IPSec Ayarlarını Yapılandırma
Internet Protokolü Güvenliği (IPSec veya IPsec), Internet ağları da dahil olmak üzere, bir ağ üzerinden taşınan verileri şifrelemek için uygun protokoldür. TLS yalnızca, Web tarayıcısı veya e-posta uygulaması gibi belirli bir uygulamada kullanılan verileri şifrelerken, IPSec, IP paketlerinin tamamını ya da IP paketlerinin bilgi yüklerini şifreler ve böylece daha çok yönlü bir güvenlik sistemi sunar. Makinenin IPSec protokolü, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunda çalışır. Bu özellik sayesinde makine, aynı sanal özel ağda (VPN) bulunan bir bilgisayara doğrudan bağlanabilir. Makineyi yapılandırmadan önce, sistem gereksinimlerini denetleyin ve bilgisayarda gerekli yapılandırmayı ayarlayın.
Sistem Gereksinimleri
IPSec, makine tarafından desteklenmekte olup RFC4301, RFC4302, RFC4303 ve RFC4305. ile uyumludur.
|
İletişim ortakları tarafından desteklenen işletim sistemleri
|
Windows Vista/7/8/10/Server 2008/Server 2012
|
|
|
Bağlantı modu
|
Taşıma modu
|
|
|
Anahtar değişimi protokolü
|
IKEv1
|
|
|
Yazdırma Modu
|
Ana mod
Agresif mod
|
|
|
Kimlik doğrulama yöntemi
|
Önceden paylaşılan anahtar
Dijital imza
|
|
|
Karma algoritma
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Şifreleme algoritması
(ve anahtar uzunluğu) |
3DES-CBC
AES-CBC (128 bit, 192 bit veya 256 bit)
|
|
|
Anahtar değişimi algoritması/grubu (ve anahtar uzunluğu)
|
Diffie-Hellman (DH)
Grup 1 (768 bit)
Grup 2 (1024 bit)
Grup 14 (2048 bit)
|
|
|
ESP (Kapsüllenen Güvenlik Yükü)
|
Karma algoritma
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Şifreleme algoritması
(ve anahtar uzunluğu) |
3DES-CBC
AES-CBC (128 bit, 192 bit veya 256 bit)
|
|
|
AH (Kimlik Doğrulama Başlığı)
|
Karma algoritma
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
IPSec ayarlarını yapılandırmadan önceMakinenin iletişimde bulunacağı iletişim sisteminde IPSec ayarlarını denetleyin. İşletim sistemi ayarlarının ve makine ayarlarının yanlış bir kombinasyonu, IPSec iletişimi devre dışı bırakır.
|
 |
IPSec işlevsel kısıtlamalarıIPSec, tek noktaya yayın adresine (veya tek bir aygıta) iletişimi destekler.
Makine aynı anda hem IPSec'i hem de DHCPv6'yı kullanamaz.
NAT veya IP geçici kimliğinin uygulandığı ağlarda, IPSec kullanılamaz.
IKEv1 phase1 içeriğinde, PFS desteklenmez.
IP adres filtresi ile IPSec kullanmaIPSec ayarları paket alımı sırasında IP adres filtresi ayarlarından önce uygulanırken, IP adres filtresi ayarları paket iletimi sırasında IPSec ayarlarından önce uygulanır. Güvenlik Duvarı Kuralları için IP Adreslerini Belirtme
|
Güvenlik İlkelerinin Kayıt Edilmesi
Şifreli iletişim için IPSec'i kullanmak için, IPSec ayarlarını (IPSec İletişiminin Etkinleştirilmesi) etkinleştirmeden önce, güvenlik ilkelerini (SP) kayıt etmeniz gerekir. Bir güvenlik ilkesi, aşağıda açıklanan ayar gruplarından oluşur. En fazla 10 ilke kayıt edilebilir. IP adresi ve bağlantı noktası kombinasyonunu esas alan çoklu ilkeler kayıt edebilirsiniz. İlkeleri kaydettikten sonra, bunların uygulanma düzenini belirtin.
Seçici
Seçici, IP paketlerinin IPSec iletişimini uygulama koşullarını tanımlar. Seçilebilir koşullar arasında, iletişim kurulacak aygıtların ve makinenin IP adresleri ve bağlantı noktası numarası yer alır.
IKE
IKE, anahtar değişimi protokolü için kullanılan IKEv1'i yapılandırır. Talimatların, seçilen kimlik doğrulama yöntemine bağlı olarak değişiklik gösterdiğini unutmayın.
[Ön-Paylaşımlı Anahtar Yöntemi]
Diğer aygıtlarla, en fazla 24 alfasayısal karakterden oluşan bir anahtar paylaşılabilir. Önce Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirin (TLS'nin Şifreli İletişim için Kullanılması).
Diğer aygıtlarla, en fazla 24 alfasayısal karakterden oluşan bir anahtar paylaşılabilir. Önce Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirin (TLS'nin Şifreli İletişim için Kullanılması).
[Dijital İmza Yöntemi]
Makine ve diğer aygıtlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular. Anahtar çiftini oluşturun ve kullanıma hazır tutun (CA Tarafından Sağlanan Anahtar Çiftlerini ve Dijital Sertifikaları Kullanma).
Makine ve diğer aygıtlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular. Anahtar çiftini oluşturun ve kullanıma hazır tutun (CA Tarafından Sağlanan Anahtar Çiftlerini ve Dijital Sertifikaları Kullanma).
İlkelerin ve Seçeneklerin Oluşturulması
IPSec iletişimi sırasında paketlere eklenen AH ve ESP ayarlarını belirtin. AH ve ESP aynı anda kullanılamaz. Ayrıca, daha sıkı güvenlik sağlamak için PFS'nin etkinleştirilip etkinleştirilmeyeceğini de belirleyebilirsiniz.
1
Uzak Kullanıcı Arabirimi'ni başlatın ve Yönetici Modunda oturum açın. Uzak Kullanıcı Arabirimi'ni Başlatma
2
[Ayarlar/Kayıt] öğesini tıklatın.
3
[Güvenlik] 
[IPSec Ayarları] öğesini tıklatın.
[IPSec Ayarları] öğesini tıklatın.
4
[IPSec İlke Listesi] öğesini tıklatın.
5
[IPSec İlkesini Kaydet] öğesini tıklatın.
6
[İlke Adı] İçine bir ilke adı girin ve [İlkeyi Etkinleştir] onay kutusunu seçin.
[İlke Adı]
İlkeyi tanımlamak üzere kullanılan bir ad için en fazla 24 alfasayısal karakter girin.
İlkeyi tanımlamak üzere kullanılan bir ad için en fazla 24 alfasayısal karakter girin.
[İlkeyi Etkinleştir]
İlkeyi etkinleştirmek için onay kutusunu seçin. İlkeyi kullanmadığınızda, onay kutusunun işaretini kaldırın.
İlkeyi etkinleştirmek için onay kutusunu seçin. İlkeyi kullanmadığınızda, onay kutusunun işaretini kaldırın.
7
Seçici ayarlarını belirtin.
[Yerel Adres]
İlkenin uygulanacağı makinenin IP adresinin türünü aşağıdaki listeden seçin.
İlkenin uygulanacağı makinenin IP adresinin türünü aşağıdaki listeden seçin.
|
[Tüm IP Adresleri]
|
Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
|
|
[IPv4 Adresi]
|
Makinenin IPv4 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
|
|
[IPv6 Adresi]
|
Makinenin IPv6 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
|
|
[IPv4 Manüel Ayarları]
|
IPSec uygulanacak tek bir IPv4 adresi veya IPv4 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] Metin kutusuna IPv4 adresini (veya aralığı) girin.
|
|
[IPv6 Manüel Ayarları]
|
IPSec uygulanacak tek bir IPv6 adresi veya IPv6 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] Metin kutusuna IPv6 adresini (veya aralığı) girin.
|
[Manüel Olarak Ayarlanacak Adresler]
Eğer [Yerel Adres] için, [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilmişse, ilkenin uygulanacağı IP adresini girin.
Eğer [Yerel Adres] için, [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilmişse, ilkenin uygulanacağı IP adresini girin.
[Alt Ağ Ayarları]
IPv4 adreslerini manüel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
IPv4 adreslerini manüel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
[Uzak Adres]
İlkenin uygulanacağı diğer aygıtların IP adresinin türünü aşağıda gösterilen listeden seçin.
İlkenin uygulanacağı diğer aygıtların IP adresinin türünü aşağıda gösterilen listeden seçin.
|
[Tüm IP Adresleri]
|
Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
|
|
[Tüm IPv4 Adresleri]
|
IPv4 adresinden gönderilen veya IPv4 adresinden gelen tüm IP paketleri için IPSec'yi kullanmak için seçin.
|
|
[Tüm IPv6 Adresleri]
|
IPv6 adresinden gönderilen veya IPv6 adresinden gelen tüm IP paketleri için IPSec'yi kullanmak için seçin.
|
|
[IPv4 Manüel Ayarları]
|
IPSec uygulanacak tek bir IPv4 adresi veya IPv4 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] Metin kutusuna IPv4 adresini (veya aralığı) girin.
|
|
[IPv6 Manüel Ayarları]
|
IPSec uygulanacak tek bir IPv6 adresi veya IPv6 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] Metin kutusuna IPv6 adresini (veya aralığı) girin.
|
[Manüel Olarak Ayarlanacak Adresler]
Eğer [Uzak Adres] için, [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilmişse, ilkenin uygulanacağı IP adresini girin.
Eğer [Uzak Adres] için, [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilmişse, ilkenin uygulanacağı IP adresini girin.
[Alt Ağ Ayarları]
IPv4 adreslerini manüel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
IPv4 adreslerini manüel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
[Yerel Port]/[Uzak Port]
HTTP veya SMTP gibi her bir protokol için ayrı ilkeler oluşturmak istiyorsanız, IPSec kullanılıp kullanılmayacağını belirlemek üzere protokol için uygun bağlantı noktası numarasını girin.
HTTP veya SMTP gibi her bir protokol için ayrı ilkeler oluşturmak istiyorsanız, IPSec kullanılıp kullanılmayacağını belirlemek üzere protokol için uygun bağlantı noktası numarasını girin.
IPSec, çok noktaya yayın paketi veya yayın paketi olarak belirtilmiş öğelere uygulanmaz.
8
IKE Ayarlarını belirtin.
[IKE Modu]
Anahtar değişimi protokolü için kullanılan mod görüntülenir. Normalde, ana modu seçin.
Sabit olmayan IP adresleri için agresif modu seçin. Agresif modda, güvenliğin, normal moda göre daha düşük olduğunu dikkate alın.
[KML DOĞ Yöntemi]
Makineye kimlik doğrulaması uygulanması sırasında kullanılacak yöntem için, [Ön-Paylaşımlı Anahtar Yöntemi] veya [Dijital İmza Yöntemi] öğesini seçin.
Makineye kimlik doğrulaması uygulanması sırasında kullanılacak yöntem için, [Ön-Paylaşımlı Anahtar Yöntemi] veya [Dijital İmza Yöntemi] öğesini seçin.
[IKE Modu] İçinde agresif mod seçildiği zaman, [Ön-Paylaşımlı Anahtar Yöntemi] ayarı, paylaşılan anahtarı şifrelemez.
[Kimlik Doğr./Şifreleme Algoritması]
Anahtar alışverişi için kullanılan algoritmayı otomatik olarak ayarlamak için, [Oto] onay kutusunu seçin. Eğer onay kutusunu seçerseniz, algoritma, aşağıda gösterilen biçimde ayarlanır.
Anahtar alışverişi için kullanılan algoritmayı otomatik olarak ayarlamak için, [Oto] onay kutusunu seçin. Eğer onay kutusunu seçerseniz, algoritma, aşağıda gösterilen biçimde ayarlanır.
|
[Kimlik Doğrulama]
|
[SHA1 ve MD5]
|
|
[Şifreleme]
|
[3DES-CBC ve AES-CBC]
|
|
[DH Grubu]
|
[Grup 2 (1024)]
|
Algoritmayı manüel olarak seçmek için, onay kutusunun işaretini kaldırın ve algoritmayı seçin.
|
[Kimlik Doğrulama]
|
Karma algoritmayı seçin.
|
|
[Şifreleme]
|
Şifreleme algoritmasını seçin.
|
|
[DH Grubu]
|
Anahtar gücünü belirleyen Diffie-Hellman grubunu seçin.
|
Kimlik doğrulama için [Ön-Paylaşımlı Anahtar Yöntemi] kullanılması
|
1
|
[KML DOĞ Yöntemi] Öğesi için [Ön-Paylaşımlı Anahtar Yöntemi] öğesini seçin ve [Shared Key Settings] (Paylaşılan Anahtar Ayarları) öğesini tıklayın.
|
|
2
|
Önceden paylaşılan anahtar için en fazla 24 alfasayısal karakter girin ve [Tamam] öğesini tıklayın.
 |
Kimlik doğrulama için [Dijital İmza Yöntemi] kullanılması
|
1
|
[KML DOĞ Yöntemi] Öğesi için, [Dijital İmza Yöntemi] öğesini seçin ve [Anahtar ve Sertifika] öğesini tıklayın.
|
|
2
|
Kullanmak istediğiniz anahtar çiftini seçin ve [Varsayılan Anahtar Ayarları] öğesini tıklayın.
 Bir anahtar çiftinin veya sertifikanın ayrıntılarını görüntüleme
[Anahtar Adı] altındaki ilgili metin bağlantısını veya sertifika simgesini tıklatarak sertifikanın ayrıntılarını denetleyebilir ya da sertifikayı doğrulayabilirsiniz. Anahtar Çiftlerini ve Dijital Sertifikaları Doğrulama
|
9
IPSec Ağ Ayarlarını belirtin.
[PFS Kullan]
IPSec oturum anahtarları için Kusursuz İletme Gizliliğini (PFS) etkinleştirmek üzere onay kutusunu işaretleyin. PFS etkinleştirildiğinde, bir yandan güvenlik geliştirilirken diğer yandan da iletişimdeki yük artırılır. Ayrıca, PFS'nin diğer aygıtlar için de etkinleştirildiğinden emin olun. Kullanılmadığında, onay kutusunun işaretini kaldırın.
[Geçerlilik]
SA'nın ne kadar süre için iletişim tüneli olarak kullanılacağını belirtin. [Zamana Göre Belirle] veya [Boyuta Göre Belirle] onay kutusunu veya gerekiyorsa her ikisini birden seçin. Eğer her iki onay kutusu da işaretlenmişse, iki koşuldan herhangi biri karşılandığında, IPSec SA oturumu sonlandırılır.
SA'nın ne kadar süre için iletişim tüneli olarak kullanılacağını belirtin. [Zamana Göre Belirle] veya [Boyuta Göre Belirle] onay kutusunu veya gerekiyorsa her ikisini birden seçin. Eğer her iki onay kutusu da işaretlenmişse, iki koşuldan herhangi biri karşılandığında, IPSec SA oturumu sonlandırılır.
|
[Zamana Göre Belirle]
|
Oturumun ne kadar süreceğini belirtmek için dakika cinsinden bir süre girin. Girilen süre, hem IPSec SA hem de IKE SA için geçerlidir.
|
|
[Boyuta Göre Belirle]
|
Bir oturumda ne kadar verinin taşınabileceğini belirtmek için megabayt cinsinden bir boyut girin. Girilen boyut yalnızca, IPSec SA için geçerlidir.
|
Eğer yalnızca [Boyuta Göre Belirle] onay kutusunu seçtiyseniz
IKE SA geçerliliği, boyut cinsinden belirtilemez, bu nedenle, [Zamana Göre Belirle] için başlangıç değeri (480 dakika) geçerlidir.
[Kimlik Doğr./Şifreleme Algoritması]
IPSec iletişimi için kullanılacak protokolü ve algoritmayı seçin.
IPSec iletişimi için kullanılacak protokolü ve algoritmayı seçin.
Bağlantının otomatik olarak kurulumu[Oto] (Kitapçık Yazdırma) öğesini seçin.
|
[ESP Kimlik Doğrulama]
|
ESP etkinleştirilir ve kimlik doğrulama algoritması, [SHA1 ve MD5] olarak ayarlanır.
|
|
[ESP Şifreleme]
|
ESP etkinleştirilir ve şifreleme algoritması, [3DES-CBC ve AES-CBC] olarak ayarlanır.
|
ESP kullanımı[ESP] Öğesini seçin ve kimlik doğrulama algoritmasını şifreleme algoritmasını seçin.
|
[ESP Kimlik Doğrulama]
|
ESP kimlik doğrulaması için kullanılacak karma algoritmayı seçin.
|
|
[ESP Şifreleme]
|
ESP için şifreleme algoritmasını seçin.
|
AH Kullanımı[AH] Öğesini seçin ve AH kimlik doğrulaması için kullanılacak karma algoritmayı [AH Kimlik Doğrulama] içinden seçin.
[Bağlantı Modu]
IPSec bağlantı modu görüntülenir. Makine, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunu destekler. IP paketlerinin tamamının (üstbilgiler ve bilgi yükleri) kapsüllendiği tünel modu kullanılamaz.
IPSec bağlantı modu görüntülenir. Makine, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunu destekler. IP paketlerinin tamamının (üstbilgiler ve bilgi yükleri) kapsüllendiği tünel modu kullanılamaz.
10
[Tamam] öğesini tıklatın.
Ek bir güvenlik ilkesi kayıt etmeniz gerekirse, 5. adıma geri dönün.
11
[IPSec İlke Listesi] altında listelenen ilkelerin sırasını düzenleyin.
En yüksek konumdan başlayarak en düşük konuma doğru ilkeler uygulanır. Bir ilkeyi sıralamada yukarı veya aşağı taşımak için [Önceliği Yükselt] ya da [Daha Düşük Öncelik] öğesini tıklatın.
Bir ilkenin düzenlenmesi
Ayarları düzenlemek için, [İlke Adı] öğesi altında bulunan metin bağlantısını tıklayabilirsiniz.
Bir ilkenin silinmesi
Silmek istediğiniz ilke adının sağında bulunan [Sil] öğesini tıklayın.
12
Donanımdan sıfırlama yapın.
[Cihaz Kontrolü] öğesini tıklayın, [Sert Sıfırlama] öğesini seçin ve ardından [Yürüt] öğesini tıklayın.
Donanımdan sıfırlama gerçekleştirilmesinin ardından, ayarlar etkinleşir.
IPSec İletişiminin Etkinleştirilmesi
Güvenlik ilkelerinin kayıt edilmesinin tamamlanmasından sonra, IPSec iletişimini etkinleştirin.
1
Uzak Kullanıcı Arabirimi'ni başlatın ve Yönetici Modunda oturum açın. Uzak Kullanıcı Arabirimi'ni Başlatma
2
[Ayarlar/Kayıt] öğesini tıklatın.
3
[Güvenlik] [IPSec Ayarları] öğesini tıklatın.
[IPSec Ayarları] öğesini tıklatın.4
[Düzenle] öğesini tıklatın.
5
[IPSec Kullan] onay kutusunu seçin ve [Tamam] öğesini tıklatın.
[IPSec Kullan]
Yazdırma için IPSec kullandığınızda, bu onay kutusunu seçin. Kullanılmadığı zaman, onay kutusunun işaretini kaldırın.
[İlkesiz Paketleri Almaya İzin Ver]
IPSec kullandığınızda bu onay kutusunu seçerseniz, kayıtlı ilkeler için kullanılabilir olmayan paketler de gönderilir/alınır. İlkeler için kullanılabilir olmayan paketlerin gönderilmesini/alınmasını devre dışı bırakmak için, onay kutusunun işaretini kaldırın.
IPSec kullandığınızda bu onay kutusunu seçerseniz, kayıtlı ilkeler için kullanılabilir olmayan paketler de gönderilir/alınır. İlkeler için kullanılabilir olmayan paketlerin gönderilmesini/alınmasını devre dışı bırakmak için, onay kutusunun işaretini kaldırın.
6
Donanımdan sıfırlama yapın.
[Cihaz Kontrolü] öğesini tıklayın, [Sert Sıfırlama] öğesini seçin ve ardından [Yürüt] öğesini tıklayın.
Donanımdan sıfırlama gerçekleştirilmesinin ardından ayarlar etkinleşir.
|
|
İşletim panelini kullanmaIPSec iletişimini ayrıca, işletim panelinin ayar menüsünden de etkinleştirebilir veya devre dışı bırakabilirsiniz. IPSec
|