Windows 2000’de IPSec
Bu makalemizde IPSec protokolünü genel hatlarıyla ele
alıp, Windows 2000 ortamında IP trafiğinin güvenliğinin IPSec kullanarak nasıl
sağlanacağını ve IPSec’in paket filtreleme özelliğinin nasıl kullanılabileceğini
örnek bir network tasarımı yardımıyla
adım adım açıklayacağız.
-IPSec Nedir?
IPSec, ağ üzerindeki IP trafiğinin güvenliğini sağlamak üzere Internet Engineering Task Force (IETF)
tarafından geliştirilmiş bir protokoldür. IPSec ile alakalı olarak toplam 12
tane RFC (Request for Comments) tanımlanmıştır. (IPSec ile alakalı RFC
numaraları 2401 ile 2412 arasındadır). IPv4 geliştirilirken güvenlik göz ardı
edildiğinden ve günümüz ağları (Internet dahil) halihazırda halen IPv4’ü
kullandığından, IPv6’da güvenlik protokolü olarak kullanılan IPSec, IPv4
ağlarına da uyarlanabilecek şekilde geliştirilmiştir. Günümüzde Windows
2000/XP, NetWare 6, Solaris 9 gibi birçok işletim sistemi ve yönlendiriciler IPSec protokolünü destekler.
IPSec,
adından da anlaşılacağı gibi OSI referans modelinin IP katmanında çalışır ve
mevcut uygulamalarınızda herhangi bir değişiklik yapmadan güvenli bir IP
trafiği sağlar. Örneğin SSL kullanarak veri güvenliğini sağlamak istiyorsanız
bu durumda kullandığınız yazılımın SSL tabanlı olması gerekir. IPSec kullanarak
sadece IP trafiğinin güvenliğini değil, TCP, UDP, ICMP gibi üst katman
protokollerinin verilerinin de güvenliğini sağlayabilirsiniz.
IPSec
güvenlik mimarisi, uçtan uca (end to end) bir güvenlik modelidir. Yani sadece
iletişimde bulunan iki uç noktanın IPSec kullanması yeterlidir. Diğer bir değişle,veri iletimi
sırasında kullanılan ağ cihazlarının (örneğin yönlendiriciler (router),
anahtarlar (switch), köprüler (bridge)) IPSec kullanacak şekilde konfigüre
edilmesine gerek yoktur. Bu da, mevcut ağ altyapınızda herhangi bir değişiklik
yapmadan IPSec’i kullanmanıza imkan sağlar.
IPSec’i
iki farklı modda kullanabilirsiniz. Bunlar Transport Mode (client-to-client)
ve Tunnel Mode
(Gateway-to-Gateway) modlarıdır. Şimdi bu modları inceleyelim.
Transport
Mode: Bu mod, aynı yerel
ağda bulunan iki istemci arasındaki iletişimi korumak için kullanılır. Örneğin
aynı LAN’da bulunan iki Windows 2000 Workstation istemcisi arasındaki trafiği
korumak için IPSec Transport modda kullanılır. Bu modda her iki istemcinin de ağ
protokolü olarak TCP/IP
protokolünü kullanmaları gerekir.
Tunnel Mode : Bu mod, sadece ağ geçitleri (gateway)
arasındaki trafiğin korunması esasına dayanır. Bu modda paketler ağ geçidinden
çıktıkları zaman şifrelenir ve hedef ağın ağ geçidine vardıklarında şifreleri
çözülür. Bu modda iki ağ geçidi arasında bir tünel oluşturulur ve istemciden
istemciye olan iletişim tünel protokolü kullanılarak enkapsüle edilir.
Tüneller, IPSec kullanılarak oluşturulabileceği gibi, IPSec ve L2TP (Layer Two
Tunneling Protocol) protokollerinin birlikte kullanıldığı bir VPN (Virtual
Private Networking) bağlantısı kurmak için de kullanılabilir. Bu modda kaynak ve hedef istemci
bilgisayarların IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve
bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN
protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu
modda, ağ geçidi olarak bir tünel server, router,
firewall veya VPN cihazı kullanılabilir.
NOT
|
IPSec hakkında daha fazla bilgi ve IPSec teknolojisini
tanımlayan RFC’ler için www.ietf.org/html.charters/ipsec-charter.html adresini ziyaret
edebilirsiniz. |
IPSec
protokolünü kullanarak IP ağınızı, DoS (Denial-of-Service), man-in-the-middle ve spoofing saldırılarında karşı koruyabilirsiniz.
Örneğin, IPSec protokolünün aşağıda ele alacağımız integrity (bütünlük) ve
authentication (kimlik doğrulama) özellikleri, iletişimi gerçekleştiren
bilgisayarların birbirlerinin kimliklerinin doğrulanmasını sağlayarak IP
spoofing ve man-in-the-middle saldırılarına karşı bir güvenlik önlemi
sağlar. Bunun yanında IPSec’in IP
paketlerini şifrelemesini sağlayarak bu paketlerin ağ üzerinde güvenli bir
şekilde iletilmesini sağlayabilirsiniz. Böylece bu paketler ağ üzerindeki
üçüncü bir kişi tarafından bir sniffer kullanılarak yakalansalar dahi
paketlerin içeriği şifrelendiği için yakalanan paketler herhangi bir anlam
ifade etmeyecektir.
IPSec IP trafiğini korumak
için iki protokol kullanır. Bu protokoller Authentication Header (AH) protokolü
ve Encapsulating Security Payload (ESP) protokolüdür. Bu protokolleri anlatmaya
geçmeden önce IPSec’in güvenlik mimarisini oluşturan integrity (bütünlük), authentication
(kimlik doğrulama) ve confidentiality
(gizlilik) özelliklerinden bahsedelim.
-Integrity : Integrity (bütünlük) terimi, gönderilen mesajın
gerçekten gönderilen mesaj olup olmadığını belirtmek için kullanılır. Yani
integrity, gönderilen mesajın içeriğinin iletim sırasında birileri tarafından
değiştirilip değiştirilmediğinin algılanmasını sağlar. IPSec’de integrity, hash
fonksiyonları kullanılarak gerçekleştirilir. Hash fonksiyonları değişik
uzunluktaki mesajları girdi olarak alır ve bir anahtar yardımıyla sabit uzunlukta
bir çıktı üretirler. Bu çıktı message digest yada hash signature olarak
adlandırılır. Orijinal mesajdaki bir karakterin bile değişmesi hash
fonksiyonunun çıktısının tamamen farklı bir değer almasını sağlar. Hash
fonksiyonları tek yönlüdür. Yani message digest değeri kullanılarak
orijinal mesaj elde edilemez. Ağ üzerinden gönderilen mesajın gerçekten
gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın
hesapladığı message digest değeri ile mesajı gönderinin ilettiği message
digest değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim
sırasında müdahale edildiği anlaşılır.Alıcı
bilgisayarın doğru message digest
değerini hesaplayabilmesi için hash fonksiyonunda, mesajı gönderen
bilgisayarın kullandığı anahtarı kullanması gerekir. Windows 2000’de
kullanabileceğiniz hash fonksiyonları Message Digest 5 (MD5) ve Secure Hash
Algorithm (SHA-1)’dir. Şimdi bu fonksiyonlara kısaca değinelim.
Message Digest 5 (MD5) : Ron Rivest tarafından geliştirilen ve RFC 1321
‘de tanımlanan bu hash fonksiyonu, orijinal mesajı 512 bitlik bloklar halinde
işleme sokar ve çıktı olarak 128 bitlik bir message digest değeri
üretir.
Secure Hash Algorithm (SHA-1) :Orijinal mesajı 512 bitlik bloklar halinde işleme
sokan bu hash fonksiyonu çıktı olarak 160 bitlik bir message digest değeri üretir.
-Authentication :
Authentication (kimlik doğrulama), iletişimde bulunan her iki tarafın da
birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan
bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik
doğrulama metodunu kullanması gerekir. Windows 2000’de IPSec protokolünü
kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama metodu olarak aşağıdaki
yöntemleri kullanabilirler.
Preshared Key : Bu kimlik doğrulama metodunda,
iletişimde bulunan bilgisayarlar birbirlerinin kimliklerini doğrulamak için önceden belirlenen bir gizli anahtarı
kullanırlar.Bu yöntemde kimlik doğrulaması aşağıdaki şekilde gerçekleşir;
1. Mesajı gönderen bilgisayar
challenge olarak adlandırılan bir miktar veriyi önceden belirlenen gizli
anahtarı kullanarak hash fonksiyonuna sokar ve challenge ile hash fonksiyonunun
sonucu olan message digest değerini alıcı bilgisayara
yollar.
2. Alıcı taraftaki bilgisayar
aldığı challenge verisini kendisinde tanımlı bulunan gizli anahtarı kullanarak
aynı hash fonksiyonuna sokar. Hash fonksiyonunun çıktısı olan message digest değerini ilk bilgisayara
geri yollar.
3. İlk bilgisayar aldığı message
digest değerini kendi ürettiği değerle karşılaştırır ve message
digest değerleri aynıysa karşı tarafın aynı gizli anahtarı kullandığını
varsayar ve bu iki bilgisayar birbirine güvenir.
Kerberos Authentication : Windows 2000’de varsayılan
kimlik doğrulama metodu Kerberos v5’dir.
Bu metodda bir Kerberos sunucu Windows 2000 domaininde bulunan tüm
bilgisayarlar ve kullanıcılar için gizli anahtarları yönetir. Bir bilgisayar
diğer bir bilgisayarın kimliğini doğrulamak istediğinde Kerberos sunucuya
başvurur. Bu yöntem aynı domain üyesi bilgisayarlar arasındaki kimlik doğrulama
işlemi için oldukça elverişlidir. Ama iletişimde bulunacak bilgisayarlar aynı
domain’e üye değillerse diğer iki yöntemden biri kullanılmalıdır.
Certificate Authority
: Bu kimlik doğrulama metodunda bilgisayarlar birbirlerinin kimliklerini
doğrulamak için sayısal sertifikaları kullanırlar. Her iki bilgisayarında
güvendiği Certificate Authority (CA) tarafından imzalanan sertifikalar
aracılığıyla kimlik doğrulama işlemi gerçekleşir.
-Confidentiality : Confidentiality (gizlilik),
gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek
için kullanılır. Bu durumda, ağdaki paketler bir sniffer aracılığıyla
yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü
şahıslar tarafından okunması engellenmiş olur. Windows 2000’de tanımlanan
IPSec, IP paketlerini şifrelemek için DES (Data Encryption Standard) yada 3DES (Triple DES)
algoritmalarından birisini kullanır. DES bir simetrik şifreleme algoritmasıdır
ve veriyi şifrelemek ve şifrelenmiş veriyi çözmek için aynı anahtar kullanılır.
DES, orijinal mesajı 64 bitlik bloklar halinde işleme sokar ve çıktı olarak da
64 bitlik şifrelenmiş veri blokları üretir. 3DES algoritması ise her bloğu üç
kez şifreleme işlemine sokarak daha fazla güvenlik sağlar. Ayrıca DES, Cipher Block Chaining (CBC) tekniğini
kullanarak mesaj içindeki aynı blokların şifreli çıktılarının farklı olmasını
sağlar.
NOT
|
Windows 2000/XP’de 3DES
algoritmasını kullanabilmeniz için bilgisayarınızda high encryption
paketinin yüklü olması gerekir. Daha fazla bilgi için www.microsoft.com/windows2000/downloads/recommended/encryption/default.asp
adresini ziyaret edebilirsiniz. |
Şimdi
IPSec’in IP ağ trafiğini korumak için kullandığı AH (Authentication Header) ve
ESP (Encapsulating Security Payload)
protokollerini kısaca inceleyelim.
Authentication Header (AH)
: Bu protokol, IPSec’in veri
bütünlüğü (Integrity) ve kimlik doğrulama (Authentication) özelliklerini
destekler. AH, veriyi şifreleyemediği için IPSec’in gizlilik (Confidentiality)
özelliğini kullanamazsınız. Diğer bir deyişle, eğer ağ üzerindeki iletimin
şifreli bir şekilde gerçekleşmesini istiyorsanız bu protokol ihtiyacınıza cevap
vermeyecektir. Eğer AH protokolünü Transport modda kullanacaksanız bu durumda
Authentication Header bilgisi, orijinal IP başlığı ile bir üst katman
protokolünün (TCP yada UDP) başlığı arasına Şekil-1’de
gösterildiği gibi yerleştirilir. AH başlığı sayesinde tüm paket için kimlik
doğrulama özelliği, paketin imzalanmasıyla gerçekleşmiş olur. AH, HMAC
(Hash-based Message Authentication Code) algoritmalarını (örneğin MD5 veya
SHA-1 algoritmaları) kullanarak tüm paketi imzalar ve paket içindeki kaynak ve
hedef adresleri ile pakette taşınan verinin iletim sırasında değiştirilmemesini
sağlar.
Resim altı: Transport Modda
orijinal IP başlığına AH bilgisinin eklenmesinden sonra oluşan paket yapısı.
AH protokolü Microsoft tarafından orta düzey bir güvenlik metodu olarak
nitelendirir ve ağ üzerinde standart seviyede bir güvenlik isteyenler için
önerir.
Encapsulating Security Payload
(ESP) : Bu
protokol, IPSec’in veri bütünlüğü (Integrity), kimlik doğrulama
(Authentication) ve gizlilik (Confidentiality) özelliklerinin üçünü birden
destekler. Şekil-2’de ESP protokolü kullanılarak oluşturulmuş bir paketin
Transport moddaki
yapısını görebilirsiniz.
Resim altı: Transport Modda,
ESP protokolü kullanılarak elde edilen paketin yapısı.
Yukarıdaki şekilde de görüldüğü gibi orijinal
pakette sadece TCP başlğı, veri ve ESP trailer kısmı şifrelenir ve AH’nın
tersine ESP paketin tamamını imzalamaz.(Tunneling
modunda ESP paketin tamamını imzalar. Eğer orijinal IP paketinin de
imzalanmasını istiyorsanız bu durumda AH ve ESP protokollerini birlikte
kullanmalısınız.)
Yukarıdaki şekillerde, orijinal IP paket
yapısının, IPSec’in Transport modunda AH
ve ESP protokollerinin kullanılmasıyla nasıl değiştiğini ele aldık. IPSec’in
Tunnel modunda kullanılması halinde orijinal paketlerin yapısının nasıl değiştiğini
burada ele almadık. Bu konu hakkında geniş bilgi için makalenin sonunda verilen
site adreslerini ziyaret edebilirsiniz.
Güvenlik
Görüşmeleri (Security Negotiation)
IPSec
kullanarak iletişim kuracak bilgisayarların, bu iletişim sırasında hangi
algoritmaları ve protokolleri
kullanacaklarını belirlemeleri gerekir. IPSec’de, iletişim sırasında kullanılacak
metodların hangileri olacağını belirleme işlemine security associations (SA) denir. Kurulan SA’ları birbirinden ayırt
edebilmek için Security Parameters Index (SPI)’ler kullanılır. SPI’ler
üretilirken hedef bilgisayarın IP adresi ile rastgele seçilen bir sayı
kullanılır. Böylece her bir SA’nin farklı ve tek (unique) bir SPI’ya sahip
olması sağlanır.
Her bir SA’da aşağıdaki
parametreler belirlenir.
·
Şifreleme algoritması (DES yada 3DES)
·
Oturum Anahtarı (Internet Key Exchange aracılığıyla belirlenir)
·
Kimlik doğrulama algoritması (SHA1 yada MD5)
Anahtar Yönetimi
Anahtarlar,
bilgisayarlar arasında kurulan iletişimde kimlik doğrulamayı, bütünlüğü ve
gizliliği sağlamak için kullanılırlar. Anahtar yönetimi, anahtarların nasıl
oluşturulacağını, bu anahtarların etkinliğini ve anahtarların hangi sıklıklarla
değiştirileceğini ve kullanılan bu anahtarların ömürlerinin ne zaman dolacağını
tanımlar. Anahtar yönetimi manuel yada otomatik olarak gerçekleştirilebilir.Ama
ölçeklenebilirlik göz önünde tutulduğunda anahtar yönetimi için tercih edilen
yöntem otomatik anahtar yönetimidir. Otomatik anahtar yönetimi, Internet
Security Association Key Management Protocol (ISAKMP) ve Oakley Protocol
(Oakley) protokollerinin bir kombinasyonudur
(ISAKMP/Oakley) ve genellikle Internet Key Exchange (IKE) olarak anılır.
Anahtar
yönetimi iki aşamadan oluşur. İlk aşamada ISAKMP SA kurulur ve bu aşama main
mode olarak adlandırılır.İkinci aşamada ise IPSec
SA kurulur ve bu aşama da quick mode olarak adlandırılır. ISAKMP SA çift
yönlü, IPSec SA ise tek yönlü olarak kurulur. IPSec SA tek yönlü kurulduğundan
iletişimde bulunacak bilgisayarlar arasında en az iki tane IPSec SA kurulur.
Main modda, iletişimde bulunacak bilgisayarların hangi kimlik doğrulama metodunu, hangi
hash fonksiyonunu ve hangi şifreleme algoritmasını kullanacaklarına karar
verilir. Ayrıca bu modda, Oakley protokolünün anahtar değişim işlemini
yönetmesi için kullanılacak bir Diffie-Hellman grubu belirlenir.
ISAKMP/Oakley, Diffie-Hellman protokolünü, iletişimde bulunacak iki sistem
arasında güvenli bir kanal oluşturmak için kullanılacak bir paylaşılmış simetrik anahtarı (shared symmetric
key) oluşturmak ve anahtarın bu iki sistem arasında değiş tokuş edilmesini sağlamak için kullanır.
ISAKMP SA kurulumu ile
güvenli bir kanal oluşturulduktan sonra IPSec SA’lar kurulur. IPSec SA’ların
kurulumu yani quick mode işlemi yukarıda anlatılan main mode kurulumu ile
aynıdır. Sadece kullanılacak her bir protokol için (AH veya ESP) ve her bir yön
için (gelen ve giden trafik için) birer IPSec SA kurulur. Kurulan bu IPSec
SA’ların her biri kendi şifreleme algoritmasına, hash algoritmasına ve kimlik
doğrulama metoduna sahiptir ve bunlar diğer IPSec SA’larda kullanılanlardan
farklı olabilir.Bunun yanında her iki modda kullanılan
paylaşılmış simetrik anahtarlar (shared symmetric key) farklıdır.
-Windows 2000’de IPSec
Yukarıda,
IPSec mimarisini oluşturan bileşenler hakkında teorik bilgiler anlatıldı.
Bundan sonraki kısımda Windows 2000’de IPSec ‘in nasıl kullanılacağına
değineceğiz. Windows 2000’de IPSec’in nasıl konfigüre edileceğine geçmeden önce
hangi sistemlerde IPSec kullanmanız gerektiğine aşağıdaki soruları yanıtlayarak
karar vermelisiniz.
·
Genel olarak ağ üzerinde hangi tip veriler iletilir? Bu veriler ne
kadar önemlidir? Bu veriler arasından müşteri kayıtları, şirketinizin ticari
sırları gibi bilgiler var mı?
·
Bu önemli veriler nerede saklanıyor? Bu veriler, ağ üzerindeki hangi
bilgisayarlar tarafından kullanılıyor?
·
Internet gibi açık ağlarla bağlantınız var mı? Önemli verileriniz bu
bağlantı kullanılarak iletiliyor mu? Yerel ağ trafiğini güvenliğini sağlamak
sizin için önemli mi?
Yukarıdaki soruların
cevabını vererek IPSec’i uygulanacağı alanı, yani hangi bilgisayarlar
arasındaki hangi tür iletişimde IPSec’i kullanacağınızı belirleyebilirsiniz.
Windows 2000’de IPSec konfigürasyonu ve bu konfigürasyonun bilgisayarlara dağıtılması işlemi için Active Directory ve Group Policy kullanılır. Yani Windows 2000’de IPSec kullanmak istiyorsak bir policy (ilke) oluşturmalıyız. Oluşturacağımız bu ilke, bir domain seviyesinde uygulanabileceği gibi yerel bilgisayarlarda kullanılacak şekilde de oluşturulabilir.
NOT
|
Active
Directory içinde tanımlanan IPSec ilkelerinin önceliği, lokal
IPSec ilkelerinden daha yüksektir. Yani Active Directory ilkeleri her zaman lokalde tanımlanan ilkelerin üzerine yazar. |
Windows 2000’de IPSec konfigürasyonu için Microsoft yönetim konsolunu (MMC) kullanacağız. Start->Run komutunu çalıştırıp, karşımıza çıkan pencerede MMC yazarak boş bir yönetim konsolu oluşturuyoruz. Daha sonra yönetim konsolundaki Console menüsünden Add/Remove Snap-in komutunu çalıştırarak Add/Remove Snap-in başlıklı pencereyi açıyoruz. Bu penceredeki Add butonuna basarak Add/Standalone Snap-in başlıklı pencereyi açıp, bu pencerede listelenen eklentilerden (snap-in) Group Policy eklentisini seçerek Add butonuna basıyoruz. Karşımıza, Select Group Policy Object başlıklı pencere çıkacaktır. Bu penceredeki Group Policy Object kısmında varsayılan olarak Local Computer bulunur. Eğer IPSec ilkelerini (policy) domain yada herhangi bir OU (Organizational Unit) üyesi bilgisayarların tümü için veya başka bir bilgisayar için konfigüre edecekseniz bu durumda bu penceredeki Browse butonuna basarak ilgili domain, OU veya bilgisayarı seçebilirsiniz.Biz örneğimizde yerel bilgisayar için IPSec ayarlarını yapacağımızdan bu kısımdaki değeri Local Computer olarak seçip yönetim konsolunu oluşturuyoruz. Oluşturduğumuz yönetim konsolu Şekil-3’de gösterilmiştir.
Resim altı: IPSec
ilkelerinin yönetildiği yönetim konsolu
NOT
|
Eğer sadece IPSec
ilkelerini yönetecekseniz eklenti olarak IP Security Policy Management eklentisini (snap-in)
kullanabilirsiniz. |
IPSec ilkelerinin nasıl
oluşturulacağına geçmeden önce bir IPSec ilkesinin hangi bileşenlerden
oluştuğuna kısaca değinelim. Şekil-3’de görüldüğü gibi bir IPSec ilkesinde en
az bir tane IPSec kuralı bulunmalıdır. IPSec kuralında, IP süzme listeleri,
süzme eylemleri ve kimlik doğrulama metodları bulunur ve bu bileşenlerin farklı
kombinasyonları ile değişik IPSec kurallar
oluşturulabilir. Yani oluşturduğunuz bileşenleri başka IPSec kurallarını
tanımlarken de kullanabilirsiniz. IP süzme listesi (IP), oluşturulan ilkenin, hangi IP adresleri
arasındaki hangi portlar kullanılarak gerçekleştirilen trafiğe uygulanacağını
belirlemek için kullanılır. Oluşturulan bir IPSec kuralı içinde sadece bir tane
IP süzme listesi kullanabilirsiniz. Süzme eylemi ise, IP süzme listesinde
tanımlanan trafiğe uyan bir bağlantı isteğine nasıl cevap verileceğini
belirler. Kimlik doğrulama metotları ise, bağlantı kuracak iki bilgisayarın
birbirlerinin kimliklerini hangi metodu kullanarak gerçekleştireceğini belirler.
Windows 2000’de
tanımlanan IPSec, Kerberos, Preshared Key ve Certificate Authority metotlarını
kimlik doğrulama metodu olarak kullanabilir.
Resim altı: Windows 2000’de
IPSec ilke bileşenleri
IPSec ilkelerine, oluşturduğumuz yönetim konsolundaki Local Computer Policy->Computer Configuration->Windows Settings-> IP Security Policies on Local Machine yolunu izleyerek ulaşabiliriz. IP Security Policies on Local Machine objesine tıkladığımızda yönetim konsolunun ayrıntılar penceresinde, yani sağ taraftaki pencerede önceden tanımlanmış üç tane IPSec ilkesi (policy) görürüz. Bu ilkeler, genel ihtiyaçlar düşünülerek hazırlanmış ilkelerdir. Şimdi bu ilkelere bir göz atalım.
·
Client (Respond Only):
İsminden de anlaşılacağı gibi bu ilke özellikle istemci bilgisayarlar
düşünülerek hazırlanmıştır. Eğer bilgisayara bu ilkeyi atarsanız (assign),
sadece karşı taraftan
güvenli iletişim isteğinde bulunulduğunda IPSec bağlantısı kurulur. Karşı taraf güveli
bir bağlantı isteğinde bulunmadığı sürece bağlantıda IPSec kullanılmaz.
·
Server (Request Security): Bu
ilke, sunucular düşünülerek hazırlanmıştır ve bu ilkenin atandığı sunucular kendisinden
istekte bulunan istemcilere ilk önce güvenli bağlantı kurma isteği yollar. Eğer
istemciler güvenli bağlantı kurma yeteneklerine sahiplerse iki bilgisayar
arasındaki trafik IPSec kullanarak korunur. Aksi durumda, yani istemciler
güvenli bağlantı kurma yeteneklerine sahip değillerse (diğer bir değişle bu
istemcilerde IPSec ilkesi konfigüre edilmemişse) bu durumda iletişim IPSec
kullanılmadan gerçekleştirilir. Bu ilkeyi, dosya sunucusu olarak kullandığınız
ve hem Windows 2000/XP Professional gibi IPSec kullanabilen istemcilere hem de
Windows 98/NT gibi IPSec kullanamayan istemcilere hizmet veren Windows 2000
sunucular için kullanabilirsiniz. Böylece IPSec kullanabilen istemciler ile
güvenli bağlantılar gerçekleştirilirken, IPSec kullanamaya istemciler ile de
güvenli olmayan
bağlantılar kurulabilecektir.
·
Secure Server (Require
Security) : Bu ilkenin atandığı sunucular sadece güvenli
bağlantı isteğine cevap verebilen istemcilerle bağlantı kurabilirler. Bu
durumda güvenli bağlantı kurma yeteneklerine sahip olmayan istemciler bu
sunucuyla herhangi bir bağlantı kuramayacaklardır
Yukarıdaki IPSec ilkelerini
herhangi bir bilgisayara uygulamak istediğinizde ilkenin üzerine mouse ile sağ tıklayıp
açılan menüden Assign seçeneğini seçmeniz yeterli olacaktır. Bilgisayar atanan
ilkenin hangisi olduğunu anlamak için ilkelerin isimlerinin yanında bulunan
simgelere bakabilirsiniz. Aktif ilkenin başındaki simgede küçük yeşil bir
işaret bulunur. Aynı anda sadece bir tane IPSec ilkesini bilgisayara
atayabilirsiniz.
Eğer yukarıdaki üç ilke
sizin ihtiyacınızı karşılamıyorsa bu durumda kendi ilkenizi kendiniz
oluşturmalısınız. Bundan sonraki
anlatımlarımızda, Şekil-5’de gösterilen örnek ağ topolojisini kullanacağız. DMZ
ağında bulunan Web sunucu üzerinde şirketimizin Web sitesi yayınlanıyor olsun.
Biz bu sunucuyu uzaktan yönetmek için Windows 2000’in terminal servisini
kullanalım. Ayrıca sitenin güncellemesini ise FTP kullanarak gerçekleştiriyoruz
ve sitenin yönetimini Web browser aracılığıyla gerçekleştirmek istediğimizde
ise sunucunun 5953 numaralı TCP portunu kullanıyoruz.Tüm bu yönetim işlerinde
kullandığımız bilgisayar ise Wrk01 isimli bilgisayar. Wrk01 ile Web sunucu
arasındaki tüm iletişimin IPSec kullanarak güvenli bir şekilde
gerçekleştirilmesini istiyoruz. Bunun yanında, sadece Wrk01 bilgisayarının Web
sunucudaki FTP, Terminal servisi ve 5953 numaralı TCP portlarına bağlantı
gerçekleştirebilmesini, diğer bilgisayarlardan bu portlara gelecek bağlantı
isteklerinin ise kabul edilmemesini istiyoruz. Son olarak Web sunucuda
yayınladığımız Web sitesi herkese açık olduğu için bu sunucunun 80 (HTTP) ve
443 (HTTPS) numaralı TCP portlarına gelen tüm isteklerin ise IPSec
kullanılmadan yanıtlanmasını istiyoruz.
Resim altı:
Örnek ağ topolojisi
Yukarıdaki tüm bu istekleri,
oluşturacağımız IPSec
ilkeleri sayesinde gerçekleştirebiliriz. Bu ilkelerden bir tanesini Web sunucu
üzerinde diğerini ise Wrk01 adlı bilgisayar üzerinde tanımlayacağız. Öncelikle
Web sunucusu üzerinde tanımlayacağımız IPSec ilkesini oluşturmaya başlayalım.
Bunun için yönetim konsolundaki Local Computer Policy->Computer
Configuration->Windows Settings-> IP Security Policies on Local Machine
objesine sağ tıklayıp açılan menüden Create IP Security Policy seçeneğini
seçiyoruz. Karşımıza çıkan sihirbaz ekranındaki Next butonuna basarak IP
Security Policy Name başlıklı pencereye geçiyoruz. Bu pencerede, oluşturacağımız IPSec ilkesine vereceğimiz
ismi belirliyoruz. Next butonuna basıp ilerlediğimizde karşımıza Requests for
Secure Communication başlıklı pencere çıkacaktır. Eğer buradaki Activate the
default response rule seçeneğini seçerseniz gelen bağlantı isteği IPSec ilkesi
içindeki kurallara uymayan bir istekse bu durumda varsayılan kural
uygulanacaktır. Varsayılan kural, bağlantı kurmak isteyen istemcilere öncelikli
olarak güvenli bağlantı kurma isteği yollanacak şekilde oluşturulmuştur. Eğer
istemci güvenli bağlantı kurma yeteneğine sahip değilse bu istemcilerle
bağlantı kurulacak fakat
kurulacak bağlantı güvenli olmayan bir bağlantı olacaktır.
Örneğimizde IPSec ilkesi içindeki tüm kuralları kendimiz tanımlamak istediğimiz
için bu seçeneği seçmiyoruz. Next butonuna basıp ilerlediğimize karşımıza çıkan
penceredeki Edit Properties seçeneğini seçili bırakarak Finish butonuna basıyoruz.Karşımıza çıkacak bir sonraki pencere Şekil-6’daki
pencere olacaktır. Bu pencerede, IPSec ilkesi içinde tanımlanan IPSec kuralları
listelenir ve bu kurallardan hangilerinin uygulanıp hangilerinin
uygulanmayacağı bu pencere kullanılarak belirlenir. Uygulamak istediğiniz
kuralın önündeki kutucuğu işaretlerseniz o kural IPSec ilkesi içerisinde aktif
olacaktır.
Resim altı:
IPSec ilkesi içinde oluşturulan kuralların listelendiği pencere
Örneğimizdeki Web sunucu
üzerinde tanımlanan IPSec ilkesi içinde üç tane IPSec kuralı oluşturacağız. Bu
kurallardan bir tanesi, Web sunucudan Wrk01 bilgisayarına FTP (TCP 20 ve 21 numaralı portlar),
Terminal servisi (TCP 3389 numaralı port) ve Web sitesini yönetmek için
kullanılan 5953 numaralı TCP portuna yapılacak bağlantıların güvenli
bağlantılar olmasını sağlayacak, diğer bir kural Web sunucuya gelen HTTP (TCP
80 numaralı port) ve HTTPS (TCP 443 numaralı port) bağlantı isteklerinin
güvenli olmayan bağlantılar kullanılarak cevaplanmasını sağlayacak, son kural
ise yukarıdaki kurallarda belirlenen kriterlere uymayan tüm bağlantı isteklerinin
reddedilmesini sağlayacak. Wrk01 adlı bilgisayarda oluşturacağımız IPSec
ilkesinde ise, sadece Web sunucunun 20, 21, 3389 ve 5953 numaralı TCP
portlarına yapılacak bağlantıların güvenli bağlantılar olmasını sağlayacak bir
tek kural tanımlamamız yeterli olacaktır. Böylece IPSec kullanarak hem paket
filtreleme, hem de güvenli bağlantı kurma işlemini bir arada yapmış olacağız.
Yeni bir kural oluşturmak
istediğimiz için Şekil-6’daki pencerede bulunan Add butonuna basıyoruz. Eğer
yeni kural oluşturma sırasında sihirbaz kullanmak istiyorsanız bu durumda Use
Add Wizard seçeneğini seçmelisiniz. Add butonuna basıp yeni kural oluşturma
işlemini başlatıyoruz. Karşımıza çıkan ilk pencereyi Next butonuna basarak
geçiyoruz. Bir sonraki pencere Tunnel Endpoint başlıklı pencere olacaktır. Eğer
IPSec’i tunnel modunda kullanacaksanız bu penceredeki The tunnel endpoint is
specified by this IP address seçeneğini seçerek kurulacak tünelin uç noktası
olarak konfigüre edilen cihazın IP adresini yazmalısınız. Örneğimizde IPSec’i Transport
modda kullanacağımız için bu penceredeki This rule does not specify a tunnel
seçeneğini seçerek Next butonuna basıp ilerliyoruz. Bir sonraki pencere,
oluşturulacak kuralın hangi tür ağ bağlantılarında kullanılacağının
belirlendiği Network Type başlıklı penceredir. Bu pencerede All Network
Connection, Local area network (LAN) ve Remote access
olmak üzere üç seçenek bulunur. Oluşturacağımız kural yerel ağ içinde geçerli
olacağında Local area network seçeneğini seçip Next butonu basarak ilerliyoruz.
Bir sonraki pencere, bu kuralda kullanılacak kimlik doğrulama metodunun belirlendiği Authentication
Method başlıklı Şekil-7’deki pencere olacaktır.
Resim altı:
Oluşturulan kural içinde hangi kimlik doğrulama metodunun kullanılacağının
belirlendiği pencere
Daha önce de değindiğimiz
gibi Windows 2000’de tanımlanan IPSec, kimlik doğrulama metodu olarak Kerberos,
Certificate Authority ve Preshared Key yöntemlerini destekler. Eğer güvenli
iletişim kuracak bilgisayarlar aynı etki alanı (domain) üyesi iseler kimlik
doğrulama metodu olarak Kerberos en kolay çözüm olacaktır. Örneğimizde kimlik
doğrulama metodu olarak preshared key yöntemi seçtik. Eğer kimlik doğrulama
metodu olarak preshared key yöntemini seçerseniz, bağlantı kuracak tüm
bilgisayarlarda aynı anahtarı kullanmalısınız. Aksi takdirde anahtarlar
uyuşmayacağı için kimlik doğrulaması gerçekleşemeyecek ve bağlantı
kurulamayacaktır. Microsoft, kullanılacak anahtarın en az 20 karakter olması
öneriyor. Ama siz isterseniz 1000 karakterden daha fazla uzunlukta bir anahtar
kullanabilirsiniz. Next butonuna basıp ilerlediğimizde karşımıza IP süzme
listelerinin bulunduğu IP Filter List başlıklı pencere çıkacaktır. Bu pencerede
önceden oluşturulmuş IP süzme filtreleri listelenir. Bir IPSec kuralı içinde
sadece bir tane IP süzme listesi bulunabilir. Mevcut IP süzme listeleri
ihtiyacımızı karşılayamadığı için bu penceredeki Add butonuna basarak yeni bir
IP süzme listesi oluşturmaya başlıyoruz. Karşımıza, IP Filter List başlıklı bir
pencere çıkacaktır. Bu pencerede, oluşturacağımız IP süzme listesi için bir
isim belirleyebilir ve bu IP süzme listesi hakkında bir açıklama yazabiliriz.
Bu penceredeki Add butonuna basarak önceden belirlediğimiz kriterlere
uyan trafiği belirlemeye başlıyoruz.
Oluşturacağımız
ilk IP süzme
listesi içerisinde Wrk01 bilgisayarından Web sunucunun 20, 21, 3389 ve 5953
numaralı TCP portlarına gelecek bağlantıları tanımlayacağız. Her bir bağlantı
için IP süzme listesine Add butonuna basarak birer filtre gireceğiz. Öncelikle
Web sunucudan Wrk01 bilgisayarına, Web sunucunun 20 numaralı TCP portunu
kullanarak gerçekleştirilecek bağlantıyı tanımlayan bir filtre oluşturalım. Add
butonuna bastığımızda karşımıza çıkacak sihirbaz ekranını Next butonuna basarak
geçiyoruz. Bir sonraki pencere, kaynak IP adresinin belirlendiği IP Traffic
Source başlıklı pencere olacaktır. Bu penceredeki Source Address kısmında My IP
Address, Any IP Address, A specific DNS Name, A specific IP Address ve A
specific IP Subnet olmak üzere beş seçenek bulunur. Kaynak adresi olarak,
üzerinde kural tanımladığımız bilgisayarın IP adresini belirleyeceğimiz için
buradaki seçeneklerden My IP Address seçeneğini seçip Next butonuna basarak IP
Traffic Destination başlıklı pencereyi açıyoruz. Hedef adresin belirlendiği bu
penceredeki Destination Address kısmına Wrk01 bilgisayarının IP adresini
(192.168.0.10) yazıp Next butonuna basarak protokol tipinin belirlendiği IP
Protocol Type başlıklı pencereyi açıyoruz. Bu penceredeki Select a protocol
type kısmından TCP protokolünü seçip Next butonuna basarak ilerliyoruz. Bir
sonraki pencere, bağlantı sırasında kullanılacak portların belirlendiği IP
Protocol Port başlıklı penceredir. Bu penceredeki seçeneklerden From this port
seçeneğini seçerek buraya 20 yazıyoruz. Alttaki seçeneklerden ise To any port
seçeneğini seçip Next butonuna basarak ilerliyoruz. Son olarak karşımıza çıkan
penceredeki Finish butonuna basarak filtre oluşturma işlemini bitiriyoruz.
Yukarıdaki adımları 21, 3389 ve 5953 numaralı TCP portlarını içeren filtreleri
oluşturmak için de tekrarlıyoruz. Filtre oluşturma işlemi bittikten sonra IP
Süzme listesi Şekil-8’de görüldüğü gibi olmalıdır. Wrk01 bilgisayarında
tanımlayacağınız IP süzme listesi ise Şekil-8’deki listeye benzeyecektir.
Aralarındaki tek fark Şekil-8’deki listede bulunan hedef ve kaynak IP adresleri
ile hedef ve kaynak port numaralarının yerlerinin değişmiş olmasıdır.
Resim altı:
Oluşturulan IP süzme listesinin son hali
IP süzme listesini
oluşturduktan sonra Close butonuna basarak IP Filter List başlıklı pencereye
geri dönüyoruz. Bu pencerede listelene IP süzme listeleri arasından az önce
oluşturduğumu seçip Next butonuna basıyoruz. Karşımıza Filter Action başlıklı
bir pencere çıkacaktır. Bu penceredeki Filter Actions kısmında önceden
tanımlanmış süzme eylemleri listelenir. Eğer buradaki süzme eylemleri sizin
ihtiyacınıza cevap vermiyorsa bu durumda Add butonuna basarak yeni bir
süzme eylemi oluşturabilirsiniz.Yeni
bir süzme eylemi oluşturmak için Add butonuna basıp, karşınıza çıkacak sihirbaz
ekranında Next butonu yardımıyla
ilerliyoruz. Bir sonraki pencere, oluşturacağımız süzme eylemine vereceğimiz
ismi belirleyeceğimiz Filter Action başlıklı pencere olacaktır. Oluşturduğumuz
süzme eylemine uygun bir isim verip Next butonuna basarak ilerliyoruz. Bir
sonraki pencere, Filter Action General Options başlıklı pencere olacaktır ve bu
pencerede bir önceki adımda oluşturduğumuz IP süzme listesine uygulanacak süzme
eyleminin ne olacağı belirlenir. Bu pencerede üç seçenek vardır. Bu seçeneklerden Permit
seçeneğini seçerseniz önceki adımda seçtiğimiz IP süzme listesinde tanımlanan
trafiğe izin verilecek, seçeneği Block olarak seçerseniz trafiğe izin
verilmeyecektir. Eğer IP süzme listesinde belirttiğiniz trafiğin güvenli
bağlantı üzerinden gerçekleşmesini istiyorsanız Negotiate security seçeneği
seçmelisiniz. Negotiate security seçeneğini seçip Next butonuna basarak
ilerlediğimizde karşımıza Communicating with computers that do not support IPSec
başlıklı pencere çıkacaktır. Eğer bu penceredeki Do not communicate with
computers that do not support IPSec seçeneğini seçerseniz IPSec kullanamayan
bilgisayarlarla bağlantı kurulmayacaktır. Eğer IPSec kullanamayan bilgisayarlar
ile bağlantı kurulmasını istiyorsanız bu durumda Fall back to unsecured
communication seçeneğini seçmelisiniz.Bu seçeneği
seçerken dikkatli olmalısınız. Aksi takdirde oluşturduğunuz tüm bu IPSec ilkesi
bir işe yaramayabilir. Örneğimizde Do not communicate with computers that do
not support IPSec seçeneğini seçip Next butonuna basarak ilerliyoruz. Bir
sonraki pencere, güvenli bağlantı için IPSec’in hangi protokolünün
kullanılacağının belirlendiği Şekil-9’daki IP Traffic Security başlıklı pencere
olacaktır.
Resim
altı: Hangi IPSec protokolünün uygulanacağının belirlendiği IP Traffic Security
başlıklı pencere
Bu penceredeki High (Encapsulated Secure Payload) seçeneğini seçerseniz IPSec protokolü olarak ESP, Medium (Authenticated Header) seçeneğini seçerseniz AH protokolü kullanılacaktır. Bunun yanında eğer varsayılan ESP ve AH ayarlarında değişiklik yapmak istiyorsanız Custom seçeneğini seçerek ilgili değişiklikleri (örneğin kullanılacak hash algoritmasını ve şifreleme algoritmasını) istediğiniz gibi ayarlayabilirsiniz. Örneğimizde ESP protokolünü kullanacağımız için High (Encapsulated Secure Payload) seçeneğini seçip Next butonuna basıyoruz. Son olarak karşımıza çıkan penceredeki Finish butonuna basarak süzme eylemi oluşturma işlemini bitiriyoruz. Oluşturduğumuz bu süzme eylemi, süzme eylemlerinin listelendiği Filter Action penceresine eklenecektir. Oluşturduğumuz bu süzme eylemini seçip Next butonuna basarak ilerliyoruz. Bir sonraki pencerede bulunan Finish butonuna basarak IPSec ilkesi içindeki ilk kuralımızı oluşturuyoruz.
Yukarıdaki adımları
tekrarlayarak 80 ve 443 numaralı TCP portları kullanılarak gerçekleştirilen
bağlantılara izin verecek ve
bunun haricindeki tüm bağlantıları yasaklayacak iki tane daha
IPSec kuralı oluşturuyoruz. Oluşturduğumuz IPSec ilkesinin son hali Şekil-10’da
gösterildiği gibi olmalıdır.
Resim altı: Web sunucu için oluşturduğumuz IPSec
ilkesinin son hali
NOT
|
Oluşturduğunuz
IP Süzme kuralında, süzme eylemi olarak Permit (izin ver) seçeneğini
seçerseniz bu kural içinde belirlemiş olduğunuz
kimlik doğrulama metodu dikkate alınmayacaktır. |
IPSec ilkesi içinde birden
fazla IPSec kuralı tanımlayabiliyoruz. Peki
oluşturulan bu kurallar hangi sıraya göre işleme sokulur? Şekil-10’da
gösterildiği gibi, örneğimizdeki Web sunucu üzerinde tüm IP trafiğini
yasaklayan bir kuralın yanında, 80 ve 443 numaralı TCP portlarına gelecek
bağlantı isteklerine cevap verecek bir kural daha tanımladık. Peki bu kurallar çakışmaz mı? Windows 2000, IPSec
kurallarını işleme sokarken daha belirleyici olana öncelik tanır. Kaynak ve
hedef IP adresine göre öncelik sırası şöyledir; My IP Address, Specific IP Address, Specific IP Subnet ve Any IP
Address. IP süzme listesi oluştururken kullanılacak protokolü belirtmişseniz bu
kural, kullanılacak protokolün herhangi (Any) bir protokol olarak belirlendiği
kurala göre daha önceliklidir. Aynı şekilde port numarası belirlenen kural,
port numarasının belirtilmediği kurala göre daha önceliklidir.
Web sunucu için oluşturduğumuz
IPSec ilkesinden sonra Wrk01 bilgisayarından da bir IPSec ilkesi oluşturuyoruz.
Bu ilkede tanımlayacağımız kuralla Wrk01 bilgisayarından Web sunucunun 20, 21, 3389 ve 5953
numaralı TCP portlarına yapılacak bağlantıların IPSec kullanılarak
gerçekleştirilmesini sağlayacağız. Bu kuralı yukarıda anlattıklarımızı baz alarak kendiniz oluşturabilirsiniz.
Her iki bilgisayar üzerinde
oluşturduğumuz bu ilkeleri bilgisayarlara atamadığımız sürece ilkeler
kullanılmayacaktır. Oluşturulan bir IPSec ilkesini bilgisayara atamak için
Microsoft Yönetim konsolunda listelenen IPSec ilkelerinden atamak istediğimizin
üzerine sağ tıklayıp açılan menüden Assign seçeneğini seçmemiz yeterli. Daha
sonra yaptığımız bu değişikliğin hemen etkili olması için secedit komutu
yardımıyla bilgisayar ilkelerini güncelliyoruz. Aşağıdaki komutu her iki
bilgisayarda da çalıştırıyoruz.
secedit
/RefreshPolicy MACHINE_POLICY
Şimdi sıra, oluşturduğumuz IPSec ilkelerinin düzgün
çalışıp çalışmadığını denemeye geldi. Bunun için Wrk01 bilgisayarından Web
sunucu bilgisayarına bir FTP bağlantısı gerçekleştiriyoruz. Daha sonra Web
sunucudaki Olay Görüntüleyicisindendeki (Event Viewer) Güvenlik (Security) konteynırında 541 numaralı olayı buluyoruz. 541 numaralı
olay bize iki bilgisayar arasında bir IPSec SA’nın başarıyla kurulduğunu
söyler.
NOT
|
Event
Viewer’da IPSec ile alakalı olayların olay numaraları (Event ID) 541 ile 547
arasındadır. Örneğin 542 numaralı olay, IPSec SA’nın sonlandırıldığını, 545
numaralı olay, iletişimde bulunacak bilgisayarların birbirlerinin
kimliklerini doğrulayamadığını belirtir. IPSec ile alakalı olayların olay
numaraları ve açıklamalarını Microsotf’un Web sitesinde bulabilirsiniz. |
Şimdide IPSec kullanarak gerçekleştirilen
trafiğin ağ izleme programları aracığıyla yakalanması durumunda paketlerin
nasıl göründüğünü inceleyelim. Şekil-11’de Sniffer Pro yazılımı kullanılarak
yakalanan ve 192.168.0.3 ile 192.168.0.10 bilgisayarları arasında gerçekleşen FTP
trafiğini görebilirsiniz. Bu trafik normal bir FTP oturumu olmasına karşın
paketlerin çözülmesi (decode) ve bu paketlerin FTP protokolüne ait paketler
olduğunun anlaşılması oldukça zordur.
Resim
altı: Sniffer Pro kullanılarak yakalanan IPSec trafiği
Windows 2000’de, kurulan IPSec SA’larını görebilmeniz için geliştirilen bir program mevcuttur. IP Security Monitor isimli bu programı çalıştırmak için Start->Run ‘dan ipsecmon yazıp Enter butonuna basıyoruz. Karşımıza Şekil-12’deki ekran çıkacaktır. Bu ekran yardımıyla IPSec ve ISAKMP/Oakley istatistiklerini, programın çalıştırıldığı bilgisayarda IPSec’in aktif olup olmadığını ve hangi bilgisayarlar arasındaki hangi trafiğin IPSec kullanılarak korunduğunu görebilirsiniz. Bu ekran her 15 saniyede bir güncellenir. Eğer bu zaman aralığını azaltmak yada arttırmak isterseniz Options butonunu kullanabilirsiniz.
Resim
altı: IP Security Monitor uygulaması
Windows
XP ve Windows 2003’de IP Security Monitor uygulaması bir eklenti (snap-in) olarak
gelir ve bu uygulamayı çalıştırmak için bir MMC gerekir. Ayrıca
bilgisayarınızdaki aktif IPSec ilkesi
hakkında daha fazla bilgi istiyorsanız Windows 2000 Support Tools içinde
bulunan netdiag.exe programını kullanabilirsiniz. (Bu
program kullanmak için Windows 2000 CD’si içindeki Support Tools uygulamasını
kurmalısınız.). Örneğin bu programı aşağıdaki anahtarlar yardımıyla netdiag /test:ipsec
/debug
şeklinde çalıştırarak bilgisayarınızdaki aktif IPSec ilkesi hakkında oldukça
geniş bilgilere sahip olabilirsiniz.
NOT
|
Windows
2000’de kullanılan IPSec, Broadcast
ve Multicast paketleri ile Resource Reservation Protocol (RSVP), Internet Key
Exchange (IKE) ve Kerberos protokollerine ait paketlerin güvenliğini
sağlayamaz. Bunun yanında IPSec, NAT (Network Address Translation) ile birlikte kullanılamaz. Ayrıca IPSec
trafiğinin üzerinden geçeceği Firewall ve Router’da, protokol numaraları 50
ve 51 olan ESP
ve AH protokollerine ait paketler ile 500 numaralı UDP portunu kullanan
paketlere izin verilecek şekilde konfigürasyon yapılmalıdır. |
Faydalanılabilecek Kaynaklar
|
Securing
W2K with IP Filters: Part 1 (Step-by-Step How-To Guide) http://online.securityfocus.com/infocus/1559 Securing
W2K with IP Filters: Part 2 (Implementing Encryption) http://online.securityfocus.com/infocus/1566 Using
IPSEC to Lock Down a Server http://www.microsoft.com/serviceproviders/columns/using_ipsec.asp How
to Enable IPSEC Through a Firewall http://support.microsoft.com/default.aspx?scid=kb;en-us;Q233256 Basic
IPSec Troubleshooting in Windows 2000 http://support.microsoft.com/default.aspx?scid=kb;en-us;Q257225
|