Etiket arşivi: ip security

IPsec (IP security) – Bolum 2

 

Teknolojideki gelişmeler, bilgisayarı hayatımızın vazgeçilmez bir parçası haline getirmiştir. Günlük yaşantımızda yaptığımız pek çok eylem de biz fark etmesek te onlar vardır. Bu denli fazla bilgisayar kullanımı bize pek çok kolaylık sağlamaktadır.

Eskiden tutulan muhasebe defterleri şimdi, iki tıklama ile karşımızda, bankalara gidip para yatırmak yerine yine internet bankacılığını kullanarak oturduğumuz yerden istediğimiz kişiye para yollayabiliyoruz.  Aslında bu temel iki örneğin dışında bilgisayarın faydaları saymak ile bitmez. Benim de bu makaledeki amacım gelişen teknoloji ile hayatımıza giren bilgisayarın oluşturduğu tehditlerin IPSec uygulamaları ile nasıl engelleneceğini göstermek olacaktır.

 

Makalemin ilk bölümünde IPSec ile ilgli gerekli açıklamaları yaptığım için bu makalemde örnek bir senaryo ile IPSec uygulamasını anlatmaya çalışacağım. Senaryomda şirket içerisinde çalışan bir mail server ve onu kullana şirket çalışanları bulunmaktadır. Böyle bir ortamda IPSec olmadan gelen giden şifre bilgilerinin ve mail içeriğinin nasıl okunacağını, ardından IPSec li bir ortamda ise bunun olamayacağını göstereceğim.

 

Öncelikle Windows 2003 üzerine Mail Servisini kuruyor;

image002

 

Bunun için Windows bileşenlerinden “E-mail Services” ini yüklüyoruz.

Yükleme işlemi bittikten sonra, yönetimsel araçlardan “POP3 service” yönetim konsolunu açıyoruz.

image003

 

Konsol üzerinde “New Domain” diyerek yeni bir mail domain i tanımlıyoruz.

 

image004

 

Ben AD domain im ile aynı isimde bir mail domain i açtım istetseniz bunu farklıda açabilirsiniz. Domain açtıktan sonra ise bu domain de mailbox açıyoruz

 

image005

 

Mailbox açarken dikkat etmemiz gereken bir kutucuk vardır. Yukarıdaki şekilde de gösterilen kutucuk işaretli olduğunda, açılacak her mail hesabına ait kullanıcıda otomatik olarak AD üzerinde tanımlanacaktır. Eğer sizin kullanıcılarınız önceden tanımlı ve sadece bu kullanıcılar için mailbox açmak istiyorsanız bu kutucuğu temizlemeniz yeterli olacaktır.

 

image006

 

Server üzerinde gerekli ayarları tamamladık. Bunun ardından istemci tarafında bir yazılım ile maillerimizi kontrol etmek. Bunun için ben yaygın kullanılan “Outlook Express “ programını seçtim. Programı açtığınızda karşınıza yukarıdaki gibi bir karşılama ekranı gelir, bu ekranda isminizi yazmanız yeterli olacaktır.

 

image007

 

Mail adresinizi yazıyorsunuz

 

image008

 

Mail sunucusunu belirtiyorsunuz. ( not: benim dns sunucumda “mail” isminde bir A kaydı bulunmaktadır )

 

image009

 

Gerekli kullanıcı adı ve şifre bilgilerini belirtiyoruz ve böylece istemci kurulumunu da bitiriyoruz.

Ardından sunucu üzerine kuracağımız ethereal programı ile paketleri dinlemeye başlıyoruz. Ben kolaylık olması açısından bu programı sunucu üzerine yükledim, ancak cain vb programlar ile de ağ üzerinde herhangi bir bilgisayardan yine bu bilgileri toplamak mümkündür.

 

image010

 

Yukarıdaki şekilde görüldüğü gibi kullanıcının sadece gönder al yapması, şifresinin öğrenilmesi için yeterlidir.

 

image011

 

Veya hakan kullanıcısının administrator kullanıcısına attığı maili de görmemiz yine mümkündür. Yukarıda öncelikle mail in kimden gelip kime gittiğini buluyoruz, ardından bu paketlerin hemen devamındaki “Message Body” kısmına tıklıyoruz ve bu mesajın öncelikle subject ini sonrada içeriğini görüyoruz.

 

image012

 

Mesajın “Subject” i “deneme” . İçeriğini ise bu kodların en altında görebiliyoruz

 

image013

 

Mesajın içeriği ise “bunu okuyabiliyor musunuz yoksa 🙂 “  . Evet, işte bu kadar basit, siz bilmeseniz bile üçüncü şahısların bu bilgileri alması bu kadar kolay. Peki bu durumda trafiğimizi nasıl güvenli bir hale getirebiliriz? Bunun için ipsec şarttır.

O zaman mail sunucu üzerinde IPSec uygulaması ile bu trafiğin nasıl güvenli bir hal alacağını hep beraber görelim.

 

Start – Run  – mmc dedikten sonra karşımıza MMC konsolu açılacaktır.

 

image014

 

Konsoldan ise “ IP Security Policy Management “ konsolunu çağırıyoruz.

 

image015

 

Burada eğer “Secure Server” policy sini aktif edersek, artık istemciler, client policy sini aktif edene kadar bizim ile iletişime geçemeyeceklerdir. Yani ben mail sunucu olarak diyorum ki; bana yapılacak her türlü ip iletişiminde mutlaka ipsec isterim, istemcide hiçbir policy atanmamış ise tabii ki iletişim olmayacaktır. Ancak istemci tarafında da herhangi bir IPSec Policy atanmış ise iletişim güvenli bir şekilde gerçekleşecektir.  Bu şekilde gerçekleşen bir trafiği ethereal ile izlediğimizde sadece ESP yani Encapsulating Security Payload ibaresi görünecektir, bu verilerin yakalandığını ancak içeriğinin görünemediğini belirtir.

 

image016

 

Paketler yine yakalanabilmekte ancak paketlerin içeriği okunmamaktadır. IpSec sayesinde network üzerinde güçlü bir güvenlik sağlamış bulunuyoruz. Ama burada istememiz halinde tüm ip trafiği yerine sadece POP3 ve SMTP trafiğini IPSec ile koruyabiliriz. Bu sayede gereksiz yere sunucu her paketi IPSec ile güvenli hale getirmeyecek ve performans kaybı minimum a düşecektir. Bunun için var olan standart kurallar yerine kendimize özel bir Policy yapmamız gerekmektedir. Bunu için IP Security management Console içerisinde yeni bir policy oluşturalım.

 

image017

 

Yeni bir policy oluşturmak için “Create IP Security Policy” kısmını seçiyor ve ilerliyoruz.

 

image018

 

Karşılama ekranını geçiyoruz

 

image019

 

Kuralımıza bir isim veriyoruz.

 

image020

Bu seçenek seçili iken, gelen istekler eğer 110 veya 25 dışında ise, yani benim filtrelerimin dışında bir paket ise bu paketlere varsayılan kurallar uygulanacaktır. Ben bunu istemediğim için bu kutucuğu temizleyerek devam ediyorum.

 

image021

 

IPSec için standart kimlik doğrulama yöntemini seçiyoruz, Kerberos yerine ben uygulamada Preshared Key kullanmayı tercih ediyorum.  ( unutulmaması gereken bir nokta; eğer siz sunucu tarafında IPSec policy için kimlik doğrulama olarak Preshared key girmiş iseniz, istemci tarafındaki “client” policy sinin özelliklerinden kimlik doğrulama tipini kerberos tan Preshared Key e çevirmeniz gerekmektedir. Bunu GPO dan da yapabilirsiniz.)

 

image022

 

Kuralın tanımlama kısmı bitti ve ben detaylar kısmına geçiyorum.

 

image023

 

Şu anda kuralımda hiçbir filtremle bulunmamaktadır. Ben bir filtreleme eklemek için “Add” butonuna basıyorum, ancak sihirbazları kullanmak istemediğim için sağ taraftaki kutucuğu da temizliyorum.

 

image024

 

Karşıma standart ip filtreleri gelmektedir, yani ya tüm ip trafiğini yâda sadece ICMP trafiğini seçebiliyorum, oysaki ben tüm ip trafiğini değil de sadece bana gelen POP3 ve SMTP yani 110 ve 25 nolu TCP bağlantılarını filtrelemek istiyorum. Bunun için buraya yeni bir bağlantı filtresi ekliyorum.

 

image025

 

Bağlantı filtresi için tanımlama yapmak üzere yine sihirbazı kullanmadan add düğmesi yardımı ile yeni bir pencere açıyorum.

 

image026

 

Ben bir sunucu olduğum için istemciler bana ulaşacaklardır, istemcileri tek tek yazmak yerine “any” ibaresini kullanıyorum, yani herhangi bir makineden bana gelen paketler için manasına geliyor.

 

image027

 

Peki, herhangi bir makineden bana gelen hangi portları dikkate alacağım? POP3 ve SMTP istediğim için bu portları tek tek belirtiyorum.

 

image028

POP3 için gerekli tanımlamanın aynısını SMTP içinde yapacağım

 

image026

 

image029

 

image030

Her iki tanımlamayı yaptıktan sonra “ok” diyerek pencereyi kapatıyorum.

 

image031

 

Artık bana gelecek tüm ip trafiğinden sadece POP3 ve SMTP trafiğini seçebilecek bir filtre yaptım. Peki böyle bir durum olursa filter action, yani filtreye uygun bir paket gelirse IPSec bunun karşılığında nasıl bir aksiyon gösterecek. Bunu seçmek içinde “Filter Action” sekmesine geliyorum.

 

image032

 

Amacım mail trafiğini güvenli bir şekilde gerçekleştirmek olduğu için gelen bütün isteklerden zorunlu olarak IPSec li görüşme istiyorum.

 

image033

Pencereyi kapatmadan son kez kuralımın kimlik doğrulama sekmesine de gelip son kontrolleri yaptıktan sonra kural tanımlamayı bitiriyorum.

 

image034

Tanımlamış olduğum kuralı artık etkin hale getiriyor ve bu sayede mail sunucuya gelen bütün ip trafiğinden sadece POP3 ve SMTP trafiği IPSevli bir şekilde iletişim kuruyor ve güvenli bir bağlantı meydana geliyor.

Bunun gibi kurala istediğiniz protokolleri ekleyebilir veya çıkarabilirsiniz.

 

Güvenli günler dileği ile.

Hakan UZUNER

IPsec (IP security) – Bolum 1

 

Teknolojideki gelişmeler, bilgisayarı hayatımızın vazgeçilmez bir parçası haline getirmiştir. Günlük yaşantımızda yaptığımız pek çok eylem de biz fark etmesek te onlar vardır. Bu denli fazla bilgisayar kullanımı bize pek çok kolaylık sağlamaktadır. Eskiden tutulan muhasebe defterleri şimdi, iki tıklama ile karşımızda, bankalara gidip para yatırmak yerine yine internet bankacılığını kullanarak oturduğumuz yerden istediğimiz kişiye para yollayabiliyoruz.  Aslında bu temel iki örneğin dışında bilgisayarın faydaları saymak ile bitmez. Benim de bu makaledeki amacım zaten faydalarından çok zararlarını konuşmak ve bunlara karşı nasıl önlem alacağımızı öğrenmek olacaktır.

 

Evet, bilgisayarın yaygınlaşması ile artık her bilgiyi ve kaynağı sanal âlemde görmek mümkün oluyor, tabii ki bunun sonucu olarak kötü niyetli bir takım insanların da bu yaygın ağı kullanarak kaynaklara ulaşabileceği manasına gelmektedir.

Peki, bun nasıl gerçekleşir? Evet günümüzdeki bilgisayarların iletişiminde kullanılan temel bir protokol ikilisi vardır; TCP/IP .  TCP ve IP iki ayrı protokollerdir ve günümüz network altyapınsa temel iletişim protokolleridir. IP protokolü ( Internet Protocol ) ; temel olarak bir ağ üzerinde bulunan cihazın konumlamasını yapmaktadır. Yani bir ağ üzerinde bulunan bir bilgisayara erişmek için o bilgisayarın ip adresine ihtiyaç duymaktayız ve IP bize bu bilgisayarı adresleyerek bu konuda yardımcı olur. IP temel bir protokoldür, ancak iletişimde veri transfer garantisi vermez. IP protokolü bağlantısız (connectionless ) bir protokol olarak bilinir. Yani TCP deki gibi iletişimden önce bir doğrulama söz konusu değildir. ( link : http://en.wikipedia.org/wiki/Internet_Protocol ) , peki verinin karşı tarafa gönderilmesi nasıl sağlanıyor dersek , bunun cevabı , IP Protokolünü tamamlayan TCP Protokolüdür .

IP protokolünün 3 adet farklı versiyonu vardır, IP v4, IP v5, IP v6. Günümüzde ise IP v4 yaygın bir şekilde kullanılmaktadır.  IP Protokolü iletişimin temelini oluşturduğu için aslında IP Protokolünün güvenliği, bizim veri güvenliğimiz manasına gelmektedir. IP v4 te standart olarak bir güvenlik yoktur, yani IP Paketlerinin dinlenmesi halinde alınan paketler içerisinden veriler okunabilmektedir. Bu durum aslında veri trafiğimizin ne kadar güvensiz olduğunu gösteriyor. İşte bu noktada IP Protokolünün eksik kalan güvenlik kısmını IPSec ile doldurmamız gerekmektedir. IP v6 da güvenlik standart olarak gelmekte ancak v4 te bu güvenliği IPSec ile sağlamaktayız.

 

IpSec ( IP Security ) ; IP trafiğinin güvenliğini sağlamaktadır. Engineering Task Force (IETF) tarafından geliştirilmiş bir protokoldür ( link : http://en.wikipedia.org/wiki/Internet_Protocol ) .

IpSec temelde 3 görev üstlenir, Bunlar;

Veri gizliliği  

Veri bütünlüğü

Kimlik doğrulama

IPSec in temel 2 uygulama şekli bulunmaktadır;

 

Transport Mode = LAN üzerinde yapılan IPSec uygulamaları. Yani bilgisayarlar arasındaki IPSec uygulamasıdır. Bu uygulamada IPSec yapan her iki tarafta IPSec ten anlamak zorunda dır .

Tunnel Mode = WAN Linkler arasında ( ağ geçitleri üzerinde )  yapılan IPSec uygulamaları. Bu uygulamaya örnek olarak; şirketlerin farklı bölgelerde olan ofislerinin arasında kurulan trafiğinin güvenliğini arttırmak için IPSec uygulanır. Bu durumda IPSec yalnızca iki ofisi bağlayan network cihazları üzerinde yapılacak ancak ofislerdeki makineler ise bundan habersiz bir şekilde çalışacaktır . Bu durumda şirket içindeki trafik IPSec siz ancak ofisler arasındaki trafik IPSecli olacaktır.

 

IPSec uygulamaların örnek vermek gerekir ise;

İstemci makineler arasında, server lar arasında, server istemci makine arasında veya tunnel mode olarak çalışan iki uzak ofisi bağlayan gateway ler arasında.

 

image002

 

Peki, IPSec’in temelini oluşturan bileşenleri nelerdir?

IPSec’in bileşenleri:

— IPSec Policy

— IKE (Internet Key Exchange)

— IPSec Driver

 

IPSec Policy ;

Bilgisayarımızın IPSec yapmasını istediğimizde aktif etmemiz gereken kurallardır. Bilgisayarlarımızda tanımlı olarak gelen 3 adet standart policy bulunmaktadır. Bunları görmek için;

Start – Run  – mmc  dedikten sonra karşımıza MMC konsolu açılacaktır.

 

image003

 

Konsoldan ise “ IP Security Policy Management “ konsolunu çağırıyoruz.

 

image004

 

Karşımızda işletim sistemi yüklenmesi ile beraber gelen standart üç policy bulunmaktadır.  Bunlar sırası ile

Client: Bu policy uygulanmış olan bir bilgisayar, karşı taraftan herhangi bir istek gelmediği sürece IPSec li bir görüşme yapmaz, ancak karşı taraf IPSec önerirse cevap verir.

Server = Bu policy atanmış bir bilgisayar ( server olması şart değil ) iletişim kurmak isteyen herkesten öncelikle IPSec li bir görüşme talep eder, ancak karşı tarafta herhangi bir atanmış IPSec policy si yok ise, yani IPSec li görüşme yapma imkanı yok ise IPSec siz görüşmeye başlar.

Secure Server = Bu policy atanmış bir bilgisayar ( server olması şart değil ) iletişim kurmak isteyen herkesten IPSec li bir görüşme talep eder, eğer karşı taraf buna cevap veremez ise , görüşme sağlanamaz . Yani iletişim için IPSec şarttır.

IKE (Internet Key Exchange)

IPSec yapacak iki bilgisayar, IPSec li bir görüşme yapmadan önce IPSec standartları üzerinde bir anlaşmaya varır, buna; Security Association- SA denir, IKE nin görevide bu anlaşmayı yapmak ve yönetmektir.

IPSec Driver

Bilgisayara gelen paketlerin, bu bilgisayarda tanımlı olan IPSec Policy ile uyumlu olup olmadığını kontrol eder. Paketler uyumlu ise OSI nin daha üst katmanlarına doğru paket yol alır, uyumlu değil ise paket kabul edilmez.

 

IPSec driverını Disable etmeniz halinde IPSec çalışmayacaktır. IPSec driverını görmek için, aygıt yöneticisini açmalı, view menüsün den “show hiddin devices” seçeneğini seçmelisiniz

image005

 

Peki, IPSec bizi hangi saldırılardan hangi yöntemler ile korur?

Saldırı

DoS (Denial-of-Service)  =  Hizmet kesintisi amaçlı dağınık bölgelerden yapılan saldırılardır. Burada amaç hedef sistemden veri çalmak değil sadece sistemi “down” yaparak servis kesintisine uğratmaktır. ( link : http://en.wikipedia.org/wiki/Denial-of-service_attack )

Man-in-the-middle = Network üzerinden taşınan paketlerin yakalanarak , paketlerin içeriğinin okunması ( link : http://en.wikipedia.org/wiki/Man_in_the_middle_attack )

Spoofing  = IP , DNS , ARP vb çeşitleri vardır , amaç saldırganın kendisini gizlemesi veya gönderilen ip paketlerinde bulunan hedef ip adresi yerine üçüncü şahısın istediği bir ip adresine yönlendirme . ( link : http://en.wikipedia.org/wiki/Spoofing_attack )

Network Sniffing = Ağ ortamında hareket eden verilerin değişik programlar ile yakalanarak incelenmesidir. Yakalanan paketler üzerinde yapılacak çalışma ile network üzerinden her türlü veriye ulaşmak mümkündür.

Replay = Gönderilen paketlerin tekrar bize veya düzenli olarak bir noktaya gönderilmesi sonucu network yoğunlu ve kesilmeleri oluşacaktır.( link : http://en.wikipedia.org/wiki/Replay_attack )

Koruma

 

Authentication Header (AH) Protokolü = IPSec in temel üç görevinden sadece ikisini yerine getirir. Kimlik doğrulama ve veri bütünlüğü

Encapsulating Security Payload (ESP) Protokolü  = IPSec in temel üç görevinden üçünü de yerine getirir.

 

Bu rolleri ise detaylı olarak aşağıdaki şekilde açıklamak isterim;

Veri gizliliği  

Ağ üzerinden taşınan verilerin 3. şahıslar tarafından ele geçirilerek verilerin okunmasını engellemektedir. Yani verileri şifreleyerek ele geçirilen verilerin okunmaz bir hal almasını sağlar, bu sayede veri gizliliğini yerine getirmiş olur.

Ip Sec bu işlemi gerçekleştirmek için DES veya 3DES kullanmaktadır. ( DES = Data Encryption Standard, 3DES = Triple DES ) . Amacımız veriyi üçüncü şahıslardan korumak olduğu için, verinin ele geçmesi halinde dahi okunmamasını sağlamaktır. Bu nedenle DES elimizdeki veri paketlerini şifreleri hale getirir. Bu işlem sırasına; veri paketleri 64bit lik parçalara bölünür ve DES bunları şifreleyerek şifrelenmiş 64bit lik parçalar elde eder. 3DES te ise her bir parça 3üç kere şifrelendiği için daha güvenli olur. DES 56bit lik bir anahtar kullanır.

 

Ek bilgi ;

Şifreleme Algoritmaları Simetrik ve Asimetrik olmak üzere ikiye ayrılır;

Eğer elinizdeki anahtar ile hem veriyi şifreliyor hem de açıyorsanız bu simetrik bir algoritma dır . Ama elinizdeki anahtar ile veriyi şifreliyor, ancak açmak için farklı bir anahtar kullanıyorsanız o zaman bu asimetrik bir algoritma’dır.

Simetrik

— DES

— DESX

— 3DES

— AES (Advanced Encryption Standard)

Asimetrik

— RSA

 

Veri Bütünlüğü

Veri bütünlüğü çok kez veri gizliliği ile karıştırılır. Ancak veri bütünlüğündeki amaç; üçüncü şahısların eline geçen bize ait olan verinin değiştirilip tekrar karşı tarafa gönderilmesini engellemektir. Yani üçüncü şahıslar bu veriyi okuyabilir, bu veri gizliliği ile alakalı bir durumdur, ama verinin değiştirilmesi de son derece tehlikeli bir durumdur.

Bir örnek ile açıklamak gerekir ise; Yurt dışında üretim yapan kurumsal bir firma, yurt içindeki ofisinden üretim siparişlerini mail aracılığı ile yollamaktadır. Böyle bir firmanın gönderdiği mail de bulunan 1000 adetlik ürün siparişine, bizim araya girerek bir sıfır eklememiz bu firma için ciddi sorunlar doğuracaktır, o denenle veri gizliliği gibi veri bütünlüğü de çok önemli bir konudur.

Peki, IPSec veri bütünlüğünü nasıl koruyor? IpSec veri bütünlüğünü korumak için temelde hash fonksiyonlarını kullanır. Bu temel hash fonksiyonları; MD5 ve SHA–1 ‘ dir.

Bu hash fonksiyonlarındaki temel amaç, verinin değiştirilmesini engellemektir.  Bunun için elimizdeki verileri sabit bir parametre ( anahtar ) ile çarpıp sonuçlar elde ederiz. IPSec ile görüşen her iki tarafta bu parametreden haberdar olduğu için, mesajın değişmesi, çarpımın sonucunu değiştireceği ve beklenen paketler ile tutarsızlık oluşturacağı için, mesaj kabul edilmez.

Temel olarak yukarıdaki eylemi iki farklı hash fonksiyonu ile yapabiliriz. Bunların arasındaki temel farklıklar ise;

MD5 = verileri 512 bit lik parçalar halinde alarak 128 bit lik bir çıktı oluşturur.

SHA–1 = verileri 512 bit lik parçalar halinde alarak 160 bit lik bir çıktı oluşturur.

 

Kimlik Doğrulama

 

IPSec; birbiri ile görüşen makinelerin kimliklerini doğrulamasını sağlayarak güvenliği arttırmış olur. Bu sayede iletişim kurduğunuz makinenin gerçekten ulaşmak istediğiniz makine olduğundan emin olursunuz.

IPSec kullanan iki makine IPSec trafiğini başlatabilmesi için aynı kimlik doğrulama metotlarını kullanması gerekmektedir.

IPSec in desteklediği temel 3 kimlik doğrulama yöntemi bulunmaktadır.

— Kerberos Authentication 

— Certificate Authority 

— Preshared Key

 

Kerberos Authentication 

Bir Active Directory Domain yapısında kullanılan temel kimlik doğrulama yöntemidir. Windows 2000 ile beraber geliştirilmiş ve günümüzde çok güvenilir olduğu kabul edilen Kerberos, IPSec yapacak ve aynı domain ortamında olan istemciler için yüksek güvenlik sağlamaktadır.

 

Certificate Authority 

Ortamda bulunan yetkili bir sertifika dağıtıcısı tarafından dağıtılan sertifikalar ile gerçekleştirilen kimlik doğrulama yöntemidir. Temelde her iki bilgisayarında güvendiği bir Sertifika dağıtıcısından alınan sertifikalar, bu bilgisayarların kimlik bilgilerinin karşı tarafta doğrulanmasını sağlar.

 

Preshared Key

Yetkili bir merci veya dağıtıcı olmadan, sadece IPSec ile görüşecek olan makinelerin kendi aralarında görüşmek için belirledikleri ortak bir anahtar kullanımı esasına dayanır. Her iki tarafta iletişim için bir anahtar belirler ve bu ortak anahtarın tutması sayesinde kimlik doğrulama gerçekleşmiş olur.

IPSec in 3 temel görevini inceledikten sonra bu görevleri yerine getirecek olan iki IPSec modelini inceleyelim ( Authentication Header (AH) Protokolü ve  Encapsulating Security Payload (ESP) Protokolü )

Authentication Header (AH) Protokolü

Temel olarak Kimlik doğrulama ve veri bütünlüğü sağlar, ancak veri şifreleme desteği yoktur. AH normal bir ip paketinde IP Header, yani paketin nereden nereye gideceğini belirleyen bölüm ile veri bölümü arasına yerleşir, böylece verileri ( MD5 veya SHA–1 yardımı ile ) imzalayarak güvenli bir iletişim sağlar.

 

image006

 

Encapsulating Security Payload (ESP) Protokolü

Temel olarak kimlik doğrulama, ver, bütünlüğü ve veri şifrelemeyi sağlar. Bu nedenle eğer şirketinizde tam bir güvenlik istemeniz halinde kullanacağınız IPSec yöntemi ESP olacaktır. ESP de IP paketini aşağıdaki şekilde değiştirir.

 

image007

 

Bu iki yöntemden herhangi biri sayesinde şirketinizdeki ağ trafiğini güvenli bir yapıya kavuşturmuş olursunuz.

IPSec in güvenlik için bu kadar avantajı varken neden herkes tüm iletişimi IPSec ile yapmaz? işte bu önemli bir soru dur. Evet IPSec güvenlik için önemli bir çözümdür, ancak bir bilgisayarda IPSec çalıştırılması ve bütün trafiğin IPSec lenmesi o bilgisayarda işlemci ve Ethernet kullanımın arttıracak ve bu bilgisayar performansında düşüş, ağ trafiğinde ise bir artışa neden olacaktır. O zaman IPSec policy lerini hangi makineler arasında uygulamalıyız? IPSec bizim için çok önemli olan server lar arasında, veya yine önemli olan server lar ile yönetici makineleri arasında uygulanmalı. Bu sayede network üzerinde sniff yapan üçüncü şahış, bir domain user ın şifresini yakalasa bile, yöneticilerin şifrelerini veya server ların arasında yönetici hakları ile çalışan servislerin şifrelerini alamayacaktır. Ancak gerek server larınız güçlü, gerek network yapınız gigabit lik ise tabiî ki bütün makinelerin arasında IPSec uygulayabilirsiniz. Bu tamamen güvenlik politikanız ve elinizdeki kaynaklar ile ilgilidir.

Güvenli günler dileği ile.

 

Makalemin ikinci bölümü tamamen uygulama ağırlıklı olup, şirket içerisinde nasıl IPSec policy uygulanacağını anlatmaya çalışacağım.

Hakan UZUNER