IPSec tanımı
Internet Protocol Security (IPSec) güvenli haberleşmeler
sağlamak ve IP ağları üzerinde kişisel gizliliği korumak için standartlar
üzerine kurulmuş bir yapıdır. IPSec RFC (Requests for Comments) 2401-2411 de
tanımlanmış olan bir IETF (Internet Engineering Task Force) standartıdır. Çoğu
ağların güvensiz olduğu ve kablo üzerinde seyahat ederken verileri korumak için
ek komponentler gerektirdiği düşüncesinden yola çıkarak IPSec kaynak kimlik
tanılama, bütünlük kontrolü ve içerik gizliliği sağlamaktadır.

Kimlik
Tanılama
IPSec`in kullandığı protokollerden biri 'Kimlik Tanılaması
Başlığı'dır (AH-Authentication Header). AH tüm datagram`ın bir 'sağlama
toplamını' (checksum) içermektedir ve IPSec datagram`ındaki orjinal IP
başlığından sonraya yerleştirilir. AH aşağıdakilerden oluşur:

• Sonraki başlığı (Next Header)

• Orjinal IP başlığının protokol numarası.

• Yük boyutu (Payload Length)

• Kimlik tanılaması başlığının uzunluğu.

• Güvenlik Parametre İndeksi (Security Parameter Index - SPI)

• Kimlik tanılama başlığı bağlantılarını diğerlerinden ayırmayı mümkün kılan
  32-bitlik bir seri numara

• Sıra Numarası (Sequence Number)

• Replay koruması için Kimlik Tanılaması datagram`ının seri numarası

• Bütünlük Kontrol Değeri (Integrity Check Value-ICV)

• AH datagram`ının kriptografik bir bütünlük sağlama toplamı (checksum).

AH bir ağı 3 tip
saldırıdan korur:
* Replay Saldırıları, kötü amaçlı bir kişinin bazı
paketleri yakalaması, daha sonrası için kaydetmesi ve sonra tekrar yollaması. Bu
tip saldırılar saldırganın artık ağda bulunmayan bir makinenin yerine
geçebilmesini sağlar. AH pakete anahtarlanmış bir 'hash' ekleyerek, başkalarının
paketi tekrar gönderebilmesini engelleyerek replay saldırılarına karşı koruma
sağlar.
* Değişiklik, IPSec`in kullandığı anahtarlanmış hash paketin
gönderildikten sonra içeriğinin değiştirilmediğine emin olunmasını sağlar.
*
Spoof, AH protokolü iki-yönlü kimlik tanılama sunar, istemci ve sunucunun her
ikisinin de bir diğerinin kimliğinden emin olmasını sağlar.

Gizlilik
Kimlik tanılama başlığı (AH) saldırılara karşı
kimlik tanılama sağlar. IPSec ayrıca gizlilik için anlaşılan bir algoritma ile
veriyi kriptolamak için ESP (Encapsulating Security Payload) protokolünü de
kullanır. ESP protokolü her paketin içindeki tüm içeriği kriptolar fakat IP
başlığında bir kriptolama veya checksum sağlamaz. ESP başlığı aşağıdaki verileri
içerir:
* Güvenlik Parametre İndeksi (SPI)
Hedef adres ve
güvenlik protokolü (AH veya ESP) ile birlikte kullanıldığında haberleşme için
doğru güvenlik ilişkisini (SA-Security Association) tanımlar. Alıcı bu değeri
kullanarak bununla hangi güvenlik ilişkisinin kullanılacağını belirler.
*
Sıra Numarası
SA için anti-replay koruması sağlar. 32 bit`tir. 1 den
başlayarak ekleyerek haberleşmede güvenlik ilişkisi üzerinde gönderilen paket
sayısını belirleyen sayıyı artırır. Sıra numarasının tekrarlanmasına izin
verilmez. Alıcı bu alanı kontrol ederek bu numaraya ait güvenlik ilişkisinin
daha önce alınıp alınmadığını kontrol eder. Eğer daha önce alınmış ise paket
kabul edilmez.
* Ekleme/Takviye (Padding)
Kullanılan blok
şifrelemenin blok ölçüsüne uyacak şekilde verinin uzunluğunu değiştirir. 0 ile
255 byte arasında.
* Pad uzunluğu
Takviye alanının byte olarak
uzunluğu. Bu alan alıcı tarafından takviye alanını atmada kullanılır.
*
Sonraki Başlığı (Next header)
Orjinal IP başlığının protokol numarası.
Yükü tanımlamak için kullanılır, TCP veya UDP gibi.

ESP IP başlığından
sonra ve TCP, UDP veya ICMP gibi üst katman protokolden önce yada zaten
yerleştirilmiş olan diğer IPSec başlıklarından önce yerleştirilir. ESP`yi takip
eden herşey (üst katman protokolü, veri ve ESP trailer) imzalanır. IP başlığı
imzalanmaz ve bu sebeple değişikliklerden korunmaz. Üst katman protokolü
bilgisi, veri ve ESP trailer kriptolanır.

IPSec Modları
İki
protokol de iki moddan birinde kullanılabilir, nakil (transport) ve tünel
(tunnel) modları. AH ve ESP`nin moda dayalı olarak işlemleri farklı değildir,
tek fark verinin bütünlük amaçlı imzalanmasıdır. Modların ve protokollerin 4
mümkün kombinasyonu vardır. AH ve ESP tünel veya nakil modlarında
kullanılabilir. AH pratikte tünel modunda kullanılmaz çünkü nakil modunun
koruduğu aynı veriyi korur.

* Nakil modu
- Nakil modunda, AH ve ESP nakil başlığını korur. Bu modda AH ve ESP nakil
katmanından ağ katmanına akan paketleri yakalarlar ve ayarlanan güvenliği
sağlarlar. IPSec`in nakil modu sadece güvenlik son noktadan son noktaya
arzulanıyorsa yapılabilir.

* Tünel modu
- Tünel modu güvenliğin paketlerin kaynağı olmayan bir cihaz tarafından
sağlandığı durumlarda (VPN`lerde olduğu gibi) veya paketin gerçek hedefinden
farklı bir yerde güvenli hale getirilmesine ihtiyaç duyulduğunda kullanılır.
Kriptografik son-nokta bir ağ için güvenlik sağlayan bir güvenlik ağ-geçididir.
Şekil 1-4 IPSec tünel modu ESP`nin sınırdan sınıra örneğini göstermektedir.

Windows 2000`de SHA-1 ve MD5 kriptografik checksum`lar AH ile
kullanılabilir. Windows 2000 ayrıca ESP için 56-bit DES ve 3-DES`i destekler ve
SHA-1 ve MD5`i seçime bağlı olarak veri bütünlüğü için destekler.

Güvenlik ilişkileri (SA)
İki makine IPSec ile haberleşmeden
önce birbirlerinin kimlik tanılamasını yapmalı ve bir kriptolama metodu üzerinde
anlaşmalıdırlar. Makineler bunu bir veya daha fazla Güvenlik İlişkisi (SA)
kurarak gerçekleştirirler. Güvenlik İlişkisi iki makine arasında kullanılacak
olan belirli güvenlik ayarlarına bağlı bir anlaşma gibi düşünülebilir. AH ve ESP
aynı SA`yı paylaşamazlar, tipik olarak, iki taraf arasındaki iki-yönlü
haberleşmelerde iki SA`ya ihtiyaç vardır. Güvenlik İlişkileri her IPSec
bilgisayarda belirli bir veritabanında saklanır. SA`lar veritabanı içerisinde
her AH veya ESP başlığında bulunan Güvenlik Parametre İndeksinden (SPI)
tanınırlar.
Windows 2000 gerekeli SA`ları kurmak için Internet Anahtar Takas
(IKE-Internet Key Exchange) protokolünü kullanır. IKE SA`lerin yaratılmasını
üstlenir ve bilgiyi güvenli hale getirmede kullanılacak anahtarları yaratır. Bu
teknik veriyi kriptolayıp dekriptolamada kullanılacak simetrik anahtarların
yaratılmasını sağlar. IKE gerekli olan Diffie-Hellman`ın çalışabilmesi için
güvenli bir kanal sağlar.

Windows 2000 ve IPSec
Windows 2000
IPSec`i tamamen desteklemektedir. Her Windows 2000 istemcisi bir IPSec istemcisi
olarak çalışabilir ve eğer bir Active Directory ortamı üyesiyse IPSec
politikaları ağdaki makinelerin IPSec`i nasıl kullanacağını belirlemede
kullanılabilir. Windows 2000`in IPSec ile çalışırken kullanılan bazı ilgi çekici
araçları vardır.

IPSec sürücüsü (driver)
IPSec sürücüsü eğer
makine için bir IP Politikası tanımlanmışsa Windows 2000 başlangıcında yüklenir.
IPSec sürücüsü tüm IP trafiğini izler ve IPSec politikasının gerektirdiği
paketleri güvenli hale getirir.

IPSec
sürücüsünün ana sorumlulukları:

• Gelen veya giden her IP paketini belirli IP politikası filtrelerine uyup
  uymadığına bakmak için inceler.
• Yeni bağlantılar için güvenlik ilişkileri istekleri.
• Politika tarafından belirlenen kimlik tanılama metodunun kullanımı.
• Güvenlik ilişkilerini güncel tutmak.

IPSec Politika Servisi

IPSec politika servisi her Windows 2000`de bulunan ve sistem servisleri
listesinde görülen bir mekanızmadır. Politika servisi aktif IPSec politikası
bilgisini getirir ve güvenlik servislerini gerçekleştirmede ihtiyacı olan diğer
IPSec mekanizmalarına gönderir. Politika servisi sistem başladığı zaman otomatik
olarka başlatılır. Eğer aktif IPSec politikası yoksa veya politika servisi bir
şekilde Active Directory`e bağlanamıyorsa, atanmış bir politika için active
directory`yi sorgulamaya devam edecektir veya registry`yi yerel olarak atanmış
bir politika için kontrol edecektir. IPSec politika servisi IPSec davranışını
belirler. Politikalara bakar ve onları IPSec sürücüsüne teslim eder.

Grup Politika Nesneleri (GPO - Active Directory)
IPSec
politikası bir Aktif Dizin nesnesinin grup politika nesnesine uygulanabilir. Bu
söz konusu grup politikasi nesnesinden etkilenen tüm bilgisayar hesaplarına
dağıtılabilir.

Windows 2000 Sertifika Servisi
Windows 2000
sunucusundaki sertifika servisleri sertifikaları yaratmak ve yönetmek içindir.
Sertifika servisleri iki tip sertifika yetkilisini (CA) destekler:
şirket
(enterprise) ve bağımsız (stand-alone). Bağımsız seritifika yetkilileri çalışmak
için Active Directory`ye ihtiyaç duymazlar ve sertifika şablonları kullanmazlar.
Şirket seritifka yetkilisi active directory ile entegre olur ve sertifika
şablonları kullanır.

IPSec Monitörü
Windows 2000`deki IPSec
monitörü güvenli hale getirilen haberleşmelerin başarılı olup olmadığını
onaylamada kullanılır. Monitör yerel ve uzaktaki makinelerdeki aktif güvenlik
ilişkilerini görüntüler.
--------------------
Olympos Security

--------------------

Windows 2000`de IPSec`i ayarlama

Aşağıdaki bölüm iki Windows 2000 istemci arasında son-noktadan son-noktaya
IPSec kurulumunu anlatmaktadır. Her iki Windows 2000 istemciside başlangıç
kimlik tanılaması metodu olarak Kerberos kullanan bir Windows 2000 etki alanı
(domain) üyesi olmalıdırlar.

Özel Konsol yaratma
Microsoft
yönetim konsolu (MMC-Microsoft Management Console) konsol adı verilen yönetim
cihazlarını yaratma, kaydetme ve açmada kullanılan bir araçtır. Konsollar
snap-in, ek snap-in, monitör kontrolleri, görevler, sihirbazlar ve çoğu donanım,
yazılım ve ağ parçalarının yönetiminde gerekli olan dokümantasyonu içerir. Var
olan bir MMC konsoluna eklemeler yapabilirsiniz yada yeni konsollar yaratarak
belirli bir sistem parçasını yönetmeye ayarlayabilirsiniz.
Microsoft Yönetim
Konsolunu kullanarak IPSec politikalarını yaratmada ve kullanmada ihtiyaç
duyulacak olan parçalar için özel bir konsol yaratabilirsiniz.

Şekil 3-1 Add Standalone Snap-in

1. Windows masaüstünde 'Start' a 'Run'a tıklayın.
'Open' kutusuna MMC yazın ve ok`e basın.

2. Konsol açıldığında 'Console'
menüsünü seçin ve 'Add/Remove Snap-in'e tıklayın.

3. Çıkan diyalogda
'Add'e tıklayın.

4. 'Computer Management'i seçin ve 'Add'e tıklayın.

5. 'Local Computer'ın seçili olduğuna emin olun ve 'Finish'e tıklayın.

Şekil 3-2 MMC Özel Konsol

6.
'Add Standalone Snap-in' diyalog kutusunu kullanarak, 'Group Policy'ye ve
sonrada 'Add'e tıklayın.

7. 'Local Computer'ın seçili olduğuna emin olun
ve 'Finish'e tıklayın.

8. 'Add Standalon Snap-in' diyalog kutusunu
kullanarak, 'Certificates'e ve 'Add'e tıklayın.

9. 'Computer Account'u
seçin ve 'Next'e tıklayın.

10. Local Computer'ın seçili olduğuna emin
olun ve 'Finish'e tıklayın.

11. 'Add Standalon Snap-in' diyalog kutusunu
kapatın.

12. 'Add/Remove Snap-in' diyalog kutusunu 'OK'e tıklayarak
kapatın.

Denetleme Politikası Kullanımı
Başarılı ve başarısız
IPSec oturumlarını izlemek için denetleme (auditing) aktif edilmeli.

Şekil 3-3 Denetleme politikası

1.
Önceden yarattığınız MMC özel konsolu ile, 'Local Computer Policy', 'Computer
Configuration', 'Windows Settings', 'Security Settings', 'Local Policies' ve
'Audit Policy'ye gelin.

2. Sağ tarafta 'Audit Logon Events'e çift
tıklayarak seçin.

3. 'Audit Logon Events' diyalog kutusunda hem
'Success' hemde 'Failure' kutucuklarını işaretleyin ve 'OK'e tıklayın.

4. Sağ tarafta 'Audit Object Access'e çift tıklayarak seçin.

5.
'Audit Object Access' diyalog kutusunda hem 'Success' hemde 'Failure'

kutucuklarını işaretleyin ve 'OK'e tıklayın.

Hazır IPSec
Politikaları
Windows 2000 IPSec ile güvenli haberleşme için hazır
politikalar içerir. Bir Windows 2000 etki alanındaki bilgisayarlar az bir
çalışma ile bu politikaları kullanabilirler. Önceden tanımlanmış Windows 2000
politikları istemci, güvenli sunucu ve sunucu olarak ayrılırlar:

*
İstemci (sadece cevap verme) politikası istemcinin varsayılan cevap kuralındaki
ayarlara göre güvenlik isteği yapan bilgisayarlara cevap verebilmesini sağlar.
Nu politika aktif olduğunda istemci hiçbir zaman güvenlik isteğinde bulunmaz
fakat bağlanan makineye bağlı olarak IPSec görüşmesi yapar.

* Güvenli
sunucu (güvenlik gerektirme) politikası sunucunun bir bağlantı öncesinde IPSec
görüşmesini gerektirmesini sağlar. Bu politika gelen güvensiz haberleşmelere
izin verecektir fakat giden trafik her zaman güvenli hale getirilecektir.

* Sunucu (güvenlik isteme) politikası sunucunun IPSec görüşmesi isteği
yapmasını sağlar fakat eğer diğer bilgisayar IPSec kullanmıyorsa güvensiz
haberleşmeye izin verecektir.

Ayarlar

Şekil 3-4 IPSec güvenli sunucu politikası

1. Önceden kullandığımız MMC özel konsolunu açın
(Şekil 3-2). Sol pencerede bulunan 'IP Security Policies on Local Machine'i
seçin.

2. Sağ pencerede 'Secure Server'a sağ tuşla tıklayın ve 'Assign'ı
seçin. Bu 'Policy Assigned' kolonunu 'No'dan 'Yes'e çevirecektir.

3.
İstemci makinada (MMC özel konsolunun sunucudakine benzer olarak yaratıldığını
varsayıyoruz) MMC özel konsolunu açın ve sol penceredeki 'IP Security Policies
on Local Machine'i seçin.

4. Sağ penceredeki 'istemci'ye sağ tuşla
tıklatın ve 'Assign'ı seçin. Bu 'Policy Assigned' kolonunu 'No'dan 'Yes'e
çevirecektir.

Önceki adımlar Windows 2000 etki alanındaki bir
bilgisayarı güvenli sunucu diğerini de güvenli istemci olarak ayarlamamızı
sağladı. Bu noktada istemci sunucuya korunmayan ICMP Echo paketleri gönderecek,
sunucu istemciden güvenlik isteyecek ve bağlantı kurulduktan sonra haberleşmenin
gerisi güvenli olacak. Eğer her iki makine de istemci politikası ile
ayarlanmışsa hiçbiri güvenli veri göndermez çünkü her iki taraf da güvenlik
isteği yapmayacaktır.
--------------------
Olympos Security

--------------------

Güvenli haberleşmeyi test etme (Hazır IPSec
politikası)

Şekil 3-5 Sunucuya ping atma

1. istemci olarak ayarlanan bilgisayarda
'Start'a ve 'Run'a tıklayın. 'Run' kutusunda komut satırı için 'cmd' yazın.

2. Komut satırı penceresinde ping komutu ile sunucu bilgisayarın IP
adresini pingleyin.(Şekil 3-5)

3. Ping cevaplarında IPSec`in
görüşüldüğü gözükecektir.

4. Ping komutu tekrarlandığında IPSec
güvenlik ilişkisi kurulduğundan aşağıdakine benzer olarak 4 başarılı cevap
alınacaktır:

			Reply from 191.29.41.117: bytes=32 time<10ms TTL=128
			Reply from 191.29.41.117: bytes=32 time<10ms TTL=128
			Reply from 191.29.41.117: bytes=32 time<10ms TTL=128
			Reply from 191.29.41.117: bytes=32 time<10ms TTL=128
			

5. İstemci bilgisayarda MMC`yi kullanarak
sol pencerede 'Computer Management'ı bulun ve altındakileri gösterecek şekilde
açın.

6. 'System Tools', 'Event Viewer'ı açın ve 'Security Log'a
tıklayın. Sağ pencerede 'Success Audit'e tıklayın.

7. Kayıt IPSec
güvenlik ilişkisinin (SA) başarılı olarak kurulduğunu göstermelidir. Kayıt
aşağıdakine benzer olmalıdır:

			IKE security association established
			Mode:
			Data Protected Mode (Quick Mode)
			Peer Identity:
			Kerberos based Identity:<mail to="C0092828@domain.com" subject="" text="C0092828@domain.com" />
			Peer IP Address: 191.29.41.117
			Filter:
			Source IP Address 191.29.213.14
			Source IP Address Mask 255.255.0.0
			Destination IP Address 191.29.41.117
			Destination IP Address Mask 255.255.0.0
			Protocol 0
			Source Port 0
			Destination Port 0
			Parameter:
			ESP Algorithm DES CBC
			HMAC Algorithm SHA
			AH Algorithm None
			Encapsulation Transport Mode
			InboundSpi <long number>2217628991
			OutboundSpi <long number>9656722734
			Lifetime (sec) 900
			Lifetime (kb) 100000
			

--------------------

Olympos Security

--------------------

IPSec monitörü kullanımı
IP
güvenliği monitörü Windows 2000 ile birlikte gelen ve IPSec politikasının
yarattığı başarılı güvenli bağlantıları izlemeye yarayan bir uygulamadır.

Şekil 3-6 ipsecmon

1. Güvenlik
Monitörü aracını istemci olarak ayarlanan makinede açmak için, 'Start'a ve
'Run'a tıklayın. Kutuda 'ipsecmon' yazın ve 'OK'e tıklayın.

2. Sağ
tarafta 'Options' düğmesine basın ve 'Refresh Seconds'ın varsayılan değeri 15`i
1 yapın ve OK`e tıklayın. (Şekil 3-6)

3. Yukarıda 3 ve 4. adımlarda
yaptığımız gibi tekrar güvenli istemciden güvenli sunucuya ping atın.

4.
'ipsecmon'a bakın. İki makine arasındaki güvenlik ilişkisinin detaylarını
göstermeli.

Artık iki makine hazır IPSec politikaları ile başarılı
olarak ayarlandılar ve aralarında IPSec ile haberleşiyorlar.

Özel
IPSec politikası yaratma

Şekil 3-7 IP Security Policy Wizard

Etki alanının üyesi olmayan iki bilgisayar
arasında güvenli trafik için özel bir politikanın yaratılması gerekir. Windows
2000 ile birlikte gelen hazır politikalar etki alanı kontrolcusü tarafından
sağlanan Kerberos kimlik tanılamasını gerektirirler. Özel bir politika
yaratmanın diğer bir sebebi de bir makinenin ağ adresine göre güvenli trafik
isteği olabilir.

1. Önceki örnekte istemci olarak kullandığımız makinede
MMC`yi açın. 'IP Security Policies on Local Machine'e sağ tıklayın ve 'Create IP
Security Policy'ye tıklayın. Bu IP güvenliği politikası sihirbazını
çalıştıracaktır(Şekil 3-7)

Şekil 3-8 Security Rule Wizard

2. 'IP Security Policy Wizard'da 'Next'e tıklayın.

3. Sonraki pencere politika için bir isim ve açıklama sorar. Politika
için 'bir isim' yazın.

4. 'Activate the default response rule'
kutusundan seçimi kaldırın ve 'Next'e tıklayın.

5. 'Edit Properties'
kutusu işaretli kalsın ve 'Finish'e basın.

6. Yaratılan politika için
ayarlar kutusu açılacaktır. Alt bölümde 'Use Add Wizard'ın işaretli olduğuna
emin olun.

7. 'Add'e tıklayın. 'Security Rule Wizard' açılacaktır.
(Şekil 3-8)

Şekil 3-9 IP Filter List

8.
'Next'e tıklayın.

9. 'This rule does not specify a tunnel'ı işaretleyin
ve 'Next'e tıklayın

10. 'All network connections' seçili olsun ve
'Next'e tıklayın.

11. Sonraki pencere kullanılacak olan kimlik tanılama
metodunu sorar. Bu bilgisayarın olduğu etki alanında ayarlanmış olan birşey
olabilir. Örneğimizin basit olması için 'Use this string to protect the key
exchange (preshared key)' seçeneğini seçin.

12. Kutuya 'önceden
paylaşılan (preshared) anahtar' olarak kullanılacak olan 'bir yazı' girin. Boş
bırakılamaz. Sonra 'Next'e tıklayın.

13. Sonraki pencere IP Filtre
listesi için. Önceden tanımlanmış olan iki filtrenin (All ICMP Traffic ve All IP
Traffic) listede olması gerekli. Yeni bir filtre yaratmak için sağdaki 'Add'
düğmesine tıklayın.

14. 'IP Filter List' isimli yein bir pencere
açılacaktır (Şekil 3-9). 'Name' kısmına filtre için 'bir isim' yazın.

15. 'Use Add Wizard'ın seçili olduğuna emin olun. (Şekil 3-9)

Şekil 3-10 eklenen yeni filtre ile Security Rule Wizard

16. 'IP Filter List' penceresinde 'IP Filter
Wizard'ı başlatmak için 'Add'e tıklayın.

17. 'Next'e tıklayın.

18. 'Source address' kısmında 'My IP Address' olsun. Tekrar 'Next'e
tıklayın.

19. 'Destination address' kısmında 'A specific IP Address'i
seçin. Önceki örnekte
sunucu olarak ayarlanan makinenin IP adresini yazın ve
'Next'e tıklayın.

20. 'Select a protocol type' kısmında 'Any' seçili
olsun. 'Next'e tıklayın.

21. 'Edit Properties'in işaretli olmadığına
emin olun ve 'Finish'e tıklayın.

22. 'IP Filter List' diyalog kutusundan
çıkmak için 'Close'a tıklayın.

23. Yaratılan filtrenin şimdi 'Security
Rule Wizard'da IP filtre listelerinde görünmesi gerekli.(Şekil 3-10)

Şekil 3-11 'Filter Action' penceresi ve yeni filtre

24. Yeni filtreyi seçin ve 'Next' e tıklayın.

25. 'Security Rule Wizard'da sonraki pencerede 'Use Add Wizard'
kutusunun işaretli olduğuna emin olun ve 'Add'e tıklayın.

26. Bir başka
sihirbaz açılacaktır, 'Filter Action Wizard'. 'Next'e tıklayın.

27.
'Name' kutusunda filtre işlemine 'bir isim' yazın ve 'Next'e tıklayın.

28. 'Filter Action General Options' penceresinde 'Negotiate security'nin
işaretli olduğuna emin olun ve 'Next'e tıklayın.

29. IPSec`i
desteklemeyen makinelerle haberleşmemek için 'Do not communicate with computers
that do not support IPSec'i işaretleyin ve 'Next'e tıklayın.

30. 'IP
Traffic Security' penceresinde 'Medium (Authenticated Header)' seçeneğini
işaretleyin ve 'Next'e tıklayın.

31. 'Edit properties' kutusunun
işaretli olmadığına emin olun ve 'Filter Action Wizard' penceresini kapatmak
için 'Finish'e tıklayın.

32. 'Filter Action' penceresinde yukarda
yaratmış olduğumuz (Şekil 3-11) yeni filtreyi işaretleyin ve 'Next'e tıklayın.

33. 'Edit properties' kutusunun işaretli olmadığına emin olun ve
'Finish'e tıklayın.

34. Yukarda tanımlanan tüm nesneler artık
'Properties' penceresinin 'IP Security Rules' kısmında görünüyor olmalı.
'Close'a tıklayarak burdaki işimizi bitiriyoruz.

35. Önceki örnekte
sunucu olarka kullandığımız makine için aynı işlemleri uygulayın.

Yukarıdaki işlemler Windows 2000 için tam bir özel IPSec politikası
yaratmayı kapsıyor. Başka politikalar yaratabilmek için yapılanları anlamak
önemli.
11 ve 12. adımlar IKE kimlik tanılaması metodu için yapılan
ayarlardır. Bu işlem güvenlik ilişkisi kurarken birbirlerine nasıl kimlik
tanılaması yapacaklarını belirleyerek bilgisayarların birbirine nasıl
güveneceklerini belirlemek içindir. Windows 2000 için IKE bilgisayarlar arasında
güven ilişkisi kurmak için 3 kimlik tanılama metodu sağlar. Bunlar, Kerberos v5
kimlik tanılama, sertifikalar ile açık/özel (public/private) anahtar imzaları ve
önceden paylaşılan bir anahtar (preshared key).
13`den 22`ye kadar olan
adımlar bir IPSec filtre listesi ayarlamak içindir. IP güvenliği IP paketlerine
gönderildikçe ve alındıkça uygulanır. Bu paketlerin gönderilirken güvenli hale
getirileceklerini, bloklanacaklarını veya düz yazı olarak gönderileceklerini
belirlemede filtreler ile karşılaştırılırlar. Ayrıca paketler alındıklarında
bloklanacaklarını veya sisteme girişlerine izin verileceklerini belirlemek için
filtrelerle karşılaştırılırlar. İki tip filtre kullanılır, IPSec nakil modu
güvenliği için ve IPSec tünel modu güvenliği için. Tüm paketlere önce IPSec
tünel filtreleri uygulanır ve eğer karşılığı bulunamazsa IPSec transport modu
filtreleri aranır. Güvenli hale getirilmesi gereken trafik için IP filtreleri
yaratırken filtrelerin yansılarının da (mirror) olmasını sağlayın. Filtrelerin
yansılarını yaratmak otomatik olarak hem giriş hem çıkış filtrelerini ayarlar.

26`dan 31`e kadar olan adımlarda Filtre işlemleri ayarlanıyor. Filtre
işlemleri 13-22 adımlarında yaratılan Filtre listesine göre yapılacak işlemleri
ayarlamada kullanılır. Filtre işlemleri yaratılan filtrelere uyan paketlere izin
verileceğini, bloklanacağını veya güvenli hale getirileceğini belirler. Güvenli
trafiğin sağlanması için haberleşecek olan bilgisayarların uyumlu politikalara
sahip olması gerekir. IPSec yeteneği olmayan bilgisayarlarla haberleşmek için
iki metod vardır. paketlerin kriptolanmadan geçmesine izin veren bir (permit)
filtre işlemi veya güvensiz haberleşmeye düşecek olan bir filtre işlemi.

--------------------
Olympos Security
--------------------

Güvenli
haberleşmenin test edilmesi (Özel IPSec politikası)
1. MMC özel
konsolunu kullanarak 'IP Security Policies on Local Machine'i seçin.

2.
Yukarıda yaratılan politikayı seçin ve menüden 'Assign'a tıklayın.

3.
'Policy Assigned' değerinin 'Yes' olması gerekli. 1 ve 2. adımı diğer makinede
tekrarlayın.

4. 'ipsecmon'u açın, pencereyi 'Minimize' edin.

5.
'Start' menüsünde 'Run'a 'cmd' yazıp bir komut satırı penceresi açın.

6.
1. bilgisayardan ikinci bilgisayara ping atın. Ping komutu 4 adet 'Negotiating
IP Security' cevabı dönmeli.

7. Aynı pencerede ping komutunu
tekrarlayın. Bu sefer 4 başarılı ping cevabı görünecektir. Artık iki bilgisayar
aralarında IPSec güvenlik ilişkisi kurdular.

8. 'IP Security Monitor'
penceresine dönün. İki bilgisayar arasındaki güvenlik ilişkisi görülebilir.

9. MMC penceresinde sol tarafta 'Computer Management'ı seçin. 'System
Tools'dan 'Event Viewer'a geçin ve 'Security'yi seçin. Güvenlik kayıtları IP
güvenlik ilişkisinin kurulduğuna dair 541 nolu olayı gösterecektir.

10.
MMC özel konsolunu kullanarak 'IP Security Policies on Local Machine'i seçin.

11. Yukarıda yarattığımız politikaya sağ tuşla tıklayın ve menüden
'Un-Assign'ı seçin.

12. 'Policy Assigned' değeri şimdi 'No' olarak
değişti. 1. ve 2. adımları diğer bilgisayarda tekrarlayın.

Windows
2000 IPSec araçları
Politika ayaları için IPSec snap-in

Internet protokolü güvenlik politikası yönetimi Microsoft Yönetim Konsolu
(MMC) yardımıyla yaratıldı ve ayarlandı. Politikayı (Active Directory
istemcileri için) merkezi olarak yönetebilir, (snap-in`i çalıştırdığınız
makinede) politikayı yerel olarak yönetebilir veya bir bilgisayar için veya etki
alanı için politikayı uzaktan yönetebilir.
'Snap-in'i MMC`ye eklemeniz
gerekir. Bir sihirbaz doğru snap-in ayarları için size rehberlik eder.
Özelleştirilmiş konsol daha sonrada kullanılmak için kayıt edilebilir.

Aktif durumu göstermek için bir monitör, IPSecmon.exe

IPSecMon Windows 2000 ile birlikte gelen IP güvenlik monitörüdür. IPSec
haberleşmelerinin başarılı olup olmadığını onaylamak için kullanılan bir Windows
kullanıcı grafik arayüzüdür. Bir kullanıcı yerel veya uzaktaki bilgisayarlar
için aktif güvenlik ilişkilerini görüntüleyerek bağlantılarının IPSec kullanıp
kullanmadığından hızlı bir şekilde emin olabilir. IP güvenlik monitörünü aktif
etmek için 'Start' menüsünde 'Run'a tıklayın ve ipsecmon "bilgisayar ismi"
yazın.

Ağ bağlantıları kullanıcı arayüzü IPSec ayarları
Bu
Internet Protokolü (TCP/IP) bağlantı ayarlarının özelliklerinde bulunan bir
penceredir. IPSec özellikleri aşağıdaki şekilde bulunabilir:

Şekil 3-12 IP Security Özellikleri

Windows masaüstünde 'My Network Places'e sağ tuşla
tıklayın ve açılan menüden 'Properties'i seçin.
Internet protokolü kullanan
bir bağlantıya sağ tuşla tıklayın ve 'Properties'i seçin.
'Internet Protocol
(TCP/IP)'yi seçip 'Properties'e tıklayın.
Altta sağdaki 'Advanced' düğmesine
tıklayın.
'Advanced TCP/IP Settings' penceresinde 'Options' sekmesine geçin.

'Optional settings'den 'IP Security'yi seçin ve altta sağdaki 'Properties'
düğmesine tıklayın.

IPSec özellikleri penceresi bir makinenin gönderilen
veriler için kimlik tanılaması, bütünlük ve gizlilik servisleri sağlamada IPSec
kullanıp kullanmayacağının bir kullanıcı tarafından belirlenebilmesini sağlar.

Eğer IPSec kullanılacaksa politika listesinden bir politikanın seçilmesi
gerekir.

IPsecpol.exe Internet güvenliği politikaları aracı

Internet güvenliği politikaları aracı Microsoft Windows 2000 Resource Kit
içerisinde bulunan bir uygulama. Ipsecpol 'directory' servisinde veya yerel veya
uzaktaki bir 'registry'de bulunan IPSec politikalarını ayarlamada kullanılan ve
komut-satırında çalışan bir araçtır.
Ipsecpol MMC`de bulunan IPSec Snap-in
politika ayarları aracında bulunan tüm özelliklere sahiptir.
Ipsecpol eğer
geniş ve/veya karmaşık bir IPSec politikasının ayarlanması gerekiyorsa
kullanışlıdır. Ipsecpol komutların bir 'batch' dosyasına koyularak politikanın
yaratılmasında kolaylık sağlayabilir. Ayrıca 'batch' yetenekleri ile tam-zamanlı
(just-in-time) politikalar sağlayabilir. Eğer bir kullanıcının bir sunucu ile
güvenli bağlantı kurması gerekirse sistem yöneticisi aracı ve 'batch' dosyasını
gönderebilir.

Referanslar:
Microsoft Corp. Microsoft Windows
2000 Professional Resource Kit: Chapter 13 Security. Redmond, WA: Microsoft
Press, 2000.
Microsoft Corp. Microsoft Windows 2000 Server Resource Kit
Distributed Systems Guide. Redmond, WA: Microsoft Press, 2000.
Microsoft
Corp. Microsoft Windows 2000 Server Resource Kit Planning Distributed Security.
Redmond, WA: Microsoft Press, 2000.
Microsoft Corp. Microsoft Windows 2000
Server Resource Kit TCP/IP Core Networking Guide. Redmond, WA: Microsoft Press,
2000.
Microsoft Corp. Microsoft Windows 2000 Server Resource Kit Deployment
Planning Guide. Redmond, WA: Microsoft Press, 2000.
Microsoft TechNet:
Step-by-Step Guide to Internet Protocol Security (IPSec), www.microsoft.com/TechNet/win2000/win2ksrv/technote/ispstep.asp?a=printable
,2/2000.
RFC 2401: Security Architecture for the Internet Protocol.
RFC
2402: IP Authentication Header (AH).
RFC 2406: IP Encapsulating Security
Payload (ESP).
Doraswamy, Naganand and Harkins, Dan: IPSec, Prentice Hall,
2000.
Norbeg, Stefan. Securing Windows NT/2000 Servers for the Internet,
O`Reilly & Associates, Inc. 2001
Rhine, Joanie. Microsoft TechNet: IP
Security for Local Communications Systems, www.microsoft.com/TechNet/security/ipsecloc.asp?a=printable,
2000 .

Timothy J. Rogers

kaynak: http://www.sans.org/rr/win2000/ipsec_w2k.php

__________________________