Bilgi Güvenliği Bakış Açısı ile IPsec

0
565
views
IPsec, farklı taraflar arasında ağ verisini korumaya yarayan protokoller paketidir. Bu yazıda ağ trafiği için güvenli bir altyapı sunan IPsec konusu incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) Giriş

RFC4026‘da da belirtildiği gibi bir çok VPN çeşidi vardır.

 

IETF (Internet Engineering Task Force) tarafından 1995 yılında geliştirilen IPsec VPN, 2 nokta arasında gizlilik, bütünlük ve kimlik doğrulamayı sağlamak için güvenlik mimarisini tanımlar ve bir takım protokol paketi sunar.

IPsec temel olarak aşağıdaki amaçlar için kullanılır;

  • İki nokta arasındaki trafiğin güvenliğini sağlamak için VPN tünelleri kurmak
  • SD-WAN ile beraber yedekli yapıların güvenli bir şekilde kullanılmasını sağlamak
  • Bilinen bir gönderenden gelen verinin üzerinde hızlıca kimlik doğrulaması gerçekleştirme
  • Uygulama katmanı verilerini şifrelemek

Günümüzdeki birçok işletim sistemi (istemci veya sunucu), router, güvenlik duvarı gibi donanımlar IPsec VPN tünellemeyi destekler. IPsec VPN de genel olarak aşağıdaki şekillerde kullanılır.

  • Sunucu – Sunucu
  • Ağ geçidi – Ağ geçidi
  • Sunucu – Ağ geçidi

 

IPsec temel olarak aşağıdaki korumaları sağlar;

  • Ağ seviyesinde kimlik doğrulama
  • Paketlerde özet değerleri kullanarak veri bütünlüğü sağlama
  • Trafiği şifreleme ile gizlilik sağlama
  • Sequence numaraları sayesinde tekrarlama (replay) saldırılarına karşı koruma

 

B) IPsec Operasyon Modları

IPsec devreleri temel olarak iki modda kullanılmak üzere ayarlanabilir.

B.1) Tünel Modu

Tünel (Tunnel) modu, genellikle 2 ağ geçidi (router veya firewall gibi) arasında kurulur. Böylece, bu 2 ağ geçidinin arkasındaki sistemler (örneğin sunucular) birbirleri ile güvenilir bir kanaldan iletişim kurarlar.

 

Tünel modundaki ağ geçidi bir çeşit vekil (proxy) gibi davranır ve IP başlığı dahil tüm trafiği şifreler. Tünel modda, IP başlık bilgisi ağ geçidinin IP bilgisi ile değişir. IPsec tünelin bir ucundan çıkan paket diğerine giderken; yol üzerindeki yönlendiriciler, paket içerisindeki IP başlığını okuyamaz ve değiştiremezler.

 

B.2) Aktarım Modu

Aktarım / Taşıma (Transport) modu, genellikle 2 uç nokta (sunucu veya istemci gibi) arasında kurulur. Böylece, bir bilgisayar, bir sunucu ile (örneğin Telnet, HTTP gibi bir iletişim için) güvenilir bir kanaldan iletişim kurar.

 

Aktarım modundaki IPsec, OSI 4. katmanın (ağ) üzerindeki katmanlarda (oturum, taşıma ve uygulama) koruma sağlar.

 

C) IPsec Güvenlik Mimarisi

IPsec (Internet Protocol Security) temel olarak 4 protokol kullanır.

  • AH
  • ESP
  • IKE
  • ISAKMP

Bu başlık altında AH ve ESP protokolleri incelenecek olup, sonraki 2 protokol ayrı bir başlıkta incelenecektir.

 

C.1) Authentication Header (AH – Protokol 51)

Doğrulama Başlığı (AH), IP katmanı üzerinde çalışır. Doğrulama Başlığı, bağlantısız olarak IP datagramları üzerinde güvenlik sağlar. AH, aşağıdaki amaçlar için kullanılır.

  • IP paketlerini dijital olarak imzalamak
  • Veri bütünlüğü sağlamak
  • Veri kaynağının kimliğini doğrulamak
  • Tekrar biti sayesinde eski paketleri düşürme ve paket tekrarlarını (replay saldırıları gibi) engellemek

 

Tünel modundaki AH protokolüne ait bir iletişimin Wireshark çıktısı aşağıdaki gibidir.

 

Aktarım modundaki AH protokolüne ait bir iletişimin Wireshark çıktısı aşağıdaki gibidir.

 

C.2) Encapsulating Security Payload (ESP – Protokol 50):

Kapsüllenmiş Güvenlik Yükü (ESP), IP katmanı üzerinde çalışır. ESP, aşağıdaki amaçlar için kullanılır.

  • IP paketlerini şifrelemek
  • Veri bütünlüğünü korumak
  • Veri kaynağının kimliğini doğrulamak
  • Erişim kontrolü sağlamak
  • Tekrar biti sayesinde eski paketleri düşürme ve paket tekrarlarını (replay saldırıları gibi) engellemek

 

Tünel modundaki ESP protokolüne ait bir iletişimin Wireshark çıktısı aşağıdaki gibidir.

 

Aktarım modundaki ESP protokolüne ait bir iletişimin Wireshark çıktısı aşağıdaki gibidir.

 

Not: Taşıma modunda tüm IP paketi üzerinde bütünlük ve doğrulama sağlamamaktadır. Tünel modunda ise tüm paket kapsüllendiği için tam bir koruma sağlar.

Not: AH, gizlilik (confidentiality) sağlamaz şifrelemeyi de sağlayan ESP tercih edilir.

 

C.3) AH + ESP

AH ve ESP protokolleri tünel modunda beraber kullanılabilir.

 

Tünel modundaki AH ve ESP protokollerinin beraber kullanımına ait bir iletişimin Wireshark çıktısı aşağıdaki gibidir.

 

AH ve ESP protokolleri aktarım modunda da beraber kullanılabilir.

 

Aktarım modundaki AH ve ESP protokollerinin beraber kullanımına ait bir iletişimin Wireshark çıktısı aşağıdaki gibidir.

 

D) Internet Key Exchange (IKE)

İnternet Anahtar Değişimi protokolü (IKE), IPsec tünel kurabilmek için kullanılır. IKE, aşağıdaki amaçlar için kullanılır.

  • Tarafların birbiri ile iletişim kurarken anlaşacakları kriptografik algoritmaları (anahtar paylaşımı gibi) yönetmek
  • Güvenlik parametrelerinin güvenilir bir şekilde paylaşılmasını sağlamak

IKE sırasında daha önceden bahsedilen AH ve ESP protokkoleri kullanılır. IKE, fazlarına, sürümüne ve modlarına göre sınıflandırılabilir.

D.1) IKE Fazları

IPsec tünel kurulumu sırasında 2 faz vardır;

D.1.1) IKE Faz 1

Tünel kuracak olan 2 taraf (peer) birebir aynı şifreleme, kimlik doğrulama, anahtar değişimi, özet alma gibi protokol ve parametrelerde anlaşır. Bu fazda ISAKMP (Internet Security Association and Key Management Protocol) oturumu kurulur.

 

ISAKMP, IPsec tünelinin iki ucu arasındaki doğrudan bağlantıyı yönetir. Bu amaçla kullanılan Security Association (Güvenlik İlişkilendirmeleri – SA), bir sunucudan diğerine olan tek yönlü mantıksal bağlantıya ait ayarları ifade eder. IKE SA ayarları aşağıdaki gibi sıralanabilir.

  • Şifreleme algoritmaları (AES, 3DES, DES, CAST gibi)
  • Özetleme algoritmaları (SHA384, SHA256, SHA1, MD5 gibi)
  • Anahtar değişimi (DH15, DH5, …)

 

IPsec tünel kurulurken kullanılan diğer parametreler aşağıdaki gibi sıralanabilir;

  • IKE sürümü (V1, V2 gibi -> Sonraki başlıklarda detaylandırılacaktır)
  • IKE modu (Main, Agressive -> Sonraki başlıklarda detaylandırılacaktır)
  • Şifreleme anahtarı (PSK – Pre Shared Key) veya sertifika
  • Anahtar yaşam süresi (6 saat gibi)

 

Eğer çift yönlü bir veri alışverişi gerekiyorsa, iki farklı SA kurulmalıdır. Benzer olarak tek bir SA ile farklı uçlar arasındaki AH veya ESP protokollerinden sadece birisi için anlaşma yapılır.

 

Not: Bir SA, 32 bitlik gönderici tarafın oluşturduğu rastgele bir değer olan Security Parameter Index (SPI) ile tanımlanır.

 

Özetleyecek olursak; IKE Faz 1, 3 adımda gerçekleşir:

  • Parametre değiş tokuşu (Negotiation): Özetleme, şifreleme, kimlik doğrulama, DH grupları, tünel geçerlilik süresi gibi parametrelerde anlaşma sağlanır.
  • DH anahtar değişimi: Her iki tarafta kullanılacak ortak anahtar hesaplanır.
  • Kimlik doğrulama: Anlaşılan parametrelere göre kimlik doğrulama sağlanır.
    Böylece IKE Faz 1 tamamlanmış olur ve 2 taraf arasında 2 yönlü bir tünel trafiği açılmış olur.

 

D.1.2) IKE Faz 2

IKE Faz 1, sadece trafiği yönetmek için kullanılır. Kurulan bu tünel içerisinden IPsec Tünel veya IKE Faz 2 Tünel açılır. Yani; IKE Faz 2, IKE Faz 1’de anlaşılan anahtara, algoritmalara ve diğer parametrelere göre şifrelenmiş bir tünelden geçirilir.

 

IKE Faz 2 de de iki tarafta (peer) birebir aynı algoritmalar (şifreleme ve özetleme gibi) veya parametreler kullanılmalıdır.

  • IPsec Protokolü (AH veya ESP)
  • Modu (Aktarım veya tünel)
  • Şifreleme algoritması (AES, 3DES, DES,…)
  • Özetleme algoritması (SHA384, SHA 256, MD5,…)
  • Anahtar yaşam süresi (Tünelin ayakta kalma süresi)
  • DH anahtar oluşturma mekanizması (Seçimlidir. PFS (Perfect Forward Secrecy) kullanım durumunu belirtir.)

IKE Faz 2 kurulumu sonrasında veri bu tüneller içerisinde uçtan uça güvenilir bir şekilde aktarılmış olur.

 

Kısacası; AH ve ESP kullanılarak IKE Faz 1 ile SA anlaşmasının güvenliği sağlanırken, IKE Faz 2 ile de verinin güvenliği sağlanmış olur.

IKE Faz 2’nin ilk paketi aşağıdaki gibidir. Diğer paketlerin detayları için bağlantılardaki NetworkLessons yazısı incelenebilir.

 

IPsec tüneli sonlandırıldığında da, taraflar bu güvenlik ilişkilendirmesinde kullanılan anahtarları boşa çıkarır. Yani IKE Faz 1’in yaşam süresi sona erdiğinde trafik yoksa tünel ayakta kalmayabilir. Bu durumda bir paket gönderildiğinde ilk paket (veri) ile IKE Faz 1 ayağa kalkar (DH anahtar değişimi olur), ikinci paket ile de IKE Faz 2 aktifleşir. Bu sebeple S2S VPN gibi tünellerde ilk pakete (ping gibi) cevap alınamayabilir.

 

D.2) IKE Sürümleri

IKE’nin 2 sürümü vardır;

D.2.1) IKEv1

1998 yılında tanıtılmıştır. IKEv1 bağlantının her zaman ayakta (UP) olacağını varsayar. IKEv1, sadece genel anahtar ve sertifika tabanlı kimlik doğrulama gerçekleştirir.

D.2.2) IKEv2

2005 yılında tanıtılmıştır. IKEv2 için geçerli olup, IKEv1 için geçerli olmayan en önemli özellikler aşağıdaki gibi sıralanabilir.

  • IKEv2, daha az bant genişliği kullanır.
  • IKEv2’de EAP kimlik doğrulaması ve MOBIKE desteklenmektedir.
  • IKEv2, tünelin ayakta olmaması (DOWN) durumunda, bağlantıyı otomatik olarak yeniden kurabilir.
  • IKEv2, yerleşik NAT geçişi (traversal) yapabilir.

 

D.3 IKE Modları

IKE’nin 2 modu vardır;

D.3.1) Ana (Main) Mod

Oturum algoritmalarının ve anahtarlarının değiş tokuşu (negotiation) için güvenli bir tünel oluştur.

 

Bu modun bazı özellikleri aşağıdaki gibi sıralanabilir.

  • IKE değiş tokuşu (negotiation) 6 paket ile gerçekleşir.
  • Ana modda, iletişim kuran 2 taraf (peer) DH anahtarlarında anlaşmaya vardıktan sonra, trafik şifrelenmiş olur.
  • Ana modda DH hesaplaması kimlik doğrulaması sonrasında gerçekleştiği için, Denial of Service (DoS) saldırılarına karşı daha güçlü sayılabilir.
  • Bu modda oturumu başlatmak isteyen taraf (peer) şifreleme ve kimlik doğrulama algoritmaları gibi bir takım paramatreleri karşı tarafa iletir ve sunucu taraf kabul edene dek IKE iletişimine geçilmez. Bu sebeple daha güvenilirdir.

Ana modun ilk paketi aşağıdaki gibidir. Diğer paketlerin detayları için bağlantılardaki NetworkLessons yazısı incelenebilir.

 

D.3.2) Agresif (Aggressive) Mod

Güvenilir olmayan moddur.

 

Bu modun bazı özellikleri aşağıdaki gibi sıralanabilir.

  • IKE değiş tokuşu (negotiation) 3 paket ile gerçekleşir ve daha hızlıdır.
  • Bu modda DH hesaplaması, kimlik doğrulaması sırasında gerçekleştiği için, Denial of Service (DoS) saldırılarına karşı daha zayıftır. Çünkü henüz kimliği doğrulanmamış bir saldırgan taraf (peer), hedef tarafın (peer) çok fazla sayıda DH hesaplamasına zorluyabilir ve işlemci yoğunluğunu arttırır.
  • Bu modda oturumu başlatmak isteyen taraf (peer) şifreleme ve kimlik doğrulama algoritmaları gibi bir takım paramatreleri (identification işlemi bilgileri) karşı tarafa açık olarak iletir ve sunucu tarafı oturumu kabul eder.

Agresif modun ilk paketi aşağıdaki gibidir. Diğer paketlerin detayları için bağlantılardaki NetworkLessons yazısı incelenebilir.

 

E) Genel Güvenlik Notları

  • Tüneller kurulurken güvenilir algoritmalar kullanılmalıdır.
  • Tüneller kurulurken belirlenecek parola karmaşık olmalı ve iki taraf (peer) arasında güvenilir bir kanaldan paylaştırılmalıdır.
  • IKEv1 yerine IKEv2 tercih edilmelidir.
  • IKE Faz 1’de agresif mod yerine ana mod tercih edilmelidir.
  • AH yerine ESP tercih edilmelidir.

 

Kaynaklar:

https://networklessons.com/cisco/ccie-routing-switching/ipsec-internet-protocol-security

Güvenli Ağ Trafiği için IPSec VPN: Nedir? Nasıl Çalışır?


https://www.twingate.com/blog/ipsec-tunnel-mode/
https://en.wikipedia.org/wiki/IPsec
https://en.wikipedia.org/wiki/Internet_Key_Exchange
https://tr.weblogographic.com/difference-between-ikev1-and-ikev2-836900
https://www.ibm.com/docs/en/zos/2.2.0?topic=1-aggressive-mode

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.