IPSec Nasıl Yapılır?

IPSec Nasıl Yapılır?

•	IP Güvenlik İlkesi Yönetimi ek bileşenini başlatma
•	IPSec İlkeleri Tanımlama
•	IPSec İlkesi atama
•	IPSec İlkesini Yönetme
•	IPSec İlke Atamalarını Görüntülemek için İlke Sonuç Kümesini (RsoP) Kullanma
•	IPSec Etkinliğini İzleme

IP Güvenlik İlkesi Yönetimi ek bileşenini başlatmak için

 

•	IP Güvenlik İlkesi Yönetimi ek bileşenini Microsoft Yönetim Konsolu’ndan başlatmak için:

 

1.	Başlat’ı ve Çalıştır’ı tıklatın, MMC yazın, sonra Tamam’ı tıklatın.
2.	Dosya‘yı, Ek Bileşen Ekle/Kaldır’ı ve sonra Ekle’yi tıklatın.
3.	IP Güvenlik İlkeleri Yönetimi’ni tıklatın ve sonra Ekle’yi tıklatın.
4.	IPSec ilkelerini yönetmek istediğiniz bilgisayarı seçin:   Bunun için Şunları yapın Yalnızca, bu konsolun çalıştığı bilgisayarı yönetme Yerel bilgisayar‘ı tıklatın. Etki alanı üyeleri için IPSec ilkelerini yönetme Bu bilgisayarın üye olduğu Active Directory etki alanı‘nı tıklatın. IPSec ilkelerini, bu uçbirimi çalıştıran bilgisayarı bir üye olmayan, etki alanı için yönetme Başka Bir Active Directory Etki Alanı‘nı tıklatın. Uzaktaki bir bilgisayarı yönetme Diğer bir bilgisayar‘ı tıklatın.
5.	Sırasıyla Bitti‘yi, Kapat‘ı ve Tamam‘ı tıklatın.

 

•	IP Güvenlik İlkesi Yönetimi ek bileşenine Grup İlkesi’nden (Active Directory) erişmek için:

 

1.	Active Directory Kullanıcıları ve Bilgisayarları’nı açın.
2.	Konsol ağacında, Grup İlkesi’ni ayarlamak istediğiniz etki alanı veya kuruluş birimini sağ tıklatın.Konumu? • Active Directory Kullanıcıları ve Bilgisayarları [EtkiAlanıDenetleyicisiAdı.EtkiAlanıAdı]/EtkiAlanı/KuruluşBirimi/AltKuruluşBirimi…
3.	Özellikler’i, daha sonra da Grup İlkesi sekmesini tıklatın.
4.	Düzenlemek istediğiniz Grup İlkesi nesnesini açmak için Düzenle öğesini tıklatın. Yeni bir Grup İlkesi nesnesi oluşturmak için ise, önce Yeni‘yi, sonra da Düzenle‘yi tıklatın.
5.	Grup İlkesi konsol ağacından, Active Directory üzerindeki IP Güvenlik İlkeleri’ni tıklatın.Konumu? • İlkeAdı [BilgisayarAdı] İlke/Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Active Directory üzerindeki IP Güvenlik İlkeleri

 

•	IP Güvenlik İlkesi Yönetimi ek bileşenine Yerel Bilgisayar İlkesi’nden erişmek için:

 

1.	Başlat’ı ve Çalıştır’ı tıklatın, MMC yazın, sonra Tamam’ı tıklatın.
2.	Dosya‘yı, Ek Bileşen Ekle/Kaldır’ı ve sonra Ekle’yi tıklatın.
3.	Grup İlke Nesnesi Düzenleyicisi’ni, sonra da Ekle’yi tıklatın.
4.	Sırasıyla Bitti‘yi, Kapat‘ı ve Tamam‘ı tıklatın.
5.	Grup İlkesi konsol ağacından, Yerel Bilgisayardaki IP Güvenlik İlkeleri’ni tıklatın.Konumu? • Yerel Bilgisayar İlkesi/Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yerel Bilgisayardaki IP Güvenlik İlkeleri

Notlar

•	Active Directory tabanlı IPSec ilkelerini yönetmek için, Active Directory’deki Domain Admins grubunun üyesi olmanız veya uygun yetkiye sahip bir temsilci olmanız gerekir. Bir bilgisayarın yerel veya uzak IPSec ilkelerini yönetmek için, yerel veya uzak bilgisayarda Administrators grubunun bir üyesi olmanız gerekir. Bilgisayar bir etki alanına katılırsa, Domain Admins grubunun üyeleri bu yönergeyi uygulayabilir. Daha fazla bilgi için bkz: Varsayılan yerel gruplar ve Varsayılan gruplar.
•	Active Directory Kullanıcıları ve Bilgisayarları’nı açmak için Başlat‘ı tıklatın, Denetim Masası‘nı tıklatın, Yönetimsel Araçlar‘ı çift tıklatın, sonra da Active Directory Kullanıcıları ve Bilgisayarları‘nı çift tıklatın.
•	Konsol ayarlarını kaydetmek için, Dosya menüsünden Kaydet‘i tıklatın.
•	Kaydedilen konsolu görüntülemek için, İlgili Konular’a bakın.
•	Active Directory’ye dayalı IPSec ilkelerini Windows XP Home Edition çalıştıran bir bilgisayardan yönetemezsiniz.
•	Uzak bir etki alanındaki ilkeleri yönetmek için, kullandığınız bilgisayar, uzak etki alanı tarafından güvenilen bir etki alanının üyesi olmalıdır. Uzak etki alanındaki ilkeleri bir çalışma grubunun üyesi olan (aynı zamanda tek başına bilgisayar olarak da adlandırılır) bir bilgisayardan yapılandıramazsınız.
•	İlk seçiminizi düzeltmek isterseniz, Microsoft Management Console’u başlatarak, bu ek bileşeni yeniden eklemeli ve konsolu yeniden kaydetmelisiniz. Birden fazla yapılandırma gerekiyorsa, konsolu başka bir adla kaydedebilirsiniz.

 

IPSec İlkeleri Tanımlama

IPSec ilkelerini tanımlama

•	IPSec ilkesi ekleme, düzenleme veya kaldırma
•	IPSec Kurallarını Tanımlama
•	IPSec Anahtar Değişimi Ayarlarını Tanımlama

IPSec ilkesi ekleme, düzenleme veya kaldırma

IPSec ilkesi eklemek, düzenlemek veya kaldırmak için

1.	IP Güvenlik İlkeleri’ni içeren bir konsol oluşturun. Bunun yerine, IP Güvenlik İlkelerini içeren kaydedilmiş bir konsol dosyası da açabilirsiniz.
2.	Yeni bir ilke ekleme veya varolan bir ilkeyi düzenleme ya da kaldırma arasında seçim yapın:   Bunun için şunları yapın Yeni ilke ekleme Konsol ağacında, Ad üzerindeki IP Güvenlik İlkeleri seçeneğini tıklatın. Ardından, Eylem menüsünden IP Güvenlik İlkesi Oluştur seçeneğini tıklatın. Yeni ilkenizle ilgili Özellikler iletişim kutusu görününceye dek, IP Güvenlik İlkeleri Sihirbazı’ndaki yönergeleri izleyin. Varolan bir ilkede değişiklik yapma Değişiklik yapmak istediğiniz ilkeyi çift tıklatın. İlke kaldırma Kaldırmak istediğiniz ilkeyi tıklatın ve Eylem menüsünden Sil‘i tıklatın.
3.	Bir ilke ekliyorsanız veya ilkede değişiklik yapıyorsanız, Genel sekmesini tıklatın, Ad alanına benzersiz bir ad yazın.
4.	Tanım içine, güvenlik ilkesinin bir tanımını yazın, örneğin, hangi grupları veya etki alanlarını etkilediğini yazabilirsiniz.
5.	IPSec İlke Aracısı’nın güncelleştirmeleri ne kadar sık denetleyeceğini belirtmek üzere İlke değişikliklerini sayıdakikada bir denetle alanına bir değer yazın.
6.	Anahtar değişiminin güvenliği için özel gereksinimleriniz varsa, Ayarlar’ı tıklatın.
7.	Kurallar sekmesini tıklatın ve ilke için gerekli kuralları oluşturun veya değiştirin.
8.	Kuralları gerektiği şekilde etkinleştirme veya devre dışı bırakma

Notlar

•	Active Directory tabanlı IPSec ilkelerini yönetmek için, Active Directory’deki Domain Admins grubunun üyesi olmanız veya uygun yetkiye sahip bir temsilci olmanız gerekir. Bir bilgisayarın yerel veya uzak IPSec ilkelerini yönetmek için, yerel veya uzak bilgisayarda Administrators grubunun bir üyesi olmanız gerekir. Bilgisayar bir etki alanına katılırsa, Domain Admins grubunun üyeleri bu yönergeyi uygulayabilir. Daha fazla bilgi için bkz: Varsayılan yerel gruplar ve Varsayılan gruplar.
•	IP Güvenlik İlkeleri içeren bir konsol oluşturmak için IP Güvenlik İlkeleri ek bileşenini başlatın. Kaydedilmiş bir konsol dosyasını açmak için MMC’yi açın. Daha fazla bilgi için, bkz: İlgili Konular.
•	IPSec anahtarı değiştirme ayarları hakkında bilgi için, bkz: İlgili Konular.
•	IPSec kurallarının yapılandırılması hakkında bilgi için, bkz: İlgili Konular.
•	Kuralların etkinleştirilmesi veya devre dışı bırakılması hakkında bilgi için, bkz: İlgili Konular.

IPSec Kurallarını Tanımlama

IPSec kurallarını tanımlama

•	IPSec kuralları ekleme, düzenleme veya kaldırma
•	IPSec kuralını etkinleştirme veya devre dışı bırakma
•	IPSec kimlik doğrulama yöntemlerini tanımlama
•	IPSec bağlantı türü belirleme
•	IPSec tüneli belirleme
•	IP Filtre Listelerini Tanımlama
•	Filtre Eylemleri Tanımlama

IPSec kuralları ekleme, düzenleme veya kaldırma

IPSec kuralları eklemek, düzenlemek veya kaldırmak için

1.	IP Güvenlik İlkeleri’ni içeren bir konsol oluşturun. IP Güvenlik İlkelerini içeren kaydedilmiş bir konsol dosyası da açabilirsiniz.
2.	Değiştirmek istediğiniz ilkeyi çift tıklatın.
3.	Kural eklemek için, IP Güvenlik Kuralı Oluşturma Sihirbazı’nın mı kullanılacağına, yoksa kuralın el ile mi ekleneceğine karar verin. • IP Güvenlik Kuralı Oluşturma Sihirbazı’nı kullanarak kural eklemek için, Ekleme Sihirbazını Kullan onay kutusunun işaretli olduğunu doğrulayın, Ekle öğesini tıklatın ve sonra yönergeleri izleyin. • Kuralı el ile eklemek için, Ekleme Sihirbazını Kullan onay kutusunun işaretli olmadığını doğrulayın, Ekle öğesini tıklatın ve sonra IP Süzgeç Listesi, Süzme Eylemi, Kimlik Doğrulama Yöntemleri, Tünel Ayarı ve Bağlantı Türü sekmelerinde bulunan ayarları tanımlayın.
4.	Kural düzenlemek için, düzenlemek istediğiniz kuralı seçin, Düzenle öğesini tıklatın ve sonra kural özelliklerini gereken şekilde değiştirin.
5.	Kural kaldırmak için, kaldırmak istediğiniz kuralı seçin ve sonra Kaldır öğesini tıklatın.

Notlar

•	Active Directory tabanlı IPSec ilkelerini yönetmek için, Active Directory’deki Domain Admins grubunun üyesi olmanız veya uygun yetkiye sahip bir temsilci olmanız gerekir. Bir bilgisayarın yerel veya uzak IPSec ilkelerini yönetmek için, yerel veya uzak bilgisayarda Administrators grubunun bir üyesi olmanız gerekir. Bilgisayar bir etki alanına katılırsa, Domain Admins grubunun üyeleri bu yönergeyi uygulayabilir. Daha fazla bilgi için bkz: Varsayılan yerel gruplar ve Varsayılan gruplar.
•	IP Güvenlik İlkeleri içeren bir konsol oluşturmak için IP Güvenlik İlkeleri ek bileşenini başlatın. Kaydedilmiş bir konsol dosyasını açmak için MMC’yi açın. Daha fazla bilgi için İlgili Konular’a bakın.
•	Düzenlenen veya oluşturulan ilkeye otomatik olarak yeni kurallar uygulanır.
•	Bir ilkenin kuralları IP Güvenlik İlkeleri’nde, tersten alfabetik sırayla ve her kural için seçilen süzgeç listesinin adı temel alınarak görüntülenir. Bir ilkedeki kuralların uygulanacağı sırayı belirtmek için herhangi bir yöntem yoktur. IPSec sürücüsü kuralları en belirgin süzgeç listesinden en az belirgin süzgeç listesine doğru otomatik olarak sıralar. Örneğin, IPSec sürücüsü, tek tek IP adreslerinin ve TCP bağlantı noktalarının belirtildiği bir süzgeç listesini içeren kuralı, bir ağdaki tüm adreslerin belirtildiği bir süzgeç listesini içeren kuralın üzerine yerleştirir.
•	Varsayılan yanıt kuralı otomatik olarak her yeni IPSec ilkesine eklenir. Bu kuralın ilkenizin bir parçası olmasını istemezseniz, <Dinamik>‘in yanındaki onay kutusunu temizleyerek kuralı devre dışı bırakabilirsiniz. Varsayılan yanıt kuralı kaldırılamaz.

IPSec kuralını etkinleştirme veya devre dışı bırakma

IPSec kuralını etkinleştirmek veya devre dışı bırakmak için

1.	IP Güvenlik İlkeleri’ni içeren bir konsol oluşturun. IP Güvenlik İlkelerini içeren kaydedilmiş bir konsol dosyası da açabilirsiniz.
2.	Değiştirmek istediğiniz ilkeyi çift tıklatın.
3.	Kurallar sekmesinde, aşağıdakilerden birini yapın: • Bir kuralı etkinleştirmek için, etkinleştirmek istediğiniz kuralın yanındaki onay kutusunu işaretleyin. • Bir kuralı devre dışı bırakmak için, devre dışı bırakmak istediğiniz kuralın yanındaki onay kutusunun işaretini kaldırın.

Notlar

•

Active Directory tabanlı IPSec ilkelerini yönetmek için, Active Directory’deki Domain Admins grubunun üyesi olmanız veya uygun yetkiye sahip bir temsilci olmanız gerekir. Bir bilgisayarın yerel veya uzak IPSec ilkelerini yönetmek için, yerel veya uzak bilgisayarda Administrators grubunun bir üyesi olmanız gerekir. Bilgisayar bir etki alanına katılırsa, Domain Admins grubunun üyeleri bu yordamı uygulayabilir. Daha fazla bilgi için bkz: Varsayılan yerel gruplar ve Varsayılan gruplar.

•

IP Güvenlik İlkeleri içeren bir konsol oluşturmak için IP Güvenlik İlkeleri ek bileşenini başlatın. Kaydedilmiş bir konsol dosyasını açmak için MMC’yi açın. Daha fazla bilgi için İlgili Konular’a bakın.

IPSec kimlik doğrulama yöntemlerini tanımlama

IPSec kimlik doğrulama yöntemlerini tanımlamak için

1.	IP Güvenlik İlkeleri’ni içeren bir konsol oluşturun. Bunun yerine, IP Güvenlik İlkelerini içeren kaydedilmiş bir konsol dosyası da açabilirsiniz.
2.	Değiştirmek istediğiniz ilkeyi çift tıklatın.
3.	Değiştirmek istediğiniz kuralı çift tıklatın.
4.	Kimlik Doğrulama Yöntemleri sekmesinden, Ekle‘yi tıklatın. Veya varolan bir yöntemi yeniden yapılandırıyorsanız, güvenlik yöntemini tıklatın ve sonra Düzenle’yi tıklatın.
5.	Eklemek veya değiştirmek istediğiniz kimlik doğrulama yöntemini seçin. • Bu kural, Windows 2000 veya Windows Server 2003 Active Directory etki alanı veya güvenilir bir Active Directory etki alanı tarafından doğrulanan bilgisayarlara uygulanırsa, kimlik doğrulama hizmetleri için Kerberos V5 güvenlik protokolünü kullanmak için, Active Directory varsayılanı (Kerberos V5 protokolü)‘nü tıklatın. • Kimlik doğrulama hizmetleri için ortak anahtar sertifikası kullanmak üzere, Bu sertifika yetkilisinden (CA) bir sertifika kullan seçeneğini tıklatın ve bir kök sertifike yetkilisi seçmek için Gözat‘ı tıklatın. • CA adının sertifika isteğiyle birlikte gönderilmesini önlemek için, Sertifika isteğinden CA adını ayır onay kutusunu işaretleyin. • Sertifikayı hesap eşlemek üzere etkinleştirmek için, Hesap eşlemesi için sertifikayı etkinleştir onay kutusunu işaretleyin. • Kimlik doğrulaması amacıyla kullanılacak kendi anahtarınızı belirtmek için, Bu dizeyi kullan (önceden paylaşılan anahtar) seçeneğini tıklatın.
6.	Kimlik doğrulama yöntemini silmek veya tercih sırasını değiştirmek için, aşağıdakilerden birini yapın: • Seçilen yöntemi silmek için, Kaldır’ı tıklatın. • Seçilen yöntemi bir üst düzeye taşımak için, Yukarı taşı seçeneğini tıklatın. Yöntem istenen tercih düzeyine gelinceye dek bu işlemi yineleyin. • Seçilen yöntemi bir alt düzeye taşımak için, Aşağı taşı seçeneğini tıklatın. Yöntem istenen tercih düzeyine gelinceye dek bu işlemi yineleyin.

Önemli

•

Diğerlerine göre zayıf bir kimlik doğrulama yöntemi olduğundan, önceden paylaşılmış anahtar kimlik doğrulama yönteminin kullanılması önerilmez. Önceden paylaştırılmış anahtar kimliği doğrulaması, sertifikalardan veya Kerberos V5 protokolünden daha az güvenilir olan (daha düşük düzeyde bir şifreleme gerçekleştirecek olan) bir ana anahtar oluşturur. Ayrıca, önceden paylaşılmış anahtarlar düz metin olarak depolanır. Önceden paylaştırılmış anahtar kimliği doğrulaması, karşılıklı kullanılabilirlik amacıyla ve IPSec standartlarına bağlı kalmak için sağlanır. Önceden paylaştırılmış anahtarları yalnızca sınama için kullanmanız ve üretim ortamında sertifika veya Kerberos V5 kullanmanız önerilir.

Notlar

•	Active Directory tabanlı IPSec ilkelerini yönetmek için, Active Directory’deki Domain Admins grubunun üyesi olmanız veya uygun yetkiye sahip bir temsilci olmanız gerekir. Bir bilgisayarın yerel veya uzak IPSec ilkelerini yönetmek için, yerel veya uzak bilgisayarda Administrators grubunun bir üyesi olmanız gerekir. Bilgisayar bir etki alanına katılırsa, Domain Admins grubunun üyeleri bu yordamı uygulayabilir. Daha fazla bilgi için bkz: Varsayılan yerel gruplar ve Varsayılan gruplar.
•	IP Güvenlik İlkeleri içeren bir konsol oluşturmak için IP Güvenlik İlkeleri ek bileşenini başlatın. Kaydedilmiş bir konsol dosyasını açmak için MMC’yi açın. Daha fazla bilgi için, İlgili Konular’a bakın.
•	Kerberos V5 protokolü kimlik doğrulama yöntemi, Windows XP Home Edition çalıştıran bilgisayarlarda desteklenmez.
•	Kimlik doğrulama için sertifika kullanmayı seçerseniz, bir sertifika yetkilisi (bilgisayarınızda yüklü sertifika için genellikle kök sertifika yetkilisi) seçmelisiniz. Bu alanı boş bırakamazsınız.
•	Önceden paylaşılan anahtar doğrulaması için, IPSec taraflarının her biri önceden paylaşılan aynı anahtarı kullanmazsa, kimlik doğrulaması başarısız olur.
•	Birden fazla kuraldaki süzgeç aynı iki Ip adresindeki akışa uygulanıyorsa, kimlik doğrulama yöntemleri listesi her iki kuralda da aynı olmalıdır. Tersi durumda, bir kural tarafından başlatılan güvenlik istekleri, başka bir kuralın süzgeciyle eşleşebilir, ancak farklı bir kimlik doğrulama yöntemi vardır. Bu durumda görüşme başarısız olur. Bir kural iki IP adresi arasında başarılı bir ana mod güvenlik ilişkisi başlattığında, farklı trafikleri süzen diğer kurallar kimlik doğrulama anahtarını ve ana anahtarı (ana mod güvenlik ilişkisi) yeniden belirleyemezler. Bunun yerine, sözü geçen diğer kurallar özel süzgeçleriyle eşleşen akışlar için güvenlik belirlemek amacıyla aynı ana mod güvenlik ilişkisini kullanır.Kaynak : http://www.serkancoskun.com