Windows Server

IPsec (IP security) – Bolum 2

Teknolojideki gelişmeler, bilgisayarı hayatımızın vazgeçilmez bir parçası haline getirmiştir. Günlük yaşantımızda yaptığımız pek çok eylem de biz fark etmesek te onlar vardır. Bu denli fazla bilgisayar kullanımı bize pek çok kolaylık sağlamaktadır.

Eskiden tutulan muhasebe defterleri şimdi, iki tıklama ile karşımızda, bankalara gidip para yatırmak yerine yine internet bankacılığını kullanarak oturduğumuz yerden istediğimiz kişiye para yollayabiliyoruz.  Aslında bu temel iki örneğin dışında bilgisayarın faydaları saymak ile bitmez. Benim de bu makaledeki amacım gelişen teknoloji ile hayatımıza giren bilgisayarın oluşturduğu tehditlerin IPSec uygulamaları ile nasıl engelleneceğini göstermek olacaktır.

 

Makalemin ilk bölümünde IPSec ile ilgli gerekli açıklamaları yaptığım için bu makalemde örnek bir senaryo ile IPSec uygulamasını anlatmaya çalışacağım. Senaryomda şirket içerisinde çalışan bir mail server ve onu kullana şirket çalışanları bulunmaktadır. Böyle bir ortamda IPSec olmadan gelen giden şifre bilgilerinin ve mail içeriğinin nasıl okunacağını, ardından IPSec li bir ortamda ise bunun olamayacağını göstereceğim.

 

Öncelikle Windows 2003 üzerine Mail Servisini kuruyor;

image002

 

Bunun için Windows bileşenlerinden “E-mail Services” ini yüklüyoruz.

Yükleme işlemi bittikten sonra, yönetimsel araçlardan “POP3 service” yönetim konsolunu açıyoruz.

image003

 

Konsol üzerinde “New Domain” diyerek yeni bir mail domain i tanımlıyoruz.

 

image004

 

Ben AD domain im ile aynı isimde bir mail domain i açtım istetseniz bunu farklıda açabilirsiniz. Domain açtıktan sonra ise bu domain de mailbox açıyoruz

 

image005

 

Mailbox açarken dikkat etmemiz gereken bir kutucuk vardır. Yukarıdaki şekilde de gösterilen kutucuk işaretli olduğunda, açılacak her mail hesabına ait kullanıcıda otomatik olarak AD üzerinde tanımlanacaktır. Eğer sizin kullanıcılarınız önceden tanımlı ve sadece bu kullanıcılar için mailbox açmak istiyorsanız bu kutucuğu temizlemeniz yeterli olacaktır.

 

image006

 

Server üzerinde gerekli ayarları tamamladık. Bunun ardından istemci tarafında bir yazılım ile maillerimizi kontrol etmek. Bunun için ben yaygın kullanılan “Outlook Express “ programını seçtim. Programı açtığınızda karşınıza yukarıdaki gibi bir karşılama ekranı gelir, bu ekranda isminizi yazmanız yeterli olacaktır.

 

image007

 

Mail adresinizi yazıyorsunuz

 

image008

 

Mail sunucusunu belirtiyorsunuz. ( not: benim dns sunucumda “mail” isminde bir A kaydı bulunmaktadır )

 

image009

 

Gerekli kullanıcı adı ve şifre bilgilerini belirtiyoruz ve böylece istemci kurulumunu da bitiriyoruz.

Ardından sunucu üzerine kuracağımız ethereal programı ile paketleri dinlemeye başlıyoruz. Ben kolaylık olması açısından bu programı sunucu üzerine yükledim, ancak cain vb programlar ile de ağ üzerinde herhangi bir bilgisayardan yine bu bilgileri toplamak mümkündür.

 

image010

 

Yukarıdaki şekilde görüldüğü gibi kullanıcının sadece gönder al yapması, şifresinin öğrenilmesi için yeterlidir.

 

image011

 

Veya hakan kullanıcısının administrator kullanıcısına attığı maili de görmemiz yine mümkündür. Yukarıda öncelikle mail in kimden gelip kime gittiğini buluyoruz, ardından bu paketlerin hemen devamındaki “Message Body” kısmına tıklıyoruz ve bu mesajın öncelikle subject ini sonrada içeriğini görüyoruz.

 

image012

 

Mesajın “Subject” i “deneme” . İçeriğini ise bu kodların en altında görebiliyoruz

 

image013

 

Mesajın içeriği ise “bunu okuyabiliyor musunuz yoksa 🙂 “  . Evet, işte bu kadar basit, siz bilmeseniz bile üçüncü şahısların bu bilgileri alması bu kadar kolay. Peki bu durumda trafiğimizi nasıl güvenli bir hale getirebiliriz? Bunun için ipsec şarttır.

O zaman mail sunucu üzerinde IPSec uygulaması ile bu trafiğin nasıl güvenli bir hal alacağını hep beraber görelim.

 

Start – Run  – mmc dedikten sonra karşımıza MMC konsolu açılacaktır.

 

image014

 

Konsoldan ise “ IP Security Policy Management “ konsolunu çağırıyoruz.

 

image015

 

Burada eğer “Secure Server” policy sini aktif edersek, artık istemciler, client policy sini aktif edene kadar bizim ile iletişime geçemeyeceklerdir. Yani ben mail sunucu olarak diyorum ki; bana yapılacak her türlü ip iletişiminde mutlaka ipsec isterim, istemcide hiçbir policy atanmamış ise tabii ki iletişim olmayacaktır. Ancak istemci tarafında da herhangi bir IPSec Policy atanmış ise iletişim güvenli bir şekilde gerçekleşecektir.  Bu şekilde gerçekleşen bir trafiği ethereal ile izlediğimizde sadece ESP yani Encapsulating Security Payload ibaresi görünecektir, bu verilerin yakalandığını ancak içeriğinin görünemediğini belirtir.

 

image016

 

Paketler yine yakalanabilmekte ancak paketlerin içeriği okunmamaktadır. IpSec sayesinde network üzerinde güçlü bir güvenlik sağlamış bulunuyoruz. Ama burada istememiz halinde tüm ip trafiği yerine sadece POP3 ve SMTP trafiğini IPSec ile koruyabiliriz. Bu sayede gereksiz yere sunucu her paketi IPSec ile güvenli hale getirmeyecek ve performans kaybı minimum a düşecektir. Bunun için var olan standart kurallar yerine kendimize özel bir Policy yapmamız gerekmektedir. Bunu için IP Security management Console içerisinde yeni bir policy oluşturalım.

 

image017

 

Yeni bir policy oluşturmak için “Create IP Security Policy” kısmını seçiyor ve ilerliyoruz.

 

image018

 

Karşılama ekranını geçiyoruz

 

image019

 

Kuralımıza bir isim veriyoruz.

 

image020

Bu seçenek seçili iken, gelen istekler eğer 110 veya 25 dışında ise, yani benim filtrelerimin dışında bir paket ise bu paketlere varsayılan kurallar uygulanacaktır. Ben bunu istemediğim için bu kutucuğu temizleyerek devam ediyorum.

 

image021

 

IPSec için standart kimlik doğrulama yöntemini seçiyoruz, Kerberos yerine ben uygulamada Preshared Key kullanmayı tercih ediyorum.  ( unutulmaması gereken bir nokta; eğer siz sunucu tarafında IPSec policy için kimlik doğrulama olarak Preshared key girmiş iseniz, istemci tarafındaki “client” policy sinin özelliklerinden kimlik doğrulama tipini kerberos tan Preshared Key e çevirmeniz gerekmektedir. Bunu GPO dan da yapabilirsiniz.)

 

image022

 

Kuralın tanımlama kısmı bitti ve ben detaylar kısmına geçiyorum.

 

image023

 

Şu anda kuralımda hiçbir filtremle bulunmamaktadır. Ben bir filtreleme eklemek için “Add” butonuna basıyorum, ancak sihirbazları kullanmak istemediğim için sağ taraftaki kutucuğu da temizliyorum.

 

image024

 

Karşıma standart ip filtreleri gelmektedir, yani ya tüm ip trafiğini yâda sadece ICMP trafiğini seçebiliyorum, oysaki ben tüm ip trafiğini değil de sadece bana gelen POP3 ve SMTP yani 110 ve 25 nolu TCP bağlantılarını filtrelemek istiyorum. Bunun için buraya yeni bir bağlantı filtresi ekliyorum.

 

image025

 

Bağlantı filtresi için tanımlama yapmak üzere yine sihirbazı kullanmadan add düğmesi yardımı ile yeni bir pencere açıyorum.

 

image026

 

Ben bir sunucu olduğum için istemciler bana ulaşacaklardır, istemcileri tek tek yazmak yerine “any” ibaresini kullanıyorum, yani herhangi bir makineden bana gelen paketler için manasına geliyor.

 

image027

 

Peki, herhangi bir makineden bana gelen hangi portları dikkate alacağım? POP3 ve SMTP istediğim için bu portları tek tek belirtiyorum.

 

image028

POP3 için gerekli tanımlamanın aynısını SMTP içinde yapacağım

 

image026

 

image029

 

image030

Her iki tanımlamayı yaptıktan sonra “ok” diyerek pencereyi kapatıyorum.

 

image031

 

Artık bana gelecek tüm ip trafiğinden sadece POP3 ve SMTP trafiğini seçebilecek bir filtre yaptım. Peki böyle bir durum olursa filter action, yani filtreye uygun bir paket gelirse IPSec bunun karşılığında nasıl bir aksiyon gösterecek. Bunu seçmek içinde “Filter Action” sekmesine geliyorum.

 

image032

 

Amacım mail trafiğini güvenli bir şekilde gerçekleştirmek olduğu için gelen bütün isteklerden zorunlu olarak IPSec li görüşme istiyorum.

 

image033

Pencereyi kapatmadan son kez kuralımın kimlik doğrulama sekmesine de gelip son kontrolleri yaptıktan sonra kural tanımlamayı bitiriyorum.

 

image034

Tanımlamış olduğum kuralı artık etkin hale getiriyor ve bu sayede mail sunucuya gelen bütün ip trafiğinden sadece POP3 ve SMTP trafiği IPSevli bir şekilde iletişim kuruyor ve güvenli bir bağlantı meydana geliyor.

Bunun gibi kurala istediğiniz protokolleri ekleyebilir veya çıkarabilirsiniz.

 

Güvenli günler dileği ile.

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu