IPSec Nedir? Group Policy İle IPSec Yapılandırılması

IPSec Nedir? Group Policy İle IPSec Yapılandırılması

Herkese merhaba. Bu yazımda “IPSec” kavramını anlatmaya çalışacağım. Ayrıca IPSec yapılandırılmasında hangi kısımlar önemli neler yapılmalı ya da yapılmamalı gibi konulara da değinmeye çalışacağım. Öncelikle IPSec’in ne olduğuna bir bakalım.

IPSec Nedir?

Internet Protocol Security olarak bilinen IPSec, IP paketlerini kimlik doğrulamasına ve şifrelemeye tabi tutarak IP iletişimini güvenli hale getiren bir protokoldür. OSI katmanlarından Network Katmanında yani 3. katmanda çalışır. Bu protokol sayesinde veriler ağ üzerinde güvenli bir şekilde gitmesi gereken hedeflere ulaşır. IP paketlerinin IPSec aygıtları arasında korunmasını ve kimlik denetiminin gerçekleşmesini sağlar. Network katmanında çalıştığı için uygulamadan bağımsız olarak her veriyi şifreler ve şifre sonrası oluşturduğu IP paket başlıkları internette rahatlıkla dolaşabilir. Bu nedenle günümüzde VPN teknolojisinin altyapısını da oluşturur.

TCP/IP protokolü varsayılan olarak bütün paketleri açık bir şekilde gönderir. X makinesinden Y makinesine biz paket gönderdiğimiz zaman, bu paketler kriptolu şekilde iletilmemektedir. IPSec tam olarak da TCP/IP protokolünün bu açık kalan kısımlarını kapatmaktadır. VPN trafiği, iç network trafiği hatta bütün networkün kriptolanmasında da kullanılabilir. Günümüzde her şeyin güvenli olmasını istiyoruz. Peki neden IPSec i tüm networkleri kriptolamak için kullanmıyoruz öyle değil mi? Bunun yapılabileceğini söylemiştik fakat önümüzde bununla ilgili bir problem bulunmaktadır. Bu sorunun yanıtı için kriptografiye biraz girmemiz gerekmektedir. Kriptolanan paketler aslında belli bir algoritmaya göre bozulup vardığı adreste tekrar bütünleştirilmektedir. Bu da aslında IPSec uyguladığımız tüm newtork içerisinde ciddi bir yavaşlamaya sebebiyet verecektir. Bu nedenle IPSec i kısmi olarak uygulamamız gerekir. Örneğin kritik sunucularınız ve clientlarınız arasında IPSec uygulanabilir. Bu işlem daha verimli olacaktır.

IPSec birçok güvenlik fonksiyonunu yerine getirmektedir.

Veri Gizliliği (Confidentiality)

IPSec yukarıda da söylediğimiz gibi şifreleme algoritmaları ile veri gizliliğini sağlamaktadır. Kriptolamanın sağlamlığı kullanılan algoritmanın anahtar uzunluğu ile şekillenmektedir. DES, AES, SEAL gibi algoritmalar kullanılmaktadır.

Veri Bütünlüğü (Integrity)

IPSec veri bütünlüğü algoritmaları ile iletilmesi gereken veriyi değişmeden karşı tarafa ulaşmasını sağlar. HMAC (Şifrelenmiş Mesaj Doğrulama Kodu) algoritması sayesinde verinin yolda giderken değiştirilmesini önler. İki çeşit hash algoritması bulunmaktadır;

  • HMAC-MD5: 128 bitlik şifrelenmiş veriyi kullanır. Algoritmadan çıkmış hali de 128 bitlik hash değeridir.
  • HMAC-SHA-1: 160 bit uzunluğunda anahtarlama tekniğini kullanır. MD5 den daha güçlüdür.

Kimlik Denetimi (Authentication)

IPSec protokolü authentication metodunu da kullanmaktadır. Kimlik denetimini sağlamak için PSK (Pre shared key), RSA ve IKE (Internet Key Exchange) olmak üzere 3 çeşit yöntem kullanmaktadır.

Güvenli Anahtar Değişimi (Secure Key Exchange)

IPSec cihazlar arası açık anahtar değişimini sağlamak için Diffie-Helman adı verilen algoritmaları kullanır. Cihazlar arasındaki şifreleme ve şifreyi çözme işlemlerini gerçekleştirmek için en kolay yöntem anahtar değişimini sağlamaktır.

Bu fonksiyonların yanında IPSec in kullandığı protokoller bulunmaktadır. AH ve ESP olmak üzere 2 çeşittir.

  • AH(Authentication Header-Kimlik Denetimi Başlığı): Bu protokol genellikle gizlilik gerekli olmadığında ya da izin verilmediğinde kullanılır. Veri iletimi sırasında oluşabilecek değişiklikleri engellemek, gönderilen paketin bütünlüğünü korumak için IP paketine sıra numarası verilir. Bu sıra bozulursa paketler kabul edilmez. Bu protokol tek başına kullanıldığında gizlilik sağlamadığı için güvenlik açığı oluşturacaktır.
  • ESP (Encapsulating Security Payload- Kapsüllenen Güvenlik Yükü): ESP protokolü gizlilik ve kimlik denetimini beraber sağlayabilir. Prokolün önceliği, AH tarafında sıra numarası verilmiş IP paketlerini belirlenmiş algoritmalardan faydalanarak şifrelemek ve hedefe ulaştığında aynı algoritmaları kullanarak çözümlemektir. Böylece AH tarafından oluşabilecek güvenlik açığı engellenmiş olur.

Group Policy ile IPSec Yapılandırması

Group Policy aracılığı ile IPSec yapılandırması gerçekleştirebiliriz. Yapılandırmayı gerçekleştirirken policy obje üzerinde yapılması gereken ve yapılmaması gereken birçok işlem bulunmaktadır. Lab ortamında kurduğum DC içerisinden bu konfigürasyonlara göz atalım.

“Group Policy Management > Domains > Group Policy Object” içerisinden “IPSec” poliçesini oluşturalım. Oluşan poliçe üzerine sağ tıklayıp “Edit” alanına ilerleyelim.

Burada karşımıza oluşturduğumuz poliçenin detayları çıkmaktadır. “Computer Configuration > Windows Settings > Security Settings > IP Security Policies” bölümünden Microsoft’un getirmiş olduğu 3 tane poliçeyi görebiliriz. Buraya başka poliçeler de ekleyebiliriz. Görmüş olduğumuz 3 poliçeyi açıklayalım.

  • Secure Server(Require Security): Bu poliçeyi uyguladığımız makine sadece ve sadece kriptolu erişim elde edecektir. Uygulanan makine secure server ile korunuyorsa, tcp ile paket gönderdiğimizde erişim kabul edilmeyecektir. Kritik serverlarınız için varsayılan da gelen bu poliçeyi kullanarak kriptolu erişim elde edebilirsiniz.
  • Server (Request Security): Bu poliçe hem secure hem de non-secure şeklinde iletişim kurabilmektedir. Fakat önceliği kriptolu bağlantıdır. Diyelim ki x makine secure server poliçesine sahip olsun y makinesi ise server poliçesi uygulanmış olsun. Burada y makinesi x ile secure bir şekilde iletişim kurar. Z makinesi y makinesi ile açık bir şekilde iletişim kurmak isterse de bağlantı açık bir şekilde devam edecektir. Önceliği hep secure bağlantıdır. Veri iletimi sırasında y makinesi z makinesine öncelikle güvenli iletimi sorar.
  • Client (Respond Only): Önceliği açık bağlantıdır. Kriptolu da iletişim kurabilir fakat önceliği her zaman açık bağlantıdır.

Secure Server Poliçe Özellikleri

Secure Server’a sağ tıklayıp özelliklerine bakalım.

Burada “All IP Traffic” require security olarak belirlenmiş görünmektedir. Ayrıca Authentication metodu olarak da “Kerberos” kullanılmaktadır. Bunun da anlamı, sadece domaindeki makineler ile konuşabileceğidir. Domain dışında iletişim kabul etmez. Bu özelliklere bakıldığında Kerberos kullanmadan iletişim kurabileceği “ICMP Traffic”‘tir. Yani sadece ping ile iletişim bulunmaktadır.

3 özelliği de spesifik olarak düzenleyebiliriz. Örneğin All IP Traffic özelliğini editleyerek spesifik destination IP adresi belirterek sadece belirli IP adresiyle iletişim kurmasını sağlayabilir ve protokol belirleyebiliriz.

Konfigürasyonlardan önemli olan bir noktada “Authentication Method’un belirlenmesidir. Poliçe içerisinde varsayılan olarak Kerberos seçili durumdadır. Yeni bir sertifika ekleyebilir ve o sertifikaya sahip olan makinelerle sadece secure iletişim içerisinde olmasını da sağlayabiliriz.

Authentication metodlarından biri de PSK (presharedkey) yöntemi olduğunu belirtmiştik. Yapılacak konfigürasyonlarda “Presharedkey i bilenler” yazan her makine birbiri ile iletişim kurabileceklerdir. Daha performanslı yöntemdir fakat güvenlik açısından sağlıklı bir yöntem değildir.

“Tunnel Setting” e göz attığımızda, gatewayler arasında bir tünelleme yapılabilmektedir. Connection Type alanında da bağlantı türünü seçebiliriz. Diyelim ki bu poliçe gateway ise remote access connection type ı tercih edilmelidir.

Server ve Client Poliçe Özellikleri

Secure Server ın kendine özel yapılandırması varken Server ın da kendine özgü yapılandırması bulunmaktadır. İlgili poliçeye sağ tıklayıp özelliklerini inceleyelim.

Görüldüğü gibi Secure Server poliçesinden farklılıkları bulunmaktadır. Bu poliçe de filter bölümünde bağlantının secure olabileceği gibi olmasa da bağlantı kurabileceği belirtilmektedir.(optional)

Client poliçesi ise diğerlerinden farklı görünmektedir. Burada öncelik açık bağlantı olduğu için fazla konfigürasyonu bulunmamaktadır. Fakat client poliçesini de secure yapıya metodlar ile dönüştürebilmek mümkündür.

Bu poliçelerin dışında kendi poliçenizi de oluşturabilirsiniz. Burada yapılmaması gereken ilk şey iyice network bağlantı planını çıkarmadan poliçeleri uygulamamanızdır. Default domain Policy içerisinden tüm yapıya Secure Server poliçesini uygularsak eğer oldukça sıkıntılı anlar yaşayabiliriz 🙂 Buna dikkat etmek gerekmektedir.

Kaynakça

https://elfanet.com.tr/tr/main/article/ipsec-vpn-nedir/7

https://cenkercetin.com/ipsec-nedir-ne-is-yapar/

https://www.csoonline.com/article/2117067/data-protection-ipsec.html

https://bidb.itu.edu.tr/seyir-defteri/blog/2013/09/07/ipsec-vpn-(internet-protocol-security-internet-protokol%C3%BC-g%C3%BCvenli%C4%9Fi)

Related Posts

Leave a Reply