Anahtar değişim protokolü

Anahtar değişim protokolü ya da Internet Key Exchange (IKE ya daIKEv2) internet üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan protokoldür.

Bu protokolde her iki kullanıcı bir bilgi değişimi yapılmadan önce gizli bir anahtar üzerinde anlaşabilirler. Bu protokol genel olarak VPN için kullanılır. Bu anahtar değişim protokolünü her iki tarafta kimliğini doğrulama ve aralarında bir iletişim oturumu şifreleme için kullanabilirler. Karşılıklı doğrulama için anahtar alt yapısı kullanılır.

IP (internet protokol) üzerinde çalışan ve bir güvenlik protokolü olan IPSEC'in (internet protokol security) bir parçası olarak geliştirilmiştir. Asıl amacı internet ağı üzerinde güvenli şifreleme için kullanılan anahtarları değiştirmektir. Bu değişim için Diffie-Hellman anahtar değişimi algoritması yaygın olarak kullanılır. Bu algoritma 500. porttan iletişim sağlayan UDP paketleri aracılığıyla her iki kullanıcının anahtarlarının değişimlerini sağlar. Buna örnek olarak AES şifrelemesi gösterilebilir. Bu şifreleme ile iki kullanıcı arasında sadece 2-3 adımda güvenli bir iletişim kanalı oluşturulabilir.

IKE'de bulunan bazı eksiklikler nedeniyle IKEv2 adında ikinci bir IKE sürümü çıkarılmıştır. IKEv2, Windows 7.0, Windows Server 2008 tarafından tam destekle karşılanmakla birlikte BSD tarafından da destek görmüştür. Hatta burada açık kaynak kodlu bir geliştirme ortamı oluşturulmuştur.

Bilişimde, İnternet Anahtar Değişimi (IKEv2 vs IKE), IPsec protokolü paketinde bir güvenlik ilişkisi (SA) kurmak için kullanılan bir protokoldür. IKE Oakley protokolu ile ISAKMP üzerine inşa edilmiştir. IKE kimlik doğrulaması için X.509 sertifikasını kullanır. Türetilmiş gizli oturum anahtarını DNS(tercihen DNSSEC) ve Diffie-Hellman anahtar değişimini kullanarak yapar. Buna ek olarak, bağlanacak her eş için bir güvenlik ilkesi manuel olarak muhafaza edilmelidir.

Tarihçe

Internet Engineering Task Force (IETF) RFC 2407, RFC 2408 ve RFC 2409 olarak bilinen bir yayınlar dizisinde (Request for Comments)  Kasım 1998 yılında IKE’ yi tanımladı:

IKE, RFC4306 tarafından sürüm 2’ ye (IKEv2) Kasım 2005’ te güncellenmiştir. Bazı açık ayrıntılar RFC4718 tarafından Ekim 2006’ da netleştirilmiştir. Bu iki doküman artı ilave açıklamalar Eylül 2010’ da yayımlanan güncellenmiş IKEv2 RFC5996 içine kombine edilmiştir. Bir sonraki güncelleme, Proposed Standart to Önerilen standarttan Internet standardına olan dokümanı yükseltmiştir ve RFC7296 olarak Ekim 2014’ te yayımlanmıştır.

IETF’ nin ana organizasynu, the Internet Society (ISOC) serbestçe Internet toplumunca kullanılabilen bu standartların telif hakkını korumuştur.

Mimari

En IPsec uygulamaları, kullanıcı alanında koşan  bir  IKE daemondan ve asıl IP paketleri işleyen kerneldeki bir IPsec yığınından oluşur.

Kullanıcı alanı daemonları, gerektiği gibi IPsec uç nokta adresleri, anahtarları ve sertifikaları gibi konfigürasyon bilgisi içeren yığın depolamaya kolay erişime sahiptir. Kernel modülleri, diğer taraftan, paketleri verimli ve minimum yük ile işleyebilir. Bu performans sebepleri için önemlidir.

IKE protokolü genellikle port 500 UDP paketleri kullanır ve genellikle her iki tarafta bir SA oluşturmak için 2-3 kez çevrede dönen 4-6 paketlere ihtiyaç duyar. Anlaşmalı anahtar malzeme daha sonra IPsec yığınına verilir. Örneğin bu, korunan IP uç noktaları ve portları belirleyen bilgi olan bir AES anahtarı olabilir.

IPsec yığını da, eğer gerekirse ilgili IP paketlerini durdurur ve gerektiği gibi bir şifreleme / şifre çözme uygular. Uygulamalar,  paketlerin nasıl durdurulduğuna göre çeşitlenir örneğin, bazıları sanal aygıtlar kullanır, diğerleri güvenlik duvarının dışından bir parça alır gibi.

IKEv1 2 faz içerir: faz 1 ve faz 2.

IKEv1

IKE faz 1’in amacı; iletişimi şifrelemek için paylaşılan gizli anahtarı oluşturmak için Diffie-Hellman anahtar değişimi algoritması kullanarak daha güvenli bir doğrulanmış bir IKE iletişim kanalı kurmaktır. Bu müzakere  tek çift yönlü ISAKMP Güvenlik Ortaklığında (SA) sonuçlandırılmıştır. Kimlik doğrulama işlemi  ya önceden paylaşılmış imzalar, ya da ortak anahtar şifreleme kullanılarak yapılabilir. Faz 1 Ana Mod ve Agresif Mod’dan oluşur Ana Mod çiftlerin kimliklerini korur; Agresif Mod korumaz. Faz 2 boyunca; IKE çifleri, güvenlik ortaklığını IPSEC gibi diğer hizmetler adına müzakere etmek için faz 1 de kurulmuş güvenli kanalı kullanır. Müzakere en az iki tane tek yönlü güvenlik ortaklığıyla (bir gelen ve bir giden) sonuçlanır. Faz 2 yalnızca Hızlı modunda çalışır. 

IKEv1 Sorunları

IKE çok sayıda yapılandırma seçenekleri vardı ama tanınmış bir varsayılan durumda(evrensel uygulanan) otomatik müzakere için genel bir olanak yoktu. Sonuç olarak, IKE’deki her iki taraf tam güvenlik ortaklığı  türü üzerinde anlaşmaya vardı Onlar kurulamadı bir bağlantı oluşturmak istedi kurulamayan bir bağlantı yaratmak istediler. Eğer hata ayıklama rutii varsa, hata ayıklama çıkışını yorumlamak zor olduğu gerçeği ortaya çıktı.

Şifreleme parametresi:

Alice’in destekleyebildiği tüm algoritma kombinasyonları sunuluyor.(Çok fazla kombinasyon olabilir.)

Kimlik doğrulama:

Protokol mesajlarındaki belirli alanlar son turlarda imzalanmış şifrelenmiş / özetlenmiş.(Neden tamamı değil.)

Dahil değildir: Bob'un kabul ettiği parametreler(sorunlu)

Cookies :

Cookie koruması: Photuris Cookie’ye benzer

Karmaşıklık:

8 farklı protokol tanımlanır. (2 mod, her birinde kimlik doğrulama 4 tip)

Gereksiz yere esnek ve karmaşık.

IKEv2

IKE’ nin bakımının ihtiyacı ve niyeti RFC4306’ nın Ek-A’ sında betimlenmiştir. Aşağıdaki sorunlar ele alınmıştır:

Genel olarak; IKEv1 basitleştirildi, hatalar düzeltildi, belirsizlikler düzeltildi, IKEv1’e bağlı kalındı.

Kimlik doğrulama modları:

- Genel anahtar imzalar

- Önceden paylaşılan anahtarlar (PSK)

IKE SA + IPsec aynı protokelde kurulmuştur, 4 mesajda. (~ Phase 1)

Eklenebilen çocuk  SA'lar, gerektiğinde sadece (~ Faz 2)

DoS koruması için isteğe bağlı via cookies.

Kripto müzakerleri basitleştirilmiştir.

Protokol Uzantıları

IETF ipsecme çalışma grubu IKEv2 protokolü modernizasyonu ve yüksek hacimli üretim ortamlarında daha iyi adapte amacıyla, uzantıları bir dizi standart hale getirmiştir.

Uygulamalar

IKE,  Windows 2000, Windows XP, Windows Server 2003, Windows Vista, ve Windows Server 2008’ teki Ipsec uygulamasının kısmı olarak desteklenir. ISAKMP/IKE uygulaması Cisco ve Microsoft tarafından geliştirilmiştir.

Microsoft Windows 7 ve Windows Server 2008 R2, MOBIKE (RFC 4555) gibi IKEv2’ (RFC 4306) yi de  VPN Tekrarbağlan özelliği sırasında kısmen destekler. (asAgile VPN olarak da bilir.)

ilişkili IKE yetenekleri ile IPsec’ in  birçok açık kaynak uygulamaları vardır. Linux üzerinde, Openswan ve strongswan uygulamaları pluto olarka çağrılan bir IKE daemonu sağlar. Pluto, KLIPS veya NETKEY kernel tabanlı IPsec yığınlarına konfigüre olabilir. NETKEY, Linux2.6 kernelinin ana Ipsec uygulamasıdır.

Berkeley Yazılım Dağıtımları da bir IPsec uygulaması ve IKE daemonuna ve en önemlisi kriptografik hızlandırıcıları desteklemeyi daha kolay yapan bir kriptografik çerçeveye (OpenBSD Cryptographic Framework, OCF) sahiptir. OCF  yakın zamanda Linux’ a taşınmıştır.

Ağ ekipman satıcılarının önemli bir kısmı kendi IKE daemonlarını (ve IPsec uygulamalarının), ya da birbirlerinden bir yığın lisans oluşturdu.

ICSA Labs, dünyanın dört bir yanından gelen 13 satıcıları ile 2007 yılının Mart ayında Orlando, FL’ de en son IKEv2 Interoperability Workshop’ unu düzenledi.

Bakınız

Referanslar

https://technet.microsoft.com/en-us/library/cc784994(WS.10).aspx

https://tools.ietf.org/html/rfc2409

http://www.ietf.org/rfc/rfc4306.txt

Dış Bağlantılar

This article is issued from Vikipedi - version of the 9/1/2016. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.