IPSec

IPSec Nasıl Çalışır?

Oldukça karışık görünen IPSec konusunu sade bir şekilde anlatacağım. Daha sonraki makalelerimde terimlere, detaylara ve uygulama örneklerine geçeceğim.

Kriptografi Mantığı

Kriptografi, şifre ve kodlarla veri güvenliğini sağlama bilimi olarak karşınıza çıkar. Şifreleme yöntemleri, gizliliğin sağlanması, aslıyla aynılık, kimlik denetimi ve asılsız olan verinin reddi gibi amaçlar taşır. Şifreleme bilimi, antik zamanlardan günümüze insanların mesajlarını gizli bir şekilde iletmelerine olanak tanır. Tarihin ilk şifreleme fikirleri, sembol ekleme veya harflerin yerini değiştirme olarak bilinir. Örneğin Sezar şifresi 3 harf atlama yöntemini kullanmıştır. Türkçe alfabe ile “nizam” kelimesini şifreleyelim. “n” harfi yerine 3 sonraki harf olan “p” harfini koyalım. Diğerlerini de aynı şekilde değiştirelim.

Şifreli Hali: plcçö >>> Çözülmüş Hali: nizam

Bu sistemi inceleyecek olursak, şifreleme yöntemini anlayamayan biri için “plcçö” kelimesi bir anlam ifade etmeyecektir. Konuşmanın çözülebilmesi için ancak 3 harf kuralının kullanıldığının tespit edilmesi gerekir. Aslında çocukluk dönemindeki kuşdili oyunu da bir şifreleme yöntemidir. Bu oyunda ilk önce 2 kişi arasında bir anlaşma yapılır ve yöntem belirlenirdi. Anlaşma konuşmanın nasıl şifreleneceğini belirlerdi. Örneğin anlaşmada “f” harfine karar verildiyse orijinal kelimede her sesli harf sonuna “f” harfiyle başlayan ve bir önceki sesli harf ile birleşen bir hece eklenirdi. Bilgiyi alan karşı taraf şifreleme yöntemini bildiği için sonradan eklenen heceleri çıkarır ve veriyi çözerdi.

Şifreli Hali: nefetwoforkkafampüs >>> Çözülmüş Hali: networkkampüs

Biraz komik olacak ama işin mantığını anlamak için kuşdili şifreleme yöntemini ciddiye alıp dezavantajlarını konuşalım.

  • Şifrelenen veriler, harf sayısı açısından aslının yaklaşık iki katına çıktığı için depolama alanı daha çok kullanılıyor.
  • Şifreli verileri söylemesi ve anlaması zor olduğu için daha çok kaynak kullanımı yapılıyor.
  • Yöntem sadece veri gizliliğini amaçlıyor. Veri bütünlüğü ve kimlik doğrulaması sağlamıyor.
  • Biraz düşünüldüğünde de çözmesi kolay bir şifreleme yöntemi olarak karşımıza çıkıyor. Çocuklar için gayet ideal 😀

2. dünya savaşının kaderini etkileyen Enigma makinesi de harf değiştirme yöntemini kullanmaktaydı. O dönem çözmesi çok zor olan Enigma yönteminde, örneğin “merhaba” kelimesinde geçen “m” harfi “d” harfiyle değiştirilir fakat metnin ilerleyen bölümlerinde geçen diğer “m” harfi bu defa  “p” harfiyle değiştirilirdi. Aynı şekilde diğer “m” harfleri de yine farklı farklı harflerle değiştirilirdi.

enigma nasıl

Sürekli dönen rotorlarla otomatik olarak değiştirilen harfler de sürekli değiştirilirdi. 17576 olasılık olduğu için orijinal harfin hangisi olduğu çözülemezdi. Kriptografi bilimi, günümüzde sanal para ve Blockchain olarak en gelişmiş halinde kullanılmaya devam eder. Makalemde bu konunun detayına girmeyeceğim ve artık IPSec konusuna geçeceğim. Günüzmüde network alt yapısı hemen her haberleşmenin temelini oluşturur. IPSec yöntemi de OSI ağ modelinin 3. katmanında IP adresleri ile haberleşen paketlere uygulanır. Tıpki eski yöntemlerde olduğu gibi verilerin şifrelenme mantığıyla ilgili çeşitli algoritmalar geliştirilmiştir. Bilim dünyasında mevcut algortimaların güçlendirilmesi veya yeni algoritmaların üretilmesi gibi çalışmalar sürekli olarak devam etmektedir. IPSec de bu algoritmalardan tercih edilenlere göre çalışır ve veri güvenliği sağlar.

IPSec Nasıl Çalışır?

Aralarındaki veri trafiği korunacak olan 2 nokta birbirleriyle SA (Security Association) güvenlik anlaşması imzalar. Ardından anlaşma içerisindeki bu kurallar SAD (Security Association Database) güvenlik anlaşması veri tabanına kaydedilir. Yani 2 ağ cihazı, SA anlaşması sonucunda aralarında konuşacakları şeyleri nasıl gizleyeceklerini belirler. Böylece başkaları kulak misafiri olsa bile bu konuşmalardan hiçbir şey anlayamazlar. Örneğin man in the middle saldırısında yaptığı işlemlerle orijinal bağlantıyı mirror eden (kopyalayan) veya tamamını olduğu gibi kendi üzerinden geçiren bir hacker’ın IPSec’le korunan verileri çözmesi çok düşük bir olasılıktır.

IPSec hacker

IPSec koruması öncesinde, 2 nokta arasında yapılan tüm bu anlaşmalar toplamda 2 fazda gerçekleşir.

ipsec fazlar

IPSec Faz-1: Bu fazda, 2 nokta arasında kuralların belirlendiği bir anlaşma yapılır. Faz-2’de gerçekleşen iletişim bu fazda belirlenen kurallara göre şifrelenir. Amaç: Faz-2 görüşmelerinin güvenliğini sağlamak. Main Mod ve Aggressive Mod olmak üzere 2 çeşit Faz-1 vardır. Bunlardan sadece biri seçilebilir.

  • Main Mod: 6 pakette sonuçlanır. İşlemlerin sonunda IKE SA kurulmuş olur. 2 nokta anlaşır. Daha güvenlidir.
  • Aggressive Mod: 3 pakette sonuçlanır. Böylece IKE SA kurulur ve 2 nokta anlaşır.

IPSec Faz-2: 2 nokta arasında transfer edilen verilerin nasıl şifreleneceği belirlenir. Faz-2 oturumu faz-1’de tasarlanan güvenli kanalda yapılır. Amaç: Verilerin güvenliğini sağlamak.

Veri Akışının Başlaması: Faz-2’de yapılan anlaşmaya göre bazı algoritmalar çalıştırılır ve orijinal verilere AH (Authentication Header) veya ESP (Encapsulating Security Payload) gibi özel başlıklar eklenir.

ipsec veri koruma

IPSec ile korunan veriler adeta zarf içerisinde zarfla taşınmaktadır ve zarfların açılma yöntemlerinin tek tek çözülmesi gerekir.      

IPSec Nasıl Çözülür?

Araya giren kötü niyetli kişilerin verileri anlayabilmesi için ilk önce elde ettiği verilerin hangi algoritmalara göre şifrelendiğini çözmesi gerekir. Bu algoritmaları tespit etmek için faz-2 konuşmasını dinlemiş olması gerekir. Hacker’ın Faz-2’yi de dinlemiş olduğunu varsayarsak, Faz-2 konuşmasından elde ettiği veriler de şifreli olduğu için Faz-1’deki konuşmalara bakması gerekir. Tabi tüm bu aşamalarda dinamik olarak sürekli değişen anahtarlar veya sertifikalar da olduğundan hacker’ın işi daha da karışacaktır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir