Ağ içinde haberlesmenin güvenli olması için Microsoft'un sunduğu güvenlik çözümüdür. Veriler bir bilgisayarın ethernetinden çıkısında kriptolanır. Bu sayede veriler data kablosundan çalınsa bile açılamaz ve okunamaz. IPSEC sayesinde kablo üzerindeki paketler kriptolu gider.
IPSec'in ilk asaması Authantication'dır. İletisim baslamadan önce ve iletisimin belli asamlarında yine authantication yapılır. İkinci asama Kriptolamadır.
IPSEC'le iletisimkurması istenen tüm PC'lerde IPSEC açılmalıdır 3 asamaladır
Paketi gönderen paketi kriptolayan kisinin keydir
Paketi açacak kisinin elinde olması gereken keydir.
Görüsmesi istenen her iki makinada da policyler kullanılarak ortak keyler yaratılır. Bunlar private ve public keylerdir. Key verification'ı düzgün gerçeklesmisse İki makina arasında bir kripto key'i olusturulur. Bu islem bittikten sonra veriler kriptolanmaya baslanır. Bu asamaya SECURITY NEGOTIATION (Pazarlık) denir.
Her iki tarafta IPSec Policy yapılmalıdır. Bundan sonra Securty Asotiation Negatiation baslar. Bunu sağlayan ISAKMP Protokol 434b16e üdür. Bundan sonra ilgili IPSec Driverları yüklenir ve iletisim baslar
Internet üzerinden E ticaret satıs veya bankacılık islemleri için, ilgili firma sertifikalarını kendi üretme yetkisine sahip değildir. Sertifika yapan 40-50 firma vardır. Bir banka bunlardan birine basvurur ve kendine özel sertifika yaratılır. Bu 300-400 kb'lık bir programdır. Banka bunu direk ilgili server'ına kurar. Herhangi bir müsteri internet bankacılığı sitesine girdiğinde sertifikanın kurulduğu server'a erisir. Bu olduğu anda banka satın aldığı sertifikanın kopyasını bizim sistemimize kurar. Sertifika bize düzgün kurulduğu anda bizim bilgilerimiz verisign'a gider burada Authanticate gerçeklesince veriler bankaya gider.
Windowsta bir tane sniffer tool'u mevcuttur. Asıl amacı sadece network paket trafiğinin içeriğini incelemektir. Ama sniffer olarakta kullanılabilir. Bu tool Network Monitor'dur.
MMC'de IP Securtıty Policy ve IP Secutıty Monitor'ü ekle.
Domain üzeri sağ tus özellikler GPMC'de ComputerSecurityIp Security Policy On Active Directory'i seç. Burada hazırda 3 tane policy vardır
The Server Request Policy : Bu policy seçilirse makina güvenli trafiğede güvensiz trafiğede izin verir. Defaultta IPSEC ile görüsülür ama güvensiz birgörüsme isteği de kabul edilir. Yani Hem IPSec'le hem de IPSec olmadan görüsme olur. IPSe zorunlu olursa IPSec ile kriptolanmamıs hiçbir veri IPSec kullanan makina tarafından dikkate alınmayacaktır görüsme olmayacaktır.
The Client (Respond Only) Policy : Defaultta normal görüsme vardır istek olursa IPSec ile görüsme olur. Bununla söyle bir senaryoda karsılasırız.
Secure Server : Sadece IPSec ile görüsme olur.
Aynı anda bu policy'lerden sadece bir tanesi çalısır. Eğer bunlardan herhangi birini tercih etmezsek kendimiz yaratmalıyız. Bunun için;
Ip Security Policy On Active Directory' nin üzerine bir kere tıklayarak default policyler'in yanda gözükmesini sağla. Sonra yine Ip Security Policy On Active Directory' nin üzerine gelip sağ tıklayarak Create IP Sec. Policy'i seçeriz Basamak basamak anlatacak olursak
İsim ver
İsim verme isleminden sonra gelen pencerede Default Response Rool adıyla bir tik vardır bu sudur; eğer buradaki tiki kaldırmazsak bazı ayarlar microsoft tarafından otomatik yapılır. Bunu istemediğimiz için Buradaki tik kaldırılır ve next tıklanır.
Policy ad olarak yaratıldı. Su anda policy'i editlemek istediğimiz için edit tik'ini kaldırmayacağız. Next ile devam ettikten sonra karsımıza gelen pencerede ADD seçeneği seçilir. Bu pencere aslında bizim su anlık sadece isim olarak olusturduğuımuz policy'nin PROPERTIES'idir. Bu açıdan bakarsak; eğer pencereyi kaybetmissek policymizin üzerine sağ tıklayıp properties'inden girerek yine ADD'i tıklamalayız.
Karsımıza gelen pencere IPSec ile bağlantı kuracağımız yapıya göre seçmemiz gereken bağlantı türüne ait seçenektir.
This role does not specify of tunnel (Diğer adıyla Transport) :
Local areadaki tüm PC'ler birbiriyle iletisim kurarken IPSec kullanacaklarsa Bu kullanılır.
The tunnel endpoint is specified by the folowing IP adress (Tunel) :
IPSec sadece iki nokta arasında kullanılacaksa tünel yapılmalıdır. Örneğin VPN. Bunu seçersek alta karsı bilgisayarın veya server'ın IP'sini gireriz.
Yukarıdaki seçimi yapıp next ile geçince her iki seçenek içinde değismemek üzere IPSec'in nerede kullanılacağına dair bir seçim ekranı gelir. Encoding
All Network seçilirse tüm networkte.
LAN seçilirse sadece Lan'da
Remote acces'te uzaktan erisim için kullanılacaksa seçilir
Burada da gerekli seçim yapılıp next ile geçildikten sonra, Kriptolayacağımız verinin kullandığı port'a veya çıkıs adresine dair IP FILTER LIST ekranı gelir. Kısaca; IP Filter List'te Hangi Ip veya port trafiğini kriptolayacağımızı sorar.
All Ip trafik'i seçersek tüm veriler kriptolanır. Bu mantıklı değildir. Bilgisayarı çok yorar. Bu seçenek gerçek hayatta hiçbizaman seçilmez çünkü bu bilgisayarı yormasının yanısıra bizim yaptığımız bu IPSec filtrelemesini kullanmayan hiçbir bilgisayarla veri alısverisinde bulunamayacağımız anlamın da gelir.
All ICMP de mantıklı değildir. Ping'i kriptolamak anlamsızdır.
Bizim için güvenliğinin sağlanması gerekli olan bilgileri kriptolamamız önemlidir. Örneğin mailler kriptolanır yani PO3 ve SMTP, copy-paste isleminde kullanılan Protokol yani FTP kriptolanabilir. Böyle özel portlar veya IP'ler seçmek için Add tıklanır.Bu seçimle iki asamalı bir wizard çıkar karsımıza ilk asama portların filtrelenmesi, ikinci asama ise ip filtrelemesine dayanır.
İlk asama olan Port filtrelemesi için;
Name kısmına hangi portları sifrelemeyi seçtiğimize dair çağrısımı sağlayan bir isim (ÖrneğinPop3+SMTP+FTP), description'a da gerekiyorsa açıklama yazılır ve add clicklenir.
İkinci Asama Ip filtrelemesi için IP FILTER sihirbazıdır
Description bölümüne gerek duyuyorsak bir açıklama yazarız. Mirror match packet with the exact opposite source and destination adresses
Burada verilerin hangi pc'den çıktığında kriptolanacağı bilgisi girilir.
Eğer kendi makinamızda yani local policy'mizde yapıyorsak MY IP mantıklı olur. Çünkü Kaynak sadece kendi PC'mizdir
Domainde yani DOMAIN POLICY'e çakacaksak duruma uygun bir sey seçilmelidir. Örneğin Any IP adress seçilirse, her computer kendilerinden çıkan verileri kriptolayacaktır . Kolay olsun diye yine MY IP seçtik.
Devam edince hedef bilgisayarala ilgili ayar gelecektir. Burada Destination belirleyefceğiz. Yine kolay olsun diye Any'i seçtik
Devam edince Filtrelenecek PROTOCOL seçimine dair ekran geldi. TCP Portunu seçtik
Devam edince PORT Seçimi ekranı geldi
From bizimbilgisayarımızdan hangi porttan verinin çıkacağı bilgisinin girleceği alandır. Veri ne verisi olursa olsun bizim o an atanan herhangi bir bos portumuzdan çıkabilir. Yani illa ilgili porttan çıkması gerekmez. Burada Any port mantıklıdır
Ama karsı taraf gelen veriyi kesinlikle ilgili porttan alır. Burada Port tanımlanmaladır. İste bu noktada en basta sifrelem istediğimiz portların numarasını gireriz. Örneğin POP3 25. port'tur 25 yazarız ve bitiririz.
Buradan sonra ayarlarımızı doğru yaptığımızdan eminsek burada karsımıza çıkan Edit Properties'i check etmeden olduğu gibi bırakıp next'i tıklarız.
IP Filter tanımlama islemi her port için ayrı ayrı yapılmalıdr. Nedense aynı anda birkaç port bilgisinin girilebilmesi esnekliğini microsoft sunmamıs bize. Bu nedenle karsımıza gelen New IP Filter penceresinde ADD butnuna tıklayıp gimek istediğimiz her port için tekrar IP filter sihirbazını çalıstırırız
IP FILTER sihirbazıyla isimiz bittikten sonra New Ip Filter penceresindeki OK ikonu tıklanır. Simdi IP FILTER LIST penceresine düstük Windws'un beğenmediğimiz All ICMP Trafik ve All IP Trafik filtrelerinin altında bizim olusturduğumuz filtre gözükmektedir. Kendi Filtremizin kutucuğunu doldurup Next'e clikleriz.
Karsımıza FILTER ACTION penceresi geldi. Bu pencere ile seçtiğimiz port ve IP bilgileriyle ilgili kriptolama stratejisi belirlenir
Permit : Bunu seçersek önceden yaptığımız ayarlara dair hiçbirsey kriptolanmaz
Request : Paketler Kriptolanır ama kriptosuz paketlerin geçmesine de izin verilir.
Require : Paketler kriptolanır ve sadece kriptolu paketler dikkaete alınır, kriptosuzlar geçemez.
Bunlar bizim ihtiyacımız karsılamıyorsa Add butonunu clickleyerek yeni bir strateji yaratırız. ADD tıklanınca IP SECURTY FILTER ACTION sihirbazı baslar. Next dedikten sonra
Bu pencerede filter action'ımıza İsim veririz. Gerekiyorsa Description'a açıklama yazarız.
İsim penceresi geçildikten sonra FILTER ACTION GENERAL OPTIONS'tan filter action'ımız için genel bir ayar yaparız. Burada 3 seçenek vardır.
Permit : IPSec dikkate alınmaz. Kriptolama yapılmaz
Block : Önceden seçilmis portlar direk bloklanır
Negotiate Securty : Bunu seçersek IPSec ile görüsmeyen makinalarla bu portlardan alısveris yapamayız. Bunu seçeriz.
Genel bir ayarı seçip next ile geçtikten sonra Burada iletisim kurulacak bilgisayarların IPSec'ten anlayıp anlamadığına göre farklı seçeneklerden uygun olanını seçeceğiz. Yani IPSec'ten anlamayan bilgisayarlarla görüsülüp görüsülmeyeceğini belirleriz.
Do not communicate with computers that do not support IPSec:
IPSec kullanmıyorsa görüsmeyi sağlama
Fall back to unsecured communication:
Ipsec kullanmıyorsa'da görüsme yap.
Seçimimiz IPSec'ten anlayan bilgisayarlar yönünde ise iki hazır bir custom olmak üzere üç metod vardır.
Integrity and Encryption
Default windows ayarlarıyla kriptolama, authanticate yapılır ve paketin değisimi engellenir
Integrity only
Kriptolama yapılmaz
Custom
Bu iki hazır metod bize yetmiyorsa custom'ı seçeriz. Custom'ı tikleyip SETTINGS tabını clickleyerek istediğimiz ayarları yaparız.
Settings tıklnadığında Güvenlik metodları arasından seçim yapmamızı sağlayan bir pencere açılır. Buradan hangi kademede ve nasıl bir encryption seçeneğinin seçileceği belirlenir.
Data and adress integrity without encryption (AH): Sadece datanın güvenliği önemlidir data kriptolanmaz datanın değismemesi sağlanır. Data okunabilir ama paket değistirilemez. Bunun için MD5 veya SHA1 kullanılır. MD5 SHA1'e göre daha düsük seviyeli bir güvenlik sağlar. SHA1 seçilmesi iyi olur daha güçlü bir yapıdır. Zaten paket değisirse de IPSec sayesinde biz paketi kabul etmeyeceğiz. Bu sekilde çesitli ataklarda engellenmis olacaktır.
Data Integrity and Ecryption (ESP): Data değistitilemez ve aynı zamanda kriptolanır. Yani yukarıdakinide kapsayan bir koruma içerir. Bu iki asamalı bir korumadır.
Integrity algorithm
İlk asamadır, datanın değismemesini sağlamak içindir ve bu yine MD5 ve SHA1 ile sağlanır.
EncryptionAlgorithm
İkinci asamadır datanın hangi algoritma ile encrypt edileceği belirlenir.
DES : 56 bit'lik bir kriptolamadır
3DES : 3 x 56'lık bir kriptolama yapar.
Daha fazla güven için Session Key settings kısmından çıkan vaya alınan veri bazlı ya da süre bazlı keyleri değistirme seçeneği seçilir.
Bu islemleride tamamlayıp Ok ve next tıklanır çıkan pencereden bizim olusturduğumuz FILTER ACTION seçilir ve böylece tamamını bizim yarattığımız bir kripto olusturulmus olur.
Kriptomuzu olusturmak için next'e basınca Karsımıza Authantication Method penceresi gelir. Bu pencerenin amacı Kriptolu görüsmeye baslamadan önce yaratılması gereken güvenlik oturumunu olusturmaktır. Burada sadece, keyler olusturulmadan önce (Public ve Private keyler) yapılacak authantication (Kimlik doğrulama islemi) için sifreli method belirlenir. Bunun amacı Keylerin doğru kisiye dağıtılmasını sağlamak ve bu dağıtma islemini de güvenli bir sekilde yapmaktır. Burada 3 seçim çıkacaktır karsımıza
Görüsülecek makinlar aynı domaini üyesiyse Active Directory default (Kerberos VS protokol) kullanılabilir. Bu Microsoft'un default encryption yöntemidir. Bunu internette kullanmak mantıklı olmaz çünkü bilinen default bir kriptolama algoritması kullanır. Güvenlidir ama milyon dolarları emanet etmem.
Eğer Internetteki bir makinayla görüsme sağlanmak isteniyorsa (Örneğin e-alısveris veya bankacılık islemlerinde olduğu gibi) Use a certificate from this certification authority seçeneği veya Use this strings to protect to key exchange seçeneği seçilebilir.
Use a certificate from this certification authority seçeneği Sertifika kullanmak esasına dayanır, en güvenlisidir. Bu seçilip browse denilince kullanabileceğimiz sertifika örnekleri ve sertifika sağlayabileceğimiz sertifika firmalarının bulunduğu bir ekran gelir. Buradaki sertifikalar tabiki kullanılmaz örnektir. Bir sertifikaya çift tıklayınca kullanım süresi ve hangi amaçla kullanılacağı görülebilir. Detaylarında kriptolamayı hangi yöntemle sağladığı görülür. Public key görülür private key gözükmez. Her key için bunlar farklılıklar gösterir
Use this strings to protect to key exchange seçilirse hemen altındaki alana ortak bir key (IPSec ile görüsebilmesi istenen her bilgisayarda aynı olmalı) yazmak gerekir. Bu key sadece password yerine kullnılır. Bilgisayarlar bunları karsılastırır aynı ise el sısma gerçeklesir. Dezavantajı sudur bu key networkte yakalanabilir.
Tüm seçimlerin doğru olduğuna inanıyorsak edit properties kurucuğunun içini bosaltırız ve next'i tıklarız. Bunun sonucunda hersey tamamlanmıs olur ve en bastaki Rule seçimi penceresinde KERBEROS ile Bizim olusturduğumuz FILTER ACTION'ı görürüz. Yani Kerberos'da aslında bir filter actiondur ve bir kriptolama yapar. Windows'un default kriptolama Action'udur. OK'ler ve bittiririz. Policy'mizi aktive etmek için GPMO'da yaptığımız policy üzerine gelerek sağ tılayıp Assign seçeriz. Bu is bu kadar.
Eğer sertifika bir sekilde çalınırsa Certificate Revocation List'te yayınlanır. Bunun için devamlı ilgili serverlarla bağlantıda olmak gerekir.
IIS ile web sitesi, ftp sitesi kurulabilir. Bunu için Add Remove windows components web service IIS ve ASP.net seçilmeli.
Web sayfasını hazırladığımız varsayımıyla Bir klasör olustururuz ve sayfaları buraya kopyalarız. Web sayfası static bir IP'ye sahip olmalıdr.
Int. Inf Service Manager'da Web sites'ta sağ tıklayarak new web site'ı seç Açıklama önemli değil. Next deyince Web sayfasının yayınlanacağı bilgisayar ip'si hangi porttan çalısacağı bilgisini girmeliyiz. Next deyince Dosyaların yeri gösterilir. Next deyince web sayfasına hangi yetkileri vereceğimizi belirleriz. Next, Finish deyince yayınlama biter.
Websites'tan bizim web sitemize gelerek properties'ine geliriz. Multiple Identities'te istediğimiz yeri girerek farklı bir ip ve isim'i de buraya yönlendirebiliriz.Home directory tabında yetkiler görülür. Documents kısmında web sayfasının ana sayfasını açan uzuantılar gözükür. Burada olmayan bir anasayfa açılmaz. İstersek uzantı ekleyebiliriz. Sertifika kısmından Verisign'dan sertifika talebinde bulunabiliriz.
Temel olarak yayınladıktan sonra Siteye sağtıklayıp browse demek yayınlanmasına yeterli. Ama sadece ip'si ile ulasılabilir. Adıylada ulasılması için dns'te web sitemizin adında bir zone yaratılmalı, www adında da bir A (Record) yaratılmalıdır. Bundan sonra site adı ile de ulasılabilir hale gelir. Bazern flushdns komutu yapmak gerekli olabilir ya da DNS'i restart etmek gerekebilir. Sorun yoksa IIS'ten servisleri de restart etmemiz gerekebilir. Internet options'ta Proxy ayarları varsa internet talepleri proxy'e gidecektir. Bu sorundur proxy ayarları kaldırılmalıdır.
Sertifika basit bir dosyadır.İçinde özel bir kriptoyla kopyalanmıs bilgiler vardır. İçinde Public ve private keyler vardır. Sertifikayla görüsmenin sağlanabilmesi için sertifikayı kurmak yetmez. Sertifikayı dağıtan server'a bağlı olmamız gerekmektedir. Bu server'a CA server denir. Sertifikalar devamlı bu server tarafından kontrol edilir. Sorunlu ve süresi dolmus sertifikalar bu server tarafından iptal edilebilir.
Sertifika olusurken, User ismi, computer ismi veya makinada çalısan bazı servisler, SID nolarını bir text dosyasına yazar ve bunları kullanır. Sertifika aynı zamanda sertifikayı yayınlayan kurulus hakında da detaylı bilgiler içerir.
Gerekli servisleri yükledikten sonra kurlum asamasında 4 çesit CA seçeneği gelir. Eğer Active directory yapısı yoksa Enterprice'lar gelmeyecektir. Subordined seçenkeleri child objelere de kurulabilir. Database, defaultta C:WINDOWSsystem32CertLog içinde yaratılır loglar oraya atılır. CA kurlumu eğer IIS kurulmussa ve çalısıyorsa bunu durdurur. Çünkü sertifikalar IIS ile de entegre çalısır. IIS çalısırken kurulum yapamayacaktır. Yükleme bittikten sonra Administrative Tools'ta Certification Authority olusturulur ve yönetim buradan yapılır.
Revoked Certificates : Kullanılmaya baslandıktan sonra reddelien veya sorun olduğu için iptal edilen sertifikalardır.
Issued Certificates : Geçerli sertifikalar
Pending : Onaylanmamıs bekleme konumunda olan sertifika istekleri
Failed : Talebi reddedilen sertifikalar.
Certificate Templates : Burada CA'imizin yayınlayabildiği sertifikalar yeralır. Enterprise CA kurlumu yapılmıs DC'lerde bu baslık çıkar.
Issued sertifikalardan birini revoke etmek için sertifikanınüstünde sağ tıklayıpall taskrevoke
Sertifika talep eden User sertifika talep ediyorsa ve CA Enterprice olarak kurulduysa pending'de bekletme olmaz talep kabul edilir.
Sertifikaları konfigure edebileecğimiz yer MMC'dir. Buradan Certifcate Templates ve Certificate'i ekle.
MMC'den sertifika Sertifika talebi yapılması için CertificatespersonalSertificates'e sağ tıkla New sertifdika Nex next next isim gir finish.
Standalone kurulumlarda MMC'den sertifika isteğinde bulunamayız. Onun yerine IE'ye CA'in adını bildiren bir URL yazılır. Örneğin; https://CAserveradi/certsrv/. Buradan Request Certificate seçilir. Bu su ise yarar bir web server kurulduğunda ve güvenli, sertifikalı bir görüsmeye izin veren bir web sitesiyse ulasmak için onun kullandığı bu sertifikalar indirilmelidir.
|
