IPSec Nedir, Daha İyi Güvenlik Sağlayan VPN Protokolü ve Nasıl Çalışır?

IPsec nedir

İnternet gibi güvenli olmayan bir ağ aracılığıyla güvenli bir iletişimi sürdürmek, İnternet'teki herhangi bir kullanıcının ve ayrıca farklı şirketlerin ana endişelerinden biridir. Kullanmanın ana nedenleri VPN bize izin veriyor mu kimlik doğrulama ve veri şifreleme ile güvenli iletişim kurmak alışverişi yapılan tüm bilgileri korumak için. IPsec, iki veya daha fazla katılımcı arasındaki tüm IP iletişimlerine bir güvenlik katmanı sağlayan en önemli güvenlik protokollerinden biridir. Bugün bu yazıda IPsec'in ne olduğunu, nasıl çalıştığını ve onu nasıl ve nerede yapılandırabileceğimizi ayrıntılı olarak göreceğiz.

VPN, "Sanal Özel "Veya sanal özel ağ olarak da bilinir ve LAN iletişimlerini İnternet ağı üzerinden genişletmemizi sağlayan bir ağ teknolojisidir ve bunların tümünü kriptografi kullanımı sayesinde tamamen güvenli bir şekilde gerçekleştirir. Bir VPN, bir bilgisayarın paylaşılan veya genel ağlarda veri göndermesine ve almasına izin verir, ancak mantıksal olarak tüm işlevleri, izinleri, güvenliği, yönetim politikaları vb. İle özel ağda bulunur.

VPN'lerin bazı çok tipik kullanımları aşağıdaki gibidir:

  • İnternet bağlantısını kullanarak bir şirketin iki veya daha fazla ofisini birbirine bağlama imkanı.
  • Teknik destek ekibinin üyelerinin evlerinden şirkete bağlanmasına izin verin.
  • Bir kullanıcının ev bilgisayarına otel gibi uzak bir siteden erişebilmesi.

Tüm bu kullanımlar her zaman hepimizin iyi bildiği bir altyapı üzerinden olacaktır: İnternet.

VPN'ler içinde, esas olarak iki VPN mimarisine sahibiz: uzaktan erişim VPN'leri (Roadwarrior VPN veya Mobil İstemciler) ve Siteden Siteye VPN'ler (Siteden Siteye VPN). İhtiyaçlarımıza bağlı olarak, bir mimariyi veya diğerini yapılandırmalıyız.

  • Uzaktan Erişim VPN (Roadwarrior veya Mobile Client) : Bu VPN mimarisi, bir veya daha fazla kullanıcının bir VPN sunucusuna bağlanması ve evinizin veya şirketinizin tüm paylaşılan kaynaklarına erişebilmesi için tasarlanmıştır, ayrıca trafiğin yeniden yönlendirilmesine izin verir, bu şekilde biz İnternete VPN sunucusu aracılığıyla (ve VPN sunucusunun genel IP'si ile) gidecek. Bu VPN türü, amacı bize İnternet üzerinden güvenli gezinme sağlamak olan NAS sunucularında, yönlendiricilerinde ve diğer cihazlarda yapılandırabileceğimiz en tipik VPN türüdür. Bu kurumsal düzeydeki VPN'ler ayrıca ek kimlik doğrulaması gerektiren bölgeleri ve dahili ağ hizmetlerini izole etmeye hizmet eder, ayrıca hem evde hem de işte WiFi bağlantısını kullandığımızda başka bir şifreleme katmanı eklemek iyi bir fikir olabilir.
  • Siteden Siteye VPN (VPN Siteden Siteye) : Bu VPN mimarisi, farklı siteleri birbirine bağlamak için tasarlanmıştır, örneğin farklı sitelere sahip bir şirketimiz varsa, bunları VPN aracılığıyla birbirine bağlayabilir ve tüm kaynaklara erişebiliriz. Bağlantının kurulması, uzaktan erişimli VPN'lerde olduğu gibi son istemcide yapılmaz, yönlendiriciler veya güvenlik duvarları tarafından yapılır, bu şekilde, trafik seyahat etmesine rağmen tüm ağ "bir" olarak görülecektir. birden fazla VPN tüneli aracılığıyla.

Aşağıdaki görüntüde, hem siteden siteye VPN (sol) hem de uzaktan erişim VPN (sağ) olmak üzere her iki modelde de bir VPN mimarisi görebiliriz:

VPN'in güvenli olması için neyi garanti etmesi gerekir?

Bir bağlantının bir sanal özel ağ (VPN) üzerinden güvenli olduğundan emin olmak için, belirli işlevler garanti edilmelidir, aksi takdirde güvenilmez bir VPN ile karşı karşıya kalabiliriz. Şirketlerde yaygın olarak kullanılan güvenli bir VPN protokolü olduğu için IPsec protokolünün hepsiyle uyumlu olduğunu tahmin ediyoruz.

Doğrulama

Kimlik doğrulama, bir VPN'deki en önemli işlemlerden biridir, bu özellik, bir kullanıcıya gerçekten söylediği kişi olduğunun gösterilmesini sağlar. Bunu kanıtlamanın yolu bir parola girerek, dijital bir sertifika kullanmak veya her iki kimlik doğrulama biçiminin bir kombinasyonunu kullanmaktır. Ana bilgisayar bir kaynaktan bir IPsec verikatarı aldığında, ana bilgisayar datagramın kaynak IP adresinin datagramın gerçek kaynağı olduğundan emin olur, çünkü daha önce başarıyla doğrulanmıştır.

Gizlilik

Gizlilik, VPN'lerin temel özelliklerinden bir diğeridir; gizlilik, bilginin yalnızca yetkili kuruluşlar tarafından erişilebilir olması gerektiği anlamına gelir, yani tüm iletişimler noktadan noktaya şifrelenir ve yalnızca sistemde daha önce kimliği doğrulanmış olan alışverişi yapılan tüm bilgilerin şifresini çözebilme. Birisi iletişimin ortasına girip onu yakalayabilirse, şifresini çözemez çünkü simetrik veya asimetrik anahtar şifrelemesi kriptografi kullanırlar.

Bütünlük

Doğrulama ve gizlilik, bütünlük kadar önemlidir. Bütünlük, bilginin iletişimin başlangıcı ile hedef arasında değiştirilmemesinin sağlanabileceği anlamına gelir. Bir VPN'deki tüm iletişimler, hata tespit kodlarını içerir ve bilgiler değiştirilmez. Değiştirilmesi durumunda, paket otomatik olarak atılır ve hatta güvenlik nedeniyle VPN tünelinin çökmesine neden olabilir. IPsec protokolü, alıcı ana bilgisayarın datagram başlık alanlarının ve şifrelenmiş yükün, datagram hedefe giderken değiştirilmediğini doğrulamasına izin verir.

Bir VPN'de kimlik doğrulamamız ve gizliliğimiz olduğunu hayal edelim, ancak bütünlüğümüz yok. İletişimin ortasındaki bir kullanıcı 10 € 'luk bir para transferi göndermek yerine bazı değerleri değiştirirse, bunu 1,000 €' ya dönüştürebilir. Bütünlük özelliği sayesinde, bir bit değiştirilir değiştirilmez paket atılır ve tekrar gönderilmesini bekler.

İnkar etmiyorum

Kriptografinin bu özelliği, dijital sertifikanız veya kullanıcı adı / şifre çiftiniz ile imzalandığı için herhangi bir bilgi göndermediğinizi söyleyemeyeceğiniz anlamına gelir. Bu şekilde, o kullanıcının belirli bilgileri gönderdiğinden emin olabiliriz. Reddetmeme, ancak birisi kullanıcı adı / şifre çiftini veya dijital sertifikaları çalabilirse "engellenebilir".

Erişim kontrolü (yetkilendirme)

Bu, kimliği doğrulanmış katılımcıların yalnızca yetkilendirildikleri verilere erişebilmelerini sağlamakla ilgilidir. Kullanıcıların kimliği doğrulanmalı ve erişim yetkisi olanlarla sınırlandırılmalıdır. Bir iş ortamında bu çok önemlidir, bir kullanıcı fiziksel olarak veya daha az izne sahipmiş gibi aynı erişim düzeyine ve aynı izinlere sahip olmalı, ancak hiçbir zaman fiziksel olarak sahip olduklarından daha fazla izinlere sahip olmamalıdır.

Etkinlik Kaydı

Doğru çalışma ve esnekliği sağlamakla ilgilidir. VPN protokolü, kurulan tüm bağlantıları, kimlik doğrulamasını yapan kaynak IP adresiyle ve hatta sağlanan sanal IP adresine dayalı olarak sistemde ne yaptıklarını kaydetmelidir.

Hizmet kalitesi

İletim hızında kabul edilemez bir bozulma olmaması, iyi performans sağlamakla ilgilidir. Bir VPN bağlantısı kurduğumuzda, her zaman daha az gerçek hıza sahip olacağımızı unutmamalıyız, çünkü tüm trafik noktadan noktaya şifrelenmiştir ve VPN sunucusunun ve istemcilerin gücüne bağlı olarak, daha yüksek veya daha düşük hız. Bir VPN dağıtmaya başlamadan önce, ekipmanın donanımına ve sahip olabileceğimiz maksimum bant genişliğine bakmalıyız.

IPsec'e Giriş

IPsec protokolü en önemli güvenlik protokollerinden biridir ve şirketlerde ve ayrıca ev kullanıcılarında yaygın olarak kullanılmaktadır. Son zamanlarda, gibi üreticiler ASUS, AVM ve hatta D-Link, VPN'i IPsec protokolüne dayalı olarak ev yönlendiricilerine entegre ediyor. Bu protokol, IP katmanına ve TCP ve UDP (İnternet taşıma katmanı) gibi tüm yüksek protokollere güvenlik hizmetleri sağlar. IPsec sayesinde, birbiriyle iki veya daha fazla şirket veya evindeki bir kullanıcı gibi İnternetin farklı noktaları arasında güvenli bir şekilde iletişim kurabiliyoruz, IPsec her iki "dünyanın" VPN ihtiyaçlarına mükemmel bir şekilde uyar.

IPsec'in çok önemli bir özelliği, OSI'nin 3. katmanında (ağ katmanı), OpenVPN gibi diğer VPN protokollerinde veya WireGuard katman 4'te (taşıma katmanı) çalışır, çünkü son ikisi güvenliklerini sırasıyla TLS ve DTLS'ye dayandırır. IPv4 ağlarındaki IPsec, IP başlığının hemen üzerindedir, ancak IPv6 ağlarında, "Uzantılar" bölümündeki başlığın kendisine entegre edilmiştir (ESP).

IPsec, daha önce açıkladığımız gibi, iletişimin güvenli olması için gerekli tüm hizmetleri sağlar, bu hizmetler kimlik doğrulama, gizlilik, bütünlük ve inkar etmeme . Bu hizmetler sayesinde iletişim güvenliği garanti altına alınmıştır. Elbette erişim kontrolü, hizmet kalitesi ve faaliyet günlüğümüz de var.

IPsec'in çok önemli bir diğer özelliği de, her iki VPN mimarisine de izin verir , hem uzaktan erişim VPN hem de siteden siteye VPN. IPsec, kriptografi görüşmeleriyle ilgili olarak, son ekiplerin destekledikleri olası en iyi şifrelemeyi müzakere etmeleri, değişim anahtarları üzerinde anlaşmaları ve ortak olan şifreleme algoritmalarını seçmeleri için bir görüşme sistemi entegre eder. Kullanılan IPsec başlığına (AH veya ESP) bağlı olarak, yalnızca paketin gerçekliğini kontrol edebilir veya tüm IP paketinin yükünü şifreleyebilir ve ayrıca orijinalliğini kontrol edebiliriz.

İki ana bilgisayar bir IPsec oturumu kurduğunda, TCP kesimleri ve UDP datagramları aralarında şifrelenmiş ve kimliği doğrulanmış olarak gönderilir, ayrıca, bir kişinin onu değiştirmesini önlemek için bütünlük de kontrol edilir. Bu nedenle IPsec, iletişim güvenliğini garanti eder.

IPsec'in bazı avantajları, tüm IETF standartları tarafından desteklenmesi ve bir VPN "standardı" sağlamasıdır, böylece tüm cihazlar uyumlu olmalıdır. IPSec, OpenVPN veya WireGuard'dan çok daha yaygın olarak kullanılan VPN için "standart" olduğu için tüm iletişim ekipmanlarından çok önemli destek alıyor. PC işletim sistemlerinin tüm sürümleri Windows or Linux, MacOS için Apple bilgisayarlar ve ayrıca Android ve iOS IPsec protokolünü destekler. Ayrıca bir diğer çok önemli özellik, bir standart olarak üreticiler arasında birlikte çalışabilirliğin olması ve bu da kullanıcılar için bir garanti teşkil etmektedir. IPSec'in bir diğer dikkat çekici özelliği, açık bir standart olarak doğasıdır ve PKI (Açık Anahtar Altyapısı) teknolojisi ile mükemmel bir şekilde tamamlanmıştır.

IPsec, genel anahtar teknolojilerini (RSA veya Eliptik Eğriler), simetrik şifreleme algoritmalarını (Blowfish veya 3DES gibi diğerlerini de desteklemesine rağmen esas olarak AES) ve karma algoritmaları (SHA256, SHA512 vb.) Ve X509v3 tabanlı dijital sertifikaları birleştirir.

IPsec üstbilgileri

IPsec protokolü, ilgilendiğimiz konuya bağlı olarak birkaç başlığa sahip bir mimariye sahiptir, bir başlık veya diğerini seçebiliriz, aynı IPsec tünelinde her iki başlığı aynı anda seçemeyiz. Bu protokolde sahip olduğumuz başlıklar şunlardır:

  • Kimlik Doğrulama Başlığı (AH)
  • Kapsüllenmiş Güvenlik Yükü (ESP)

Daha sonra, her iki başlığın nasıl çalıştığını ayrıntılı olarak açıklayacağız.

Kimlik doğrulama başlığı (AH)

Bu başlık, iletilen IP paketlerine kimlik doğrulama ve bütünlük sağlar, bu IPsec özelliğini sağlamak için HMAC parmak izlerini kullanır. Protokolün kendisi, IP paketinin içeriğine bir hash fonksiyonunu hesaplamaktan sorumlu olacaktır, bu protokol tarafından kullanılan bazı hash fonksiyonları güvenli olmayan MD5 veya SHA-1'dir, ancak aynı zamanda güvenli olan SHA256 veya SHA512'yi de destekler. .

Bu başlık, IP paketlerinin alıcısına verinin kaynağını doğrulamak ve söz konusu verilerin iletişimde değiştirilmediğini doğrulamak için bir yöntem sağlar. Çok önemli bir detay şu ki bu başlık gizlilik sağlamaz IP paketinin verilerini şifrelemediği için, alınıp verilen bilgiler, TLS güvenliğiyle HTTPS veya FTPES gibi protokoller kullanmadıkları sürece üçüncü şahıslar tarafından görülebilir.

AH, standart IP başlığı (hem IPv4 hem de IPv6 ağlarında) ile aktarılan veriler arasına eklenen bir kimlik doğrulama başlığıdır. Bu taşınan veriler bir TCP, UDP veya ICMP mesajı ve hatta tam bir IP datagramı olabilir. AH başlığı içinde, üst katman verilerinin gösterildiği yerdir, ayrıca AH, TOS, TTL, bayraklar, ofset ve sağlama toplamı gibi değişken değişiklikler dışında IP başlığının bütünlüğünü ve özgünlüğünü sağlar.

http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf

AH protokolünün çalışması şu şekildedir:

  1. Gönderen, iletilecek mesajdan hash fonksiyonunu hesaplar. "Kimlik doğrulama verileri" alanındaki AH başlığına kopyalanacaktır.
  2. Veriler İnternet üzerinden iletilir.
  3. Paket alıcıya ulaştığında, hash işlevini uygulayacak ve zaten sahip olduğu ile karşılaştıracaktır (her ikisi de aynı paylaşılan gizli anahtara sahiptir).

Parmak izleri eşleşirse, bu, verikatarının değiştirilmediği anlamına gelir, aksi takdirde, bilgilerin tahrif edildiğini iddia edebiliriz.

Kapsüllenmiş Güvenlik Yükü (ESP)

Kapsüllenmiş Güvenlik Yük veya ESP olarak da bilinen yük, IPsec üzerinden iletilen verilerin kimlik doğrulaması, bütünlüğü ve gizliliğini sunar. Yani, bu durumda, iletilen mesajı şifrelemeyen AH'nin aksine, tüm iletişimler gizli olacak şekilde tüm veri alanını şifreleyeceğiz. Bu güvenlik özelliklerine ulaşmak için, her iki ana bilgisayar arasındaki iletişimi sağlamak için Diffie-Hellmann kullanılarak bir genel anahtar değişimi yapılır.

IPsec'e entegre edilen ESP protokolünün temel işlevi, verilere gizlilik sağlamaktır, bunu yapmak için ESP, şifrelemeyi ve verilerin yeni bir IP datagramında konumlanma şeklini tanımlar. Kimlik doğrulama ve bütünlük sağlamak için ESP, AH'ye benzer mekanizmalar kullanır. ESP, AH'den daha fazla işlev sağladığından, başlık biçimi daha karmaşıktır: bu biçim, bir başlık ve bir kuyruktan (paketin sonuna yerleştirilir) oluşur, bu nedenle ESP, taşınan verileri "çevreler". Verilerle ilgili olarak, ESP herhangi bir IP protokolünü, örneğin TCP, UDP, ICMP ve hatta eksiksiz bir IP paketi kullanmanızı sağlar.

Bir ESP paketinin yapısı aşağıdaki gibidir:

http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf

ESP, TCP / IP içindeki ağ düzeyine aittir. Veri alanı tamamen şifrelenmiş , veri birimi daha fazla güvenlik sağlamak için kendisi de doğrulanabilir. Verilerin şifrelenmesi, simetrik anahtar algoritmaları , genellikle blok şifreler kullanılır (AES gibi), veri şifreleme birden çok blok boyutu Bu nedenle bir doldurma alanı olan “Dolgu” var.

Verileri şifrelemek için, gönderen ilk önce orijinal mesajı bir anahtar kullanarak şifreler ve yeni bir IP datagramına (ESP başlığı ile korunan) ekler. Birinin mesajı yakaladığı varsayımsal durumda (Ortadaki Adam), mesajın şifresini çözmek için gizli anahtara sahip olmadıkları için yalnızca anlamsız veriler alacaklardır. Mesaj hedefe ulaştığında, gizli anahtarı verilere uygulayacak ve paketin şifresini çözecektir.

En yaygın kullanılan algoritma AES tüm sürümlerinde (128 ve 256 bit) ve aşağıdaki gibi farklı şifreleme modlarında AES-CBC, AES-CFB ve AES-OFB . Ancak, AEAD'nin bize sağlayacağı AES-GCM'den yararlanmanız tavsiye edilir ve diğerlerinden çok daha güvenlidir. Bu nedenle, bir tüm verileri korumak için iyi şifreleme algoritması anahtarların güvenli bir şekilde dağıtılması çok önemli olacaktır. Hassas bir konu, iletişimin her iki tarafının da algoritmalar ve kimlik doğrulama konusunda hemfikir olmasıdır, bu IKE protokolü tarafından yapılacaktır.

IKE: ne olduğu ve ne için olduğu

Bu IKE (İnternet Anahtar Değişimi) protokolü, anahtarları oluşturmak ve yönetmek için kullanılır. AH (Kimlik Doğrulama Başlığı) ve ESP (Kapsüllenmiş Güvenlik Yükü) bağlantıları . IPsec bağlantısının iki veya daha fazla katılımcısı, bağlantıyı güvenli bir şekilde kurabilmek için şifreleme türleri ve kimlik doğrulama algoritmaları konusunda bir şekilde anlaşmalıdır. Bu konfigürasyon, kanalın her iki ucunda manuel olarak veya bir protokol ( IKE protokolü ) katılımcıların otomatik görüşmeleriyle ilgilenmek için (SA = Güvenlik Derneği).

IKE protokolü yalnızca anahtarların yönetimi ve idaresinden değil, aynı zamanda ilgili katılımcılar arasında bağlantı kurulmasından da sorumludur. IKE yalnızca IPsec'de değildir, aynı zamanda OSPF veya RIP gibi farklı yönlendirme algoritmalarında da kullanılabilir.

IKE anlaşmasının aşamaları

Güvenli kanalın kurulması, IKE iletişimini şifrelemek için Diffie-Hellman gibi bir anahtar değişim algoritması kullanılarak yapılacaktır. Bu görüşme, tek bir çift yönlü SA aracılığıyla yapılır. Kimlik doğrulama, PSK (paylaşılan anahtar) veya RSA sertifikaları gibi diğer yöntemlerle yapılabilir. Oluşturulan güvenli kanalı kullanarak, IPsec (veya diğer hizmetler) güvenlik ilişkisi görüşülür.

IKE'nin bazı özellikleri

IKE destekler NAT geçişi , katılımcılardan biri veya her ikisi bir NAT arkasında olsa bile, bağlantı NAT'ın gerisindeyse VPN sunucusundaki bağlantı noktalarını açmamız gerekmesine rağmen birçok sorun olmadan yapılabilir. Sıra numaraları ve ACK'lar güvenilirlik sağlamak için kullanılır, ayrıca bir hata işleme sistemi içerir. IKE, hizmet reddi saldırılarına karşı dirençlidir ve IKE, talepte bulunan uç noktanın gerçekten var olup olmadığını belirleyene kadar hiçbir işlem yapmaz, böylece sahte IP adreslerinden gelen saldırılara karşı koruma sağlar.

Şu anda IKEv2, tüm profesyonel güvenlik duvarları ve yönlendiricilerde yaygın olarak uygulanmaktadır, ancak henüz Android veya iOS dünyasında tam olarak genişletilmemiştir. Samsung akıllı telefon kullanıcıları IKEv2 ile IPsec'i destekler. Windows, Linux ve macOS işletim sistemleri bu protokolü destekler.

IKEv2: ne değişti

IKEv2, bu popüler İnternet Anahtar Değişimi protokolünün ikinci sürümüdür, genel olarak iletişim kurmayı ve güvenlik duvarlarından geçmeyi kolaylaştıran NAT geçişi için iyileştirmeler içerir. Aynı zamanda, iletişimin çok hızlı bir şekilde yeniden bağlanmasına izin veren yeni bir mobilite standardını destekler, ayrıca akıllı telefon, tablet veya dizüstü bilgisayar kullanıcıları için ideal olan çoklu ev kullanımına (çoklu orijinli) izin verir. IKEv2, VoIP'de kullanılan SCTP'nin kullanılmasına izin verir, ayrıca daha basit bir mesaj alışverişine sahiptir, yalnızca en güvenli olanlara izin veren daha az kriptografik mekanizmaya sahiptir. Güvenli olmayan şifrelere sahip bir VPN kullanmanın anlamı nedir? IKEv2 yalnızca en güvenli olanın kullanılmasına izin verir.

Çalışma modları: taşıma veya tünel

IPsec bize hem kimlik doğrulama başlığı (AH) hem de kapsüllenmiş güvenlik yükü (ESP) için çok farklı iki çalışma modu sağlar. Bu çalışma modları, paketlerin ele alınış şekline göre farklılık gösterir. Sonra, ikisi arasındaki farkları daha derinlemesine açıklayacağız.

Taşıma modu

AH veya ESP başlığı, veri alanı ve IP başlığı arasına, orijinal IP adresleri korunacak şekilde yerleştirilir. Bir AH veya ESP datagramında kapsüllenen içerik, doğrudan taşıma katmanından gelir. Bu nedenle, IPsec başlığı, IP başlığından sonra ve taşıma katmanı tarafından sağlanan verilerin hemen öncesine eklenecektir. Bu şekilde, yalnızca yük şifrelenir ve kimliği doğrulanır. Datagramın şeması aşağıdaki gibi olacaktır:

Taşıma modu uçtan uca iletişimi sağlar, ancak uçların birbirini anlayabilmesi için IPsec protokolünün varlığından haberdar olması gerekir.

Tünel modu

Tünel modunda, ESP kullanılıyorsa tüm IP paketi (başlık + veri) şifrelenir ve kimliği doğrulanır. Bu paket yeni bir IP paketinde kapsüllenecek, bu nedenle IP adresi son IP paketininki ile değişecektir. Bu nedenle, orijinal pakete bir AH veya ESP başlığı eklenir ve ardından paketi ağ üzerinden yönlendirmeye hizmet edecek IP başlığı eklenir.

Tünel modu normalde ağlarla iletişim kurmak için kullanılır, ancak bilgisayarları ağlarla ve bilgisayarlarla bilgisayarlarla iletişim kurmak için de kullanılabilir (ve aslında kullanılır). Bu işletim modu, düğümlerin kimliklerini iletişim halindeki diğer düğümlerden gizlemelerini kolaylaştırır. Tünel modunu kullanarak, özellikle VPN istemcileri için ayrılmış bir alt ağa sahip olabileceğiz. Tünel modu, aynı IP adresi altında korudukları ağı tanımlamak ve böylece bir bilgisayardaki IPSec trafiğinin işlenmesini merkezileştirmek için çoğunlukla IPSec ağ geçitleri tarafından kullanılır.

Aşağıdaki görüntüde, her zaman ESP kullanarak her iki işletim şeması arasında bir karşılaştırma görebilirsiniz:

İki çalışma modunu gördükten sonra, IPsec'de hangi kimlik doğrulama yöntemlerine sahip olduğumuzu göreceğiz.

Kimlik doğrulama yöntemleri

IPsec protokolünde toplam dört kimlik doğrulama yöntemimiz vardır: paylaşılan anahtar, RSA dijital imzalar, X.509 dijital sertifikalar ve bir grup XAuth kullanıcısı aracılığıyla kimlik doğrulama. IPsec'i uygulamak istediğimiz senaryoya bağlı olarak, bir kimlik doğrulama yöntemi veya başka bir yöntem kullanılacaktır, bu yöntemlerin her birinin bahsedilecek olan avantajları ve dezavantajları vardır. Ardından, bu dört yöntemi ayrıntılı olarak açıklıyoruz.

Paylaşılan anahtar

Paylaşılan anahtar, iletişimin yalnızca iki ucunun IPsec bağlantısını kurmayı bileceği bir karakter dizisinden (ömür boyu anahtar) oluşan bir anahtardır. Kimlik doğrulama algoritmalarının (HASH) kullanılmasıyla, söz konusu anahtarların açığa çıkmasına gerek kalmadan anahtarların doğru olduğu doğrulanacaktır. Bu yöntemin güvenli olması için, iletişimdeki her katılımcı çifti için bir anahtar bulunmalıdır. Bu tür bir kimlik doğrulama, çok fazla sayıda anahtar olacağı için birçok katılımcı için uygun değildir.

Bağlantıda anahtar değişimi için karma kullanılsa da, bu bağlantıdan önce anahtarların iletişimin her iki ucunda olması gerekir, bu nedenle o anahtarın gönderildiğinde yakalanıp yakalanmadığını kesin olarak bilemeyiz. Güvenli olmasını ancak el ile teslim edersek sağlayabiliriz. Bu teknik, küçük ağlar için kullanışlıdır, ancak orta ve büyük ağlar için kesinlikle mümkün değildir.

RSA Dijital İmzalar

IPsec, otomatik anahtar yönetimi ve güvenliği için IKE protokolü ile çalışır, genel ve özel anahtar çifti aracılığıyla güvenli anahtar değişimi için RSA dijital imzaları kullanır. Bu anahtarlar paylaşılan anahtarla aynı soruna sahiptir, bir şekilde anahtarları "diğer tarafa" göndermemiz gerekir, ancak anahtarları IKE protokolünü kullanarak güvenli bir şekilde değiştirebiliriz.

Bu nedenle, ağın güvenliğini sağlamak için bu anahtarların düzenli olarak değiştirilmesi tavsiye edilir. Bu RSA imzaları, ağa kimlik doğrulama ve gizlilik sağlar.

X.509 sertifikaları

IPsec'deki en güvenli kimlik doğrulama biçimlerinden biri, dijital sertifikalarla çalışmak, karşılık gelen CA (Sertifika Yetkilisi), sunucunun dijital sertifikası ve istemcilerin dijital sertifikalarıyla bir ortak anahtar altyapısı (PKI) oluşturmaktır. Bu dijital sertifikalar sayesinde çok sağlam bir kimlik doğrulama kurabiliyoruz, ayrıca dijital sertifikalarla da çalışabiliyoruz, bu sertifikalar sahibinin açık anahtarını ve kimliğini içeriyor. Cihaz sahibinin ayrıca doğrulama sırasında çalışmak için bir çift genel ve özel anahtarı vardır.

Bu sertifikaların kullanılması, IPsec iletişiminde yer alan düğümlerin kimliğini doğrulamak için PKI protokolünün sahnede görünmesini sağlar. Bu PKI'nın kullanımı, yeni sertifikalar oluşturma ve diğerlerini kaldırma görevine yardımcı olur. Dijital sertifikanın geçerliliği PKI tarafından verilir, bu PKI, ortak anahtarı ve sahibin kimliğini içeren CA'yı bütünleştirir. IPsec bağlantısına dahil olan uç noktalar, CA'nın bir kopyasına (CA'nın genel anahtarı) sahip oldukları için CA'yı geçerli olarak tanıyacaktır.

Sertifika doğrulaması, PKI'da depolanan sertifika iptal listesi (CRL) kullanılarak yapılır. Tüm katılımcılar bu CRL'nin sürekli güncellenen bir kopyasına sahip olacaktır.

XAuth Kullanıcı Grubu Kimlik Doğrulaması

Bu yöntem, daha önce görülen dijital sertifikalara (X.509) bir kullanıcı ve şifre ekler, böylece sertifikayı doğrulamanın yanı sıra, kullanıcı ve şifreyi de doğrulayacaktır. Bu kullanıcıları ve şifreleri doğrulamak için bir Radius sunucusu veya doğrudan kullanıcı ve şifrelerin bulunduğu küçük bir veritabanı kullanabiliriz.

Bağlantının kurulması

Bir IPsec tünelinin görüşülmesi, bize iletişimin iki ucu arasında şifreli ve kimliği doğrulanmış bir bağlantı sağlayacak olan IKE protokolü aracılığıyla gerçekleştirilir. Bağlantı prosedüründe, IPsec bağlantısını kurmak için kullanılan anahtarlar ve güvenlik kararlaştırılacaktır. Bağlantı prosedürü iki ayrı bölümde gerçekleştirilir. Bu iki bölümü aşağıda açıklıyoruz.

1. Bağlantı için kimlik doğrulama ve güvenlik sağlayın

Bağlantının güvenliğini sağlamak için simetrik bir şifreleme algoritması ve bir HMAC imzası kullanılacaktır. Anahtarlar, Diffie-Hellman gibi bir anahtar değişim algoritması kullanılarak değiştirilir. Bu yöntem, katılımcıların söyledikleri kişi olduklarını garanti etmez, bu nedenle önceden paylaşılan bir anahtar veya dijital sertifikalar kullanacağız.

İletişimin ilk kısmı, güvenlik parametreleri kabul edildiğinde ve iletişim kanalı güvenli hale getirildiğinde sona erer.

2. Verilerin gizliliğini sağlayın.

Kurduğumuz IKE güvenli kanalı, belirli IPsec güvenlik parametreleriyle (AH veya ESP başlığı, kimlik doğrulama algoritmaları vb.) Görüşmek için kullanılır. Bu özel parametreler, VPN'i daha da sağlam hale getirmek için şiddetle tavsiye edilen PFS'yi (Perfect Direct Confidentiality) yapılandırdığımız sürece daha fazla güvenlik sağlamak için yeni Diffie-Hellman anahtarlarını içerebilir.

IPsec tarafından sunulan güvenlik hizmetleri

Gizlilik

Gizlilik hizmeti, ESP protokolünde bulunan şifreleme işlevi aracılığıyla elde edilir. Bu durumda, kimlik doğrulama seçeneğinin etkinleştirilmesi tavsiye edilir, çünkü verilerin bütünlüğü garanti edilmezse, şifreleme işe yaramaz. Bunun nedeni, verilerin geçiş halindeki herhangi biri tarafından yorumlanamamasına rağmen, geçerli trafik olarak kabul edilecek mesajın alıcısına anlamsız trafik gönderilerek değiştirilebilmesidir.

ESP protokolü, trafik şifreleme sunmanın yanı sıra, gerçekleştirilmekte olan iletişim türünü gizlemek için de araçlara sahiptir; bunun için, paket verilerinin içeriğine doldurulan karakterlerin girilmesine izin verir, böylece paketin gerçek uzunluğu gizlenir. Bu, bir saldırganın şifrelenmiş trafiğin özelliklerini incelemekten faydalı bilgiler çıkarmasına olanak tanıyan trafik analizi tekniklerine karşı yararlı bir korumadır.

Veri kaynağının bütünlüğü ve kimlik doğrulaması

AH protokolü, şifreleme gerekmiyorsa en uygun olanıdır. ESP protokolü kimlik doğrulama seçeneği, benzer işlevsellik sunar, ancak bu koruma, AH'nin aksine, IP başlığını içermez. Daha önce belirtildiği gibi, bu seçenek, IP paketlerinin içeriğinin değişmezliğini garanti etmenin önemli olduğu uygulamalar için büyük önem taşımaktadır.

Tekrar algılama

Kimlik doğrulama, IP sahtekarlığına karşı koruma sağlar, ancak bir saldırgan yine de geçerli paketleri yakalayıp hedefe iletebilir. Bu saldırıdan kaçınmak için hem ESP hem de AH, tekrarlanan paketleri tespit etmek için bir prosedür içerir. Bahsedilen prosedür, ESP veya AH başlığında bulunan bir sıra numarasına dayanmaktadır, gönderici, gönderdiği her veri birimi için bahsedilen sayıyı arttırır ve alıcı, tekrarlanan paketler göz ardı edilecek şekilde bunu kontrol eder.

Bu sıra, iki protokolden (AH ve ESP) herhangi biri için bütünlük seçeneği ile korunduğundan ve bu sayıdaki herhangi bir değişiklik, paketin bütünlük kontrolünde bir hataya neden olacağından, saldırgan tarafından değiştirilemez.

Erişim kontrolü: Kimlik doğrulama ve yetkilendirme

ESP ve AH'nin kullanımı anahtar bilgisi gerektirdiğinden ve bu anahtarlar, her iki düğümün de birbirinin kimliğini doğruladığı bir IKE oturumu aracılığıyla güvenli bir şekilde dağıtıldığından, yalnızca istenen bilgisayarların iletişime katılma garantisi vardır.

IPSec ayrıca yetkilendirme işlevleri sağladığından, geçerli kimlik doğrulamanın kaynaklara tam erişim anlamına gelmediğini açıklığa kavuşturmak gerekir. IKE anlaşması sırasında, IPSec bağlantısı üzerinden dolaşacak IP trafiği akışı belirlenir. Bu belirtim, protokol, kaynak ve hedef bağlantı noktalarının IP adresleri, "TOS" baytı ve diğer alanlar dikkate alındığında bir paket filtresine benzer. Örneğin, IPSec bir şubeden merkezin yerel ağına erişime izin vermek için kullanılabilir.

İnkar etmiyorum

Dijital sertifika kimlik doğrulaması ile IKE kullanılarak inkar dışı hizmet mümkündür. Bu durumda, kimlik doğrulama prosedürü, katılımcının kimliğini içeren bir mesajın dijital imzasına dayanır. Açık anahtar ile dijital sertifikanın garanti ettiği kimlik arasındaki bağlantı sayesinde bu imza, belirli bir bilgisayarla bir IPSec bağlantısının kurulduğunun açık bir kanıtıdır, bu yüzden inkar edemez. Ancak pratikte bu test, IKE görüşme mesajlarının depolanmasını gerektireceğinden daha karmaşıktır.

L2TP / IPsec - bu nedir?

L2TP (Katman 2 Tünel Protokolü), bir IETF çalışma grubu tarafından PPTP'nin varisi olarak tasarlanan ve bu protokolün eksikliklerini gidermek ve kendisini bir standart olarak kurmak için oluşturulmuş VPN için kullanılan bir protokoldür. L2TP, İnternet üzerinden belirli bir noktaya tünellenmiş çevirmeli erişim sağlamak için PPP kullanır. L2TP, PPP, PAP ve CHAP kimlik doğrulama mekanizmalarını içerir, ayrıca PPTP'ye benzer şekilde, RADIUS gibi bu kimlik doğrulama protokollerinin kullanımını destekler.

L2TP, çoklu protokol destekli erişim ve uzak yerel alan ağlarına erişim sağlasa da, özellikle sağlam kriptografik özelliklere sahip değildir. Kimlik doğrulama işlemi yalnızca tünelin uç noktaları arasında gerçekleştirilir, ancak tünelin içinden geçen paketlerin her biri için gerçekleştirilmez. Bu, tünelin içinde bir yerde adres sahteciliğine yol açabilir. Her paketin bütünlüğünü kontrol etmeden, temeldeki L2TP tünelini veya PPP bağlantısını sonlandıran sahte kontrol mesajlarını kullanarak bir hizmet reddi saldırısı gerçekleştirmek mümkün olacaktır.

L2TP, kullanıcı veri trafiğini sağlam bir şekilde şifrelemez, bu nedenle verileri gizli tutmanın önemli olduğu durumlarda sorunlara neden olur. Paketlerde yer alan bilgilerin şifrelenebilmesine rağmen, bu protokolün otomatik anahtar oluşturma veya otomatik anahtar yenileme mekanizmaları yoktur. Bu, ağı dinleyen ve tek bir anahtar keşfeden birine iletilen tüm verilere erişim sağlayabilir.

L2TP'nin tüm bu zayıflıklarını hesaba katan IETF, L2TP tünelinden geçen verileri korumak için IPsec protokolünün protokollerini kullanmaya karar verdi. Bu nedenle, her zaman "L2TP / IPsec" yazılır, çünkü her iki protokol de aynı anda kullanılır ve bu ortak protokol yaygın olarak kullanılır. L2TP'nin "bağlantı" katmanı seviyesinde protokol olduğu ve hiçbir güvenliği olmadığı söylenebilir, ancak IPSec bu protokolün kullanımının güvenli olması için ağ katmanında güvenlik sağlar.

Bu nedenle, her iki protokol de güvenli bir VPN bağlantısına sahip olmak için kullanıldığından, L2TP / IPSec isimlendirmesini her zaman birlikte bulacağız.

Sonuç

IPSec, olağanüstü derecede güçlü ve esnek bir güvenlik standardıdır. Önemi, IP protokolündeki geleneksel bir eksikliği gidermesi gerçeğinde yatmaktadır: güvenlik. IPSec sayesinde, şirketler arası ticari işlemler gibi kritik uygulamalar için IP ağlarını kullanmak artık mümkün. Aynı zamanda, uygulama ne olursa olsun güvenliğin gerekli olduğu senaryolar için ideal bir çözümdür, bu nedenle IP ağlarının güvenliğinde önemli bir parçadır. IPSec protokolü, günümüzde IP ağlarında güvenliğin temel bileşenlerinden biridir.