IPsec protokolü için PDU (Protocol Data Unit), IPsec tünelinde taşınan veri paketlerinin toplam boyutunu ifade eder. IPsec, veri paketlerini şifrelediği ve güvenlik bilgilerini eklediği için, her bir paket için fazladan üstbilgi (header) eklenir. Bu nedenle, IPsec ile gönderilen bir paket, şifrelenmiş bir IP paketinden ve IPsec tarafından eklenen üstbilgilerden oluşur.
IPsec PDU Bileşenleri
- Orijinal IP Paketi: Taşınacak olan asıl veri, IP paketinin içinde yer alır.
- IPsec Üstbilgileri: IPsec tarafından eklenen çeşitli üstbilgiler bulunur, bunlar:
- ESP (Encapsulating Security Payload) Üstbilgisi: Şifreleme ve kimlik doğrulama sağlamak için kullanılır. ESP üstbilgisi, şifreleme sırasında paket verilerinin güvenliğini sağlar.
- AH (Authentication Header): (Kullanılıyorsa) Kimlik doğrulama sağlar ve veri bütünlüğünü korur. AH, tüm paketin doğruluğunu ve kaynağını doğrulamak için kullanılır.
- Ek Güvenlik Bilgileri: Paketlerin doğru bir şekilde işlenmesi ve yönlendirilmesi için gerekli olan bilgiler.
IPsec PDU Boyutu ve MTU
IPsec tünellerinde PDU boyutu, orijinal IP paketinin boyutuna ek olarak IPsec üstbilgileri ile artar. Bu durum, tünel üzerinden taşınacak toplam veri miktarını etkiler. Ancak, IPsec tünellerinin taşıyabileceği maksimum veri miktarı, fiziksel ağ bağlantısının MTU’su (Maximum Transmission Unit) tarafından sınırlanır.
Örneğin, birçok Ethernet bağlantısında tipik MTU değeri 1500 bayttır. Ancak, IPsec üstbilgileri bu değerin bir kısmını işgal ettiğinden, gerçek veri için kullanılabilir alan azalır. Bu durumda, orijinal IP paketinin boyutu ve IPsec üstbilgilerinin toplamı MTU’yu aşmamalıdır. Eğer aşarsa, paketlerin parçalanması veya düşmesi gerekebilir.
Tipik Üstbilgi Boyutları
- ESP Üstbilgisi: 20 bayt (minimum, kimlik doğrulama alanı olmadan)
- AH Üstbilgisi: 24 bayt (minimum)
- IPsec NAT Traversal: Ek 8 bayt (NAT-T kullanıldığında)
Bu üstbilgi boyutları, kullanılan şifreleme ve kimlik doğrulama algoritmalarına ve ek özelliklere göre değişebilir.
Kısaca;
IPsec PDU boyutu, orijinal IP paketinin boyutuna IPsec tarafından eklenen üstbilgilerin boyutlarının eklenmesiyle belirlenir. Bu, şifrelenmiş verinin toplam boyutunu etkiler ve fiziksel bağlantının MTU sınırlarını aşmamalıdır. Aksi takdirde, paketlerin parçalanması veya düşmesi gibi sorunlar ortaya çıkabilir.
Nerelerde karşımıza çıkar?
IPsec VPN’de “taşma” terimi, genellikle IPsec VPN tünelinin kapasitesini aşan veri trafiği veya güvenlik parametreleriyle ilgili bir sorun yaşandığında ortaya çıkan durumu ifade eder. IPsec VPN taşması, aşağıdaki durumlar veya sorunlar nedeniyle meydana gelebilir:
1. Kripto Harici Trafik (Non-Crypt Traffic) Taşması
Bu durumda, VPN tünelinin dışında kalan şifrelenmemiş (kripto harici) trafik, ağda belirlenen sınırları aşar. Bu, şifrelenmemiş trafiğin yönlendirme tablosu veya güvenlik politikaları tarafından belirlenen limitlerin ötesine geçmesi anlamına gelebilir.
2. Maksimum Bağlantı Sayısı Taşması
IPsec VPN cihazları, belirli sayıda eşzamanlı VPN bağlantısını destekleyebilir. Bu sınır aşıldığında, yeni VPN bağlantı istekleri reddedilir veya mevcut bağlantılarda performans sorunları yaşanabilir.
3. Veri Hacmi veya Bant Genişliği Taşması
VPN tünelinin taşıyabileceği maksimum veri hacmi veya bant genişliği kapasitesinin aşılması durumunda, tünel “taşar”. Bu durumda, veri paketleri düşebilir veya gecikmeler yaşanabilir, bu da bağlantının verimliliğini ve güvenilirliğini etkileyebilir.
4. Güvenlik Parametreleri Taşması
IPsec VPN’lerde kullanılan Güvenlik Dernekleri (Security Associations – SA) belirli bir ömre (lifetime) sahip olabilir. Bu ömür dolduğunda, yeni SA’lar oluşturulmalıdır. Ancak, SA’ların yönetimi veya yeniden oluşturulması sırasında oluşan sorunlar, veri trafiğinde kesintilere veya taşmalara yol açabilir.
5. Anahtar Değişimi veya Yenileme Sorunları
IPsec VPN bağlantıları, güvenlik amacıyla belirli aralıklarla şifreleme anahtarlarını değiştirir. Eğer anahtar değişimi sırasında sorunlar oluşursa veya anahtar değişimi çok sık yapılırsa, bu durum tünelde “taşma” sorunlarına yol açabilir.
6. MTU (Maximum Transmission Unit) Aşımı
VPN tünelinden geçen veri paketleri, tünelin taşıyabileceği maksimum paket boyutunu (MTU) aşarsa, paketlerin parçalanması veya düşmesi gerekebilir. Bu, performans kayıplarına ve bağlantı sorunlarına neden olabilir.
Önleme ve Yönetim: IPsec VPN taşmalarını önlemek ve yönetmek için çeşitli stratejiler kullanılabilir:
- Yeterli Bant Genişliği ve Kaynak Tahsisi: VPN tünelleri için yeterli bant genişliği sağlamak.
- Bağlantı Sayısını İzleme ve Yönetme: Cihazların desteklediği eşzamanlı bağlantı sayılarına dikkat etmek.
- MTU Değerlerini Doğru Ayarlama: Ağa ve kullanılan protokollere uygun MTU değerlerini ayarlamak.
- Güvenlik Parametrelerinin Yönetimi: SA’ların yaşam süresi ve anahtar değişim politikalarını doğru yapılandırmak.
255 görüntülenme
İletişime geç
Yorumlar (0)
-
Henüz yorum yok.