Ana Sayfa » İşletim Sistemi » MCSE » Internet Protocol Security

Internet Protocol Security

ETKIKET: , - SAAT: Temmuz 19, 2012
IPSec tanımı

Internet Protocol Security (IPSec) güvenli haberleşmeler sağlamak ve IP ağları üzerinde kişisel gizliliği korumak için standartlar üzerine kurulmuş bir yapıdır. IPSec RFC (Requests for Comments) 2401-2411 de tanımlanmış olan bir IETF (Internet Engineering Task Force) standartıdır. Çoğu ağların güvensiz olduğu ve kablo üzerinde seyahat ederken verileri korumak için ek komponentler gerektirdiği düşüncesinden yola çıkarak IPSec kaynak kimlik tanılama, bütünlük kontrolü ve içerik gizliliği sağlamaktadır.

Kimlik Tanılama
IPSec`in kullandığı protokollerden biri 'Kimlik Tanılaması Başlığı'dır (AH-Authentication Header). AH tüm datagram`ın bir 'sağlama toplamını' (checksum) içermektedir ve IPSec datagram`ındaki orjinal IP başlığından sonraya yerleştirilir. AH aşağıdakilerden oluşur:
  • Sonraki başlığı (Next Header) Orjinal IP başlığının protokol numarası.
  • Yük boyutu (Payload Length) Kimlik tanılaması başlığının uzunluğu.
  • Güvenlik Parametre İndeksi (Security Parameter Index - SPI) Kimlik tanılama başlığı bağlantılarını diğerlerinden ayırmayı mümkün kılan 32-bitlik bir seri numara
  • Sıra Numarası (Sequence Number) Replay koruması için Kimlik Tanılaması datagram`ının seri numarası
  • Bütünlük Kontrol Değeri (Integrity Check Value-ICV) AH datagram`ının kriptografik bir bütünlük sağlama toplamı (checksum).


AH bir ağı 3 tip saldırıdan korur:


* Replay Saldırıları, kötü amaçlı bir kişinin bazı paketleri yakalaması, daha sonrası için kaydetmesi ve sonra tekrar yollaması. Bu tip saldırılar saldırganın artık ağda bulunmayan bir makinenin yerine geçebilmesini sağlar. AH pakete anahtarlanmış bir 'hash' ekleyerek, başkalarının paketi tekrar gönderebilmesini engelleyerek replay saldırılarına karşı koruma sağlar.
* Değişiklik, IPSec`in kullandığı anahtarlanmış hash paketin gönderildikten sonra içeriğinin değiştirilmediğine emin olunmasını sağlar.
* Spoof, AH protokolü iki-yönlü kimlik tanılama sunar, istemci ve sunucunun her ikisinin de bir diğerinin kimliğinden emin olmasını sağlar.

Gizlilik
Kimlik tanılama başlığı (AH) saldırılara karşı kimlik tanılama sağlar. IPSec ayrıca gizlilik için anlaşılan bir algoritma ile veriyi kriptolamak için ESP (Encapsulating Security Payload) protokolünü de kullanır. ESP protokolü her paketin içindeki tüm içeriği kriptolar fakat IP başlığında bir kriptolama veya checksum sağlamaz. ESP başlığı aşağıdaki verileri içerir:
* Güvenlik Parametre İndeksi (SPI)
Hedef adres ve güvenlik protokolü (AH veya ESP) ile birlikte kullanıldığında haberleşme için doğru güvenlik ilişkisini (SA-Security Association) tanımlar. Alıcı bu değeri kullanarak bununla hangi güvenlik ilişkisinin kullanılacağını belirler.
* Sıra Numarası

SA için anti-replay koruması sağlar. 32 bit`tir. 1 den başlayarak ekleyerek haberleşmede güvenlik ilişkisi üzerinde gönderilen paket sayısını belirleyen sayıyı artırır. Sıra numarasının tekrarlanmasına izin verilmez. Alıcı bu alanı kontrol ederek bu numaraya ait güvenlik ilişkisinin daha önce alınıp alınmadığını kontrol eder. Eğer daha önce alınmış ise paket kabul edilmez.
* Ekleme/Takviye (Padding)
Kullanılan blok şifrelemenin blok ölçüsüne uyacak şekilde verinin uzunluğunu değiştirir. 0 ile 255 byte arasında.
* Pad uzunluğu
Takviye alanının byte olarak uzunluğu. Bu alan alıcı tarafından takviye alanını atmada kullanılır.
* Sonraki Başlığı (Next header)
Orjinal IP başlığının protokol numarası. Yükü tanımlamak için kullanılır, TCP veya UDP gibi.


ESP IP başlığından sonra ve TCP, UDP veya ICMP gibi üst katman protokolden önce yada zaten yerleştirilmiş olan diğer IPSec başlıklarından önce yerleştirilir. ESP`yi takip eden herşey (üst katman protokolü, veri ve ESP trailer) imzalanır. IP başlığı imzalanmaz ve bu sebeple değişikliklerden korunmaz. Üst katman protokolü bilgisi, veri ve ESP trailer kriptolanır.

IPSec Modları
İki protokol de iki moddan birinde kullanılabilir, nakil (transport) ve tünel (tunnel) modları. AH ve ESP`nin moda dayalı olarak işlemleri farklı değildir, tek fark verinin bütünlük amaçlı imzalanmasıdır. Modların ve protokollerin 4 mümkün kombinasyonu vardır. AH ve ESP tünel veya nakil modlarında kullanılabilir. AH pratikte tünel modunda kullanılmaz çünkü nakil modunun koruduğu aynı veriyi korur.


* Nakil modu - Nakil modunda, AH ve ESP nakil başlığını korur. Bu modda AH ve ESP nakil katmanından ağ katmanına akan paketleri yakalarlar ve ayarlanan güvenliği sağlarlar. IPSec`in nakil modu sadece güvenlik son noktadan son noktaya arzulanıyorsa yapılabilir.


* Tünel modu - Tünel modu güvenliğin paketlerin kaynağı olmayan bir cihaz tarafından sağlandığı durumlarda (VPN`lerde olduğu gibi) veya paketin gerçek hedefinden farklı bir yerde güvenli hale getirilmesine ihtiyaç duyulduğunda kullanılır. Kriptografik son-nokta bir ağ için güvenlik sağlayan bir güvenlik ağ-geçididir. Şekil 1-4 IPSec tünel modu ESP`nin sınırdan sınıra örneğini göstermektedir.

Windows 2000`de SHA-1 ve MD5 kriptografik checksum`lar AH ile kullanılabilir. Windows 2000 ayrıca ESP için 56-bit DES ve 3-DES`i destekler ve SHA-1 ve MD5`i seçime bağlı olarak veri bütünlüğü için destekler.

Güvenlik ilişkileri (SA)
İki makine IPSec ile haberleşmeden önce birbirlerinin kimlik tanılamasını yapmalı ve bir kriptolama metodu üzerinde anlaşmalıdırlar. Makineler bunu bir veya daha fazla Güvenlik İlişkisi (SA) kurarak gerçekleştirirler. Güvenlik İlişkisi iki makine arasında kullanılacak olan belirli güvenlik ayarlarına bağlı bir anlaşma gibi düşünülebilir. AH ve ESP aynı SA`yı paylaşamazlar, tipik olarak, iki taraf arasındaki iki-yönlü haberleşmelerde iki SA`ya ihtiyaç vardır. Güvenlik İlişkileri her IPSec bilgisayarda belirli bir veritabanında saklanır. SA`lar veritabanı içerisinde her AH veya ESP başlığında bulunan Güvenlik Parametre İndeksinden (SPI) tanınırlar.
Windows 2000 gerekeli SA`ları kurmak için Internet Anahtar Takas (IKE-Internet Key Exchange) protokolünü kullanır. IKE SA`lerin yaratılmasını üstlenir ve bilgiyi güvenli hale getirmede kullanılacak anahtarları yaratır. Bu teknik veriyi kriptolayıp dekriptolamada kullanılacak simetrik anahtarların yaratılmasını sağlar. IKE gerekli olan Diffie-Hellman`ın çalışabilmesi için güvenli bir kanal sağlar.

Windows 2000 ve IPSec
Windows 2000 IPSec`i tamamen desteklemektedir. Her Windows 2000 istemcisi bir IPSec istemcisi olarak çalışabilir ve eğer bir Active Directory ortamı üyesiyse IPSec politikaları ağdaki makinelerin IPSec`i nasıl kullanacağını belirlemede kullanılabilir. Windows 2000`in IPSec ile çalışırken kullanılan bazı ilgi çekici araçları vardır.

IPSec sürücüsü (driver)
IPSec sürücüsü eğer makine için bir IP Politikası tanımlanmışsa Windows 2000 başlangıcında yüklenir. IPSec sürücüsü tüm IP trafiğini izler ve IPSec politikasının gerektirdiği paketleri güvenli hale getirir.


IPSec sürücüsünün ana sorumlulukları:
  • Gelen veya giden her IP paketini belirli IP politikası filtrelerine uyup uymadığına bakmak için inceler.
  • Yeni bağlantılar için güvenlik ilişkileri istekleri.
  • Politika tarafından belirlenen kimlik tanılama metodunun kullanımı.
  • Güvenlik ilişkilerini güncel tutmak.



IPSec Politika Servisi
IPSec politika servisi her Windows 2000`de bulunan ve sistem servisleri listesinde görülen bir mekanızmadır. Politika servisi aktif IPSec politikası bilgisini getirir ve güvenlik servislerini gerçekleştirmede ihtiyacı olan diğer IPSec mekanizmalarına gönderir. Politika servisi sistem başladığı zaman otomatik olarka başlatılır. Eğer aktif IPSec politikası yoksa veya politika servisi bir şekilde Active Directory`e bağlanamıyorsa, atanmış bir politika için active directory`yi sorgulamaya devam edecektir veya registry`yi yerel olarak atanmış bir politika için kontrol edecektir. IPSec politika servisi IPSec davranışını belirler. Politikalara bakar ve onları IPSec sürücüsüne teslim eder.

Grup Politika Nesneleri (GPO - Active Directory)
IPSec politikası bir Aktif Dizin nesnesinin grup politika nesnesine uygulanabilir. Bu söz konusu grup politikasi nesnesinden etkilenen tüm bilgisayar hesaplarına dağıtılabilir.

Windows 2000 Sertifika Servisi
Windows 2000 sunucusundaki sertifika servisleri sertifikaları yaratmak ve yönetmek içindir. Sertifika servisleri iki tip sertifika yetkilisini (CA) destekler:
şirket (enterprise) ve bağımsız (stand-alone). Bağımsız seritifika yetkilileri çalışmak için Active Directory`ye ihtiyaç duymazlar ve sertifika şablonları kullanmazlar. Şirket seritifka yetkilisi active directory ile entegre olur ve sertifika şablonları kullanır.

IPSec Monitörü
Windows 2000`deki IPSec monitörü güvenli hale getirilen haberleşmelerin başarılı olup olmadığını onaylamada kullanılır. Monitör yerel ve uzaktaki makinelerdeki aktif güvenlik ilişkilerini görüntüler.


Windows 2000`de IPSec`i ayarlama
Aşağıdaki bölüm iki Windows 2000 istemci arasında son-noktadan son-noktaya IPSec kurulumunu anlatmaktadır. Her iki Windows 2000 istemciside başlangıç kimlik tanılaması metodu olarak Kerberos kullanan bir Windows 2000 etki alanı (domain) üyesi olmalıdırlar.

Özel Konsol yaratma
Microsoft yönetim konsolu (MMC-Microsoft Management Console) konsol adı verilen yönetim cihazlarını yaratma, kaydetme ve açmada kullanılan bir araçtır. Konsollar snap-in, ek snap-in, monitör kontrolleri, görevler, sihirbazlar ve çoğu donanım, yazılım ve ağ parçalarının yönetiminde gerekli olan dokümantasyonu içerir. Var olan bir MMC konsoluna eklemeler yapabilirsiniz yada yeni konsollar yaratarak belirli bir sistem parçasını yönetmeye ayarlayabilirsiniz.
Microsoft Yönetim Konsolunu kullanarak IPSec politikalarını yaratmada ve kullanmada ihtiyaç duyulacak olan parçalar için özel bir konsol yaratabilirsiniz.
Şekil 3-1 Add Standalone Snap-in


1. Windows masaüstünde 'Start' a 'Run'a tıklayın. 'Open' kutusuna MMC yazın ve ok`e basın.

2. Konsol açıldığında 'Console' menüsünü seçin ve 'Add/Remove Snap-in'e tıklayın.

3. Çıkan diyalogda 'Add'e tıklayın.

4. 'Computer Management'i seçin ve 'Add'e tıklayın.

5. 'Local Computer'ın seçili olduğuna emin olun ve 'Finish'e tıklayın.
Şekil 3-2 MMC Özel Konsol


6. 'Add Standalone Snap-in' diyalog kutusunu kullanarak, 'Group Policy'ye ve sonrada 'Add'e tıklayın.

7. 'Local Computer'ın seçili olduğuna emin olun ve 'Finish'e tıklayın.

8. 'Add Standalon Snap-in' diyalog kutusunu kullanarak, 'Certificates'e ve 'Add'e tıklayın.

9. 'Computer Account'u seçin ve 'Next'e tıklayın.

10. Local Computer'ın seçili olduğuna emin olun ve 'Finish'e tıklayın.

11. 'Add Standalon Snap-in' diyalog kutusunu kapatın.

12. 'Add/Remove Snap-in' diyalog kutusunu 'OK'e tıklayarak kapatın.

Denetleme Politikası Kullanımı
Başarılı ve başarısız IPSec oturumlarını izlemek için denetleme (auditing) aktif edilmeli.
Şekil 3-3 Denetleme politikası

1. Önceden yarattığınız MMC özel konsolu ile, 'Local Computer Policy', 'Computer Configuration', 'Windows Settings', 'Security Settings', 'Local Policies' ve 'Audit Policy'ye gelin.

2. Sağ tarafta 'Audit Logon Events'e çift tıklayarak seçin.

3. 'Audit Logon Events' diyalog kutusunda hem 'Success' hemde 'Failure' kutucuklarını işaretleyin ve 'OK'e tıklayın.

4. Sağ tarafta 'Audit Object Access'e çift tıklayarak seçin.

5. 'Audit Object Access' diyalog kutusunda hem 'Success' hemde 'Failure'
kutucuklarını işaretleyin ve 'OK'e tıklayın.

Hazır IPSec Politikaları
Windows 2000 IPSec ile güvenli haberleşme için hazır politikalar içerir. Bir Windows 2000 etki alanındaki bilgisayarlar az bir çalışma ile bu politikaları kullanabilirler. Önceden tanımlanmış Windows 2000 politikları istemci, güvenli sunucu ve sunucu olarak ayrılırlar:

* İstemci (sadece cevap verme) politikası istemcinin varsayılan cevap kuralındaki ayarlara göre güvenlik isteği yapan bilgisayarlara cevap verebilmesini sağlar. Nu politika aktif olduğunda istemci hiçbir zaman güvenlik isteğinde bulunmaz fakat bağlanan makineye bağlı olarak IPSec görüşmesi yapar.

* Güvenli sunucu (güvenlik gerektirme) politikası sunucunun bir bağlantı öncesinde IPSec görüşmesini gerektirmesini sağlar. Bu politika gelen güvensiz haberleşmelere izin verecektir fakat giden trafik her zaman güvenli hale getirilecektir.

* Sunucu (güvenlik isteme) politikası sunucunun IPSec görüşmesi isteği yapmasını sağlar fakat eğer diğer bilgisayar IPSec kullanmıyorsa güvensiz haberleşmeye izin verecektir.

Ayarlar
Şekil 3-4 IPSec güvenli sunucu politikası

1. Önceden kullandığımız MMC özel konsolunu açın (Şekil 3-2). Sol pencerede bulunan 'IP Security Policies on Local Machine'i seçin.

2. Sağ pencerede 'Secure Server'a sağ tuşla tıklayın ve 'Assign'ı seçin. Bu 'Policy Assigned' kolonunu 'No'dan 'Yes'e çevirecektir.

3. İstemci makinada (MMC özel konsolunun sunucudakine benzer olarak yaratıldığını varsayıyoruz) MMC özel konsolunu açın ve sol penceredeki 'IP Security Policies on Local Machine'i seçin.

4. Sağ penceredeki 'istemci'ye sağ tuşla tıklatın ve 'Assign'ı seçin. Bu 'Policy Assigned' kolonunu 'No'dan 'Yes'e çevirecektir.

Önceki adımlar Windows 2000 etki alanındaki bir bilgisayarı güvenli sunucu diğerini de güvenli istemci olarak ayarlamamızı sağladı. Bu noktada istemci sunucuya korunmayan ICMP Echo paketleri gönderecek, sunucu istemciden güvenlik isteyecek ve bağlantı kurulduktan sonra haberleşmenin gerisi güvenli olacak. Eğer her iki makine de istemci politikası ile ayarlanmışsa hiçbiri güvenli veri göndermez çünkü her iki taraf da güvenlik isteği yapmayacaktır.

Güvenli haberleşmeyi test etme (Hazır IPSec politikası)
Şekil 3-5 Sunucuya ping atma



1. istemci olarak ayarlanan bilgisayarda 'Start'a ve 'Run'a tıklayın. 'Run' kutusunda komut satırı için 'cmd' yazın.

2. Komut satırı penceresinde ping komutu ile sunucu bilgisayarın IP adresini pingleyin.(Şekil 3-5)

3. Ping cevaplarında IPSec`in görüşüldüğü gözükecektir.

4. Ping komutu tekrarlandığında IPSec güvenlik ilişkisi kurulduğundan aşağıdakine benzer olarak 4 başarılı cevap alınacaktır:


Reply from 191.29.41.117: bytes=32 time<10ms TTL=128
 
Reply from 191.29.41.117: bytes=32 time<10ms TTL=128
 
Reply from 191.29.41.117: bytes=32 time<10ms TTL=128
 
Reply from 191.29.41.117: bytes=32 time<10ms TTL=128 


5. İstemci bilgisayarda MMC`yi kullanarak sol pencerede 'Computer Management'ı bulun ve altındakileri gösterecek şekilde açın.

6. 'System Tools', 'Event Viewer'ı açın ve 'Security Log'a tıklayın. Sağ pencerede 'Success Audit'e tıklayın.

7. Kayıt IPSec güvenlik ilişkisinin (SA) başarılı olarak kurulduğunu göstermelidir. Kayıt aşağıdakine benzer olmalıdır:

IKE security association established
 
Mode:
 
Data Protected Mode (Quick Mode)
 
 
 
Peer Identity:
 
Kerberos based Identity:<mail to="C0092828@domain.com" subject="" text="C0092828@domain.com" />
 
Peer IP Address: 191.29.41.117
 
 
 
Filter:
 
Source IP Address 191.29.213.14
 
Source IP Address Mask 255.255.0.0
 
Destination IP Address 191.29.41.117
 
Destination IP Address Mask 255.255.0.0
 
Protocol 0
 
Source Port 0
 
Destination Port 0
 
 
 
Parameter:
 
ESP Algorithm DES CBC
 
HMAC Algorithm SHA
 
AH Algorithm None
 
Encapsulation Transport Mode
 
InboundSpi <long number>2217628991
 
OutboundSpi <long number>9656722734
 
Lifetime (sec) 900
 
Lifetime (kb) 100000



IPSec monitörü kullanımı
IP güvenliği monitörü Windows 2000 ile birlikte gelen ve IPSec politikasının yarattığı başarılı güvenli bağlantıları izlemeye yarayan bir uygulamadır.
Şekil 3-6 ipsecmon

1. Güvenlik Monitörü aracını istemci olarak ayarlanan makinede açmak için, 'Start'a ve 'Run'a tıklayın. Kutuda 'ipsecmon' yazın ve 'OK'e tıklayın.

2. Sağ tarafta 'Options' düğmesine basın ve 'Refresh Seconds'ın varsayılan değeri 15`i 1 yapın ve OK`e tıklayın. (Şekil 3-6)

3. Yukarıda 3 ve 4. adımlarda yaptığımız gibi tekrar güvenli istemciden güvenli sunucuya ping atın.

4. 'ipsecmon'a bakın. İki makine arasındaki güvenlik ilişkisinin detaylarını göstermeli.

Artık iki makine hazır IPSec politikaları ile başarılı olarak ayarlandılar ve aralarında IPSec ile haberleşiyorlar.

Özel IPSec politikası yaratma
Şekil 3-7 IP Security Policy Wizard


Etki alanının üyesi olmayan iki bilgisayar arasında güvenli trafik için özel bir politikanın yaratılması gerekir. Windows 2000 ile birlikte gelen hazır politikalar etki alanı kontrolcusü tarafından sağlanan Kerberos kimlik tanılamasını gerektirirler. Özel bir politika yaratmanın diğer bir sebebi de bir makinenin ağ adresine göre güvenli trafik isteği olabilir.

1. Önceki örnekte istemci olarak kullandığımız makinede MMC`yi açın. 'IP Security Policies on Local Machine'e sağ tıklayın ve 'Create IP Security Policy'ye tıklayın. Bu IP güvenliği politikası sihirbazını çalıştıracaktır(Şekil 3-7)
Şekil 3-8 Security Rule Wizard


2. 'IP Security Policy Wizard'da 'Next'e tıklayın.

3. Sonraki pencere politika için bir isim ve açıklama sorar. Politika için 'bir isim' yazın.

4. 'Activate the default response rule' kutusundan seçimi kaldırın ve 'Next'e tıklayın.

5. 'Edit Properties' kutusu işaretli kalsın ve 'Finish'e basın.

6. Yaratılan politika için ayarlar kutusu açılacaktır. Alt bölümde 'Use Add Wizard'ın işaretli olduğuna emin olun.

7. 'Add'e tıklayın. 'Security Rule Wizard' açılacaktır. (Şekil 3-8)
Şekil 3-9 IP Filter List


8. 'Next'e tıklayın.

9. 'This rule does not specify a tunnel'ı işaretleyin ve 'Next'e tıklayın

10. 'All network connections' seçili olsun ve 'Next'e tıklayın.

11. Sonraki pencere kullanılacak olan kimlik tanılama metodunu sorar. Bu bilgisayarın olduğu etki alanında ayarlanmış olan birşey olabilir. Örneğimizin basit olması için 'Use this string to protect the key exchange (preshared key)' seçeneğini seçin.

12. Kutuya 'önceden paylaşılan (preshared) anahtar' olarak kullanılacak olan 'bir yazı' girin. Boş bırakılamaz. Sonra 'Next'e tıklayın.

13. Sonraki pencere IP Filtre listesi için. Önceden tanımlanmış olan iki filtrenin (All ICMP Traffic ve All IP Traffic) listede olması gerekli. Yeni bir filtre yaratmak için sağdaki 'Add' düğmesine tıklayın.

14. 'IP Filter List' isimli yein bir pencere açılacaktır (Şekil 3-9). 'Name' kısmına filtre için 'bir isim' yazın.

15. 'Use Add Wizard'ın seçili olduğuna emin olun. (Şekil 3-9)
Şekil 3-10 eklenen yeni filtre ile Security Rule Wizard


16. 'IP Filter List' penceresinde 'IP Filter Wizard'ı başlatmak için 'Add'e tıklayın.

17. 'Next'e tıklayın.

18. 'Source address' kısmında 'My IP Address' olsun. Tekrar 'Next'e tıklayın.

19. 'Destination address' kısmında 'A specific IP Address'i seçin. Önceki örnekte
sunucu olarak ayarlanan makinenin IP adresini yazın ve 'Next'e tıklayın.

20. 'Select a protocol type' kısmında 'Any' seçili olsun. 'Next'e tıklayın.

21. 'Edit Properties'in işaretli olmadığına emin olun ve 'Finish'e tıklayın.

22. 'IP Filter List' diyalog kutusundan çıkmak için 'Close'a tıklayın.

23. Yaratılan filtrenin şimdi 'Security Rule Wizard'da IP filtre listelerinde görünmesi gerekli.(Şekil 3-10)
Şekil 3-11 'Filter Action' penceresi ve yeni filtre


24. Yeni filtreyi seçin ve 'Next' e tıklayın.

25. 'Security Rule Wizard'da sonraki pencerede 'Use Add Wizard' kutusunun işaretli olduğuna emin olun ve 'Add'e tıklayın.

26. Bir başka sihirbaz açılacaktır, 'Filter Action Wizard'. 'Next'e tıklayın.

27. 'Name' kutusunda filtre işlemine 'bir isim' yazın ve 'Next'e tıklayın.

28. 'Filter Action General Options' penceresinde 'Negotiate security'nin işaretli olduğuna emin olun ve 'Next'e tıklayın.

29. IPSec`i desteklemeyen makinelerle haberleşmemek için 'Do not communicate with computers that do not support IPSec'i işaretleyin ve 'Next'e tıklayın.

30. 'IP Traffic Security' penceresinde 'Medium (Authenticated Header)' seçeneğini işaretleyin ve 'Next'e tıklayın.

31. 'Edit properties' kutusunun işaretli olmadığına emin olun ve 'Filter Action Wizard' penceresini kapatmak için 'Finish'e tıklayın.

32. 'Filter Action' penceresinde yukarda yaratmış olduğumuz (Şekil 3-11) yeni filtreyi işaretleyin ve 'Next'e tıklayın.

33. 'Edit properties' kutusunun işaretli olmadığına emin olun ve 'Finish'e tıklayın.

34. Yukarda tanımlanan tüm nesneler artık 'Properties' penceresinin 'IP Security Rules' kısmında görünüyor olmalı. 'Close'a tıklayarak burdaki işimizi bitiriyoruz.

35. Önceki örnekte sunucu olarka kullandığımız makine için aynı işlemleri uygulayın.

Yukarıdaki işlemler Windows 2000 için tam bir özel IPSec politikası yaratmayı kapsıyor. Başka politikalar yaratabilmek için yapılanları anlamak önemli.
11 ve 12. adımlar IKE kimlik tanılaması metodu için yapılan ayarlardır. Bu işlem güvenlik ilişkisi kurarken birbirlerine nasıl kimlik tanılaması yapacaklarını belirleyerek bilgisayarların birbirine nasıl güveneceklerini belirlemek içindir. Windows 2000 için IKE bilgisayarlar arasında güven ilişkisi kurmak için 3 kimlik tanılama metodu sağlar. Bunlar, Kerberos v5 kimlik tanılama, sertifikalar ile açık/özel (public/private) anahtar imzaları ve önceden paylaşılan bir anahtar (preshared key).
13`den 22`ye kadar olan adımlar bir IPSec filtre listesi ayarlamak içindir. IP güvenliği IP paketlerine gönderildikçe ve alındıkça uygulanır. Bu paketlerin gönderilirken güvenli hale getirileceklerini, bloklanacaklarını veya düz yazı olarak gönderileceklerini belirlemede filtreler ile karşılaştırılırlar. Ayrıca paketler alındıklarında bloklanacaklarını veya sisteme girişlerine izin verileceklerini belirlemek için filtrelerle karşılaştırılırlar. İki tip filtre kullanılır, IPSec nakil modu güvenliği için ve IPSec tünel modu güvenliği için. Tüm paketlere önce IPSec tünel filtreleri uygulanır ve eğer karşılığı bulunamazsa IPSec transport modu filtreleri aranır. Güvenli hale getirilmesi gereken trafik için IP filtreleri yaratırken filtrelerin yansılarının da (mirror) olmasını sağlayın. Filtrelerin yansılarını yaratmak otomatik olarak hem giriş hem çıkış filtrelerini ayarlar.
26`dan 31`e kadar olan adımlarda Filtre işlemleri ayarlanıyor. Filtre işlemleri 13-22 adımlarında yaratılan Filtre listesine göre yapılacak işlemleri ayarlamada kullanılır. Filtre işlemleri yaratılan filtrelere uyan paketlere izin verileceğini, bloklanacağını veya güvenli hale getirileceğini belirler. Güvenli trafiğin sağlanması için haberleşecek olan bilgisayarların uyumlu politikalara sahip olması gerekir. IPSec yeteneği olmayan bilgisayarlarla haberleşmek için iki metod vardır. paketlerin kriptolanmadan geçmesine izin veren bir (permit) filtre işlemi veya güvensiz haberleşmeye düşecek olan bir filtre işlemi.


Güvenli haberleşmenin test edilmesi (Özel IPSec politikası)
1. MMC özel konsolunu kullanarak 'IP Security Policies on Local Machine'i seçin.

2. Yukarıda yaratılan politikayı seçin ve menüden 'Assign'a tıklayın.

3. 'Policy Assigned' değerinin 'Yes' olması gerekli. 1 ve 2. adımı diğer makinede tekrarlayın.

4. 'ipsecmon'u açın, pencereyi 'Minimize' edin.

5. 'Start' menüsünde 'Run'a 'cmd' yazıp bir komut satırı penceresi açın.

6. 1. bilgisayardan ikinci bilgisayara ping atın. Ping komutu 4 adet 'Negotiating IP Security' cevabı dönmeli.

7. Aynı pencerede ping komutunu tekrarlayın. Bu sefer 4 başarılı ping cevabı görünecektir. Artık iki bilgisayar aralarında IPSec güvenlik ilişkisi kurdular.

8. 'IP Security Monitor' penceresine dönün. İki bilgisayar arasındaki güvenlik ilişkisi görülebilir.

9. MMC penceresinde sol tarafta 'Computer Management'ı seçin. 'System Tools'dan 'Event Viewer'a geçin ve 'Security'yi seçin. Güvenlik kayıtları IP güvenlik ilişkisinin kurulduğuna dair 541 nolu olayı gösterecektir.

10. MMC özel konsolunu kullanarak 'IP Security Policies on Local Machine'i seçin.

11. Yukarıda yarattığımız politikaya sağ tuşla tıklayın ve menüden 'Un-Assign'ı seçin.

12. 'Policy Assigned' değeri şimdi 'No' olarak değişti. 1. ve 2. adımları diğer bilgisayarda tekrarlayın.

Windows 2000 IPSec araçları
Politika ayaları için IPSec snap-in
Internet protokolü güvenlik politikası yönetimi Microsoft Yönetim Konsolu (MMC) yardımıyla yaratıldı ve ayarlandı. Politikayı (Active Directory istemcileri için) merkezi olarak yönetebilir, (snap-in`i çalıştırdığınız makinede) politikayı yerel olarak yönetebilir veya bir bilgisayar için veya etki alanı için politikayı uzaktan yönetebilir.
'Snap-in'i MMC`ye eklemeniz gerekir. Bir sihirbaz doğru snap-in ayarları için size rehberlik eder. Özelleştirilmiş konsol daha sonrada kullanılmak için kayıt edilebilir.

Aktif durumu göstermek için bir monitör, IPSecmon.exe
IPSecMon Windows 2000 ile birlikte gelen IP güvenlik monitörüdür. IPSec haberleşmelerinin başarılı olup olmadığını onaylamak için kullanılan bir Windows kullanıcı grafik arayüzüdür. Bir kullanıcı yerel veya uzaktaki bilgisayarlar için aktif güvenlik ilişkilerini görüntüleyerek bağlantılarının IPSec kullanıp kullanmadığından hızlı bir şekilde emin olabilir. IP güvenlik monitörünü aktif etmek için 'Start' menüsünde 'Run'a tıklayın ve ipsecmon "bilgisayar ismi" yazın.

Ağ bağlantıları kullanıcı arayüzü IPSec ayarları
Bu Internet Protokolü (TCP/IP) bağlantı ayarlarının özelliklerinde bulunan bir penceredir. IPSec özellikleri aşağıdaki şekilde bulunabilir:
Şekil 3-12 IP Security Özellikleri


Windows masaüstünde 'My Network Places'e sağ tuşla tıklayın ve açılan menüden 'Properties'i seçin.
Internet protokolü kullanan bir bağlantıya sağ tuşla tıklayın ve 'Properties'i seçin.
'Internet Protocol (TCP/IP)'yi seçip 'Properties'e tıklayın.
Altta sağdaki 'Advanced' düğmesine tıklayın.
'Advanced TCP/IP Settings' penceresinde 'Options' sekmesine geçin.
'Optional settings'den 'IP Security'yi seçin ve altta sağdaki 'Properties' düğmesine tıklayın.

IPSec özellikleri penceresi bir makinenin gönderilen veriler için kimlik tanılaması, bütünlük ve gizlilik servisleri sağlamada IPSec kullanıp kullanmayacağının bir kullanıcı tarafından belirlenebilmesini sağlar.
Eğer IPSec kullanılacaksa politika listesinden bir politikanın seçilmesi gerekir.

IPsecpol.exe Internet güvenliği politikaları aracı
Internet güvenliği politikaları aracı Microsoft Windows 2000 Resource Kit içerisinde bulunan bir uygulama. Ipsecpol 'directory' servisinde veya yerel veya uzaktaki bir 'registry'de bulunan IPSec politikalarını ayarlamada kullanılan ve komut-satırında çalışan bir araçtır.
Ipsecpol MMC`de bulunan IPSec Snap-in politika ayarları aracında bulunan tüm özelliklere sahiptir.
Ipsecpol eğer geniş ve/veya karmaşık bir IPSec politikasının ayarlanması gerekiyorsa kullanışlıdır. Ipsecpol komutların bir 'batch' dosyasına koyularak politikanın yaratılmasında kolaylık sağlayabilir. Ayrıca 'batch' yetenekleri ile tam-zamanlı (just-in-time) politikalar sağlayabilir. Eğer bir kullanıcının bir sunucu ile güvenli bağlantı kurması gerekirse sistem yöneticisi aracı ve 'batch' dosyasını gönderebilir.

Referanslar:
Microsoft Corp. Microsoft Windows 2000 Professional Resource Kit: Chapter 13 Security. Redmond, WA: Microsoft Press, 2000.
Microsoft Corp. Microsoft Windows 2000 Server Resource Kit Distributed Systems Guide. Redmond, WA: Microsoft Press, 2000.
Microsoft Corp. Microsoft Windows 2000 Server Resource Kit Planning Distributed Security. Redmond, WA: Microsoft Press, 2000.
Microsoft Corp. Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide. Redmond, WA: Microsoft Press, 2000.
Microsoft Corp. Microsoft Windows 2000 Server Resource Kit Deployment Planning Guide. Redmond, WA: Microsoft Press, 2000.
Microsoft TechNet: Step-by-Step Guide to Internet Protocol Security (IPSec), www.microsoft.com/TechNet/win2000/win2ksrv/technote/ispstep.asp?a=printable ,2/2000.
RFC 2401: Security Architecture for the Internet Protocol.
RFC 2402: IP Authentication Header (AH).
RFC 2406: IP Encapsulating Security Payload (ESP).
Doraswamy, Naganand and Harkins, Dan: IPSec, Prentice Hall, 2000.
Norbeg, Stefan. Securing Windows NT/2000 Servers for the Internet, O`Reilly & Associates, Inc. 2001
Rhine, Joanie. Microsoft TechNet: IP Security for Local Communications Systems, www.microsoft.com/TechNet/security/ipsecloc.asp?a=printable, 2000 .
Etiketler: ,
xxxxxx