site stats
IPSec En iyi yöntemler | Güvenlik
Anasayfa  E Ner(E)de ?  Hata Gönder
Loading

IPSec En iyi yöntemler

Yazar: Tarih: Ekim 20, 2010 · Yorum Yap  , Kategori: Güvenlik
Etiketler: , , , , , , , , ,

IPSec En iyi yöntemler

En iyi yöntemler

IPSec dağıtım planı oluşturma.Dağıtım planı aşağıdaki noktaları göz önünde bulundurmalıdır: IPSec’in kullanımını gerektiren dağıtım senaryoları (örneğin sunucudan sunucuya veya uzaktan erişim), her senaryo için gerek gördüğünüz güvenlik düzeyi, güvenlik altına alınacak veri türleri, güvenlik altına alınacak bilgisayarlar, güvenlik altına alınacak fiziksel bağlantılar, IPSec ilkelerini yönetecek kişi ve IPSec dağıtıldıktan sonra son kullanıcılar için devamlı destek ve sorun gidermeyi nasıl sağlayacağınız. Dağıtım planı ayrıca, ağın belli türde saldırılara karşı zayıflığı, Active Directory’nin kullanımı ve güvenliğin Grup İlkesi nesnelerine nasıl uygulandığı gibi daha geniş kuruluş güvenlik sorunlarını da hedeflemelidir.IPSec güvenlik planlaması hakkında daha fazla bilgi için, bkz: IPSec güvenlik planı oluşturma.

Active Directory hakkında daha fazla bilgi için, bkz: Active Directory’ye Genel Bakış.
Her dağıtım senaryosu için IPSec ilkeleri oluşturun ve sınayın.IPSec’i üretim ortamında dağıtmadan önce, IPSec ilkelerini gerçekçi bir laboratuar ortamında sınayın. Gerçekçi performans verileri elde etmek için, programlarda standart iş yükleri çalıştırın. İlk sınamalar sırasında, paket içeriklerini Ağ İzleyici’yle görüntüleyin veya paket içeriklerini sınama ortamları için görüntülemek üzere boş şifreli Kimlik Doğrulama Üst Bilgisi (AH) veya Şifreleme Güvenlik Yükü (ESP) kullanın.
Önceden paylaşılmış anahtarlar kullanmayın.Gelişmiş güvenlik için, önceden paylaştırılmış anahtar kimlik doğrulamasının kullanılması önerilmez çünkü bu diğerlerine göre zayıf bir kimlik doğrulama yöntemidir. Ayrıca, önceden paylaşılmış anahtarlar düz metin olarak depolanır. Önceden paylaşılan anahtar kimlik doğrulaması, karşılıklı kullanılabilirlik amacıyla ve IPSec standartlarına bağlı kalmak için sağlanır. Önceden paylaşılmış anahtarları yalnızca sınama için kullanmanız ve üretim ortamında sertifika veya Kerberos V5 kullanmanız önerilir.Daha fazla bilgi için, bkz: Önceden paylaştırılmış anahtar doğrulaması.
Diffie-Hellman Grup 1′i (düşük) kullanmayın.Gelişmiş güvenlik için, 768 bitlik anahtarlama gücü sağlayan Diffie-Hellman Grup 1’i kullanmayın. En yüksek düzeyde güvenlik için, 2.048 bitlik anahtarlama gücü sağlayan Grup 2048’i (yüksek) kullanın. Windows 2000 ve Windows XP ile birlikte çalışma gerektiğinde 1.024 bitlik anahtarlama gücü sağlayan Grup 2′yi (orta) kullanın. Sağlam Diffie-Hellman grupları daha uzun anahtarlarla birlikte kullanıldığında, gizli anahtarı belirleme için yapılan hesaplamaların zorluğunu artırır.Daha fazla bilgi için, bkz: Anahtar değişimi yöntemleri.

Not

Diffie-Hellman Grup 2048 yalnızca Windows Server 2003 ailesiyle birlikte sağlanır.

 
Daha güçlü şifreleme için Üçlü Veri Şifreleme Standardı (3DES) algoritması kullanın.Gelişmiş güvenlik için, IPSec ilkelerinin anahtar değişimi güvenlik yöntemlerini yapılandırırken, DES’ten daha güçlü bir şifreleme algoritması olan 3DES’i kullanın.Anahtar değişimi güvenlik yöntemlerinin nasıl yapılandırılacağı hakkında bilgi için, bkz: Anahtar değişimi güvenlik yöntemleri oluşturma.

Not

Windows 2000 çalıştıran bilgisayarların 3DES algoritmasını kullanabilmesi için Yüksek Düzeyli Şifreleme Paketi veya Service Pack 2 (veya üst sürümü) yüklü olmalıdır. Windows 2000 çalıştıran bir bilgisayar bir 3DES ayarı alırsa, ancak High Encryption Pack veya Service Pack 2 (veya üst sürümü) yüklü değilse, güvenlik yöntemindeki 3DES ayarı, iletişimi tamamen engellemek yerine, belli bir düzeyde gizlilik sağlamak için daha zayıf DES’e ayarlanır. Ancak DES’i yalnızca, ortamınızdaki tüm bilgisayarlar 3DES kullanımını desteklemiyorsa düşürme seçeneği olarak kullanmalısınız. Windows XP veya Windows Server 2003 işletim sistemini çalıştıran bilgisayarlar 3DES’i destekler ve High Encryption Pack’in yüklenmesini gerektirmezler.

 
Hatasız güvenlik için kalıcı bir IPSec ilkesi oluşturun ve atayın.Güvenliği artırmak için, yerel bir IPSec ilkesi veya Active Directory tabanlı IPSec ilkesi uygulanamıyorsa, bilgisayarları güvenli duruma getirmek için kalıcı bir IPSec ilkesi oluşturun ve atayın. Kalıcı bir ilke oluşturup atadığınızda, bu ilke, yerel ilkeden veya Active Directory tabanlı ilkeden önce uygulanır ve yerel ya da Active Directory tabanlı ilkenin uygulanıp uygulanmadığını dikkate almadan etkisini sürdürür (örneğin IPSec ilkesi, bozulmuşsa uygulanmaz).Not

Bu özelliği IP Güvenliği İlke Yönetimi konsolunda yapılandıramazsınız. Bu özelliği yapılandırmak için Netsh IPSec komut satırı aracını kullanmalısınız. Daha fazla bilgi için, bkz: Internet Protokolü güvenliği için Netsh komutları.

 
Internet’e bağlı bilgisayarlar için, sertifika istekleriyle birlikte sertifika yetkilisinin (CA) adını göndermeyin.IPSec eşleri arasında güven oluşturmak için sertifika kimlik doğrulaması kullanıldığında, her IPSec eşi diğer eşe, kimlik doğrulaması için kendisinden sertifika kabul ettiği güvenilir kök CA’larının bir listesini gönderir. Bu CA adlarının her biri bir sertifika isteği bilgisi (CRP) olarak gönderilir ve güven oluşturulmadan önce gönderilmelidir. Bu listeyi aktarma, CA seçimini kolaylaştırarak bağlantı konusunda yardımcı olsa da, bir bilgisayarın güven ilişkileriyle ilgili önemli bilgilerini kötü niyetli kişiler için açığa çıkarabilir; bilgisayarın sahibi olan şirketin adı ve bilgisayarın etki alanı üyeliği (dahili genel anahtar altyapısı kullanılıyorsa) bu bilgilere örnek olarak gösterilebilir. Bu nedenle, Internet’e bağlı bilgisayarların güvenliğini sağlamak için, CA adını sertifika isteğinin dışında bırakacak seçeneği etkinleştirin.
Internet’e bağlı bilgisayarlar için, Kerberos’u bir kimlik doğrulama yöntemi olarak kullanmayın.Kerberos V5 kimlik doğrulaması kullanıldığında, ana mod anlaşması sırasında, IPSec eşi kendi bilgisayar kimliğini diğer eşe şifresiz biçimde gönderir. Ana mod anlaşmasının kimlik doğrulaması aşamasında, tüm kimlik bilgileri şifreleninceye kadar bilgisayar kimliği şifrelenmez. Saldırgan, yanıt veren IPSec eşinin bilgisayar kimliğini ve etki alanı üyeliğini açıklamasına neden olacak bir Internet Anahtar Değişimi (IKE) paketi gönderebilir. Internet’e bağlı bilgisayarların güvenliğini sağlamak için, sertifika kimlik doğrulaması önerilir.Daha fazla bilgi için bkz: Kimlik doğrulama yöntemleri.
Internet’e bağlı bilgisayarlar için, güvenli olmayan iletişime izin vermeyin.IPSec güvenlik anlaşması için bir filtre eylemi yapılandırırsanız, Internet’e bağlı bilgisayarların güvenliğini sağlamak için aşağıdaki seçeneklerin devre dışı bırakıldığından emin olun.

Güvenli olmayan iletişimi kabul et ancak her zaman IPSec kullanarak yanıtla. Bu seçenek başlangıçtaki gelen güvensiz trafiğe izin verir (örneğin TCP SYN paketleri) ancak giden trafiğin korunmuş olmasını gerektirir. Hizmeti geri çevirme saldırılarını önlemek için bu seçenek devre dışı bırakılmalıdır.
IPSec tanımayan bir bilgisayarlarla güvenli olmayan iletişime izin ver. Bu seçenek IPSec kullanılmasıyla ilgili anlaşma yapamayan veya IPSec güvenliği altındaki iletişimleri işleyemeyen bilgisayarlar için güvenli olmayan iletişimlere izin verir ve yalnızca IPSec güvenliğindeki iletişimin gerekli olmadığı ortamlar için uygundur.Daha fazla bilgi için, bkz: Süzme eylemi.

 
Kuruluşunuzda yönetici kimlik bilgilerinin kullanımını kısıtlayın.Yerel Administrators grubu üyeleri kendi bilgisayarlarındaki IPSec ilkesi ayarlarını görüntüleyebilir ve bunlarda değişiklik yapabilirler. Bu nedenle ve genel güvenlik açısından en iyi yöntem olarak, kuruluşunuzdaki son kullanıcıların en düşük ayrıcalık ilkesini kullanmasını sağlayın.Güvenlikle ilgili genel en iyi yöntemler hakkında bilgi için, bkz: güvenlik için Güvenlik için en iyi yöntemler.
Aynı IPSec ilkesini Windows işletim sisteminin farklı sürümlerine uygularken, ilkeyi ayrıntılı olarak sınayın.Windows Server 2003 ailesindeki IPSec uygulamasında bulunan pek çok özellik, Windows 2000 veya Windows XP işletim sistemlerinde bulunmaz. Bu yeni özellikler şunları kapsar:

Daha güçlü bir Diffie-Hellman grubu (2.048 bitlik Diffie-Hellman anahtar değişimi).
IPSec ilkesi filtrelerinin, yerel IP yapılandırması için mantıksal adreslere izin verme yeteneği.
Varsayılan IPSec filtrelemesinde varsayılan olarak dışarıda bırakılan trafiğin kaldırılması (artık yalnızca Internet Anahtar Değişimi trafiği varsayılan olarak dışarıda bırakılır)
Sertifika yetkilisinin (CA) adını sertifika isteğinin dışında bırakma yeteneği.

Aynı IPSec ilkesinin, Windows Server 2003 ailesini çalıştıran veya Windows XP ya da Windows 2000 çalıştıran bilgisayarlarda aynı şekilde işlev görmesini sağlamak için, ilkeyi dağıtmadan önce ilgili tüm işletim sistemlerinde ayrıntılı olarak sınayın.

Yeni IPSec özellikleriyle ilgili daha fazla bilgi için bkz: IPSec’in yeni özellikleri.
Yalnızca IPSec’in Windows Server 2003 ailesi uygulamasında bulunan yeni özellikleri kullanan IPSec ilkelerini yönetmek için Windows Server 2003 IP Güvenlik İlkesi Yönetim konsolunu kullanın.Yalnızca IPSec’in Windows Server 2003 ailesi uygulamasında bulunan yeni özellikleri kullanan IPSec ilkeleri uygulamayı planlıyorsanız, bu ilkeleri yönetmek için IPSec Güvenlik İlkesi Yönetim konsolunun Windows XP veya Windows 2000 sürümlerini kullanmayın. IP Güvenlik İlkesi Yönetimi konsolunun önceki sürümlerindeki ayarlar, Windows Server 2003 ailesi IPSec ilkesindeki ayarları geçersiz kılar ve yeni özellikler çalışmaz.
Windows işletim sisteminin farklı sürümlerini kullanan bilgisayarlardaki IPSec’i uzaktan yönetmek ve izlemek için Terminal Hizmetleri’ni kullanın..IPSec’in uzaktan yönetimi ve izlenmesi, yalnızca Windows işletim sisteminin aynı sürümünü kullanan bilgisayarlar için desteklenir. Sizin bilgisayarınızda yüklü Windows sürümünden farklı bir Windows sürümü bulunan bir bilgisayardaki IPSec’i uzaktan yönetmek ve izlemek için Terminal Hizmetleri’ni kullanın. Örneğin bilgisayarınız Windows Server 2003 ailesini kullanıyorsa ve Windows 2000 veya Windows XP çalıştıran bilgisayarlardaki IPSec’i uzaktan yönetmeyi ve izlemeyi planlıyorsanız, bu bilgisayarlara uzaktan erişebilmek için Terminal Hizmetleri’ni kullanın.Bilgisayarınızda Windows Server 2003 ailesi yüklüyse ve Windows Server 2003 ailesi çalıştıran bilgisayarlardaki IPSec’i de yönetmek ve izlemek istiyorsanız, IPSec İlkesi Yönetim konsolunu ve IP Güvenlik İzleyici’sini çalıştırabilir veya uzaktan Netsh komut satırı aracını kullanabilirsiniz.