IPSec (Internet Protocol Security) protokolü, IP paketlerini kimlik doğrulamasına(authentication) ve şifrelemeye(encryption) tabi tutarak IP iletişimini güvenli hale getiren bir protokol takımıdır. IPSec, network katmanında çalışır ve routerlar,VPN istemcileri, PIX Firewall’lar ve IPSec uyumlu cihazlar arasında iletişimi güvenli kılar. IPSec açık bir standart olduğundan ötürü birçok kimlik doğrulama(authentication) ve şifreleme(encryption) algoritmasını içinde barındırır.
IPSec şu güvenlik fonksiyonlarını yerine getirir:
Veri Mahremiyeti (Data Confidentiality): IPSec veri mahremiyetini şifreleme ile güvence altına alır. Veri şifrelemesi üçüncü parti kişilerin verileri okumasını engeller. DES, 3DES ve AES IPSec’in kullandığı veri şifreleme algoritmalarıdır.
Veri Bütünlüğü (Data Integrity): IPSec gönderilen verinin varacağı noktaya değiştirilmeden ve manipüle edilmeden gönderilmesini sağlar. Bu fonksiyon hash algoritmaları vasıtasıyla yerine getirilir. Gönderilen mesaj üzerinde hash algoritması çalıştırılarak bir aonuç elde edilir. Alınan mesaj üzerinde de aynı hash algoritması çalıştırılarak elde edilen sonuç başlangıçta elde edilen sonuç ile karşılaştırılır ve iki sonucun birbiriyle aynı çıkması mesajın manipüle edilmeden gönderildiği anlamına gelir. MD5 (Message Digest 5) ve SHA-1 (Secure Hash Algorithm) veri bütünlüğü için IPSec tarafından kullanılan algoritmalardır.
Veri Kaynağı Kimlik Doğrulaması (Message Origin Authentication): IPSec alıcıları veri kaynağı için kimlik doğrulama işlemi gerçekleştirebilirler. Bu fonksiyon veri güvenliğinin doğru kaynakla yapıldığını güvence altına alır.
IPSec protokol sutinde; IKE (Internet Key Exchange), ESP (Encapsulating Security Payload) ve AH (Authentication Header) protokolleri bulunur. IPSec, bu protokoller sayesinde iki çift arasında güvenli bir tünel oluşturur. Gönderici taraf ilk olarak ne tür paket trafiğinin korunacağını ve bu tünel vasıtasıyla gönderileceğini belirler. Ardından tünelin karakteristiğini ortaya koyan parametreler belirlenir. IPSec çiftlerinden biri önceden belirlenen trafiklerden birini göndereceği zaman böylece özellikleri önceden belirlenmiş tüneli kurarak uzaktaki alıcıya paketleri bu tünel vasıtasıyla gönderir.
Tünelde hangi algoritmaların ve protokollerin kullanılacağı SA (Security Associations) tarafından ortaya konulur. IPSec, güvenliği sağlamak için üç ana protokol kullanır:
IKE (Internet Key Exchange): Güvenlik parametrelerinin ve anahtarların paylaşımından sorumludur. IPSec, veri şifrelemesi için simetrik şifreleme algoritmalarını kullanır. Bu algoritmalar güvenli bir anahtar paylaşımını gerektirir. IKE protokolleri güvenli bir biçimde anahtar paylaşımını olanaklı kılar.
AH (Authentication Header): AH, veri bütünlüğü (integrity) ve veri kaynağı kimlik denetimi sağlar. AH, korunması istenen datanın içine gömülür. ESP protokolünden itibaren AH protokolü önemini yitirmiştir.
ESP (Encapsulating Security Payload): ESP; verinin şifrelenmesi, kimlik denetiminden geçirilmesi ve güvenli hale getirilmesini sağlar. Birçok IPSec uygulamaları ESP’i kullanır.
