Windows 2000?de IPSec
Bu makalemizde IPSec protokolünü genel hatlarıyla ele alıp, Windows 2000 ortamında IP trafiğinin güvenliğinin IPSec kullanarak nasıl sağlanacağını ve IPSec?in paket filtreleme özelliğinin nasıl kullanılabileceğini örnek bir network tasarımı yardımıyla adım adım açıklayacağız.
-IPSec Nedir?
IPSec, ağ üzerindeki IP trafiğinin güvenliğini sağlamak üzere Internet Engineering Task Force (IETF) tarafından geliştirilmiş bir protokoldür. IPSec ile alakalı olarak toplam 12 tane RFC (Request for Comments) tanımlanmıştır. (IPSec ile alakalı RFC numaraları 2401 ile 2412 arasındadır). IPv4 geliştirilirken güvenlik göz ardı edildiğinden ve günümüz ağları (Internet dahil) halihazırda halen IPv4?ü kullandığından, IPv6?da güvenlik protokolü olarak kullanılan IPSec, IPv4 ağlarına da uyarlanabilecek şekilde geliştirilmiştir. Günümüzde Windows 2000/XP, NetWare 6, Solaris 9 gibi birçok işletim sistemi ve yönlendiriciler IPSec protokolünü destekler.
IPSec, adından da anlaşılacağı gibi OSI referans modelinin IP katmanında çalışır ve mevcut uygulamalarınızda herhangi bir değişiklik yapmadan güvenli bir IP trafiği sağlar. Örneğin SSL kullanarak veri güvenliğini sağlamak istiyorsanız bu durumda kullandığınız yazılımın SSL tabanlı olması gerekir. IPSec kullanarak sadece IP trafiğinin güvenliğini değil, TCP, UDP, ICMP gibi üst katman protokollerinin verilerinin de güvenliğini sağlayabilirsiniz.
IPSec güvenlik mimarisi, uçtan uca (end to end) bir güvenlik modelidir. Yani sadece iletişimde bulunan iki uç noktanın IPSec kullanması yeterlidir. Diğer bir değişle,veri iletimi sırasında kullanılan ağ cihazlarının (örneğin yönlendiriciler (router), anahtarlar (switch), köprüler (bridge)) IPSec kullanacak şekilde konfigüre edilmesine gerek yoktur. Bu da, mevcut ağ altyapınızda herhangi bir değişiklik yapmadan IPSec?i kullanmanıza imkan sağlar.
IPSec?i iki farklı modda kullanabilirsiniz. Bunlar Transport Mode (client-to-client) ve Tunnel Mode (Gateway-to-Gateway) modlarıdır. Şimdi bu modları inceleyelim.
Transport Mode: Bu mod, aynı yerel ağda bulunan iki istemci arasındaki iletişimi korumak için kullanılır. Örneğin aynı LAN?da bulunan iki Windows 2000 Workstation istemcisi arasındaki trafiği korumak için IPSec Transport modda kullanılır. Bu modda her iki istemcinin de ağ protokolü olarak TCP/IP protokolünü kullanmaları gerekir.
Tunnel Mode : Bu mod, sadece ağ geçitleri (gateway) arasındaki trafiğin korunması esasına dayanır. Bu modda paketler ağ geçidinden çıktıkları zaman şifrelenir ve hedef ağın ağ geçidine vardıklarında şifreleri çözülür. Bu modda iki ağ geçidi arasında bir tünel oluşturulur ve istemciden istemciye olan iletişim tünel protokolü kullanılarak enkapsüle edilir. Tüneller, IPSec kullanılarak oluşturulabileceği gibi, IPSec ve L2TP (Layer Two Tunneling Protocol) protokollerinin birlikte kullanıldığı bir VPN (Virtual Private Networking) bağlantısı kurmak için de kullanılabilir. Bu modda kaynak ve hedef istemci bilgisayarların IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, ağ geçidi olarak bir tünel server, router, firewall veya VPN cihazı kullanılabilir.
NOT
| IPSec hakkında daha fazla bilgi ve IPSec teknolojisini tanımlayan RFC?ler için www.ietf.org/html.charters/ipsec-charter.html adresini ziyaret edebilirsiniz.
|
|
|