|
IPSEC (Internet Protocol Security) standardı IP protokolünün ihtiyaç duyduğu aşağıdaki güvenlik ihtiyaçlarını karşılamak için geliştirilmiştir.
| • | IP adresini taklit etmek kolay (Kimlik doğrulama sorunu) |
| • | Veri paketlerini değiştirmek kolay (Bütünlük, tekrarlama güvenliği ile beraber) |
| • | Veri trafiğini izlemek kolay (Gizlilik ihlali) |
IPSEC, IP V4 ve V6'ya uygulanabilir. IPSEC iki türde gerçeklenir: IP AH, IP ESP modları.
IP Doğrulama Başlığı (Authentication Header - AH)
| • | Taklit Edilen IP Adreslerini anlama – Kimlik Doğrulama |
| • | Değiştirilmiş veriyi anlama – Bütünlük |
| • | Tüm paketin bütünlüğü ve kimlik doğrulaması yapılır. |
IP Zarflama (Encapsulating Security Payload – ESP)
| • | İzlemeyi önlemek için paket şifreleme |
| • | Paketteki verinin bütünlüğü ve kimlik doğrulaması yapılır. |
IPSEC'de tüm kimlik doğrulama ve şifreleme işlemleri simetrik anahtarla yapılır. Bu anahtarların dağıtım için aşağıdaki yöntemlerden biri kullanılabilir:
| • | Simple Key Management for Internet Protocols (SKIP) |
| • | Internet Key Exchange (IKE), ISAKMP/Oakley (Uygulama seviyesinde çalışan bir protokol) |
Anahtar Dağıtımı
Elle (Manuel): Tüm bilgisayar ya da cihazlara simetrik anahtar elle dağıtılır.
Otomatik: Bu yöntem iki türlüdür ve Internet Key Exchange (IKE), ISAKMP/Oakley protokolü çalışmaktadır.
| • | Pre Shared Key kullanarak: Tüm bilgisayar ya da cihazlar önceden dağıtılan pre shared key ve Diffie Helman algoritmasıyla bir simetrik anahtar üzerinde anlaşırlar. |
| • | Sertifika kullanarak: Tüm bilgisayar ya da cihazlara sertifika dağıtılır. Otomatik sertifika verme protokolü olarak yaygın olarak SCEP (Simple Certificate Enrollment Protocol) kullanılmaktadır. Sertifikaların içinde DNS adı veya IP adresi bulunmalıdır. Makineler protokole başlarken imzalı veri ve imzalama sertifikasını birlikte göndererek kimlik doğrulaması yaparlar. Dizinde yayınlanan SİL’den de sertifikanın iptal edilip edilmediği bilgisi alınır |
|