Internet Katmani G - PowerPoint PPT Presentation

About This Presentation
Title:

Internet Katmani G

Description:

Title: PowerPoint Presentation Last modified by: violin Created Date: 1/1/1601 12:00:00 AM Document presentation format: On-screen Show Other titles – PowerPoint PPT presentation

Number of Views:97
Avg rating:3.0/5.0
Slides: 44
Provided by: webItuEd4
Category:

less

Transcript and Presenter's Notes

Title: Internet Katmani G


1
Internet Katmani Güvenlik Protokolleri
  • Çiçek Çavdar
  • Bilisim Enstitüsü, Bilgisayar Bilimleri

2
Içerik
  • Geçmis çalismalar
  • IP Güvenlik Protokolü (IPSP)
  • IP Anahtar Yönetim Protokolü (IPKMP)
  • Verili protokollerden bazi örnekler

3
Geçmis Çalismalar
  • Security Protocol 3 (NSA ve NIST)
  • Üst katman tarafindan iletilen mesajlar SP3
    tarafindan bir alt katmana gönderilmeden önce
    islenir
  • Network Layer Security Protocol (ISO)
  • Integrated NLSP (K.Robert Glenn)
  • swIPe (J.Ionnidis, M.Blaze)

4
Ortak Özellikler
  • IP kapsülleme islemi ile asillama ve sifreleme
    islemi paralel
  • Var olan IP kapsülleme aynen geçerli
  • IP paket basligi da kapsülleniyor ve sifreleniyor
  • Güvenlik protokolü ayri bir baslik ekler

5
IP paketi
6
IETF IPsecWG
  • 1992- amaç IPv6 için bir güvenlik mimarisi
  • IETF tarafindan IP Güvenlik Protokolü (IPSP) ve
    Internet Anahtar Yönetim Protokolü (IKMP)
    standardizasyonu
  • IKMP bir Güvenlik Birligi (SA) kurar ve Güvenlik
    Parametre Indekslerini (SPI) baslatir
  • IPSP , SA ve SPI lari kullanarak IP paketlerini
    sifreli gönderir

7
IP güvenlik mimarisi standartlar
8
IP Güvenlik Protokolü
  • IPv6
  • Asillama sifreleme
  • Asillama Basligi Kaynak asillama ve veri
    bütünlügü
  • Encapsulating Security Payload (ESP) Baglantisiz
    veri güvenilirlik servisleri
  • Trafik Analizine karsi tam güvenlik yok.

9
Güvenlik Birligi
  • Asillama algoritmasi, modu ve anahtarlar
  • Sifreleme algoritmasi, modu ve anahtarlar
  • Sifreleme algoritmasi senkronizasyonu için
    Baslangiç Vektörü (IV) uzunlugu
  • Anahtarlar ve Güvenlik Birliginin ömrü
  • GB nin kaynak adresi ( ag ya da alt ag adresi de
    olabilir)
  • Korunan verinin duyarlilik derecesi (sunucular
    çok katmanli güvenlik hizmeti veriyorsa)

10
GB kullanimi
  • Bir IP paketi nin çözülebilmesi için
  • Her GB bir Güvenlik Parametre Indeks (SPI) degeri
    tarafindan tanimli
  • SPI Anahtar Yönetim Protokolü sirasinda
    belirlenir
  • GB kurulurken farkli anahtarlama yaklasimlari
    ayirdedilir

11
IPSP de anahtarlama
  • 3 yaklasim
  • 1. Her host çiftine farkli anahtar
  • 2. Her kullanici çiftine farkli
  • 3. Her oturuma farkli anh

12
GB ve SPI degerlerinin baslatilmasi
  • Paketler tek bir kullaniciya gönderilir
  • SPI yerel bir tabloya indekstir, tabloda GB
    içerigi tutulur
  • Paketler birden fazla kullaniciya gönderilir
  • Her grup üyesi SPI ve grup adresi ile güvenlik
    parametreleri arasinda baglanti kurar.

13
Asillama Basligi
  • IP paketleri için veri kaynak asillama ve veri
    bütünlügü servisi
  • IP paketlerine asillama verisi eklenir
  • Problem IP basliginda yol boyunca yapilan
    degisiklikler asillama basligina yansimamali
  • Hop sayisi her defada artirilir
  • Yönlendirme basliginda IP hedef adres alani ara
    hedeflere yönlendirilir

14
Asillama Basligi
  • 8 bit Sonraki Baslik alani Sonraki payload tipi
  • 8 bit asillama verisi uzunluk alani
  • 16 bit reserve alani sonraki kullanimlar için
  • 32 bit SPI alani alici taraftaki IP paketinde GB
    yi tanimlamak için

15
Asillama Basligi formati
16
ESP
  • Encapsulating Security Payload (ESP)
  • IP paketinin payload verisi asillama sirasinda
    açiktir
  • verinin güvenilirligi için sifreleme

17
ESP formati
18
ESP formati
  • 32 bit SPI alani alici tarafta güvenlik
    parametrelerine indeks
  • 32 bit IV(baslangiç vektörü) rastgele sayi
  • Degisken uzunluklu payload verisi
  • Degisken uzunluklu dolgu alani toplam payload
    (mod 8)6 olmali
  • 8 bit dolgu uzunluk alani

19
1. Ulasim Kipi
  • IP paketinin yükü (payload) olarak üst katman
    protokol verisi tasinir
  • Ek IP basligi sifrelemede kullanilmadigindan yer
    muhafaza edilir
  • Gönderilecek IP paketinde üst katman protokol
    verisi seçilir
  • Gönderilecek IP paketine yük olarak sifrelenir

20
2. Tünel Kipi
  • IP paketinde sadece üst katman protokol verisi
    degil tüm paket sifrelenir ve kapsüllenerek yeni
    bir IP paketi yaratilir.
  • Yönlendiriciler arasinda güvenli kanal olusturmak
    için kullanilir. (güvenlik geçitleri)Kendileri
    baslatici degil aracidir.
  • Iki güvenlik geçidi arasinda tünel arka plandaki
    gönderici ve alicinin bilgilerine erisilemez

21
Tünel Kipi
  • Gönderici GB bilgisini kullanici kimligi ve varis
    IP sinden elde eder.
  • SPI ve IP basligi açik olarak gönderilir.

22
Ulasim ve tünel kipi paket formati
23
IP Güvenlik Protokolü özet
  • AH ve ESP asillama ve sifreleme mekanizmalari
    birbirinden bagimsiz
  • Birlikte veya ayri ayri IP paketine uygulanabilir
  • Her IP paketi için ek islem getirir
  • Güvenligi artirdigi gibi performans düser

24
Internet Anahtar Yönetim Protokolü(IKMP)
  • GB nin kurulumu, sadece birlik üyeleri tarafindan
    bilinen anahtarlarin paylasimini gerektirir
  • 1996 da IETF Ipsec WG tarafindan bir IKMP
    çikarilmistir

25
Ilkel IKMP çalismalari
  • MKMP modular key management protocol
  • Bas (master) anahtar modülü?
  • Oturum Anahtari modülü
  • Bas anahtar üç sekilde belirlenir
  • Elle
  • Merkezi
  • Sertifika temelli

26
MKMP
  • A?B Ra,(Ra,k)K
  • B?A Rb,(Rb,Ra)K
  • K bas anahtar, nasil paylasilacagi belirsiz
  • k, önceden her iki tarafin da bildigi bir sayi,
    bir önceki MKMP den kalma bir sayi

27
SKIP
  • IP ile oturum merkezli bir anahtar dagitim
    mekanizmasi tasarlamak için IP altina bir yapay
    oturum katmani
  • Anahtarlarin kurulumu ve güncellenmesi için
  • Bunun yerine oturum merkezli olmayan bir yapi
    gerekli IP de
  • SKIP(Simple Key Management for IP)

28
SKIP
  • Anahtarlarin kurulumu için bir ön haberlesme
    gerekmez
  • Oturum tabanli degil paket tabanli anahtarlar
    kullanilir
  • Diffie Hellman anahtar degisim protokolü ile bir
    ilkel anahtar yarat Kab
  • Bas anahtar Kab h(Kab, counter)

29
SKIP
  • Bas anahtarin bir sayaçla sürekli yenilenmesi
    atilan paket anahtarlarinin yeniden kullanimina
    karsi önlem
  • Gönderici A rastgele bir Kp paket anh üretir
  • Yeni IP paketi (Kab(Kp), Kp(IP Paketi))
  • Yeni IP basligini da yeni pakete ekler
  • Her pakette yeni Kp üretilebilir

30
SKIP
31
Çoklu-gönderimde SKIP
  • Grup basi tayin edilir ve grubun bas anahtari
    onunla haberlesme sirasinda belirlenir.
  • Bu sayede Bas anahtarla sifrelenen Pk her
    defasinda degistirilebilir

32
SKIP PFS
  • PFS Perfect Forward Secrecy
  • Hiç bir anahtar bir önceki üretilen anahtarlara
    bagimli olmamali
  • Türetim için kullanilan anahtarlar kisa süre
    içinde silinerek yeni anahtarlara göre yeniden
    türetim yapilmali
  • Diffie Hellman da iki çesit anh. çifti var Uzun
    ve kisa kullanimli.

33
SKIP mekanizmasi
  • Anahtar Yönetim Sunucusu
  • D-H uzun süreli gizli anah ve ondan türetilen bas
    anahtari hesaplamaktan ve cepte tutmaktan sorumlu
  • Rastgele paket anahtari yaratmak için SKIP
    çekirdegi ile birlikte çalisir

34
SKIP mekanizmasi
  • Veri Sifreleme Makinesi
  • Sifreleme için çesitli algoritmalari içerir
  • Akis Modülü
  • TCP/IP protokol yigini ve ag arayüzü arasina
    yerlestirilir. Esin IP adresine bagli olarak
    erisim kontrol listesi tutar. Paketler düz
    geçirilir veya veri sifreleme makinesine
    gönderilir.
  • Kullanici düzeyinde yönetim birimleri tarafindan
    listeler olusturulabilir.

35
Photuris (NSA)
  • STU-III Güvenli telefon için tasarlanmis
  • Araya girme saldirisina karsi açik anahtarin
    asillamasi yapilir
  • Asal sayilar önceden tanimlanarak algoritma hizi
    artirilir
  • 1. Çerez degisim Saldirganin IP adresini ortaya
    çikarmak amaciyla ve tekrarlama saldirilarina
    karsi
  • 2. Deger degisim D-H anah degisimi
  • 3. Kimlik degisim Karsilikli kimlik tanitimi ve
    asillamasi.

36
Photuris Mesaj Akislari
37
Photuris veya SKEME
  • IBM arastirma merkezinde gelistirilmis
  • Deneysel amaçli
  • Anahtar degisiminde esneklik
  • Hiz ve verimlilik artar. Gerekmediginde D-H
    kullanilmaz.
  • Dört parçadan olusur Cookies, Share, Exchange,
    Auth

38
Photuris paylasim
  • Parçalari gönderme
  • A?B (Ka)kB
  • B?A (Kb)kA
  • Parçalari birlestirme
  • Kabh(Ka,Kb)
  • Kimlik bildirimi eklenirse
  • A?B (idA, Ka)kB
  • B?A (idB, Kb)kA

39
Photuris farkli modlar
  • Bu adimlarin farkli uygulamalari SKEME
    protokolünün degisik modlarini olusturur.
  • Paylasim yeterli mod(Share Only Mode)
  • Önceden paylasimli anahtar modu(Preshared Key
    Mode)
  • Hizli anahtarlama modu (Fast Rekey Mode)

40
ISAKMP
  • (Internet Security Association Key Management
    Protocol)
  • INFOSEC Computer Science in NSA Ofisi tarafindan
  • herhangi bir internet ya da ulasim katmani
    protokolü üzerine uygulanabilir.
  • Digerlerine göre çok daha esnektir.
  • Hiç bir anahtar paylasim teknigi önceden
    belirlenmez.
  • Iki taraf arasinda bir Güvenlik Birliginin
    kurulumuna yardimci olacak tanimlamalari yapar.
  • Kimliklerin anonimligi saglanamaz çünkü burada
    kimlikler ortak gizli anahtar olusturulmadan önce
    bildirilir.

41
OAKLEY
  • 1996da University of Arizonada
    gelistirilmistir.
  • Photuris ve SKEMEye benzer olarak burada da
    ortak gizli anahtarlarda PFSyi saglamak amaciyla
    Diffie Hellmann anahtar degisim protokolü
    kullanilir.
  • Temel farki sifreleme, öz alma ve asillamada
    kullanilan algoritmalarin daha esnek bir biçimde
    seçilebilir olmasidir.
  • Diger fark ise çerez bölümündedir. Bu bölümde IP
    numarasi belirlenirken olusturulacak anahtara
    özgü bir anahtar numarasi verilir.
  • Photuristeki üç bölüm burada da korunur.

42
Sonuç
  • IPSP iki güvenlik duvari arasinda tünel yaratmak
    için kullanilabilir.
  • Bir baska kullanim alani hareketli konaklar ile
    sabit agin güvenlik duvari arasinda tünel
    olusturmaktir.
  • IPSP ve IKMP VPN kurmaya olanak saglar.

43
Kaynaklar
  • 1 http//www2.xerox.com/xsis/dms/xmsp.html
  • 2 ftp//ftp.csua.berkeley.edu/pub/cypherpunks/sw
    IPe/swipe.tar.Z
  • 3 http//www.ietf.org/html.charters/ipsec-charte
    r.html
  • 4 http//www.ietf.org/html.charters/ipsp-charter
    .html
  • 5 http//www.ifi.unizh.ch/oppliger/Presentation
    s/
  • InternetIntranetSecurity2e/index.htm
  • 6 http//skip.incog.com
Write a Comment
User Comments (0)
About PowerShow.com