Önceki makalemin devamı
niteliğindeki bu makalede de Vista Firewall aracının yeniliklerine
değineceğim. Önceki makalede Firewall aracın yenilikleri ile inbound ve
outbound exception (istisna) rule?lerin nasıl oluşturulduğundan
bahsetmiştim. Burada da Vista Firewall aracı ile bütünleşik gelen,
Conncection Security Rule sihirbazı ile iki host arasında güvenli
iletişim (IPSec) kurmak için nasıl bir yol izleyeceğimize değineceğim.
Resim 1
Bu işlemi yapmak için sırasıyla Start > Control Panel >
Administrative Tools yolunu izleyerek Resim 1?de görünen Windows
Firewall with Advanced Security arayüzünü açalım. Connection Security
Rules taşıyıcısına tıkladığımızda menünün sağ tarafında bulunan New
Rule linki yardımı ile sihirbazımızı başlatalım.
Resim 2
Sihirbazın ilk menüsünde oluşturacağımız kuralın amacını belirtmemiz
gerekiyor. Burada, hostlar arası iletişimi engellemek için Isolation,
bir kural ile iletişimi engellenmiş host grubu arasından bir host?la
iletişim kurmak için yani kural dışı istisna tanımlamak için
Authentication excemption, iki host arası güvenli iletişim için
Server-to-server, Gateway?ler arasi güvenli iletişim (ör: L2TP VPN)
kurmak için Tunnel ya da gelişmiş konfigürasyonlar yapmak için Custom
kurallarından birini seçebiliriz. Amacımız iki host arası güvenli
iletişim kurmak olduğundan Server-to-server seçeneği uygun olacaktır.
(Resim 2)
Resim 3
İkinci adımda ise hangi host?lar arası güvenli iletişim kurmak
istediğimizi belirtiyoruz. Resim 3?de görüldüğü üzere tek bir host
belirleyebileceğimiz gibi birden fazla host grubu veya network
belirleme şansımız da var.
Resim 3
Sonraki adımda kuralımızın hangi şartlar altında işleyeceğini
belirtiyoruz. ?Request authentication for inbound and outbound
connections? seçeneği ile güvenli bir iletişim teklif edilir fakat
karşı taraf bunu istemezse iletişim normal yollarla gerçekleşir.
?Require authentication for inbound connections and request
authentication for outbound connections? seçeneği ile gelen bağlantılar
için güvenli iletişim şartı aranır, giden bağlantılarda güvenli
iletişim teklif edilir fakat kabul görmezse iletişim normal yollarla
gerçekleşir. ?Require authentication for inbound and outbound
connections? seçeneği ile her iki yönde de güvenli iletişim şartı
aranır aksi halinde iletişim gerçekleşmez. Amacımıza uygunluğu
açısından son seçeneği işaretleyerek devam ediyoruz. (Resim 3)
Resim 4
Bir sonraki adımda ise hostların karşılıklı olarak gerçekleştireceği
kimlik doğrulama metodunu belirliyoruz. Burada, Computer certificate
seçeneği ile her iki host?un güvendiği bir CA?in (Sertifika otoritesi)
sertifikasını kullanarak, Preshared Key seçeneği ile iki host arasında
önceden belirlenmiş bir anahtar kelime kullanarak ya da Advanced
seçeneği ile gelişmiş bir veya birden fazla kimlik doğrulama yöntemini
(Kerberos, NTLM vs.) kullanarak iletişim gerçekleşmesi sağlayabiliriz.
Preshared Key seçeneği CA?nın ve bir domain yapısının bulunmadığı
ortama uygun bir seçenek olacaktır. (Resim 4)
Resim 5
Bu adımda ise kuralımızın hangi firewall profili ile birlikte
kullanılacağını seçiyoruz. Tercihen bir veya birden fazla profili
seçebiliriz. (Resim 5)
Resim 6
Sihirbazın son adımında kuralımız için bir isim ve açıklama belirtiyoruz. (Resim 6)
Resim 7
Kuralımızın son halini Resim 7?deki şekli ile görebiliyoruz.
Resim 8
Oluşturmuş olduğumuz kural ile belirli host ve/veya network?ler ile
nasıl iletişim kuracağımızı belirlemiş olduk. Firewall aracının giriş
menüsünde bulunan Windows Firewall Properties linki ile
ulaşabileceğimiz konfigürasyon menüsünde, gerçekleşecek IPSec
bağlantılarında kullanılacak anahtar değişimi, veri şifreleme ve kimlik
doğrulama işlemleri için kullanılacak yöntemleri belirleyebiliyoruz.
(Resim 8)
Resim 9 ve 10
Dilersek, ipsec bağlantısı için gerçekleşecek anahtar değişimi
sırasında veri doğrulama (integrity) ve veri güvenliği (encryption)
konfigürasyonlarını ayrıntılı bir şekilde düzenleyebilir, farklı
algoritmalar kullanılmasını sağlayabiliriz. Buradaki varsayılan
metodlar; veri doğrulama için SHA1, veri güvenliği için AES-128
algoritmalarıdır. Burada göz önündebulundurulması gereken bir durum
vardır; algoritmaları seçerken Vista öncesi işletim sistemlerinin
kullanabileceği algoritmalara uyumlu olmalarına dikkat etmemiz
gerekmektedir. Aksi halinde iletişim gerçekleşmeyecektir. Örneğin Vista
ipsec bağlantısında veri güvenliği için AES algorimasını desteklemekte
fakat XP sadece DES ve 3DES algoritmalarını kullanabilmektedir. (Resim
9 ve 10)
Resim 11 ve 12
Aynı şekilde, ipsec bağlantısı esnasında gerçekleşecek veri
doğrulama ve veri güvenliği için kullanılacak metodları da ayrıntılı
olarak yapılandırabiliyoruz. Buradaki varsayılan protokol ESP
(Encapsulation Security Payload) ve bu protokolün kullandığı veri
doğrulama metodu yine SHA1, veri güvenliği metodu da AES-128?dir.
Dilersek, veri doğrulama metodu olarak AH (Authentication Header) ve
ESP protokollerini birlikte kullanabiliriz. (Resim 11 ve 12) Konu
hakkında ayrıntılı bilgi http://www.microsoft.com/technet/network/security/ipsecarc.mspx adresinden alınabilir.
Resim 13
Farklı kimlik doğrulama yontemleri için de ayrıntılı yapılandırma
sözkonusudur. Resim 8?de görüldüğü üzere kullanıcı ve/veya bilgisayar
için kerberos, preshared key ve sertifikalı kimlik doğrulama
yöntemlerini ayrı ayrı kullanabileceğimiz gibi birden fazla kimlik
doğrulama yöntemini de birlikte kullanıp güvenliği maksimum seviyeye
çıkarabilme olanağımız da vardır. Burada, iki adımda kimlik doğrulaması
yapabilir her adım için farklı yöntemleri (NTLMv2, Kerberos v5, User ve
Computer sertifikası) kullanabiliriz. Aynı zamanda bu iki adımdan
birini opsiyonel olarak da belirleyebiliriz. (Resim 13)