ip security
TRANSCRIPT
Samir Həsənov
Qafqaz Universiteti
Kompyuter Mühəndisliyi 2. kurs
IP Security
İnternet təhlükəsizliyi veb server və klientlərin internet və
ya WAN üzərindən mümkün olan hücumlara qarşı qorunmasıdır. Kompyuter
və şəbəkə təhlükəsizliyinin bir növüdür. İnternet təhlükəsizliyi
əsasən İPSec (İnternet Security Protocol), SSL (Secure Socket Layer)
və ya TSL (Transport Layer Security) kimi xüsusi təhlükəsizlik
protokollarından ibarətdir.
Standart internet rabitə protokolu tamamilə müdafiəsizdir, bu
da hostlara tranzitdə olan məlumatları əldə etmək və dəyişdirmək
imkanı verir. İPSec öz sisteminizə əlavə etmək sizi tam şifrələmə,
identifikasiya, məlumat tamlığı və təkrarlanmadan qorunma ilə təmin
edəcəkdir.
İnternet rabitə protokolu ilkin olaraq heç bir təhlükəsizlik
mexanizmi ilə təchiz olunmamışdır. Bütün proqram və istifadəçi
məlumatları açıq mətn şəklində ötürüldüyündən internetdə paket
şəklində olan bu informasiya axını üçüncü şəxs, şirkət və s.
tərəfindən oxuna bilər. Məsələn, sizin şifrələrin açıq mətn şəklində
ötürülməsi gələcəkdə sizin sistemin hack olunmasına gətirib çıxara
bilər. İp paketlərin tərkibi aşkar olunmadan dəyişdirilə bilər.
Təbii ki, sizin informasiyanı başqalarının görməyi sizi narahat
etməyə bilər, lakin sizin məlumatların digər bir şəxs tərəfindən
dəyişdirilməsi sizə böyük narahatçılıq verəcəkdir.
İnternet paketlərinin saxtalaşdırılması və dəyişdirilməsi
internetdə hacker-lərə özlərini başqa bir şəxs qismində tanıtmaları
imkanını yaradır. Məsələn, siz sisteminizin idarəsini yalnız öz
əməliyyatçılarınıza icazə vermisiniz, lakın qorunma olmadığı halda
hərkəs sizin sistemin idarəsini ələ keçirə bilər. Buna termin olaraq
İdentity Spoofing (İdentity Spoofing – İP paketlərə saxta source
adres verməklə özünü başqası qismində təqdim etmək hücüm növü)
deyilir. Digər bir ssenari üzrə isə sizin sistem etibar etdiyiniz
mənbələr tərəfindən yanlış və zərərli məlumatla qidalana bilər.
Həmçinin siz bir əməliyyatın bir dəfə keçirildiyinə əmin
olmalısınız. Yəni bir əməliyyatın hər hansı şəxs tərəfindən qeydə
alınması və dəfələrlə təkrar həyata keçirilməməsi üçün. Məsələn, hər
hansı bir şəxs bu üsul ilə bir pul köçürməsini sizin sistemə bir
nəçə dəfə təkrar tanıda bilər və sizin sistem bunu bir nəfərə
edilmiş çoxlu pul köçürməsi kimi qeydə alacaq.
İPSec öz sisteminizə əlavə etmək sizə təhlükəsizlik təmin
etmədə kömək edəcək, çünki İPSec tam şifrələmə, identifikasiya və
əməliyyat təkrarlamasından qorumanı əhatə edir.
Güclü şifrələmə – heç bir kəs sizin məlumatı oxuya bilməyəcək.
Şifrələmə alqoritminin gücündən, şifr açarının uzunluğundan asılı
olaraq sizin məlumatı deşifrələmək çox çətin olacaq. Tam
təhlükəsizlik deyə bir şeyin olmadığını nəzərə alsaq, sizin
şifrlərinizi açmaq çətin və uzun müddət tələb edən, hətta brut fors
(Brute Force) metodu ilə mümkünsüz bir iş olacaq.
Dəyişilmiş paketlər sistem tərəfindən avtomatik olaraq rədd
edilir. İlkin məlumat üzrə checksum-un hesablanması paketləri
loqlamaq imkanı yaradır və beləliklə yolda dəyişdirilmiş paketlər
iqnor edilir.
Autentifikasiya – əməliyyat apardığınız hostun şəxsiyyəti
təsdiq edilir. Bundan başqa autentifikasiya sizə göndərdiyiniz
məlumatı imzalamaq imkanı verir, belə ki, digər şəxslər göndırilən
məlumatın həqiqətən sizdən gəldiyinə əmin ola biləcəklər.
Təkrarlamadan qorunma – Dublikat əməliyyatlar iqnor olunur.
Kriptoqrafik tədbirlərlə qorunan ardıcıllıqlardan isitifadə etməklə
təkrarlanan paketlər aşkar olunub atılacaqdır.
İPSec əsas üstünlükləri.
İPSec Şəbəkə qatında yerləşdiyindən TCP/İP tətbiqlərinə
dəyişiklik etmək məcburiyyətində olmayacaqsınız. İPSec ESP
(Encapsulating Security Payload) və AH (Authentication Header) kimi
iki yeni İP protokolu istifadə edir. İPSec İP qatından altda, yəni
TCP/İP kerneli ilə link qatının arasında yerləşdirilir. İPSec
şifrələnən trafik üzərindən ötürülən bütün paketlərə ESP və AH
başlıqlarını əlavə edəcək və qəbul edilən bütün paketlərdən də bu
başlıqları tələb edəcəkdir. BSD soket (TCP/UDP/Row IP) istifadə edən
tətbiqlərə İPSec şəffaf və asan yol ilə quraşdırıla bilir.
Konfiqurasiya edilə bilən mühafizə. İPSec İP paketlərə hansı
təhlükəsizlik tədbirlərinin görüləcəyi məlumatının saxlanıldığı SPD
(Security Policy Database) istifadə edir. Bu baza özündə TCP/UDP
port, source və destination ip adreslər və İP paket nömrələri kimi
məlumatları saxlaya bilər. Bu məlumatları adres intervalı və
müxtəlif şərtlərlə daha da elastik etmək olar.
Hər gedən və ya gələn paketə görə bazada ən yaxşı uyğunluq
axtarılır. Ə gər bazada bu paket uyğunluğu tapılarsa paketə bazada
göstərilmiş şifrələmə metodu, şifr açar uzunluğu, şifrələmə
alqoritmlər zənciri, paket tunel ilə göndəriləcək və ya yox kimi
əməliyyatlar görülür. Bazada hətta şifrələməyə ehtiyac olmadığı da
göstərilə bilər. Lakin baza ilə heç bir uyğunluq tapılmazsa həmin
paket rədd edilir. Bu dizayn ilə İPSec bəzi paketləri şifrələməsiz,
bəzilərini yüngül şifrələmə ilə, bəzi paketləri isə güclü şifrələyə
bilər. Məsələn, HTML kontentlər şifrələnmədən, telnet və email
sessiyalar şifrələmə ilə ötürülə bilər. Yəni hər hansı proqramın və
ya userin təhlükəsizliyi gələcəkdə təhkükəsizlik bazasını dəyişməklə
yenilənə bilər.
Yönlü təhlükəsizlik həlli. İPSec müxtəlif təhlükəsizlik
mexanizmləri icra edə bilər. Autentifikasiya paketin doğru şəxsdən
olduğunu təsdiq edir, şifrələmə paketin tərkibini gizlətmək üçün
istifadə edilir, bütövlük paketin tranzit zamanı dəyişdirilmədiyini
sübut edir, təkrarlama təhlükəsizlik isə əməliyyatların
təkrarlanmasının və DOS atakların qarşısını alır.
Həssas məlumatın təhlükəsizliyi.
İPSec iki hosta tətbiq edilən zaman bu hostlar arasında olan
rabitə təhlükəsizliyi İPSec şifrələməsi və autentifikası yolu ilə
təmin olunur. Tam performans üçün şifrələməsi lazım olmayan məlumat
İPSec tətbiq olunmadan göndərilə bilər.
Nəqliyyat rejimi (Transport Mode). Nəqliyyat rejimi iki host
arasında olan əlaqə təhlükəsizliyini təmin edir və tunel rejimindən
(Tunnel Mode) daha sürətlidir, belə ki bu zaman əlavə ip başlığa
ehtiyyac duyulmur. Bu zaman İPSec ESP/AH başlıqları orijinal İP
başlıqlarından sonra və transport qatından əvvəl əlavə edilir.
Nəqliyyat rejimindən İPSec əsas üstünlüyü ondan ibarətdir ki, bu
zaman hostlar arasında olan əlaqə tam yol boyu təhlükəsizlik ilə
təmin olunur. İki host arasında təhlükəsiz olmayan şəbəkələrin
olması bu İPSec əlaqəsinə heç bir xəta törətmir.
Tunel rejimi (Tunnel Mode). Bu zaman İPSec başlığından əvvəl
İPSec xarici başlıq əlavə olunur. Başqa sözlə desək, yeni paket
İPSec ESP/AH başlıqlarla və köhnə İP paketdən ibarət olur.
Vir
tua
l
Pri
vat
Şəb
əkələr (VPN).
İki və daha çox şəbəkələr Virtual Privat Şəbəkə mexanizmi ilə
bir şəbəkəyə birləşdirilə bilər. Bu zaman İPSec tunnel rejimi ilə
müxtəlif şlyuzlarda (gateway) təhlükəsizlik təmin edilir. Lokal
şəbəkə üzərində paketlər şifrələnmədən göndərilir. Lakin şəbəkələr
arasında İP paketlər daxili İPSec şlyuz tərəfindən şifrələnir və
digər şəbəkədəki İPSec şlyuzuna göndərilir.
Bir sözlə, lokal şlyuz göndəriləcək paketləri şifrələyir və
digər paketlərin daxilinə qoyaraq digər şəbəkədə olan İPSec şlyuza
göndərir. Qəbul edən şlyuz isə şifrələnmiş paketlə deşifrələyir və
daxili lokal şəbəkəsinə deşifrələnmiş olaraq buraxır. Bu üsulun
üstünlüyü ondan ibarətdir ki, İP təhlükəsizlik tətbiq etmək üçün
şəbəkədə olan hostlara dəyişiklik tələb olunmur.
İPSec tunel rejimi trafikin analiz edilməsinin də qarşısını
alır. Tunel rejimində hacker tunelin daxilində olan paketlərin real
source və destination adresslərini bilməyəcək, bilinən yeganə
məlumat tunelin başlayıb-bitdiyi ünvanlardır.
Sadəlik. Bir neçə hədəf bir İPSec şlyuzu tərəfindən qoruna
bilər. Bu şlyuz hər istifadəçi adından lazım olan bütün şifrələməni
həyata keçirir.
Yüksək performans. Yalnız müdafiə olunmayan şəbəkələr üzərində
olan məlumatlar şifrələnir. Lokal şəbəkə daxilində gedən informasiya
şifrələməyə ehtiyac duymur və açıq mətn şəklində göndərilir.
Şəbəkələr arasında yönləndirilən və müdafiəsiz xəttlərdən keçən
məlumat şifrələnir. Bu üsulun üstünlüyü şifrələmənin yalnız tələb
olunan yerlərdə həyata keçirməklə yüksən performans əldə etməkdədir.
Elastiklik. Şəbəkələr ayrı yerlərdə yerləşə bilər. Şlyuzlar
arasında paketlər tunel vasitəsilə göndərildiyindən şəbəkələr fiziki
olaraq müxtəlif yerlərdə ola bilər. Bir şəbəkədəki kompyuter digər
şəbəkədəki kompyuterlə öz lokal şəbəkəsində imiş kimi əlaqə qurmaq
imkanına malikdir.
Və son olaraq onu vurğulamaq istərdim ki, İPSec köhnə
sistemlərə də tətbiq olunur. Yəni köhnə sistemlərə heç bir
dəyişiklik edilmədən sadəcə şəbəkəyə yeni İPSec şlyuz qoyulur.
