IPsec (Internet Protocol Security), ağ trafiğini güvenli hale getirmek için kullanılan bir protokoller setidir. IPsec, veri paketlerini şifrelemek, kimlik doğrulamak ve bütünlüğünü korumak amacıyla kullanılır. IPsec, iki aşamadan oluşan bir süreçle çalışır: Faz 1 (Phase 1) ve Faz 2 (Phase 2).
Faz 1 (Phase 1)
Amaç: Faz 1, iki IPsec eşlenmesi (peer) arasında güvenli bir iletişim kanalı oluşturmak için kullanılır. Bu aşamada, eşler arasında kimlik doğrulama yapılır ve güvenli bir iletişim için gerekli olan kriptografik materyaller oluşturulur.
İşlem Adımları:
- IKE SA (Internet Key Exchange Security Association): Faz 1, IKE protokolü (Internet Key Exchange) tarafından yürütülür ve iki aşamada gerçekleştirilebilir:
- Ana Değişim Modu (Main Mode): Güvenlik parametrelerini belirlemek için kullanılan bir metottur. Üç mesaj çiftinden oluşur:
- Kriptografik algoritmalar ve kimlik doğrulama metotları seçimi.
- DH (Diffie-Hellman) değişimi ve kimlik doğrulama.
- DH anahtarını kullanarak ortak bir anahtarın oluşturulması.
- Agresif Mod (Aggressive Mode): Daha hızlı ancak daha az güvenli bir yöntemdir. Üç mesajla tüm işlemleri gerçekleştirir ve genellikle daha az güvenlik gerektiren senaryolarda kullanılır.
- Ana Değişim Modu (Main Mode): Güvenlik parametrelerini belirlemek için kullanılan bir metottur. Üç mesaj çiftinden oluşur:
- Kimlik Doğrulama: Eşler, birbirlerinin kimliklerini doğrulamak için paylaşılan anahtarlar, dijital sertifikalar veya kamu anahtarları gibi yöntemleri kullanır.
- Güvenlik Derneklerinin Oluşturulması (Security Associations – SA): IKE SA’lar oluşturulur. Bu SA’lar, iki taraf arasında hangi güvenlik parametrelerinin kullanılacağını belirler ve Faz 2 için güvenli bir kanal sağlar.
Faz 2 (Phase 2)
Amaç: Faz 2, Faz 1’de kurulan güvenli kanal üzerinden veri trafiği için kullanılacak güvenlik parametrelerini belirler. Bu aşamada, veri paketleri için şifreleme ve kimlik doğrulama yapılır.
İşlem Adımları:
- IPsec SA (IPsec Security Association): Faz 2’de, iki eş arasında veri trafiği için kullanılacak spesifik güvenlik parametreleri belirlenir. Bu SA’lar, şifreleme algoritmaları, kimlik doğrulama yöntemleri ve yaşam süresi (lifetime) gibi bilgileri içerir.
- Quick Mode: Bu modda, veri trafiği için gerekli olan yeni güvenlik parametreleri müzakere edilir. DH anahtar değişimi yapılabilir veya Faz 1’de oluşturulan anahtarlar kullanılabilir.
- Şifreleme ve Kimlik Doğrulama: Veri trafiği, belirlenen şifreleme ve kimlik doğrulama algoritmaları kullanılarak şifrelenir ve doğrulanır. Bu, veri paketlerinin gizliliğini, bütünlüğünü ve kimlik doğrulamasını sağlar.
- Faz 1: İki eş arasında güvenli bir iletişim kanalı oluşturur. Kimlik doğrulama yapar ve IKE SA’ları oluşturur.
- Faz 2: Faz 1’de oluşturulan güvenli kanal üzerinden veri trafiği için kullanılacak güvenlik parametrelerini belirler. Veri paketlerinin şifrelenmesi ve kimlik doğrulaması sağlanır.
Her iki fazın da amacı, güvenli ve gizli bir şekilde veri trafiğini iletmek ve ağ güvenliğini sağlamaktır. IPsec, hem site-to-site VPN bağlantıları hem de uzak erişim VPN’leri için yaygın olarak kullanılır.
351 görüntülenme
İletişime geç
Yorumlar (0)
-
Henüz yorum yok.