SlideShare a Scribd company logo

IP Security

S H
S H

a brief description of the IPSec

Technology
1 of 8
Download to read offline
Samir Həsənov Qafqaz Universiteti Kompyuter Mühəndisliyi 2. kurs IP Security
İnternet təhlükəsizliyi veb server və klientlərin internet və ya WAN üzərindən mümkün olan hücumlara qarşı qorunmasıdır. Kompyuter və şəbəkə təhlükəsizliyinin bir növüdür. İnternet təhlükəsizliyi əsasən İPSec (İnternet Security Protocol), SSL (Secure Socket Layer) və ya TSL (Transport Layer Security) kimi xüsusi təhlükəsizlik protokollarından ibarətdir. Standart internet rabitə protokolu tamamilə müdafiəsizdir, bu da hostlara tranzitdə olan məlumatları əldə etmək və dəyişdirmək imkanı verir. İPSec öz sisteminizə əlavə etmək sizi tam şifrələmə, identifikasiya, məlumat tamlığı və təkrarlanmadan qorunma ilə təmin edəcəkdir. İnternet rabitə protokolu ilkin olaraq heç bir təhlükəsizlik mexanizmi ilə təchiz olunmamışdır. Bütün proqram və istifadəçi məlumatları açıq mətn şəklində ötürüldüyündən internetdə paket şəklində olan bu informasiya axını üçüncü şəxs, şirkət və s. tərəfindən oxuna bilər. Məsələn, sizin şifrələrin açıq mətn şəklində ötürülməsi gələcəkdə sizin sistemin hack olunmasına gətirib çıxara bilər. İp paketlərin tərkibi aşkar olunmadan dəyişdirilə bilər.
Təbii ki, sizin informasiyanı başqalarının görməyi sizi narahat etməyə bilər, lakin sizin məlumatların digər bir şəxs tərəfindən dəyişdirilməsi sizə böyük narahatçılıq verəcəkdir. İnternet paketlərinin saxtalaşdırılması və dəyişdirilməsi internetdə hacker-lərə özlərini başqa bir şəxs qismində tanıtmaları imkanını yaradır. Məsələn, siz sisteminizin idarəsini yalnız öz əməliyyatçılarınıza icazə vermisiniz, lakın qorunma olmadığı halda hərkəs sizin sistemin idarəsini ələ keçirə bilər. Buna termin olaraq İdentity Spoofing (İdentity Spoofing – İP paketlərə saxta source adres verməklə özünü başqası qismində təqdim etmək hücüm növü) deyilir. Digər bir ssenari üzrə isə sizin sistem etibar etdiyiniz mənbələr tərəfindən yanlış və zərərli məlumatla qidalana bilər. Həmçinin siz bir əməliyyatın bir dəfə keçirildiyinə əmin olmalısınız. Yəni bir əməliyyatın hər hansı şəxs tərəfindən qeydə alınması və dəfələrlə təkrar həyata keçirilməməsi üçün. Məsələn, hər hansı bir şəxs bu üsul ilə bir pul köçürməsini sizin sistemə bir nəçə dəfə təkrar tanıda bilər və sizin sistem bunu bir nəfərə edilmiş çoxlu pul köçürməsi kimi qeydə alacaq. İPSec öz sisteminizə əlavə etmək sizə təhlükəsizlik təmin etmədə kömək edəcək, çünki İPSec tam şifrələmə, identifikasiya və əməliyyat təkrarlamasından qorumanı əhatə edir. Güclü şifrələmə – heç bir kəs sizin məlumatı oxuya bilməyəcək. Şifrələmə alqoritminin gücündən, şifr açarının uzunluğundan asılı olaraq sizin məlumatı deşifrələmək çox çətin olacaq. Tam təhlükəsizlik deyə bir şeyin olmadığını nəzərə alsaq, sizin şifrlərinizi açmaq çətin və uzun müddət tələb edən, hətta brut fors (Brute Force) metodu ilə mümkünsüz bir iş olacaq. Dəyişilmiş paketlər sistem tərəfindən avtomatik olaraq rədd edilir. İlkin məlumat üzrə checksum-un hesablanması paketləri loqlamaq imkanı yaradır və beləliklə yolda dəyişdirilmiş paketlər iqnor edilir. Autentifikasiya – əməliyyat apardığınız hostun şəxsiyyəti təsdiq edilir. Bundan başqa autentifikasiya sizə göndərdiyiniz məlumatı imzalamaq imkanı verir, belə ki, digər şəxslər göndırilən məlumatın həqiqətən sizdən gəldiyinə əmin ola biləcəklər. Təkrarlamadan qorunma – Dublikat əməliyyatlar iqnor olunur. Kriptoqrafik tədbirlərlə qorunan ardıcıllıqlardan isitifadə etməklə təkrarlanan paketlər aşkar olunub atılacaqdır.
İPSec əsas üstünlükləri. İPSec Şəbəkə qatında yerləşdiyindən TCP/İP tətbiqlərinə dəyişiklik etmək məcburiyyətində olmayacaqsınız. İPSec ESP (Encapsulating Security Payload) və AH (Authentication Header) kimi iki yeni İP protokolu istifadə edir. İPSec İP qatından altda, yəni TCP/İP kerneli ilə link qatının arasında yerləşdirilir. İPSec şifrələnən trafik üzərindən ötürülən bütün paketlərə ESP və AH başlıqlarını əlavə edəcək və qəbul edilən bütün paketlərdən də bu başlıqları tələb edəcəkdir. BSD soket (TCP/UDP/Row IP) istifadə edən tətbiqlərə İPSec şəffaf və asan yol ilə quraşdırıla bilir. Konfiqurasiya edilə bilən mühafizə. İPSec İP paketlərə hansı təhlükəsizlik tədbirlərinin görüləcəyi məlumatının saxlanıldığı SPD (Security Policy Database) istifadə edir. Bu baza özündə TCP/UDP port, source və destination ip adreslər və İP paket nömrələri kimi məlumatları saxlaya bilər. Bu məlumatları adres intervalı və müxtəlif şərtlərlə daha da elastik etmək olar. Hər gedən və ya gələn paketə görə bazada ən yaxşı uyğunluq axtarılır. Ə gər bazada bu paket uyğunluğu tapılarsa paketə bazada göstərilmiş şifrələmə metodu, şifr açar uzunluğu, şifrələmə alqoritmlər zənciri, paket tunel ilə göndəriləcək və ya yox kimi əməliyyatlar görülür. Bazada hətta şifrələməyə ehtiyac olmadığı da göstərilə bilər. Lakin baza ilə heç bir uyğunluq tapılmazsa həmin paket rədd edilir. Bu dizayn ilə İPSec bəzi paketləri şifrələməsiz, bəzilərini yüngül şifrələmə ilə, bəzi paketləri isə güclü şifrələyə bilər. Məsələn, HTML kontentlər şifrələnmədən, telnet və email sessiyalar şifrələmə ilə ötürülə bilər. Yəni hər hansı proqramın və ya userin təhlükəsizliyi gələcəkdə təhkükəsizlik bazasını dəyişməklə yenilənə bilər. Yönlü təhlükəsizlik həlli. İPSec müxtəlif təhlükəsizlik mexanizmləri icra edə bilər. Autentifikasiya paketin doğru şəxsdən olduğunu təsdiq edir, şifrələmə paketin tərkibini gizlətmək üçün istifadə edilir, bütövlük paketin tranzit zamanı dəyişdirilmədiyini sübut edir, təkrarlama təhlükəsizlik isə əməliyyatların
təkrarlanmasının və DOS atakların qarşısını alır. Həssas məlumatın təhlükəsizliyi. İPSec iki hosta tətbiq edilən zaman bu hostlar arasında olan rabitə təhlükəsizliyi İPSec şifrələməsi və autentifikası yolu ilə təmin olunur. Tam performans üçün şifrələməsi lazım olmayan məlumat İPSec tətbiq olunmadan göndərilə bilər. Nəqliyyat rejimi (Transport Mode). Nəqliyyat rejimi iki host arasında olan əlaqə təhlükəsizliyini təmin edir və tunel rejimindən (Tunnel Mode) daha sürətlidir, belə ki bu zaman əlavə ip başlığa ehtiyyac duyulmur. Bu zaman İPSec ESP/AH başlıqları orijinal İP başlıqlarından sonra və transport qatından əvvəl əlavə edilir. Nəqliyyat rejimindən İPSec əsas üstünlüyü ondan ibarətdir ki, bu zaman hostlar arasında olan əlaqə tam yol boyu təhlükəsizlik ilə təmin olunur. İki host arasında təhlükəsiz olmayan şəbəkələrin olması bu İPSec əlaqəsinə heç bir xəta törətmir.
Tunel rejimi (Tunnel Mode). Bu zaman İPSec başlığından əvvəl İPSec xarici başlıq əlavə olunur. Başqa sözlə desək, yeni paket İPSec ESP/AH başlıqlarla və köhnə İP paketdən ibarət olur. Vir tua l Pri vat Şəb əkələr (VPN). İki və daha çox şəbəkələr Virtual Privat Şəbəkə mexanizmi ilə bir şəbəkəyə birləşdirilə bilər. Bu zaman İPSec tunnel rejimi ilə müxtəlif şlyuzlarda (gateway) təhlükəsizlik təmin edilir. Lokal şəbəkə üzərində paketlər şifrələnmədən göndərilir. Lakin şəbəkələr arasında İP paketlər daxili İPSec şlyuz tərəfindən şifrələnir və digər şəbəkədəki İPSec şlyuzuna göndərilir. Bir sözlə, lokal şlyuz göndəriləcək paketləri şifrələyir və digər paketlərin daxilinə qoyaraq digər şəbəkədə olan İPSec şlyuza göndərir. Qəbul edən şlyuz isə şifrələnmiş paketlə deşifrələyir və daxili lokal şəbəkəsinə deşifrələnmiş olaraq buraxır. Bu üsulun üstünlüyü ondan ibarətdir ki, İP təhlükəsizlik tətbiq etmək üçün şəbəkədə olan hostlara dəyişiklik tələb olunmur. İPSec tunel rejimi trafikin analiz edilməsinin də qarşısını alır. Tunel rejimində hacker tunelin daxilində olan paketlərin real source və destination adresslərini bilməyəcək, bilinən yeganə
məlumat tunelin başlayıb-bitdiyi ünvanlardır. Sadəlik. Bir neçə hədəf bir İPSec şlyuzu tərəfindən qoruna bilər. Bu şlyuz hər istifadəçi adından lazım olan bütün şifrələməni həyata keçirir. Yüksək performans. Yalnız müdafiə olunmayan şəbəkələr üzərində olan məlumatlar şifrələnir. Lokal şəbəkə daxilində gedən informasiya şifrələməyə ehtiyac duymur və açıq mətn şəklində göndərilir. Şəbəkələr arasında yönləndirilən və müdafiəsiz xəttlərdən keçən məlumat şifrələnir. Bu üsulun üstünlüyü şifrələmənin yalnız tələb olunan yerlərdə həyata keçirməklə yüksən performans əldə etməkdədir. Elastiklik. Şəbəkələr ayrı yerlərdə yerləşə bilər. Şlyuzlar arasında paketlər tunel vasitəsilə göndərildiyindən şəbəkələr fiziki olaraq müxtəlif yerlərdə ola bilər. Bir şəbəkədəki kompyuter digər şəbəkədəki kompyuterlə öz lokal şəbəkəsində imiş kimi əlaqə qurmaq imkanına malikdir. Və son olaraq onu vurğulamaq istərdim ki, İPSec köhnə sistemlərə də tətbiq olunur. Yəni köhnə sistemlərə heç bir dəyişiklik edilmədən sadəcə şəbəkəyə yeni İPSec şlyuz qoyulur.
IP Security

Recommended

Web Socket
Web SocketWeb Socket
Web SocketSDU CYBERLAB
 
İKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanları
İKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanlarıİKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanları
İKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanlarıRamin Orujov
 
Obyekt yönümlü proqramlaşdırma
Obyekt yönümlü proqramlaşdırmaObyekt yönümlü proqramlaşdırma
Obyekt yönümlü proqramlaşdırmaS H
 
Android Platform Overview - Azercell Barama
Android Platform Overview - Azercell BaramaAndroid Platform Overview - Azercell Barama
Android Platform Overview - Azercell BaramaRamin Orujov
 
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...Ferhat Ozgur Catak
 
Hesaplamalarım
HesaplamalarımHesaplamalarım
Hesaplamalarımİsmail Keskin
 
Tablo oluşturma
Tablo oluşturmaTablo oluşturma
Tablo oluşturmaİsmail Keskin
 
Embracing Distributed Version Control
Embracing Distributed Version ControlEmbracing Distributed Version Control
Embracing Distributed Version ControlNowell Strite
 

Recommended

Web Socket
Web SocketWeb Socket
Web SocketSDU CYBERLAB
 
İKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanları
İKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanlarıİKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanları
İKT sahəsində əsas i̇stiqamətlər və i̇ş i̇mkanlarıRamin Orujov
 
Obyekt yönümlü proqramlaşdırma
Obyekt yönümlü proqramlaşdırmaObyekt yönümlü proqramlaşdırma
Obyekt yönümlü proqramlaşdırmaS H
 
Android Platform Overview - Azercell Barama
Android Platform Overview - Azercell BaramaAndroid Platform Overview - Azercell Barama
Android Platform Overview - Azercell BaramaRamin Orujov
 
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...Ferhat Ozgur Catak
 
Hesaplamalarım
HesaplamalarımHesaplamalarım
Hesaplamalarımİsmail Keskin
 
Tablo oluşturma
Tablo oluşturmaTablo oluşturma
Tablo oluşturmaİsmail Keskin
 
Embracing Distributed Version Control
Embracing Distributed Version ControlEmbracing Distributed Version Control
Embracing Distributed Version ControlNowell Strite
 
Network ve Sistem 101 etkinliği
Network ve Sistem 101 etkinliği Network ve Sistem 101 etkinliği
Network ve Sistem 101 etkinliği Ahmet Han
 
Network101 murat arslan
Network101 murat arslanNetwork101 murat arslan
Network101 murat arslanMURAT ARSLAN
 
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...Ferhat Ozgur Catak
 
The Agile Process - Taming Your Process To Work For You
The Agile Process - Taming Your Process To Work For YouThe Agile Process - Taming Your Process To Work For You
The Agile Process - Taming Your Process To Work For YouNowell Strite
 
BSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointBSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointAndrew McNicol
 
Bilgelik hikayeleri
Bilgelik hikayeleriBilgelik hikayeleri
Bilgelik hikayeleriAytekin Özel
 
Phương pháp học đại học
Phương pháp học đại họcPhương pháp học đại học
Phương pháp học đại họcUniversity of Technology
 
Verilerimi düzenliyorum
Verilerimi düzenliyorumVerilerimi düzenliyorum
Verilerimi düzenliyorumİsmail Keskin
 
Dili kullanmak
Dili kullanmakDili kullanmak
Dili kullanmakAytekin Özel
 
Why learn python in 2017?
Why learn python in 2017?Why learn python in 2017?
Why learn python in 2017?Karolis Ramanauskas
 
PROJE SÜREÇ YÖNETİMİ
PROJE SÜREÇ YÖNETİMİPROJE SÜREÇ YÖNETİMİ
PROJE SÜREÇ YÖNETİMİturkates
 
Python Metaprogramming
Python MetaprogrammingPython Metaprogramming
Python MetaprogrammingSDU CYBERLAB
 
Proje Risklerinin Tanımlanması
Proje Risklerinin TanımlanmasıProje Risklerinin Tanımlanması
Proje Risklerinin TanımlanmasıAhmet Han
 
Using Python3 to Build a Cloud Computing Service for my Superboard II
Using Python3 to Build a Cloud Computing Service for my Superboard IIUsing Python3 to Build a Cloud Computing Service for my Superboard II
Using Python3 to Build a Cloud Computing Service for my Superboard IIDavid Beazley (Dabeaz LLC)
 
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...Ferhat Ozgur Catak
 
Korelasyon tabanlı nitelik seçimi
Korelasyon tabanlı nitelik seçimiKorelasyon tabanlı nitelik seçimi
Korelasyon tabanlı nitelik seçimiFerhat Ozgur Catak
 
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVMRobust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVMFerhat Ozgur Catak
 

More Related Content

Viewers also liked

Network ve Sistem 101 etkinliği
Network ve Sistem 101 etkinliği Network ve Sistem 101 etkinliği
Network ve Sistem 101 etkinliği Ahmet Han
 
Network101 murat arslan
Network101 murat arslanNetwork101 murat arslan
Network101 murat arslanMURAT ARSLAN
 
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...Ferhat Ozgur Catak
 
The Agile Process - Taming Your Process To Work For You
The Agile Process - Taming Your Process To Work For YouThe Agile Process - Taming Your Process To Work For You
The Agile Process - Taming Your Process To Work For YouNowell Strite
 
BSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointBSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointAndrew McNicol
 
Verilerimi düzenliyorum
Verilerimi düzenliyorumVerilerimi düzenliyorum
Verilerimi düzenliyorumİsmail Keskin
 
PROJE SÜREÇ YÖNETİMİ
PROJE SÜREÇ YÖNETİMİPROJE SÜREÇ YÖNETİMİ
PROJE SÜREÇ YÖNETİMİturkates
 
Python Metaprogramming
Python MetaprogrammingPython Metaprogramming
Python MetaprogrammingSDU CYBERLAB
 
Proje Risklerinin Tanımlanması
Proje Risklerinin TanımlanmasıProje Risklerinin Tanımlanması
Proje Risklerinin TanımlanmasıAhmet Han
 
Using Python3 to Build a Cloud Computing Service for my Superboard II
Using Python3 to Build a Cloud Computing Service for my Superboard IIUsing Python3 to Build a Cloud Computing Service for my Superboard II
Using Python3 to Build a Cloud Computing Service for my Superboard IIDavid Beazley (Dabeaz LLC)
 
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...Ferhat Ozgur Catak
 
Korelasyon tabanlı nitelik seçimi
Korelasyon tabanlı nitelik seçimiKorelasyon tabanlı nitelik seçimi
Korelasyon tabanlı nitelik seçimiFerhat Ozgur Catak
 
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVMRobust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVMFerhat Ozgur Catak
 

Viewers also liked (17)

Network ve Sistem 101 etkinliği
Network ve Sistem 101 etkinliği Network ve Sistem 101 etkinliği
Network ve Sistem 101 etkinliği
 
Network101 murat arslan
Network101 murat arslanNetwork101 murat arslan
Network101 murat arslan
 
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
 
The Agile Process - Taming Your Process To Work For You
The Agile Process - Taming Your Process To Work For YouThe Agile Process - Taming Your Process To Work For You
The Agile Process - Taming Your Process To Work For You
 
BSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointBSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPoint
 
Bilgelik hikayeleri
Bilgelik hikayeleriBilgelik hikayeleri
Bilgelik hikayeleri
 
Phương pháp học đại học
Phương pháp học đại họcPhương pháp học đại học
Phương pháp học đại học
 
Verilerimi düzenliyorum
Verilerimi düzenliyorumVerilerimi düzenliyorum
Verilerimi düzenliyorum
 
Dili kullanmak
Dili kullanmakDili kullanmak
Dili kullanmak
 
Why learn python in 2017?
Why learn python in 2017?Why learn python in 2017?
Why learn python in 2017?
 
PROJE SÜREÇ YÖNETİMİ
PROJE SÜREÇ YÖNETİMİPROJE SÜREÇ YÖNETİMİ
PROJE SÜREÇ YÖNETİMİ
 
Python Metaprogramming
Python MetaprogrammingPython Metaprogramming
Python Metaprogramming
 
Proje Risklerinin Tanımlanması
Proje Risklerinin TanımlanmasıProje Risklerinin Tanımlanması
Proje Risklerinin Tanımlanması
 
Using Python3 to Build a Cloud Computing Service for my Superboard II
Using Python3 to Build a Cloud Computing Service for my Superboard IIUsing Python3 to Build a Cloud Computing Service for my Superboard II
Using Python3 to Build a Cloud Computing Service for my Superboard II
 
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
 
Korelasyon tabanlı nitelik seçimi
Korelasyon tabanlı nitelik seçimiKorelasyon tabanlı nitelik seçimi
Korelasyon tabanlı nitelik seçimi
 
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVMRobust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
 

IP Security

  • 1. Samir Həsənov Qafqaz Universiteti Kompyuter Mühəndisliyi 2. kurs IP Security
  • 2. İnternet təhlükəsizliyi veb server və klientlərin internet və ya WAN üzərindən mümkün olan hücumlara qarşı qorunmasıdır. Kompyuter və şəbəkə təhlükəsizliyinin bir növüdür. İnternet təhlükəsizliyi əsasən İPSec (İnternet Security Protocol), SSL (Secure Socket Layer) və ya TSL (Transport Layer Security) kimi xüsusi təhlükəsizlik protokollarından ibarətdir. Standart internet rabitə protokolu tamamilə müdafiəsizdir, bu da hostlara tranzitdə olan məlumatları əldə etmək və dəyişdirmək imkanı verir. İPSec öz sisteminizə əlavə etmək sizi tam şifrələmə, identifikasiya, məlumat tamlığı və təkrarlanmadan qorunma ilə təmin edəcəkdir. İnternet rabitə protokolu ilkin olaraq heç bir təhlükəsizlik mexanizmi ilə təchiz olunmamışdır. Bütün proqram və istifadəçi məlumatları açıq mətn şəklində ötürüldüyündən internetdə paket şəklində olan bu informasiya axını üçüncü şəxs, şirkət və s. tərəfindən oxuna bilər. Məsələn, sizin şifrələrin açıq mətn şəklində ötürülməsi gələcəkdə sizin sistemin hack olunmasına gətirib çıxara bilər. İp paketlərin tərkibi aşkar olunmadan dəyişdirilə bilər.
  • 3. Təbii ki, sizin informasiyanı başqalarının görməyi sizi narahat etməyə bilər, lakin sizin məlumatların digər bir şəxs tərəfindən dəyişdirilməsi sizə böyük narahatçılıq verəcəkdir. İnternet paketlərinin saxtalaşdırılması və dəyişdirilməsi internetdə hacker-lərə özlərini başqa bir şəxs qismində tanıtmaları imkanını yaradır. Məsələn, siz sisteminizin idarəsini yalnız öz əməliyyatçılarınıza icazə vermisiniz, lakın qorunma olmadığı halda hərkəs sizin sistemin idarəsini ələ keçirə bilər. Buna termin olaraq İdentity Spoofing (İdentity Spoofing – İP paketlərə saxta source adres verməklə özünü başqası qismində təqdim etmək hücüm növü) deyilir. Digər bir ssenari üzrə isə sizin sistem etibar etdiyiniz mənbələr tərəfindən yanlış və zərərli məlumatla qidalana bilər. Həmçinin siz bir əməliyyatın bir dəfə keçirildiyinə əmin olmalısınız. Yəni bir əməliyyatın hər hansı şəxs tərəfindən qeydə alınması və dəfələrlə təkrar həyata keçirilməməsi üçün. Məsələn, hər hansı bir şəxs bu üsul ilə bir pul köçürməsini sizin sistemə bir nəçə dəfə təkrar tanıda bilər və sizin sistem bunu bir nəfərə edilmiş çoxlu pul köçürməsi kimi qeydə alacaq. İPSec öz sisteminizə əlavə etmək sizə təhlükəsizlik təmin etmədə kömək edəcək, çünki İPSec tam şifrələmə, identifikasiya və əməliyyat təkrarlamasından qorumanı əhatə edir. Güclü şifrələmə – heç bir kəs sizin məlumatı oxuya bilməyəcək. Şifrələmə alqoritminin gücündən, şifr açarının uzunluğundan asılı olaraq sizin məlumatı deşifrələmək çox çətin olacaq. Tam təhlükəsizlik deyə bir şeyin olmadığını nəzərə alsaq, sizin şifrlərinizi açmaq çətin və uzun müddət tələb edən, hətta brut fors (Brute Force) metodu ilə mümkünsüz bir iş olacaq. Dəyişilmiş paketlər sistem tərəfindən avtomatik olaraq rədd edilir. İlkin məlumat üzrə checksum-un hesablanması paketləri loqlamaq imkanı yaradır və beləliklə yolda dəyişdirilmiş paketlər iqnor edilir. Autentifikasiya – əməliyyat apardığınız hostun şəxsiyyəti təsdiq edilir. Bundan başqa autentifikasiya sizə göndərdiyiniz məlumatı imzalamaq imkanı verir, belə ki, digər şəxslər göndırilən məlumatın həqiqətən sizdən gəldiyinə əmin ola biləcəklər. Təkrarlamadan qorunma – Dublikat əməliyyatlar iqnor olunur. Kriptoqrafik tədbirlərlə qorunan ardıcıllıqlardan isitifadə etməklə təkrarlanan paketlər aşkar olunub atılacaqdır.
  • 4. İPSec əsas üstünlükləri. İPSec Şəbəkə qatında yerləşdiyindən TCP/İP tətbiqlərinə dəyişiklik etmək məcburiyyətində olmayacaqsınız. İPSec ESP (Encapsulating Security Payload) və AH (Authentication Header) kimi iki yeni İP protokolu istifadə edir. İPSec İP qatından altda, yəni TCP/İP kerneli ilə link qatının arasında yerləşdirilir. İPSec şifrələnən trafik üzərindən ötürülən bütün paketlərə ESP və AH başlıqlarını əlavə edəcək və qəbul edilən bütün paketlərdən də bu başlıqları tələb edəcəkdir. BSD soket (TCP/UDP/Row IP) istifadə edən tətbiqlərə İPSec şəffaf və asan yol ilə quraşdırıla bilir. Konfiqurasiya edilə bilən mühafizə. İPSec İP paketlərə hansı təhlükəsizlik tədbirlərinin görüləcəyi məlumatının saxlanıldığı SPD (Security Policy Database) istifadə edir. Bu baza özündə TCP/UDP port, source və destination ip adreslər və İP paket nömrələri kimi məlumatları saxlaya bilər. Bu məlumatları adres intervalı və müxtəlif şərtlərlə daha da elastik etmək olar. Hər gedən və ya gələn paketə görə bazada ən yaxşı uyğunluq axtarılır. Ə gər bazada bu paket uyğunluğu tapılarsa paketə bazada göstərilmiş şifrələmə metodu, şifr açar uzunluğu, şifrələmə alqoritmlər zənciri, paket tunel ilə göndəriləcək və ya yox kimi əməliyyatlar görülür. Bazada hətta şifrələməyə ehtiyac olmadığı da göstərilə bilər. Lakin baza ilə heç bir uyğunluq tapılmazsa həmin paket rədd edilir. Bu dizayn ilə İPSec bəzi paketləri şifrələməsiz, bəzilərini yüngül şifrələmə ilə, bəzi paketləri isə güclü şifrələyə bilər. Məsələn, HTML kontentlər şifrələnmədən, telnet və email sessiyalar şifrələmə ilə ötürülə bilər. Yəni hər hansı proqramın və ya userin təhlükəsizliyi gələcəkdə təhkükəsizlik bazasını dəyişməklə yenilənə bilər. Yönlü təhlükəsizlik həlli. İPSec müxtəlif təhlükəsizlik mexanizmləri icra edə bilər. Autentifikasiya paketin doğru şəxsdən olduğunu təsdiq edir, şifrələmə paketin tərkibini gizlətmək üçün istifadə edilir, bütövlük paketin tranzit zamanı dəyişdirilmədiyini sübut edir, təkrarlama təhlükəsizlik isə əməliyyatların
  • 5. təkrarlanmasının və DOS atakların qarşısını alır. Həssas məlumatın təhlükəsizliyi. İPSec iki hosta tətbiq edilən zaman bu hostlar arasında olan rabitə təhlükəsizliyi İPSec şifrələməsi və autentifikası yolu ilə təmin olunur. Tam performans üçün şifrələməsi lazım olmayan məlumat İPSec tətbiq olunmadan göndərilə bilər. Nəqliyyat rejimi (Transport Mode). Nəqliyyat rejimi iki host arasında olan əlaqə təhlükəsizliyini təmin edir və tunel rejimindən (Tunnel Mode) daha sürətlidir, belə ki bu zaman əlavə ip başlığa ehtiyyac duyulmur. Bu zaman İPSec ESP/AH başlıqları orijinal İP başlıqlarından sonra və transport qatından əvvəl əlavə edilir. Nəqliyyat rejimindən İPSec əsas üstünlüyü ondan ibarətdir ki, bu zaman hostlar arasında olan əlaqə tam yol boyu təhlükəsizlik ilə təmin olunur. İki host arasında təhlükəsiz olmayan şəbəkələrin olması bu İPSec əlaqəsinə heç bir xəta törətmir.
  • 6. Tunel rejimi (Tunnel Mode). Bu zaman İPSec başlığından əvvəl İPSec xarici başlıq əlavə olunur. Başqa sözlə desək, yeni paket İPSec ESP/AH başlıqlarla və köhnə İP paketdən ibarət olur. Vir tua l Pri vat Şəb əkələr (VPN). İki və daha çox şəbəkələr Virtual Privat Şəbəkə mexanizmi ilə bir şəbəkəyə birləşdirilə bilər. Bu zaman İPSec tunnel rejimi ilə müxtəlif şlyuzlarda (gateway) təhlükəsizlik təmin edilir. Lokal şəbəkə üzərində paketlər şifrələnmədən göndərilir. Lakin şəbəkələr arasında İP paketlər daxili İPSec şlyuz tərəfindən şifrələnir və digər şəbəkədəki İPSec şlyuzuna göndərilir. Bir sözlə, lokal şlyuz göndəriləcək paketləri şifrələyir və digər paketlərin daxilinə qoyaraq digər şəbəkədə olan İPSec şlyuza göndərir. Qəbul edən şlyuz isə şifrələnmiş paketlə deşifrələyir və daxili lokal şəbəkəsinə deşifrələnmiş olaraq buraxır. Bu üsulun üstünlüyü ondan ibarətdir ki, İP təhlükəsizlik tətbiq etmək üçün şəbəkədə olan hostlara dəyişiklik tələb olunmur. İPSec tunel rejimi trafikin analiz edilməsinin də qarşısını alır. Tunel rejimində hacker tunelin daxilində olan paketlərin real source və destination adresslərini bilməyəcək, bilinən yeganə
  • 7. məlumat tunelin başlayıb-bitdiyi ünvanlardır. Sadəlik. Bir neçə hədəf bir İPSec şlyuzu tərəfindən qoruna bilər. Bu şlyuz hər istifadəçi adından lazım olan bütün şifrələməni həyata keçirir. Yüksək performans. Yalnız müdafiə olunmayan şəbəkələr üzərində olan məlumatlar şifrələnir. Lokal şəbəkə daxilində gedən informasiya şifrələməyə ehtiyac duymur və açıq mətn şəklində göndərilir. Şəbəkələr arasında yönləndirilən və müdafiəsiz xəttlərdən keçən məlumat şifrələnir. Bu üsulun üstünlüyü şifrələmənin yalnız tələb olunan yerlərdə həyata keçirməklə yüksən performans əldə etməkdədir. Elastiklik. Şəbəkələr ayrı yerlərdə yerləşə bilər. Şlyuzlar arasında paketlər tunel vasitəsilə göndərildiyindən şəbəkələr fiziki olaraq müxtəlif yerlərdə ola bilər. Bir şəbəkədəki kompyuter digər şəbəkədəki kompyuterlə öz lokal şəbəkəsində imiş kimi əlaqə qurmaq imkanına malikdir. Və son olaraq onu vurğulamaq istərdim ki, İPSec köhnə sistemlərə də tətbiq olunur. Yəni köhnə sistemlərə heç bir dəyişiklik edilmədən sadəcə şəbəkəyə yeni İPSec şlyuz qoyulur.