IPSec 3 protokol yolu kullanmaktadır 500 UDP ISAKMP trafiği, ID 50 ESP, ID 51 AH. Ek olarak L2TP/IPSec VPN 1701 UDP, IPSec portları yeni conf sistemlerine ek olarak 4500 kullanılabilir. IPSec gelen ve giden ias üst bilgisi için 50 (0x33), IPSec gelen ve giden sarma Güvenlik İletişimi Kuralı için 50 (0x32), gelen ve giden ISAKMP/Oakley akışı içinse 500 (0x1F4) kuralları kullanılır. Sizlere IPSec'in administrators grubunun kullandığı portları blokladığını söylemiştim, sistem içerisinde farklı bir yapılandırma sonucunda firewall kullanmak zorunda kalabilirsiniz. Bu nedenle dikkat edilmesi gereken bazı durumlar söz konudur. İlk husus statik paket filtreleme kullanımıdır, diğer unsur ise IPSec kullanımı esnasında firewall'da yapılandırılmış olan NAT'ın ağ adres dönüşümlerini destekleyen yapı, IPSec konfigürasyonuna destek göstermemesidir. Bu 2 kavramın ortak ve sorunsuz çalışabilmesi için hem sunucu hem de istemcinin yeni sürüm olan NAT-T kullanmaları gerekmektedir. Firewall yapılandırılmasındaki ilk göze alınacak değerler IPSec ve VPN uygulamaları olacaktır. Eğer böyle bir uygulama çalıştı yor iseniz, firewall conf ayarları muhakkak bu 2 özelliğin çalışması doğrultusunda yapılmalıdır. Bu doğrultuda ESP, ISAKMP, AH trafiklerine de izin verilmesi gerekmektedir. Firewall uygulamalarında açık bırakılması gereken portların korunması yine yukarıda bahsettiğim gibi IPSec (Kimlik Denetimi) olarak yapılabilir. IPSec L2TP için güvenliğini Internet Anahtar Değişimi (IKE) sertifika temelli kimlik doğrulama kullanarak belirler. IPSec engeli ancak iş istasyonu pozisyonunda olan sunucu makine tarafından verilen değerlere göre kaldırılabilir. Son olarak uçbirim servislerinin kullandığı 3389 nolu porta sınırlı kullanıcı atayın ve diğer ulaşımlar için kullanımını engelleyin.
IPSec ilkelerinde 2 depolama konumu bulunmaktadır. Bir etki alanı içerisinde bulunmayan bilgisayarlar. regedit'te local olarak tanımlanmaktadır. Belirlenemeyen bir durum sonucu bağlantı kopar ve sonlandırılamamış bir görev oluşursa, önceki bilgiler regedit içerisinde ön belleğe alınır. IPSec bağlantısının başlaması esnasında bağlantıyı kurmak isteyen bilgisayar, içinde bulunan süzgeç listesine göre eşleşme ve denetleme yapar. IPSec sürücüsü ISAKMP'e karşı tarafla güvenlik anlaşmasının başlayacağını bildirir. Bu adımdan sonra iki adres arasındaki ilk paylaşım başlar, anahtar değişimi ile ortak anahtar ve güvenlik ilişkileri belirlenir. Bu adım sonrası kaynak adres, karşıya gönderilen IPSec Security Association (SA) kullanarak paketlerin şifrelenmesini ve üst bilgilerin pakete yerleştirilmesini sağlar. Bu adımdan sonra da kullanılan protokol veya protokoller aracılığı ile transfer işlemi başlar. Hedef bilgisayar aldığı veriyi IPSec sürücüsüne yükler. En son ise verinin anahtarlanması ve tersine işlemle veri okunur hale gelir. Bilmem anlatabildim mi?
Katman İki Tünel Oluşturma İletişim Kuralı (L2TP)
Bir etki alanına dahil olan kullanıcılar için oluşturulmuş bu politikada veri güvenliği için şifreleme unsurları kullanılır. İki Tünel iletişim Kuralı (L2TP/IPSec) L2TP paketlerinin güvenliğini sağlar. L2TP ile özel bir ağa VPN bağlantısı kurabilirsiniz. Özellikle AppleTalk RS-232 amaçlı kullanılmaktadır. L2TP/IPSec VPN 1701 UDP kullanılmaktadır, normal durumlarda PPTP ile aynı işleve sahip internet tünel iletişim kuralıdır. L2TP için özel bir bağlantınızın olması şart değildir. Normal internet bağlantısı olan her kullanıcı bu uygulamayı çalıştırabilir. IPSec L2TP kurmadan önce tünel sunucu arasında bir iletişim kurması ve sistemin çalışmasını onaylatır. L2TP, SPAP ve IPSec'li PAP gibi standart PPP esaslı kimlik doğrulama iletişim kurallarını kullanır. Bu uygulama kullanılacaksa kimlik doğrulama sertifikalarının kullanıcıda bulunması gerekmektedir. Sertifikasyon hizmetlerinden en az bir tanesi (ortak anahtar) her iki bağlantı noktasında bulunması ve onaylatılmış olması gerekmektedir.Tünel oluşturma kavramı sizlere aslında yabancı değildir diye düşünüyorum. Web dillerinde kullanılan tünel kavramından biraz farklıdır. Ancak amaç aynıdır, bilginin saklanması... L2TP en önemli özelliklerinden biri ise ( L2F- PPTP ) gibi IP-IPX-NetBEUI çerçevelerini birleştirip saklamasıdır.
L2TP aracılığıyla gerekli güvenlik denetimleri ve düzenlemeleri gerçekleştirilebilir. Normal ağlardan daha güvenli bir şifreleme uygular. Herhangi bir ağa erişim Windows Routing And Remote Access (RRA) üzerinden yapılıyorsa, VPN uygulamaları için L2TP/IPSec'in kullanımı önem taşımaktadır. Böylelikle kimlik denetimi sağlamlaştırılmış olur. Son olarak L2TP TCP/IP yığınına bağlıdır ve TCP/IP üzerinde yapılacak değişiklikler L2TP'yide etkileyecektir. Bu özellik nedeniyle VPN erişimi kurulduğu zaman RRAS sunucusunda L2TP/IPSec ve PPTP portları yapılandırılır. L2TP/IPSec NAT ile uyumlu değildir. Nedeni NAT'ın kaynak adresini değiştirmesidir, bu sorun NAT-T ile giderilebilir.
Noktadan Noktaya İletişim Kuralı (PPP)
Ortak işlemler için çağrılan uzaktan erişim yazılımları için oluşturulmuş iletişim kümesin PPP, standartlar dahilinde tüm PPP sunucuları vasıtasıyla uzaktaki ağlara bağlanma imkanı vermektedir. Bu nedenle TCP/IP- NetBEUI, IPX iletişim kurallarını desteklemektedir. PPP tabanlı bağlantılar için şifreleme MPPE tarafından yapılmaktadır 128-40 bit. PPP verileri şifrelediği gibi verileri sıkıştırma ve kimlik doğrulama yöntemlerini desteklemektedir. PPP kullanıcı düzeyi kimlik doğrulama yöntemlerini kullanarak (CHAP, SPAP, MS-CHAP, isteğe bağlı EAP) kimlik doğrulaması yapar. PPP tüm RFC standartlarına uyumlu bir şekilde çalışmaya olanak sağlar. Zaten bu nedenden dolayı noktadan noktaya iletişimde ilk sıralarda yer almıştır. (
www.ietf.org/rfc) PPP çerçevelenmesi için, Bağlantı Denetim İletişim Kuralları (LCP) kullanılmaktadır. Çerçeve adından da anlaşıldığı gibi, verinin nasıl saklanacağı sorusuna cevap verir. İlk olarak saklama biçimi şekillendikten sonra PPP bağlantısı başlamış olur. Bunun ardından Kimlik Doğrulama İletişim Kuralları aracılığıyla güvenlik düzeyi belirlenir. Bu seviyeyi sunucu belirlemektedir. Bağlantı isteyen sunucunun isteği doğrultusunda kon figüre edilmek zorundadır. Bağlantı ayarları içinde NCP kullanılmaktadır. Her bir bağlantı için, karşı sistemin yapısı gereği farklı iletişim kuralları ayarlanır. Bağlantı sağlandıktan sonra, işlemin bitmesi ile kullanıcı tarafından bağlantı direk sonlandırılır. Win 2000 prof. ve diğer bağlantılar, Win server gelen bağlantılar için sonradan yapılandırmaya gerek kalmaz, varsayılan değer kullanılır. Doğru yapılan bağlantılarda PPP çevirmeyi otomatikman yapacaktır. İleriki safhalarda arayan bağlantıya göre belirli ayarlamalar yapılabilirsiniz.
PPP özgün paketlerin iletişim kurallarını kullanabilir, bunlar IPC, IPXCP, NBTP, ATCP olarak çeşitlilik gösterir. Bunların en yaygın kullanılanı IPXCP'dir. Novel sistemlerde bu kurala alternatif olarak IPX WAN kullanılmaktadır. Sistem yöneticilerinin bu özelliği kullanarak güvenilir bir politikası oluşturması mümkündür. Örneğin Kimlik doğrulama ve diğer imkanlar aracılığıyla, remote uygulamalarda PPTP süzme işlemini tanımlayabilirler. Bu yolla da istemcilerden sadece kimlik doğrulaması yapmış olanlar, sıkıştırılmış ve şifrelenmiş verilerden yararlanabilir.
PPP için RFC'ler
1332 PPP IPCP
1334 PPP
1552 PPP IPXCP
1549 PPP HDLC
1661 PPP LCP
1990 PPP Çoklu bağlantı
2284 PPP EAP
PPP konfigürasyonu için ilk önce ağ bağlantıları bölümünde, ayarlar sekmesinden tüm gerekli ayarlamaları yapabilirsiniz. Örneğin LCP'nin bağlatılıp, devre kalması gibi...
Parola Kimlik Doğrulama İletişim Kuralı (PAP)
Parola Kimlik Doğrulama İletişim Kuralı (PAP), en az gelişmiş ve düz metin olarak çalışan bir yapıdır. Bu yapı güvenli olmadığı için en son tercih olarak kullanılmalıdır. Diğer işletim sistemlerine bağlantı içinde kullanılabilir. Uzakta çalışan bir sunucuyla ilişki kurulmak istendiğinde, PAP bilgisayarınızı şifresini gönderir ve güvenlik belgelerini veritabanı ile denetler. PAP isteğe bağlı şifrelenir.
Çekişme El Sıkışma Doğrulaması İletişim Kuralı (CHAP)
Çekişme El Sıkışma Doğrulaması İletişim Kuralı (CHAP), Message Digest 5 (MD5) aracılığıyla görüşme sağlar. Sunucu ile ilişkilendirildiğinde, sunucu bilgisayar dimlik doğrulaması ister ve şifreli yanıt gönderilerek sunucunun denetlemesi sağlanır. CHAP MD5'i destekleyerek PPP hizmetlerine güvenle bağlanabilirsiniz. CHAP güvenlik gerektirmez ancak sunucuda yapılacak ayarlamalar sonucu, bu özelliği kullanılırsa, normal bir bağlantı sunan sunucuya bağlanma esnasında isteminiz askıya alınır. Güvenli parola gerektir ve akıllı kart uygulamalarında kullanılamaz. Microsoft bu kuralı kendine uygun hale getirmiştir. " MS-CHAP sonrasında da MS-CHAP V2 "
Shiva Parola Doğrulama İletişim Kuralı (SPAP)
Shiva Parola Kimlik Doğrulama İletişim Kuralı (SPAP), Shiva client ve Windows 2000 server 'a bağlanabilirsiniz. Güvensiz parolaya izin verir ve şifreleme gerektirmez.Şifreleme isteğe bağlıdır, ancak spap kullanımı zorunlu ise şifre isteyemezsiniz. ve Windows 2000 istemcileri Shiva sunucularına bağlanabilirler.
Microsoft Çekişme El Sıkışma Doğrulaması İletişim Kuralı (MS-CHAP) (MS-CHAP v2)
CHAP'ın geliştirilmiş versiyonu diyebiliriz. MS-CHAP network içerisinde standart kullanıma uygun özelliği sayesinde Windows istasyonlarında kimlik doğrulaması için oluşturulmuştur. Tek yönlü şifreleme kullanır. Şifreleme ve güvenli parola gerektirmektedir. İsteğe bağlı veya zorunlu şifreleme isteyen sunuculara bağlanabilir. PPP bağlantılarında güvenli olduğu için tercih edilmektedir. Bağlantı esnasında sunucu MS-CHAP ve MS-CHAP v2'den kimlik doğrulaması ister. Bu işlemler öncekiler gibi devam eder ama farklı en son istediği kimlik doğrulama mekanizmasıdır. MS-CHAP v2 önceki sürümünde meydana gelen değişim sırasındaki parola uyuşmazlığını gidermek için oluşturulmuştur. MS-CHAP v2'de gönderme ve almada farklı şifreleme anahtarları kullanır.
Genişletilebilir Kimlik Denetimi İletişim Kuralı (EAP)
Genişletilebilir Kimlik Denetimi İletişim Kuralı (EAP), PPP'de ek kimlik denetim yöntemlerini desteklemesi için geliştirilmiştir. Ağ içerisinde dizin bozma ve brutelforce uygulamalarına karşı aşırı dayanıklı bir yapıdadır. MD5-TLS denetim kurallarını kullanılmaktadır. EAP/TLS akıllı kartlarla kullanılmaktadır. Bu nedenle verilerin yapılandırılması daha kolay ve güvenli olur. EAP/TLS yapılandırıldığında sunucuya bağlandığınız an kimlik doğrulaması yapılamıyorsa bağlantı direk kesilir. [ Sanırım Böyle olması gerekir ] Çünkü kimlik kanıtladığı içindir. MS-CHAP v2'ye benzer noktaları bulunmaktadır. Bu iki yapıda parola kimlik doğrulaması yolu ile yeni şifreleme imkanı oluşturabilirsiniz.
IPSec Yapılandırılması
Sizlere IPSec'in yapılı bir şekilde geldiğini belirtmiştim. Hazır halde gelen bu 3 değeri IPSec yapılandırması için ilk önce iki makine arasında yapılandırmayı görelim.
Birinci makinenin IP'si 172.18.0.1 ikinci makine ise 172.18.0.2 olsun.
bu uygulama için 2 seçenek kullanacağız. Aslında ikiside aynı ancak yeni oluşturulan MMC daha kapsamlı kullanımlar ve yönetimler için yapılandırılabilir.
İlk olarak RUN\ secpol.msc yazıyoruz. Karşımıza Yerel Güvenlik İlkesi GPO paneli çıkıyor. Bu panelde en soldan en altta bulunan Yerel Makine Üzerinde Güvenlik İlkeleri ( IP Security Policy Management ) paneline tıklayın. Bu adım makineniz üzerinde çalışan yapılandırmayı belirtir. Ancak biz MMC olarak yeni bir konsol açacağız.
Şimdi RUN \ MMC yazın, açılacak Konsol1 alt penceresinde Konsol kökü bizim yeni kuralımız olacak bunun için konsol1'den Konsol \ Ek bileşen ekle kaldır diyoruz. Açılan pencerede politika ismini belirledikten sonra ekle diyoruz. Sağda açılacak pencerede gösterilen seçeneklerden Yerel Makine Üzerinde Güvenlik İlkeleri ( IP Security Policy Management ) seçeneğini ekle diyoruz. Burada size bazı seçenekler sunulacak, bu seçeneklerden en üstteki sekme ( Yerel Bilgisayar ) bizim tanımlamamız olacak. Diğer seçenekler ise ait olduğunuz etki alanlarına belirli izin ve sınırlamalar koymak amacıyla yapılandırılır. Biz en üstteki sekmeyi aynen bırakıp ekle ve tamam diyoruz. ikinci açılan pencereye de tamam dedikten sonra konsol köküne geliyoruz. eklemiş olduğumuz Yerel Makine Üzerinde Güvenlik İlkeleri ( IP Security Policy Management ) 'e tıkladığımızda standart gelen 3 yönetimi görüyoruz. İlk adımda bir etki alanına dahil olmadığımızı düşünerek 1. adımı atalım. Sağda bulunan client ( istemci yalnızca yanıtla) seçeneğine gelin, add ( ekle ) seçeneğine gelin next ( ileri ) dedikten sonra tünel uç noktasını belirtmemiz gerekiyor ve 172.18.0.1 yazıyoruz ve ileri diyoruz. Gelen pencerede bize hangi network uygulaması için yapılandırma yapacağımız seçeneğini sunuyor. Bizimkisi yerel ağda olduğu için yerel ağ diyoruz. Gelen pencerede sertifika veya kerberos seçeneklerini kullanıyoruz. elimizde harici bir sertifika olmadığı için kerberos seçeneğinden ileri diyoruz. Şimdi bir etki alanına dahil olmadığımızı düşünerek bu uygulama bizi bir etki alanına dahil edecektir.
İkinci adım asıl olay diyebilirim. tekrar client ( istemci yalnızca yanıtla) tıklıyoruz ve ekle diyoruz. burada uygulama adını belirtiyoruz. Şifreleme yazabilirsiniz. Ekle diyoruz ve Specific IP adress (benim IP adresim) seçeneğimi seçiyoruz. ileri dedikten sonra uç nokta olan 172.18.0.2 adresi için Belirli bir IP adresi seçeneğini seçip buraya gerekli adresi yazıyoruz ve ileri diyoruz. iletişim kuralını ise herhangi biri diyorum. Çünkü yapılacak işleme göre bu uygulama değiştirilir ve son diyoruz. Şimdi bir filtreleme unsuru eklememiz gerekli yeni filtre uygulamasına geliyoruz. Görünen güvenlik seçeneğini işaretleyin ve varsayılan durum için 3DES ve SHA1 seçeneğini işaretleyin ve tamam diyin. Accept unsecured communication, but always respond using IPSec seçeneğini işaretleyin ve filtreleme kutucuğuna görülen yazın. görülen seçeneğine tıklayın ve belgeleme özelliklerine gelin burada ekle diyerek, istediğiniz bir anahtar girin. bunun uzun olması sizin için daha sağlıklı olacaktır. Şimdi keyberos seçeğine gelip remove diyin çünkü artık yeni bir politikanız var. Close diyin ve gelen giden adreslerini tekrar oluşturun.
Şimdi belirlediğiniz protokole tıklayın ve genel sekmesine gelin, gelişmiş sekmesinden anahtarın hangi aralıklarla değiştirileceğini belirtin yahutta, PFS özelliğini aktif edin tüm bunlar sizin istemlerinize kalmış. Yine en son pencereden yöntemler sekmesiyle Şifrelemeyi, bütünlüğü ve diffie-hellman grubunun seviyesini belirleyebilirsiniz.
Kullanılan bütünlük algoritmaları : MD5-SHA1
Şifreleme algoritmaları :3DES-DES
Diffie-Hellaman Grubu: Düşük-orta
buradan sonrası kolay ağ bağlantılarım özelliklerinde TCP'yi istenilen değerler doğrultusunda değiştirebilirsiniz. Ancak unutmayın özel bir ağ kullanacağınız için güvenli sekmesini seçmeyi unutmayın
Sistem loglarını kullanın.