bilgiz.org

İnternet Katmanı Güvenlik Protokolleri

  • Asıllama Başlığı
  • 2.5. ISAKMP
  • Referanslar



  • Tarih30.09.2017
    Büyüklüğü52.67 Kb.

    Indir 52.67 Kb.


    İnternet Katmanı Güvenlik Protokolleri


    Çiçek Çavdar

    Bilişim Enstitüsü Bilgisayar Bilimleri

    İçerik
    1. IP Güvenlik Protokolü

    (IP Security Protocol - IPSP)

    Asıllama Başlığı

    Encapsulating Security Payload (ESP)


    2. Internet Anahtar Yönetim Protokolü

    (Internet Key Management Protocol-IKMP)

    2.1. Modüler Anahtar Yönetim Protokolü (MKMP)

    (Modular key management protocol)


    2.2. SKIP Internet Protokolleri için Basit Anahtar Yönetimi

    (Simple Key Management for IP)

    2.3. Photuris Anahtar Yönetim Protokolü
    2.4. Güvenli Anahtar Değişim Protokolü (SKEME veya Photuris+)

    2.5. Internet Güvenlik Birliği ve Anahtar Yönetim Protokolü (ISAKP)

    2.6. OAKLEY Anahtar Belirleme Protokolü
    3. Sonuç


    İnternet Katmanı Güvenlik Protokolleri
    Ağ katmanında veya internet katmanında standart bir güvenlik protokolü fikri IETF Ipsec WG ‘den önce de gündeme gelmişti. Bunlar arasında aşağıdaki protokoller sayılabilir:


    • Güvenlik Protokolü 3 (SP 3) : ABD Ulusal Güvenlik Birliği (NSA) ve Ulusal Bilim ve Teknoloji Ajansı (NIST) tarafından üretilen bir ağ katmanı güvenlik protokolüdür. Bağlantısız çalışan SP3, Xerox gibi endüstriden pek çok tekel firmanın da arasında bulunduğu taraflarca halen kullanılmakta olan bir güvenlik sistemi olan Güvenli Veri Ağ Sistemi (SDNS)’nin bir parçası olarak tasarlanmıştır. Sistemin bütünü OSI mimarisine uygun biçimde tasarlandığından Ağ katmanı güvenlik protokolü de bir üst katmandan gelen paketleri güvenli biçimde işleyerek alt katmanlara gönderir. Projenin ilk sürümü 1989’da ABD hükümetine sunulmuştur. [1]

    • Ağ Katmanı Güvenlik Protokolü (Network Layer Security Protocol-NLSP): Uluslararası Standartlar Organizasyonu (ISO) tarafından bağlantısız ağ protokolü CNLP’yi güvenli kılmak için tasarlanmıştır. SP 3’ten yola çıkılarak tasarlanmış olup, 1995’te standart olarak yayınlanmıştır.

    • Tümleşik NLSP (Integrated-NLSP) : NIST tarafından IPv4 ve CNLP’ye güvenlik servisleri sağlamak amacıyla geliştirilmşitir. SP3 ile aynı mantığa dayanmaktadır, sadece küçük detaylarda ayrılır. Güvenli etiket işleme bu özelliklerinden biri olup uzun süre önce kullanımdan çıkmıştır.

    • swIPe : Bir başka deneysel internet katmanı güvenlik protokolüdür. İki yazılımcı tarafından UNIX sistemi için tasarlanmış olup internette açık versiyonu bulunmaktadır. [2]

    Burada sayılan güvenlik protokollerinin ayırdedilir bir farklılıkları bulunmamaktadır. Tamamında aşağıda sayılan ortak özellikler temelinde güvenlik sağlanır(Bakınız Şekil 1):



    • IP kapsülleme işlemi ile asıllama ve şifreleme işlemi paralel yürütülür.

    • Var olan IP kapsülleme aynen geçerlidir.

    • IP paket başlığı da kapsüllenmekte ve şifrelenmektedir.

    • Güvenlik protokolü ayrı bir başlık ekler.



    Şekil 1. Güvenli IP Paketi
    1994’te IPv6’in geliştirilmesiyle birlikte internet protokolü için güçlü bir güvenlik mekanizmasının da içine katılması gündeme geldi. Algoritmadan bağımsız, güvenlik kullanmayan taraflarla haberleşmede uyumsuzluk yaratmayacak bir protokol tasarlanması üzerinde bir çalışma başlatıldı. IETF tarafından IPsec çalışma grubu (IPsec WG) hem bir IP Güvenlik Protokolü (IP-Security Protocol-IPSP) hem de internet anahtar yönetim protokolü (Internet Key Management Protocol-IKMP) tasarımı amacıyla kuruldu. Bu iki mekanizmanın birlikte çalışması iki adımda özetlenebilir.

    • IKMP taraflar arasında bir Güvenlik Birliği (Security Association-SA) kurar ve Güvenlik Parametre İndekslerini (Secure Parameter Index-SPI) başlatır.

    • IPSP , IKMP tarafından belirlenen SA ve SPI’ ları kullanarak IP paketlerini şifreli gönderir, asıllama işlemini yerine getirir.

    B
    urada anahtar yönetimi (IKMP) ve güvenlik protokolleri (IPSP) iki ayrı bölümde tanıtılacak, şekil 2’de görüldüğü üzere var olan protokollerden bazı örnekler incelenecektir.
    Şekil 2. IP Güvenlik Mimarisi Standartları
    1. IP Güvenlik Protokolü

    (IP Security Protocol - IPSP)


    IPv6’nın Güvenlik Mimarisi asıllama ve şifreleme mekanizmasını birlikte içerir; bu iki mekanizma IPSP’yi oluşturur. Bunlardan kaynak asıllama ve veri bütünlüğünün sağlanması için Asıllama Başlığı (Authentication Header-AH); veri güvenliğinin sağlanması için ise Güvenli Veri Kapsülleme (Encapsulating Security Payload-ESP)

    Servisleri kullanılmaktadır.


    Bu iki mekanizmanın birlikte veya yalnızca birisinin mi kullanılacağı konusuna karar vermek üzere Güvenlik Birliği (Security Association-SA) devreye girer. Güvenlik Birliği, haberleşen taraflar arasında hangi güvenlik servislerini kullanacakları ve bu servisleri nasıl sağlayacakları hakkında varılan bir anlaşmadır. Güvenlik Birliği aşağıdaki başlıklarda tarafların ortaklaşmasını sağlar:


    • Asıllama algoritması, modu ve anahtarlar,

    • Şifreleme algoritması, modu ve anahtarlar,

    • Şifreleme algoritması senkronizasyonu için Başlangıç Vektörü (IV) uzunluğu,

    • Anahtarlar ve Güvenlik Birliğinin ömrü,

    • Güvenlik Birliğinin kaynak adresi, ( ağ ya da alt ağ adresi de olabilir)

    • Korunan verinin duyarlılık derecesi. (sunucular çok katmanlı güvenlik hizmeti veriyorsa)

    Bir IP paketi alındığında alıcı paketin Güvenlik Parametre İndeksi (Secure Parameter Index-SPI) üzerinden ilgili Güvenlik Birliğinin içeriğine ulaşır ve paketi nasıl çözmesi gerektiği konusunda bilgi edinir. Eğer alıcı IP paketini herhangi bir Güvenlik Birliği içeriği ile ilişkilendiremezse veya yanlış bir anlaşma üzerinden paketi açmaya çalışırsa paketi yanlış çözümler.
    Anahtarlama yaklaşımları granülariteye göre üçe ayrılabilir:


    1. Her konak (host) çiftine farklı anahtar:

    Bir konaktaki tüm kullanıcılar, diğer bir konakta sonlanan trafik üzerinde birbirleriyle aynı oturum anahtarını kullanırlar.

    1. Her kullanıcı çiftine farklı anahtar:

    Kullanıcı merkezli anahtarlama, bir konaktaki kullanıcıların, diğer bir konakta sonlanan trafik üzerindeki oturum anahtarları ayrıdır. Tek bir kullanıcının diğerlerinden farklı bir oturum anahtarı bulunur.

    1. Her oturuma farklı anahtar:

    Oturum merkezli anahtarlama, IP adresi, üst katman protokolü ve port numarası bilgileri üçlüsü için tekil bir anahtar atanmasıdır. Örneğin bir kullanıcı açtığı FTP oturumu ile açtığı Telnet oturumu için ayrı anahtarlar kullanır.

    Bir kullanıcının diğer kullanıcının veri trafiğine karşı yapabileceği saldırılara karşı 2 ve 3, 1’e göre daha dayanıklıdır.


    Güvenlik Birliği ve Güvenlik Protokol İndekslerinin kurulumunda tekli veya çoklu yayılım yapılması iki farklı durumu oluşturur:

    • Tekli yayılım-Paketlerin tek bir kullanıcıya gönderilmesi: (Unicast)

    Alıcı tarafında SPI yerel bir tabloya indekstir, tabloda GB içeriği tutulur

    • Çoklu Yayılım-Paketler birden fazla kullanıcıya gönderilir: (Multicast)

    SPI’nın tüm grup üyeleri arasında ortak olması gerekir. Her grup üyesi SPI + grup adresi ile güvenlik parametreleri arasında bağlantı kurar.
    Yayılım durumunda SA ve SPI yönetimi daha zordur. Bir grup alıcı arasında örneğin Diffie Hellman Anahtar paylaşım protokolünü kullanan protokollerde anahtar paylaşımı mümkün değildir çünkü Diffie Hellman anahtar paylaşımı yapısı gereği iki taraf arasında yapılır. Photuris, SKEME ve OAKLEY gibi protokoller bu nedenle yayılım durumunu desteklemezler.

    Asıllama Başlığı

    IP Güvenlik Protokolünde Asıllama Başlığı (Authentication Header-AH) IP paketleri için veri kaynağının asıllanması ve bağlantısız veri bütünlüğünün sağlanması amacıyla kullanılır. Kullanılan şifreleme algoritmasının türüne bağlı olarak kaynağın inkar edilememesini de sağlar. IP paketlerine asıllama verisi eklenir. Asıllama bir asıllama algoritması ve ilgili anahtarın kullanımıyla sağlanır.


    Gönderici IP paketini göndermeden önce asıllama başlığını hesaplar, alıcı ise Güvenlik Parametre Indeksi ile ilgili Güvenlik Birliği içeriğine bakarak hangi asıllama algoritmasının ve anahtarlama yönteminin kullandığını bulur ve göndericiyi asıllar.

    I
    P paket başlığının bazı bölmeleri yol boyunca değişikliğe uğrayabilir. Örneğin IPv6 başlığı sekme sayısı alanı değeri her sekmede bir azaltılır. Başlıkta değişikliğe uğrayan bu türden bilgiler asıllama başlığında asıllama verisini hesaplarken veya değerlendirirken sabit alınır veya dikkate alınmaz. Gönderici şifrelemeden önce IP paketinin geçici bir versiyonunu hazırlar. Bu versiyon yol boyunca meydana gelecek değişikliklerden etkilenmez.


    Şekil 3. Asıllama Başlığı Formatı
    Encapsulating Security Payload (ESP)
    IP paketinin payload verisi asıllama sırasında açıktır. Verinin gizliliği için şifrelenmesi gerekir. ESP bu amaçla geliştirilmiştir. ESP paketinin formatı şekil 4’te görüldüğü gibidir. ESP paketi korumak için IP kapsülleme işlemini kullanır. Gönderici IPSec modülü IP paketini kapsüllerken, alıcı IPsec modülü kapsülü açar. ESP formatı, RFC 2406 standardında belirtilmiştir. Şifrelemede standart algoritmalardan birisi seçilebilir.
    Ş
    ekil 4. ESP formatı
    IP Güvenlik Protokolünde şekil 5’te görüldüğü üzere iki kipte iletişim kipi bulunmaktadır.

    1. Ulaşım Kipi:

    Bir TCP bağlantısını güvenli hale getirmek için kullanılır. IP paketinin yükü (payload) olarak üst katman protokol verisi taşınır. Ek IP başlığı şifrelemede kullanılmadığından yer muhafaza edilir. Gönderilecek IP paketinde üst katman protokol verisi seçilir ve IP paketine yük olarak şifrelenir.



    1. Tünel Kipi:

    I
    P paketinde sadece üst katman protokol verisi değil tüm paket şifrelenir ve kapsüllenerek yeni bir IP paketi yaratılır. Tünel kipi iki yönlendirici arasındaki iletişimi güvenli hale getirmek amacıyla kullanılır. Kendileri başlatıcı değil aracıdırlar. İki yönlendirici arasında tünel kurulduğunda arka plandaki gönderici ve alıcının bilgilerine erişilemez. Alıcı GB bilgisini kullanıcı kimliği ve varış IP sinden elde eder. SPI ve IP başlığı açık olarak gönderilir.

    Şekil 5. Ulaşım ve Tünel Kipi Paket formatı



    2. Internet Anahtar Yönetim Protokolü

    (Internet Key Management Protocol-IKMP)


    Yukarıda da sözedildiği üzere haberleşen iki tara arasında bir Güvenlik Birliği kurulumu, sadece birlik üyeleri tarafından bilinen anahtarların paylaşımını gerektirir.

    IPSec WG pek çok anahtar yönetim protokolü üzerinde çalışmıştır.



    • Modüler Anahtar Yönetim Protokolü

    • Internet Protokolleri için Basit Anahtar Yönetimi (SKIP)

    • Photuris Anahtar Yönetim Protokolü

    • Güvenli Anahtar Değişim Protokolü (SKEME veya Photuris+)

    • Internet Güvenlik Birliği ve Anahtar Yönetim Protokolü (ISAKP)

    • OAKLEY Anahtar Belirleme Protokolü


    2.1. Modüler Anahtar Yönetim Protokolü (MKMP)

    (Modular key management protocol)
    İki modülden oluşur. Baş (master) anahtar modülünden yola çıkarak

    Oturum Anahtarı modülü elde edilir. Baş anahtar modülü, haberleşecek tarafların bir gizli anahtar üzerinde anlaşmalarını sağlar. Oturum anahtarı modülünde ise taraflar arasında şifreli iletişimde kullanılacak oturum anahtarı daha önce her iki tarafın da bildiği baş anahtarın da yardımıyla belirlenir. Baş anahtar ise üç şekilde belirlenebilir



    • Elle

    • Merkezi

    • Sertifika temelli

    Oturum anahtarı modülünün başında A ile B arasında karşılıklı asıllamayı sağlayan bir el sıkışma bağlantısı yapılır. Burada asıllama işlemi daha önceden belirlenmiş olan K baş anahtarı kullanarak yapılır. Aynı zamanda her iki taraf birbirine rastgele ürettiği sayıları gönderir.

    A B: Ra,(Ra,k)K

    BA : Rb,(Rb,Ra)K

    K baş anahtarın nasıl paylaşılacağı belirsizdir.

    k, önceden her iki tarafın da bildiği bir sayıdır. Örneğin bir önceki MKMP den kalma bir sayı olabilir.

    Her iki taraf da oturum anahtarı belirleyebilmek için K anahtarını kullanarak Ra ve Rb’ye bir f fonksiyonu uygularlar. K anahtarı gizli olduğundan bu fonksiyonun çıkış değerini yalnızca A ve B elde edebilir. Oturum anahtarı modülü sonucunda böylece gizli SK elde edilir.

    MKMP’nin olumsuz yanı K baş anahtarının dağıtımı sorununun çözümüne dair bir yöntem belirlememiş olmasıdır.
    2.2. SKIP

    (Simple Key Management for IP)
    Anahtar dağıtım ve yönetim düzenlerinin çoğunluğu oturum merkezlidir. Yani taralar arasında kurulan Güvenlik Birliği sınırlı bir zaman dilimi içinde geçerlidir. Bu durumla çelişir şekilde IP ve CLNP gibi ağ ve internet katmanı protokolleri bağlantısız protokollerdir. IP ile oturum merkezli bir anahtar dağıtım protokolünün birlikte çalışabilmesi için IP altında bir yapay oturum katmanı gereklidir. Bu katmanlı yapının mantığına ters düşeceğinden oturum merkezli olmayan bir anahtar yönetim protokolüne ihtiyaç vardır. SKIP bu ihtiyaca yanıt olarak geliştirilmiştir.
    Anahtarların kurulumu için bir ön haberleşme gerekmez. Oturum tabanlı değil paket tabanlı anahtarlar kullanılır. Diffie Hellman anahtar değişim protokolü ile bir ilkel anahtar yaratılır: Kab’. Baş anahtar Kab= h(Kab’, counter) öz alma fonksiyonu ile elde edilir. Baş anahtarın bir sayaçla sürekli yenilenmesi atılan paket anahtarlarının yeniden kullanımına karşı önlemdir. Gönderici A rastgele bir Kp paket anahtarı üretir. Yeni IP paketi bu anahtarın (Kp) Baş anahtar Kab ile şifrelenmesi ve eski IP paketinin de Kp ile şifrelenerek sonuçların birbirine eklenmesinden oluşur.

    Yeni IP paketi: (Kab(Kp), Kp(IP Paketi))


    Yeni IP başlığı da yeni pakete eklenir. Her pakette yeni Kp üretilebilir. SKIP tekli ve çoklu gönderimde yine aynı biçimde uygulanır. Çoklu gönderimdeki fark şekil 6’da görüldüğü gibi Kab yerine grup anahtarının kullanılmasıdır. Grup başı tayin edilir ve grubun baş anahtarı onunla haberleşme sırasında belirlenir. Bu sayede Baş anahtarla şifrelenen Pk her defasında değiştirilebilir.



    Şekil 6. SKIP –IP için güvenli anahtar yönetim protokolü



    SKIP+PFS
    SKIP Perfect Forward Secrecy özelliği ile genişletilmiştir. Bu özelliğe göre hiç bir anahtar bir önceki üretilen anahtarlara bağımlı olmamalıdır. Türetim için kullanılan anahtarlar kısa süre içinde silinerek yeni anahtarlara göre yeniden türetim yapılmalıdır. Diffie Hellman anahtar değişim protokolü iki çeşit anahtar çifti üretimi için kullanılır: Uzun ve kısa kullanımlı anahtarlar.
    SKIP mekanizması üç ana parçadan oluşur:
    1. Anahtar Yönetim Sunucusu:

    D-H uzun süreli gizli anah ve ondan türetilen baş anahtarı hesaplamaktan ve cepte tutmaktan sorumludur. Rastgele paket anahtarı yaratmak için SKIP çekirdeği ile birlikte çalışır.


    2. Veri Şifreleme Makinesi:

    Şifreleme için çeşitli algoritmaları içerir.




    1. Akış Modülü:

    TCP/IP protokol yığını ve ağ arayüzü arasına yerleştirilir. Eşin IP adresine bağlı olarak erişim kontrol listesi tutar. Paketler düz geçirilir veya veri şifreleme makinesine gönderilir. Kullanıcı düzeyinde yönetim birimleri tarafından listeler oluşturulabilir.

    2.3. Photuris
    SKIP ile aynı dönemlerde Qualcomm’dan Phil Karn tarafından geliştirilmiştir. NSA tarafından geliştirilen “firefly” adı verilen anahtar değişim protokolü ile benzerlik taşıdığı gibi Yunancada aynı anlama gelmektedir. “Firefly” STU-III güvenli telefon için tasarlanmıştır. Yine STS(station-to-station) adı verilen bir başka protokolle de benzerlikleri bulunmaktadır.

    Araya girme saldırısına karşı açık anahtarın asıllaması yapılır. Asal sayılar önceden tanımlanarak algoritma hızı artırılır. Şekil 7’de görüldüğü gibi üç temel mekanizmadan oluşur:



    1. Çerez değişim(Cookie exchange): Saldırganın IP adresini ortaya çıkarmak amacıyla ve tekrarlama saldırılarına karşı.

    2. Değer değişim (Value exchange): D-H anahtar değişimi.

    3. K
      imlik değişim(Identification Exchange): Karşılıklı kimlik tanıtımı, asıllama ve mesaj bütünlüğü kontrolü.

    Şekil 7. Photuris Anahtar Yönetim Protokolü Mesaj akışları


    2.4. SKEME
    Photuris, açık anahtar şifreleme ile Diffie Hellmann Anahtar Değişim protokolünü birlikte kullanmaktaydı. Buradaki temel eksiklik, protokolün tek bir işlem yolunu zorlamasıdır. İnernet camiasındaki tüm ihtiyaçların karşılanabilmesi için daha esnek bir protokol gereklidir. Olası tüm senaryoların ve değişik güvenlik modellerinin desteklenebildiği bir anahtar değişim protokolü amacıyla SKEME ortaya çıkmıştır. (IBM T.J.Watson Araştırma Merkezi) SKEME protokolünün bir başka adı Photurs +’dır. Mekanizmadaki en önemli farklılık anahtar değişimi bölümünde açık anahtar şifreleme ve Diffie Hellmann kombinasyonu ile sınırlı kalınmayıp değişik mekanizmalara izin verilmesidir. Güvenilir bir ortak tarafın belirlendiği Kerberos’taki anahtar değişim modeline benzer yapılar da uygulanabilir. PFS özelliğinin gerekmediği durumlarda daha verimlidir. Örneğin Diffie Hellmann mekanizması gizliliğin çok önemli olmadığı sadece asıllama özelliği aranan uygulamalarda kullanılmayabilir. Bu durumda hesaplama bedeli azaltılmış olur.
    SKEME’de en temel amaç hızlı ve verimli anahtar değişimini sağlamaktır. Bu da anahtarların yaşam ömrünü kısaltabileceğimiz anlamına gelir ki bu durumda sistemin güvenilirliği artar.
    Dört temel adımdan oluşur.
    IP Belirleme(Cookies), Anahtar paylaşımı (Share), Değişim(Exchange), Asıllama(Authentication)
    1. IP Belirleme (Cookies): Birinci adım Photuris ile aynıdır.

    2. Paylaşım(Share): İkinci adımda bir ortak anahtar belirlenir.
    AB: (Ka)kB

    BA: (Kb)kA


    Ka, A tarafından üretilen bir rastgele sayı, paylaşılacak ortak anahtarın yarısıdır. Kb ise B tarafından üretilen rastgele sayı olup, ortak anahtarın diğer yarısıdır. Her iki taraf da simetrik olarak karşı tarafın açık anahtarıyla şifreledikleri yarım anahtarları karşı tarafa gönderirler, gizli anahtarlarını kullanarak karşıdan gelen yarım anahtarı kullanarak kendi ürettikleri anahtarla birleştirirler ve anahtarın bütününü elde ederler. Birleştirme işlemi önceden üzerinde anlaşılan bir öz alma fonksiyonundan geçirilerek yapılır.
    Kab=h(Ka,Kb)
    Yukarıda göndericinin kimliği belirsizdir. Yani asıllama yapılmamıştır. Asıllama için her iki taraf da gönderdikleri mesajın içinde kimlik bilgilerini de ekleyerek şifrelerler. Bu tarafların anonliğini de sağlar.
    AB: (idA, Ka)kB

    BA: (idB, Kb)kA


    3. Değişim (Exchange): Photuris’teki Değişim (exchange) bölümüne karşılık gelir. Uygulamanın gerektirmediği durumda kullanılmaz.

    Asıllama bölümünde anahtar paylaşım (share) bölümünde üretilen ortak gizli anahtar kullanılarak tarafların birbirlerini asıllamarı sağlanır. Burada Kab ile şifreleyerek iki taraf da kimlik bilgisini karşıya gönderir. Photuris’teki asıllama ile benzer.


    Bu adımların farklı uygulamaları SKEME protokolünün değişik modlarını oluşturur.

    • Paylaşım yeterli mod(Share Only Mode)

    • Önceden paylaşımlı anahtar modu(Preshared Key Mode)

    • Hızlı anahtarlama modu (Fast Rekey Mode)

    2.5. ISAKMP:


    (Internet Security Association Key Management Protocol)
    INFOSEC Computer Science ‘ın NSA Ofisi tarafından geliştirilmiştir. Protokol, prensip olarak herhangi bir internet ya da ulaşım katmanı protokolü üzerine uygulanabilir. Diğerlerine göre çok daha esnektir. Hiç bir anahtar paylaşım tekniği önceden belirlenmez. İki taraf arasında bir Güvenlik Birliğinin kurulumuna yardımcı olacak tanımlamaları yapar. Kimliklerin anonimliği sağlanamaz çünkü burada kimlikler ortak gizli anahtar oluşturulmadan önce bildirilir.

    2.6. OAKLEY
    1996’da University of Arizona’da geliştirilmiştir. Photuris ve SKEME’ye benzer olarak burada da ortak gizli anahtarlarda PFS’yi sağlamak amacıyla Diffie Hellmann anahtar değişim protokolü kullanılır. Temel farkı şifreleme, öz alma ve asıllamada kullanılan algoritmaların daha esnek bir biçimde seçilebilir olmasıdır. Bir diğer fark ise çerez bölümündedir. Bu bölümde IP numarası belirlenirken oluşturulacak anahtara özgü bir anahtar numarası verilir.

    Photuris’teki üç bölüm burada da korunur.


    3. Sonuç
    IP Güvenlik Protokolünün pek çok kullanım alanı vardır. IPSP iki güvenlik duvarı arasında tünel yaratmak için kullanılabilir. Bir başka kullanım alanı hareketli konaklar ile sabit ağın güvenlik duvarı arasında tünel oluşturmaktır. IPSP ve IKMP VPN kurmaya olanak sağlar.


    Referanslar

    [1] http://www2.xerox.com/xsis/dms/xmsp.html


    [2] ftp://ftp.csua.berkeley.edu/pub/cypherpunks/swIPe/swipe.tar.Z
    [3] http://www.ietf.org/html.charters/ipsec-charter.html
    [4] http://www.ietf.org/html.charters/ipsp-charter.html
    [5] http://www.ifi.unizh.ch/~oppliger/Presentations/InternetIntranetSecurity2e/index.htm
    [6] http://skip.incog.com






        Ana sayfa


    İnternet Katmanı Güvenlik Protokolleri

    Indir 52.67 Kb.