Teknolojideki gelişmeler, bilgisayarı hayatımızın vazgeçilmez bir parçası haline getirmiştir. Günlük yaşantımızda yaptığımız pek çok eylem de biz fark etmesek te onlar vardır. Bu denli fazla bilgisayar kullanımı bize pek çok kolaylık sağlamaktadır.
Eskiden tutulan muhasebe defterleri şimdi, iki tıklama ile karşımızda, bankalara gidip para yatırmak yerine yine internet bankacılığını kullanarak oturduğumuz yerden istediğimiz kişiye para yollayabiliyoruz. Aslında bu temel iki örneğin dışında bilgisayarın faydaları saymak ile bitmez. Benim de bu makaledeki amacım gelişen teknoloji ile hayatımıza giren bilgisayarın oluşturduğu tehditlerin IPSec uygulamaları ile nasıl engelleneceğini göstermek olacaktır.
Makalemin ilk bölümünde IPSec ile ilgli gerekli açıklamaları yaptığım için bu makalemde örnek bir senaryo ile IPSec uygulamasını anlatmaya çalışacağım. Senaryomda şirket içerisinde çalışan bir mail server ve onu kullana şirket çalışanları bulunmaktadır. Böyle bir ortamda IPSec olmadan gelen giden şifre bilgilerinin ve mail içeriğinin nasıl okunacağını, ardından IPSec li bir ortamda ise bunun olamayacağını göstereceğim.
Öncelikle Windows 2003 üzerine Mail Servisini kuruyor;
Bunun için Windows bileşenlerinden “E-mail Services” ini yüklüyoruz.
Yükleme işlemi bittikten sonra, yönetimsel araçlardan “POP3 service” yönetim konsolunu açıyoruz.
Konsol üzerinde “New Domain” diyerek yeni bir mail domain i tanımlıyoruz.
Ben AD domain im ile aynı isimde bir mail domain i açtım istetseniz bunu farklıda açabilirsiniz. Domain açtıktan sonra ise bu domain de mailbox açıyoruz
Mailbox açarken dikkat etmemiz gereken bir kutucuk vardır. Yukarıdaki şekilde de gösterilen kutucuk işaretli olduğunda, açılacak her mail hesabına ait kullanıcıda otomatik olarak AD üzerinde tanımlanacaktır. Eğer sizin kullanıcılarınız önceden tanımlı ve sadece bu kullanıcılar için mailbox açmak istiyorsanız bu kutucuğu temizlemeniz yeterli olacaktır.
Server üzerinde gerekli ayarları tamamladık. Bunun ardından istemci tarafında bir yazılım ile maillerimizi kontrol etmek. Bunun için ben yaygın kullanılan “Outlook Express “ programını seçtim. Programı açtığınızda karşınıza yukarıdaki gibi bir karşılama ekranı gelir, bu ekranda isminizi yazmanız yeterli olacaktır.
Mail adresinizi yazıyorsunuz
Mail sunucusunu belirtiyorsunuz. ( not: benim dns sunucumda “mail” isminde bir A kaydı bulunmaktadır )
Gerekli kullanıcı adı ve şifre bilgilerini belirtiyoruz ve böylece istemci kurulumunu da bitiriyoruz.
Ardından sunucu üzerine kuracağımız ethereal programı ile paketleri dinlemeye başlıyoruz. Ben kolaylık olması açısından bu programı sunucu üzerine yükledim, ancak cain vb programlar ile de ağ üzerinde herhangi bir bilgisayardan yine bu bilgileri toplamak mümkündür.
Yukarıdaki şekilde görüldüğü gibi kullanıcının sadece gönder al yapması, şifresinin öğrenilmesi için yeterlidir.
Veya hakan kullanıcısının administrator kullanıcısına attığı maili de görmemiz yine mümkündür. Yukarıda öncelikle mail in kimden gelip kime gittiğini buluyoruz, ardından bu paketlerin hemen devamındaki “Message Body” kısmına tıklıyoruz ve bu mesajın öncelikle subject ini sonrada içeriğini görüyoruz.
Mesajın “Subject” i “deneme” . İçeriğini ise bu kodların en altında görebiliyoruz
Mesajın içeriği ise “bunu okuyabiliyor musunuz yoksa 🙂 “ . Evet, işte bu kadar basit, siz bilmeseniz bile üçüncü şahısların bu bilgileri alması bu kadar kolay. Peki bu durumda trafiğimizi nasıl güvenli bir hale getirebiliriz? Bunun için ipsec şarttır.
O zaman mail sunucu üzerinde IPSec uygulaması ile bu trafiğin nasıl güvenli bir hal alacağını hep beraber görelim.
Start – Run – mmc dedikten sonra karşımıza MMC konsolu açılacaktır.
Konsoldan ise “ IP Security Policy Management “ konsolunu çağırıyoruz.
Burada eğer “Secure Server” policy sini aktif edersek, artık istemciler, client policy sini aktif edene kadar bizim ile iletişime geçemeyeceklerdir. Yani ben mail sunucu olarak diyorum ki; bana yapılacak her türlü ip iletişiminde mutlaka ipsec isterim, istemcide hiçbir policy atanmamış ise tabii ki iletişim olmayacaktır. Ancak istemci tarafında da herhangi bir IPSec Policy atanmış ise iletişim güvenli bir şekilde gerçekleşecektir. Bu şekilde gerçekleşen bir trafiği ethereal ile izlediğimizde sadece ESP yani Encapsulating Security Payload ibaresi görünecektir, bu verilerin yakalandığını ancak içeriğinin görünemediğini belirtir.
Paketler yine yakalanabilmekte ancak paketlerin içeriği okunmamaktadır. IpSec sayesinde network üzerinde güçlü bir güvenlik sağlamış bulunuyoruz. Ama burada istememiz halinde tüm ip trafiği yerine sadece POP3 ve SMTP trafiğini IPSec ile koruyabiliriz. Bu sayede gereksiz yere sunucu her paketi IPSec ile güvenli hale getirmeyecek ve performans kaybı minimum a düşecektir. Bunun için var olan standart kurallar yerine kendimize özel bir Policy yapmamız gerekmektedir. Bunu için IP Security management Console içerisinde yeni bir policy oluşturalım.
Yeni bir policy oluşturmak için “Create IP Security Policy” kısmını seçiyor ve ilerliyoruz.
Karşılama ekranını geçiyoruz
Kuralımıza bir isim veriyoruz.
Bu seçenek seçili iken, gelen istekler eğer 110 veya 25 dışında ise, yani benim filtrelerimin dışında bir paket ise bu paketlere varsayılan kurallar uygulanacaktır. Ben bunu istemediğim için bu kutucuğu temizleyerek devam ediyorum.
IPSec için standart kimlik doğrulama yöntemini seçiyoruz, Kerberos yerine ben uygulamada Preshared Key kullanmayı tercih ediyorum. ( unutulmaması gereken bir nokta; eğer siz sunucu tarafında IPSec policy için kimlik doğrulama olarak Preshared key girmiş iseniz, istemci tarafındaki “client” policy sinin özelliklerinden kimlik doğrulama tipini kerberos tan Preshared Key e çevirmeniz gerekmektedir. Bunu GPO dan da yapabilirsiniz.)
Kuralın tanımlama kısmı bitti ve ben detaylar kısmına geçiyorum.
Şu anda kuralımda hiçbir filtremle bulunmamaktadır. Ben bir filtreleme eklemek için “Add” butonuna basıyorum, ancak sihirbazları kullanmak istemediğim için sağ taraftaki kutucuğu da temizliyorum.
Karşıma standart ip filtreleri gelmektedir, yani ya tüm ip trafiğini yâda sadece ICMP trafiğini seçebiliyorum, oysaki ben tüm ip trafiğini değil de sadece bana gelen POP3 ve SMTP yani 110 ve 25 nolu TCP bağlantılarını filtrelemek istiyorum. Bunun için buraya yeni bir bağlantı filtresi ekliyorum.
Bağlantı filtresi için tanımlama yapmak üzere yine sihirbazı kullanmadan add düğmesi yardımı ile yeni bir pencere açıyorum.
Ben bir sunucu olduğum için istemciler bana ulaşacaklardır, istemcileri tek tek yazmak yerine “any” ibaresini kullanıyorum, yani herhangi bir makineden bana gelen paketler için manasına geliyor.
Peki, herhangi bir makineden bana gelen hangi portları dikkate alacağım? POP3 ve SMTP istediğim için bu portları tek tek belirtiyorum.
POP3 için gerekli tanımlamanın aynısını SMTP içinde yapacağım
Her iki tanımlamayı yaptıktan sonra “ok” diyerek pencereyi kapatıyorum.
Artık bana gelecek tüm ip trafiğinden sadece POP3 ve SMTP trafiğini seçebilecek bir filtre yaptım. Peki böyle bir durum olursa filter action, yani filtreye uygun bir paket gelirse IPSec bunun karşılığında nasıl bir aksiyon gösterecek. Bunu seçmek içinde “Filter Action” sekmesine geliyorum.
Amacım mail trafiğini güvenli bir şekilde gerçekleştirmek olduğu için gelen bütün isteklerden zorunlu olarak IPSec li görüşme istiyorum.
Pencereyi kapatmadan son kez kuralımın kimlik doğrulama sekmesine de gelip son kontrolleri yaptıktan sonra kural tanımlamayı bitiriyorum.
Tanımlamış olduğum kuralı artık etkin hale getiriyor ve bu sayede mail sunucuya gelen bütün ip trafiğinden sadece POP3 ve SMTP trafiği IPSevli bir şekilde iletişim kuruyor ve güvenli bir bağlantı meydana geliyor.
Bunun gibi kurala istediğiniz protokolleri ekleyebilir veya çıkarabilirsiniz.
Güvenli günler dileği ile.