Bu yazımızda IPSec, evreleri, farklı modları ve çalışması hakkında tartışacağız. IPSec’i küçük değişikliklerle de yapılandıracağız. Başlayalım:
IPsec nedir?
IPsec (Internet Protokolü Güvenliği), ağ katmanındaki IP trafiğini korumamıza yardımcı olan bir çerçevedir. Neden? çünkü IP protokolünün kendisinin hiçbir güvenlik özelliği yoktur. IPsec, trafiğimizi aşağıdaki özelliklerle koruyabilir:
· Gizlilik: Verilerimizi şifreleyerek, gönderen ve alıcı dışında hiç kimse verilerimizi okuyamaz.
· Bütünlük: Paketlerimizdeki verileri kimsenin değiştirmediğinden emin olmak istiyoruz. Bir karma değeri hesaplayarak, gönderen ve alıcı pakette değişiklik yapılıp yapılmadığını kontrol edebilecektir.
· Kimlik doğrulama: gönderen ve alıcı, amaçladığımız cihazla gerçekten konuştuğumuzdan emin olmak için birbirlerinin kimliğini doğrulayacaktır.
· Yeniden yürütmeyi önleme: Bir paket şifrelenmiş ve kimliği doğrulanmış olsa bile, saldırgan bu paketleri yakalayıp yeniden göndermeyi deneyebilir. IPsec, sıra numaralarını kullanarak yinelenen paketleri iletmez.
Bir çerçeve olarak, IPsec yukarıda açıkladığım özellikleri uygulamak için çeşitli protokoller kullanır. İşte genel bir bakış:
Bir örnek vermek gerekirse, şifreleme için DES, 3DES veya AES kullanmak isteyip istemediğimizi seçebiliriz. Kimlik doğrulaması için MD5 veya SHA arasında seçim yapabilirsiniz.
IPsec birçok farklı cihazda kullanılabilir, yönlendiricilerde, güvenlik duvarlarında, ana bilgisayarlarda ve sunucularda kullanılır. Aşağıda, bunu nasıl kullanabileceğinize dair bazı örnekler verilmiştir:
· İki yönlendirici arasında, iki LAN’ı birbirine “köprüleyen” bir siteden siteye VPN oluşturmak için.
· Uzaktan erişim VPN’si için bir güvenlik duvarı ile Windows ana bilgisayarı arasında.
· Telnet gibi güvensiz bir protokolü korumak için iki Linux sunucusu arasında.
IPsec oldukça karmaşıktır ve bunu uygulamanın birçok farklı yolu vardır. Bu yazıda, bir genel bakışla başlayacağım ve daha sonra bileşenlerin her birine daha yakından bakacağız.
Herhangi bir IP paketini koruyabilmemiz için, IPsec tünelini oluşturan iki IPsec eşine ihtiyacımız vardır.
IPsec tüneli oluşturmak için IKE (Internet Anahtar Değişimi) adı verilen bir protokol kullanıyoruz.
IPsec tüneli oluşturmak için iki aşama vardır:
· IKE aşama 1
· IKE aşama 2
IKE aşama 1’de, iki eş şifreleme, kimlik doğrulama, karma ve kullanmak istedikleri diğer protokoller ve gerekli olan diğer bazı parametreler hakkında anlaşır. Bu aşamada, bir ISAKMP (Internet Security Association and Key Management Protocol) oturumu oluşturulur. Buna ISAKMP tüneli veya IKE aşama 1 tüneli de denir.
İki aygıtın kullanacağı parametreler koleksiyonuna SA (Güvenlik İlişkisi) adı verilir. Aşağıda, IKE aşama 1 tünelini kuran iki yönlendiriciye bir örnek verilmiştir:
IKE aşama 1 tüneli yalnızca yönetim trafiği için kullanılır. Bu tüneli, IKE faz 2 tüneli veya IPsec tüneli olarak adlandırılan ikinci tüneli kurmak ve canlı tutmalar gibi yönetim trafiği için güvenli bir yöntem olarak kullanıyoruz.
İşte IKE aşama 2’yi tamamlayan iki yönlendiricimizin bir resmi:
IKE aşama 2 tamamlandığında, kullanıcı verilerimizi korumak için kullanabileceğimiz bir IKE aşama 2 tünelimiz (veya IPsec tünelimiz) olur. Bu kullanıcı verileri IKE aşama 2 tüneli üzerinden gönderilir:
IKE tünelleri bizim için oluşturur, ancak kullanıcı verilerinin kimliğini doğrulamaz veya şifrelemez. Bunun için iki protokol daha kullanıyoruz:
· AH (Kimlik Doğrulama Üstbilgisi)
· ESP (Kapsüllenen Güvenlik Yükü)
AH ve ESP’nin her ikisi de kimlik doğrulama ve bütünlük sunar, ancak yalnızca ESP şifrelemeyi destekler. Bu nedenle, ESP günümüzde en popüler seçimdir.
Her iki protokol de (AH ve ESP) iki farklı modu destekler:
· Taşıma modu
· Tünel modu
İkisi arasındaki temel fark, taşıma modunda tünel modundayken orijinal IP başlığını kullanacağımız yeni bir IP başlığı kullanmamızdır. İşte bunu görselleştirmenize yardımcı olacak bir örnek:
Aktarım modu genellikle bazı güvensiz trafiği (ör. telnet trafiği) korumak isteyen iki aygıt arasındadır.
Tünel modu genellikle orijinal IP paketini kapsüllememiz gereken siteden siteye VPN’ler için kullanılır, çünkü bunlar çoğunlukla özel IP adresleridir ve Internet’te yönlendirilemez. Bu iki modu bu makalenin ilerleyen kısımlarında ayrıntılı olarak açıklayacağım.
IPsec işleminin tamamı beş adımdan oluşur:
· İnisiyasyon: Bir şey tünellerimizin yaratılmasını tetiklemelidir. Örneğin, bir yönlendiricide IPsec’i yapılandırdığınızda, yönlendiriciye hangi verilerin korunacağını söylemek için bir erişim listesi kullanırsınız. Yönlendirici erişim listesiyle eşleşen bir şey aldığında, IKE işlemini başlatır. Tüneli manuel olarak başlatmak da mümkündür.
· IKE aşama 1: IKE aşama 1 tünelini (ISAKMP tüneli) oluşturmak için bir güvenlik ilişkisi üzerinde anlaşırız.
· IKE aşama 2: IKE aşama 1 tüneli içinde, IKE aşama 2 tünelini (IPsec tüneli) oluştururuz.
· Veri aktarımı: Kullanıcı verilerini IKE faz 2 tünelinden göndererek koruyoruz.
· Fesih: Korunacak kullanıcı verisi olmadığında, IPsec tüneli bir süre sonra sonlandırılır.
Artık IPsec’in temelleri hakkında bir fikriniz var, farklı bileşenlerin her birine daha yakından bakalım.
IKE (Internet Anahtar Değişimi)
IKE (Internet Anahtar Değişimi), iki eş arasındaki güvenlik ilişkisini kurduğu için IPsec için birincil protokollerden biridir. IKE’nin iki sürümü vardır:
· IKEv1
· IKEv2
IKEv1, 1998 civarında tanıtıldı ve 2005 yılında IKEv2 ile değiştirildi. İki sürüm arasında bazı farklılıklar vardır:
· IKEv2, IKEv1’den daha az bant genişliği gerektirir.
· IKEv2, EAP kimlik doğrulamasını destekler (önceden paylaşılan anahtarların ve dijital sertifikaların yanında).
· IKEv2, NAT geçişi için yerleşik desteğe sahiptir (IPsec eşiniz bir NAT yönlendiricisinin arkasındaysa gereklidir).
· IKEv2, tüneller için yerleşik bir canlı tutma mekanizmasına sahiptir.
Avantajları olan liste uzayıp gidiyor ama şimdilik IKE’yi anlamaya odaklanalım. Daha önce açıklandığı gibi, IKE iki aşama kullanır:
· IKE Aşama 1
· IKE Aşama 2
Her aşamada ne olacağını tartışalım. Aşağıda açıkladığım her şey IKEv1 için geçerlidir.
IKE Aşama 1
IKE faz 1’in temel amacı, IKE faz 2 için kullanabileceğimiz güvenli bir tünel oluşturmaktır.
Faz 1’i üç basit adımda parçalayabiliriz:
1. Adım: Müzakere
Korunması gereken trafiğe sahip olan eş, IKE aşama 1 anlaşmasını başlatır. İki eş aşağıdaki öğeler hakkında pazarlık yapar:
· Karma: Bütünlüğü doğrulamak için bir karma algoritma kullanıyoruz, bunun için MD5 veya SHA (SHA-1 veya SHA-2) kullanıyoruz.
· Kimlik doğrulama: Her akran kim olduğunu kanıtlamak zorundadır. Yaygın olarak kullanılan iki seçenek, önceden paylaşılan anahtar veya dijital sertifikalardır.
· DH (Diffie Hellman) grubu: DH grubu, anahtar değişimi işleminde kullanılan anahtarın gücünü belirler. Daha yüksek grup numaraları daha güvenlidir, ancak hesaplanması daha uzun sürer.
· Kullanım ömrü: IKE faz 1 tüneli ne kadar süre ayakta kalır? Kullanım ömrü ne kadar kısa olursa, o kadar güvenli olur, çünkü yeniden inşa etmek yeni anahtarlama malzemesi de kullanacağımız anlamına gelir. Her satıcı farklı bir yaşam süresi kullanır; Ortak bir varsayılan değer 86400 saniyedir (1 gün).
· Şifreleme: Şifreleme için hangi algoritmayı kullanıyoruz? Örneğin: DES, 3DES veya AES.
2. Adım: DH Anahtar Değişimi
Müzakere başarılı olduktan sonra, iki akran hangi politikayı kullanacaklarını bileceklerdir. Artık anahtarlama materyallerini değiştirmek için müzakere ettikleri DH grubunu kullanacaklar. Sonuç olarak, her iki eşin de paylaşılan bir anahtarı olacaktır.
3. Adım: Kimlik doğrulama
Son adım, iki eşin müzakerede üzerinde anlaştıkları kimlik doğrulama yöntemini kullanarak birbirlerinin kimliğini doğrulamasıdır. Kimlik doğrulama başarılı olduğunda, IKE aşama 1’i tamamlamış oluruz. Sonuç, çift yönlü bir IKE faz 1 tünelidir (ISAKMP tüneli). Bu, her iki eşin de bu tünelde gönderip alabileceği anlamına gelir.
Yukarıdaki üç adım iki farklı mod kullanılarak tamamlanabilir:
· Ana mod
· Agresif mod
Ana mod altı mesaj kullanırken, agresif mod yalnızca üç mesaj kullanır. Ana mod daha güvenli olarak kabul edilir. Her iki moda da daha yakından bakalım.
Ana Mod:
IKEv1 ana modu 6 mesaj kullanır. Bunları size Wireshark’ta göstereceğim ve farklı alanları açıklayacağım.
İleti 1:
Başlatıcı (tüneli oluşturmak isteyen eş) ilk mesajı gönderir. Bu, güvenlik birliği için bir öneridir. Yukarıda, başlatıcının 192.168.12.1 IP adresini kullandığını ve yanıtlayıcıya (bağlanmak istediğimiz eş) 192.168.12.2 adresine bir teklif gönderdiğini görebilirsiniz. IKE bunun için 500 numaralı UDP bağlantı noktasını kullanır. Yukarıdaki çıktıda bir başlatıcı SPI (Güvenlik Parametresi Dizini) görebilirsiniz, bu güvenlik ilişkisini tanımlayan benzersiz bir değerdir.
IKE sürümünü (1.0) ve ana modu kullandığımızı görebiliriz. Yorumlama alanı IPsec’tir ve bu ilk tekliftir. Dönüştürme yükünde, bu güvenlik ilişkisi için kullanmak istediğimiz öznitelikleri bulabilirsiniz.
İleti 2:
Yanıtlayıcı, başlatıcıdan ilk iletiyi aldığında, yanıt verecektir. Bu ileti, başlatıcıya dönüşüm yükündeki öznitelikler üzerinde anlaştığımızı bildirmek için kullanılır. Yanıtlayıcının kendi SPI değerini ayarladığını da görebilirsiniz.
İleti 3:
Meslektaşlarımız kullanılacak güvenlik ilişkisi konusunda hemfikir olduklarından, başlatıcı Diffie Hellman anahtar değişimini başlatacaktır. Yukarıdaki çıktıda, anahtar değişimi ve nance için yükü görebilirsiniz.
İleti 4:
Yanıtlayıcı ayrıca Diffie Hellman nonce’larını başlatıcıya gönderecektir, iki meslektaşımız artık Diffie Hellman paylaşılan anahtarını hesaplayabilir.
İleti 5:
Son iki mesaj şifrelenmiştir, böylece içeriğini artık göremeyiz. Bu ikisi, her bir eşin tanımlanması ve doğrulanması için kullanılır. Başlatıcı başlar.
İleti 6:
Aşağıda, yanıtlayıcıdan kimlik ve kimlik doğrulama bilgileriyle birlikte 6. mesajı aldık. IKEv1 ana modu artık tamamlandı ve IKE faz 2 ile devam edebiliriz.
2. aşamaya geçmeden önce, size önce agresif modu göstereyim.
Agresif Mod:
IKEv1 agresif modu , güvenlik ilişkisini kurmak için yalnızca üç ileti gerektirir. DH değişimi için gereken tüm bilgileri ilk iki mesaja eklediği için ana moddan daha hızlıdır. Ana mod, tanımlama şifrelendiği için daha güvenli olarak kabul edilir, agresif mod bunu açık metin olarak yapar.
Farklı mesajlara bir göz atalım.
İleti 1:
İlk ileti başlatıcıdan (192.168.12.1) yanıtlayıcıya (192.168.12.2) gönderilir. Dönüştürme yükünü güvenlik ilişkilendirmesi öznitelikleri, DH nonce’ları ve tanımlama (düz metin olarak) ile bu tek iletide görebilirsiniz.
İleti 2:
Yanıtlayıcı artık DH paylaşılan anahtarını oluşturmak için gereken her şeye sahiptir ve DH paylaşılan anahtarını da hesaplayabilmesi için başlatıcıya bazı nonce’lar gönderir. Ayrıca, kimlik doğrulaması için kullanılan bir karma hesaplar.
İleti 3:
Her iki eş de ihtiyaç duydukları her şeye sahiptir, başlatıcıdan gelen son mesaj kimlik doğrulaması için kullanılan bir karmadır.
IKE faz 1 tünelimiz şu anda hazır ve çalışıyor ve IKE faz 2 ile devam etmeye hazırız.
IKE faz 1 tünelimiz şu anda hazır ve çalışıyor ve IKE faz 2 ile devam etmeye hazırız.
IKE Aşama 2
IKE aşama 2 tüneli (IPsec tüneli) aslında kullanıcı verilerini korumak için kullanılacaktır. IKE aşama 2 tünelini oluşturmak için hızlı mod adı verilen tek bir mod vardır.
Tıpkı IKE faz 1’de olduğu gibi, meslektaşlarımız bir dizi madde hakkında müzakere edecekler:
· Kapsülleme: AH veya ESP kullanıyor muyuz?
· Kapsülleme Modu: Aktarım modu mu yoksa tünel modu mu?
· Şifreleme (Gizlilik): Hangi şifreleme algoritmasını kullanıyoruz? DES, 3DES veya AES?
· Hashing (Bütünlük): Hangi hashing algoritmasını kullanıyoruz? MD5, SHA-1 veya SHA-2?
· Kimlik doğrulama: Hangi kimlik doğrulama algoritmasını kullanıyoruz? Önceden Paylaşılan Anahtarlar (PSK) veya Sertifikalar veya ECDSA?
· Ömür boyu: IKE aşama 2 tüneli ne kadar süreyle geçerlidir? Tünelin süresi dolmak üzereyken, anahtarlama malzemesini yenileyeceğiz.
· (İsteğe bağlı) DH değişimi: PFS (Mükemmel İletme Gizliliği) için kullanılır.
PFS isteğe bağlıdır ve her IKE aşama 2 hızlı modunda yeni bir paylaşılan anahtar oluşturmak için eşleri DH değişimini yeniden çalıştırmaya zorlar.
IKE aşama 2 tamamlandıktan sonra, nihayet bazı kullanıcı verilerini korumaya hazırız. Bakalım bu nasıl yapılıyor…
IKEv2’nin faz 1 için ana veya agresif modu yoktur ve faz 2’de hızlı mod yoktur. Yine de iki aşaması vardır, faz 1’e IKE_SA_INIT denir ve ikinci aşamaya IKE_AUTH denir. Tüm değişim için yalnızca dört mesaj gerekir.
IPsec Protokolleri
AH ve / veya ESP, kullanıcı verilerini gerçekten korumak için kullandığımız iki protokoldür. Her ikisi de taşıma veya tünel modunda kullanılabilir, olası tüm seçenekleri gözden geçirelim.
Kimlik Doğrulama Üstbilgisi (AH)Protokolü
AH, kimlik doğrulama ve bütünlük sunar, ancak herhangi bir şifreleme sunmaz. IP üstbilgisindeki hemen hemen tüm alanlar üzerinde bir karma değer hesaplayarak IP paketini korur. Hariç tuttuğu alanlar, aktarım sırasında değiştirilebilen alanlardır (TTL ve üstbilgi sağlama toplamı). Ulaşım modu ile başlayalım…
Taşıma Modu:
Taşıma modu basittir; IP üstbilgisinden sonra yalnızca bir AH üstbilgisi ekler. Aşağıda, bazı TCP trafiğini taşıyan bir IP paketi örneği verilmiştir:
Ve işte Wireshark’ta nasıl göründüğü:
Yukarıda AH üstbilgisini IP üstbilgisi ile ICMP üstbilgisi arasında görebilirsiniz. Bu, iki yönlendirici arasında bir ping’in aldığım bir yakalama. AH’nin 5 alan kullandığını görebilirsiniz:
· Sonraki Başlık: Bu, örneğimizdeki bir sonraki protokolü (ICMP) tanımlar.
· Uzunluk: Bu, AH üstbilgisinin uzunluğudur.
· SPI (Güvenlik Parametreleri Dizini): Bu 32 bitlik bir tanımlayıcıdır, böylece alıcı bu paketin hangi akışa ait olduğunu bilir.
· Dizi: Bu, tekrar gönderme saldırılarına karşı yardımcı olan sıra numarasıdır.
· ICV (Bütünlük Denetimi Değeri): Bu, tüm paket için hesaplanan karmadır. Alıcı ayrıca bir karma hesaplar, aynı olmadığında bir şeylerin yanlış olduğunu bilirsiniz.
Tünel Modu:
Tünel modu ile orijinal IP paketinin üzerine yeni bir IP başlığı ekliyoruz. Bu, özel IP adresleri kullandığınızda ve trafiğinizi Internet üzerinden tünellemeniz gerektiğinde yararlı olabilir. AH ile mümkündür, ancak şifreleme sunmaz:
Tüm IP paketinin kimliği doğrulanır. İşte Wireshark’ta nasıl göründüğü:
Yukarıda yeni IP başlığını, ardından AH başlığını ve son olarak bazı ICMP trafiğini taşıyan orijinal IP paketini görebilirsiniz.
TTL ve sağlama toplamı gibi IP başlığındaki alanlar AH tarafından hariç tutulur çünkü bunların değişeceğini bilir. Bununla birlikte, IP adresleri ve bağlantı noktası numaraları dahil edilmiştir. Bunları NAT ile değiştirirseniz, AH’nin ICV’si başarısız olur.
Kapsüllenen Güvenlik Yükü (ESP) Protokolü
ESP, IP trafiğini şifrelemenize izin verdiği için ikisinin daha popüler seçimidir. Ulaşım veya tünel modunda kullanabiliriz, her ikisine de bakalım.
Taşıma Modu
Aktarım modunu kullandığımızda, orijinal IP üstbilgisini kullanırız ve bir ESP başlığı ekleriz. İşte nasıl göründüğü:
Yukarıda bir ESP başlığı ve fragmanı eklediğimizi görebilirsiniz. Taşıma katmanımız (örneğin TCP) ve yükümüz şifrelenecektir. Ayrıca kimlik doğrulaması da sunar, ancak AH’den farklı olarak, tüm IP paketi için değildir. İşte Wireshark’ta nasıl göründüğü:
Yukarıda orijinal IP paketini ve ESP kullandığımızı görebilirsiniz. IP başlığı düz metindir, ancak diğer her şey şifrelenir.
Tünel Modu:
Tünel modunda ESP’ye ne dersiniz? Siteden siteye VPN’ler için yararlı olan yeni bir IP başlığı kullanıyoruz:
Taşıma moduna benzer, ancak yeni bir başlık ekliyoruz. Orijinal IP üstbilgisi de artık şifrelenmiştir.
İşte Wireshark’ta nasıl göründüğü:
Yukarıdaki yakalamanın çıktısı, taşıma modunda gördüklerinize benzer. Tek fark, bunun yeni bir IP başlığı olmasıdır, orijinal IP başlığını göremezsiniz.
TOPOLOJİ
IPsec Üzerinden GRE:
1. Tünel Modu
2. Taşıma Modu
LAB Açıklaması:
Bu topoloji tünel modunda ve taşıma modunda uygulanır. Bu laboratuvar için yapılandırmalar ve doğrulamalar yapıştırılır ve Wireshark paketleri de bu laboratuvar için yakalanır.
