|
|
| |
Kategoritė e Punimeve |
 |
|
|
|
|
|
|
Hyrje mbi IPSec
Rrjeta / Telekomunikim - 13/08/2004 -
Shkruar nga:
Genc B. KASTRATI - 
|
 Pėr shtypės |
Koment:, Me qëllim që të mbrohet komunikimi nëpër rrjeta të pasigurta si Interneti është krijuar IPSec. IPSec bënë sigurimin, autentifikimin, kriptimin dhe mbrojtjën e informatave që rrjedhin nëpër rrjeta të pasigurta.
| Hyrje mbi IPSec
IPSec apo IP Security është zhvilluar nga Internet Engineering task Force (IETF). Ėshtë zbuluar që IP Protokoli ishte i prekshëm ndaj sulmeve si modifikimi, nuhatja dhe spoof-imi i paketave. Kjo nënkupton që nuk ishte e mundur krijimi i lidhjeve të sigurta mes makinave nëpër rrjeta të pasigurta. Si pasojë IPSec është krijuar. IPSec ofron sigurim për shënime që kalojnë nëpër rrjeta të pasigurta siq është Interneti. IPSec vepron në shtresën(nivelin) Network duke autentifikuar dhe kriptuar paketat mes router-ëve apo makinave të konfiguruara me IPSec. Pasi që IPSec vepron në shtresën Network ajo siguron edhe programet e aplikacionet.
Sigurimi i kanalit komunikues varet nga:
Mundësia për të ditur a bëhët komunikimi me personin e saktë dhe me kend (autentifikimi)
Mundësia që askush të dëgjon trafikun dhe mbledh atë (besueshmëria)
Sigurimi që informata që e pranojmë nuk është ndryshuar (integriteti)
Shërbimet e IPSec
IPSec ofron këto shërbime:
Besueshmëria Dërguesi i kripton paketat para se të dërgohen nëpër rrjeta të pasigurta.
Integriteti Pranuesi mund të kontrollon paketat për ndryshime që mund të kenë ndodhur gjatë transmetimit
Autentifikimi Pranuesi mund të autentifikon burimin e paketave. Ky shërbim varet nga integriteti i paketave.
Kundër-Ri-Dërgimi IPSec mund të detekton paketat e ridërguar.
Qëllimi
Qëllimi i IPSec është mbrojtja e trafikut mes rrjetave, makinave apo klientëve. IPSec lejon krijimin e tunelëve dhe Virtual Private Networks (VPN). Përdorimi i Internet Key Exchange (IKE) në IPSec lejon krijimin e sigurtë dhe të lehtë të kanaleve të komunikimit.
Standardet
IPSec është i ndërtuar nga standardet e hapura, që do të thot është i përkrahur nga të gjitha platformat e prodhuesit. IPSec standardet janë të ndara në dy grupe, standardet për sigurim që përdoren për besueshmërinë e shënimeve, integritet, autentifikim dhe IKE që përdoret për caktimin e protokoleve, algoritmave dhe çelësve për krijimin e mbrojtjës.
IPSec përmban këto teknologji si komponente:
DES Data Encryption Standard, për kriptimin e paketëve.
MD5 Message Digest 5 algoritëm hash për autentifikimin e shënimeve
SHA Secure Hash Algorithm përdorur për autentifikimin e shënimeve.
IPSec përbëhët nga këto protokole:
AH Authentication Header, që përdoret për autentifikimin e shënimeve dhe kundër-ri-dërgimit
ESP Encapsulating Security Payload, përdorur për autentifikimin e shënimeve, kundër-ri-dërgimit dhe kriptimin e shënimeve
ISAKMP - Internet Security Association and Key Management Protocol, që përdoret për krijimin e asociacioneve të sigurimit dhe drejtimin e çelësve kriptues.
IKE - Internet Key Exchange, përdorur për shkëmbimin e çelësve.
Mënyrat e punës së IPSec
IPSec punon në dy mënyra:
Tunel
Transport
Mënyra Tunel mbyll dhe mbron një paket të tërë IP. Kjo nënkupton që i tërë paketi fiton një IP header, pra i shtohet para se të transmetohet. Paketat në mënyrën Tunel kanë dy IP headera (koka), të brendshëm dhe të jashtëm. Headeri i brendshëm është i paketit origjinal (ai i cili është mbrojtur) i krijuar nga makina, ndërsa header i jashtëm është i krijuar nga IPSec, gjë që mund të jetë zbatuar tek router-i apo në vet makinën dërguese. Mënyra Tunel krijon IP paketa më të mdhenjë sepse shtohet 20 bajta. Me këtë mënyrë është e mundur edhe foleja (Ang: nesting) e Tuneleve njëri brenda tjetrit. Pasojat e folesë janë ngarkimi i makinës dhe vështirësia e mbajtjës së lidhjeve të tilla. Figura 01 tregon formatin e IP paketit në mënyrën Tunel të IPSec:
F01: Formati i header-ave në mënyrën Tunel
Mënyra transport shton disa IPSec header-a paketit. Kjo mënyrë mund të zbatohet me AH apo ESP. Në mënyrën transport kriptohen vetëm shënimet, ndërsa header-at tjerë të IP nuk kriptohen. Paketi kalon në Transport shtresën ku AH ose ESP e konfigurojnë dhe e bartin në shtresën Internet. Në rast që zbatohen AH dhe ESP së bashku është e rëndësishme që ESP të zbatohet para AH. Kjo lejon logaritjen e integritetit mbi pjesën më të madhe të paketit mbasi që ESP mbron vetëm IPSec header-at. Formati transport në F02:
F02: Formati i header-ave në mënyrën Transport
Header-at e shtuar vendosen para IP header-it. Këta header-at të shtuar përmbajnë informatat se si të sigurohen shënimet e paketit.
AH dhe ESP mund të përdoren në të dy mënyrat, Tunel apo Transport.
AH përdoret për sigurimin e integritetit dhe autentifikimit të shënimeve, së bashku me IP header-at. AH nuk ofron besueshmërinë e shënimeve.
ESP nga ana tjetër ofron besueshmërinë, integritetin dhe autenfikimin por nuk i mbulon gjitha header-at e IP paketëve.
Ekziston mundësia që ESP të përdoret për sigurimin e tërë IP paketit por kjo mund të bëhët vetëm me anë të Tunel mënyrës.
Asociacionet e Sigurimit (AS) - Security Associations (SA)
AS janë marëveshje mes dy makinave. Me AS caktohet cilat protokole, çelësa do të përdoren nga IPSec dhe çfarë kohëzgjatje do të kenë. AS është lidhje logjike mes dy makinave dhe përbëhët nga Indeksi, IP adresa e destinacionit dhe protokoli i sigurimit. AS Indeksi është fushë 32-bitëshe që përdoret për identifikimin e AS, IP adresa është adresa e destinacionit ndërsa protokoli i sigurimit mund të jetë AH ose ESP.
Nëse dy makina komunikojnë përmes ESP apo AH atëherë duhet të ekzistojnë dy AS për secilën makinë. Njëra për trafikun (komunikimin) në drejtim jashtë dhe tjetra për drejtim brenda.
Internet Key Exchange (IKE)
Siç u përmend më lartë, IKE është protokol për krijimin dhe shkëmbimin e çelësave përmes Internetit. Funksioni i IKE është autentifikimi i VPN pikëlidhjeve, vendosja se çfarë kriptimi apo autentifikimi do të përdoret dhe krijimi i çelësve kriptues.
IPSec mund të konfigurohet pa IKE por kjo krijon punë të tepërt dhe mund ta bën rrjetin e pasigurtë pasi që përhapja e çelësve bëhet me dorë. IKE është protokol i përzier me Oakley, protokol për shkëmbimin e çelësve nga Hillarie Orman prej Arizona University, dhe Skeme, Secure Key Exchange Mechanism for Internet.
IKE bën marëveshjen mbi AS për IPSec duke ofru këto përparësi:
Ska nevojë për specifikimin me dorë të parametrave të sigurimit
Lejon caktimin e jetëzgjatjës për AS
Lejon ndyshimin e çelësve kriptues gjatë sesioneve
Lejon shërbimet kundër-ri-dërgimit në IPSec
Lejon autentifikimin dinamik të makinave
Për të përdorur IKE njeri duhet krijuar rregullat IKE për çdo
makinë. Këto rregulla caktojnë një bashkësi të parametrave të
sigurimit që përdoren në çdo makinë. Para marëveshjës, rregullat e
IKE duhet të jenë të njejta në çdo makinë.
Pesë parametra caktohen në rregulla:
Algoritmi i kriptimit
Hash algoritmi
Metoda e autentifikimit
Diffle-Hellman group identifikuesi
Jetëzgjatja e Asociacioneve të Sigurimit (AS)
Algoritmi i kriptimit në moment mund të jetë i caktuar vetëm në opcionin 56-bit DES-CBC. Hash algoritmi ka dy opcione, SHA-1 dhe MD5. Metodat e autentifikimit kanë dy opcione, RSA nënshkrimet, RSA kriptimi përmes të cilës makina e tretë nuk do të detekton aktivitetin e marëveshjes. Diffle-Hellman identifikuesi ka dy opcione, 768-bit dhe 1024-bit Diffle-Hellman (1024-bit është më vështirë të thehet por krijon ngarkesë në makinë). Jetëzgjatja e AS mund të caktohet manualisht.
IPSec me IPv4 dhe IPv6
IPSec mund të zbatohet në IPv4 dhe IPv6 por me disa ndyshime. Ipv4 përdorë opcionin header, që nënkupton që IP paketat do të kenë 20 bajta të tepërt. IPv6 paketat janë të të njejtës madhësi, çfarë do opcione që shtohen mund të vendosen në header zgjerues (extension) që është i pozicionuar pas IPv6 header-ave. Në këtë vend vendosen IPSec opcionet. IPv6 gjithashtu ka metodat natyrale për sigurimin e paketave që janë të ngjajshme me IPSec.
Zbatimi i IPSec
IPSec mund të zbatohet në makina, routera apo të dyjat.
Zbatimi tek makina shton një shtresë në mes të Network dhe Data Link shtresave, dhe kjo njihet si Bump In The Stack (BITS) apo Gunga Në Stivë ;). Në rast të zbatimit në makinë IPSec zakonisht është i pranishëm në Sistemin Operativ. Kjo lejon lidhjen e sigurtë prej pikës dërguese deri te pika pranuese me të gjitha mënyrat e IPSec.
Zbatimi me router lejon lidhje të sigurtë në mes dy rrjetave apo pjesëve të rrjetit. Kjo gjithashtu lejon autentifikimin dhe autorizimin e shfrytëzuesve që hyjnë në rrjetë.
Ekziston edhe zbatimi në tel, apo Bump In The Wire (BITW) ose Gunga Në Tel që është zbatim harduerik që përbëhët nga procesori kriptografik. Procesori kriptografik është një pajisje që identifikohet me IP adresë. Nëse kjo pajisje vendoset pas makinës, zbatimi i IPSec është BITW. Nëse pajisja është e vendosur para makinës ather e luan rolin e gateway apo firewall dhe IPSec në këtë rast punon në mënyrën Tunel.
IPSec nën Windows 2000 Hyrje e Shkurtër
IPSec është i përkrahur nga Windows 2000. Ėshtë e mundur krijimi i Tunelëve mes pikave me IP statike. IPSec në Windows 2000 është parashikuar për sigurimin e lidhjeve gateway/router dhe server.
Për të krijuar IPSec rregullat në Windows 2000 duhet hapur MMC konsolën. Pastaj duhet lidhur IPSecurity Policy Management snap-in. s
Windwos 2000 MMC snap-in për IPSec
IPSec nën Linux Hyrje e Shkurtër dhe Përgjithëshme
IPSec është i përkrahur nga Linux. Nëse IPSec nuk është e kompiluar në Kernel ather duhet bërë këtë para se të përdoret. Kjo bëhët duke shkarkuar IPSec dhe ri-kompiluar Kernelin. Pasi që bëhët kjo duhet bërë disa ndyshime në skedën /etc/sysconfig/network. Vlera e FORWARD_IPV4 duhet ndërruar në true. Pas kësaj duhet konfiguruar IPSec duke edituar skedën konfiguruese, ipsec.conf. Shembul i skedës së konfiguruar mund të shihet poshtë:
conn my-tunnel
type=tunnel
left=1.2.3.4
leftnexthop=1.2.3.1
leftsubnet=10.0.0.0/24
right=5.6.7.8
rightnexthop=5.6.7.1
rightsubnet=192.168.0.0/24
spibase=0x200
esp=3des-md5-96
espenckey=some_auth_key_here (ranbits 192)
espauthkey=some_other_key_here (ranbits 128)
|
Siq shihet në opcionet është e mundur caktimi i IP për paketat që vijnë nga jashtë dhe ato që vijnë nga brenda, si dhe konfigurimi i protokolit ESP dhe çelësave të ESP
Mbyllje
Zbatimi i kriptimit të fuqishëm dhe protokoleve është zgjidhje e mirë e sigurimit. IPSec është i pavarur nga Sistemi Operativ që e bën teknologji ideale dhe e besueshme për lidhjet VPN. IPSec është mënyra më e mirë deri sot për sigurimin e rrjetave dhe komunikimit pa tela.
Burimet e Përdorura:
Cisco. Configuring IPSec Network Security. 2003. November 17 2003.
http://www.cisco.com/univercd/cc/td/doc/produc...
Cisco. An Introduction to IPSec Network Security. 2003. November 17 2003.
http://www.cisco.com/warp/public/105/IPSECpart1.html
SecRef. Linux Administrators Security Guide. 2003. November 17 2003.
http://secinf.net/unix_security/Linux_Adm...
Handelshögskolan vid Göteborgs universitet. IPSec, the future of Network Security. 2003. November 17 2003.
http://www.handels.gu.se/epc/archive/00002483/ 01/dahlgrenjonsson.pdf
| |
|
Ky material ėshtė i lėshuar nėn licensėn
Creative Commons (Attribution-ShareAlike) qė do tė thotė qė materiali mund tė kopjohet, shpėrndahet, ekspozohet, pėrdoret pėr punime rrjedhėse dhe nevoja komerciale pėrderisa: Ceket autori; Nė rast ndryshimi, lėshohet nėn po tė njejtat kushte. Autori/ja i/e kėtij materiali pajtohet automatikisht qė materiali tė lėshohet nėn kėtė licensė. Kushtet mund tė largohen vetėm me lejėn e autorit/es.
|
|
|
|
|
|
Copyright Pr-Tech® 2004 - 2010