Geliştirin veya kontrol edilecek şeyleri tartışın . Banner'ı yeni yapıştırdıysanız, lütfen kontrol edilecek noktaları burada belirtin .
IETF tarafından, kriptografik güvenlik hizmetleri kullanılarak IP ağları üzerinden özel ve korumalı iletişimin sağlanmasına yönelik açık standartlar çerçevesi olarak tanımlanan IPsec ( İnternet Protokolü Güvenliği ), bir ağ üzerinden güvenli veri aktarımına izin veren algoritmalar kullanan bir dizi protokoldür. IP ağı . IPsec, tek bir kimlik doğrulama yöntemi veya algoritması ile sınırlı olmamakla önceki güvenlik standartlarından farklıdır ve bu nedenle açık standartlar çerçevesi olarak kabul edilir . Ek olarak, IPsec , uygulama katmanında ( OSI modelinin 7. katmanı) çalışan önceki standartların aksine ağ katmanında ( OSI modelinin 3. katmanı ) çalışır, bu da onu uygulamalardan bağımsız kılar ve kullanıcıların bunu yapmadığı anlamına gelir. her uygulamayı IPsec standartlarına göre yapılandırmanız gerekmez.
IPv6 protokolü ile çalışmak üzere geliştirilen IPsec protokol paketi, mevcut IPv4 protokolüne uyarlanmıştır .
Amacı, verileri doğrulamak ve şifrelemektir: akış yalnızca son alıcı tarafından anlaşılabilir (gizlilik) ve verilerin aracılar tarafından değiştirilmesi mümkün değildir (Bütünlük).
IPsec genellikle VPN'nin bir bileşenidir , güvenlik yönünün (güvenli kanal veya tünelleme ) kaynağındadır .
IPsec'e dayalı güvenli bir mimarinin uygulanması, RFC 4301'de ayrıntılı olarak açıklanmıştır .
Bir IPsec bağlantısı kurarken birkaç işlem gerçekleştirilir:
Anahtar değişimiIKE ( İnternet Anahtar Değişimi ) protokolü , bağlantının kurulmasından sorumludur. Bir IPsec iletimi mümkün olmadan önce, paylaşılan anahtarları değiştirerek güvenli bir tünelin her iki ucunun kimliğini doğrulamak için IKE kullanılır . Bu protokol , RSA oturum anahtarlarının oluşturulması veya sertifikaların kullanılması için PSK ( önceden paylaşılan sır veya paylaşılan sır ) olmak üzere iki tür kimlik doğrulamaya izin verir .
Bu iki yöntem, Sertifika Yetkilisi (CA) olarak adlandırılan üçüncü bir tarafça imzalanmış bir sertifikanın kullanılmasının kimlik doğrulama sağlamasıyla ayırt edilir . RSA anahtarları kullanılırken, bir taraf gönderilen mesajların kaynağı olduğunu inkar edebilir.
IPsec , tarafların kimlik doğrulama bilgilerini taşıyan belirli bir başlık biçimini tanımlayan bir protokol olan AH'yi (Kimlik Doğrulama başlığı) nasıl kullanacaklarını ve bir paketten yararlı olan yükün kapsüllenmesini dikte etmek için bir Güvenlik ilişkisi kullanır .
Özel ağ trafiğinin iletildiği bir veya daha fazla veri kanalı, iki protokol mümkündür:
IPsec, ana bilgisayardan ana bilgisayara aktarım modunda veya ağ tüneli modunda çalışabilir.
Taşıma moduAktarım modunda, şifrelenen ve/veya kimliği doğrulanan yalnızca aktarılan verilerdir ( IP paketinin yük kısmı ). IP paketinin geri kalanı değişmez ve bu nedenle paketlerin yönlendirmesi değişmez. Ancak, IP adresleri, IPsec tarafından oluşturulan AH başlık karmasını bozmadan NAT tarafından değiştirilemeyeceğinden , bu başlık değişikliklerini gerektiren bir ortamda AH kullanılamaz. Ancak, NAT-T kapsülleme, IPSec ESP'yi kapsüllemek için kullanılabilir. Taşıma modu, söz konusu ana bilgisayardan ana bilgisayara iletişim için kullanılır ( Host-to-Host ).
tünel moduTünel modunda, tüm IP paketi şifrelenir ve/veya kimliği doğrulanır. Paket daha sonra yeni bir IP başlığına sahip yeni bir IP paketine kapsüllenir. Taşıma modundan farklı olarak, bu mod bu nedenle ESP protokolü kullanıldığında NAT geçişini destekler. Tünel modu, ağdan ağa (yani iki uzak site arasında), ana bilgisayardan ağa (bir kullanıcı tarafından uzaktan erişim) veya ana bilgisayardan ana bilgisayara iletişime (özel mesajlaşma) izin veren sanal özel ağlar ( VPN'ler ) oluşturmak için kullanılır . )
IPsec uygulamalarının birlikte çalışabilmesi için ortak bir veya daha fazla güvenlik algoritmasına sahip olmaları gerekir. Bir ESP veya AH güvenlik ilişkisi için kullanılan güvenlik algoritmaları , İnternet Anahtar Değişimi ( IKE ) gibi bir anlaşma mekanizması tarafından belirlenir .
ESP ve AH protokolünü kapsayan IPsec için şifreleme ve kimlik doğrulama algoritmaları şunlardır:
RFC 8221'e referansla
İçinde aralık 2010Gregory Perry (NETSEC şirketinin eski teknik direktörü), OpenBSD geliştirme ekibine gönderdiği bir e-postada , 2000'lerde FBI'ın talebi üzerine arka kapıların OpenBSD OCF çerçevesine yerleştirildiğini ve artık 10 yıllık bir gizlilik maddesine tabi olmadığını iddia etti. . Bu yığın, o zamandan beri geniş çapta değiştirilmiş olmasına rağmen, diğer projelerde yeniden kullanılmıştır.
(tr) Ido Dubrawski , Ağınızın Güvenliğini Sağlarken Nasıl Hile Yapılır , Burlington, MA, Syngress,kasım 2007, 432 s. , 235 mm × 191 mm × 25 mm ( ISBN 978-1-59749-231-7 )