Giriş


Kitlesel iletişim araçlarının önemini daha çok arttırdığı günümüz dünyasında bilgiye hızlı bir şekilde ulaşmak gelişmiş toplumların temel ihtiyaçlarından birisi olmuştur. Bu ihtiyaç sayesinde bu toplumlarda 1980'li yıllardan itibaren bilgisayar ağları konusunda önemli gelişmeler sağlanmıştır. Internet te, bu çalışmalar neticesinde ortaya çıkan ve yaygın olarak kullanılan bir bilgisayar ağıdır.

Bütün bilgileri hızlı bir şekilde elde etmek için ilk önce kuruluşlar kendi yerel ağlarını kurmuş ve daha geniş bir etkinlik alanına sahip olabilmek için yerel ağlarını dünyaya entegre etmek ihtiyacını hissetmişlerdir. NetWork teknolojisi de bununla birlikte gelişmiş ve değişik protokollerin ortaya çıkması kaçınılmaz olmuştur.

Internet sınırsız bir bilgi ortamı olmasına rağmen yasalarla tam anlamıyla denetlenememektedir. Kusursuz olmayan NetWork ağlarında güvenlik açıkları bulunmaktadır. Bazı kullanıcılar bu güvenlik açıklarından faydalanarak bazı sistemlere girip onlara zarar verebilirler. Bu da NetWork ortamında güvenliği sağlamak amacına yönelik yazılımların ve sistemlerin ortaya çıkmasına sebep olmuştur.

Genel Çerçeve
Firewall’ lar güvenlik mekanizmalarının ilk aşamalarıdır, ancak bilgilerimizin duyarlılığı arttıkça bununla beraber şifreleme ve kullanıcı doğrulama (authentication) tekniklerinden de yararlanmak gerekmektedir.

Ağ yöneticileri için ağın güvenliği, başkaları tarafından – özellikle dışarıdan ağa dahil olacaklar tarafından- zarara uğratılmaması, her zaman için en önemli, en zor ve en çok sıkıntı yaratan konulardan biri olmuştur. Bir yolunu bulup ağa dahil olmuş kişiler tarafından ağa zarar verilmesi, belki bundan daha da önemli olmak üzere, gizli bilgilere ulaşması, ağ yöneticileri için korkuların başında gelmekte idi. Bu gün için ise durum daha da kötüdür. Bahsetmiş olduğumuz korkular, internet kavramı bu kadar yaygın değilken ve kuruluşlar bu ortama dahil olmak konusunda bu kadar istekli değilken yaşanan korkulardı. Oysa internet denilen ve çok güçlü olması gerekmeyen bir bilgisayar ile basit bir programdan başka bir şey istemeyen ortamın insanların kullanımına açılması, bunun kuruluşlar tarafından da çok cazip bir ortam olarak görülmesi, ağ yöneticileri için yeni kaygıların başlangıcı olmuştur. Bu gün dünyanın hemen her tarafındaki şirketler internete dahil olmak Web sayfaları arasında kendilerine ait olanı da görmek istemektedir. Bazıları ise şirket için bir intranet kurulması isteniyorken bu ortamdan yararlanmak istemektedir. Bu da tabi gizliliği yüksek olan bilgilerin, genel kullanıma açık bir ağ ortamına çıkarılması manasına gelmektedir ki ağ yöneticileri için yeni zorlukların da başlangıcının işaretçileridir.

Tabi bu durumlar karşısında, ağ güvenliğini sağlayacak ürünler devreye girmiş, bu konuda değişik teknolojiler geliştirilmiştir. Bu çalışmalardan biri de firewall’ lardır. Yalnız maalesef bunlar da ağ yöneticilerinin beklentilerini tam olarak karşılayamamışlardır. Computer Security Institute (Bilgisayar Güvenliği Enstitüsü)’ ün açıklamalarına göre internet üzerindeki şirketlerin beşte biri istenmeyen dış müdahalelere uğramıştır. Bunların da üçte biri kurulu bir firewall’ a sahipti. Yani firewall’ lar, ağ yöneticilerinin beklediği güvenliği sağlayamamıştır.

Internet üzerinden dünyanın dört bir tarafından erişilebilir hale gelmiş şirketler için böyle tehlikeler söz konusu iken, bazı ağ yöneticileri bu tehlikelerden habersizdir. Bu konuda çalışmalarda bulunmuş bazı uzmanların belirttiğine göre, ağ yöneticilerinin bir kısmı, internet ortamında veri çalmanın ne kadar kolay olduğunu bilmemektedir ve aslında gerçek tehlikeyi oluşturan da budur.

Güvenliği sağlama konusunda yararlanılabilecek bir başka araç da 'Şifreleme’ dir. Pek çok firewall üreticisi, şifreleme araçları ile çalışmayı desteklemektedir. Yönlendirici (router) üreticileri de bu konuda çalışmakta olup, şifrelenmiş bilgileri yönlendirebilen routerlar da üretilmiştir.

Uygun bir güvenlik sistemi oluşturmak için, ağa ve iletilecek bilgilere ilişkin bazı unsurların göz önüne alınması gerekmektedir. Karar verilmesi gereken konulardan ilki, şifreleme işleminin nerede yapılacağıdır. Bazı çözümler uygulama seviyesinde bu işi yapıyorken bazıları IP yığınında yapmaktadır. Uygulama seviyesinde yapılan şifrelemede ağ yöneticilerine şifrelemeyi istedikleri şeyleri seçme şansı da verilmektedir.

Cevaplanması gereken ikinci soru, verilerin nasıl şifreleneceğidir. Şu anda en çok kullanılan iki yöntemden biri 56 bitlik şifreleme anahtarı, diğeri ise 128 bitlik şifreleme anahtarı kullanmaktadır. Güvenlik danışmanlarının kanul edebildiği, yeterli olabilecek minimum anahtar uzunluğu 56 bittir. Burada üzerinde durulması gereken bir diğer konu da, paketin nerelerinin şifrelenmesinin yeterli olacağıdır. Bazı ürünler, tüm paketi, başlık kısmı da dahil olmak üzere şifrelerler. Diğerleri ise sadece bilgi kısmını şifrelerler.

Genel Çerçeve paragrafında da belirtildiği gibi, iyi bir güvenlik sağlamak için kullanıcı doğrulama (authentication) mekanizmasının da kurulması gerekmektedir. Bunun manası, internet üzerinden birisi ile bağlantı kurulduğunda, irtibat halinde bulunulanın kimliğinin tam olarak belirlenmesidir. Bunun için üreticiler değişik çalışmalarda bulunmaktadırlar.

Bu noktada, güvenlik konusu ile ilgili yapılan çalışmalarda sıkça karşılaşılan ve hala daha yeterli düzeye gelinemeyen bir konudan bahsetmek gerekir ; Standart. Internet güvenliği ile ilgili pek çok çalışma yapılmasına rağmen, bu alandaki hızlı gelişmeler, hala daha bir standardın oturtulamamasına sebep olmuştur.

Günümüzde, internet ortamına açılma konusunda hemen hemen tüm şirketler isteklidir. Her ne kadar bu ağ yöneticileri için çözümü çok zor sorunları beraberinde getirse de kaçınılmaz olarak bu yöne doğru hızlı bir yönlenme olmaktadır. Ancak bu demek değildir ki internet ortamında güvenlik sağlanmıştır ve kuruluşlar aynı mantık ve rahatlıkta davranmaktadır. Bu konudaki rahatlık derecesi doğal olarak yapılan işin ve bununla da bağlantılı olarak taşınması gereken bilginin mahiyeti ile ilgilidir. Örneğin bir banka için bilgilerini internet ortamında gezdirmek, şu an için çok akıllıca bir işlem değildir. Internet ortamından müşterilere sunulan ev bankacılığı hizmetleri de, alt düzeylerde kalmaktadır. Önemli verilerin aktarılması işlemi için bankalar genellikle özel hatları tercih etmektedirler. Internet ortamının sağladığı güvenlik ortamına inançları, şu an için bu bilgilerin bu ortama aktarılması için yeterli olamamaktadır.

Bunun yanında, bu konularda biraz daha rahat davranabilen kuruluşlar da vardır. Bunlar belki biraz da kendi geliştirdikleri güvenlik mekanizmasının da yardımıyla, internet ortamından veri aktarımında yararlanmaktadırlar. Bununla ilgili olarak söylenen, kuruluşların ihtiyaçları doğrultusunda, değişik ürünlerin değişik modüllerinden yararlanmak suretiyle, kabul edilebilir bir güvenliğin sağlanabileceğidir. Fakat her şeye rağmen şu an için internet ortamının güvenliği konusu üzerinde daha çok düşünmek gerekmektedir. Mevcut hali ile pek çok tehlikeye açık durumdadır.

[COLOR="deepskyblue"] ŞİFRELEME


[COLOR="deepskyblue"]Şifrelemenin Yeri
Daha önceden de değindiğimiz gibi, şifreleme konusunda karar verilmesi gereken bazı hususlar vardır. Bunlardan ilki de, şifrelemenin nerede yapılacağıdır. Bu konuda iki alternatif mevcuttur. Bunlardan biri IP yığınında şifreleme yapmak, diğeri ise uygulama yazılımı seviyesinde şifreleme yapmak. Şu anda piyasada mevcut ürünlerin % 70’ ten fazlası, IP yığınınında şifreleme işlemini yapmaktadır. Bu yöntemdeki yaklaşım, kurulmuş olan bir bağlantı üzerindeki bütün verilerin şifrelenmesine dayanır. Güvenlik konusunda titiz davrananlar için (örneğin bankalar) oldukça iyi bir yaklaşımdır. Yerel ağdan dışarı giden herşey şifrelenir. Böylece mümkün olan en üst düzeyde güvenlik sağlanmaya çalışılır.

Bu yaklaşımın dezavantajı, fazla CPU zamanı almasıdır. Şifrelemeye ilişkin işlemler, karmaşık hesaplamaya dayalı işlemlerdir. Dolayısıyla, gelen ve giden her şeyin şifrelenmesi, çok fazla CPU zamanı alacaktır. Bu ağın transfer hızına da yansıyacak, birim zamanda aktarılan veri miktarını düşürecektir.

Bu olumsuzlukları minimuma indirmek için üreticiler değişik yollara başvurmuşlardır. Router’ ın veya ayrı bir cihaz olarak gerçeklenen şifreleyicinin ayrı işlemcilere sahip olması bu yöntemlerden biridir.

Şifrelemenin yapılacağı yer konusundaki diğer alternatifin uygulama seviyesindeki şifreleme olduğunu söylemiştik. Bu yaklaşımın avantajı, ağ yöneticisinin, neyin şifrelenip neyin şifrelenmeyeceğine karar verebilmesidir. Böylece ağ yöneticisi, şifrelenmesine ihtiyaç olmadığını düşündüğü şeylerle ilgili zaman kaybının önüne geçebilecek, bu da CPU zamanını kazanmamızı sağlayacaktır. Ancak böyle bir çalışma düzeninde, veriyi alacak olan tarafın, nelerin şifrelenip nelerin şifrelenmediğini bilmesi gerekmektedir. Bu da, ilgili bazı parametrelerin uygun değerlere getirilmesini gerekmektedir. Bu işlem de, ağ yöneticisinin zamanını alacaktır.

Şifreleme Yöntemi
Ağ yöneticisi şifrelemenin nerede yapılacağına karar verdikten sonra, düşünmesi gereken ikinci şey, şifrelemenin nasıl yapılacağı, hangi tekniğin kullanılacağıdır. Şu an için en iyi bilinen ve en çok kullanılan yöntem Veri Şifreleme Standardı (Data Encryption Standard – DAS)’ dır. İlk olarak 1970’ lerin başlarında geliştirilmiş, Amerika Birleşik Devletleri tarafından 1977’ de son hali verilmiştir. Bu teknikte, 64 bitlik text blokları 56 bitlik anahtarlar kullanılarak şifrelenir. Bu bize trilyonlarca farklı anahtar sunar. Dolayısıyla ilk bakışta çözülmesi imkansız bir şifre gibi gözükse de aslında günümüzün güçlü bir makinası bunu çözebilir. Dolayısıyla yakın bir gelecekte 56 bitlik şifrelemenin yetersiz kalacağını söyleyebiliriz.

Bu yetersizlik karşısında “üçlü DES” denilen bir teknik geliştirilmiştir. Burada yapılan, yukarıda bahsedilen her bir bloğun şifrelenmesinde üç ayrı anahtarın kullanılmasıdır. Bu teknik günümüzde yavaş yavaş kullanılmaya başlanmıştır. Değişik üreticiler, bu tekniği kullanan ürünlerini piyasaya sumuşlardır. Bunlara örnek olarak IBM’ in Securenet Gateway 2.1 firewall’ unu verebiliriz. NEC, NSC ve Western Datacom da bu tekniği kullanan ürünler piyasaya sürmüşlerdir.

Şifreleme yöntemi olarak DES’ ten başka algoritmalar da piyasada bulunmakta ve kullanılmaktadır. Bunlar; Checkpoint tarafından üretilen FWZ1, IRE tarafından üretilen Atlas ve IBM tarafından üretilen Command Masking Data Facility (CMDF) dir. Bunların tamamı 40 bitlik algoritmalardır. Northern Telecom Ltd. tarafından geliştirilen CAST, 40 ila 64 bit aralığında değişen uzunlukta anahtar kullanmaktadır.

Private Key Ve Public Key Kavramları
Şifreleme mekanizması için karar verilmesi gereken bir nokta da, private-key mi yoksa public-key mi kullanılacağıdır. (Aslında public-key ile anlatılan bir public-key ve bir private-key içerir. Karışıklığı önlemek ve yöntemleri bir birinden ayırmak için böyle bir isimlendirme yapılmıştır.)


Esas olarak bir anahtar, aktarılacak verinin kodlanması ve kodlanmış verinin çözülmesi için kullanılan bir algoritmadır. Private-key şifreleme yaklaşımında, her iki işlem için de aynı anahtar kullanılır. Public-key şifreleme yaklaşımında ise public-key ve private-key birlikte kullanılırlar.

Private-key yaklaşımı kullanılarak geliştirilmiş ürünlerde, ağ üzerinde çalışmakta olan herkese bir anahtar verilir. Buradaki önemli nokta, bu anahtarların, istenmeyen ellere geçmesine mani olmaktır. Burada da, private-key’ lerin kullanıcılara nasıl dağıtılacağı konusu gündeme gelmektedir. Çünkü bu dağıtım işlemi esnasında da anahtarlar istenmeyen ellere geçebilir. Bu iş için e-mail’den yararlanılabileceği gibi ( gerekli güvenlik önlemleri alınmak kaydıyla), telefonla da bu anahtarlar sahiplerine aktarılabilir. Tabi tüm bu işlemler sırasında güvenliğe azami derecede dikkat etmek gerekmektedir.

Şifreleri kişilere atamanın bir başka yolu da, bir sunucu vasıtasıyla dağıtma işlemini yapmaktır. Bu durumda, şifreleri ele geçirmek isteyenlere direkt bir hedef sunulmakta, burada sağlanacak yeterli bir güvenlik mekanizması ile, bu tehlike de önlenebilmektedir.

Private-key yaklaşımı ile ilgili olarak yaşanabilecek bir başka sorun da, ortak kullanılacak bir bilginin karşılıklı olarak paylaşıma açılması esnasında yaşanabilecektir. Bunun için öncelikle private-key’ lerin değiş-tokuş edilmesi gerekmektedir. Bunun için e-mail sisteminin kullanıldığını düşünürsek, bu zaman alabilecek,bu gecikmeler de sorunlara sebep olabilecektir.

Public-key yaklaşımında ise, ağ üzerinde yer alan her kullanıcıya iki anahtar atanır : private-key ve public-key. Private-key’ ler, yukarıda anlatıldığı gibi kullanıcılara dağıtılır. Burada gizlilik yine esastır. Bütün kullanıcılara ait public-key’ ler ise, herkesin erişimine ve kullanımına açıktır.

Bu şekilde her kullanıcıya iki ayrı anahtar atamanın temel sebebi, private-key ile yaşanan, verilerin karşılıklı olarak aktarılması esnasında zorunlu olan, private-key’ lerin değiş-tokuşu işleminden kurtulmak, dolayısıyla bunun getirdiği zorlukları bertaraf etmektir. Yöntemin nasıl çalıştığını anlatarak, mekanizmayı daha iyi anlayabiliriz;

Farklı yerlerde bulunan iki kullanıcıdan birinin diğerine bilgi aktarmak istediğini düşünelim. Bu durumda şifrelemede ihtiyaç duyacağı anahtarlar, göndereceği kişinin public-key’i ve kendisinin private-key’ idir. Bu iki anahtarı kullanarak şifreleme işlemini yapar ve verileri karşı tarafa gönderir. Şifrelenmiş verileri almış olan kişi ise, şifreyi çözmek için, göndericinin public-key’ ini ve kendisinin private-key’ ini kullanır. Dolayısıyla bir kişinin public-key’ ini bilmek, ancak private-key’ ini de bilmekle anlamlıdır, aksi taktirde hiç bir işe yaramaz. Ayrıca bu yöntem private-key’ lerin karşılıklı aktarılmasını da gerektirmez.

Görüldüğü gibi public-key yaklaşımı bize büyük bir avantaj getirmiştir. Ancak bunun da dezavantajları vardır. Bunların başında da, birbirlerine şifrelenmiş veri gönderecek bilgisayarların her defa yürütmeleri gereken el sıkışma protokolleri, ilgili anahtarları kullanarak bilgileri çözme işlemlerinin CPU zamanından çok fazla almasıdır. Bu işlemler, hesap yoğunluğu olan işlemler olduğundan sistemi oldukça yavaşlatacak, ağ performansının %20 azalmasına sebep olabilecektir.

Şu an için private-key yaklaşımı ile ilgili olarak üzerinde çalışılan konuların başında, anahtar değiştirme işlemini otomatik yaparak, zaman kaybını en aza indirmektir.

Sun Microsystems Inc. tarafından geliştirilmiş olan Skip (Simple Key Exchange Internet Protocol) yaklaşımı ile de, public-key yönteminin getirdiği her seferinde güvenli erişim için el sıkışma protokollerinin koşturulması ve dolayısıyla işlemciye fazladan yük getirilmesi durumundan kurtulunmaktadır. Bunun yerine yapılan işlem şöyledir; Bir kere güvenli haberleşme oturumu başlayınca, Skip tarafından bir oturum anahtarı oluşturulur. Bu anahtar geçici bir anahtar olup, bu oturum süresince ilgili kaynaktan veri aktarımı için kullanılır.

Skip ilk bakışta gerçekten çok güzel bir yaklaşım olarak gözükmektedir. Ne yazık ki burada da güvenlik açısından bazı sorunlar vardır, şöyle ki; Oturum anahtarı kullanıcı tarafından belirlenen bir periyod boyunca geçerlidir. Bu periyod bir saat olduğu gibi, bir kaç gün de olabilir. Anahtar, network ortamında bir yerde tutulduğundan, buna ulaşacak kişiler, bu anahtarın geçerli olduğu süre zarfında, istedikleri verilere ulaşabilirler.

Skip yaklaşımından yola çıkılarak, değişik yöntemler geliştirilmiştir. Skip’ in güvenlik konusundaki açığını kapatmak ve daha güvenli bir iletişim sağlamak amacıyla Photuris Session Key Management Protocol (PSKMP) geliştirilmiştir. Burada yapılan, bir kere güvenli oturum başlatıldıktan sonra oturum anahtarını sabit tutmamak, bazı rastgele sayılar, haberleşen bilgisayarların IP bilgilerinden oluşan değerlerin bir karışımını kullanarak, her yeni veri transferinde bunların belirlediği bir oturum anahtarını kullanmaktır. Bunun sayesinde de güvenlik Skip’ e göre daha iyi bir düzeye getirilmiş olur, hız olarak da pek çok public-key ürününden daha iyi bir seviyeye ulaşılır.

[COLOR="deepskyblue"]Neler Şifrelenmeli?
Şifreleme konusunda karar verilmesi gereken konulardan biri de, nelerin şifreleneceğidir; Sadece bilgi içeren kısımlar mı şifrelenecektir yoksa bunların yanında kaynak ve hedef IP’ lerini içeren başlık kısımları da şifrelenecek midir? Eğer sadece veri içeren kısımlar şifrelenirse – Cisco, Cylink ve NEC tarafınfan bu yaklaşım kullanılmaktadır – kaynak ve hedef IP adresleri değişmeden internet ortamına çıkarılacaktır. Bu paketlerden birini ele geçirecek kişi, adres bilgilerini elde edebilecektir. Bu bilgilerin başkaları tarafından ele geçirilmesi sorun yaratmayacakmış gibi gözükse de, bu bilgilerden yararlanılarak, firewall’ un diğer tarafında yer alan routerlara veya başka cihazlara ilişkin bilgiler elde edilebilinir. Bu bilgiler de kullanılarak firewall’ u kandırmak, sanki şirket içinden bir makineymiş gibi ağa ulaşmak mümkün olabilecektir.

Tüm paketlerin şifrelenmesi durumunda böyle bir olasılık olmayacaktır. Şu an için bu işi yapan bir ürün IP Encapsulating Security Payload (ESP)’ dir. Kısaca buradaki yaklaşım; Bir güvenlik aygıtı vasıtasıyla IP adres paketlerine yeni kaynak ve hedef adreslerinin eklenmesidir. Yalnız bu adresler, sadece firewall’ ları adreslerler. Dolayısıyla dışarıdan birisinin, firewall’ un arkasında yer alan herhangi bir cihaza ilişkin bilgileri elde edebilmesi mümkün değildir. ESP yaklaşımını destekleyen şirketler; Border, Checkpoint, IBM, Raptor, V_One ve Western Datacom’ dur.

Fakat bu yaklaşım için de bir problem mevcuttur. IP paketine sürekli yeni adreslerin eklenmesi, bu paketin oldukça fazla büyümesine, hatta müsaade edilen sınırı aşmasına sebep olabilecektir. Böyle bir durumda da bu paketi bölmek gerekecektir.Bölmelenmiş paketlerin hedefe ulaştığında kodlarının çözülmesi biraz daha zor olacaktır. Ayrıca bölünmüş paketler hedefe uygun sırada gelmeyebileceklerinden bunlar da sorunlara sebebiyet verebilecektir.

IP şifrelemesi yukarıda bahsedilen sorunu önlerken aynı zamanda çalma (hijacking) olaylarının da önüne geçecektir. Burada yapılan işlem şudur; Dışarıdan ağa müdahale etmek isteyen kişi, düğümler arasında giden paketleri takip ederek, amacına uygun bir düğüme ilişkin bir paket yakalamaya çalışır. Böyle bir paket yakaladığında da, haberleşen iki düğümün arasına girip, hedef düğüm ile konuşmaya başlar. Hedeflenen düğüm hala daha kendi ağından bir makine ile haberleştiğini sanarak, veri alış – verişini sürdürür. Bu sayede de bu düğüm tarafından üretilen paketler alınırken, hedef düğüme de kendi kodlarını göndererek, bunların burada koşması, dolayısıyla buraya zarar verilmesine sebep olunabilir. IP şifrelemesi vasıtasıyla, bu sorunların da önüne geçilmiş olunur.

[COLOR="deepskyblue"]Kullanıcı Belirleme
Güvenli bir iletişim için sadece şifreleme yeterli olmayacaktır. Şifrelenmiş veriler gönderilmeden önce, kiminle irtibat halinde olunduğu bilinmeli, bunun için de karşı taraftaki kişinin kendini tanıtıcı bilgileri göndermesi istenmelidir. Bu işlem güvenlik mekanizmasının önemli aşamalarından biri olup Kullanıcı Belirleme (authentication) olarak bilinir. Şu an için en yaygın kullanılan Kullanıcı Belirleme aracı Security Dynamics Inc. tarafından geliştirilmiş olan SecurID’ dir.









Beğeniler: 0
Favoriler: 0
İzlenmeler: 286
favori
like
share
keto_41 Tarih: 16.02.2009 22:32
Tessekur Ederim Arkadasim....