Şirketler artan teknoloji kullanımıyla beraber güvenlik için ayırdıkları fonu da büyütmek zorunda kaldılar. Hardware-based firewallar veya farklı 3rd party yazılımlarla güvenlik için farklı stratejiler belirleniyor. Bunu gören Microsoft Windows işletim sistemlerine artık firewall eklemeye başladı. Fakat bazı yönleri eksik kalan servis yerine daha farklı özelliklere sahip Ipsec firewall olarak kullanılabilir. Ipsec üzerinden firewall yapmanın bize getirilerinden bazıları;
-Source ve Destination port belirleyip bir ip adresine tanımlama yapılabiliyor.
—Sunucu çıkış trafiğine de engel koyulabiliyor.
—MMC üzerinden çalıştığı için kaydedilebiliyor. Ve farklı sistemlere import edilebiliyor.
Dezavantajları;
—Herhangi bir loglama sistemi bulunmuyor. (dropped paketler gibi)
—Bir prosessi firewall üzerinde tanımlayamıyorsunuz.
Bu genel bilgilerden sonra lafı fazla uzatmadan uygulama kısmına geçiyorum…
Öncelikle IPSec yönetimi için MMC’yi açıyoruz.
MMC’de Ctrl+M daha sonra Alt+D ye basıp Ip Security Policy Mngmt. Açıyoruz.
Manage IP filter lists and filter actionsu seçiyoruz.
Bu kısımdan kendimize engelleme actionu ekleyeceğiz bunun için Manage Filter Actions seçiyoruz.
Block seçiyoruz. Ve finish deyip bitiyoruz. Böylece tüm kuralları engelleyebileceğimiz bir action oluşturmuş olduk.
Actionu oluşturduk şimdide Kuralı oluşturacağız. Create IP Security Policy seçiyoruz.
İsim giriyoruz.
Kerberos seçiyoruz. Gelen uyarıya Yes deyip geçiyoruz.
Bu kısımda Add deyip yeni kural yazacağız.
Tunnel belirtebiliyoruz. Firewall açarken buna ihtiyacımız yok.
All network connection seçiyoruz.Böylece farklı subnetlerden gelenler ve localimizden gelenler için geçerli olacak.
Bu kısımda All IP Traffic seçiyoruz. Edit’e basıyoruz.
All Ip traffic için bir filtre belirleyeceğiz. Burası bizim bütün kuralları engelleyeceğimiz yer olduğu için Add deyip herşeyi Any seçiyoruz.
Next deyip sonraki ekrana geçiyoruz. Sonraki ekranda engelleyi seçip finish diyoruz.
Böylece bütün kurallar için iletişimi engellemiş olduk. Şimdi nelere izin vereceksek onları belirleyeceğiz. Add diyoruz.
Next…
LAN seçersek aynı subnettekiler için geçerli olur. Remote farklı subrettir. Bize ne lazımsa onu seçiyoruz.
Next ve Yes diyoruz.
Ip Filter List seçip Edit diyoruz.
Add deyip izin vereceğimiz kuralı belirliyoruz.
Alttaki mirrored tiki işaretli olursa oluşturduğumuz kuralın tam tersi de yazılmış olur.
Örneğin 10.10.10.10 için 21 portumuzu açarsak aynı şekilde 10.10.10.10 ipsine 21 portundan çıkışı da açmış oluruz ki buna ihtiyacımız varsa yaparız.
Örnek yaparak açıklayalım;
Add diyoruz desc kısmına açıklama yazılabilir alttaki mirrored tikini kaldırıyoruz.Next diyoruz. Gelen ekranda kaynak soruyor A specified ip adres diyoruz ve alt kısma ip adresini giriyoruz.(10.10.10.10) Next diyoruz. Hedef ip adresini soruyor burada hedef My ip adres olacak. Yani bizim bilgisayarımızın ip adresi. Next diyoruz. Protokol giriyoruz. TCP seçip devam diyoruz. Burada from port karşı makinenin bize gelirken makineden çıktığı porttur. Alttaki ise bizim sunucumuza hangi portla geldiği oluyor. Yani ftp sunucumuza gelirken karşı makine rasgele bir porttan çıkış yaptığı için üstteki any de kalıyor. Fakat alttaki any kısmını 21 yapıyoruz. Ve finish deyip bitiriyoruz. Aşağıdaki gibi yazdığımız kural eklenir. Diğer kuralları da Add diyerek ekliyoruz. Aynı şekilde sadece ip seçip protokol oalrak any seçersek o ip için tüm portlara izin verilmiş olur.
Unutulmaması gereken önemli bir nokta var ipsec firewall gibi değildir. Engel için rule yazdığımızda sunucudan dışarıya çıkan paketleri de engellemiş olduk. Bu yüzden sunucunun dışarıda erişmesi gereken yerlere de izinleri tanımlamamız gerekiyor.
Bu şekilde farklı tiplerde izinler yazabiliriz. Bütün kuralları bitirdikten sonra Ok ile çıkıp gelen ekranda next diyoruz ve Permit seçiyoruz Böylece Yazdığımız kurallara izin actionu (permit) tanımlamış olduk.
Sadece birkaç porta izin vermiş ve diğer bütün portları engellemiş olduk.
Bu ayarları aktif hale getirmek için oluşturduğumuz kurala gelip Assign diyouz.
Son olarak Policy Assigned kısmında Yes görüyorsak artık sadece belirlediğimiz portlardan makineye erişim sağlanabiliyor. Böylece IPSec ile Local Firewall oluşturmuş olduk.
Export ve Import Yapmak için;
Sol menüden Ip Security Policies’e gelip sağ tıklıyoruz ve Export ve Import Policies seçerek işlemleri yapıyoruz. Başka bir makalede görüşmek dileğiyle…
