IPsec Nedir ? Ne Değildir ?

Veri şifreleme
Veri şifreleme basit veya karışık kripto sistemlerinin kullanımı sonucu oluşturulmuştur. Sistemler arasında oluşturulan bir bağlantı sonrası gönderilmek istenen veri kabaca, ilk haliyle decode edilir. Decode edilen veri karşı sisteme ulaştığı anda encode edilir. Her şifrelenen veri, herhangi bir sistem ile çözümlenemez. Bunu evinizin dış kapısı olarak düşününüz. Balkon kapısı ile evinizin dış kapısının kilit yapısı ve anahtarları farklıdır. Kripto ile şifrelenen verilerde buna benzemektedir. Bununla beraber ortak yöntemler kullanılarak veya zorlama unsurları kullanılarak yapılan şifre çözümlemelerinde bulunmaktadır. Web ortamında sıkça rastladığınız MD5’ler buna en iyi örnek olabilir. Şifrelenen her veri bünyesinde karşı çözümleyicinin yani anahtarın bilgisini taşımaktadır. Gelişmiş sistemlerde ise şifreleme hizmeti veren firmaların sunduğu sertifikalar aracılığıyla kurumsal veya şahsi şifreleme teknikleri kullanılmaktadır. Buna en iyi örnek ise birçok online satış yapan şirketin kullanmış olduğu SSL sistemleri ve RSA kripto sistemleridir.
Şifreleme Hizmetleri sunucu veya istemci tarafından başlatılabilir. Windows içerisinde Checksum SHA-1, DES AH için kullanılır, veriler ise RSA RC4 ( MPPE ), DES IPSec standart bir MPPE 56 -128 bitlik şifreleme sunarken, DES sistemi ise 56 bit şifreleme kullanır. DES kriptosunun güvensizliği sonrasında 3DES kriptosu kullanılmaya başlamıştır. 3DES kullanıcıya 112 bit şifreleme sunar. MPPE 128 ve 3DES için sistemlerinin güncellemeli ve gerekli fix’leri sistemlerinize kurmanız gerekmektedir. http://www.microsoft.com ” Windows Encryption “, sistemlerinizde bulunan konfigürasyona göre farklı şifreleme unsurları çalıştırılır. Bu unsurları standartlar dahilinde değiştiremezsiniz. Örnek olarak VPN kullanan bir ağ ortamında PPTP sunucusuna bağlanmak için MPPE, L2TP sunucusuna bağlanmak içinse IPSec kullanılır. IPSec uygulamalarında veriler sadece MS-CHAP, MS-CHAP v2 veya EAP/TLS kimlik doğrulaması kullanılarak şifrelenir.

Güven ilişkisi

Bir etki alanı içerisinde bulunan bilgisayarların kimlik doğrulamaya izin vermesi için oluşturulmuş bir yapıdır. Oturumu açmak için kimlik bilgileri doğrulanan bilgisayarın bu ilişkiler çerçevesinde gerekli izinler verilir. Haberleşme anında 2 yönlü ilişki kullanılmaktadır. Yani her bir nokta için farklı güven ilişkileri kullanılır. Bir bağlantı esnasında sunucu istemciden güven belgesi ister ve kendi içerisinde bulunan sertifikayı gönderir. IPSec uygulamalarında kullanılan SA ile güven ilişkileri tanımlanır. SA’nın kullanımı içinde IKE protokolü kullanılır. Bir güven ilişkisi birçok bağlantının oluşmasına da izin verir. Örnek olarak bir telnet uygulamasında AllowTrustedDomain 1: seçeneğinde güven ilişkisini geçmiş kullanıcıya izin hakları vermektedir. Güven ilişkisinin sertifikalar yardımıyla yapıldığını söylemiştim. Eğer bir sertifika ayarları değiştirilecek ise bunu
Kullanıcılar Gelişmiş Sertifikalar Kullanılan sertifika, göster Ayrıntılar Alan özellikleri düzenle sertifika amaçları Gerekli amaçları etkinleştir. Seçeneği ile gerekli sertifika ayarları yapılandırılır. Burada dikkat edilmesi gereken sertifikanın şirket mi yoksa bağımsız bir bireyin mi kullandığıdır. Çünkü bu değerlere göre de güven ilişkilerinde değişiklikler oluşmaktadır.

Internet İletişim Kuralı güvenliği (IPSec)
Genel ve özel ağlarda şifreleme ve filtreleme hizmetlerinin bir arada bulunduğu Internet Protocol Security (IPSec) iletişim kuralı aracılığıyla bilgilerinizin güvenliğini sağlayabilirsiniz. IPSec standart olarak belirlenen bir şifreleme kullanır ve windows 2000 ile beraber gelmiştir. IPSec RFC (Requests for Comments) 2401-2411’ta belirlenmiştir. TCP/IP yığını içerisinde standart gelen bir özelliktir. Devamındaki sürümlerde kullanıma devam etmiştir. Bu uygulamalar iletişim kurallarında hiçbir değişikliğe neden olmadığı için, normal ağlarda da kullanıma müsaittir. IPSec ağ ortamında bulunan her bilgisayar için kimlik denetimi yapmaktadır. DHCP hizmetleri için verilen adresler haricinde diğer adresleri bloke etmek için IPSec kullanılabilir. VPN bağlantısı L2TP sunucu için yapılandırılmışsa IPSec kullanılır. Bu bağlantıların oluşturulması esnasında sunucu ile tünel anlaşması yapılır. Tünel işleminde paketler bir çerçeve içerisine alınarak saklanır, paketler istenilen hedefe ulaştığı an saklama üst verisi iptal olur ve paketin hedefe yönlendirilmesi için asıl paket verisi kullanılır. Diğer bağlantı türü olan nakilde ağ katmanında dolaşan bilgileri yakalarlar ve AH-ESP ile başlığı korurlar. Bu uygulama sadece 2 nokta arasında bağlantı kurulmak isteniyorsa yapılabilir. IPSec dahilinde AH ve ESP tünel modları bulunmaktadır. AH modunda kaynak ve hedef bilgilerinden değiştirilme yapılamaz, çünkü bu modda paket tüm şekilde imzalanır. Bu koruma yöntemi ile replay saldırıları önlenmiş olur. Örneğin ağ içerisinde kullanılamayan bir makinenin yerine geçen hacker bu yöntemi kullanarak verileri değiştiremez. ESP’de iç ve dış IP üst bilgisinden oluşur. Bu nedenle AH gibi üst bilgi güvenliğini sağlayamaz. Bu iki ilke haberleşmek için SPI ile ortak kullanıldıklarında SA’yı tanımlayabilirler. Kimlik doğrulama içinde PPP temelli Kimlik Doğrulama İletişim Kuralları kullanılmaktadır. Kimlik doğrulamayla beraber oluşturulan tüm kuralları kendi bünyesinde saklar. IPSec bağlantının oluşturulması esnasında yetkisiz erişimleri izin vermez. Bu nedenle pasif veya aktif sniffer (ağ dinleme) işlemleri için tam güvenlik sağlayabilir. Bununla beraber sisteme ait administrators grubunun kullandığı portları, yabancılara karşı kapadığından trojen ve keylogger türü araçların sisteminize sızmasını engeller. Sistemlere en çok yapılan saldırılarak karşıda ICMP paketlerine sınır koyabilmektedir.
Yönetici ilk önce iki bilgisayar arasındaki güven ilişkisini tanımlamalıdır. Yani soru şudur, bu bilgisayarlar birbirlerine nasıl güvenecek? IPSec uygulamalarında aksi belirtilmemişse Kimlik denetimi işlemi yapılması, sadece user-pass olarak gerçekleşmez. Bu uygulamada karşı makinenin kimlik denetiminin yapılmış olması ve gerekli değerin verilmiş olması gerekir. Bu nedenle istemci makinelerinde korunması gerekmektedir. Demek oluyor ki herhangi bir kişi iş istasyonu ve sunucuda oturum açabiliyorsa, IPSec bağlantısını da kullanabilir. Kimlik denetimi için kullanılan protokoller PAP, SPAP, CHAP, MS-CHAP, MS-CHAPV2, EAP’tir. Bu denetim protokolleri arasında web uygulamalarında da bulunmaktadır. Bunlar: Basic, Anonymous, Windows integrated, Digest, .NET pass ve Sertifikalardır. IPSec yerel güvenlik ilkesi (GPO) kullanılarak yapılandırılır. RUN secpol.msc komutu aracılığı ile GPO’ya ulaşabilirsiniz. IPSec işlemlerinin çalışabilmesi için bir etki alanına dahil olmalısınız. Kendi sisteminizi IPSec’e hazırlamak için servislerin çalışır olması gerekmektedir. RUN services.msc yazmanız devamında panel içerisinde bulunan IPSec ve İş istasyonu, kullanıcı özelliklerine görede diğer gerekli servisleri çalıştırmalısınız. Yapılandırmayı yazının ilerleyen bölümlerinde bulabilirsiniz.
Windows 2000 ve sonrası kullanıcıya önceden tanımlı IPSec kümeleri sunar. Örneğin Salt Yanıtlama özelliği ile istendiği durumlar harici IPSec kullanılmayan, sadece istek geldiğinde IPSec değerlerini kullanan, etkin olduğu alana göre yanıt vermeye ayarlanabilen değerdir. Bu özellik doğrultusunda istenilen iletişim kuralı ve bağlantı güvenliği sağlanabilir. Bununla beraber IPSec’de ön tanımlı kurallar otomatikleştirilemez. Sadece güvenli bir kişiden gelen veriler kabul edilebilir. VPN uygulamalarında yapılacak ayarlamalar sonucunda VPN kimlik denetimine dahil edilmemiş kişiler, VPN bağlantısı kurmak istese dahi, sunucu kimlik denetiminde kayıtlı olmayan istemciyi gördüğünden kendisini gizleyecektir. Yabancı istemci ise sunucuyu göremeyecektir. Sunucular için güvenlik isteme enkeni IPSec ile önceden tanımlı olarak gelen diğer bir özelliktir, bu iletişim kuralında güvenli olmayan gelen verileri kabul eder ancak ilk göndericiden güvenlik ister. Güvenlik isteme sonucu, eğer karşı taraf bunu gerçekleyemez veya IPSec yapılandırmasını yapmamış ise, veri güvenli halde korunmaz. Ancak sunucu güvenlik isterse ki bu özellikte yine IPSec ile gelmektedir. Bu kuralda güvenli olmayan iletiler anında red edilecektir. Bu kural doğrultusunda giden veriler ise daima güvenli olacaktır. Bağlantıların oluşturulmasından RUN ias.msc ( yani internet kimlik doğrulama hizmetini ) kullanılır hale getirilmelidir. ve sistem-kullanıcı haklarına istenilen değerler verilmelidir. Üç farklı kimlik denetimi kullanılır ” kerberos – sertifikalar – önceden dönüştürülmüş anahtarlar ” Windows 2000 de varsayılan kimlik denetimi kerberos V5 ile yapılmaktadır. Bu standart ilkeler dahilinde DHCP, DNS, WINS, SNMP uygulamaları ve sunucu oluşturma uygulamaları için, kendi dahilinde kurallar oluşturulabilir. Örneğin SNMP hizmeti için IP süzgeç listesi içerisinde izin ver değerine sahip source – destination adresleri belirtilmelidir. Bu bağlamda 161-162 UDP’ler in-out değerleri istenen işlemler doğrultusunda yapılandırılabilir. Bu konu açılmışken birşeyi belirtmek isterim bir IP aralığı yerine işlemi kullanacak IP ve alt maskesi kullanılması daha sağlıklı olacaktır. Süzme işlemlerinden kendi yapılandırmanız esnasında, yüksek katmanlı kurallar veri şifrelemesi sağlayacaksa, ESP gizliliği seçimini hiçbiri olarak belirtin. Ekstra yapılacak bu uygulamalarda ileri düzey bilginizin olması şarttır. Bunu bir örnek ile açıklayalım; IPSec ilkeleri içerisinde bir DNS adını kullandığınızda bazı kolaylıklar sağlar. Ancak bu IP statik değil ise, bir saldırı sonucunda bağlantının kopması sonucu IP ve DNS adresi değişirse, IPSec farklı bir IP adresi yapılandıracaktır. Buda güvenliğin delinmesi demektir. Ağ ortamında bulunan veriler iç ağda yapılacak bir saldırıda kaybolabilir. DNS sunucu ile IPSec akışının bir bütün olması için şu adımlar atılmalıdır. Kaynak adres IP adresiniz olarak ayarlanmalı, hedefi de DNS sunucu olarak belirtin. Otomatik süzgeç içinde yansıtıldı seçeneğini etkin duruma getirin. IPSec süzme işlemi için izin ver değerini etkinleştirin. DNS saldırılarına karşı 53. portu denetlemeyi unutmayın, gerekli ayarlamalar ileriki bölümlerde anlatılacaktır. Saldırılardan korunmanın diğer bir yolu ise iç ve dış ağ kurmak, hatta iki DNS sunucusu oluşturulmak sağlıklı bir uygulama olacaktır.
IPSec 3 protokol yolu kullanmaktadır 500 UDP ISAKMP trafiği, ID 50 ESP, ID 51 AH. Ek olarak L2TP/IPSec VPN 1701 UDP, IPSec portları yeni conf sistemlerine ek olarak 4500 kullanılabilir. IPSec gelen ve giden ias üst bilgisi için 50 (0x33), IPSec gelen ve giden sarma Güvenlik İletişimi Kuralı için 50 (0x32), gelen ve giden ISAKMP/Oakley akışı içinse 500 (0x1F4) kuralları kullanılır. Sizlere IPSec’in administrators grubunun kullandığı portları blokladığını söylemiştim, sistem içerisinde farklı bir yapılandırma sonucunda firewall kullanmak zorunda kalabilirsiniz. Bu nedenle dikkat edilmesi gereken bazı durumlar söz konudur. İlk husus statik paket filtreleme kullanımıdır, diğer unsur ise IPSec kullanımı esnasında firewall’da yapılandırılmış olan NAT’ın ağ adres dönüşümlerini destekleyen yapı, IPSec konfigürasyonuna destek göstermemesidir. Bu 2 kavramın ortak ve sorunsuz çalışabilmesi için hem sunucu hem de istemcinin yeni sürüm olan NAT-T kullanmaları gerekmektedir. Firewall yapılandırılmasındaki ilk göze alınacak değerler IPSec ve VPN uygulamaları olacaktır. Eğer böyle bir uygulama çalıştı yor iseniz, firewall conf ayarları muhakkak bu 2 özelliğin çalışması doğrultusunda yapılmalıdır. Bu doğrultuda ESP, ISAKMP, AH trafiklerine de izin verilmesi gerekmektedir. Firewall uygulamalarında açık bırakılması gereken portların korunması yine yukarıda bahsettiğim gibi IPSec (Kimlik Denetimi) olarak yapılabilir. IPSec L2TP için güvenliğini Internet Anahtar Değişimi (IKE) sertifika temelli kimlik doğrulama kullanarak belirler. IPSec engeli ancak iş istasyonu pozisyonunda olan sunucu makine tarafından verilen değerlere göre kaldırılabilir. Son olarak uçbirim servislerinin kullandığı 3389 nolu porta sınırlı kullanıcı atayın ve diğer ulaşımlar için kullanımını engelleyin.
IPSec ilkelerinde 2 depolama konumu bulunmaktadır. Bir etki alanı içerisinde bulunmayan bilgisayarlar. regedit’te local olarak tanımlanmaktadır. Belirlenemeyen bir durum sonucu bağlantı kopar ve sonlandırılamamış bir görev oluşursa, önceki bilgiler regedit içerisinde ön belleğe alınır. IPSec bağlantısının başlaması esnasında bağlantıyı kurmak isteyen bilgisayar, içinde bulunan süzgeç listesine göre eşleşme ve denetleme yapar. IPSec sürücüsü ISAKMP’e karşı tarafla güvenlik anlaşmasının başlayacağını bildirir. Bu adımdan sonra iki adres arasındaki ilk paylaşım başlar, anahtar değişimi ile ortak anahtar ve güvenlik ilişkileri belirlenir. Bu adım sonrası kaynak adres, karşıya gönderilen IPSec Security Association (SA) kullanarak paketlerin şifrelenmesini ve üst bilgilerin pakete yerleştirilmesini sağlar. Bu adımdan sonra da kullanılan protokol veya protokoller aracılığı ile transfer işlemi başlar. Hedef bilgisayar aldığı veriyi IPSec sürücüsüne yükler. En son ise verinin anahtarlanması ve tersine işlemle veri okunur hale gelir. Bilmem anlatabildim mi? 🙂

Katman İki Tünel Oluşturma İletişim Kuralı (L2TP)
Bir etki alanına dahil olan kullanıcılar için oluşturulmuş bu politikada veri güvenliği için şifreleme unsurları kullanılır. İki Tünel iletişim Kuralı (L2TP/IPSec) L2TP paketlerinin güvenliğini sağlar. L2TP ile özel bir ağa VPN bağlantısı kurabilirsiniz. Özellikle AppleTalk RS-232 amaçlı kullanılmaktadır. L2TP/IPSec VPN 1701 UDP kullanılmaktadır, normal durumlarda PPTP ile aynı işleve sahip internet tünel iletişim kuralıdır. L2TP için özel bir bağlantınızın olması şart değildir. Normal internet bağlantısı olan her kullanıcı bu uygulamayı çalıştırabilir. IPSec L2TP kurmadan önce tünel sunucu arasında bir iletişim kurması ve sistemin çalışmasını onaylatır. L2TP, SPAP ve IPSec’li PAP gibi standart PPP esaslı kimlik doğrulama iletişim kurallarını kullanır. Bu uygulama kullanılacaksa kimlik doğrulama sertifikalarının kullanıcıda bulunması gerekmektedir. Sertifikasyon hizmetlerinden en az bir tanesi (ortak anahtar) her iki bağlantı noktasında bulunması ve onaylatılmış olması gerekmektedir.Tünel oluşturma kavramı sizlere aslında yabancı değildir diye düşünüyorum. Web dillerinde kullanılan tünel kavramından biraz farklıdır. Ancak amaç aynıdır, bilginin saklanması… L2TP en önemli özelliklerinden biri ise ( L2F- PPTP ) gibi IP-IPX-NetBEUI çerçevelerini birleştirip saklamasıdır.
L2TP aracılığıyla gerekli güvenlik denetimleri ve düzenlemeleri gerçekleştirilebilir. Normal ağlardan daha güvenli bir şifreleme uygular. Herhangi bir ağa erişim Windows Routing And Remote Access (RRA) üzerinden yapılıyorsa, VPN uygulamaları için L2TP/IPSec’in kullanımı önem taşımaktadır. Böylelikle kimlik denetimi sağlamlaştırılmış olur. Son olarak L2TP TCP/IP yığınına bağlıdır ve TCP/IP üzerinde yapılacak değişiklikler L2TP’yide etkileyecektir. Bu özellik nedeniyle VPN erişimi kurulduğu zaman RRAS sunucusunda L2TP/IPSec ve PPTP portları yapılandırılır. L2TP/IPSec NAT ile uyumlu değildir. Nedeni NAT’ın kaynak adresini değiştirmesidir, bu sorun NAT-T ile giderilebilir.
Noktadan Noktaya İletişim Kuralı (PPP)
Ortak işlemler için çağrılan uzaktan erişim yazılımları için oluşturulmuş iletişim kümesin PPP, standartlar dahilinde tüm PPP sunucuları vasıtasıyla uzaktaki ağlara bağlanma imkanı vermektedir. Bu nedenle TCP/IP- NetBEUI, IPX iletişim kurallarını desteklemektedir. PPP tabanlı bağlantılar için şifreleme MPPE tarafından yapılmaktadır 128-40 bit. PPP verileri şifrelediği gibi verileri sıkıştırma ve kimlik doğrulama yöntemlerini desteklemektedir. PPP kullanıcı düzeyi kimlik doğrulama yöntemlerini kullanarak (CHAP, SPAP, MS-CHAP, isteğe bağlı EAP) kimlik doğrulaması yapar. PPP tüm RFC standartlarına uyumlu bir şekilde çalışmaya olanak sağlar. Zaten bu nedenden dolayı noktadan noktaya iletişimde ilk sıralarda yer almıştır. (www.ietf.org/rfc) PPP çerçevelenmesi için, Bağlantı Denetim İletişim Kuralları (LCP) kullanılmaktadır. Çerçeve adından da anlaşıldığı gibi, verinin nasıl saklanacağı sorusuna cevap verir. İlk olarak saklama biçimi şekillendikten sonra PPP bağlantısı başlamış olur. Bunun ardından Kimlik Doğrulama İletişim Kuralları aracılığıyla güvenlik düzeyi belirlenir. Bu seviyeyi sunucu belirlemektedir. Bağlantı isteyen sunucunun isteği doğrultusunda kon figüre edilmek zorundadır. Bağlantı ayarları içinde NCP kullanılmaktadır. Her bir bağlantı için, karşı sistemin yapısı gereği farklı iletişim kuralları ayarlanır. Bağlantı sağlandıktan sonra, işlemin bitmesi ile kullanıcı tarafından bağlantı direk sonlandırılır. Win 2000 prof. ve diğer bağlantılar, Win server gelen bağlantılar için sonradan yapılandırmaya gerek kalmaz, varsayılan değer kullanılır. Doğru yapılan bağlantılarda PPP çevirmeyi otomatikman yapacaktır. İleriki safhalarda arayan bağlantıya göre belirli ayarlamalar yapılabilirsiniz.
PPP özgün paketlerin iletişim kurallarını kullanabilir, bunlar IPC, IPXCP, NBTP, ATCP olarak çeşitlilik gösterir. Bunların en yaygın kullanılanı IPXCP’dir. Novel sistemlerde bu kurala alternatif olarak IPX WAN kullanılmaktadır. Sistem yöneticilerinin bu özelliği kullanarak güvenilir bir politikası oluşturması mümkündür. Örneğin Kimlik doğrulama ve diğer imkanlar aracılığıyla, remote uygulamalarda PPTP süzme işlemini tanımlayabilirler. Bu yolla da istemcilerden sadece kimlik doğrulaması yapmış olanlar, sıkıştırılmış ve şifrelenmiş verilerden yararlanabilir.
PPP için RFC’ler
1332 PPP IPCP
1334 PPP
1552 PPP IPXCP
1549 PPP HDLC
1661 PPP LCP
1990 PPP Çoklu bağlantı
2284 PPP EAP
PPP konfigürasyonu için ilk önce ağ bağlantıları bölümünde, ayarlar sekmesinden tüm gerekli ayarlamaları yapabilirsiniz. Örneğin LCP’nin bağlatılıp, devre kalması gibi…
Parola Kimlik Doğrulama İletişim Kuralı (PAP)
Parola Kimlik Doğrulama İletişim Kuralı (PAP), en az gelişmiş ve düz metin olarak çalışan bir yapıdır. Bu yapı güvenli olmadığı için en son tercih olarak kullanılmalıdır. Diğer işletim sistemlerine bağlantı içinde kullanılabilir. Uzakta çalışan bir sunucuyla ilişki kurulmak istendiğinde, PAP bilgisayarınızı şifresini gönderir ve güvenlik belgelerini veritabanı ile denetler. PAP isteğe bağlı şifrelenir.
Çekişme El Sıkışma Doğrulaması İletişim Kuralı (CHAP)
Çekişme El Sıkışma Doğrulaması İletişim Kuralı (CHAP), Message Digest 5 (MD5) aracılığıyla görüşme sağlar. Sunucu ile ilişkilendirildiğinde, sunucu bilgisayar dimlik doğrulaması ister ve şifreli yanıt gönderilerek sunucunun denetlemesi sağlanır. CHAP MD5’i destekleyerek PPP hizmetlerine güvenle bağlanabilirsiniz. CHAP güvenlik gerektirmez ancak sunucuda yapılacak ayarlamalar sonucu, bu özelliği kullanılırsa, normal bir bağlantı sunan sunucuya bağlanma esnasında isteminiz askıya alınır. Güvenli parola gerektir ve akıllı kart uygulamalarında kullanılamaz. Microsoft bu kuralı kendine uygun hale getirmiştir. ” MS-CHAP sonrasında da MS-CHAP V2 ”
Shiva Parola Doğrulama İletişim Kuralı (SPAP)
Shiva Parola Kimlik Doğrulama İletişim Kuralı (SPAP), Shiva client ve Windows 2000 server ‘a bağlanabilirsiniz. Güvensiz parolaya izin verir ve şifreleme gerektirmez.Şifreleme isteğe bağlıdır, ancak spap kullanımı zorunlu ise şifre isteyemezsiniz. ve Windows 2000 istemcileri Shiva sunucularına bağlanabilirler.
Microsoft Çekişme El Sıkışma Doğrulaması İletişim Kuralı (MS-CHAP) (MS-CHAP v2)
CHAP’ın geliştirilmiş versiyonu diyebiliriz. MS-CHAP network içerisinde standart kullanıma uygun özelliği sayesinde Windows istasyonlarında kimlik doğrulaması için oluşturulmuştur. Tek yönlü şifreleme kullanır. Şifreleme ve güvenli parola gerektirmektedir. İsteğe bağlı veya zorunlu şifreleme isteyen sunuculara bağlanabilir. PPP bağlantılarında güvenli olduğu için tercih edilmektedir. Bağlantı esnasında sunucu MS-CHAP ve MS-CHAP v2’den kimlik doğrulaması ister. Bu işlemler öncekiler gibi devam eder ama farklı en son istediği kimlik doğrulama mekanizmasıdır. MS-CHAP v2 önceki sürümünde meydana gelen değişim sırasındaki parola uyuşmazlığını gidermek için oluşturulmuştur. MS-CHAP v2’de gönderme ve almada farklı şifreleme anahtarları kullanır.
Genişletilebilir Kimlik Denetimi İletişim Kuralı (EAP)
Genişletilebilir Kimlik Denetimi İletişim Kuralı (EAP), PPP’de ek kimlik denetim yöntemlerini desteklemesi için geliştirilmiştir. Ağ içerisinde dizin bozma ve brutelforce uygulamalarına karşı aşırı dayanıklı bir yapıdadır. MD5-TLS denetim kurallarını kullanılmaktadır. EAP/TLS akıllı kartlarla kullanılmaktadır. Bu nedenle verilerin yapılandırılması daha kolay ve güvenli olur. EAP/TLS yapılandırıldığında sunucuya bağlandığınız an kimlik doğrulaması yapılamıyorsa bağlantı direk kesilir. [ Sanırım Böyle olması gerekir 🙂 ] Çünkü kimlik kanıtladığı içindir. MS-CHAP v2’ye benzer noktaları bulunmaktadır. Bu iki yapıda parola kimlik doğrulaması yolu ile yeni şifreleme imkanı oluşturabilirsiniz.

IPSec Yapılandırılması
Sizlere IPSec’in yapılı bir şekilde geldiğini belirtmiştim. Hazır halde gelen bu 3 değeri IPSec yapılandırması için ilk önce iki makine arasında yapılandırmayı görelim.
Birinci makinenin IP’si 172.18.0.1 ikinci makine ise 172.18.0.2 olsun.
bu uygulama için 2 seçenek kullanacağız. Aslında ikiside aynı ancak yeni oluşturulan MMC daha kapsamlı kullanımlar ve yönetimler için yapılandırılabilir.
İlk olarak RUN secpol.msc yazıyoruz. Karşımıza Yerel Güvenlik İlkesi GPO paneli çıkıyor. Bu panelde en soldan en altta bulunan Yerel Makine Üzerinde Güvenlik İlkeleri ( IP Security Policy Management ) paneline tıklayın. Bu adım makineniz üzerinde çalışan yapılandırmayı belirtir. Ancak biz MMC olarak yeni bir konsol açacağız.
Şimdi RUN MMC yazın, açılacak Konsol1 alt penceresinde Konsol kökü bizim yeni kuralımız olacak bunun için konsol1’den Konsol Ek bileşen ekle kaldır diyoruz. Açılan pencerede politika ismini belirledikten sonra ekle diyoruz. Sağda açılacak pencerede gösterilen seçeneklerden Yerel Makine Üzerinde Güvenlik İlkeleri ( IP Security Policy Management ) seçeneğini ekle diyoruz. Burada size bazı seçenekler sunulacak, bu seçeneklerden en üstteki sekme ( Yerel Bilgisayar ) bizim tanımlamamız olacak. Diğer seçenekler ise ait olduğunuz etki alanlarına belirli izin ve sınırlamalar koymak amacıyla yapılandırılır. Biz en üstteki sekmeyi aynen bırakıp ekle ve tamam diyoruz. ikinci açılan pencereye de tamam dedikten sonra konsol köküne geliyoruz. eklemiş olduğumuz Yerel Makine Üzerinde Güvenlik İlkeleri ( IP Security Policy Management ) ‘e tıkladığımızda standart gelen 3 yönetimi görüyoruz. İlk adımda bir etki alanına dahil olmadığımızı düşünerek 1. adımı atalım. Sağda bulunan client ( istemci yalnızca yanıtla) seçeneğine gelin, add ( ekle ) seçeneğine gelin next ( ileri ) dedikten sonra tünel uç noktasını belirtmemiz gerekiyor ve 172.18.0.1 yazıyoruz ve ileri diyoruz. Gelen pencerede bize hangi network uygulaması için yapılandırma yapacağımız seçeneğini sunuyor. Bizimkisi yerel ağda olduğu için yerel ağ diyoruz. Gelen pencerede sertifika veya kerberos seçeneklerini kullanıyoruz. elimizde harici bir sertifika olmadığı için kerberos seçeneğinden ileri diyoruz. Şimdi bir etki alanına dahil olmadığımızı düşünerek bu uygulama bizi bir etki alanına dahil edecektir.
İkinci adım asıl olay diyebilirim. tekrar client ( istemci yalnızca yanıtla) tıklıyoruz ve ekle diyoruz. burada uygulama adını belirtiyoruz. Şifreleme yazabilirsiniz. Ekle diyoruz ve Specific IP adress (benim IP adresim) seçeneğimi seçiyoruz. ileri dedikten sonra uç nokta olan 172.18.0.2 adresi için Belirli bir IP adresi seçeneğini seçip buraya gerekli adresi yazıyoruz ve ileri diyoruz. iletişim kuralını ise herhangi biri diyorum. Çünkü yapılacak işleme göre bu uygulama değiştirilir ve son diyoruz. Şimdi bir filtreleme unsuru eklememiz gerekli yeni filtre uygulamasına geliyoruz. Görünen güvenlik seçeneğini işaretleyin ve varsayılan durum için 3DES ve SHA1 seçeneğini işaretleyin ve tamam diyin. Accept unsecured communication, but always respond using IPSec seçeneğini işaretleyin ve filtreleme kutucuğuna görülen yazın. görülen seçeneğine tıklayın ve belgeleme özelliklerine gelin burada ekle diyerek, istediğiniz bir anahtar girin. bunun uzun olması sizin için daha sağlıklı olacaktır. Şimdi keyberos seçeğine gelip remove diyin çünkü artık yeni bir politikanız var. Close diyin ve gelen giden adreslerini tekrar oluşturun.
Şimdi belirlediğiniz protokole tıklayın ve genel sekmesine gelin, gelişmiş sekmesinden anahtarın hangi aralıklarla değiştirileceğini belirtin yahutta, PFS özelliğini aktif edin tüm bunlar sizin istemlerinize kalmış. Yine en son pencereden yöntemler sekmesiyle Şifrelemeyi, bütünlüğü ve diffie-hellman grubunun seviyesini belirleyebilirsiniz.
Kullanılan bütünlük algoritmaları : MD5-SHA1
Şifreleme algoritmaları :3DES-DES
Diffie-Hellaman Grubu: Düşük-orta
buradan sonrası kolay ağ bağlantılarım özelliklerinde TCP’yi istenilen değerler doğrultusunda değiştirebilirsiniz. Ancak unutmayın özel bir ağ kullanacağınız için güvenli sekmesini seçmeyi unutmayın 🙂
Sistem loglarını kullanın.
Sistemleriniz çalıştırılan her bir uygulamanın kayıtları kendi içerisinde barındırmaktadır. Çalıştırılan her bir uygulama ve bağlantı için Windows kayıt tutar. IPSec ile yapmış olduğunuz bağlantılar içinde bir log tutulacaktır. Bu amaçla bu kavramı bilmeniz büyük fayda var. Sistem içerisinde yazılan loglar .evt formatında saklanmaktadır. Bu kayıtlar belirli aralıkla silinebileceği gibi, bellek değerinin yükseltilmesi ile devamlı loglanması sağlanabilir. Bu nedenle sisteminize kurmuş olduğunuz, ağ filtreleme araçları ve şifreleme unsurlarının düzgün çalışılırlığı daimi olarak konrol etmek zorundasın. Yani sistem loglarını düzenli aralıklarla kontrol etmeniz, güvenliğin tam olarak sağlanmasındaki en önemli adım sayılabilir. Sistem içerisinde yapılan her uygulama loğlandığından, tutulan bu logların temizlenmesi durumunda da sistem bunu loglar. Ancak bazı araçlar ile bu logların tutulması engellenebilir. Sistemin logları silindiği durumlarda sistem size şöyle bir log sunar.
Kullanıcı : NT AUTHORITYSYSTEM Kaynak : Security
Bilgisayar: LOCALHOST Kategori: Sistem Olayı
Denetim günlüğü temizlendi
Birincil Kullanıcı Adı: SYSTEM
Birincil Etki Alanı: NT AUTHORITY
Birincil Oturum Açma Kimliği: (********* **)
İstemci Kullanıcı Adı: syntax
İstemci Etki Alanı: LOCALHOST
İstemci Oturum Açma Kimliği: (** *** ****)

Bu logların incelenmesi sonucu, kimin yahut kimlerin hangi işlemleri yaptığı rahatlıkla gözlemlenebilir. Bu logları görmek için Denetim masası Yönetimsel Araçlar- Olay görüntüleyici seçeneği yahut ta aşağıdaki komut yardımıyla istediğiniz. Bir yere göndermeniz yeterli olacaktır. Sistem loglarının yerlerinin değiştirilmesi, güvenlik için önemli bir uygulama olabilmektedir. Windows XP ile bunu yapabilirsiniz. Ek olarak Windows NT içerisinde bulunan özellikler ile ağ ortamında karşı cihazların bağlanmasını istemediğiniz. Ancak Casus kişilerin sisteminizi test etmesini görebilmek için onlara tuzaklar kurabilirsiniz 🙂 Ancak önceden hatırlatayım bu özellik ileri düzey kullanıcılar için geçerlidir. Olaydan Tuzağa Çevirme Run” evntwin.exe ” aracı ile bu uygulamayı başlatabilirsiniz.

Run- CMD
Microsoft Windows **** [Sürüm ******]
(C) Telif Hakkı 1985-2000 Microsoft Corp.
C:cd winntsystem32config
C:WINNTsystem32configdir
C sürücüsündeki birimin etiketi yok.
Birim Seri Numarası: *******
C:WINNTsystem32config dizini
27.09.2004 22:18 DIR .
27.09.2004 22:18 DIR ..
27.09.2004 14:13 65.536 AppEvent.Evt
27.09.2004 21:24 122.880 default
25.09.2004 11:46 81.920 default.sav
27.09.2004 21:23 20.480 SAM
26.09.2004 12:52 545.040 SecEvent.Evt
27.09.2004 21:23 28.672 ******
27.09.2004 22:49 146.336 ******
27.09.2004 22:49 92.432 *******
27.09.2004 22:20 9.244.672 software
25.09.2004 11:46 540.672 software.sav
27.09.2004 14:13 65.536 SysEvent.Evt
27.09.2004 21:24 2.723.840 system
27.09.2004 21:24 2.723.840 SYSTEM.ALT
25.09.2004 11:46 364.544 system.sav
25.09.2004 11:46 139.264 userdiff
27.09.2004 22:49 DIR ytsec2
15 Dosya 17.479.756 bayt
3 Dizin 38.651.373.568 bayt boş
C:WINNTsystem32configxcopy *.evt D:loglar
D:loglar hedefteki bir dosya adını mı
bir dizin adını mı belirtiyor
(D = dosya, Z = dizin)? d
C:AppEvent.Evt
C:SecEvent.Evt
C:SysEvent.Evt
3 dosya kopyalandı
C:WINNTsystem32config start d:dosyalar
Kopyalanan 3 dosyayı herhangi bir yazı editörü aracılığı ile açabilir. Geçen değerleri rahatlıkla takip edebilirsiniz…
belgesi-291

Belgeci , 2280 belge yazmış

Cevap Gönderin