IPsec

Bu makalenin bilgisayarlarla ilgili içeriği kontrol edilmelidir (eylül 2016).

Geliştirin veya kontrol edilecek şeyleri tartışın . Banner'ı yeni yapıştırdıysanız, lütfen kontrol edilecek noktaları burada belirtin .

IETF tarafından, kriptografik güvenlik hizmetleri kullanılarak IP ağları üzerinden özel ve korumalı iletişimin sağlanmasına yönelik açık standartlar çerçevesi olarak tanımlanan IPsec ( İnternet Protokolü Güvenliği ), bir ağ üzerinden güvenli veri aktarımına izin veren algoritmalar kullanan bir dizi protokoldür. IP ağı . IPsec, tek bir kimlik doğrulama yöntemi veya algoritması ile sınırlı olmamakla önceki güvenlik standartlarından farklıdır ve bu nedenle açık standartlar çerçevesi olarak kabul edilir . Ek olarak, IPsec , uygulama katmanında ( OSI modelinin 7. katmanı) çalışan önceki standartların aksine ağ katmanında ( OSI modelinin 3. katmanı ) çalışır, bu da onu uygulamalardan bağımsız kılar ve kullanıcıların bunu yapmadığı anlamına gelir. her uygulamayı IPsec standartlarına göre yapılandırmanız gerekmez.

Sunum

IPv6 protokolü ile çalışmak üzere geliştirilen IPsec protokol paketi, mevcut IPv4 protokolüne uyarlanmıştır .

Amacı, verileri doğrulamak ve şifrelemektir: akış yalnızca son alıcı tarafından anlaşılabilir (gizlilik) ve verilerin aracılar tarafından değiştirilmesi mümkün değildir (Bütünlük).

IPsec genellikle VPN'nin bir bileşenidir , güvenlik yönünün (güvenli kanal veya tünelleme ) kaynağındadır .

IPsec'e dayalı güvenli bir mimarinin uygulanması, RFC  4301'de ayrıntılı olarak açıklanmıştır .

Operasyon

Bir IPsec bağlantısı kurarken birkaç işlem gerçekleştirilir:

Anahtar değişimi

• 500 numaralı bağlantı noktasından ( Internet Security Association ve Key Management Protocol için ISAKMP (en)) bir UDP bağlantısında bir anahtar değişim kanalı . 

IKE ( İnternet Anahtar Değişimi ) protokolü , bağlantının kurulmasından sorumludur. Bir IPsec iletimi mümkün olmadan önce, paylaşılan anahtarları değiştirerek güvenli bir tünelin her iki ucunun kimliğini doğrulamak için IKE kullanılır . Bu protokol , RSA oturum anahtarlarının oluşturulması veya sertifikaların kullanılması için PSK ( önceden paylaşılan sır veya paylaşılan sır ) olmak üzere iki tür kimlik doğrulamaya izin verir .

Bu iki yöntem, Sertifika Yetkilisi (CA) olarak adlandırılan üçüncü bir tarafça imzalanmış bir sertifikanın kullanılmasının kimlik doğrulama sağlamasıyla ayırt edilir . RSA anahtarları kullanılırken, bir taraf gönderilen mesajların kaynağı olduğunu inkar edebilir.

IPsec , tarafların kimlik doğrulama bilgilerini taşıyan belirli bir başlık biçimini tanımlayan bir protokol olan AH'yi (Kimlik Doğrulama başlığı) nasıl kullanacaklarını ve bir paketten yararlı olan yükün kapsüllenmesini dikte etmek için bir Güvenlik ilişkisi kullanır .

• Güvenlik İlişkisi (SA), korumalı iletişimi desteklemek için iki ağ varlığı arasında paylaşılan güvenlik bilgilerinin oluşturulmasıdır. SA, manuel müdahale veya ISAKMP ( Internet Security Association and Key Management Protocol ) ile kurulabilir .

• ISAKMP, iki taraf arasında SA'ların kurulması, müzakere edilmesi, değiştirilmesi ve sona erdirilmesi için bir çerçeve olarak tanımlanır. SA yönetimini merkezileştirerek ISAKMP, her bir güvenlik protokolünde çoğaltılan işlevsellik miktarını azaltır. ISAKMP, tüm hizmetleri aynı anda yürüterek, iletişim kurulumu için gereken saat sayısını da azaltır.

Veri transferi

Özel ağ trafiğinin iletildiği bir veya daha fazla veri kanalı, iki protokol mümkündür:

• Protokol n O  51, AH ( Kimlik Doğrulama üstbilgi ) içerir bütünlüğü ve kimlik doğrulama . AH , paketleri imzalayarak kimliklerini doğrular, bu da bilgilerin bütünlüğünü sağlar. Gönderilen her paket için benzersiz bir imza oluşturulur ve bilgilerin değiştirilmesini engeller.
• Protokol n o  50, ESP ( Kapsüllenen Güvenlik Yükü ), ek olarak kimlik doğrulama ve bütünlük , ayrıca sağlayan gizlilik yoluyla şifreleme .

Çalışma modları

IPsec, ana bilgisayardan ana bilgisayara aktarım modunda veya ağ tüneli modunda çalışabilir.

Taşıma modu

Aktarım modunda, şifrelenen ve/veya kimliği doğrulanan yalnızca aktarılan verilerdir ( IP paketinin yük kısmı ). IP paketinin geri kalanı değişmez ve bu nedenle paketlerin yönlendirmesi değişmez. Ancak, IP adresleri, IPsec tarafından oluşturulan AH başlık karmasını bozmadan NAT tarafından değiştirilemeyeceğinden , bu başlık değişikliklerini gerektiren bir ortamda AH kullanılamaz. Ancak, NAT-T kapsülleme, IPSec ESP'yi kapsüllemek için kullanılabilir. Taşıma modu, söz konusu ana bilgisayardan ana bilgisayara iletişim için kullanılır ( Host-to-Host ).

tünel modu

Tünel modunda, tüm IP paketi şifrelenir ve/veya kimliği doğrulanır. Paket daha sonra yeni bir IP başlığına sahip yeni bir IP paketine kapsüllenir. Taşıma modundan farklı olarak, bu mod bu nedenle ESP protokolü kullanıldığında NAT geçişini destekler. Tünel modu, ağdan ağa (yani iki uzak site arasında), ana bilgisayardan ağa (bir kullanıcı tarafından uzaktan erişim) veya ana bilgisayardan ana bilgisayara iletişime (özel mesajlaşma) izin veren sanal özel ağlar ( VPN'ler ) oluşturmak için kullanılır . )

kriptografik algoritmalar

IPsec uygulamalarının birlikte çalışabilmesi için ortak bir veya daha fazla güvenlik algoritmasına sahip olmaları gerekir. Bir ESP veya AH güvenlik ilişkisi için kullanılan güvenlik algoritmaları , İnternet Anahtar Değişimi ( IKE ) gibi bir anlaşma mekanizması tarafından belirlenir .

ESP ve AH protokolünü kapsayan IPsec için şifreleme ve kimlik doğrulama algoritmaları şunlardır:

• HMAC-SHA1-96 ( RFC 2404 )
• AES-CBC ( RFC 3602 )
• Üçlü DES-CBC ( RFC 2451 )
• AES-GCM ( RFC 4106 )
• ChaCha20 + Poly1305 ( RFC 8439 )

RFC 8221'e referansla

IPsec ile ilgili RFC'lerin listesi

• RFC 2367  : PF_KEY Arayüzü
• RFC 2401 ( RFC 4301 ile değiştirildi ): İnternet Protokolü için Güvenlik Mimarisi
• RFC 2402 ( RFC 4302 ve RFC 4305 ile değiştirildi ): Kimlik Doğrulama Başlığı
• RFC 2403  : HMAC-MD5-96'nın ESP ve AH'de Kullanımı
• RFC 2404  : HMAC-SHA-1-96'nın ESP ve AH'de Kullanımı
• RFC 2405  : Açık IV ile ESP DES-CBC Şifre Algoritması
• RFC 2406 ( RFC 4303 ve RFC 4305 ile değiştirildi ): Kapsüllenen Güvenlik Yükü
• RFC 2407 ( RFC 4306 ile değiştirildi ): ISAKMP için IPsec Yorumlama Alanı (IPsec DoI)
• RFC 2408 ( RFC 4306 ile değiştirildi ): İnternet Güvenlik İlişkisi ve Anahtar Yönetim Protokolü (ISAKMP)
• RFC 2409 ( RFC 4306 ile değiştirildi ): İnternet Anahtar Değişimi (IKE)
• RFC 2410  : BOŞ Şifreleme Algoritması ve IPsec ile Kullanımı
• RFC 2411 ( RFC 6071 ile değiştirildi ): IP Güvenlik Belgesi Yol Haritası
• RFC 2412  : OAKLEY Anahtar Belirleme Protokolü
• RFC 2451  : ESP CBC Modu Şifreleme Algoritmaları
• RFC 2857  : HMAC-RIPEMD-160-96'nın ESP ve AH'de Kullanımı
• RFC 3526  : İnternet Anahtar Değişimi (IKE) için daha fazla Modüler Üstel (MODP) Diffie-Hellman grubu
• RFC 3706  : Ölü İnternet Anahtar Değişimi (IKE) Eşlerini Tespit Etmenin Trafik Tabanlı Yöntemi
• RFC 3715  : IPsec-Ağ Adresi Çevirisi (NAT) Uyumluluk Gereksinimleri
• RFC 3947  : IKE'de NAT Geçişi Pazarlığı
• RFC 3948  : IPsec ESP Paketlerinin UDP Kapsüllemesi
• RFC 4106  : IPsec Kapsülleme Güvenlik Yükünde (ESP) Galois / Sayaç Modunun (GCM) Kullanımı
• RFC 4301 (yerine 2401 RFC :) İnternet Protokolü Güvenlik Mimarisi
• RFC 4302 (cümledeki 2402 RFC ): IP Doğrulama Başlığı
• RFC 4303 (cümledeki 2406 RFC ): IP Şifreleme Güvenlik Yükü (ESP)
• RFC 4304  : İnternet Güvenliği İlişkisi ve Anahtar Yönetim Protokolü (ISAKMP) için IPsec Yorum Etki Alanına (DOI) Genişletilmiş Sıra Numarası (ESN) Eki
• RFC 4305  : Kapsüllenen Güvenlik Yükü (ESP) ve Kimlik Doğrulama Başlığı (AH) için Şifreleme Algoritması Uygulama Gereksinimleri
• RFC 4306 ( RFC 2407 , RFC 2408 ve RFC 2409'un yerine geçer ): İnternet Anahtar Değişimi ( IKEV2 ) Protokolü
• RFC 4307  : İnternet Anahtar Değişimi Sürüm 2'de ( IKEV2 ) Kullanım için Şifreleme Algoritmaları
• RFC 4308  : IPsec için Şifreleme Paketleri
• RFC 4309  : IPsec Kapsülleme Güvenlik Yükü (ESP) ile Gelişmiş Şifreleme Standardı (AES) CCM Modunu Kullanma
• RFC 4478  : İnternet Anahtar Değişimi (IKEv2) Protokolünde Tekrarlanan Kimlik Doğrulama
• RFC 4543  : IPsec ESP ve AH'de Galois İleti Kimlik Doğrulama Kodunun (GMAC) Kullanımı
• RFC 4555  : IKEv2 Mobilite ve Çoklu Ana Bilgisayar Protokolü (MOBIKE)
• RFC 4621  : IKEv2 Mobility and Multihoming (MOBIKE) Protokolünün Tasarımı
• RFC 4718  : IKEv2 Açıklamaları ve Uygulama Yönergeleri
• RFC 4806  : IKEv2'ye Çevrimiçi Sertifika Durum Protokolü (OCSP) Uzantıları
• RFC 4809  : IPsec Sertifika Yönetim Profili için Gereksinimler
• RFC 4835 (cümledeki 4305 RFC ): Kapsüllenen Güvenlik Yükü (ESP) ve Doğrulama Başlığı için Şifreleme Algoritması Uygulama Gereksinimleri (AH)
• RFC 4945  : IKEv1 / ISAKMP, IKEv2 ve PKIX'in İnternet IP Güvenliği PKI Profili
• RFC 6071 ( RFC 2411'in yerine geçer ): IP Güvenliği (IPsec) ve İnternet Anahtar Değişimi (IKE) Belge Yol Haritası

Kontrollü

İçinde aralık 2010Gregory Perry (NETSEC şirketinin eski teknik direktörü), OpenBSD geliştirme ekibine gönderdiği bir e-postada , 2000'lerde FBI'ın talebi üzerine arka kapıların OpenBSD OCF çerçevesine yerleştirildiğini ve artık 10 yıllık bir gizlilik maddesine tabi olmadığını iddia etti. . Bu yığın, o zamandan beri geniş çapta değiştirilmiş olmasına rağmen, diğer projelerde yeniden kullanılmıştır.

Ekler

bibliyografya

(tr) Ido Dubrawski , Ağınızın Güvenliğini Sağlarken Nasıl Hile Yapılır , Burlington, MA, Syngress,kasım 2007, 432  s. , 235  mm × 191  mm × 25  mm ( ISBN  978-1-59749-231-7 )

Referanslar

1. Dubrawski 2007 , s.  83 .
2. (in) "  Güvenlik Mimarisi Internet Protokolü için  ," Talep yorumlar için n o  4301,aralık 2005.
3. Dubrawski 2007 , s.  85 .
4. (in) "  Kapsüllenen Güvenlik Yükü (ESP) ve Authentication Header (AH) için Şifreleme Algoritması Uygulaması Gereksinimleri  ," Talep yorumlar için n o  4835,nisan 2007.
5. "  FBI, OPENBSD'nin IPSec yığınının koduna arka kapıları yerleştirirdi  " ( Arşiv • Wikiwix • Archive.is • Google • Ne yapmalı? ) , Çekirdek tuzağı hakkında ,14 Aralık 2010

İlgili Makaleler

• Kimlik Doğrulama Başlığı
• Kapsüllenen Güvenlik Yükü