Ağ Güvenliği

P2P Ağlarda Güvenlik

Mustafa K. Madanoğlu704061021

Bilgisayar Bilimleri

Akış

Giriş:P2P ağ nedir ve kısa tarihçesi.

P2P ağların yapısı. Güvenlik açıkları. Alınan önlemler. Sonuç

Giriş

P2P ağ nedir? P2p hesaplama sistemler arasında

bilgisayar kaynakları ve hizmetlerinin doğrudan değişimidir.

Bu kaynak ve hizmetler bilgi, proses çevrimi, cache bellek ve disk bellek değişimini de içermektedir.

En geniş tanımı ile p2p ağlar sunucu istemci sistemlerini de içine alacaktır.

Ancak son dönemde ortaya çıkan p2p anlayışı aynı makinenin hem sunucu hem istemci olduğu ağlardır

Peer-to-peer sistemler Dağılım Desentralizasyon Kendini organizasyon Simetrik iletişim

Geçmişi

İlk ortaya çıkanlar Napster, Gnutella,Freenet’tir

Dosya paylaşımı(CFS,PAst) Ağ Depolama (Farsite) Haber dağıtımı(Herald,Bayeux)

P2P Ağların kullanım alanları: Dosya paylaşımı Birlikte çalışma Uç hizmetler Dağıtılmış hesaplama Akıllı ajanlar

The GRID Dağıtılmış,heterojen,çoklu organize

kaynak sağlayan sanal sistemler oluşturmaya yarayan aletler bütünü.

1995-96’da Ian Foster ve Carl Kesselman geliştirdi.

İlk sistem dağıtılmış olarak işleyen bir sistemdi.

NSF TeraGrid,NASA IPGRID,EUROGrid.

P2P ağların yapısı Node’lar yakındaki diğer node’ların

listesini tutar. Bir istek geldiğinde diğer node’lara

bir mesaj yollar. 23-byte -id,type,TTL,hops,payload

length Elinde istenen olan node doğrudan

geri döner.

IP/port değişimi ile birbirini tanır. -Asıllama olmadan yapıldığından

Flooding ve DoS saldırılarına açık. -Saldırgan istek yapan node’u başka bir

node’a hatalı olarak yönlendirebilir. Bunu çoğalırsa hedef node kendini DoS saldırısından koruyamaz.

-İstek yapan node ve istediği veri gizli olmadığından bunu herkes görebilir.

Sunucularda çalışan istemcilerden oluşur.

Sunucuların birbirini görmesi gerekir.

Doğrudan birbirini görmeyenler için yönlendirme sistemi gerekir(Ağ katmanının üzerinde).

Süper-peer’ler mevcuttur.

Güvenlik açıkları

Flooding ve DOS Ping Pong – ip,port, paylaşılan dosyalar Query – istek ve min. hat hızı Query hit – isteğe uyan dosyalar,

boyutları ve hat hızı Push – Firewall arkasındaki

istemcilere dosya yüklemek için

Pong, query etkisiz. Ping – önceden etkin. Süper-node

önledi. Query flooding haal etkin bir

saldırı.

İçerik Asıllama

Gelen dosya ne bilmiyoruz. Önceden alıcının incelemesi çok

zor. Güvene dayalı.

İstek Kaçırma

Her komşu node diğerinin içeriğini görebilir.

Herkes isteği ve isteği veren node’u görebilir.

Napster’a açılan davada bu kullanıldı.

Çözümler

Dağıtılmış Öz Tabloları (DHT) Yeni nesil p2p ağlar bunu kullanıyor. Bir öz fonksiyonun dosya id ile nod’u

birbirine bağlamasına dayanıyor. Pastry, CAN, Chord.

Pastry

NodeId’ler 128-bit id uzayında dairesel olarak uniform dağılır.

Anahtara en yakın nodeId’e sahip node’a gidilir.

Her node komşularının listesini tutar.

ID’ler CA tarafından imzalanırsa güvenli olur. Yoksa kötü niyetli araya giren sistemi bozar.

Chord

160 bit dairesel id uzayı kullanır. N node’lu bir ağ için her node

O(logN) komşu bilgisi saklar. Her node’a ve anahtara bir id

verilir. Genelde IP ve KEY SHA-1 gibi bir öz almadan geçirilir.

İşaretçiler dairesel olarak sıralanmıştır. 2^m elemanlı bir daire Her node bir tablo tutar. Burada i.

Giriş kendisinden 2^(i-1) uzaktaki node’un id’sidir.

m. Terim onun halefidir. Halef olan node’lara aynı anahtar

atanır.

İçerik Adreslenebilir Ağlar(CAN) Her node öz uzayının bir bölümüne sahip

olacak şekilde d-boyutlu bir hiper küpe yönlendirir.

Her node da O(d) girdili bir routing tablosu var. Ve herhangi bir node’a en fazla (d/4)(N^1/4) atlama ile ulaşılabilir.

İyi yanı routing tablosunun ağ ile büyümemesidir. Ancak uygulamaya henüz geçirilememiştir. Çünkü hataya dayanıklı node bağlantıları sağlayamamaktadır.

NodeId isteğe bağlı atanabilirse Bir dosya belli bir alanda tutulabilir Bir kullanıcının tüm routingi kontrol

edilebilir Rastgele olması gerekir. Bir CA tarafında atanması ile

sağlanabilir. Güvenilir bir otorite lazım Basit bir anahtar alt yapısı kurulabilir.

Kötü amaçlı routing. Mesela en yakın node olduğunu iddia

ederse rotuing bozulur. 2 routing tablosu tutulursa çözülür.

Asıllama Dosyaların bir 3. aracı tarafından

asıllanması sağlanabilir. Merkezi bir yaklaşım olur.tüm gelen

giden dosyalar için belli bir bilgi tutulması gerekir. İş zorlaşır.

Ağın küçük olduğu yada dosya değişikliğinin ciddi hasara neden olduğu sistemlerde kullanılabilir.

Ancak çok sayıda kullanıcısı olan büyük, dinamik ağlarda uygulanması mümkün değildir.

Başka bir yöntemde birkaç kaynaktan dosyayı almak ve aynı olup olmadıklarına bakmaktır.

Bu basit bir checksum ile yapılabilir.

Ancak dosyanın yada büyük bir kısmının birkaç kere çekilmesi gerekir.verimli bir yöntem değildir.

FFT (Hızlı Fourier Dönüşüm)

F(X), ve F(Y’) hesaplanabilir. Y’, Y’nin tersidir.

Daha sonra F(X) ve F(Y’)’nin çarpımından elde edilen sinyalin ters Forier dönüşümü yapılırsa belli bir sinyal profili elde edilecektir.

FFT’nin başlıca avantajı: Dosyaların bit olarak eş olmasının

gerekmemesi, Dosyanın tamamının çekilmesinin

gerekmemesidir.

Şifreleme

Karşılıklı şifreleme içerik güvenliği açısından düşünülebilir.

Ancak sonuçta istek vb. gören yine karşıdaki peer olduğundan dolayı şifrelemenin çözüm olması olası değildir.

Sonuç Görüldüğü gibi p2p sistemler çok büyük

ölçüde güvene dayanmaktadır. Bir peer kötü niyetli olduğunda onu

önlemek çok zordur. Ancak bu problemler sadece Gnutella,

Kazaa, Napster gibi çok zayıf bağlı ağlarda söz konusudur. Grid benzeri yapılarda güçlü güvenlik önlemleri uygulanmaktadır.

Kaynaklar Security for Peer-to-Peer Networks, Dan S. Wallach, Rice

University Secure routing for structured peer-to-peer overlay

networks, Miguel Castro, Peter Druschel, Ayalvadi Ganesh, Antony Rowstron and Dan S. Wallach

Analysis of Peer-to-Peer Network Security using Gnutella, Dimitri DeFigueiredo, Antonio Garcia, and Bill Kramer

Peer-to-Peer Security, Allan Friedman, L. Jean Camp, Harvard University

http://www.etse.urv.es/~cpairot/dhts.html

Sorular