Bu makalemizde IPSec protokolünü genel hatlarıyla ele alıp, Windows 2000 ortamında IP trafiğinin güvenliğinin IPSec kullanarak nasıl sağlanacağını ve IPSec’in paket filtreleme özelliğinin nasıl kullanılabileceğini örnek bir network tasarımı yardımıyla adım adım açıklayacağız.
-IPSec Nedir?
IPSec, ağ üzerindeki IP trafiğinin güvenliğini sağlamak üzere Internet Engineering Task Force (IETF) tarafından geliştirilmiş bir protokoldür. IPSec ile alakalı olarak toplam 12 tane RFC (Request for Comments) tanımlanmıştır. (IPSec ile alakalı RFC numaraları 2401 ile 2412 arasındadır). IPv4 geliştirilirken güvenlik göz ardı edildiğinden ve günümüz ağları (Internet dahil) halihazırda halen IPv4’ü kullandığından, IPv6’da güvenlik protokolü olarak kullanılan IPSec, IPv4 ağlarına da uyarlanabilecek şekilde geliştirilmiştir. Günümüzde Windows 2000/XP, NetWare 6, Solaris 9 gibi birçok işletim sistemi ve yönlendiriciler IPSec protokolünü destekler.
IPSec, adından da anlaşılacağı gibi OSI referans modelinin IP katmanında çalışır ve mevcut uygulamalarınızda herhangi bir değişiklik yapmadan güvenli bir IP trafiği sağlar. Örneğin SSL kullanarak veri güvenliğini sağlamak istiyorsanız bu durumda kullandığınız yazılımın SSL tabanlı olması gerekir. IPSec kullanarak sadece IP trafiğinin güvenliğini değil, TCP, UDP, ICMP gibi üst katman protokollerinin verilerinin de güvenliğini sağlayabilirsiniz.
IPSec güvenlik mimarisi, uçtan uca (end to end) bir güvenlik modelidir. Yani sadece iletişimde bulunan iki uç noktanın IPSec kullanması yeterlidir. Diğer bir değişle,veri iletimi sırasında kullanılan ağ cihazlarının (örneğin yönlendiriciler (router), anahtarlar (switch), köprüler (bridge)) IPSec kullanacak şekilde konfigüre edilmesine gerek yoktur. Bu da, mevcut ağ altyapınızda herhangi bir değişiklik yapmadan IPSec’i kullanmanıza imkan sağlar.
IPSec’i iki farklı modda kullanabilirsiniz. Bunlar Transport Mode (client-to-client) ve Tunnel Mode (Gateway-to-Gateway) modlarıdır. Şimdi bu modları inceleyelim.
Transport Mode: Bu mod, aynı yerel ağda bulunan iki istemci arasındaki iletişimi korumak için kullanılır. Örneğin aynı LAN’da bulunan iki Windows 2000 Workstation istemcisi arasındaki trafiği korumak için IPSec Transport modda kullanılır. Bu modda her iki istemcinin de ağ protokolü olarak TCP/IP protokolünü kullanmaları gerekir.
Tunnel Mode : Bu mod, sadece ağ geçitleri (gateway) arasındaki trafiğin korunması esasına dayanır. Bu modda paketler ağ geçidinden çıktıkları zaman şifrelenir ve hedef ağın ağ geçidine vardıklarında şifreleri çözülür. Bu modda iki ağ geçidi arasında bir tünel oluşturulur ve istemciden istemciye olan iletişim tünel protokolü kullanılarak enkapsüle edilir. Tüneller, IPSec kullanılarak oluşturulabileceği gibi, IPSec ve L2TP (Layer Two Tunneling Protocol) protokollerinin birlikte kullanıldığı bir VPN (Virtual Private Networking) bağlantısı kurmak için de kullanılabilir. Bu modda kaynak ve hedef istemci bilgisayarların IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, ağ geçidi olarak bir tünel server, router, firewall veya VPN cihazı kullanılabilir.
NOT
IPSec hakkında daha fazla bilgi ve IPSec teknolojisini tanımlayan RFC’ler için www.ietf.org/html.charters/ipsec-charter.html adresini ziyaret edebilirsiniz.
|
IPSec protokolünü kullanarak IP ağınızı, DoS (Denial-of-Service), man-in-the-middle ve spoofing saldırılarında karşı koruyabilirsiniz. Örneğin, IPSec protokolünün aşağıda ele alacağımız integrity (bütünlük) ve authentication (kimlik doğrulama) özellikleri, iletişimi gerçekleştiren bilgisayarların birbirlerinin kimliklerinin doğrulanmasını sağlayarak IP spoofing ve man-in-the-middle saldırılarına karşı bir güvenlik önlemi sağlar. Bunun yanında IPSec’in IP paketlerini şifrelemesini sağlayarak bu paketlerin ağ üzerinde güvenli bir şekilde iletilmesini sağlayabilirsiniz. Böylece bu paketler ağ üzerindeki üçüncü bir kişi tarafından bir sniffer kullanılarak yakalansalar dahi paketlerin içeriği şifrelendiği için yakalanan paketler herhangi bir anlam ifade etmeyecektir.
IPSec IP trafiğini korumak için iki protokol kullanır. Bu protokoller Authentication Header (AH) protokolü ve Encapsulating Security Payload (ESP) protokolüdür. Bu protokolleri anlatmaya geçmeden önce IPSec’in güvenlik mimarisini oluşturan integrity (bütünlük), authentication (kimlik doğrulama) ve confidentiality (gizlilik) özelliklerinden bahsedelim.
-Integrity : Integrity (bütünlük) terimi, gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını belirtmek için kullanılır. Yani integrity, gönderilen mesajın içeriğinin iletim sırasında birileri tarafından değiştirilip değiştirilmediğinin algılanmasını sağlar. IPSec’de integrity, hash fonksiyonları kullanılarak gerçekleştirilir. Hash fonksiyonları değişik uzunluktaki mesajları girdi olarak alır ve bir anahtar yardımıyla sabit uzunlukta bir çıktı üretirler. Bu çıktı message digest yada hash signature olarak adlandırılır. Orijinal mesajdaki bir karakterin bile değişmesi hash fonksiyonunun çıktısının tamamen farklı bir değer almasını sağlar. Hash fonksiyonları tek yönlüdür. Yani message digest değeri kullanılarak orijinal mesaj elde edilemez. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı message digest değeri ile mesajı gönderinin ilettiği message digest değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır.Alıcı bilgisayarın doğru message digest değerini hesaplayabilmesi için hash fonksiyonunda, mesajı gönderen bilgisayarın kullandığı anahtarı kullanması gerekir. Windows 2000’de kullanabileceğiniz hash fonksiyonları Message Digest 5 (MD5) ve Secure Hash Algorithm (SHA-1)’dir. Şimdi bu fonksiyonlara kısaca değinelim.
Message Digest 5 (MD5) : Ron Rivest tarafından geliştirilen ve RFC 1321 ‘de tanımlanan bu hash fonksiyonu, orijinal mesajı 512 bitlik bloklar halinde işleme sokar ve çıktı olarak 128 bitlik bir message digest değeri üretir.
Secure Hash Algorithm (SHA-1) :Orijinal mesajı 512 bitlik bloklar halinde işleme sokan bu hash fonksiyonu çıktı olarak 160 bitlik bir message digest değeri üretir.
-Authentication : Authentication (kimlik doğrulama), iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. Windows 2000’de IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama metodu olarak aşağıdaki yöntemleri kullanabilirler.
Preshared Key : Bu kimlik doğrulama metodunda, iletişimde bulunan bilgisayarlar birbirlerinin kimliklerini doğrulamak için önceden belirlenen bir gizli anahtarı kullanırlar.Bu yöntemde kimlik doğrulaması aşağıdaki şekilde gerçekleşir;
1. Mesajı gönderen bilgisayar challenge olarak adlandırılan bir miktar veriyi önceden belirlenen gizli anahtarı kullanarak hash fonksiyonuna sokar ve challenge ile hash fonksiyonunun sonucu olan message digest değerini alıcı bilgisayara yollar.
2. Alıcı taraftaki bilgisayar aldığı challenge verisini kendisinde tanımlı bulunan gizli anahtarı kullanarak aynı hash fonksiyonuna sokar. Hash fonksiyonunun çıktısı olan message digest değerini ilk bilgisayara geri yollar.
3. İlk bilgisayar aldığı message digest değerini kendi ürettiği değerle karşılaştırır ve message digest değerleri aynıysa karşı tarafın aynı gizli anahtarı kullandığını varsayar ve bu iki bilgisayar birbirine güvenir.
Kerberos Authentication : Windows 2000’de varsayılan kimlik doğrulama metodu Kerberos v5’dir. Bu metodda bir Kerberos sunucu Windows 2000 domaininde bulunan tüm bilgisayarlar ve kullanıcılar için gizli anahtarları yönetir. Bir bilgisayar diğer bir bilgisayarın kimliğini doğrulamak istediğinde Kerberos sunucuya başvurur. Bu yöntem aynı domain üyesi bilgisayarlar arasındaki kimlik doğrulama işlemi için oldukça elverişlidir. Ama iletişimde bulunacak bilgisayarlar aynı domain’e üye değillerse diğer iki yöntemden biri kullanılmalıdır.
Certificate Authority : Bu kimlik doğrulama metodunda bilgisayarlar birbirlerinin kimliklerini doğrulamak için sayısal sertifikaları kullanırlar. Her iki bilgisayarında güvendiği Certificate Authority (CA) tarafından imzalanan sertifikalar aracılığıyla kimlik doğrulama işlemi gerçekleşir.
-Confidentiality : Confidentiality (gizlilik), gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir sniffer aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Windows 2000’de tanımlanan IPSec, IP paketlerini şifrelemek için DES (Data Encryption Standard) yada 3DES (Triple DES) algoritmalarından birisini kullanır. DES bir simetrik şifreleme algoritmasıdır ve veriyi şifrelemek ve şifrelenmiş veriyi çözmek için aynı anahtar kullanılır. DES, orijinal mesajı 64 bitlik bloklar halinde işleme sokar ve çıktı olarak da 64 bitlik şifrelenmiş veri blokları üretir. 3DES algoritması ise her bloğu üç kez şifreleme işlemine sokarak daha fazla güvenlik sağlar. Ayrıca DES, Cipher Block Chaining (CBC) tekniğini kullanarak mesaj içindeki aynı blokların şifreli çıktılarının farklı olmasını sağlar.
NOT
Windows 2000/XP’de 3DES algoritmasını kullanabilmeniz için bilgisayarınızda high encryption paketinin yüklü olması gerekir. Daha fazla bilgi için www.microsoft.com/windows2000/downloads/recommended/encryption/default.asp adresini ziyaret edebilirsiniz.
|
Şimdi IPSec’in IP ağ trafiğini korumak için kullandığı AH (Authentication Header) ve ESP (Encapsulating Security Payload) protokollerini kısaca inceleyelim.
Authentication Header (AH) : Bu protokol, IPSec’in veri bütünlüğü (Integrity) ve kimlik doğrulama (Authentication) özelliklerini destekler. AH, veriyi şifreleyemediği için IPSec’in gizlilik (Confidentiality) özelliğini kullanamazsınız. Diğer bir deyişle, eğer ağ üzerindeki iletimin şifreli bir şekilde gerçekleşmesini istiyorsanız bu protokol ihtiyacınıza cevap vermeyecektir. Eğer AH protokolünü Transport modda kullanacaksanız bu durumda Authentication Header bilgisi, orijinal IP başlığı ile bir üst katman protokolünün (TCP yada UDP) başlığı arasına Şekil-1’de gösterildiği gibi yerleştirilir. AH başlığı sayesinde tüm paket için kimlik doğrulama özelliği, paketin imzalanmasıyla gerçekleşmiş olur. AH, HMAC (Hash-based Message Authentication Code) algoritmalarını (örneğin MD5 veya SHA-1 algoritmaları) kullanarak tüm paketi imzalar ve paket içindeki kaynak ve hedef adresleri ile pakette taşınan verinin iletim sırasında değiştirilmemesini sağlar.
Resim altı: Transport Modda orijinal IP başlığına AH bilgisinin eklenmesinden sonra oluşan paket yapısı.
AH protokolü Microsoft tarafından orta düzey bir güvenlik metodu olarak nitelendirir ve ağ üzerinde standart seviyede bir güvenlik isteyenler için önerir.
Encapsulating Security Payload (ESP) : Bu protokol, IPSec’in veri bütünlüğü (Integrity), kimlik doğrulama (Authentication) ve gizlilik (Confidentiality) özelliklerinin üçünü birden destekler. Şekil-2’de ESP protokolü kullanılarak oluşturulmuş bir paketin Transport moddaki yapısını görebilirsiniz.
Resim altı: Transport Modda, ESP protokolü kullanılarak elde edilen paketin yapısı.
Yukarıdaki şekilde de görüldüğü gibi orijinal pakette sadece TCP başlğı, veri ve ESP trailer kısmı şifrelenir ve AH’nın tersine ESP paketin tamamını imzalamaz.(Tunneling modunda ESP paketin tamamını imzalar. Eğer orijinal IP paketinin de imzalanmasını istiyorsanız bu durumda AH ve ESP protokollerini birlikte kullanmalısınız.)
Yukarıdaki şekillerde, orijinal IP paket yapısının, IPSec’in Transport modunda AH ve ESP protokollerinin kullanılmasıyla nasıl değiştiğini ele aldık. IPSec’in Tunnel modunda kullanılması halinde orijinal paketlerin yapısının nasıl değiştiğini burada ele almadık. Bu konu hakkında geniş bilgi için makalenin sonunda verilen site adreslerini ziyaret edebilirsiniz.
Güvenlik Görüşmeleri (Security Negotiation)
IPSec kullanarak iletişim kuracak bilgisayarların, bu iletişim sırasında hangi algoritmaları ve protokolleri kullanacaklarını belirlemeleri gerekir. IPSec’de, iletişim sırasında kullanılacak metodların hangileri olacağını belirleme işlemine security associations (SA) denir. Kurulan SA’ları birbirinden ayırt edebilmek için Security Parameters Index (SPI)’ler kullanılır. SPI’ler üretilirken hedef bilgisayarın IP adresi ile rastgele seçilen bir sayı kullanılır. Böylece her bir SA’nin farklı ve tek (unique) bir SPI’ya sahip olması sağlanır.
Her bir SA’da aşağıdaki parametreler belirlenir.
· Şifreleme algoritması (DES yada 3DES)
· Oturum Anahtarı (Internet Key Exchange aracılığıyla belirlenir)
· Kimlik doğrulama algoritması (SHA1 yada MD5)
Anahtar Yönetimi
Anahtarlar, bilgisayarlar arasında kurulan iletişimde kimlik doğrulamayı, bütünlüğü ve gizliliği sağlamak için kullanılırlar. Anahtar yönetimi, anahtarların nasıl oluşturulacağını, bu anahtarların etkinliğini ve anahtarların hangi sıklıklarla değiştirileceğini ve kullanılan bu anahtarların ömürlerinin ne zaman dolacağını tanımlar. Anahtar yönetimi manuel yada otomatik olarak gerçekleştirilebilir.Ama ölçeklenebilirlik göz önünde tutulduğunda anahtar yönetimi için tercih edilen yöntem otomatik anahtar yönetimidir. Otomatik anahtar yönetimi, Internet Security Association Key Management Protocol (ISAKMP) ve Oakley Protocol (Oakley) protokollerinin bir kombinasyonudur (ISAKMP/Oakley) ve genellikle Internet Key Exchange (IKE) olarak anılır.
Anahtar yönetimi iki aşamadan oluşur. İlk aşamada ISAKMP SA kurulur ve bu aşama main mode olarak adlandırılır.İkinci aşamada ise IPSec SA kurulur ve bu aşama da quick mode olarak adlandırılır. ISAKMP SA çift yönlü, IPSec SA ise tek yönlü olarak kurulur. IPSec SA tek yönlü kurulduğundan iletişimde bulunacak bilgisayarlar arasında en az iki tane IPSec SA kurulur.
Main modda, iletişimde bulunacak bilgisayarların hangi kimlik doğrulama metodunu, hangi hash fonksiyonunu ve hangi şifreleme algoritmasını kullanacaklarına karar verilir. Ayrıca bu modda, Oakley protokolünün anahtar değişim işlemini yönetmesi için kullanılacak bir Diffie-Hellman grubu belirlenir. ISAKMP/Oakley, Diffie-Hellman protokolünü, iletişimde bulunacak iki sistem arasında güvenli bir kanal oluşturmak için kullanılacak bir paylaşılmış simetrik anahtarı (shared symmetric key) oluşturmak ve anahtarın bu iki sistem arasında değiş tokuş edilmesini sağlamak için kullanır.
ISAKMP SA kurulumu ile güvenli bir kanal oluşturulduktan sonra IPSec SA’lar kurulur. IPSec SA’ların kurulumu yani quick mode işlemi yukarıda anlatılan main mode kurulumu ile aynıdır. Sadece kullanılacak her bir protokol için (AH veya ESP) ve her bir yön için (gelen ve giden trafik için) birer IPSec SA kurulur. Kurulan bu IPSec SA’ların her biri kendi şifreleme algoritmasına, hash algoritmasına ve kimlik doğrulama metoduna sahiptir ve bunlar diğer IPSec SA’larda kullanılanlardan farklı olabilir.Bunun yanında her iki modda kullanılan paylaşılmış simetrik anahtarlar (shared symmetric key) farklıdır.
-Windows 2000’de IPSec
Yukarıda, IPSec mimarisini oluşturan bileşenler hakkında teorik bilgiler anlatıldı. Bundan sonraki kısımda Windows 2000’de IPSec ‘in nasıl kullanılacağına değineceğiz. Windows 2000’de IPSec’in nasıl konfigüre edileceğine geçmeden önce hangi sistemlerde IPSec kullanmanız gerektiğine aşağıdaki soruları yanıtlayarak karar vermelisiniz.
· Genel olarak ağ üzerinde hangi tip veriler iletilir? Bu veriler ne kadar önemlidir? Bu veriler arasından müşteri kayıtları, şirketinizin ticari sırları gibi bilgiler var mı?
· Bu önemli veriler nerede saklanıyor? Bu veriler, ağ üzerindeki hangi bilgisayarlar tarafından kullanılıyor?
· Internet gibi açık ağlarla bağlantınız var mı? Önemli verileriniz bu bağlantı kullanılarak iletiliyor mu? Yerel ağ trafiğini güvenliğini sağlamak sizin için önemli mi?
Yukarıdaki soruların cevabını vererek IPSec’i uygulanacağı alanı, yani hangi bilgisayarlar arasındaki hangi tür iletişimde IPSec’i kullanacağınızı belirleyebilirsiniz.
Windows 2000’de IPSec konfigürasyonu ve bu konfigürasyonun bilgisayarlara dağıtılması işlemi için Active Directory ve Group Policy kullanılır. Yani Windows 2000’de IPSec kullanmak istiyorsak bir policy (ilke) oluşturmalıyız. Oluşturacağımız bu ilke, bir domain seviyesinde uygulanabileceği gibi yerel bilgisayarlarda kullanılacak şekilde de oluşturulabilir.
NOT
Active Directory içinde tanımlanan IPSec ilkelerinin önceliği, lokal IPSec ilkelerinden daha yüksektir. Yani Active Directory ilkeleri her zaman lokalde tanımlanan ilkelerin üzerine yazar.
|
Windows 2000’de IPSec konfigürasyonu için Microsoft yönetim konsolunu (MMC) kullanacağız. Start->Run komutunu çalıştırıp, karşımıza çıkan pencerede MMC yazarak boş bir yönetim konsolu oluşturuyoruz. Daha sonra yönetim konsolundaki Console menüsünden Add/Remove Snap-in komutunu çalıştırarak Add/Remove Snap-in başlıklı pencereyi açıyoruz. Bu penceredeki Add butonuna basarak Add/Standalone Snap-in başlıklı pencereyi açıp, bu pencerede listelenen eklentilerden (snap-in) Group Policy eklentisini seçerek Add butonuna basıyoruz. Karşımıza, Select Group Policy Object başlıklı pencere çıkacaktır. Bu penceredeki Group Policy Object kısmında varsayılan olarak Local Computer bulunur. Eğer IPSec ilkelerini (policy) domain yada herhangi bir OU (Organizational Unit) üyesi bilgisayarların tümü için veya başka bir bilgisayar için konfigüre edecekseniz bu durumda bu penceredeki Browse butonuna basarak ilgili domain, OU veya bilgisayarı seçebilirsiniz.Biz örneğimizde yerel bilgisayar için IPSec ayarlarını yapacağımızdan bu kısımdaki değeri Local Computer olarak seçip yönetim konsolunu oluşturuyoruz. Oluşturduğumuz yönetim konsolu Şekil-3’de gösterilmiştir.
Resim altı: IPSec ilkelerinin yönetildiği yönetim konsolu
NOT
Eğer sadece IPSec ilkelerini yönetecekseniz eklenti olarak IP Security Policy Management eklentisini (snap-in) kullanabilirsiniz.
|
IPSec ilkelerinin nasıl oluşturulacağına geçmeden önce bir IPSec ilkesinin hangi bileşenlerden oluştuğuna kısaca değinelim. Şekil-3’de görüldüğü gibi bir IPSec ilkesinde en az bir tane IPSec kuralı bulunmalıdır. IPSec kuralında, IP süzme listeleri, süzme eylemleri ve kimlik doğrulama metodları bulunur ve bu bileşenlerin farklı kombinasyonları ile değişik IPSec kurallar oluşturulabilir. Yani oluşturduğunuz bileşenleri başka IPSec kurallarını tanımlarken de kullanabilirsiniz. IP süzme listesi (IP), oluşturulan ilkenin, hangi IP adresleri arasındaki hangi portlar kullanılarak gerçekleştirilen trafiğe uygulanacağını belirlemek için kullanılır. Oluşturulan bir IPSec kuralı içinde sadece bir tane IP süzme listesi kullanabilirsiniz. Süzme eylemi ise, IP süzme listesinde tanımlanan trafiğe uyan bir bağlantı isteğine nasıl cevap verileceğini belirler. Kimlik doğrulama metotları ise, bağlantı kuracak iki bilgisayarın birbirlerinin kimliklerini hangi metodu kullanarak gerçekleştireceğini belirler. Windows 2000’de tanımlanan IPSec, Kerberos, Preshared Key ve Certificate Authority metotlarını kimlik doğrulama metodu olarak kullanabilir.
Resim altı: Windows 2000’de IPSec ilke bileşenleri
IPSec ilkelerine, oluşturduğumuz yönetim konsolundaki Local Computer Policy->Computer Configuration->Windows Settings-> IP Security Policies on Local Machine yolunu izleyerek ulaşabiliriz. IP Security Policies on Local Machine objesine tıkladığımızda yönetim konsolunun ayrıntılar penceresinde, yani sağ taraftaki pencerede önceden tanımlanmış üç tane IPSec ilkesi (policy) görürüz. Bu ilkeler, genel ihtiyaçlar düşünülerek hazırlanmış ilkelerdir. Şimdi bu ilkelere bir göz atalım.
· Client (Respond Only): İsminden de anlaşılacağı gibi bu ilke özellikle istemci bilgisayarlar düşünülerek hazırlanmıştır. Eğer bilgisayara bu ilkeyi atarsanız (assign), sadece karşı taraftan güvenli iletişim isteğinde bulunulduğunda IPSec bağlantısı kurulur. Karşı taraf güveli bir bağlantı isteğinde bulunmadığı sürece bağlantıda IPSec kullanılmaz.
· Server (Request Security): Bu ilke, sunucular düşünülerek hazırlanmıştır ve bu ilkenin atandığı sunucular kendisinden istekte bulunan istemcilere ilk önce güvenli bağlantı kurma isteği yollar. Eğer istemciler güvenli bağlantı kurma yeteneklerine sahiplerse iki bilgisayar arasındaki trafik IPSec kullanarak korunur. Aksi durumda, yani istemciler güvenli bağlantı kurma yeteneklerine sahip değillerse (diğer bir değişle bu istemcilerde IPSec ilkesi konfigüre edilmemişse) bu durumda iletişim IPSec kullanılmadan gerçekleştirilir. Bu ilkeyi, dosya sunucusu olarak kullandığınız ve hem Windows 2000/XP Professional gibi IPSec kullanabilen istemcilere hem de Windows 98/NT gibi IPSec kullanamayan istemcilere hizmet veren Windows 2000 sunucular için kullanabilirsiniz. Böylece IPSec kullanabilen istemciler ile güvenli bağlantılar gerçekleştirilirken, IPSec kullanamaya istemciler ile de güvenli olmayan bağlantılar kurulabilecektir.
· Secure Server (Require Security) : Bu ilkenin atandığı sunucular sadece güvenli bağlantı isteğine cevap verebilen istemcilerle bağlantı kurabilirler. Bu durumda güvenli bağlantı kurma yeteneklerine sahip olmayan istemciler bu sunucuyla herhangi bir bağlantı kuramayacaklardır
Yukarıdaki IPSec ilkelerini herhangi bir bilgisayara uygulamak istediğinizde ilkenin üzerine mouse ile sağ tıklayıp açılan menüden Assign seçeneğini seçmeniz yeterli olacaktır. Bilgisayar atanan ilkenin hangisi olduğunu anlamak için ilkelerin isimlerinin yanında bulunan simgelere bakabilirsiniz. Aktif ilkenin başındaki simgede küçük yeşil bir işaret bulunur. Aynı anda sadece bir tane IPSec ilkesini bilgisayara atayabilirsiniz.
Eğer yukarıdaki üç ilke sizin ihtiyacınızı karşılamıyorsa bu durumda kendi ilkenizi kendiniz oluşturmalısınız. Bundan sonraki anlatımlarımızda, Şekil-5’de gösterilen örnek ağ topolojisini kullanacağız. DMZ ağında bulunan Web sunucu üzerinde şirketimizin Web sitesi yayınlanıyor olsun. Biz bu sunucuyu uzaktan yönetmek için Windows 2000’in terminal servisini kullanalım. Ayrıca sitenin güncellemesini ise FTP kullanarak gerçekleştiriyoruz ve sitenin yönetimini Web browser aracılığıyla gerçekleştirmek istediğimizde ise sunucunun 5953 numaralı TCP portunu kullanıyoruz.Tüm bu yönetim işlerinde kullandığımız bilgisayar ise Wrk01 isimli bilgisayar. Wrk01 ile Web sunucu arasındaki tüm iletişimin IPSec kullanarak güvenli bir şekilde gerçekleştirilmesini istiyoruz. Bunun yanında, sadece Wrk01 bilgisayarının Web sunucudaki FTP, Terminal servisi ve 5953 numaralı TCP portlarına bağlantı gerçekleştirebilmesini, diğer bilgisayarlardan bu portlara gelecek bağlantı isteklerinin ise kabul edilmemesini istiyoruz. Son olarak Web sunucuda yayınladığımız Web sitesi herkese açık olduğu için bu sunucunun 80 (HTTP) ve 443 (HTTPS) numaralı TCP portlarına gelen tüm isteklerin ise IPSec kullanılmadan yanıtlanmasını istiyoruz.
Resim altı: Örnek ağ topolojisi
Yukarıdaki tüm bu istekleri, oluşturacağımız IPSec ilkeleri sayesinde gerçekleştirebiliriz. Bu ilkelerden bir tanesini Web sunucu üzerinde diğerini ise Wrk01 adlı bilgisayar üzerinde tanımlayacağız. Öncelikle Web sunucusu üzerinde tanımlayacağımız IPSec ilkesini oluşturmaya başlayalım. Bunun için yönetim konsolundaki Local Computer Policy->Computer Configuration->Windows Settings-> IP Security Policies on Local Machine objesine sağ tıklayıp açılan menüden Create IP Security Policy seçeneğini seçiyoruz. Karşımıza çıkan sihirbaz ekranındaki Next butonuna basarak IP Security Policy Name başlıklı pencereye geçiyoruz. Bu pencerede, oluşturacağımız IPSec ilkesine vereceğimiz ismi belirliyoruz. Next butonuna basıp ilerlediğimizde karşımıza Requests for Secure Communication başlıklı pencere çıkacaktır. Eğer buradaki Activate the default response rule seçeneğini seçerseniz gelen bağlantı isteği IPSec ilkesi içindeki kurallara uymayan bir istekse bu durumda varsayılan kural uygulanacaktır. Varsayılan kural, bağlantı kurmak isteyen istemcilere öncelikli olarak güvenli bağlantı kurma isteği yollanacak şekilde oluşturulmuştur. Eğer istemci güvenli bağlantı kurma yeteneğine sahip değilse bu istemcilerle bağlantı kurulacak fakat kurulacak bağlantı güvenli olmayan bir bağlantı olacaktır. Örneğimizde IPSec ilkesi içindeki tüm kuralları kendimiz tanımlamak istediğimiz için bu seçeneği seçmiyoruz. Next butonuna basıp ilerlediğimize karşımıza çıkan penceredeki Edit Properties seçeneğini seçili bırakarak Finish butonuna basıyoruz.Karşımıza çıkacak bir sonraki pencere Şekil-6’daki pencere olacaktır. Bu pencerede, IPSec ilkesi içinde tanımlanan IPSec kuralları listelenir ve bu kurallardan hangilerinin uygulanıp hangilerinin uygulanmayacağı bu pencere kullanılarak belirlenir. Uygulamak istediğiniz kuralın önündeki kutucuğu işaretlerseniz o kural IPSec ilkesi içerisinde aktif olacaktır.
Resim altı: IPSec ilkesi içinde oluşturulan kuralların listelendiği pencere
Örneğimizdeki Web sunucu üzerinde tanımlanan IPSec ilkesi içinde üç tane IPSec kuralı oluşturacağız. Bu kurallardan bir tanesi, Web sunucudan Wrk01 bilgisayarına FTP (TCP 20 ve 21 numaralı portlar), Terminal servisi (TCP 3389 numaralı port) ve Web sitesini yönetmek için kullanılan 5953 numaralı TCP portuna yapılacak bağlantıların güvenli bağlantılar olmasını sağlayacak, diğer bir kural Web sunucuya gelen HTTP (TCP 80 numaralı port) ve HTTPS (TCP 443 numaralı port) bağlantı isteklerinin güvenli olmayan bağlantılar kullanılarak cevaplanmasını sağlayacak, son kural ise yukarıdaki kurallarda belirlenen kriterlere uymayan tüm bağlantı isteklerinin reddedilmesini sağlayacak. Wrk01 adlı bilgisayarda oluşturacağımız IPSec ilkesinde ise, sadece Web sunucunun 20, 21, 3389 ve 5953 numaralı TCP portlarına yapılacak bağlantıların güvenli bağlantılar olmasını sağlayacak bir tek kural tanımlamamız yeterli olacaktır. Böylece IPSec kullanarak hem paket filtreleme, hem de güvenli bağlantı kurma işlemini bir arada yapmış olacağız.
Yeni bir kural oluşturmak istediğimiz için Şekil-6’daki pencerede bulunan Add butonuna basıyoruz. Eğer yeni kural oluşturma sırasında sihirbaz kullanmak istiyorsanız bu durumda Use Add Wizard seçeneğini seçmelisiniz. Add butonuna basıp yeni kural oluşturma işlemini başlatıyoruz. Karşımıza çıkan ilk pencereyi Next butonuna basarak geçiyoruz. Bir sonraki pencere Tunnel Endpoint başlıklı pencere olacaktır. Eğer IPSec’i tunnel modunda kullanacaksanız bu penceredeki The tunnel endpoint is specified by this IP address seçeneğini seçerek kurulacak tünelin uç noktası olarak konfigüre edilen cihazın IP adresini yazmalısınız. Örneğimizde IPSec’i Transport modda kullanacağımız için bu penceredeki This rule does not specify a tunnel seçeneğini seçerek Next butonuna basıp ilerliyoruz. Bir sonraki pencere, oluşturulacak kuralın hangi tür ağ bağlantılarında kullanılacağının belirlendiği Network Type başlıklı penceredir. Bu pencerede All Network Connection, Local area network (LAN) ve Remote access olmak üzere üç seçenek bulunur. Oluşturacağımız kural yerel ağ içinde geçerli olacağında Local area network seçeneğini seçip Next butonu basarak ilerliyoruz. Bir sonraki pencere, bu kuralda kullanılacak kimlik doğrulama metodunun belirlendiği Authentication Method başlıklı Şekil-7’deki pencere olacaktır.
Resim altı: Oluşturulan kural içinde hangi kimlik doğrulama metodunun kullanılacağının belirlendiği pencere
Daha önce de değindiğimiz gibi Windows 2000’de tanımlanan IPSec, kimlik doğrulama metodu olarak Kerberos, Certificate Authority ve Preshared Key yöntemlerini destekler. Eğer güvenli iletişim kuracak bilgisayarlar aynı etki alanı (domain) üyesi iseler kimlik doğrulama metodu olarak Kerberos en kolay çözüm olacaktır. Örneğimizde kimlik doğrulama metodu olarak preshared key yöntemi seçtik. Eğer kimlik doğrulama metodu olarak preshared key yöntemini seçerseniz, bağlantı kuracak tüm bilgisayarlarda aynı anahtarı kullanmalısınız. Aksi takdirde anahtarlar uyuşmayacağı için kimlik doğrulaması gerçekleşemeyecek ve bağlantı kurulamayacaktır. Microsoft, kullanılacak anahtarın en az 20 karakter olması öneriyor. Ama siz isterseniz 1000 karakterden daha fazla uzunlukta bir anahtar kullanabilirsiniz. Next butonuna basıp ilerlediğimizde karşımıza IP süzme listelerinin bulunduğu IP Filter List başlıklı pencere çıkacaktır. Bu pencerede önceden oluşturulmuş IP süzme filtreleri listelenir. Bir IPSec kuralı içinde sadece bir tane IP süzme listesi bulunabilir. Mevcut IP süzme listeleri ihtiyacımızı karşılayamadığı için bu penceredeki Add butonuna basarak yeni bir IP süzme listesi oluşturmaya başlıyoruz. Karşımıza, IP Filter List başlıklı bir pencere çıkacaktır. Bu pencerede, oluşturacağımız IP süzme listesi için bir isim belirleyebilir ve bu IP süzme listesi hakkında bir açıklama yazabiliriz. Bu penceredeki Add butonuna basarak önceden belirlediğimiz kriterlere uyan trafiği belirlemeye başlıyoruz.
Oluşturacağımız ilk IP süzme listesi içerisinde Wrk01 bilgisayarından Web sunucunun 20, 21, 3389 ve 5953 numaralı TCP portlarına gelecek bağlantıları tanımlayacağız. Her bir bağlantı için IP süzme listesine Add butonuna basarak birer filtre gireceğiz. Öncelikle Web sunucudan Wrk01 bilgisayarına, Web sunucunun 20 numaralı TCP portunu kullanarak gerçekleştirilecek bağlantıyı tanımlayan bir filtre oluşturalım. Add butonuna bastığımızda karşımıza çıkacak sihirbaz ekranını Next butonuna basarak geçiyoruz. Bir sonraki pencere, kaynak IP adresinin belirlendiği IP Traffic Source başlıklı pencere olacaktır. Bu penceredeki Source Address kısmında My IP Address, Any IP Address, A specific DNS Name, A specific IP Address ve A specific IP Subnet olmak üzere beş seçenek bulunur. Kaynak adresi olarak, üzerinde kural tanımladığımız bilgisayarın IP adresini belirleyeceğimiz için buradaki seçeneklerden My IP Address seçeneğini seçip Next butonuna basarak IP Traffic Destination başlıklı pencereyi açıyoruz. Hedef adresin belirlendiği bu penceredeki Destination Address kısmına Wrk01 bilgisayarının IP adresini (192.168.0.10) yazıp Next butonuna basarak protokol tipinin belirlendiği IP Protocol Type başlıklı pencereyi açıyoruz. Bu penceredeki Select a protocol type kısmından TCP protokolünü seçip Next butonuna basarak ilerliyoruz. Bir sonraki pencere, bağlantı sırasında kullanılacak portların belirlendiği IP Protocol Port başlıklı penceredir. Bu penceredeki seçeneklerden From this port seçeneğini seçerek buraya 20 yazıyoruz. Alttaki seçeneklerden ise To any port seçeneğini seçip Next butonuna basarak ilerliyoruz. Son olarak karşımıza çıkan penceredeki Finish butonuna basarak filtre oluşturma işlemini bitiriyoruz. Yukarıdaki adımları 21, 3389 ve 5953 numaralı TCP portlarını içeren filtreleri oluşturmak için de tekrarlıyoruz. Filtre oluşturma işlemi bittikten sonra IP Süzme listesi Şekil-8’de görüldüğü gibi olmalıdır. Wrk01 bilgisayarında tanımlayacağınız IP süzme listesi ise Şekil-8’deki listeye benzeyecektir. Aralarındaki tek fark Şekil-8’deki listede bulunan hedef ve kaynak IP adresleri ile hedef ve kaynak port numaralarının yerlerinin değişmiş olmasıdır.
Resim altı: Oluşturulan IP süzme listesinin son hali
IP süzme listesini oluşturduktan sonra Close butonuna basarak IP Filter List başlıklı pencereye geri dönüyoruz. Bu pencerede listelene IP süzme listeleri arasından az önce oluşturduğumu seçip Next butonuna basıyoruz. Karşımıza Filter Action başlıklı bir pencere çıkacaktır. Bu penceredeki Filter Actions kısmında önceden tanımlanmış süzme eylemleri listelenir. Eğer buradaki süzme eylemleri sizin ihtiyacınıza cevap vermiyorsa bu durumda Add butonuna basarak yeni bir süzme eylemi oluşturabilirsiniz.Yeni bir süzme eylemi oluşturmak için Add butonuna basıp, karşınıza çıkacak sihirbaz ekranında Next butonu yardımıyla ilerliyoruz. Bir sonraki pencere, oluşturacağımız süzme eylemine vereceğimiz ismi belirleyeceğimiz Filter Action başlıklı pencere olacaktır. Oluşturduğumuz süzme eylemine uygun bir isim verip Next butonuna basarak ilerliyoruz. Bir sonraki pencere, Filter Action General Options başlıklı pencere olacaktır ve bu pencerede bir önceki adımda oluşturduğumuz IP süzme listesine uygulanacak süzme eyleminin ne olacağı belirlenir. Bu pencerede üç seçenek vardır. Bu seçeneklerden Permit seçeneğini seçerseniz önceki adımda seçtiğimiz IP süzme listesinde tanımlanan trafiğe izin verilecek, seçeneği Block olarak seçerseniz trafiğe izin verilmeyecektir. Eğer IP süzme listesinde belirttiğiniz trafiğin güvenli bağlantı üzerinden gerçekleşmesini istiyorsanız Negotiate security seçeneği seçmelisiniz. Negotiate security seçeneğini seçip Next butonuna basarak ilerlediğimizde karşımıza Communicating with computers that do not support IPSec başlıklı pencere çıkacaktır. Eğer bu penceredeki Do not communicate with computers that do not support IPSec seçeneğini seçerseniz IPSec kullanamayan bilgisayarlarla bağlantı kurulmayacaktır. Eğer IPSec kullanamayan bilgisayarlar ile bağlantı kurulmasını istiyorsanız bu durumda Fall back to unsecured communication seçeneğini seçmelisiniz.Bu seçeneği seçerken dikkatli olmalısınız. Aksi takdirde oluşturduğunuz tüm bu IPSec ilkesi bir işe yaramayabilir. Örneğimizde Do not communicate with computers that do not support IPSec seçeneğini seçip Next butonuna basarak ilerliyoruz. Bir sonraki pencere, güvenli bağlantı için IPSec’in hangi protokolünün kullanılacağının belirlendiği Şekil-9’daki IP Traffic Security başlıklı pencere olacaktır.
Resim altı: Hangi IPSec protokolünün uygulanacağının belirlendiği IP Traffic Security başlıklı pencere
Bu penceredeki High (Encapsulated Secure Payload) seçeneğini seçerseniz IPSec protokolü olarak ESP, Medium (Authenticated Header) seçeneğini seçerseniz AH protokolü kullanılacaktır. Bunun yanında eğer varsayılan ESP ve AH ayarlarında değişiklik yapmak istiyorsanız Custom seçeneğini seçerek ilgili değişiklikleri (örneğin kullanılacak hash algoritmasını ve şifreleme algoritmasını) istediğiniz gibi ayarlayabilirsiniz. Örneğimizde ESP protokolünü kullanacağımız için High (Encapsulated Secure Payload) seçeneğini seçip Next butonuna basıyoruz. Son olarak karşımıza çıkan penceredeki Finish butonuna basarak süzme eylemi oluşturma işlemini bitiriyoruz. Oluşturduğumuz bu süzme eylemi, süzme eylemlerinin listelendiği Filter Action penceresine eklenecektir. Oluşturduğumuz bu süzme eylemini seçip Next butonuna basarak ilerliyoruz. Bir sonraki pencerede bulunan Finish butonuna basarak IPSec ilkesi içindeki ilk kuralımızı oluşturuyoruz.
Yukarıdaki adımları tekrarlayarak 80 ve 443 numaralı TCP portları kullanılarak gerçekleştirilen bağlantılara izin verecek ve bunun haricindeki tüm bağlantıları yasaklayacak iki tane daha IPSec kuralı oluşturuyoruz. Oluşturduğumuz IPSec ilkesinin son hali Şekil-10’da gösterildiği gibi olmalıdır.
Resim altı: Web sunucu için oluşturduğumuz IPSec ilkesinin son hali
NOT
Oluşturduğunuz IP Süzme kuralında, süzme eylemi olarak Permit (izin ver) seçeneğini seçerseniz bu kural içinde belirlemiş olduğunuz kimlik doğrulama metodu dikkate alınmayacaktır.
|
IPSec ilkesi içinde birden fazla IPSec kuralı tanımlayabiliyoruz. Peki oluşturulan bu kurallar hangi sıraya göre işleme sokulur? Şekil-10’da gösterildiği gibi, örneğimizdeki Web sunucu üzerinde tüm IP trafiğini yasaklayan bir kuralın yanında, 80 ve 443 numaralı TCP portlarına gelecek bağlantı isteklerine cevap verecek bir kural daha tanımladık. Peki bu kurallar çakışmaz mı? Windows 2000, IPSec kurallarını işleme sokarken daha belirleyici olana öncelik tanır. Kaynak ve hedef IP adresine göre öncelik sırası şöyledir; My IP Address, Specific IP Address, Specific IP Subnet ve Any IP Address. IP süzme listesi oluştururken kullanılacak protokolü belirtmişseniz bu kural, kullanılacak protokolün herhangi (Any) bir protokol olarak belirlendiği kurala göre daha önceliklidir. Aynı şekilde port numarası belirlenen kural, port numarasının belirtilmediği kurala göre daha önceliklidir.
Web sunucu için oluşturduğumuz IPSec ilkesinden sonra Wrk01 bilgisayarından da bir IPSec ilkesi oluşturuyoruz. Bu ilkede tanımlayacağımız kuralla Wrk01 bilgisayarından Web sunucunun 20, 21, 3389 ve 5953 numaralı TCP portlarına yapılacak bağlantıların IPSec kullanılarak gerçekleştirilmesini sağlayacağız. Bu kuralı yukarıda anlattıklarımızı baz alarak kendiniz oluşturabilirsiniz.
Her iki bilgisayar üzerinde oluşturduğumuz bu ilkeleri bilgisayarlara atamadığımız sürece ilkeler kullanılmayacaktır. Oluşturulan bir IPSec ilkesini bilgisayara atamak için Microsoft Yönetim konsolunda listelenen IPSec ilkelerinden atamak istediğimizin üzerine sağ tıklayıp açılan menüden Assign seçeneğini seçmemiz yeterli. Daha sonra yaptığımız bu değişikliğin hemen etkili olması için secedit komutu yardımıyla bilgisayar ilkelerini güncelliyoruz. Aşağıdaki komutu her iki bilgisayarda da çalıştırıyoruz.
secedit /RefreshPolicy MACHINE_POLICY
Şimdi sıra, oluşturduğumuz IPSec ilkelerinin düzgün çalışıp çalışmadığını denemeye geldi. Bunun için Wrk01 bilgisayarından Web sunucu bilgisayarına bir FTP bağlantısı gerçekleştiriyoruz. Daha sonra Web sunucudaki Olay Görüntüleyicisindendeki (Event Viewer) Güvenlik (Security) konteynırında 541 numaralı olayı buluyoruz. 541 numaralı olay bize iki bilgisayar arasında bir IPSec SA’nın başarıyla kurulduğunu söyler.
NOT
Event Viewer’da IPSec ile alakalı olayların olay numaraları (Event ID) 541 ile 547 arasındadır. Örneğin 542 numaralı olay, IPSec SA’nın sonlandırıldığını, 545 numaralı olay, iletişimde bulunacak bilgisayarların birbirlerinin kimliklerini doğrulayamadığını belirtir. IPSec ile alakalı olayların olay numaraları ve açıklamalarını Microsotf’un Web sitesinde bulabilirsiniz.
|
Şimdide IPSec kullanarak gerçekleştirilen trafiğin ağ izleme programları aracığıyla yakalanması durumunda paketlerin nasıl göründüğünü inceleyelim. Şekil-11’de Sniffer Pro yazılımı kullanılarak yakalanan ve 192.168.0.3 ile 192.168.0.10 bilgisayarları arasında gerçekleşen FTP trafiğini görebilirsiniz. Bu trafik normal bir FTP oturumu olmasına karşın paketlerin çözülmesi (decode) ve bu paketlerin FTP protokolüne ait paketler olduğunun anlaşılması oldukça zordur.
Resim altı: Sniffer Pro kullanılarak yakalanan IPSec trafiği
Windows 2000’de, kurulan IPSec SA’larını görebilmeniz için geliştirilen bir program mevcuttur. IP Security Monitor isimli bu programı çalıştırmak için Start->Run ‘dan ipsecmon yazıp Enter butonuna basıyoruz. Karşımıza Şekil-12’deki ekran çıkacaktır. Bu ekran yardımıyla IPSec ve ISAKMP/Oakley istatistiklerini, programın çalıştırıldığı bilgisayarda IPSec’in aktif olup olmadığını ve hangi bilgisayarlar arasındaki hangi trafiğin IPSec kullanılarak korunduğunu görebilirsiniz. Bu ekran her 15 saniyede bir güncellenir. Eğer bu zaman aralığını azaltmak yada arttırmak isterseniz Options butonunu kullanabilirsiniz.
Resim altı: IP Security Monitor uygulaması
Windows XP ve Windows 2003’de IP Security Monitor uygulaması bir eklenti (snap-in) olarak gelir ve bu uygulamayı çalıştırmak için bir MMC gerekir. Ayrıca bilgisayarınızdaki aktif IPSec ilkesi hakkında daha fazla bilgi istiyorsanız Windows 2000 Support Tools içinde bulunan netdiag.exe programını kullanabilirsiniz. (Bu program kullanmak için Windows 2000 CD’si içindeki Support Tools uygulamasını kurmalısınız.). Örneğin bu programı aşağıdaki anahtarlar yardımıyla netdiag /test:ipsec /debug şeklinde çalıştırarak bilgisayarınızdaki aktif IPSec ilkesi hakkında oldukça geniş bilgilere sahip olabilirsiniz.
NOT
Windows 2000’de kullanılan IPSec, Broadcast ve Multicast paketleri ile Resource Reservation Protocol (RSVP), Internet Key Exchange (IKE) ve Kerberos protokollerine ait paketlerin güvenliğini sağlayamaz. Bunun yanında IPSec, NAT (Network Address Translation) ile birlikte kullanılamaz. Ayrıca IPSec trafiğinin üzerinden geçeceği Firewall ve Router’da, protokol numaraları 50 ve 51 olan ESP ve AH protokollerine ait paketler ile 500 numaralı UDP portunu kullanan paketlere izin verilecek şekilde konfigürasyon yapılmalıdır.
|
Faydalanılabilecek Kaynaklar
Securing W2K with IP Filters: Part 1 (Step-by-Step How-To Guide)
Securing W2K with IP Filters: Part 2 (Implementing Encryption)
Using IPSEC to Lock Down a Server
How to Enable IPSEC Through a Firewall
Basic IPSec Troubleshooting in Windows 2000
|
