Yüksek Başarımlı Yazılım Tabanlı Ipsec Güvenlik Geçidi Tasarımı

Abstract

Veri haberleşmesinde güvenlik konusu günümüzde üzerine en çok araştırma yapılan konulardan biri haline gelmiştir. Özellikle kaynak ve zaman paylaşımının yapıldığı bilgisayar ağları gibi sistemlerde, verilerin korunması ve saldırıların önlenmesi için bir çok yöntem tasarlanmıştır. Tasarlanan yöntemler temelde verinin iletimi esnasında korumasını esas almaktadır. Bugün bilgisayar ağlarında kullanılan temel iletişim protokolü IP protokolüdür ve IPSec, ağ katmanında IP protokolü için tasarlanmış yaygın kullanımlı standart güvenlik mimarisidir. IP (IPv4) ile birlikte isteğe bağlı olarak genellikle kurumsal bazda şıkça kullanılan IPSec’ in yeni nesil IP (IPv6 ya da IPng) protokolüyle birlikte kullanımı zorunlu hale getirilmiştir. Artan güvenlik gereksinimleri ve IPv6’nın yaygınlaşmasıyla beraber IPSec’ in kullanımı dünya genelinde daha da artacağı düşünülmektedir. IPSec’ in bu şekilde artan kullanımı sonucunda IPSec yapan güvenlik geçitlerinin başarımları konusunda bugün için düşünülmeyen yeni problemler ve araştırma konuları ortaya çıkacaktır. IPSec güvenlik politikası veritabanlarının, kullanıcı sayısı ile doğru orantılı olarak büyümesi, güvenlik politikası veritabanlarında kararlar ile paketlerin eşleşmesini zorlaştırarak, IPSec başarımında ciddi bir dar boğaz oluşturacaktır. Bu konuda ortaya çıkan problemler için çeşitli çözümler düşünülse bile günümüz ağ cihazlarının statik ve değişime açık olmayan tasarımları bu çözümlerin gerçekleştirilmesini zorlaştırmakta hatta çoğu zaman imkansız hale getirmektedir. Ağ cihazlarının mimarilerinin donanım tabanlı olması bunun olmasının en büyük sebebidir. Ancak gelişen teknoloji sayesinde bugün işlemci hızları çok yüksek mertebelere ulaşmış ve bu gibi sistemlerin yazılım tabanlı olarak da yüksek başarımlı bir biçimde yapılabilmesine imkan vermiştir. Bu tez çalışması kapsamında öncelikle yüksek başarımlı ve yazılım tabanlı IPSec’ yapan bir güvenlik geçidi tasarlanıp gerçeklenmiştir. Tasarım nesneye dayalı bir biçimde, modülerlik ve esneklik ön planda tutularak yapılmıştır. Gerçeklenen modüler ve esnek yapı sayesinde yeni fikirlerin kısa sürede gerçeklenip sonuçlarının alınabileceği örnekler ile gösterilmiştir. IPSec’ protokolünde güvenlik politikası veritabanının boyutlarının büyümesinin cihaz başarımına etkileri test sonuçları gösterilmiş. Bu problem için çeşitli çözümler önerilmiş ve test sonuçlarıyla bu çözüm önerilerin sonuçları ortaya konmuştur. Bu çalışma sonucunda karar tablosunun boyutundan çok az etkilenen yüksek başarımlı ve yazılım tabanlı modüler bir güvenlik geçidi gerçeklenmiştir. Normal bir PC donanımı üzerinde yapılan testler sonucunda 16.000 kural sayısında bile yaklaşık 700.000 pps gibi çok yüksek bir başarım elde edilmiştir.

Nowadays, security has become one of the most interesting research issues in data communication, especially in computer networks where resource and time sharing is very common. There exist many standard systems designed for protection of data and preventing attacks. They are based on protection of data at the time of transmission. Today IP is the most popular protocol of the computer networks. Because security is not inherently built into the protocols of IP, securing IP traffic has largely been a chore for the higher layers. IPSec provides security services at the network layer. It is commonly used to refer to the secure IP packets of the AH and ESP protocols, because these provide the major security services. IPSec design is a framework for multiple services, algorithms and granularities The security services that IPSec provides can include access control, authentication (through data origin authentication and connectionless integrity), packet anti-replay protection, confidentiality through encryption, and limited traffic flow confidentiality. The new IPSec standards (IPSec version 3) defined by IETF, in December 2005. After its proven success in IPv4 and by making IPSec a mandatory part of IPv6, it is expected that IPSec will be much more widely used. On the other hand, the bandwidth requirement and number of nodes in network is growing exponentially, these will bring up new problems and research issues. With increasing number of rules in the security policy databases, packet classification will be one of the significant performance bottlenecks for IPSec security gateways. Another important topic for security devices is the reliability of the cryptographic algorithms and protocols they use. A reliable algorithm for today can be broken and become unreliable in the near future. In these cases, there will be a need for adapting new algorithms and protocols in a short critic time interval. Even there exist some suggestions for such problems; because of their closed, static, and inflexible designs applying them in today’s network devices is very difficult and mostly impossible especially for hardware based network processors. In this thesis, we designed a high performance, its object oriented software based IPSec security gateway. The most significant features of our design are its modularity, extensibility and flexibility. It is shown that, new ideas can be integrated easily with these features. Also in this study, a new scheme for IPSec policy search presented and its performance measured Designed software runs in the Linux kernel and for a size of 16,000-rules security policy database, its maximum IPSec forwarding rate is 700,000 64-byte packets per second on a conventional PC hardware.