IPSec Ayarlarını Yapılandırma

Internet Protokolü Güvenliği (IPSec veya IPsec), Internet ağları da dahil olmak üzere, bir ağ üzerinden taşınan verileri şifrelemek için kullanılan bir protokol paketidir. TLS yalnızca Web tarayıcısı veya e-posta uygulaması gibi belirli bir uygulamada kullanılan verileri şifrelerken, IPSec, IP paketlerinin tamamını ya da IP paketlerinin bilgi yüklerini şifreler ve böylece daha çok yönlü bir güvenlik sistemi sunar. Makinenin IPSec protokolü, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunda çalışır. Bu özellik sayesinde makine, aynı sanal özel ağda (VPN) bulunan bir bilgisayara doğrudan bağlanabilir. Makineyi yapılandırmadan önce, sistem gereksinimlerini denetleyin ve bilgisayarda gerekli yapılandırmayı ayarlayın.

Sistem Gereksinimleri

Makine tarafından desteklenen IPSec RFC2401, RFC2402, RFC2406 ve RFC4305 ile uyumludur.

İşletim sistemi	Windows Vista/7/8/Server 2003/Server 2008/Server 2012
Bağlantı modu	Taşıma modu
Anahtar değişimi protokolü	IKEv1 (ana mod)
	Kimlik doğrulama yöntemi	Önceden paylaşılan anahtar Dijital imza
	Karma algoritma (ve anahtar uzunluğu)	HMAC-SHA1-96 HMAC-SHA2 (256 bit veya 384 bit)
	Şifreleme algoritması (ve anahtar uzunluğu)	3DES-CBC AES-CBC (128 bit, 192 bit veya 256 bit)
	Anahtar değişimi algoritması/grubu (ve anahtar uzunluğu)	Diffie-Hellman (DH) Grup 1 (768 bit) Grup 2 (1024 bit) Grup 14 (2048 bit)
ESP	Karma algoritma	HMAC-SHA1-96
	Şifreleme algoritması (ve anahtar uzunluğu)	3DES-CBC AES-CBC (128 bit, 192 bit veya 256 bit)
	Karma algoritma/şifreleme algoritması (ve anahtar uzunluğu)	AES-GCM (128 bit, 192 bit veya 256 bit)
AH	Karma algoritma	HMAC-SHA1-96


IPSec işlevsel kısıtlamaları IPSec, tek noktaya yayın adresine (veya tek bir aygıta) iletişimi destekler. Makine aynı anda hem IPSec'i hem de DHCPv6'yı kullanamaz. IPSec, NAT veya IP geçici kimliğinin uygulandığı ağlarda kullanılamaz. IP adres filtresi ile IPSec kullanma IP adresi filtre ayarları, IPSec politikalarından önce uygulanır. Güvenlik Duvarı Kuralları için IP Adreslerini Belirtme

IPSec işlevsel kısıtlamaları

IPSec, tek noktaya yayın adresine (veya tek bir aygıta) iletişimi destekler.

Makine aynı anda hem IPSec'i hem de DHCPv6'yı kullanamaz.

IPSec, NAT veya IP geçici kimliğinin uygulandığı ağlarda kullanılamaz.

IP adres filtresi ile IPSec kullanma

IP adresi filtre ayarları, IPSec politikalarından önce uygulanır.

Güvenlik Duvarı Kuralları için IP Adreslerini Belirtme

IPSec Ayarlarını Yapılandırma

Şifreli iletişim için IPSec'i kullanmadan önce, güvenlik ilkelerini (SP) kaydetmeniz gerekir. Bir güvenlik ilkesi, aşağıda açıklanan ayar gruplarından oluşur. En fazla 10 ilke kaydedilebilir. İlkeleri kaydettikten sonra, bunların uygulanma sırasını belirtin.

Seçici

Seçici, IP paketlerinin IPSec iletişimini uygulama koşullarını tanımlar. Seçilebilir koşullar arasında, iletişim kurulacak aygıtların ve makinenin IP adresleri ve bağlantı noktası numarası yer alır.

IKE

IKE, anahtar değişimi protokolü için kullanılan IKEv1'i yapılandırır. Talimatların, seçilen kimlik doğrulama yöntemine bağlı olarak değişiklik gösterdiğini unutmayın.

[Ön-Paylaşımlı Anahtar Yöntemi]
Diğer aygıtlarla en fazla 24 alfasayısal karakterden oluşan bir anahtar paylaşılabilir. Bu kimlik doğrulama yöntemini belirtmeden önce Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirin (Uzak Kullanıcı Arabirimi için TLS Şifreli İletişimi Etkinleştirme).

[Dijital İmza Yöntemi]
Makine ve diğer aygıtlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular. Anahtar çiftini önceden oluşturun veya yükleyin (CA Tarafından Sağlanan Anahtar Çiftlerini ve Dijital Sertifikaları Kullanma).

AH/ESP

IPSec iletişimi sırasında paketlere eklenen AH/ESP ayarlarını belirtin. AH ve ESP aynı anda kullanılabilir. Daha sıkı güvenlik için PFS'nin etkinleştirilip etkinleştirilmeyeceğini de belirleyebilirsiniz.

Uzak Kullanıcı Arabirimi'ni başlatın ve Sistem Yöneticisi Modunda oturum açın. Uzak Kullanıcı Arabirimi'ni Başlatma

[Ayarlar/Kayıt] öğesini tıklatın.

[Güvenlik Ayarları]

[IPSec Ayarları] öğesini tıklatın.

[Düzenle] öğesini tıklatın.

[IPSec Kullan] onay kutusunu seçin ve [Tamam] öğesini tıklatın.

Makinenin, yalnızca aşağıdaki adımlarda tanımladığınız güvenlik politikalarından biriyle eşleşen paketleri almasını istiyorsanız [İlkesiz Paketleri Al] onay kutusunu temizleyin.

[Yeni İlke Kaydet] öğesini tıklatın.

İlke Ayarlarını belirtin.

1	[İlke Adı] metin kutusuna, ilkeyi tanımlamak için kullanılan bir ad için en fazla 24 alfasayısal karakter girin.
2	[İlkeyi Etkinleştir] onay kutusunu seçin.

Seçici Ayarlarını belirtin.

[Yerel Adres]
İlkenin uygulanacağı makinenin IP adresi türü için radyo düğmesini tıklatın.

[Tüm IP Adresleri]	Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
[IPv4 Adresi]	Makinenin IPv4 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[IPv6 Adresi]	Makinenin IPv6 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.

[Uzak Adres]
İlkenin uygulanacağı diğer aygıtların IP adresi türü için radyo düğmesini tıklatın.

[Tüm IP Adresleri]	Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
[Tüm IPv4 Adresleri]	Diğer aygıtların IPv4 adreslerine gönderilen veya bunlardan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[Tüm IPv6 Adresleri]	Diğer aygıtların IPv6 adreslerine gönderilen veya bunlardan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[IPv4 Manüel Ayarları]	IPSec uygulanacak tek bir IPv4 adresi veya IPv4 adresleri aralığı belirtmek için seçin. [Manüel Ayarlanacak Adresler] Metin kutusuna IPv4 adresini (veya aralığı) girin.
[IPv6 Manüel Ayarları]	IPSec uygulanacak tek bir IPv6 adresi veya IPv6 adresleri aralığı belirtmek için seçin. [Manüel Ayarlanacak Adresler] Metin kutusuna IPv6 adresini (veya aralığı) girin.

[Manüel Ayarlanacak Adresler]
[Uzak Adres] için [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilirse, ilkenin uygulanacağı IP adresini girin. Ayrıca adresler arasına bir tire ekleyerek de adres aralığı girebilirsiniz.

IP adresleri girme

	Açıklama	Örnek
Tek bir adres girme	IPv4: Sayıları nokta ile ayırın.	192.168.0.10
Tek bir adres girme	IPv6: Alfasayısal karakterleri iki nokta ile ayırın.	fe80::10
Bir adres aralığı belirtme	Adreslerin arasına tire ekleyin.	192.168.0.10-192.168.0.20

[Alt Ağ Ayarları]
Manuel olarak IPv4 adresi girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").

[Önek Uzunluğu]
IPv6 adresleri aralığını manuel olarak belirtmek, önekleri kullanarak aralığı belirtmenize de izin verir. Önek uzunluğu için 0 ile 128 arasında bir aralık girin.

[Yerel Port]/[Uzak Port]
HTTP veya RAW gibi her bir protokol için ayrı ilkeler oluşturmak istiyorsanız, IPSec kullanılıp kullanılmayacağını belirlemek üzere protokol için uygun bağlantı noktası numarasını girin.

IPSec, aşağıdaki paketlere uygulanmaz

Geridöngü, çok noktaya yayın ve yayın paketleri

IKE paketleri (500 numaralı bağlantı noktasında UDP kullanan)

ICMPv6 komşu isteme ve komşu tanıtımı paketleri

IKE Ayarlarını belirtin.

[IKE Modu]
Anahtar değişimi protokolü için kullanılan mod görüntülenir. Makine, ısrarlı modu değil, ana modu destekler.

[Kimlik Doğrulama Yöntemi]
Makinenin kimliği doğrulanırken kullanılan yöntem için [Ön-Paylaşımlı Anahtar Yöntemi] veya [Dijital İmza Yöntemi] seçeneğini belirleyin. [Ön-Paylaşımlı Anahtar Yöntemi] seçeneğini belirtmeden önce Uzak Kullanıcı Arabirimi için TLS’yi etkinleştirmeniz gerekir (Uzak Kullanıcı Arabirimi için TLS Şifreli İletişimi Etkinleştirme). [Dijital İmza Yöntemi] öğesini seçmeden önce bir anahtar çifti oluşturmanız veya yüklemeniz gerekir (Anahtar Çiftleri ve Dijital Sertifikalar için Ayarları Yapılandırma).

[Geçerlilik tarihi]
IKE SA (ISAKMP SA) için bir oturumun ne kadar süreceğini belirtin. Dakika cinsinden süreyi girin.

[Kimlik Doğrulama]/[Şifreleme]/[DH Grubu]
Açılır listeden bir algoritma seçin. Anahtar değişiminde her bir algoritma kullanılır.

[Kimlik Doğrulama]	Karma algoritmayı seçin.
[Şifreleme]	Şifreleme algoritmasını seçin.
[DH Grubu]	Anahtar gücünü belirleyen Diffie-Hellman grubunu seçin.

Kimlik doğrulama için önceden paylaşılan anahtar kullanma

1	[Kimlik Doğrulama Yöntemi] için [Ön-Paylaşımlı Anahtar Yöntemi] radyo düğmesini ve [Paylaşılan Anahtar Ayarları] öğesini tıklatın.
2	Önceden paylaşılan anahtar için en fazla 24 alfasayısal karakter girin ve [Tamam] öğesini tıklatın.
3	[Geçerlilik tarihi] ve [Kimlik Doğrulama]/[Şifreleme]/[DH Grubu] ayarlarını belirtin.

Kimlik doğrulama için bir anahtar çifti ve önceden yüklü CA sertifikaları kullanma

1	[Kimlik Doğrulama Yöntemi] için [Dijital İmza Yöntemi] radyo düğmesini ve [Anahtar ve Sertifika] öğesini tıklatın.
2	Kullanmak istediğiniz bir anahtar çiftinin sağındaki [Varsayılan Anahtarı Kaydet] öğesini tıklatın. Bir anahtar çiftinin veya sertifikanın ayrıntılarının görüntülenmesi [Anahtar Adı] altındaki ilgili metin bağlantısını veya sertifika simgesini tıklatarak sertifikanın ayrıntılarını denetleyebilir ya da sertifikayı doğrulayabilirsiniz. Anahtar Çiftlerini ve Dijital Sertifikaları Doğrulama
3	[Geçerlilik tarihi] ve [Kimlik Doğrulama]/[Şifreleme]/[DH Grubu] ayarlarını belirtin.

IPSec Ağ Ayarlarını belirtin.

[PFS Kullan]
IPSec oturum anahtarları için Kusursuz İletme Gizliliğini (PFS) etkinleştirmek üzere onay kutusunu işaretleyin. PFS etkinleştirildiğinde, bir yandan güvenlik geliştirilirken diğer yandan da iletişimdeki yük artırılır. Diğer aygıtlar için de PFS'nin etkinleştirildiğinden emin olun.

[Zaman Göre Belirle]/[Boyuta Göre Belirle]
Bir IPSec SA oturumunu sonlandırma koşullarını ayarlayın. Bir iletişim tüneli olarak IPSec SA kullanılır. Onay kutularından birini veya her ikisini gerektiği gibi seçin. Her iki onay kutusu da seçilirse, koşullardan herhangi biri karşılandığında IPSec SA oturumu sonlandırılır.

[Zaman Göre Belirle]	Oturumun ne kadar süreceğini belirtmek için dakika cinsinden bir süre girin.
[Boyuta Göre Belirle]	Bir oturumda ne kadar verinin taşınabileceğini belirtmek için megabayt cinsinden bir boyut girin.

[Algoritma Seç]
Kullanılan IPSec üstbilgisine ve algoritmaya bağlı olarak [ESP], [ESP (AES-GCM)] veya [AH (SHA1)] onay kutusunu seçin. AES-GCM, hem kimlik doğrulama hem de şifreleme algoritmasıdır. [ESP] seçilirse, [ESP Kimlik Doğrulaması] ve [ESP Şifreleme] açılır listelerinden kimlik doğrulama ve şifreleme algoritmalarını seçin.

[ESP Kimlik Doğrulaması]	ESP kimlik doğrulamasını etkinleştirmek üzere, karma algoritma için [SHA1] seçeneğini belirleyin. ESP kimlik doğrulamasını devre dışı bırakmak istiyorsanız, [Kullanma] seçeneğini belirleyin.
[ESP Şifreleme]	ESP için şifreleme algoritmasını seçin. Algoritma belirtmek istemiyorsanız [BOŞ] seçeneğini belirleyebilir veya ESP şifrelemesini devre dışı bırakmak istiyorsanız [Kullanma] seçeneğini belirleyebilirsiniz.

[Bağlantı Modu]
IPSec bağlantı modu görüntülenir. Makine, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunu destekler. IP paketlerinin tamamının (üstbilgiler ve bilgi yükleri) kapsüllendiği tünel modu kullanılamaz.

[Tamam] öğesini tıklatın.

Ek bir güvenlik ilkesi kaydetmeniz gerekirse, 6. adıma geri dönün.

[Kayıtlı IPSec İlkeleri] altında listelenen ilkelerin sırasını düzenleyin.

En yüksek konumdan başlayarak en düşük konuma doğru ilkeler uygulanır. Bir ilkeyi sıralamada yukarı veya aşağı taşımak için [Üst] ya da [Aşağı] öğesini tıklatın.