Bilindiği gibi IPSec (Internet Protocol Security), IP trafiğini dışarıdan ve içeriden gelen ataklara karşı korumak için kullanılan bir şifreleme tekniğidir. IPSec’in temelde iki amacı bulunmaktadır. Bunlar;
ü IP paket içeriğini korumak
ü Network saldırılarına karşı paket filtreleme yaparak paket içi bütünlüğü korumaktır.
Network’ünüz için bir IPSec senaryosu yapmadan önce aşağıdaki konuları dikkate almanız, çıkacak problemlerin en aza indirgenmesinde yardımcı olabilir.
ü IPSec dağıtım planı yapın.
ü IPSec tasarımınızın server-to-server, server-to-client ya da Remote Access gibi hangi senaryolarda kullanılacağının planını yapın.
ü Güçlü bir şifreleme için, 3DES (triple data encryption standart) kullanın.
ü Maximum güvenlik için, 2048 bitlik şifrelemeyi kullanın. Unutulmaması gereken bir konu da 2048 bitlik şifreleme yani Deffie-Helman Group 2048, yalnızca Windows Server 2003 ve 2008 işletim sistemlerinde kullanılabilir. Windows 2000 ve Windows XP işletim sistemlerinin bu özelliği yoktur. Windows 2000 ya da Windows XP ile 1024 bitlik Group 2 kullanılabilir.
ü Internete bağlanan bilgisayarlarınıza, güvensiz iletişime izin vermek network güvenliğinizi tehlikeye sokar. IPSec ile negotiate policy yapılandırılmış ise, güvenlik için bazı seçeneklerin devre dışı bırakılması gerekir. Bunlar, allow unsecured communitacion, but always respond using IPSec ve Allow unsecured communitacion with non-IPSec-aware computers’dır.
ü Preshared key kullanarak kimlik denetimi yapmak güvenliğinizi azaltır. Bu keylerin kullanılmasını, oluşturduğunuz IPSec policy’lerin test’inde kullanmak hem daha hızlı ve daha çabuk sonuçlar verir.
ü IPSec policy’lerinizi oluşturduktan sonra mutlaka bir test ortamında deneyin ve IPSec üzerinde iş yükü yaratıp network monitoring programları ile paketlerinizi izleyin.
Aşağıdaki uygulamada bir dc ile client arasındaki ping trafiğini güvenli hale getirmek için uygulanan IPSec negotiate policy’nin adımlarını anlatmaya çalışacağım.
IPSec negotiate policy oluşturmak için aşağıdaki adımları izleyebilirsiniz.
1) Sırasıyla Start, Run ve mmc yazıp Enter tuşuna basın. File’dan Add/Remove Snap-in seçeneğine tıklayın ve Add tuşuna basın. Açılan menüden IP Security Policy Management seçeneğine tıklayarak Add tuşuna basın.
Şekil-1
2) Local Computer kutucuğunu işaretleyin ve Finish tuşuna basın.
Şekil-2
3) IP Security Policies on Local Computer’a sağ tıklayın ve Create IP Security Policy seçeneğine tıklayın.
Şekil-3
4) IP Security Policy Wizard ekranını Next tuşuna basarak geçin.
Şekil-4
5) IP Security Policy Name penceresinde Name bölümüne policy’nin adını Description bölümüne policy’nin ne için kullanıldığını bildiren bir açıklama yazıp Next tuşuna basın.
Şekil-5
6) Request for Secure Communication bölümündeki Active the Default Response Rule kutucuğunu temizleyip Next tuşuna basın.
Şekil-6
7) Completing IP Security Policy Wizard penceresindeki Edit Properties kutucuğunu işaretleyip Finish tuşuna basarak wizard’ı sonlandırın.
Şekil-7
8) Açılan Server-to-client-ping Properties penceresinden General tabına tıklayın.
Şekil-8
9) Settings tuşuna basın ve Key Exchange Settings bölümü görüntülenir.
Şekil-9
10) Key Exchange Settings penceresindeki Methods tuşuna basın ve Key Exchange Security Methods penceresindeki Methods tuşuna basın.
Şekil-10
11) Security method preference order bölümündeki IKE DES MD5 ve IKE DES SHA1 güvenlik metotlarını Remove tuşuna basarak kaldırın.
Şekil-11
12) IKE 3DES SHA1 ve IKE3 DES MD5 güvenlik metotlarından her birinin üzerine tıklayın ve Edit tuşuna basarak IKE Security Algorithms penceresini açın ve Diffie-Helman Group bölümündeki Medium (2) seçeneğine tıklayarak bu değeri High (2048) yapın.
Şekil-12
13) Server-to-client-ping properties penceresine kadar OK tuşuna basın. Rules tabına tıklayın. Rules tabında Add tuşuna basmadan önce Use Add Wizard kutucuğunun dolu olduğundan emin olun ve Add tuşuna basın.
Şekil-13
14) Add tuşuna basarak Create IP Security Rule Wizard’ı başlatıp Next tuşuna basın.
Şekil-14
15) Tunnel Endpoint pencerisinde this rule does not specify a tunnel seçeneğini aktif hale getirip Next tuşuna basın. (Bu uygulama da tünel modu kullanılmayacağından bu seçenek aktif hale getirilmiştir.)
Şekil-15
16) Network Type penceresinde All network connections kutucuğunu işaretleyip Next tuşuna basın.
NOT: Bu kuralın Remote Access bağlantısında geçerli olmasını istiyorsanız Remote Access seçeneğini, sadece lokal network’ünüzde bu kuralın geçerli olmasını sağlamak için ise, local area connection (LAN) seçeneğini işaretlemelisiniz.
Şekil-16
17) IP Filter List penceresinde All ICMP Traffic seçeneğini işaretleyip, Next tuşuna basın. NOT: Tüm IP trafiğini IPSec ile koruma altına alabilmek için All IP Traffic seçeneğini işaretlemeniz gerekir.
Şekil-17
18) Filter Actions penceresinde Require Security seçeneğini işaretleyip Edit tuşuna basın.
Şekil-18
19) Require Security Properties penceresinde Security Methods tabına tıklayın. Negotiate Security seçeneğini işaretlendiğini kontrol edin. OK tuşuna basıp pencereyi kapatın ve Next tuşuna basın.
Şekil-19
20) Authentication Method penceresinde Active Directory Default (Kerberos V5 Protocol) kutucuğunu işaretleyip Next tuşuna basın. Finish tuşuna basarak wizard’ı sonlandırın. Daha sonra OK tuşuna basın ve konsola geri dönün
NOT: kimlik denetimi metodunu bir sertifika ile yapabileceğiniz gibi, en son seçenek olan bir preshared key oluşturarak da yapabilirsiniz.
Şekil-20
21) IP Security Policies on Local Computer’e sağ tıklayın ve All Tasks bölümünden Export Policies seçeneğine tıklayın. All Tasks seçeneğinden Export Policies seçeneğine tıklayın.
Şekil-21
22) Diğer pc’de paylaşıma açmış olduğunuz klasöre kopyalayın.
Şekil-22
23) Export edilen IPSec policy’i diğer pc’de import işlemini kullanarak policy’i aktif hale getirin. Bunu yapmak için Start, Run, mmc yazın ve IPSecurity on Local Computer’e sağ tıklayın. All Tasks seçeneğinden Import Policies’e tıklayın ve paylaşıma açılmış olan klasörün içinde ipsec_policy.ipsec dosyasına tıklayıp Open tuşuna basın.
Şekil-23
24) Policy’i aktif hale getirmeden önce diğer pc’ye ping atın.
Şekil-24
25) Pc’lerden birinde server-to-client ping policy’sinin üzerine sağ tıklayıp Assign tuşuna basın.
Şekil-25
26) Policy’i Assign yapıldıktan sonra diğer pc’ye tekrar ping atın ve Reply mesajı yerine Negotiating IP Security. Mesajının geldiğini görün.
Şekil-26
27) Şimdi her iki pc’de policy’i Assign edin. Aşağıdaki Şekilde de görüldüğü gibi ilk ping Negotiating IP Security ile ping in kaybolduğunu ancak bundan sonraki 3 mesajın Reply olarak geri döndüğünü gösterir. Bundan sonra artık bu iki pc’arasındaki tüm ICMP trafiği IPSec ile şifrelenmiştir.
Şekil-27
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar