Yeni Nesil Ağ Güvenliği Ders 6 Mehmet Demirci 1
Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları 2
SSL/TLS SSL ilk olarak Netscape tarafından geliştirildi ve IETF in TLS standardına temel oldu. Webden alışverişin güvenliğine çözüm amacıyla önerildi. Gizlilik Ödeme bilgilerinin başkasının eline geçmemesi Bütünlük Alıcının isteği dışında işlem yapılmaması Kimlik doğrulama Satıcının gerçek ve güvenilir olması 3
SSL/TLS SSL/TLS, uygulama katmanının altında çalışır ve uygulamaya güvenli bir taşıma katmanı olarak görünür. Ama TCP gibi taşıma protokollerinde bir değişiklik yapmaz yani onların üstünde çalışır ve TCP özelliklerinden faydalanır. HTTP, SSL/TLS üzerinde çalışında HTTPS olur. 4
SSL/TLS TLS te iletişimin başlangıcında kripto bileşenleri seçilir. Bütünlük için hash türü Gizlilik için simetrik şifreleme türü Oturum anahtarı oluşturmak için yöntem Buna el sıkışma protokolü denir. 5
SSL/TLS Daha sonra kayıt protokolü (record protocol) taşımayı güvenli hale getirir. Uygulamadan gelen mesajlar Bloklara bölünür. HMAC ile bütünlük kazandırılmış hale getirilir. Simetrik anahtarlı algoritmayla şifrelenir. TCP ye gönderim için iletilir. 6
IPsec Birçok protokolü barındıran bir çerçeve (framework) IPv4 da isteğe bağlı, IPv6 te zorunlu. Modüler: Kullanıcı/admin farklı algoritma ve protokollerden istediğini seçebilir. Özellik seçimi yapılabilir. Bütünlük, kimlik doğrulama vs. Etki kapsamı seçimi yapılabilir. Tek bir uçtan uca akış veya iki yönlendirici arasındaki tüm paketler gibi. 7
IPsec IPSec te iki protokol vardır: Authentication Header (AH) ve Encapsulating Security Payload (ESP). AH pek kullanılmaz, ESP kullanılır. ESP de erişim denetimi, mesaj bütünlüğü, kimlik doğrulama ve gizlilik vardır. Altta Security Association (SA) denen tek yönlü bir bağlantı vardır. 8
IPsec Her SA iki moddan birinde çalışır. 1. Taşıma (transport) modu IP paketinin sadece payload kısmı şifrelenir/hashlenir. Başlık değişmez. ESP payloadu alıp üst protokole iletir. 2. Tünel (tunnel) modu IP paketinin bütünü şifrelenir/hashlenir ve başka bir IP paketi içine koyulur (encapsulation). VPN veya uzaktan kullanıcı erişimi gibi sistemlerde kullanılır. 9
Kablosuz Bağlantı Güvenliği Fiziksel güvenlik konrolleri geçerli olmadığından kablosuz bağlantılar saldırılara daha açıktır. 802.11 için ilk güvenlik tekniklerinden biri olan WEP, ciddi açıkları yüzünden kolayca kırılabilir. Onun yerine WPA ve WPA2 getirilmiştir. 10
Kablosuz Bağlantı Güvenliği: WPA2 Kablosuz cihaz ile erişim noktası (AP) arasında paroladan üretilen bir ana anahtar (master key) bulunur. Mode 1 AP, bir AS (auth. server) ile bağlantılı çalışır, cihaz ile AS arasındaki EAP (extensible auth. protocol) mesajlarını iletir. AS, Pairwise Master Key oluşturur ve AP ye bildirir. Mode 2 Bir de kişisel mod (Personal Mode) vardır. AS bulunmaz. Her cihaz auth. için paroladan türetilen aynı anahtarı kullanır. 11
Güvenlik Duvarı Firewall Bilgi güvenliğinde kriptografinin çözüm olmadığı birçok alan vardır. Sistemlerde kriptografi ile çözülemeyecek açıklar ve zayıf noktalar varsa, kötü amaçlı yazılımlar bunları kullanırlar. Ağları zararlı trafikten korumak için yaygın olarak kullanılan yöntemlerden biri güvenllik duvarlarıdır. 12
Güvenlik Duvarı Firewall Genellikle ağla İnternet i ayıran bir noktada durup gelen-giden trafiği filtreleyen bir sistem. Ağı az güvenilir ve daha fazla güvenilir iki alana ayırmış olur. İki firewall ile üçe de ayrılabilir: İç ağ, DMZ (demilitarized zone tampon bölge), İnternet. DMZ de DNS, e-posta sunucuları gibi dışarıdan erişilebilmesi gereken servisler tutulur. 13
Güvenlik Duvarı Firewall neye göre filtreler? IP, TCP, UDP gibi protokollere dair bilgiler (adres, port vs.) < Kaynak IP, Kaynak port, Varış IP, Varış port > Bazı kurallar engelleme, bazıları ise izin verme amaçlı olabilir. Bunları çelişmeyecek şekilde düzenlemek önemli ve zordur. Açıkça izinli olmayan bütün paketleri engellemek tutarlı bir yöntem olabilir. İhtiyaç duyuldukça yeni izinler eklenir. 14
Güvenlik Duvarı Firewall neye göre filtreler? HTTP gibi protokollerin bilgilerine (URL) göre de filtreleme olabilir. Çoğu sunucu, istemciye cevap verirken dinamik port numarası kullanır. İstemci tarafındaki firewall bunu önceden bilemez. Firewall stateful (durum tutan) şekilde çalışırsa, istemci isteklerinin kaydını tutar. Gelen cevap kayıtlı bir istekle alakalıysa izin verir. 15
Güvenlik Duvarı Firewall neye yarar? İstenen şekilde çalışırsa ağı İnternet ten gelecek istenmeyen erişimlerden korur. Fakat iletişimin güvenliğini sağlamaz. Tek tarafta uygulanabilir olması, birtakım güvenlik kontrollerini tek noktada toplayıp ağın içindeki cihaz ve kullanıcıları bazı endişelerden kurtarması avantajdır. 16
Güvenlik Duvarı Firewall: Zayıf noktalar Ağın içinde herhangi bir etkisi yoktur. İçeriye normal erişim sağlayan kötü niyetli kullanıcıyı bu noktadan sonra durduramaz. Firewall dan geçiş hakkı verilen her uzak sistem yeni bir güvenlik zaafı oluşturabilir. 17