Menü

IPSec (Internet Protocol Security) nedir ? ve IPSec Konfigürasyonu Nasıl Yapılır ?

17 Mart 2015 - Genel
IPSec (Internet Protocol Security) nedir ? ve IPSec Konfigürasyonu Nasıl Yapılır ?

Günümüzde güvenlik kavramı tüm iletişim yöntemlerinin sorgulanması sağlamaktır. İletişim sistemlerinin gelişmeye başladığı günlerde ilk hedef yaygın bir ağ kurmaktı. An itibariyle mevcut iletişim yöntemlerinin, üçüncü kişilerin saldırılarından korumak mevcut ağ yapılarını bir adım daha geliştirmekten daha çok güvenliklerini sağlamak önem kazandı.

Mevcut ağ yapılarında basit tool’lar ile dahi iki yada daha çok bilgisayar arasındaki gelen ve giden paketleri dinleyerek aralarındaki paylaştıkları bilgiler kolayca elde edilebilmektedir. Bunu yaparken TCP-IP protokollerinin açıklarından faylalanılmaktadır.Bu açıkların nedeni, TCP/IP protokolü geliştirilirken bu kadar yaygınlaşacağını kendilerinin dahi tahmin etmemesidir. Bir süre sonra ise TCP/IP bir standart haline gelerek iyice yaygınlaştı. Bizim gönderdiğimiz data paketleri ağ üzerinde güvensiz olarak hedefine gitmektedir. Bu süreçte verinin çalınması yada değiştirilmesi mümkündür.

Lokal ağ üzerindeki bilgisayar arasında güvenli bir şekilde iletişim kurmak için kullandığımız Internet Protocol Security yani IPsec vardır. Bu protocol data paketlerinin hedefe güvenle ulaştırılması sağlamaktadır. IPSec ile kaynak ile hedef arasında data iletimi yapılırken, Paketlere karşılıklı doğrulama yapılabilmesi içeren protokoller eklenmiştir.

IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:

Integrity ; Kaynak ve Hedef arasındaki görüşmenin datalarının değişiminin önlenmesi, Veri bütünlüğünün korunmasını, Hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.

Authentication; Yani doğrulama , Kaynak ve Hedefin doğru kişilerin olduğunun belirlenmesi iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz:

• preshared key (MS-CHAP)
• Kerberos
• certificate authority (Önerilen en güvenli yöntem)

Confidentiality; Encyption ile kaynak ve hedef arasındaki görüşmenin 3. Kişiler tarafından çalınsa bile kritoptolandığından, anlaşılamamasının sağlanmasıdır. Gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.

Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denmektedir. Veri paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu işlemede Decryption işlemi denmektedir.

IPSec esasında Osi katmanlarından, Ağ katmanı dediğimiz Layer 3 üzerinden çalışmaktadır. Gelen ve giden paketleri bu katman üzerindeyken güvenli bir hale getirmek üzere paket başına ve sonuna karşılaştırma ve kontrol bilgileri ekler, Hedefdede bu bilgi kontrol edilerek, Herhangi bir sniff durumuna karşı önlem almamızı sağlar. IPSec algoritması iki şekilde karşımıza çıkar. Güvenlik işlemi şu şekilde gerçekleşir.

İşte bu güvenlik işlemlerinin IPSec üzerinden gerçekleşmesi için aşağıdaki yöntemler kullanılır;
Encapsulation security Payload (ESP)
Authentication Header (AH)

Authentication Header

Paketlerin sadece doğrulanmasını ve değiştirilememesinin sağlamaktadır. Ekstra bir güvenlik önlemi sağlamaz AH ise veriyi doğrulamak için kullanılan bir protokoldür.AH ise IPpaketindeki data için şifreli bir hash fonksiyonu kullanarak MAC bilgisi elde eder. Bu MAC verisi orjinal paket ile beraber karşi tarafa yollanır ve alıcı kişinin orjinal verinin bütünlüğünün değiştirilmediğini anlamasını sağlar.

ipsec1

 

 

 

 

 

 

Encapsulation Security Payload

ESP protokolü hem doğrulamahem de güvenilirlik için kullanılabilir.Bunun yanında sadece doğrulama veya sadece güvenilirlik için de kullanılır.

ipsec2

 

 

 

 

 

 

 

IPSec Konfigürasyonu Nasıl Yapılır ?

Şu ana kadar IPSec’I basit olarak anlatmaya çalıştım, Esasında IPSec çok daha detaylı bir altyapıya sahiptir. Daha detaylı olarak algoritma ayrıntılarılarıda yazımda verebilirdim ancak sonuç olarak bir tez çalışması olmadığı için bu kadar detay gereksiz kalacaktır. Temel olarak IPSec’in neden ve nasıl kullanıldığını bilmek ve basit bir konfigürasyon ile güvenli bir ağ ortamı sağlamanızın daha önemli olduğunu düşünmekteyim. Bu sebeble yapacağımız sanal bir ortamda IPSec ile iletişim konfigürasyonuna başlıyorum.

Öncelikle IPSec uygulamsını yapacağımız ortam için gerekli olan sistemler ; Bir adet domain controller, iki adet de domain’e join olmus member server yada client işletim sistemi olan makinalara ihtiyaçımız olacak.

ipsec3

 

 

 

 

 

 

Ortamı hazırladıktan sonra domin controller kurulumunu ve join işlemlerini yapmış olduğunu varsayıyorum. Bizim IPSec uygulamsını domain ortamında yapmamızın sebebi ise Sertifika kullanarak, IPSec protokolünü kullanacak olmamızdır. Bizim senaryomuza göre şirketimizin arge departmanında bulunan iki file server’ın birbirleri arasında IPSec ile güvenli iletişim kurmasını sağlamak olacak.

Tüm makinaları hazırladıktan sonra öncelikle memberserver’lar arasındaki iletişimin normal koşullarda devam ettiğini test edeyoruz.

ipsec4

Bilgisayar arası normal TCP-IP protokolleri ile ICMP yani ping atabildiğimizi test ettikten sonra IPSec Protokolünü konfigüre etmeye geldik.

IPSec protokolünü uygulamak için öncelikle mevcut Active Directory yapımıza, Certificate Authority yani sertifika dağıtıcısı kurmamız gerekmektedir. Ben CA kurulumunu, Domain Controller üzerine kuracağım.

ipsec7

 

 

 

 

 

 

 

 

 

 

 

 

Kurulum için server manager üzerinden, Add roles and Features diyerek devam ediyoruz.

ipsec8

 

 

 

 

 

 

 

 

 

 

 

 

 

Acitve Directory Certificate Services’I seçerek devam ediyoruz.

ipsec9

 

 

 

 

 

 

 

 

 

 

 

 

Sonraki ekranda Certicate Authority seçeneğini seçerek, IPSec protokolü için kullanılacak sertifika dağıtacak mekanizmayı oluşturmaya devam ediyoruz.

ipsec10

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Son aşamada Certifacete Authority’I konfigürasyona devam ediyoruz.

ipsec11

 

 

 

 

 

 

ipsec12

 

 

 

 

 

 

Yetkili kullanıcıyı girdikten sonra, CA’in directory service olması sebebiyle enterprise seçeneği seçilerek devam ediyoruz.

ipsec13

 

 

 

 

 

 

ipsec14

 

 

 

 

 

Ortamda CA’in ilk defa mı kurulduğu yoksa failover yada load balancing hizmeti dahilinde birden fazla mı kurulan CA olduğunu seçiyoruz. Yani root CA ile devam ettik. Yeni bir private key kullanacağız dedik ve devam ediyoruz.

ipsec15

 

 

 

 

 

 

ipsec16

 

 

 

 

 

 

 

 

 

 

 

 

Sonraki ekranda sertifikalarda kullanılacak kripto algoritmasını seçiyoruz. CA’in, Directory services içindeki adını belirliyoruz. Ben CA’lerin adını genelde “cilingir” olarak koymaktayım.

ipsec17

 

 

 

 

 

 

 

 

CA’den dağıtımı yapılacak sertfikaların maksimum kaç senelik dağıtım yapılacağını seçiyoruz, Genelde bu süreç default 5 senedir.

ipsec18

 

 

 

 

 

 

 

 

Son adımda konfigürasyonu tamamlıyoruz. Ve restart etmekte fayda vardır. Restart edemiyorsak bile Gpupdate /Force ile CA’in dağıtımını yapmalıyız.

ipsec19

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Start Screen’den Certifacate Authority’yi açıyorum. 

Certifacate Authority’den, IPSec için yapacağımız ilk işlem IPsec sertifkasının dağıtımını yapacağız.

ipsec20

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

CA konsolunu açtıktan sonra, Certificate Templates’den manage diyerek, Depo diye adlandırdığımız yani vitrinde olmayan sertifkaları görürüz, Buradan IPSec sertifkasını seçerek vitrine yani domaindeki computer’lara dağıtımının yapılabilmesi için duplicate diyerek çoğaltır ve dağıtımını yaparız.

ipsec21

 

 

 

 

 

 

 

 

 

 

 

 

 

 

General sekmesinden IPSec sertifkasına bir isim vermeliyiz. Ben “MYIpSecCertificate” adını verdim. Security tabından ise Domain’deki computer’ların bu sertifkayı okuyabilmesi için read+enroll yetkilerini vermeliyiz.

Şu noktayı kaçırmamız gerekir ki ; IPSec Sertifikası sadece computer’lara verilebilmektedir.

ipsec22

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IPSec sertifikasını çoğaltıktan sonra vitrine yani domain’deki computer’lara dağıtımını sağlamak amacıyla, CA’den, Certificate Templates’den>>new>>Certifacate Template to Issue diyerek devam ediyoruz.

ipsec23

 

 

 

 

 

 

 

 

 

 

 

 

 

Daha önce oluşturduğumuz “MyIpSecCertificate” sertifkasını seçiyoruz.

ipsec24

 

 

 

 

 

 

 

 

 

 

 

 

 

Artık IPSec sertifikamızın diğer domain kullanıcıları içinde dağıtıma hazır hale gelmiştir.

ipsec25

 

 

 

 

 

 

 

 

 

 

Oluşturduğumuz IPSec sertfikasını, Uygulama için kullanacak client yada memberserver’a yüklemek için mmc’den>>computer account’u seçeriz.>> Certificate diyerek devam ediyoruz.

ipsec26

 

 

 

 

 

 

 

 

 

 

 

 

Personal’dan>>All task>>Request new certificate diyerek Makinaya, Oluşturduğumuz MYIPSecSecurity sertifikasını yüklemek için devam ediyoruz.

ipsec27

 

 

 

 

 

 

 

 

 

 

 

Oluşturduğumuz ve dağıttığımız “MYIPSecSecurity” Sertifikasını seçiyoruz.

ipsec28

 

 

 

 

 

 

 

 

 

 

 

 

 

Son aşamada sertfikayı memeberserver’a yükledik.

ipsec29

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Son aşamada IPSec Protokolünü uygulamadan önce son kez diğer memberserver’a ICMP üzerinden ulaşabildiğini test ediyorum.

ipsec30

 

IPSec uygulamasını memberserver’lar üzerinde gerçekleştirebilmek için memberserver yada client’lar üzerinde mmc konsolu üzerinden>> IP Security Policy Management konsolunu ekleriz.

ipsec31

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Create IP Security Policy diyerek yeni bir kural oluşturuyoruz.

ipsec32

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ipsec33

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SecureICMP adında bir policy oluştururak devam ediyorum, Oluşturduğumuz sertfikanın detaylarını ayarmak için properties diyerek devam ediyoruz.

ipsec34

 

 

 

 

 

 

 

 

 

 

 

 

Sonraki ekranda add diyoruz devam ediyoruz.

ipsec35

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Üsteki seçeneği seçerek devam ediyoruz.

ipsec36

 

 

 

 

 

 

 

 

 

 

IPSec uygulamasının, Yerel ağ üzerinde çalışacağını belirleyerek devam ediyoruz.

ipsec37

 

 

 

 

 

 

 

 

 

 

Yeni bir filter oluşturup, IPSec protokolunun hangi makinalar yada hangi ip blokları arasında yapılcağı belirlenir.

ipsec38

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ipsec39

 

 

 

 

 

 

 

 

 

 

 

Yine protocol seçmesinden, IPSec’nin hangi prokole uygulanacağını belirtiriz, Bizim seneryomuza göre memberserver’lar arası ICMP yani ping protokolünü güvenliğinin alınması mevcut. Bu sebeble sadece ICMP’yi seçiyoruz. İstersek all protocol’de diyere tüm protokoller’de bu güvenlik önmeini alabiliriz.

ipsec40

 

 

 

 

 

 

 

 

 

 

 

Tüm ayarları yaptıktan sonra mevcut filter’I seçerek devam ediyoruz.

ipsec41

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

12

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

13

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Sonraki aşamalarda, IPSec için filter action yani eğer ICMP ile gelen paket olursa ne yapılması gerektiğini söyleyeceğimiz alanlar karşımıza çıkmakta, Burada Negotiate security diyerek ve encryption methodunu seçerek devam ediyoruz.

Senaryoya göre memberserver’lar arasında IPSec ile güvenli bir ağ yapısı kuruyoruz, Bunuda yaparken en üst düzeyde güvenlik protokolü olan sertfika ile yapıyoruz. Active directory’nin kullandığı Kerberos authentication methodu’na, Oluşturduğumuz CA’imizin dağıttığı sertfika ile yapılandırılacağını söylemek için browse diyerek “cilingir” adlı CA’imizi seçiyoruz.

ipsec44

 

Son olarak işlemleri tamamladıktan sonra sihirbazı sonlandırıyoruz.

Artık IPSec için sertifka ve policy’miz hazır son aşamada sadece policy’nin assign edilerek aktif çalışması sağlanır.

ipsec47

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Policy’I aktif ettikten hemen sonra test için memberserver’a baktığımızda, IPSec protokolü çalışmaya başladığından itibaren artık diğer makina ile ICMP üzerinden iletişim kuramaycaktır.

ipsec48

 

ipsec49

Diğer memberserver’da da yukardaki IPSec policy ayarlarının aynısını yaptığımız taktirde ve son aşamada policy’I assign ettiğimiz andan itibaren tekrar ICMP üzerinden görüşmeye devam edecektir.

Yalnız bu görüşme IPSec Protokolü ile gerçekleşmektedir.

 

ipsec51

 

Böylece local ağ içerisindeki yüksek güvenlik arz eden makinaların birbirleri ile görüşmesini IPSec ile gerçekleştirmiş olduk.

Hakkı İNKAYA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Please follow and like us:
facebooktwittergoogle_pluslinkedinrssby feather
pinterestlinkedinmailby feather

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir