IP Security (IPSec) haqqında | Fərhad KƏRİMOV

Jan 26 2011 Dərc etdi, , bax Məqalələr

Bu məqaləmizdə IPSec haqqında danışacağıq. IPSec yəni IP Security İnternet Engineering Task Force (IETF) tərəfindən irəli sürülmüşdür.Bizim məlumatlar asanlıqla kənar şəxslər tərəfindən ələ keçirilə bilər və onlar tərəfindən bu oxuna bilər.Təbii ki, bu məlumatlar iki kompüterin bir-birilə şəbəkə üzərindən başlanması nəticəsində ələ keçirilir.Şəbəkə dinləmə cihazlarından istifadə edərək bu məlumatları ələ keçirirlər.Bunun üçün biz gərək şəbəkəmizi bu cür təhlükələrdən qoruyaq.IPv6 ilə birgə bu qorunma gəlir, ancaq IPv4 üzərində gərək bu qorunmanı biz özümüz düzəldək.Bunun üçün də biz IPSec`dən istifadə edirik.

IPSec`in əsas 3 vəzifəsi var:

Data Encryption

Data İntegrity

Data Origin Authantication

Bu əsas 3 vəzifə haqqında aşağıda geniş danışmağa çalışacağıq.

Data Encryption

Şəbəkə üzərindən daşınan məlumatların 3`cü şəxslər tərəfindən ələ keçirilib, oxunmasının qarşısını alır.Məlumatları şifrələyir, əgər ələ keçsələr belə onları oxumaq mümkün olmur.IPSec bunun üçün DES və 3DES istifadə edir.3DES hər bir hissəni 3 dəfə şifrələyir.

Data Integrity

Data İntegrity çox vaxt Data Encryption ilə qarışdırılır.Data İntegrity`nin məqsədi 3`cü şəxsin əlinə keçən məlumatın dəyişdirilərək yenidən həmin ünvana göndərilməsinin qarşısını alır. IPSec Data İntegrity Hash funksiyası ilə qoruyur.Bu Hash funksiyaları MD5 və SHA-1`dir.

Data Origin Authentication

Bu zaman kompüterlərin bir-birini tanıması ilə güvənliyi artırmış olur.Bunun nəticəsində kompüterlər müəyyən edir ki, məlumatlar həmin ünvana gedməlidir ya yox.Gərək hər iki tərəfdəki kompüterlər eyni Data Origin Authentication`dan istifadə etsin.

3 növ Data Origin Authentication var:

Kerberos Authentication

Certificate Authority

Preshared Key

Kerberos Authentication

Active Directory mühitində istifadə edilir.IPSec`li görüşmə həyata keçirəcək, eyni domain`də yerləşən kompüterlər üçün yüksək qoruma təşkil edir.

Certificate Authority

Mühitdə yerləşən Sertifikat paylayan tərəfindən paylaşdırılan sertifikatlarla həyata keçirilir.Hər iki kompüter bir-birini bu sertifikatlar vasitəsilə müəyyən edir.

Preshared Key

Hər iki tərəfdəki kompüterlər ortaq bir şifrədən istifadə edir.Təyin edilmiş bu şifrə hər iki tərəfdəki kompüterlərə daxil edilməlidir.Bundan sonra kompüterlər bir-birini rahatlıqla tanıyır.

Bundan başqa isə IPSec`in əsas 2 tətbiq etmə forması mövcuddur.Bunlar Transport Mode və Tunnel Mode`dur.

Transport Mode-LAN üzərində olan IPSec tətbiq etmələridir.Bunlar şəbəkə daxili olur.Yəni iki computer arasında və yaxud server və computer arasında və.s misal göstərmək olar.Bu tətbiq etmədə gərək hər iki tərəfdə IPSec tətbiq edilsin.

Tunnel Mode-WAN link`lər arasında olur.Buna misal olaraq, təsəvvür edin ki, ayrı-ayrı bölgələrdə şirkətlərimiz var və bu şirkətləri bir-birinə bağlayan cihazlar arasında tunnel mode tətbiq edirik.Cihazlarında arxasında qalan kompüterlər isə bundan təsirlənmir.Şirkət daxilində onlar bir-birinə rahat bağlana biləcəklər.Buna görə də şirkətlər arasındakı əlaqə IPSec`li, şirkət daxilindəki əlaqə isə IPSec`siz olacaq.

IPSec`in əsasını aşağıdakılar təşkil edir:

IPSec Policy

IKE (Internet key Exchange)

IPSec Driver

IPSec Policy:

Bunun üçün biz ilk öncə Start—RUN—MMC yazırıq.Qarşımıza çıxan MMC Console`u çıxacaq.

Buradan File—Add/Remove Snap in daxil oluruq və açılan pəncərədən ADD düyməsinə sıxıb siyahıdan IP Security Policy Management seçirik.

Sonra ADD düyməsinə sıxırıq.Daha sonra isə qarşımıza standart olaraq 3 policy gəlir.

Bunlar aşağıdakılardır:

Server-Bu policy tətbiq edilmiş kompüter, ilk öncə qarşı tərəfdən IPSec`li görüşmə tələb edir, ancaq qarşı tərəfdən IPSec`li cavab gəlməyincə, bu zaman IPSec`siz görüşməyə başlayır.

Client-Bu policy tətbiq edildiyi zaman, qarşı tərəfdən nə zaman IPSec`li görüşmə istənirsə o zaman cavab verər.Əgər qarşı tərəfdən IPSec`li görüşmə istənməzsə, bu zaman cavab verməz.

Secure Server-Bu policy tətbiq edilmiş kompüter hər kəsdən IPSec`li görüşmə tələb edir.Əgər qarşı tərəfdə IPSec yoxdursa, bu zaman bağlantı olmur.Yəni görüşmə üçün IPSec vacibdir.

IKE (Internet Key Exchange):

IPSec`li bağlantı həyata keçirəcək kompüterlər, bağlanmadan əvvəl IPSec standartlarına görə razılaşma əldə edirlər.Bu razılaşmaya Security Assocation (SA) deyilir.IKE`nin də vəzifəsi bu razılaşmanı həyata keçirmək və idarə etməkdir.

IPSec Driver:

Kompüterə gələn paketlərin bu kompüterə tətbiq edilmiş IPSec ilə uyğun olub, olmadığını yoxlayır.Əgər paketlər uyğundursa, bu zaman OSI`nın daha üst laylarına doğru hərəkər edər.Əks təqdirdə paketlər qəbul edilmir.Əgər IPSec Driver`ını disable etsək, bu zaman IPSec işləməz. IPSec Driver`ini Device Manager`da View bölməsindən “Show Hidden Devices”ı aktiv edib, görmək olar.

Müdafiə:

Authentication Header(AH) protokolu IPSec`in əsas 3 vəzifəsindən ikisini yerinə yetirir.Bunlar Data İntegrity və Data Origin Authantication`dır.

Encapsulating Security Payload(ESP) protokolu isə IPSec`in 3 vəzifəsinin hamısını yerinə yetirir.Yəni Data Encryption, Data İntegrity və Data Origin Authantication`ı yerinə yetirir.

Ümid edirik ki, bu məqaləmizdə IPSec haqqında kifayət qədər məlumat verə bildik.Videolar bölməmizdə IPSec`ı praktikada da görə bilərsiniz.

Növbəti məqalələrdə görüşənə qədər.

Bu məqalə www.FRHD.info saytı üçün yazılmışdır.

Yazar:Fərhad KƏRİMOV

Bura rəy göndərə bilmərsiniz, rəylər bağlıdır