IPSec Ayarlarını Yapılandırma

Internet Protokolü Güvenliği (IPSec veya IPsec), Internet ağları da dahil olmak üzere, bir ağ üzerinden taşınan verileri şifrelemek için uygun protokoldür. TLS yalnızca Web tarayıcısı veya e-posta uygulaması gibi belirli bir uygulamada kullanılan verileri şifrelerken, IPSec, IP paketlerinin tamamını ya da IP paketlerinin bilgi yüklerini şifreler ve böylece daha çok yönlü bir güvenlik sistemi sunar. Makinenin IPSec protokolü, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunda çalışır. Bu özellik sayesinde makine, aynı sanal özel ağda (VPN) bulunan bir bilgisayara doğrudan bağlanabilir. Makineyi yapılandırmadan önce, sistem gereksinimlerini denetleyin ve bilgisayarda gerekli yapılandırmayı ayarlayın.

Sistem Gereksinimleri

Makine tarafından desteklenen IPSec RFC2401, RFC2402, RFC2406 ve RFC4305 ile uyumludur.

İşletim sistemi	Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
Bağlantı modu	Taşıma modu
Anahtar değişimi protokolü	IKEv1 (ana mod)
	Kimlik doğrulama yöntemi	Önceden paylaşılan anahtar Dijital imza
	Karma algoritma (ve anahtar uzunluğu)	HMAC-SHA1-96 HMAC-SHA2 (256 bit veya 384 bit)
	Şifreleme algoritması (ve anahtar uzunluğu)	3DES-CBC AES-CBC (128 bit, 192 bit veya 256 bit)
	Anahtar değişimi algoritması/grubu (ve anahtar uzunluğu)	Diffie-Hellman (DH) Grup 1 (768 bit) Grup 2 (1024 bit) Grup 14 (2048 bit)
ESP	Karma algoritma	HMAC-SHA1-96
	Şifreleme algoritması (ve anahtar uzunluğu)	3DES-CBC AES-CBC (128 bit, 192 bit veya 256 bit)
	Karma algoritma/şifreleme algoritması (ve anahtar uzunluğu)	AES-GCM (128 bit, 192 bit veya 256 bit)
AH	Karma algoritma	HMAC-SHA1-96

NOT
IPSec işlevsel kısıtlamaları IPSec, tek noktaya yayın adresine (veya tek bir aygıta) iletişimi destekler. Makine aynı anda hem IPSec'i hem de DHCPv6'yı kullanamaz. IPSec, NAT veya IP geçici kimliğinin uygulandığı ağlarda kullanılamaz. IP adres filtresi ile IPSec kullanma IP adresi filtre ayarları, IPSec politikalarından önce uygulanır. Güvenlik Duvarı Kuralları için IP Adreslerini Belirleme

NOT

IPSec işlevsel kısıtlamaları

IPSec, tek noktaya yayın adresine (veya tek bir aygıta) iletişimi destekler.

Makine aynı anda hem IPSec'i hem de DHCPv6'yı kullanamaz.

IPSec, NAT veya IP geçici kimliğinin uygulandığı ağlarda kullanılamaz.

IP adres filtresi ile IPSec kullanma

IP adresi filtre ayarları, IPSec politikalarından önce uygulanır.

Güvenlik Duvarı Kuralları için IP Adreslerini Belirleme

IPSec Ayarlarını Yapılandırma

Şifreli iletişim için IPSec'i kullanmadan önce, güvenlik ilkelerini (SP) kaydetmeniz gerekir. Bir güvenlik ilkesi, aşağıda açıklanan ayar gruplarından oluşur. En fazla 10 ilke kaydedilebilir. İlkeleri kaydettikten sonra, bunların uygulanma sırasını belirtin.

Seçici

Seçici, IP paketlerinin IPSec iletişimini uygulama koşullarını tanımlar. Seçilebilir koşullar arasında, iletişim kurulacak aygıtların ve makinenin IP adresleri ve bağlantı noktası numarası yer alır.

IKE

IKE, anahtar değişimi protokolü için kullanılan IKEv1'i yapılandırır. Talimatların, seçilen kimlik doğrulama yöntemine bağlı olarak değişiklik gösterdiğini unutmayın.

[Ön-Paylaşımlı Anahtar Yöntemi:]
Diğer cihazlarla, en fazla 24 alfasayısal karakterden oluşan bir anahtar paylaşılabilir. Bu kimlik doğrulama yöntemini belirtmeden önce Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirin (Uzak Kullanıcı Arabirimi için TLS Şifreli İletişimi Etkinleştirme).

[Dijital İmza Yöntemi:]
Makine ve diğer aygıtlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular. Anahtar çiftini önceden oluşturun veya yükleyin (Anahtar Çiftleri ve Dijital Sertifikalar için Ayarları Yapılandırma).

AH/ESP

IPSec iletişimi sırasında paketlere eklenen AH/ESP ayarlarını belirtin. AH ve ESP aynı anda kullanılabilir. Daha sıkı güvenlik için PFS'nin etkinleştirilip etkinleştirilmeyeceğini de belirleyebilirsiniz.

Uzak Kullanıcı Arabirimi'ni başlatın ve Sistem Yöneticisi Modunda oturum açın. Uzak Kullanıcı Arabirimini Başlatma

[Ayarlar/Kayıt] seçeneğine tıklayın.

[Güvenlik Ayarları]

[IPSec Ayarları] seçeneğine tıklayın.

[Düzenle...] seçeneğine tıklayın.

[IPSec Kullan] onay kutusunu seçin ve [Tamam] seçeneğine tıklayın.

Makinenin, yalnızca aşağıdaki adımlarda tanımladığınız güvenlik politikalarından biriyle eşleşen paketleri almasını istiyorsanız [İlkesiz Paketleri Al] onay kutusunu temizleyin.

[Yeni İlke Kaydet...] seçeneğine tıklayın.

İlke Ayarlarını belirtin.

1	[İlke Adı] metin kutusuna, ilkeyi tanımlamak için kullanılan bir ad için en fazla 24 alfasayısal karakter girin.
2	[İlkeyi Etkinleştir] onay kutusunu seçin.

Seçici Ayarlarını belirtin.

[Yerel Adres:]
İlkenin uygulanacağı makinenin IP adresi türü için radyo düğmesini tıklatın.

[Tüm IP Adresleri]	Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
[IPv4 Adresi]	Makinenin IPv4 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[IPv6 Adresi]	Makinenin IPv6 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.

[Uzak Adres:]
İlkenin uygulanacağı diğer aygıtların IP adresi türü için radyo düğmesini tıklatın.

[Tüm IP Adresleri]	Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
[Tüm IPv4 Adresleri]	Diğer aygıtların IPv4 adreslerine gönderilen veya bunlardan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[Tüm IPv6 Adresleri]	Diğer aygıtların IPv6 adreslerine gönderilen veya bunlardan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[IPv4 Manüel Ayarları]	IPSec uygulanacak tek bir IPv4 adresi veya IPv4 adresleri aralığı belirtmek için seçin. [Manüel Ayarlanacak Adresler:] metin kutusuna IPv4 adresini (veya aralığı) girin.
[IPv6 Manüel Ayarları]	IPSec uygulanacak tek bir IPv6 adresi veya IPv6 adresleri aralığı belirtmek için seçin. [Manüel Ayarlanacak Adresler:] metin kutusuna IPv6 adresini (veya aralığı) girin.

[Manüel Ayarlanacak Adresler:]
[Uzak Adres:] için [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilirse, ilkenin uygulanacağı IP adresini girin. Ayrıca adresler arasına bir tire ekleyerek de adres aralığı girebilirsiniz.

NOT:
IP adreslerini girme

	Açıklama	Örnek
Tek bir adres girme	IPv4: Sayıları nokta ile ayırın.	192.168.0.10
Tek bir adres girme	IPv6: Alfasayısal karakterleri iki nokta ile ayırın.	fe80::10
Bir adres aralığı belirtme	Adreslerin arasına tire ekleyin.	192.168.0.10-192.168.0.20
Önek içeren bir adres aralığı belirtme (yalnızca IPv6)	Adresi girin, ardından bir eğik çizgi ve önek uzunluğunu belirten bir sayı girin.	fe80::1234/64

[Alt Ağ Ayarları:]
Manuel olarak IPv4 adresi girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (Örnek: "255.255.255.240").

[Önek Uzunluğu:]
IPv6 manüel olarak belirlendiğinde, önek uzunluğunu ayarlayabilirsiniz.

[Yerel Port:]/[Uzak Port:]
HTTP veya SMTP gibi her bir protokol için ayrı ilkeler oluşturmak istiyorsanız, IPSec kullanılıp kullanılmayacağını belirlemek üzere protokol için uygun bağlantı noktası numarasını girin.

ÖNEMLİ:
IPSec, aşağıdaki paketlere uygulanmaz

Geridöngü, çok noktaya yayın ve yayın paketleri

IKE paketleri (500 numaralı bağlantı noktasında UDP kullanan)

ICMPv6 komşu isteme ve komşu tanıtımı paketleri

IKE Ayarlarını belirtin.

[IKE Modu:]
Anahtar değişimi protokolü için kullanılan mod görüntülenir. Makine, ısrarlı modu değil, ana modu destekler.

[Kimlik Doğrulama Yöntemi:]
Makinenin kimliği doğrulanırken kullanılan yöntem için [Ön-Paylaşımlı Anahtar Yöntemi:] veya [Dijital İmza Yöntemi:] seçeneğini seçin. [Ön-Paylaşımlı Anahtar Yöntemi:] seçeneğini seçmeden önce Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirmeniz gerekir (Uzak Kullanıcı Arabirimi için TLS Şifreli İletişimi Etkinleştirme). [Dijital İmza Yöntemi:] seçeneğini seçmeden önce bir anahtar çifti oluşturmanız veya yüklemeniz gerekir (Anahtar Çiftleri ve Dijital Sertifikalar için Ayarları Yapılandırma).

[Geçerlilik tarihi:]
IKE SA (ISAKMP SA) için bir oturumun ne kadar süreceğini belirtin. Dakika cinsinden süreyi girin.

[Kimlik Doğrulama:]/[Şifreleme:]/[DH Grubu:]
Açılır listeden bir algoritma seçin. Anahtar değişiminde her bir algoritma kullanılır.

[Kimlik Doğrulama:]	Karma algoritmayı seçin.
[Şifreleme:]	Şifreleme algoritmasını seçin.
[DH Grubu:]	Anahtar gücünü belirleyen Diffie-Hellman grubunu seçin.

Kimlik doğrulama için önceden paylaşılan anahtar kullanma

1	[Kimlik Doğrulama Yöntemi:] için [Ön-Paylaşımlı Anahtar Yöntemi:] seçenek düğmesine, sonra [Paylaşılan Anahtar Ayarları...] seçeneğine tıklayın.
2	Önceden paylaşılan anahtar için en fazla 24 alfasayısal karakter girin ve [Tamam] öğesine tıklayın.
3	[Geçerlilik tarihi:] ve [Kimlik Doğrulama:]/[Şifreleme:]/[DH Grubu:] ayarlarını belirleyin.

Kimlik doğrulama için bir anahtar çifti ve önceden yüklü CA sertifikaları kullanma

1	[Dijital İmza Yöntemi:] için [Kimlik Doğrulama Yöntemi:] seçenek düğmesine, sonra [Anahtar ve Sertifika...] seçeneğine tıklayın.
2	Kullanmak istediğiniz bir anahtar çiftinin sağındaki [Varsayılan Anahtarı Kaydet] seçeneğine tıklayın. NOT: Bir anahtar çiftinin veya sertifikanın ayrıntılarını görüntüleme [Anahtar Adı] altındaki ilgili metin bağlantısını veya sertifika simgesini tıklatarak sertifikanın ayrıntılarını denetleyebilir ya da sertifikayı doğrulayabilirsiniz. Anahtar Çiftlerini ve Dijital Sertifikaları Doğrulama
3	[Geçerlilik tarihi:] ve [Kimlik Doğrulama:]/[Şifreleme:]/[DH Grubu:] ayarlarını belirleyin.

IPSec Ağ Ayarlarını belirtin.

[PFS Kullan]
IPSec oturum anahtarları için Kusursuz İletme Gizliliğini (PFS) etkinleştirmek üzere onay kutusunu işaretleyin. PFS etkinleştirildiğinde, bir yandan güvenlik geliştirilirken diğer yandan da iletişimdeki yük artırılır. Diğer aygıtlar için de PFS'nin etkinleştirildiğinden emin olun.

[Zaman Göre Belirle]/[Boyuta Göre Belirle]
Bir IPSec SA oturumunu sonlandırma koşullarını ayarlayın. Bir iletişim tüneli olarak IPSec SA kullanılır. Onay kutularından birini veya her ikisini gerektiği gibi seçin. Her iki onay kutusu da seçilirse, koşullardan herhangi biri karşılandığında IPSec SA oturumu sonlandırılır.

[Zaman Göre Belirle]	Oturumun ne kadar süreceğini belirtmek için dakika cinsinden bir süre girin.
[Boyuta Göre Belirle]	Bir oturumda ne kadar verinin taşınabileceğini belirtmek için megabayt cinsinden bir boyut girin.

[Algoritma Seç:]
Kullanılan IPSec üstbilgisine ve algoritmaya bağlı olarak [ESP], [ESP (AES-GCM)], veya [AH (SHA1)] onay kutusunu seçin. AES-GCM, hem kimlik doğrulama hem de şifreleme algoritmasıdır. [ESP] seçilirse, [ESP Kimlik Doğrulaması:] ve [ESP Şifreleme:] açılır listelerinden kimlik doğrulama ve şifreleme algoritmalarını da seçin.

[ESP Kimlik Doğrulaması:]	ESP kimlik doğrulamasını etkinleştirmek üzere, karma algoritma için [SHA1] seçeneğini seçin. ESP kimlik doğrulamasını devredışı bırakmak istiyorsanız, [Kullanma] seçeneğini seçin.
[ESP Şifreleme:]	ESP için şifreleme algoritmasını seçin. Algoritma belirtmek istemiyorsanız [BOŞ] seçeneğini seçebilir veya ESP şifrelemesini devredışı bırakmak istiyorsanız [Kullanma] seçeneğini seçebilirsiniz.

[Bağlantı Modu]
IPSec bağlantı modu görüntülenir. Makine, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunu destekler. IP paketlerinin tamamının (üstbilgiler ve bilgi yükleri) kapsüllendiği tünel modu kullanılamaz.

[Tamam] seçeneğine tıklayın.

Ek bir güvenlik ilkesi kaydetmeniz gerekirse, adım 6'e geri dönün.

[Kayıtlı IPSec İlkeleri] altında listelenen ilkelerin sırasını düzenleyin.

En yüksek konumdan başlayarak en düşük konuma doğru ilkeler uygulanır. Bir ilkeyi sıralamada yukarı veya aşağı taşımak için [Üst] veya [Aşağı] seçeneğine tıklayın.

NOT:
Bir ilkeyi düzenleme
Düzenleme ekranı için [İlke Adı] altındaki ilgili metin bağlantısını tıklatın.

Bir ilkeyi silme

Silmek istediğiniz ilke adının sağında bulunan [Sil] seçeneğine tıklayın,

[Tamam] seçeneğine tıklayın.

Makineyi yeniden başlatın.

Makineyi kapatın, en az 10 saniye bekleyin ve yeniden açın.

Anahtar Çiftleri ve Dijital Sertifikalar için Ayarları Yapılandırma

IPSec İlkesi Listesi