IPSec ile Local Firewall

 

    Şirketler artan teknoloji kullanımıyla beraber güvenlik için ayırdıkları fonu da büyütmek zorunda kaldılar. Hardware-based firewallar veya farklı 3rd party yazılımlarla güvenlik için farklı stratejiler belirleniyor. Bunu gören Microsoft Windows işletim sistemlerine artık firewall eklemeye başladı. Fakat bazı yönleri eksik kalan servis yerine daha farklı özelliklere sahip Ipsec firewall olarak kullanılabilir. Ipsec üzerinden firewall yapmanın bize getirilerinden bazıları;

 

-Source ve Destination port belirleyip bir ip adresine tanımlama yapılabiliyor.

—Sunucu çıkış trafiğine de engel koyulabiliyor.

—MMC üzerinden çalıştığı için kaydedilebiliyor. Ve farklı sistemlere import edilebiliyor.

 

Dezavantajları;

—Herhangi bir loglama sistemi bulunmuyor. (dropped paketler gibi)

—Bir prosessi firewall üzerinde tanımlayamıyorsunuz.

Bu genel bilgilerden sonra lafı fazla uzatmadan uygulama kısmına geçiyorum…

Öncelikle IPSec yönetimi için MMC’yi açıyoruz.

 

image001

 

MMC’de Ctrl+M daha sonra Alt+D ye basıp Ip Security Policy Mngmt. Açıyoruz.

 

image002

 

 

 

image003

 

 

Manage IP filter lists and filter actionsu seçiyoruz.

 

 

image004

 

 

Bu kısımdan kendimize engelleme actionu ekleyeceğiz bunun için Manage Filter Actions seçiyoruz.

 

 

image005

 

 

 

image006

 

 

Block seçiyoruz. Ve finish deyip bitiyoruz. Böylece tüm kuralları engelleyebileceğimiz bir action oluşturmuş olduk.

 

 

image007

 

 

Actionu oluşturduk şimdide Kuralı oluşturacağız. Create IP Security Policy seçiyoruz.

 

 

image008

 

 

İsim giriyoruz.

 

 

image009

 

 

Kerberos seçiyoruz. Gelen uyarıya Yes deyip geçiyoruz.

 

 

image010

 

 

Bu kısımda Add deyip yeni kural yazacağız.

 

 

image011

 

 

Tunnel belirtebiliyoruz. Firewall açarken buna ihtiyacımız yok.

 

 

image012

 

 

All network connection seçiyoruz.Böylece farklı subnetlerden gelenler ve localimizden gelenler için geçerli olacak.

 

 

image013

 

 

Bu kısımda All IP Traffic seçiyoruz. Edit’e basıyoruz.

 

 

image014

 

 

All Ip traffic için bir filtre belirleyeceğiz. Burası bizim bütün kuralları engelleyeceğimiz yer olduğu için Add deyip herşeyi Any seçiyoruz.

 

 

image015

 

 

Next deyip sonraki ekrana geçiyoruz. Sonraki ekranda engelleyi seçip finish diyoruz.

 

 

image016

 

 

Böylece bütün kurallar için iletişimi engellemiş olduk. Şimdi nelere izin vereceksek onları belirleyeceğiz. Add diyoruz.

 

 

image017

 

Next…

 

image018

 

LAN seçersek aynı subnettekiler için geçerli olur. Remote farklı subrettir. Bize ne lazımsa onu seçiyoruz.

 

image019

 

Next ve Yes diyoruz.

 

image020

 

 

Ip Filter List seçip Edit diyoruz.

 

image021

 

Add deyip izin vereceğimiz kuralı belirliyoruz.

 

image022

 

Alttaki mirrored tiki işaretli olursa oluşturduğumuz kuralın tam tersi de yazılmış olur.

Örneğin 10.10.10.10 için 21 portumuzu açarsak aynı şekilde 10.10.10.10 ipsine 21 portundan çıkışı da açmış oluruz ki buna ihtiyacımız varsa yaparız.

 

Örnek yaparak açıklayalım;

Add diyoruz desc kısmına açıklama yazılabilir alttaki mirrored tikini kaldırıyoruz.Next diyoruz. Gelen ekranda kaynak soruyor A specified ip adres diyoruz ve alt kısma ip adresini giriyoruz.(10.10.10.10) Next diyoruz. Hedef ip adresini soruyor burada hedef My ip adres olacak. Yani bizim bilgisayarımızın ip adresi. Next diyoruz. Protokol giriyoruz. TCP seçip devam diyoruz. Burada from port karşı makinenin bize gelirken makineden çıktığı porttur. Alttaki ise bizim sunucumuza hangi portla geldiği oluyor. Yani ftp sunucumuza gelirken karşı makine rasgele bir porttan çıkış yaptığı için üstteki any de kalıyor. Fakat alttaki any kısmını 21 yapıyoruz. Ve finish deyip bitiriyoruz.  Aşağıdaki gibi yazdığımız kural eklenir. Diğer kuralları da Add diyerek ekliyoruz. Aynı şekilde sadece ip seçip protokol oalrak any seçersek o ip için tüm portlara izin verilmiş olur.

 

 

image023

 

 

Unutulmaması gereken önemli bir nokta var ipsec firewall gibi değildir. Engel için rule yazdığımızda sunucudan dışarıya çıkan paketleri de engellemiş olduk. Bu yüzden sunucunun dışarıda erişmesi gereken yerlere de izinleri tanımlamamız gerekiyor.

Bu şekilde farklı tiplerde izinler yazabiliriz. Bütün kuralları bitirdikten sonra Ok ile çıkıp gelen ekranda next diyoruz ve Permit seçiyoruz Böylece Yazdığımız kurallara izin actionu (permit) tanımlamış olduk.

 

 

image024

 

Sadece birkaç porta izin vermiş ve diğer bütün portları engellemiş olduk.

 

 

image025

 

Bu ayarları aktif hale getirmek için oluşturduğumuz kurala gelip Assign diyouz.

 

 

image026

 

 

Son olarak Policy Assigned kısmında Yes görüyorsak artık sadece belirlediğimiz portlardan makineye erişim sağlanabiliyor. Böylece IPSec ile Local Firewall oluşturmuş olduk.

Export ve Import Yapmak için;

Sol menüden Ip Security Policies’e gelip sağ tıklıyoruz ve Export ve Import Policies seçerek işlemleri yapıyoruz. Başka bir makalede görüşmek dileğiyle…

Talha DEMİREZEN