825 ve RFC-1829 dokümanlarında tanımlanmıştır. 1998 yılında, konsept olarak önceki dokümanlar ile aynı olsalar da, IPsec tanımı daha fazla mühendislik detayı içerecek şekilde RFC-2401 ve RFC-2412 dokümanlarıyla genişletilmiştir. Ek olarak, bir karşılıklı doğrulama ve anahtar yönetimi protokolü olan İnternet Anahtar Değişimi(IKE), Güvenlik Ortaklıklarını oluşturmak ve yönetmek için tanımlanmıştır. 2005 yılında, önceki dokümanları kapsayan ve İnternet Anahtar Değimi protokolünün ikinci versiyonu olan IKEv2 protokolünü anlatan RFC-4301 ve RFC-4309 dokümanları yayınlanmıştır.

2008 yılının ortasından beri bir IPsec bakım ve geliştirme grubu IETF içerisinde çalışmalarını sürdürmektedir.

NSA Müdahalesi İddiası

2013 yılında Snowden sızıntılarının bir parçası olarak, Birleşik Devletler'in Ulusal Güvenlik Dairesi(NSA) tarafından, aktif olarak, hedeflerin kullandıkları ticari şifreleme sistemlerine, IT sistemlerine, ağlara ve son kullanıcı cihazlarına Bullrun programı kapsamında güvenlik açıkları yerleştirilmeye çalışıldığı yayınlandı. NSA hedefinde olan şifreleme sistemlerinin birisinin de IPsec olduğu iddia edildi.

OpenBSD IPsec paketi, açık kaynak kodlu ilk uygulama olması nedeniyle birçok kişi tarafından kullanıldı. OpenBSD'nin geliştirici takım lideri , 11 Aralık 2010 tarihinde, Gregory Perry'den bir mektup almıştır. Bu mektupta iddia edildiği üzere, FBI için çalışmakta olan Jason Wright ve takımı tarafından OpenBSD'nin şifreleme kodu içerisine arka kapılar ve anahtar sızdırma mekanizmaları konmuştur. 2010 yılında iletilen e-postada, Theo De Raadt en başta iddiaların gerçekliğine resmî bir açıklama vermedi fakat daha sonra e-posta'nın diğer kişilere iletilmesini üstü kapalı olarak destekledi. Bu olanların üzerine Jason Wright yaptığı açıklamada, iddiaların asılsız olduğunu ve OpenBSD içerisine arka kapıların veya anahtar sızdırma mekanizmalarının yerleştirilmediğini söyledi. Fakat birkaç gün sonra De Raadt, yapılan bu iddialara ve arka kapıların bulunduğuna inandığını duyurdu. Bu olanlar, Snowden sızıntılarından önce gerçekleşmiştir.

IETF Dokümanları

Standartlar

  • RFC 2403: The Use of HMAC-MD5-96 within ESP and AH
  • RFC 2404: The Use of HMAC-SHA-1-96 within ESP and AH
  • RFC 2405: The ESP DES-CBC Cipher Algorithm With Explicit IV
  • RFC 2410: The NULL Encryption Algorithm and Its Use With IPsec
  • RFC 2451: The ESP CBC-Mode Cipher Algorithms
  • RFC 2857: The Use of HMAC-RIPEMD-160-96 within ESP and AH
  • RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)
  • RFC 3602: The AES-CBC Cipher Algorithm and Its Use with IPsec
  • RFC 3686: Using Advanced Encryption Standard (AES) Counter Mode With IPsec Encapsulating Security Payload (ESP)
  • RFC 3947: Negotiation of NAT-Traversal in the IKE
  • RFC 3948: UDP Encapsulation of IPsec ESP Packets
  • RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP)
  • RFC 4301: Security Architecture for the Internet Protocol
  • RFC 4302: IP Authentication Header
  • RFC 4303: IP Encapsulating Security Payload
  • RFC 4304: Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP)
  • RFC 4307: Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 ()
  • RFC 4308: Cryptographic Suites for IPsec
  • RFC 4309: Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)
  • RFC 4543: The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH
  • RFC 4555: IKEv2 Mobility and Multihoming Protocol (MOBIKE)
  • RFC 4806: Online Certificate Status Protocol (OCSP) Extensions to IKEv2
  • RFC 4835: Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)
  • RFC 4868: Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec
  • RFC 4945: The Internet IP Security PKI Profile of IKEv1/ISAKMP, IKEv2, and PKIX
  • RFC 5996: Internet Key Exchange Protocol Version 2 (IKEv2)

Deneysel RFC'ler

  • RFC 4478: Repeated Authentication in Internet Key Exchange (IKEv2) Protocol

Bilgi Amaçlı RFC'ler

  • RFC 2367: PF_KEY Interface
  • RFC 2412: The OAKLEY Key Determination Protocol
  • RFC 3706: A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers
  • RFC 3715: IPsec-Network Address Translation (NAT) Compatibility Requirements
  • RFC 4621: Design of the IKEv2 Mobility and Multihoming (MOBIKE) Protocol
  • RFC 4809: Requirements for an IPsec Certificate Management Profile
  • RFC 6027: IPsec Cluster Problem Statement
  • RFC 6071: IPsec and IKE Document Roadmap

Eski RFC'ler

  • RFC 2401: Security Architecture for the Internet Protocol (IPsec overview) Obsolete by RFC 4301
  • RFC 2409: The Internet Key Exchange
  • RFC 4306: Internet Key Exchange (IKEv2) Protocol (obsoleted by RFC 7296)
  • RFC 4718: IKEv2 Clarifications and Implementation Guidelines (obsoleted by RFC 7296)

IPsec Yararları

IPsec protokolü bir güvenlik geçidine(gateway) -örnek olarak güvenlik duvarları ve yönlendiriciler verilebilir- uygulandığında, bu geçidin sahip olduğu trafiğe güvenlik ve koruma sağlaması için kullanılır. Dışarıdan gelen tüm trafiğin geçeceği güvenlik duvarına uygulanmış IPsec sayesinde, sisteme sızmaya veya güvenlik duvarını atlatmaya çalışan saldırganlar önlenebilir. IPsec, Taşıma ve Uygulama katmanlarının aşağısındaki bir katman olan Ağ Katmanı üzerinde çalıştığından dolayı, uygulamalar tarafından algılanmazlar. Yani IPsec uygulandıktan sonra sistem üzerinde çalışmakta olan uygulamaların değiştirilmesine gerek yoktur çünkü bilgisayarlar üzerinde çalışmakta olan işlemlere(process) Ağ Katmanından iletilecek yük formatı değişmeyecektir. Ayrıca, aynı nedenden dolayı, bu sistemdeki bir uygulamayı kullanmakta olan son kullanıcıların IPsec gerçekleştirildikten sonra eğitilmesine gerek yoktur. IPsec belirli kullanıcılara güvenlik sağlaması üzere düzenlenebilir. Bu kullanıcılar, dışarıdan çalışmakta olan çalışanlar olarak örneklendirilebilir.

Kaynakça

  1. ^ a b Kent, S.; Atkinson, R. (November 1998). IP Encapsulating Security Payload (ESP). IETF. RFC 2406.
  2. ^ Trusted Information Systems
  3. ^ a b c d e Kent, S. (December 2005). IP Authentication Header. IETF. RFC 4302.
  4. ^ Kent, S.; Atkinson, R. (November 1998). IP Authentication Header. IETF. RFC 2402.
  5. ^ The Internet Key Exchange (IKE), RFC 2409, §1 Abstract
  6. ^ Paterson, Kenneth G.; Yau, Arnold K.L. (2006-04-24)."Cryptography in theory and practice: The case of encryption in IPsec" (PDF). Eurocrypt 2006, Lecture Notes in Computer Science Vol. 4004. Berlin. pp. 12–29. Retrieved 2007-08-13.
  7. ^ Bellovin, Steven M. (1996). "Problem Areas for the IP Security Protocols" (POSTSCRIPT). Proceedings of the Sixth Usenix Unix Security Symposium. San Jose, CA. pp. 1–16. Retrieved2007-07-09.
  8. ^ Degabriele, Jean Paul; Paterson, Kenneth G. (2007-08-09)."Attacking the IPsec Standards in Encryption-only Configurations" (PDF). IEEE Symposium on Security and Privacy, IEEE Computer Society. Oakland, CA. pp. 335–349. Retrieved 2007-08-13.
  9. ^ RFC 6434, "IPv6 Node Requirements", E. Jankiewicz, J. Loughney, T. Narten (December 2011)
  10. ^ ipsecme charter
  11. ^ "Secret Documents Reveal N.S.A. Campaign Against Encryption". New York Times.
  12. ^ John Gilmore. "Re: [Cryptography] Opening Discussion: Speculation on "BULLRUN"".
  13. ^ Theo de Raadt. "Allegations regarding OpenBSD IPSEC".
  14. ^ Jason Wright. "Allegations regarding OpenBSD IPSEC".
  15. ^ Theo de Raadt. "Update on the OpenBSD IPSEC backdoor allegation".

Dış bağlantılar

  • Stallings, William (2014). Cryptography and Network Security: Principles and Practice (Sixth Edition). Pearson Education Limited.

wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar

Internet Protokolu Guvenligi IPsec Internet Protokolu IP kullanilarak saglanan iletisimlerde her paket icin dogrulama ve sifreleme kullanarak koruma saglayan bir protokol paketidir IPsec icinde bulundurdugu protokoller sayesinde oturum baslarken karsilikli dogrulama ve oturum sirasinda anahtar degisimlerini gerceklestirme yetkisine sahiptir Iki bilgisayar arasinda host to host iki guvenlik kapisi arasinda network to network bir guvenlik kapisi ve bir bilgisayar arasinda network to host saglanan baglantidaki veri akisini korumak icin kullanilir IPsec kriptografik guvenlik servislerini kullanarak IP protokolu ile gerceklestirilen baglantilari korumak icin kullanilir Ag seviyesinde dogrulama veri kaynagi dogrulama veri butunlugu sifreleme ve replay saldirilarina karsi koruma gorevlerini ustlenir TCP IP protokolu gelistirilirken guvenlik uzerinde pek fazla durulmamisti Cunku TCP IP protokolunun bu denli yogun ve standart olarak kabul edilip kullanilacagi dusunulmemisti Bu nedenle verilerimiz ag uzerinde savunmasiz olarak ilerler ve bircok tehlikeyle karsilasabilirler Bu tehlikeler verilerimizin degistirilmesi verilerimizin kaybolmasi ve bununla beraber verilerimizin istenilen hedeflere ulastirilamamasidir IPsec protokolu sayesinde verilerimiz ag uzerinde guvenli bir sekilde ulasmak istedikleri hedeflere ulastirilir IPsec protokolu IP protokollerinin guvenlik ihtiyaclarini karsilamak icin gelistirilmis olan bir guvenlik protokoludur TarihceYazilim IP Sifreleme Protokolu swIPe 1993 yili aralik ayinda John Ioannidis ve takimi ile birlikte Columbia Universitesi ve AT amp T Bell Labs isbirligi ile arastirilmaya baslandi 1994 Temmuz ayinda Trusted Information Systems da calismakta olan Wei Xu bu arastirmaya devam ederek IP protokollerinin gelismesine katki sagladi ve protokolun BSDI platformuna uygulanmasini basari ile sonuclandirdi Bu basarinin ardindan protokolu Sun OS ve HP UX gibi UNIX tabanli sistemlere de uyarladi DES ve 3 DES protokollerinin yavas calismasi arastirma sirasinda karsilastigi zorluklar arasindaydi Yazilim sifrelemesi Intel 80386 mimarisinde T1 hizini yakalayamiyordu Wei Xu daha sonra bugun tak ve calistir olarak bilinen otomatik cihaz surucusunu gelistirdi Bu basari ile birlikte Gauntlet Guvenlik Duvari uretildi ve ticari olarak pazarlandi 1994 aralik ayinda bu guvenlik duvari ilk kez Amerika Birlesik Devletleri nde bati yakasi ve dogu yakasi arasinda bazi siteler arasinda guvenli baglanti kurulmasi icin kullanildi Bir diger IP Kapsullenmis Guvenlik Yuku Naval Arastirma Laboratuvarlarinda DARPA tarafindan desteklenen bir proje olarak arastirilmis ve IEFT SIPP calisma grubu tarafindan SIPP ye guvenlik uzantisi olarak tasarlanmis ve 1993 Aralik ayinda yayimlanmistir Kapsullenmis Guvenlik Yuku ilk olarak Amerika Birlesik Devletlerini Savunma Bakanligi SP3D protokolunden elde edilmis sanilanin aksine ISO Ag Katmani Guvenlik Protokolunden elde edilmemistir SP3D protokolunun ozellikleri NIST tarafindan yayimlanmis fakat Amerika Birlesik Devletlerini Savunma Bakanliginin Guvenli Bilgi Agi Sistemi projesi tarafindan tasarlanmistir Guvenlik Dogrulama Basligi daha once Basit Ag Yonetim Protokolunun 2 Versiyonu icin calisan onceki IETF standartlari tarafindan elde edilmistir 1995 te IEFT deki IPsec calisma grubu ucretsiz kullanilabilen Guvenli Bilgi Agi Sistemi projesinde NSA sozlesmesi altinda gelistirilen protokollerin incelenmis versiyonlarini olusturmaya basladi Guvenli Bilgi Agi Sistemi projesi NIST tarafindan yayimlanan Guvenlik Protokolu Katmani 3 tarafindan tanimlanmis ve ISO Ag Katmani Guvenlik Protokolunun temellerini olusturmustur Guvenlik Protokolu Katmani 3 un anahtar yonetimi IPsec komitesinde devam eden calismalara bir referans saglayan Ag Yonetim Protokolu tarafindan desteklenmistir IPsec IETF tarafindan standartlastirilmistir Guvenlik MimarisiIPsec asagidaki protokolleri kullanarak cesitli islevler saglamaktadir Dogrulama Basligi Baglantisiz olarak IP datagramlari uzerinde butunluk ve kaynak dogrulamasi ve tekrarlama saldirilarina karsi koruma saglar Kapsullenmis Guvenlik Yuku Dogrulama Basliginin servislerinin yani sira bir de veri gizliligi ve sinirli olarak trafik akisi gizliligi saglar Guvenlik Ortakligi Dogrulama Basligi ve Kapsullenmis Guvenlik Yuku protokolleri icin gerekli bilgileri saglar ve icerisinde kullanilmak uzere cesitli protokoller bulunur Internet Guvenlik Ortakligi ve Anahtar Yonetimi Protokolu ISAKMP dogrulama ve anahtar degisimi icin bir cati framework saglar Dogrulama Basligi Dogrulama Basligi IPsec protokol paketinin bir parcasidir ve baglantisiz olarak butunluk ve kaynak dogrulamasi saglar Ayrica istege bagli olarak kayan pencere teknigini kullanarak replay saldirilarina karsi koruma saglar ve bunu yaparken eski paketleri dusurur IPv4 kullanildiginda IP paket yukunun ve IP basligindaki alanlarindan iletim sirasinda degistirilebilecek olanlari haric tumunu koruma altina alir Ayrica bu koruma IP Guvenlik Opsiyonu RFC 1108 gibi IP opsiyonlarini da kapsar Bahsedilen iletim sirasinda degistirilebilecek IPv4 basligi alanlari sunlardir DSCP ToS ECN bayraklar IP parcalama Ofseti TTL ve Baslik Saglamasi IPv6 kullanildiginda IP basliginin cogunu kendisine ait olan basligi degisken olmayan ek baslik alanlarini ve IP paket yukunu korur IP basligindaki su degisken alanlarda koruma saglamaz DSCP ECN Akis Etiketi ve Atlama Limiti Dogrulama Basligi IP protokolunun uzerinde calisir ve IP protokol numarasi olarak 51 numarasini kullanir Asagida Dogrulama Basligi nin nasil olusturuldugu gosterilmektedir Dogrulama Basligi Formati Offsets Octet16 0 1 2 3Octet16 Bit10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 310 0 Sonraki Baslik Yuk Uzunlugu Rezerve4 32 Guvenlik Parametreleri Indeksi SPI 8 64 Sira NumarasiC 96 Butunluk Kontrol Degeri ICV Sonraki Baslik 8 bit Hangi ust katman protokolunun korundugu bilgisi burada yer alir ve degerini IP protokol numaralari listesinden alir Yuk Uzunlugu 8 bit Dogrulama Basliginin uzunlugu IPv6 ve IPv4 prtokollerinden hangisinin kullanildigina gore degeri farklilik gosterir Rezerve 16 bit Gelecekteki kullanimlar icin bos birakilmistir ve degeri su an icin sifirdir Guvenlik Parametreleri Indeksi 32 bit Alici tarafta hedef IP adresi ile birlikte Guvenlik Ortakligini tanimlamak icin kullanilir Sira Numarasi 32 bit Replay saldirilarindan korunma amacli kullanilan ve her gonderilen pakette 1 arttirilan gonderilen pakete ait sira numarasini icerir Bir kez kullanilan sira numarasi tekrar kullanilmaz ve eger maksimum degerini geciyorsa yeni bir Guvenlik Ortakliginin kurulmasi gerekmektedir Butunluk Kontrol Degeri Degisken uzunluklu bir kontrol degeridir ve butunluk kontrolu icin alici tarafta kullanilir Kapsullenmis Guvenlik Yuku Kapsullenmis Guvenlik Yuku protokolu IPsec protokol paketinin bir parcasidir kaynak dogrulama butunluk ve gizlilik saglar Sadece gizlilik ve sadece dogrulama gerceklestirme ayarina sahiptir fakat sadece gizlilik ayari guvenlik aciklarina yol actigi onerilmemektedir Dogrulama Basliginin aksine tasima modu ile kullanildiginda tum IP paketi uzerinde butunluk ve dogrulama saglamamaktadir Fakat tunel modu ile kullanildiginda tum paket kapsullenecegi ve yeni bir baslik eklenecegi icin kapsullenen paketin tamaminda koruma saglamaktadir Kapsullenmis Guvenlik Yuku protokolu IP katmaninin uzerinde calisir ve IP protokol numarasi olarak 50 numarasini kullanir Asagida Kapsullenmis Guvenlik Yuku nun nasil olusturuldugu gosterilmektedir Kapsullenmis Guvenlik Yuku Formati Offsets Octet16 0 1 2 3Octet16 Bit10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 310 0 Guvenlik Parametreleri Indeksi SPI 4 32 Sira Numarasi8 64 Yuk Verisi Dolgu 0 255 octets Dolgu Uzunlugu Sonraki Baslik Butunluk Kontrol Degeri ICV Guvenlik Parametreleri Indeksi 32 bit Alici tarafta hedef IP adresi ile birlikte Guvenlik Ortakligini tanimlamak icin kullanilir Sira Numarasi 32 bit Replay saldirilarindan korunma amacli kullanilan ve her gonderilen pakette 1 arttirilan gonderilen pakete ait sira numarasini icerir Bir kez kullanilan sira numarasi tekrar kullanilmaz ve eger maksimum degerini geciyorsa yeni bir Guvenlik Ortakliginin kurulmasi gerekmektedir Yuk Verisi degisken uzunlukta Korunmakta olan IP paketi burada tutulmaktadir Paket ile beraber korunma gerceklestirilirken kullanilan diger veriler de bu alanda bulunur Dolgu 0 255 oktet Sifreleme asamasinda kullanilacak blok sifreleyicinin veri uzerinde duzgun calisabilmesi icin yuk verisinin genisletecek dolgu Dolgu Uzunlugu 8 bit Bu alanda dolgu alanindaki dolgunun uzunlugu tutulmaktadir Sonraki Baslik 8 bit Hangi ust katman protokolunun korundugu bilgisi burada yer alir ve degerini IP protokol numaralari listesinden alir Butunluk Kontrol Degeri Degisken uzunluklu bir kontrol degeridir ve butunluk kontrolu icin alici tarafta kullanilir Guvenlik Ortakligi IPsec tarafindan saglanan guvenlik politikasi kaynaktan hedefe gonderilecek olan her veri paketine uygulanir Bu guvenlik politikasi iki veritabanin etkilesimi ile belirlenir Bu veritabanlari Guvenlik Ortakligi Veritabani Security Assocation Database ve Guvenlik Politikasi Veritabani Security Policy Database olarak adlandirilir Guvenlik Ortakligi Guvenlik Ortakligi Security Association alici ve gonderici arasinda kurulmus olan mantiksal baglantiya verilen isimdir Bu baglanti tek yonlu olarak saglanmaktadir IPsec guvenlik islemleri bu baglanti icerisinde gonderilen veri paketleri uzerine uygulanir Eger sistemdeki alici ve gondericinin cift yonlu veri alisverisi yapmalari gerekiyorsa iki farkli Guvenlik Ortakliginin kurulmasi gerekmektedir Guvenik Ortakliklari uc farkli deger ile birbirinden ayirt edilir Guvenlik Parametreleri Indeksi 32 bit degere sahip olan bu indeks sayesinde gonderici tarafindan iletilmis paketin alici tarafinda dogru Guvenlik Ortakligi ile iliskilendirilmesi saglanir Bu iliskilendirme sayesinde alici veri paketi uzerinde gerceklestirecegi islemleri belirler Guvenlik Parametreleri Indeksi sadece yerel olarak bir anlama sahiptir Bunun nedeni her Guvenlik Ortakligina ozel olmasidir IP Hedef Adresi Bu deger ortakligin kuruldugu uc veri paketlerinin gonderilecegi noktanin IP adresini tutmaktadir Bu IP adresi bir son kullanici sistemini gosterebilecegi gibi bir guvenlik duvarini veya bir yonlendiriciyi de gostermekte olabilir Guvenlik Protokolu Gostergesi Gonderilen veri paketinin IP basligi icerisinde bulunan bu deger aliciya Guvenlik Ortakliginin Dogrulama Basligi veya Kapsullenen Guvenlik Yuku protokollerinden hangisinin kullanildiginin bilgisini verir Guvenlik Ortakligi Veritabani Her IPsec uygulmasinda bulunmasi zorunlu bir veritabani olan Guvenlik Ortakligi Veritabani sistemden sisteme isleyisinde farklilik gosterebilir Bu farkliliklar IPsec protokolunu gerceklestiren kisiler tarafindan belirlenir Bu veritabaninin amaci sistemde bulunan Guvenlik Ortakliklarini tutmaktir Veritabani icerisinde Guvenlik Ortakliklari asagidaki parametrelere bagli olarak tutulmakta ve ayirt edilmektedir Guvenlik Parametreleri Indeksi Guvenlik Ortakligina verilmis benzersiz bir gostergedir Bu deger sayesinde Guvenlik Ortakliklari birbirinden ayirt edilir ve gereken islemlerde kullanilir Eger tutulan kayit sisteme giren bir Guvenlik Ortakligina ait ise bu gosterge sayesinde veri trafigi ilgili Guvenlik Ortakligina yonlendirilir Eger tutulan kayit sistemden cikan bir Guvenlik Ortakligina ait ise bu deger gonderilecek veri paketinin Dogrulama Basligi veya Kapsullenen Guvenlik Yuku basliklarini olusturmak icin kullanilir Sira Numarasi Sayaci Dogrulama Basligi veya Kapsullenen Guvenlik Yuku basliklarinin icerisinde bulunan sira numarasi degerini olusturmak icin kullanilan 32 bit degere sahip bir gostergedir Sira Sayaci Tasmasi Bu alan bir boole degere sahip bir bayraktir Kullanilmasinin amaci eger Sira Numarasi Sayacinda bir tasma meydana gelirse sistemin veri trafigini durdurup durdurmamasi gerektigini gostermektedir Yeniden Gonderme Karsiti Pencere Yeniden gonderme saldirilarindan korunmak amaciyla kullanilmakta olan bir degerdir Dogrulma Basligi Bilgisi Bu alanda dogrulama icin kullanilacak olan algoritma yasam sureleri ile beraber protokol tarafindan kullanilacak anahtarlar ve Dogrulama Basligi hakkinda gerekli diger bilgiler yer alir Eger IPsec Dogrulama Basligi protokolu ile kurulmussa Guvenlik Ortakligi Veritabani icerisinde bu alanin bulunmasi zorunludur Kapsullenen Guvenlik Yuku Bilgisi Bu alanda dogrulama ve sifreleme icin kullanilacak algoritma yasam sureleri ile birlikte kullanilacak anahtarlar ve Kapsullenen Guvenlik Yuku hakkinda gerekli diger bilgiler yer alir Eger Ipsec Kapsullenen Guvenlik Yuku protokolunu kullaniyorsa bu alanin Guvenlik Ortakligi Veritabani icerisinde bulunmasi zorunludur IPsec Protokolu Operasyon Modu IPsec protokolunun operasyon modlarindan Tasima veya Tunel Modu hangisinin kullanildigini gostermektedir Maksimum Iletim Birimi Bir veri paketi gonderilirken parcalamaya ugramayacak en kucuk paket boyutunu gosterir Guvenlik Ortakligi Yasam Suresi Bu alan Guvenlik Ortakliginin yasam suresini tutmakta ve yasam suresi dolan ortakligin hangi isleme tabii tutulacagini gostermektedir Bu islemler ortakligin tekrar kurulmasi veya tamamen silinmesi olabilir Guvenlik Politikasi Veritabani Guvenlik Politikasi Veritabani Security Policy Database hangi veri trafiginin hangi Guvenlik Ortakligi ile iliskili oldugunu belirten kayitlara sahip olan bir veritabanidir Ayni zamanda veri paketleri uzerinde hangi koruma islemlerinin gerceklestirilecegini de gostermektedir Bu veritabaninda bulunan her kayit kaynak ve hedef IP adresleri ve port numaralari ile ayirt edilir Veri paketleri islenirken gectigi asamalar su sekilde siralanabilir Oncelikle Guvenlik Politikasi Veritabani ilgili kayit icin aranir ve kayitin gosterdigi Guvenlik Ortakligi elde edilir Daha sonra Guvenlik Ortakliginin sahip oldugu Guvenlik Parametreleri Indeksi bulunur Bu indeks sayesinde pakete uygulanacak kullanilan protokollerle iliskili islemler elde edilir Bu bilgiler dogrultusunda IPsec koruma islemleri veri paketine uygulanir Operasyon ModlariIPsec protokolu uygulanirken kullanilan Dogrulama Basligi ve Kapsullenen Guvenlik Yuku asagida anlatilan iki modu desteklemektedir Tasima Modu Tasima modunda Dogrulama Basligi AH kullanilan bir paket Bu mod kullanildiginda IPsec Ag Katmaninin uzerinde yer alan Tasima Katmani ve Uygulama Katmanina koruma saglamaktadir IP paketinin yuku IPsec basligi ile genisletilmistir Genisletilmis bu baslik daha sonra Ag Katmani protokolu olan IP protokolunun basligi ile cevrelenir Tasima modu IP paketinin yukune sifreleme ve veya kimlik dogrulama islemlerini uygulayarak calismaktadir Bu mod genellikle iki bilgisayar arasinda ornek olarak bir alici ve bir sunucu verilebilir uctan uca iletisimin korunmasi amacli kullanilir Dogrulama Basligi ile kullanildiginda IP paketinin yukunun ve IP paket basliginin belirlenen kisimlarinin dogrulanmasi gerceklestirilir Kapsullenen Guvenlik Yuku ile kullanildiginda IP paketinin yuku sifrelenir ve opsiyonel olarak dogrulama islemi gerceklestirilir Fakat IP paket basligi uzerinde bu islemler gerceklestirilmez Tunel Modu Tunel modunda Dogrulama Basligi AH kullanilan bir paket Bu mod tum IP paketi uzerinde koruma saglamaktadir IP paketi uzerine Dogrulama Basligi ve Kapsullenen Guvenlik Yuku alanlari eklenir Olusan yeni pakete yeni bir IP paket yuku gibi davranilir ve tekrar yeni bir IP basligi ile cevrelenir Orijinal IP paketi iceride kalan yuk icerisindedir Paket bir noktadan digerine iletilirken ic ice olusturulmus bu yapi sayesinde yol uzerindeki yonlendiriciler icerideki IP paketini okuyamaz ve degerlendiremezler Orijinal IP paketininde bulunan kaynak ve hedef adresleri gonderilmekte olan pakette bulunan kaynak ve hedef adreslerinden farkli olacagi icin bu durum guvenlige katkida bulunmaktadir Tunel modu Security Association in tek veya iki tarafinin da bir guvenlik duvari veya IPsec uygulanmis bir yonlendirici gibi bir guvenlik gecidi gateway ise kullanilmaktadir Dogrulama Basligi ile kullanildiginda gonderilen paket icerisinde bulunan tum IP paketi uzerinde dogrulama islemi gerceklestirilir Buna icerideki IP paketinin basligi da dahildir Disarida bulunan IP paket basliginin belirli kisimlarinin da dogrulanmasi gerceklestirilir Kapsullenmis Guvenlik Yuku ile kullanildiginda gonderilen paket icerisinde bulunan IP paketine sifreleme ve opsiyonel olarak dogrulama islemleri gerceklestirilir Bu mod VPN Virtual Private Network olusturmak icin kullanilmaktadir Paket IslemeIPsec protokolu islemleri gonderilecek veya alinan her paket icin ayri ayri uygulanir Gonderilecek ve alinan paketler icin detayli adimlar asagida anlatilmistir Gonderilecek Paketlerde IPsec Guvenlik Politikasi Veritabaninda gonderilecek olan bu pakete karsilik gelen kaydi arar Eger bir kayit bulunamazsa paket dusurulur ve sistem hata mesaji ile yanit verir Eger bir kayit bulunduysa kayit icerisinde belirtilen politikaya bakilir Bu politika paketin dusurulmesi gerektigini gosteriyorsa paket dusurulur Eger paketin baypas edilmesi gerektigini gosteriyorsa paket herhangi bir IPsec islemine tabii tutulmadan iletim islemine baslanir Eger pakete koruma islemlerinin uygulanmasi gerektigini gosteriyorsa Guvenlik Ortakligi Veritabaninda ilgili Guvenlik Ortakligi aranir Eger bir kayit bulunamazsa Guvenlik Ortakligi olmadigi anlasilir ve Internet Anahtar Degisimi protokolu ile sistem ve hedef arasinda bir Guvenlik Ortakligi olusturulur Bu ortaklik Guvenlik Ortakligi Veritabanina kayit edilir Guvenlik Ortakligi kaydi onceden olusturulmus veya yeni olusturulmus ile pakete uygulanacak islemler hakkinda bilgi elde edilmis olur Paket uzerine bu bilgiler dogrultusunda sifreleme dogrulama ve IPsec operasyon modu Tasima veya Tunel uygulanir Islenen paket Ag Katmanina iletime baslanmasi uzere iletilir Alinan Paketlerde Alinan paketin IPsec ile korunmakta olan bir paket olup olmadigi IP basligindaki degerler yardimi ile belirlenir Korumali ve korumasiz paketler uzerinde gerceklestirilecek islemler farklilik gostermektedir Eger paket korumasiz ise yani herhangi bir IPsec koruma isleminden gecmediyse Guvenlik Politikasi Veritabani pakete karsilik gelen kayit icin aranir ve bu kayda gore paketin dusurulecegine veya Tasima Katmanina iletilecegine karar verilir Eger paket IPsec korumali ise Guvenlik Ortakligi Veritabani ilgili Guvenlik Ortakligi icin aranir Kayit bulunamazsa paket dusurulur Kayit bulunursa kayit bilgilerine bakarak pakete Dogrulama Basligi veya Kapsullenmis Guvenlik Yuku protokollerinin gerektirdigi islemler uygulanir Paket Tasima Katmanina iletilir IPsec Guvenlik Nasil Saglanir IPSec in guvenlik mimarisini olusturan uc temel unsur vardir 1 Butunluk integrity hedefe ulasan verinin kaynaktan gelen veri ile ayni olup olmadigi kontrol edilir Ag uzerinden gonderilen mesajin gercekten gonderilen mesaj olup olmadigini anlamak icin mesaji alan bilgisayarin hesapladigi mesaj ozeti message digest degeri ile mesaji gonderinin ilettigi mesaj ozeti degerleri karsilastirilir Sonuc farkliysa iletilen mesaja iletim sirasinda mudahale edildigi anlasilir Mesajlari ozetlemek icin MD5 ve SHA 1 algoritmalari kullanilir 2 Kimlik dogrulama Authentication iletisimde bulunan her iki tarafin da birbirlerinin kimliklerinin dogrulanmasi icin kullanilir Iletisimde bulunan bilgisayarlarin birbirlerinin kimliklerini dogrulamalari icin ayni kimlik dogrulama metodunu kullanmasi gerekir IPSec protokolunu kullanarak iletisim kuracak bilgisayarlar kimlik dogrulama islemi icin cesitli yontemler kullanabilirler Bunlari soyle siralayabiliriz Onpaylasimli anahtar preshared key MS CHAP Kerberos Windows tabanli aglar icin Sertifika yetkilisi certificate authority 3 Gizlilik Confidentiality gonderilen verinin ag uzerinden sifrelenmis bir sekilde iletilmesini belirtmek icin kullanilir Bu durumda agdaki paketler bir izleyici sniffer araciligiyla yakalansalar bile icerikleri sifrelenmis oldugu icin tasinan verilerin ucuncu sahislar tarafindan okunmasi engellenmis olur Sifreleme isleminde en cok kullanilan yontemler DES ve 3DES yontemleridir Bu islemler yapilirken veri paketi farkli algoritmalarla sifrelenir Bu isleme Encrypiton denir Veri paketi hedefe ulastiginda sifrelenen veri paketi acilir ve kullanilabilir hale getirilir Bu islemede Decryption denir IPsec cift mod end to end ise Internet Katmani Internet Protokolu Suite Yaklasik Katmani 3 OSI modelde oldugu guvenlik duzeni isletim SSL TLS ve SSH gibi yaygin kullanimi bazi diger Internet guvenlik sistemleri bu modellerin alt katmanlara faaliyet SSL VPN bir ornek olmaktir Cunku trafigi korumak icin kullanilabilir Cunku uygulama kullanimi ise IPsec kullanmak icin tasarlanmis olmasi gerekmez IPsec daha yigitin bir alt duzey olarak bir at calisma esnek TLS SSL veya diger yuksek katman protokolleri bu duzeyde uygulamalarin tasarim dahil olmalidir Kriptografi AlgoritmalariAsagida IPsec icerisinde kullanim icin tanimlanmis algoritmalar bulunmaktadir HMAC SHA 1 butunluk ve dogrulama icin Uclu DES CBC gizlilik icin AES CBC gizlilik icin AES GCM gizlilik ve dogrulama icin Ikisinin beraber kullanildiginda etkin sonuclar vermektedir Daha fazla detay icin RFC 7321 Yazilim UygulamalariIPsec destegi genellikle kernel icine anahtar yonetimi ile birlikte uygulanir ve ISAKMP IKE anlasmasi kullanici uzayinda gerceklestirilir PF KEY Key Management API Version 2 uygulama tarafinda anahtar yonetimi saglayarak kernel icerisinde depolanmis Guvenlik Ortakliklarinin guncellenmesini saglar Var olan IPsec uygulamalari genellikle Dogrulma Basligi Kapsullenmis Guvenlik Yuku ve Internet Anahtar Degisimi IKE protokollerini icerisinde bulundurur Sun Solaris ve Linux gibi UNIX tabanli isletim sistemleri icerisinde PF KEY versiyon 2 yi hazir olarak bulundurmaktadir Standartlarin DurumuIPsec IPv6 baglami ile gelistirilmistir ve RFC 6434 dokumanin yayinlanmasindan once IPv6 nin butun standartlariyla uyumlu uygulamalari tarafindan desteklenmesi gereklidir Ayrica IPsec IPv4 standartlari ile istege bagli olarak kullanilabilir ama IPv6 nin yavas uygulanmasindan dolayi cogunlukla IPv4 kullanilir IPsec protokolu 1995 te yayinlanan RFC 1825 ve RFC 1829 dokumanlarinda tanimlanmistir 1998 yilinda konsept olarak onceki dokumanlar ile ayni olsalar da IPsec tanimi daha fazla muhendislik detayi icerecek sekilde RFC 2401 ve RFC 2412 dokumanlariyla genisletilmistir Ek olarak bir karsilikli dogrulama ve anahtar yonetimi protokolu olan Internet Anahtar Degisimi IKE Guvenlik Ortakliklarini olusturmak ve yonetmek icin tanimlanmistir 2005 yilinda onceki dokumanlari kapsayan ve Internet Anahtar Degimi protokolunun ikinci versiyonu olan IKEv2 protokolunu anlatan RFC 4301 ve RFC 4309 dokumanlari yayinlanmistir 2008 yilinin ortasindan beri bir IPsec bakim ve gelistirme grubu IETF icerisinde calismalarini surdurmektedir NSA Mudahalesi Iddiasi2013 yilinda Snowden sizintilarinin bir parcasi olarak Birlesik Devletler in Ulusal Guvenlik Dairesi NSA tarafindan aktif olarak hedeflerin kullandiklari ticari sifreleme sistemlerine IT sistemlerine aglara ve son kullanici cihazlarina Bullrun programi kapsaminda guvenlik aciklari yerlestirilmeye calisildigi yayinlandi NSA hedefinde olan sifreleme sistemlerinin birisinin de IPsec oldugu iddia edildi OpenBSD IPsec paketi acik kaynak kodlu ilk uygulama olmasi nedeniyle bircok kisi tarafindan kullanildi OpenBSD nin gelistirici takim lideri 11 Aralik 2010 tarihinde Gregory Perry den bir mektup almistir Bu mektupta iddia edildigi uzere FBI icin calismakta olan Jason Wright ve takimi tarafindan OpenBSD nin sifreleme kodu icerisine arka kapilar ve anahtar sizdirma mekanizmalari konmustur 2010 yilinda iletilen e postada Theo De Raadt en basta iddialarin gercekligine resmi bir aciklama vermedi fakat daha sonra e posta nin diger kisilere iletilmesini ustu kapali olarak destekledi Bu olanlarin uzerine Jason Wright yaptigi aciklamada iddialarin asilsiz oldugunu ve OpenBSD icerisine arka kapilarin veya anahtar sizdirma mekanizmalarinin yerlestirilmedigini soyledi Fakat birkac gun sonra De Raadt yapilan bu iddialara ve arka kapilarin bulunduguna inandigini duyurdu Bu olanlar Snowden sizintilarindan once gerceklesmistir IETF DokumanlariStandartlar RFC 2403 The Use of HMAC MD5 96 within ESP and AH RFC 2404 The Use of HMAC SHA 1 96 within ESP and AH RFC 2405 The ESP DES CBC Cipher Algorithm With Explicit IV RFC 2410 The NULL Encryption Algorithm and Its Use With IPsec RFC 2451 The ESP CBC Mode Cipher Algorithms RFC 2857 The Use of HMAC RIPEMD 160 96 within ESP and AH RFC 3526 More Modular Exponential MODP Diffie Hellman groups for Internet Key Exchange IKE RFC 3602 The AES CBC Cipher Algorithm and Its Use with IPsec RFC 3686 Using Advanced Encryption Standard AES Counter Mode With IPsec Encapsulating Security Payload ESP RFC 3947 Negotiation of NAT Traversal in the IKE RFC 3948 UDP Encapsulation of IPsec ESP Packets RFC 4106 The Use of Galois Counter Mode GCM in IPsec Encapsulating Security Payload ESP RFC 4301 Security Architecture for the Internet Protocol RFC 4302 IP Authentication Header RFC 4303 IP Encapsulating Security Payload RFC 4304 Extended Sequence Number ESN Addendum to IPsec Domain of Interpretation DOI for Internet Security Association and Key Management Protocol ISAKMP RFC 4307 Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 RFC 4308 Cryptographic Suites for IPsec RFC 4309 Using Advanced Encryption Standard AES CCM Mode with IPsec Encapsulating Security Payload ESP RFC 4543 The Use of Galois Message Authentication Code GMAC in IPsec ESP and AH RFC 4555 IKEv2 Mobility and Multihoming Protocol MOBIKE RFC 4806 Online Certificate Status Protocol OCSP Extensions to IKEv2 RFC 4835 Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload ESP and Authentication Header AH RFC 4868 Using HMAC SHA 256 HMAC SHA 384 and HMAC SHA 512 with IPsec RFC 4945 The Internet IP Security PKI Profile of IKEv1 ISAKMP IKEv2 and PKIX RFC 5996 Internet Key Exchange Protocol Version 2 IKEv2 Deneysel RFC ler RFC 4478 Repeated Authentication in Internet Key Exchange IKEv2 ProtocolBilgi Amacli RFC ler RFC 2367 PF KEY Interface RFC 2412 The OAKLEY Key Determination Protocol RFC 3706 A Traffic Based Method of Detecting Dead Internet Key Exchange IKE Peers RFC 3715 IPsec Network Address Translation NAT Compatibility Requirements RFC 4621 Design of the IKEv2 Mobility and Multihoming MOBIKE Protocol RFC 4809 Requirements for an IPsec Certificate Management Profile RFC 6027 IPsec Cluster Problem Statement RFC 6071 IPsec and IKE Document RoadmapEski RFC ler RFC 2401 Security Architecture for the Internet Protocol IPsec overview Obsolete by RFC 4301 RFC 2409 The Internet Key Exchange RFC 4306 Internet Key Exchange IKEv2 Protocol obsoleted by RFC 7296 RFC 4718 IKEv2 Clarifications and Implementation Guidelines obsoleted by RFC 7296 IPsec YararlariIPsec protokolu bir guvenlik gecidine gateway ornek olarak guvenlik duvarlari ve yonlendiriciler verilebilir uygulandiginda bu gecidin sahip oldugu trafige guvenlik ve koruma saglamasi icin kullanilir Disaridan gelen tum trafigin gececegi guvenlik duvarina uygulanmis IPsec sayesinde sisteme sizmaya veya guvenlik duvarini atlatmaya calisan saldirganlar onlenebilir IPsec Tasima ve Uygulama katmanlarinin asagisindaki bir katman olan Ag Katmani uzerinde calistigindan dolayi uygulamalar tarafindan algilanmazlar Yani IPsec uygulandiktan sonra sistem uzerinde calismakta olan uygulamalarin degistirilmesine gerek yoktur cunku bilgisayarlar uzerinde calismakta olan islemlere process Ag Katmanindan iletilecek yuk formati degismeyecektir Ayrica ayni nedenden dolayi bu sistemdeki bir uygulamayi kullanmakta olan son kullanicilarin IPsec gerceklestirildikten sonra egitilmesine gerek yoktur IPsec belirli kullanicilara guvenlik saglamasi uzere duzenlenebilir Bu kullanicilar disaridan calismakta olan calisanlar olarak orneklendirilebilir Kaynakca a b Kent S Atkinson R November 1998 IP Encapsulating Security Payload ESP IETF RFC 2406 Trusted Information Systems a b c d e Kent S December 2005 IP Authentication Header IETF RFC 4302 Kent S Atkinson R November 1998 IP Authentication Header IETF RFC 2402 The Internet Key Exchange IKE RFC 2409 1 Abstract Paterson Kenneth G Yau Arnold K L 2006 04 24 Cryptography in theory and practice The case of encryption in IPsec PDF Eurocrypt 2006 Lecture Notes in Computer Science Vol 4004 Berlin pp 12 29 Retrieved 2007 08 13 Bellovin Steven M 1996 Problem Areas for the IP Security Protocols POSTSCRIPT Proceedings of the Sixth Usenix Unix Security Symposium San Jose CA pp 1 16 Retrieved2007 07 09 Degabriele Jean Paul Paterson Kenneth G 2007 08 09 Attacking the IPsec Standards in Encryption only Configurations PDF IEEE Symposium on Security and Privacy IEEE Computer Society Oakland CA pp 335 349 Retrieved 2007 08 13 RFC 6434 IPv6 Node Requirements E Jankiewicz J Loughney T Narten December 2011 ipsecme charter Secret Documents Reveal N S A Campaign Against Encryption New York Times John Gilmore Re Cryptography Opening Discussion Speculation on BULLRUN Theo de Raadt Allegations regarding OpenBSD IPSEC Jason Wright Allegations regarding OpenBSD IPSEC Theo de Raadt Update on the OpenBSD IPSEC backdoor allegation Dis baglantilarStallings William 2014 Cryptography and Network Security Principles and Practice Sixth Edition Pearson Education Limited ISBN 0133354695

Yayın tarihi: Temmuz 06, 2024, 03:41 am
En çok okunan
  • Kasım 24, 2024

    Kari Lake

  • Kasım 23, 2024

    Karacalar, Ulaş

  • Kasım 23, 2024

    Karacalar, Kavak

  • Kasım 23, 2024

    Karacalar, Araç

  • Kasım 23, 2024

    Kaydedilmiş en hızlı tenis servisleri

Günlük

  • Yunan Olimpiyat Komitesi

  • Arles

  • 24 Kasım

  • 1859

  • Türlerin Kökeni

  • Mustafa Kemal Atatürk

  • Jack Ruby

  • Apollo 12

  • 2015 Malezya Grand Prix

  • Galešnjak

NiNa.Az - Stüdyo

  • Vikipedi

Bültene üye ol

Mail listemize abone olarak bizden her zaman en son haberleri alacaksınız.
Temasta ol
Bize Ulaşın
DMCA Sitemap Feeds
© 2019 nina.az - Her hakkı saklıdır.
Telif hakkı: Dadaş Mammedov
Üst