From Wikipedia, the free encyclopedia
INTERNET PROTOCOLI SECURITY (Komunikimi i Sigurtë në Internet) Apstrakt: Zhvillimi i hovshëm i teknologjis dhe teknikave të komunikimit të lëmive të ndryshme, e ka bërë të komplikuar shkencën mbi sigurinë e transferit të të dhënave. Sot, numri i shfrytëzuësve të këtyre pajisjeve po rritet gjithnjë e më shumë. Kompani të ndryshme bëjnë hulumtime dhe sulme për të sprovuar fuqinë dhe sigurinë në internet. Këto kompani kur i gjejnë këto dobësi në një sistem provojnë të ndrrojnë mënyrën e mbrojtjës së komunikimit të sigurt në Internet. Në fillim interneti nuk ishte i sigurtë për kumunikim. Me zhvillimin e aplikacioneve të ndryshme kritike u rrit edhe nevoja për sigurin shtesë. Kjo u arrit duke aplikuar dhe zhvilluar bashksi protokolesh të quajtura Internet Protocol Security(IPSec). Prandaj, metoda më bashkohore e bënë komunikimin në internet më efikas dhe më të sigurtë. Në këtë artikull në pika të shkurtëra do të diskutojm rreth çështjeve të siguris së komunikimit në internet. Do të mundohemi të marrim në konsiderate mundësitë e zgjedhjes së këtij problemi me ato çka është e mundur të bëhët në ditët e sotme. Do të diskutojmë se si Internet Protocol Security (IPSec) bënë enkriptimin e të dhënave dhe i transmeton ato në mënyrë të sigurtë dhe i pengon sulmet e ndryshme, si reply-attack (sulm rikthyes), kapjen e paketave gjatë transmetimit (eng.sniffing), nryshimi i këtyre paketave, etj. Të gjitha këto probleme janë zgjidhur deri diku me themelimin e IPSec-ut Një ndër dobësit e Internet Protocol (IP) është se nuk ofron ndonjë mekanizëm Të mundshëm për autentifikimit dhe privacinë e të dhënave gjatë rrjedhes së tyre në Internet. Pasi që IP datagramet të udhëtojnë nëpër paisje të rrjetave të panjohura siç janë router-at e ndryshëm , është e mundur që të dhënat tona të kapen nga persona të pandërgjegjshëm dhe gjithashtu të ndrrohet nga ata. Me rritjen e aplikacioneve kritike në internet, u shtua nevoja e zhvillimit të IPSec Koncepteve dhe protokoleve Fillimisht do të diskutojmë rreth komponenteve dhe metodave tè implementimit të IPSec. Pastaj do të diskutojm se si IPSec punon, në çfarë mode të punës (transport dhe tunnel) mund të kryej operacioneve të ndryshme,dhe si ato ndryshojnë nga njëra tjetra. Në vazhdim do të diskutohet edhe rreth tri protokoleve kryesore të IPSec të cilat janë: IPSec Authentication Header (AH),IPSec Encapsulating Security Payloads (ESP) dhe internet Key Exchange (IKE).
Një ndër dobësit e Internet Protokolit (IP) është se nuk ofron ndonjë mekanizëm Të mundshëm për autentifikimit dhe privacinë e të dhënave gjatë rrjedhes së tyre në Internet. Pasi që IP datagramet të udhëtojnë nëpër paisje të rrjetave të panjohura siç janë router-at e ndryshëm, është e mundur që të dhënat tona të kapen nga persona të pandërgjegjshëm dhe gjithashtu të ndrrohet nga ata. Me rritjen e aplikacioneve kritike në internet, u shtua nevoja e zhvillimit të IPSec Koncepteve dhe protokoleve. Fillimisht do të diskutojmë rreth komponenteve dhe metodave të implementimit të IPSec. Pastaj do të diskutojm se si IPSec punonë, në çfarë mode të punës (transport dhe tunnel) mund të kryej operacioneve të ndryshme,dhe si ato ndryshojnë nga njëra tjetra. Në vazhdim do të diskutohet edhe rreth tri protokoleve kryesore të IPSec të cilat janë: IPSec Authentication Header (AH),IPSec Encapsulating Security Payloads (ESP) dhe internet Key Exchange IKE).
IPSec ishte zhvilluar për Internet Protocol Versionin 6(IPv6),por është mundësuar në një formë të përdoret edhe në IP4 (IP version4) dhe operimi në të dy versionet është i ngjashëm. Ekzistojnë ndryshime në formatet e datagramve për AH dhe ESP,në varësi të shfrytëzimeve të versionit IPv6 apo IPv4. Kjo rrjedh për shkak të nryshimit të formatit të datagrameve dhe adresimit, të cilat dallojnë nga IPv4 dhe IPv6.
Çfarë bën IPSec në të vërtetë? Në formë të përgjithshme, ofron shërbimet të sigurisë Në nivel të shtresës IP për protokolet TCP/IP dhe aplikacione. Kjo do të thotë se IPSec ofron vegla të cilat ju mundësojn paisjeve në rrjedhat të komunikojnë në mënyrë të sigurtë. Kur dy paisje dëshirojnë të komunikjonë në mënyrë të sigurtë, kto paisje duhet të themelojnë një linjë të sigurtë në mes veti, por kjo linjë gjithsesi do të kaloj nëpër sisteme jo të sigurta.Për të arritur këtë,këto paisje duhet të ndërmarrin këto hapa:
IPSec operon në shtesën Network (Network Layer) dhe është pjesë e Sstemit oerativ(SO).Prandaj ,për të ngjallur IPSec-un duhet të bëjmë ndërhyrje dhe SO. Mbi të gjitha IPSec ofron siguri, integritet dhe autentifikim.
Protokolet themelore të IPSec janë:
AH ofron shërbime autentifikimi – indentifikimi. AH e bën të mundur të indentifikohen dërgusit. Çka do të thotë kjo?, është se, nga marrësi mund të vërtetohet se e dhëna e dërguar është saktësisht e dhëna origjinale e dërguar nga ai person që është pritur e jo nga dikush tjetër p.sh. cisco Systems. Mundëson që në të vertetohet se e dhëna në datagram nuk ka ndryshuar gjatë udhtimit. Gjithashtu ofron mbrojtje nga sulmet e njohura me rikthim (reply attacks). Ku mesazhet mirren nga personat të pa autorizuar dhe ridërgohen tek marrsit. AH operon në dy mode të punës: modi transport dhe ai tunelor. Në modin tunelor AH krijojnë një IP të re për secilën paketë; në modin transport, AH nuk krijohet një IP titull të ri. Gjatë diskutimit të modeve tunelore dhe transport do të shihet edhe formati i paketave.
Hapi i parë i integritetit është të krijohet një hash duke përdorur hash algoritmin, e njohur si algoritëm i kodit për autentifikimin e mesazhit (eng. Messag authentication code MAC).
Algoritmi standard gjeneron hash-in në bazë të mesazhit, përgjersa hashi me çelës krijon hash duke u bazuar në të dyjat, mesazhin dhe çelsin e ndan nga dy pikat fundore. Hashi vendoset në paketë dhe paketa dërgohet te pranuesi. Marrësi mund ta gjeneroj hashin duke përdorur çelsin e ndarë dhe të konfirmoj se dy vlerat e hashit përputhen dhe se janë në kompatibilitet, e cila përmbajn mbërojtjen e integritetit të paketës.
Teknikisht është e pa mundurë të mbrohet i tërë titulli (headri) i IP, sepse për shembull gjatë transmetimit ndryshojnë vlerat time to live (TTL)-jetëgjatësia, vlera për korigjime të mundshme në IP (eng.checksum.). Prandaj, nëse e sigurojmë të tërë paketën atëherë vlera e Hashit kurr nuk do të jetë e njejtë e koj do të na pamundësoj dekodimin e të dhënave të sigurta. Për evitimin e këtij problemi duhet që këto fusha të cilat ndryshojnë gjatë udhtimit, të largohet nga integriteti i sigurimit.
Për të treguar se si punon AH do të marrim një shembull praktik. Duke përdorur një vegël e quajtur Etheral të cilën e kemi shkarkuar nga web-site:www.ethereal.com e kemi bërë kapjen e një pakete për analizim. Titulli Ethernetit –Përmban të dhëna të cilat identifikojnë paisjen e përdorur në rrjetë. AH titulli – Të dhënat për autentifikimin e paketës. Titulli IP- IP adresa përkatëse e paketës Ngarkesa- Këtu ruhet përmbajtja e paketës. Nga shembulli i mësipërm shihet se AH nuk i enkripton të dhënat por vetëm e mbron integritetin e paketës, më vonë do të shohim se këtë punë e kryen ESP.
Edhe ESP është e ngjashme me AH (autentifikimin I origjinës së të dhënave, integriteti, shërbimet kunër sulmeve rikthyëse);por ESP gjithashtu ofron edhe konfidencialitet (enkriptim) edhe gjatë rrjedhes së të dhënave. Ndryshimi elementar në mes të AH dhe ESP është zgjerimi i mbulesës.Në mënyrë specifike, ESP nuk e mbron ndonjë titull të IP vetëm nëse këto fusha-tituj janë enkapsuluar nga ESP (modi tunelor). Autentifikimin i origjinës së të dhënave dhe integriteti pa-linjë(eng.connectionless integrity) janë shërbime të ldhura dhe referohen me një shprehje-integritet . Konfidencialiteti në trafikunë e të dhënave kërkon që të bëhet zgjedhja e modit tunelor,sepse modi tunelor është më efikas në portat dalëse(eng.gateway).
Gjatë enkriptimit të paketave,ESP përdoret enkriptim simetrik për paketat IPSec.Në përputhje, të dy pikat fundore të IPSec duhet të përdorin çelësin e njëjtë për enkriptim dhe dekriptim të paketave.Kur një pike funtore të bëj enkriptim e të dhënave, ajo e ndanë të dhënen në blloqe të vogla (Për AES në pjesë 128 bitësh për secilin bllok), atëherë aplikohen opracione ë ndryshme kriptografike (tënjohura si rude) duke përdor blloqe dhe çelës. Algoritmet të cilat punojn në këtë formë janë të njohura si block ciphr algorithm (algoritmi me blloqe të kriptuar).Kur pika e përdorur çelçsin e njëjtë dhe proçesin e njëjtë, Por me hapat e kundërt dhe me operacionion kriptogarfik të ndryshuar.
Shembuj të agoritmeve për enkriptim të përdorur nga ESP janë AES-cipher block chaining (AES-CBC),AES counter Mode (AES-CTR), dhe Triple DES (3DES).
Duke kapur një paketë dhe duke analizuar atë,bëhet më ilehtë fakti I kuptimit të punë së ESP. Nga fig.b. e cila është e paraqitur më poshtë, shihet qartë dallimi nga fig.a-AH,ku ngarkesa nuk shihet e enkriptuar. Nëse e vështrojmë me kujdes tek paketa e ESP shihet qartë se titujt nuk janë të enkriptuar, port ë dhënat e ngarkesës (eng.palyoad) janë te enkriptuara. Nga të dhënat e enkriptuara nuk është e mundur të tregohet se në cilin mode ishte e gjeneruar paketa, sidoqoftë, pasi që titujt e IP nuk janë të enkriptuar, është e mundur të tregohet se cilin protocol e ka shfrytëzuar paketa (në këtë rast, ESP).
Edhe në këtë mënyrë, është e vështirë të thuhet se titujt e IP janë të enkriptuar, pasiqë siç shihet nga fig.b në të djathë të dhënat janë në një formë të palexueshme-pakuptuëshme.
Siç u përmend më lartë, IKE është protokoll për krijimin she shkëmbimin e çelësave perms internetit. Funksioni i IKE është autentifikimi i VPN pkikëlidhjeve, vendosja se çfarë kriptimi apo autentifikimi do të përdoret dhe krijimi içelësave kriptues. IPSec mund të konfigurohet pa IKE por kjo krijon punë të tepërt dhe mun ta bën rrjetin e pa sigurtë pasi që përhapja e çelësave bëhet me dorë.IKE është protokoll I përzier me Oakly, protokoll për shkëmbimin e çelësave nga Hillarie Orman prej Arizona University,dhe Skeme,Secure Key Exchange Mechanism for Internet.
IKE bën marrëveshjen mbi AS për IPSec duke ofruar këto përparësi: S’ka nevojë për specifikimin me dorë të parametrave të sigurimit Lejon caktimin e jetë zgjatjes pë AS Lejon ndryshimin e çelësave kriptues gjatë sesjoneve Lejon shërbime dinamike të makinave
Për të përdorur IKE njëri duhet krijuar rregullat e IKE për çdo makinë.Këto rregulla caktojnë një bashkësi të parametrave të sigurimit që pëdoren në çdo makinë.Pra marrëveshjes,rregullat e IKE duhet të jenë të njëjta në çdo makinë.
Pesë parametra caktohen në rregulla: Algoritmi I kriptimit Hash algoritmi Metoda e autentifikimit Diffle-Hellman grup identifikues Jetë zgjatja e Asociacionese të sigurimit (AS)
Algoritmii kriptimit në moment munt ë jetë I caktuar vetëm në opsionin 56-bit DES-CBC.Hash algoritmi ka dy opsione,SA-1 dhe MD5.Metoda e atentifikimit kanë dy opsione ,RSA nënshkrimet,RSA kriptimi perms të cilës makina e tretë nuk do të detekton aktivitetin e marrëveshjes.Diffle-Hellman identifikuesi ka dy opsione,768-bit dhe 1024-bit Diffle-Hellman (1024-bit është më vështirë të thehet por krijon ngarkesë në makinë ).Jetëzgjatja e AS mund të caktohet manualisht. Përdorimi I IKE mund të ndahet në dy faza:
Faza 1. Qëllimi kryesor i fazës së pare të IKE-së është të autentifikoj burimet:
Faza e parë e IKE kryjen këto funksione:]
Faza e parë paraqitet në dy mënyra kryesore dhe të shpejt
Faza 2. Qëllimi i fazës së dytë është që të negocioj me IPSecSA-në për të krijuar një Ipsec tunel. Faza e dytë e IKE-së kryen këto funksione:]
Faza e dytë eIKE-së ka një metodë të njohur si metoda e shpejt. Metoda e shpejt paraqitet pasi qe IKE-ja të krijoj tunelin e sigurisë në fazën e parë. Ajo negocion me një IPsec dëftes të përbashkët , duke fituar materialin për çelësat e përbashkët sekret, të përdorur për algoritmin e sigurisë të IPsec-së, dhe krijon IPsecSA-në. Metoda e shpejt gjithashtu përdoret për rinegocimin e IpsecSA-së të re, kur jetëgjatësia e IPsecSA-së skadon. Metoda e Shpejt Bazë përdoret për të freskuar materialin e çelësit, të përdorur për të krijuar çelsin e përbshët sekret, të bazuar në materialin e çelsit të fituar nga shkëmbimi DH në fazën 1.
Pasi të kompletohet faza e dytë e IKE-së dhe pasi që metoda e shpejt të ketë krijuar IpsceSA-në informata shkëmbehet nëpërmjet njëtuneli të IPsec-së. Paketat enkriptohen dhe dekriptohen duke përdorur enkriptimin e përcaktuar nga IPsecSA-ja.
Tuneli i IPsec mund të shihet më poshtë në figurën në vijim:
Security Associations: SA-ja është bashkësi e informatave të sigurisë të cilat mundësojnë komunikim të sigurtë në mes paisjeve të ndryshme. SA mund të konsiderohet si kontratë apo marrëveshje në mes dy palëve,lidhur me mekanizmat e sigurisëqë do të përdoren për të realizuar kominikimin e sigurt në mes dy burimeve. IPsec protokollin që përdoret,algoritmi për kriptografi( DES apo 3DES për enkriptim MD5 apo SHA-1 për integrim),mënyrën e funksjonimit të protokolleve,çelësat kriptografik dhe jetëgjatsinë e çelësave. Security Polices: SP(dëftesa e sigurisë) është rregull e sila programohet gjatë implementimit të Ipesc e cila tregon se si do të përpunohen të dhënat e ndryshme të cilat pranohen nga një paisje.P.Sh. dëftesa e sigurisë vendos nëse paketa e caktuar duhet përpunohet apo jo IPsec,d.m.th nëse do të kalojn plotësisht nëpër AH dhe ESP. Nëse për paketa të caktuara nevoitet siguri ,SP jep udhzime të hollësishme se si duhet ofruar ajo, dhe nëse është e nevojshme jep detaje të hollësishme. SP për një paisje është e ruajtur në SPD (security police database) e paisjes.Pra, SA është kombinimi i dëftesave dhe çelësave të cilët përcaktojn shërbimet e sigurisë,mekanizmat dhe çelësat që do të përdoren për të mbrojtur komunikimin në mes dy burimeve IPesc. Secila SA paraqet lidhje one-way (një- kaheshe) ose simplex qe ofron shërbimet e sigurisë për trafikun që e kontrollon. Pasi që SA është përkufizuar vetëm për komunikim one-way, secili sesion i IPsec kërkon dy SA.p.sh.nëse të dy protokollet e IPsec,AH (Authentication Header) dhe ESP (Encapsulating securityProtocol), përdoren për një sesion IPsec në mes dy burimev,atëherë nevojiten katër SA-ja. Pra,pasi që SA-t janë një-drejtimëshe,secila prej tyre kontrollon trafikun hyrës ose dalës për një paisje të caktuar. Kjo lejon që të implementohen nivele të ndryshme të sigurisë për trafikun nga paisja A në B, si dhe për trafikun që nevoitet nga paisja A në B. Për një komunikim dy-kahësh të këtij lloji,Adhe B duhet të kenënga dy SA-ja ; p.sh A do të kishe dy SA të quajtura “SapaisjaAhyrja” dhe “ Sapaisja-Adalja”. SA-s për komunikime të sigurta IPsec i nevoiten dy databaza: SPD (security policy database) dhe SAD (security association database). SPD është databaz në driverin IPsec e cila përcakton listen e filtrave dhe kuadrat e tjerë të cilët përcaktoj statusin e të gjjitha paketave hyrëse dhe dalëse SPD ruan kërkesat e siguris apo dëftesën e kërkuar që një SA realizohet. Paketat hyrëse kontrollohen dhe vërtetohen se janë të siguruara në bazë të dëfteses.Gjithashtu, paketat dalëse lejohen ,bllokohen ose sigurohen në bazë të dëftesës. SAD përmban parametrat për secilën SA aktive.Pasi që krijohet SA-ja për secilën SA ruhet në SAD. Shpesh është paksa e vështi të bëhet dallimi në mes të SPD dhe SAD, pasi që në koncept janë të ngjajshme.Dallimi kryesor në mes tyre është se dëftesat e sigurisë janë gjithëpërfshirëse, përderisa SA është më specifike. Për të përcaktuar se çfarë duhet bërë me disa të dhena apo paketa të caktuara, pajisja së pari e kontrollon SPD-në.Dëftesat e sogurisë mund të referojnë një SA të veçantë në SAD. Nëse ndodhë kjo, atëherë paijsjen SDA do ta përdorim për procesimin e të dhënave. Kjo do të thotë se nëse SPD siguron që të dhënat, që qarkullojn duhet të jenë të mbrojtura, IPsec konsultohet me SAD-in për të shikuar nëse një SA e përshtatshme është në dizposicion. Nëse jo, kërkohet një nga IKE(internet key Exchange). IKE pastaj konsultohet me SPD për ti marrë parametrat e nëvojshme she krijonë një SA pako të re, e cila ruhet ne SAD dhe është në dispozicon për tu përdorur nga IPsec.(Është e rëndësishme të ceket se IPsec duhet të konfigurohet që të lejojë qarkullimin e pambrojtur të IKE në UDP-500 ). SA përcaktohet nga një bashkësi e tre parametrave, e njohur si treshe: Security Parameter Index (SPI): Numri 32-bit i cili zgjidhet për ta indentifikuar një SA të veçantë për ndonjë pajisje të kyçur. SPI është e vëndosur në AH ose ESP she lidhë paketat me SA. Përdoret nga pranusei i transmisionit kështu që dihet se çfarë SA-je është përdorur për paketën. IP Destination Address: Adresa e pajisjës për të cilën është krijuar SA-ja. Security Protocol Identifier: Përcakton nëse SA-ja është për AH apo për EPS. Nëse të dyjat janë përdoret psasija SA e ndarë.
( p.sh. jetëgjatsia )
Një çështje e cila duhet te mbulohet është se si pajisja vendose se çfarë dëtefse apo SA-je duhet të përdorë për paketën e caktuar. IPsec orfon një meny shumë fleksibile e cila lejon secilin asociation të sigurisë të përcaktoj bashkësin e rregullave për zgjeshjën e paketave në të cilat do të aplikohet SA-ja. Kjo bashkësi e rregullave njihet si selektorë. Për shembull, një selektor mund të definoj në atë mënyrë që thotë se rangu i vlerave në adresën e burimit përkats, kombinuar me një vlerë tjetër në adresën e destinacionit, nënkupton një SA të veçantë e cila duhet të përdoret për ato paketa.
Ekzistojnë dy llojet të modeve të punës të cilat operon IPSec,ato jan:
4.4 Modi transport dhe
4.5 Modi tunelor
Modet e IPSec janë të lidhura ngushtë me protokolet themelore të IPSec,me Titullin për Autentifikim Authentication Header AH dhe Encapsulation os Security Paloads (ESP). Të dytë nga këto ofrojnë siguri duke vendosur tituj (ose edhe fusha të tjera) në datagram, fusha këto të cilat përmbajn të dhëna për sigurimin. Zgjedhja e secilit model të punës, nuk ndryshon moden në të cilen gjenerohen titujt,por më shumë,ndrron në atë se cila pjes e datagramit do të mbrohet dhe si janë implementuar titujt për të arritur këtë. Në vazhdim do të shohim se si punojn këto dy mode.
Nga vett emri modi transport,vërejmë se bëhet fjal për protokolin i cili mbron mesazhet e dërguara nga shtresat transport në IP (shtresa Network,eng.Networ layer). Mesazhi procesohet nga AH/ESP dhe titujt e vendosur në shtresat Transporti pa koneksion: UDP (UDP ose TCP/IP – titujt). Normalisht,shtresa transport bën paketimin e tëdhenave pë transmetimin dhe i dërgon ato tek IP.Kur IPSec përdoret në modin e transportit atëher titujt me të dhëna të IPSec vendosen vetën ne rrjetdhat e IP Kur IPsec operon në modin transport, ai integrohet në IP dhe i transmeton mesazhat e nivelit më të lartë (TCP/UDP) në formë direkte. Ngjajshem punon edhe modi tunelor vetem se ka një dallimë të vogël sa i përket mbërojtjës së datagramit në formë komplete. Kjo mundë të shifet edhe në figurë në vijim:
IPsec është i përkrahur nga Windiws XP. Është e mundur krijimi i tuneleve mes pikave me IP statike. Për të krijuar një IPsec rregullat janë që në Wnidows XP duhet hapur MMC konsolë. Pastaj duhet të lidhur IPSecurity Policy Menagment snap-in.
IPSec është i përkrahur nga Linux.Nëse IPSec nuk është kompiluar nëkernel atëherë bërë këtë para se të përdoret.Kjo bëhët duke shkarkuar IPSec dhe ri-kompiluar Krenelin.pasi që bëhet kjo duhet bërë disa ndryshime në skedën\ etc\ syconfig\network.Vlera e FORWARD_IPV4 duhet ndërruar në ‘’true’’. Pas kësaj duhet konfirmuar IPSec duke edituar skendën konfiguruse,ipsec.conf. Shembull i skedës së konfiguruar mund të shihet më poshtë:
conn my=tunel
type=tunel
left=1.2.3.4
leftnexthop=1.2.3.1
leftsubnet=10.0.0.0\24
right=5.6.7.8
rightnexthop-5.6.7.1
rightsubnet=192.168.0.0\24
spibas=0x200
esp=3des –md5-96
espencky=some_auth_key_here (ranbits 192)
espautthky=some_other_key_here ( ranbits 128)
siç shihet në opsionet është e mundur caktimi i IP pëpaketat që vijnë nga jashtë dhe ato që vijnë nga brenda,si dhe konfiurimi i protokollit ESP dhe çelësave të ESP.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.