Ağ Güvenliği P2P Ağlarda Güvenlik
description
Transcript of Ağ Güvenliği P2P Ağlarda Güvenlik
Ağ Güvenliği
P2P Ağlarda Güvenlik
Mustafa K. Madanoğlu704061021
Bilgisayar Bilimleri
Akış Giriş:
P2P ağ nedir ve kısa tarihçesi. P2P ağların yapısı. Güvenlik açıkları. Alınan önlemler. Sonuç
Giriş
P2P ağ nedir? P2p hesaplama sistemler arasında
bilgisayar kaynakları ve hizmetlerinin doğrudan değişimidir.
Bu kaynak ve hizmetler bilgi, proses çevrimi, cache bellek ve disk bellek değişimini de içermektedir.
En geniş tanımı ile p2p ağlar sunucu istemci sistemlerini de içine alacaktır.
Ancak son dönemde ortaya çıkan p2p anlayışı aynı makinenin hem sunucu hem istemci olduğu ağlardır
Peer-to-peer sistemler Dağılım Desentralizasyon Kendini organizasyon Simetrik iletişim
Geçmişi İlk ortaya çıkanlar Napster,
Gnutella,Freenet’tir Dosya paylaşımı(CFS,PAst) Ağ Depolama (Farsite) Haber dağıtımı(Herald,Bayeux)
P2P Ağların kullanım alanları: Dosya paylaşımı Birlikte çalışma Uç hizmetler Dağıtılmış hesaplama Akıllı ajanlar
The GRID Dağıtılmış,heterojen,çoklu organize
kaynak sağlayan sanal sistemler oluşturmaya yarayan aletler bütünü.
1995-96’da Ian Foster ve Carl Kesselman geliştirdi.
İlk sistem dağıtılmış olarak işleyen bir sistemdi.
NSF TeraGrid,NASA IPGRID,EUROGrid.
P2P ağların yapısı Node’lar yakındaki diğer node’ların
listesini tutar. Bir istek geldiğinde diğer node’lara
bir mesaj yollar. 23-byte -id,type,TTL,hops,payload
length Elinde istenen olan node doğrudan
geri döner.
IP/port değişimi ile birbirini tanır. -Asıllama olmadan yapıldığından
Flooding ve DoS saldırılarına açık. -Saldırgan istek yapan node’u başka bir
node’a hatalı olarak yönlendirebilir. Bunu çoğalırsa hedef node kendini DoS saldırısından koruyamaz.
-İstek yapan node ve istediği veri gizli olmadığından bunu herkes görebilir.
Sunucularda çalışan istemcilerden oluşur.
Sunucuların birbirini görmesi gerekir. Doğrudan birbirini görmeyenler için
yönlendirme sistemi gerekir(Ağ katmanının üzerinde).
Süper-peer’ler mevcuttur.
Güvenlik açıkları Flooding ve DOS
Ping Pong – ip,port, paylaşılan dosyalar Query – istek ve min. hat hızı Query hit – isteğe uyan dosyalar,
boyutları ve hat hızı Push – Firewall arkasındaki
istemcilere dosya yüklemek için
Pong, query etkisiz. Ping – önceden etkin. Süper-node
önledi. Query flooding haal etkin bir
saldırı.
İçerik Asıllama Gelen dosya ne bilmiyoruz. Önceden alıcının incelemesi çok
zor. Güvene dayalı.
İstek Kaçırma Her komşu node diğerinin içeriğini
görebilir. Herkes isteği ve isteği veren
node’u görebilir. Napster’a açılan davada bu
kullanıldı.
Çözümler Dağıtılmış Öz Tabloları (DHT)
Yeni nesil p2p ağlar bunu kullanıyor. Bir öz fonksiyonun dosya id ile nod’u
birbirine bağlamasına dayanıyor. Pastry, CAN, Chord.
Pastry NodeId’ler 128-bit id uzayında
dairesel olarak uniform dağılır.
Anahtara en yakın nodeId’e sahip node’a gidilir.
Her node komşularının listesini tutar.
ID’ler CA tarafından imzalanırsa güvenli olur. Yoksa kötü niyetli araya giren sistemi bozar.
Chord 160 bit dairesel id uzayı kullanır. N node’lu bir ağ için her node
O(logN) komşu bilgisi saklar. Her node’a ve anahtara bir id
verilir. Genelde IP ve KEY SHA-1 gibi bir öz almadan geçirilir.
İşaretçiler dairesel olarak sıralanmıştır. 2^m elemanlı bir daire Her node bir tablo tutar. Burada i. Giriş
kendisinden 2^(i-1) uzaktaki node’un id’sidir.
m. Terim onun halefidir. Halef olan node’lara aynı anahtar
atanır.
İçerik Adreslenebilir Ağlar(CAN) Her node öz uzayının bir bölümüne sahip
olacak şekilde d-boyutlu bir hiper küpe yönlendirir.
Her node da O(d) girdili bir routing tablosu var. Ve herhangi bir node’a en fazla (d/4)(N^1/4) atlama ile ulaşılabilir.
İyi yanı routing tablosunun ağ ile büyümemesidir. Ancak uygulamaya henüz geçirilememiştir. Çünkü hataya dayanıklı node bağlantıları sağlayamamaktadır.
NodeId isteğe bağlı atanabilirse Bir dosya belli bir alanda tutulabilir Bir kullanıcının tüm routingi kontrol
edilebilir Rastgele olması gerekir. Bir CA tarafında atanması ile
sağlanabilir. Güvenilir bir otorite lazım Basit bir anahtar alt yapısı kurulabilir.
Kötü amaçlı routing. Mesela en yakın node olduğunu iddia
ederse rotuing bozulur. 2 routing tablosu tutulursa çözülür.
Asıllama Dosyaların bir 3. aracı tarafından
asıllanması sağlanabilir. Merkezi bir yaklaşım olur.tüm gelen
giden dosyalar için belli bir bilgi tutulması gerekir. İş zorlaşır.
Ağın küçük olduğu yada dosya değişikliğinin ciddi hasara neden olduğu sistemlerde kullanılabilir.
Ancak çok sayıda kullanıcısı olan büyük, dinamik ağlarda uygulanması mümkün değildir.
Başka bir yöntemde birkaç kaynaktan dosyayı almak ve aynı olup olmadıklarına bakmaktır.
Bu basit bir checksum ile yapılabilir. Ancak dosyanın yada büyük bir
kısmının birkaç kere çekilmesi gerekir.verimli bir yöntem değildir.
FFT (Hızlı Fourier Dönüşüm) F(X), ve F(Y’) hesaplanabilir. Y’,
Y’nin tersidir. Daha sonra F(X) ve F(Y’)’nin
çarpımından elde edilen sinyalin ters Forier dönüşümü yapılırsa belli bir sinyal profili elde edilecektir.
FFT’nin başlıca avantajı: Dosyaların bit olarak eş olmasının
gerekmemesi, Dosyanın tamamının çekilmesinin
gerekmemesidir.
Şifreleme Karşılıklı şifreleme içerik güvenliği
açısından düşünülebilir. Ancak sonuçta istek vb. gören yine
karşıdaki peer olduğundan dolayı şifrelemenin çözüm olması olası değildir.
Sonuç Görüldüğü gibi p2p sistemler çok büyük
ölçüde güvene dayanmaktadır. Bir peer kötü niyetli olduğunda onu
önlemek çok zordur. Ancak bu problemler sadece Gnutella,
Kazaa, Napster gibi çok zayıf bağlı ağlarda söz konusudur. Grid benzeri yapılarda güçlü güvenlik önlemleri uygulanmaktadır.
Kaynaklar Security for Peer-to-Peer Networks, Dan S. Wallach, Rice
University Secure routing for structured peer-to-peer overlay
networks, Miguel Castro, Peter Druschel, Ayalvadi Ganesh, Antony Rowstron and Dan S. Wallach
Analysis of Peer-to-Peer Network Security using Gnutella, Dimitri DeFigueiredo, Antonio Garcia, and Bill Kramer
Peer-to-Peer Security, Allan Friedman, L. Jean Camp, Harvard University
http://www.etse.urv.es/~cpairot/dhts.html
Sorular