IPSec Ayarlarını Yapılandırma
İnternet Protokolü Güvenliği (IPSec veya IPsec), internet ağları da dahil olmak üzere, bir ağ üzerinden taşınan verileri şifrelemek için uygun protokoldür. TLS yalnızca Web tarayıcısı veya e-posta uygulaması gibi belirli bir uygulamada kullanılan verileri şifrelerken, IPSec, IP paketlerinin tamamını ya da IP paketlerinin bilgi yüklerini şifreler ve böylece daha çok yönlü bir güvenlik sistemi sunar. Makinenin IPSec protokolü, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunda çalışır. Bu özellik sayesinde makine, aynı sanal özel ağda (VPN) bulunan bir bilgisayara doğrudan bağlanabilir. Makineyi yapılandırmadan önce bilgisayarda gerekli yapılandırmayı ayarlayın.
|
IP adres filtresi ile IPSec kullanmaPaket alımı sırasında IPSec ayarları, IP adres filtresi ayarlarından önce uygulanırken paket iletimi sırasında IP adresi ayarları, IPSec ayarlarından önce uygulanır. Güvenlik Duvarı Kuralları için IP Adreslerini Belirtme |
Güvenlik İlkelerini Kaydetme
Şifreli iletişim için IPSec kullanmak için, güvenlik ilkelerinizi (SP) IPSec ayarlarını etkinleştirmeden önce kaydettirmeniz gereklidir (IPSec İletişimini Etkinleştirme). Bir güvenlik ilkesi, aşağıda açıklanan ayar gruplarından oluşur. IP adresi ve bağlantı noktası numarasının bir birleşimine dayalı olarak birden fazla ilke kaydettirebilirsiniz. İlkeleri kaydettikten sonra bunların uygulanma sırasını belirtin.
Seçici
Seçici, IP paketlerinin IPSec iletişimini uygulama koşullarını tanımlar. Seçilebilir koşullar arasında, iletişim kurulacak aygıtların ve makinenin IP adresleri ve bağlantı noktası numarası yer alır.
IKE
IKE, anahtar değişimi protokolü için kullanılan IKEv1'i yapılandırır. Talimatların, seçilen kimlik doğrulama yöntemine bağlı olarak değişiklik gösterdiğini unutmayın.
[Ön-Paylaşımlı Anahtar Yöntemi]
Diğer cihazlarla, alfasayısal karakterlerden oluşan bir anahtar paylaşılabilir. Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirin (TLS'nin Şifreli İletişim için Kullanılması).
Diğer cihazlarla, alfasayısal karakterlerden oluşan bir anahtar paylaşılabilir. Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirin (TLS'nin Şifreli İletişim için Kullanılması).
[Dijital İmza Yöntemi]
Makine ve diğer aygıtlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular. Kullanılacak anahtar çiftini hazırda bulundurun (CA Tarafından Sağlanan Anahtar Çiftlerini ve Dijital Sertifikaları Kullanma).
Makine ve diğer aygıtlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular. Kullanılacak anahtar çiftini hazırda bulundurun (CA Tarafından Sağlanan Anahtar Çiftlerini ve Dijital Sertifikaları Kullanma).
Protokol ve Seçenekleri Ayarlama
IPSec iletişimi sırasında paketlere eklenen ESP ve AH ayarlarını belirtin. ESP ve AH aynı anda kullanılamaz. Daha sıkı güvenlik için PFS'nin etkinleştirilip etkinleştirilmeyeceğini de belirleyebilirsiniz.
1
Uzak Kullanıcı Arabirimi’ni başlatın ve Yönetim Modunda oturum açın. Uzak Kullanıcı Arabirimi'ni Başlatma
2
[Ayarlar/Kayıt] öğesine tıklayın.
3
[Güvenlik] 
[IPSec Ayarları] öğelerine tıklayın.
[IPSec Ayarları] öğelerine tıklayın.
4
[IPSec İlke Listesi] öğesine tıklayın.
5
[IPSec İlkesini Kaydet] öğesine tıklayın.
6
[İlke Adı]’nda bir ilke adı girin ve [İlkeyi Etkinleştir] onay kutusunu seçin.
[İlke Adı]
İlkeyi tanımlamak üzere kullanılan bir ad için alfasayısal karakter girin.
İlkeyi tanımlamak üzere kullanılan bir ad için alfasayısal karakter girin.
[İlkeyi Etkinleştir]
İlkeyi etkinleştirmek için onay kutusunu seçin. İlke kullanılmadığında onay kutusunu temizleyin.
İlkeyi etkinleştirmek için onay kutusunu seçin. İlke kullanılmadığında onay kutusunu temizleyin.
7
Seçici ayarlarını belirtin.
[Yerel Adres]
İlkeyi uygulamak için aşağıdaki listeden makinenin IP adresinin türünü seçin.
İlkeyi uygulamak için aşağıdaki listeden makinenin IP adresinin türünü seçin.
[Tüm IP Adresleri] | Tüm IP paketlerine ilişkin IPSec kullanmak için seçin. |
[IPv4 Adresi] | Makinenin IPv4 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'i kullanmak üzere seçin. |
[IPv6 Adresi] | Makinenin IPv6 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin. |
[IPv4 Manüel Ayarları] | IPSec uygulanacak tek bir IPv4 adresi veya IPv4 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] metin kutusuna IPv4 adresini (veya aralığı) girin. |
[IPv6 Manüel Ayarları] | IPSec uygulanacak tek bir IPv6 adresi veya IPv6 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] metin kutusuna IPv6 adresini (veya aralığı) girin. |
[Manüel Olarak Ayarlanacak Adresler]
[Yerel Adres] için [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilirse, ilkenin uygulanacağı IP adresini girin.
[Yerel Adres] için [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilirse, ilkenin uygulanacağı IP adresini girin.
[Alt Ağ Ayarları]
IPv4 adreslerini manuel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
IPv4 adreslerini manuel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
[Uzak Adres]
İlkeyi uygulamak için aşağıda verilen listeden diğer aygıtların IP adresinin türünü seçin.
İlkeyi uygulamak için aşağıda verilen listeden diğer aygıtların IP adresinin türünü seçin.
[Tüm IP Adresleri] | Tüm IP paketlerine ilişkin IPSec kullanmak için seçin. |
[Tüm IPv4 Adresleri] | Makineye gönderilen veya bir IPv4 adresinden gelen tüm IP paketleri için IPSec’i kullanmak üzere seçin. |
[Tüm IPv6 Adresleri] | Makineye gönderilen veya bir IPv6 adresinden gelen tüm IP paketleri için IPSec’i kullanmak üzere seçin. |
[IPv4 Manüel Ayarları] | IPSec uygulanacak tek bir IPv4 adresi veya IPv4 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] metin kutusuna IPv4 adresini (veya aralığı) girin. |
[IPv6 Manüel Ayarları] | IPSec uygulanacak tek bir IPv6 adresi veya IPv6 adresleri aralığı belirtmek için seçin. [Manüel Olarak Ayarlanacak Adresler] metin kutusuna IPv6 adresini (veya aralığı) girin. |
[Manüel Olarak Ayarlanacak Adresler]
[Uzak Adres] için [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilirse, ilkenin uygulanacağı IP adresini girin.
[Uzak Adres] için [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilirse, ilkenin uygulanacağı IP adresini girin.
[Alt Ağ Ayarları]
IPv4 adreslerini manuel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
IPv4 adreslerini manuel olarak girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
[Yerel Port]/[Uzak Port]
HTTP veya SMTP gibi her bir protokol için ayrı ilkeler oluşturmak istiyorsanız, IPSec kullanılıp kullanılmayacağını belirlemek üzere protokol için uygun bağlantı noktası numarasını girin.
HTTP veya SMTP gibi her bir protokol için ayrı ilkeler oluşturmak istiyorsanız, IPSec kullanılıp kullanılmayacağını belirlemek üzere protokol için uygun bağlantı noktası numarasını girin.
Çok noktaya yayın veya yayın adresi belirtilmiş paketlere IPSec uygulanmaz.
8
IKE Ayarlarını belirtin.
[IKE Modu]
Anahtar değişimi protokolü için kullanılan mod görüntülenir. Normalde ana modu seçin.
IP adresi sabit olmadığında ısrarlı modu seçin. Israrlı modda güvenliğin ana moda göre daha düşük olduğuna dikkat edin.
[KML DOĞ Yöntemi]
Makinenin kimliği doğrulanırken kullanılan yöntem için [Ön-Paylaşımlı Anahtar Yöntemi] veya [Dijital İmza Yöntemi] öğesini seçin.
Makinenin kimliği doğrulanırken kullanılan yöntem için [Ön-Paylaşımlı Anahtar Yöntemi] veya [Dijital İmza Yöntemi] öğesini seçin.
[IKE Modu]’nda ısrarlı mod seçildiğinde, [Ön-Paylaşımlı Anahtar Yöntemi] ayarı paylaşılan anahtarı şifrelemez.
[Kimlik Doğr./Şifreleme Algoritması]
Anahtar değişimi için kullanılan algoritmayı otomatik olarak ayarlamak için [Oto] onay kutusunu seçin. Onay kutusunu seçerseniz algoritma aşağıdaki gibi ayarlanır.
Anahtar değişimi için kullanılan algoritmayı otomatik olarak ayarlamak için [Oto] onay kutusunu seçin. Onay kutusunu seçerseniz algoritma aşağıdaki gibi ayarlanır.
[Kimlik Doğrulama] | [SHA1 ve MD5] |
[Şifreleme] | [3DES-CBC ve AES-CBC] |
[DH Grubu] | [Grup 2 (1024)] |
Algoritmayı manuel olarak ayarlamak için onay kutusunu temizleyin ve algoritmayı seçin.
[Kimlik Doğrulama] | Karma algoritmayı seçin. |
[Şifreleme] | Şifreleme algoritmasını seçin. |
[DH Grubu] | Anahtar gücünü belirleyen Diffie-Hellman grubunu seçin. |
Kimlik doğrulaması için [Ön-Paylaşımlı Anahtar Yöntemi] kullanma
1 | [KML DOĞ Yöntemi] için [Ön-Paylaşımlı Anahtar Yöntemi] öğesini seçin ve [Paylaşılan Anahtar Ayarları] öğesine tıklayın. |
2 | Önceden paylaşılan anahtar için alfasayısal karakter girin ve [Tamam] öğesine tıklayın.  |
Kimlik doğrulaması için [Dijital İmza Yöntemi] kullanma
1 | [KML DOĞ Yöntemi] için [Dijital İmza Yöntemi] öğesini seçin ve [Anahtar ve Sertifika] öğesine tıklayın. |
2 | Kullanmak istediğiniz anahtar çiftini seçin ve [Varsayılan Anahtar Ayarları] öğesine tıklayın.  Bir anahtar çiftinin veya sertifikanın ayrıntılarını görüntüleme [Anahtar Adı] altındaki ilgili metin bağlantısını veya sertifika simgesine tıklayarak sertifikanın ayrıntılarını kontrol edebilir ya da sertifikayı doğrulayabilirsiniz. Anahtar Çiftlerini ve Dijital Sertifikaları Doğrulama |
9
IPSec Ağ Ayarlarını belirtin.
[PFS Kullan]
IPSec oturum anahtarları için Kusursuz İletme Gizliliğini (PFS) etkinleştirmek üzere onay kutusunu seçin. PFS etkinleştirildiğinde, bir yandan güvenlik geliştirilirken diğer yandan da iletişimdeki yük artırılır. Diğer aygıtlar için de PFS'nin etkinleştirildiğinden emin olun. PFS kullanılmadığında onay kutusunu temizleyin.
[Geçerlilik]
SA’nın ne kadar süreyle iletişim tüneli olarak kullanılacağını belirtin. [Zamana Göre Belirle] ve [Boyuta Göre Belirle] onay kutularından birini veya her ikisini birden gerektiği gibi seçin. Her iki onay kutusu da seçilirse, koşullardan herhangi biri karşılandığında IPSec SA oturumu sonlandırılır.
SA’nın ne kadar süreyle iletişim tüneli olarak kullanılacağını belirtin. [Zamana Göre Belirle] ve [Boyuta Göre Belirle] onay kutularından birini veya her ikisini birden gerektiği gibi seçin. Her iki onay kutusu da seçilirse, koşullardan herhangi biri karşılandığında IPSec SA oturumu sonlandırılır.
[Zamana Göre Belirle] | Oturumun ne kadar süreceğini belirtmek için dakika cinsinden bir süre girin. Girilen süre, hem IPSec SA hem de IKE SA için geçerlidir. |
[Boyuta Göre Belirle] | Bir oturumda ne kadar verinin taşınabileceğini belirtmek için megabayt cinsinden bir boyut girin. Girilen boyut, yalnızca IPSec SA için geçerlidir. |
Yalnızca [Boyuta Göre Belirle] onay kutusunu seçtiyseniz
IKE SA geçerliliği boyuta göre belirtilemez, bu nedenle [Zamana Göre Belirle] öğesinin ilk değeri (480 dakika) uygulanır.
[Kimlik Doğr./Şifreleme Algoritması]
IPSec iletişimi için kullanılacak protokolü ve algoritmayı seçin.
IPSec iletişimi için kullanılacak protokolü ve algoritmayı seçin.
Otomatik olarak bağlantı ayarlama[Oto] öğesini seçin.
[ESP Kimlik Doğrulama] | ESP etkindir ve kimlik doğrulama algoritması [SHA1 ve MD5] olarak ayarlıdır. |
[ESP Şifreleme] | ESP etkindir ve şifreleme algoritması [3DES-CBC ve AES-CBC] olarak ayarlıdır. |
ESP kullanma[ESP]’yi seçin, daha sonra kimlik doğrulama algoritmasını ve şifreleme algoritmasını belirleyin.
[ESP Kimlik Doğrulama] | ESP kimlik doğrulama için kullanılacak karma algoritmayı seçin. |
[ESP Şifreleme] | ESP için şifreleme algoritmasını seçin. |
AH Kullanma[AH] öğesini seçin ve [AH Kimlik Doğrulama] bölümünden AH kimlik doğrulama için kullanılacak karma algoritmayı seçin.
[Bağlantı Modu]
IPSec bağlantı modu görüntülenir. Makine, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunu destekler. IP paketlerinin tamamının (üstbilgiler ve bilgi yükleri) kapsüllendiği tünel modu kullanılamaz.
IPSec bağlantı modu görüntülenir. Makine, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunu destekler. IP paketlerinin tamamının (üstbilgiler ve bilgi yükleri) kapsüllendiği tünel modu kullanılamaz.
10
[Tamam] öğesine tıklayın.
Ek bir güvenlik ilkesi kaydetmeniz gerekirse, 5. adıma geri dönün.
11
[IPSec İlke Listesi] altında listelenen ilkelerin sırasını düzenleyin.
En yüksek konumdan başlayarak en düşük konuma doğru ilkeler uygulanır. Bir ilkeyi sıralamada yukarı veya aşağı taşımak için [Önceliği Yükselt] ya da [Daha Düşük Öncelik] öğesine tıklayın.
Bir ilkeyi düzenleme
Ayarları düzenlemek için [İlke Adı] altındaki metin bağlantısına tıklayabilirsiniz.
Bir ilkeyi silme
Silmek istediğiniz ilkenin sağında bulunan [Sil] öğesine tıklayın.
12
Donanım sıfırlama işlemi gerçekleştirin.
[Cihaz Kontrolü] sekmesine tıklayın, [Sert Sıfırlama] öğesini seçin ve daha sonra [Yürüt] öğesine tıklayın.
Donanım sıfırlama gerçekleştirildikten sonra ayarlar etkinleştirilir.
IPSec İletişimini Etkinleştirme
Güvenlik ilkelerinin kaydı tamamlandıktan sonra IPSec iletişimini etkinleştirin.
1
Uzak Kullanıcı Arabirimi’ni başlatın ve Yönetim Modunda oturum açın. Uzak Kullanıcı Arabirimi'ni Başlatma
2
[Ayarlar/Kayıt] öğesine tıklayın.
3
[Güvenlik] [IPSec Ayarları] öğelerine tıklayın.
[IPSec Ayarları] öğelerine tıklayın.4
[Düzenle] öğesine tıklayın.
5
[IPSec Kullan] onay kutusunu seçin ve [Tamam] öğesine tıklayın.
[IPSec Kullan]
Makinede IPSec kullanıldığında onay kutusunu seçin. Kullanılmadığında onay kutusunu temizleyin.
[İlkesiz Paketleri Almaya İzin Ver]
IPSec kullanırken onay kutusunu seçerseniz, kayıtlı ilkeler için kullanılamayan paketler de gönderilir/alınır. İlkeler için kullanılamayan paketlerin gönderilmesini/alınmasını devre dışı bırakmak için onay kutusunu temizleyin.
IPSec kullanırken onay kutusunu seçerseniz, kayıtlı ilkeler için kullanılamayan paketler de gönderilir/alınır. İlkeler için kullanılamayan paketlerin gönderilmesini/alınmasını devre dışı bırakmak için onay kutusunu temizleyin.
6
Donanım sıfırlama işlemi gerçekleştirin.
[Cihaz Kontrolü] sekmesine tıklayın, [Sert Sıfırlama] öğesini seçin ve daha sonra [Yürüt] öğesine tıklayın.
Donanım sıfırlama gerçekleştirildikten sonra ayarlar etkinleştirilir.
|
İşletim panelini kullanmaIPSec iletişimini, işletim panelindeki ayar menüsünden de etkinleştirip devre dışı bırakabilirsiniz. IPSec |