IPSec Ayarlarını Yapılandırma

IPSec kullanarak üçüncü tarafların IP ağı üzerinden taşınan IP paketlerine müdahale etmesini veya kurcalamasını önleyebilirsiniz. IPSec, İnternet için kullanılan temel bir protokol paketi olan IP’ye güvenlik fonksiyonları eklediği için, uygulamalardan veya ağ yapılandırmasından bağımsız olarak güvenlik sağlayabilir. Bu makineyle IPSec iletişimi gerçekleştirmek için uygulama parametreleri ve kimlik doğrulaması ile şifreleme algoritması gibi ayarları yapılandırmanız gerekir. Bu ayarları yapılandırmak için Administrator ayrıcalıkları gereklidir.

IPSec'i Etkinleştirme

İlke Kaydetme


İletişim modu Bu makine yalnızca IPSec iletişimi için taşıma modunu destekler. Sonuç olarak, kimlik doğrulaması ve şifreleme yalnızca IP paketlerinin veri kısımlarına uygulanır. Anahtar değişimi protokolü Bu makine, Internet Security Association and Key Management Protocol’u (ISAKMP) temel alan anahtar alışverişleri için Internet Key Exchange sürüm 1’i (IKEv1) destekler. Kimlik doğrulama yöntemi için ön paylaşımlı anahtar yöntemini veya dijital imza yöntemini ayarlayın. Ön paylaşımlı anahtar yöntemini ayarlarken, makine ile IPSec iletişimi eşdüzeyi arasında kullanılan bir geçiş parolasına (ön paylaşımlı anahtar) önceden karar vermeniz gerekir. Dijital imza yöntemini ayarlarken bir CA sertifikası ile PKCS#12 biçim anahtarı ve sertifikası kullanarak makine ile IPSec iletişimi eş düzeyi arasında karşılıklı kimlik doğrulaması gerçekleştirin. Yeni CA sertifikaları veya anahtarlar/sertifikalar kaydetme hakkında daha fazla bilgi için bkz. Ağ İletişimi için Anahtar ve Sertifika Kaydetme. Makinenin bu yöntemi kullanabilmesi için makinede SNTP’nin yapılandırılması gerekir. SNTP Ayarlarını Yapma

İletişim modu

Bu makine yalnızca IPSec iletişimi için taşıma modunu destekler. Sonuç olarak, kimlik doğrulaması ve şifreleme yalnızca IP paketlerinin veri kısımlarına uygulanır.

Anahtar değişimi protokolü

Bu makine, Internet Security Association and Key Management Protocol’u (ISAKMP) temel alan anahtar alışverişleri için Internet Key Exchange sürüm 1’i (IKEv1) destekler. Kimlik doğrulama yöntemi için ön paylaşımlı anahtar yöntemini veya dijital imza yöntemini ayarlayın.

Ön paylaşımlı anahtar yöntemini ayarlarken, makine ile IPSec iletişimi eşdüzeyi arasında kullanılan bir geçiş parolasına (ön paylaşımlı anahtar) önceden karar vermeniz gerekir.

Dijital imza yöntemini ayarlarken bir CA sertifikası ile PKCS#12 biçim anahtarı ve sertifikası kullanarak makine ile IPSec iletişimi eş düzeyi arasında karşılıklı kimlik doğrulaması gerçekleştirin. Yeni CA sertifikaları veya anahtarlar/sertifikalar kaydetme hakkında daha fazla bilgi için bkz. Ağ İletişimi için Anahtar ve Sertifika Kaydetme. Makinenin bu yöntemi kullanabilmesi için makinede SNTP’nin yapılandırılması gerekir. SNTP Ayarlarını Yapma


IPSec iletişiminin [FIPS 140-2'ye Format Şifreleme Yöntemi] ayarından bağımsız olarak, zaten FIPS140-2 onayı almış bir şifreleme modülü kullanılır. IPSec iletişimini FIPS 140-2’ye uygun hale getirmek için, makinenin ait olduğu ağ ortamında IPSec iletişimi için hem DH hem de RSA anahtar uzunluğunu 2048 bit veya daha büyük bir uzunluğa ayarlayın. Makineden yalnızca DH anahtar uzunluğu belirtilebilir. Makinede RSA ayarı bulunmadığı için ortamınızı yapılandırırken not alın. En fazla 10 güvenlik ilkesi kaydedebilirsiniz.

IPSec iletişiminin [FIPS 140-2'ye Format Şifreleme Yöntemi] ayarından bağımsız olarak, zaten FIPS140-2 onayı almış bir şifreleme modülü kullanılır.

IPSec iletişimini FIPS 140-2’ye uygun hale getirmek için, makinenin ait olduğu ağ ortamında IPSec iletişimi için hem DH hem de RSA anahtar uzunluğunu 2048 bit veya daha büyük bir uzunluğa ayarlayın.

Makineden yalnızca DH anahtar uzunluğu belirtilebilir.

Makinede RSA ayarı bulunmadığı için ortamınızı yapılandırırken not alın.

En fazla 10 güvenlik ilkesi kaydedebilirsiniz.

IPSec'i Etkinleştirme

Uzak Kullanıcı Arabirimi'ni başlatın. Uzak Kullanıcı Arabirimini Başlatma

Portal sayfasında [Ayarlar/Kayıt] öğesine tıklayın. Uzak Kullanıcı Arabirimi Ekranı

[Ağ Ayarları]

[IPSec Ayarları] seçeneğine tıklayın.

[IPSec Kullan] öğesini seçin ve [Tamam] öğesine tıklayın.

Yalnızca güvenlik ilkesine karşılık gelen paketleri almak için [Reddet] ayarını [İlkesiz Paketleri Al] için seçin.

İlke Kaydetme

Uzak Kullanıcı Arabirimi'ni başlatın. Uzak Kullanıcı Arabirimini Başlatma

Portal sayfasında [Ayarlar/Kayıt] öğesine tıklayın. Uzak Kullanıcı Arabirimi Ekranı

[Ağ Ayarları]

[IPSec Politika Listesi] seçeneğine tıklayın.

[Yeni IPSec İlkesi Kaydet] öğesine tıklayın.

Bir ilke belirleyin.

[İlke Adı]

İlkeyi tanımlayan bir ad girin.

[İlke Açk/Kpl]

Kayıtlı ilkeyi etkinleştirmek için [Açık] ayarını seçin.

[AES Anaht Uzunluğu İçin Sadece 256-bite İzin Ver]

AES şifreleme yönteminin anahtar uzunluğunu 256 bite sınırlamak ve CC kimlik doğrulama standartlarını karşılamak için bu onay kutusunu işaretleyin.

IPSec uygulama parametrelerini yapılandırın.

[Seçici Ayarları] öğesine tıklayın.

IPSec ilkesinin uygulanacağı IP adresini belirtin.

Bu makinenin IP adresini [Yerel Adres] alanında; iletişim kurulan eşin IP adresini [Uzak Adres] alanında belirtin.

[Tüm IP adresleri]	IPSec tüm gönderilen ve alınan IP paketlerine uygulanır.
[IPv4 Adresi]	IPSec bu makinenin IPv4 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
[IPv6 Adresi]	IPSec bu makinenin IPv6 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
[Tüm IPv4 adresleri]	IPSec iletişim eş düzeyinin IPv4 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
[Tüm IPv6 adresleri]	IPSec iletişim eş düzeyinin IPv6 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
[IPv4 Manüel Ayarları]	IPSec ilkesinin uygulanacağı IPv4 adresini belirtin. Tek bir IPv4 adresi girmek için [Tek Adres] seçeneğini belirleyin. Bir IPv4 adres aralığı belirtmek için [Aralık Adresi] seçeneğini belirleyin. [İlk Adres] ve [Son Adres] için ayrı bir adres girin. Bir alt ağ maskesi kullanarak bir IPv4 adres aralığı belirtmek için [Alt Ağ Ayarları] seçeneğini belirleyin. [İlk Adres] ve [Alt Ağ Ayarları] için ayrı değerler girin.
[IPv6 Manüel Ayarları]	IPSec ilkesinin uygulanacağı IPv6 adresini belirtin. Tek bir IPv6 adresi girmek için [Tek Adres] seçeneğini belirleyin. Bir IPv6 adres aralığı belirtmek için [Aralık Adresi] seçeneğini belirleyin. [İlk Adres] ve [Son Adres] için ayrı bir adres girin. Bir önek kullanarak IPv6 adres aralığı belirtmek için [Ön ek Adresi] seçeneğini belirleyin. [İlk Adres] ve [Önek Uzunluğu] için ayrı değerler girin.

IPSec ilkesinin uygulanacağı bağlantı noktasını belirtin.

IPSec ilkesinin geçerli olduğu bağlantı noktası numaralarını kullanmak için [Port Numarası ile Belirle] düğmesini seçin. IPSec ilkesini tüm bağlantı noktası numaralarına uygulamak için [Tüm Portlar] seçeneğini belirleyin. IPSec ilkesini belirli bir bağlantı noktası numarasına uygulamak için [Tek Port] öğesine basıp bağlantı noktası numarası girin. [Yerel Port] alanında bu makinenin bağlantı noktasını; [Uzak Port] alanında iletişim eşinin bağlantı noktasını belirtin.

IPSec'in servis adına göre uygulanacağı bağlantı noktalarını belirtmek için [Servis Adı ile Belirle] alanını ve kullanılacak servisi seçin.

[Tamam] öğesine tıklayın.

Kimlik doğrulama ve şifreleme ayarlarını yapılandırın.

[IKE Ayarları] öğesine tıklayın.

Gerekli ayarları yapılandırın.

[IKE Modu]

Anahtar değişimi protokolünün çalışma modunu seçin. IKE oturumu şifrelendiğinde [Ana] seçeneğini belirlemeniz durumunda güvenlik artar, ancak oturumun hızı, oturumun tamamını şifrelemeyen [Agresif] seçeneğine göre daha yavaştır.

[Geçerlilik]

Oluşturulan IKE SA'nın sona erme süresini ayarlayın.

[Doğrulama Yöntemi]

Aşağıda açıklanan kimlik doğrulama yöntemlerinden birini seçin.

[Önc. Pylşt. Anht. Yönt.]	İletişim eş düzeyi için ayarlanan geçiş parolasının (ön paylaşımlı anahtar) aynısını belirleyin. [Paylaşılan Anahtar Ayarları] seçeneğine belirleyin, paylaşılan anahtar olarak kullanılacak karakter dizesini girin ve [Tamam]'ı seçin.
[Dijital İmza Yöntemi]	İletişim eş düzeyi ile karşılıklı kimlik doğrulaması için kullanılacak anahtar ve sertifikayı ayarlayın. Kullanılacak anahtar için [Anahtar ve Sertifika] ve [Kullanın] seçeneklerine tıklayın.

[Kml Doğrulama/Şifreleme Algoritması]

IKE aşama 1 için kimlik doğrulama ve şifreleme algoritmasının nasıl belirtileceğini ayarlamak için [Oto] veya [Manüel Ayarlar] seçeneğini belirleyin. [Oto] seçeneğini belirlerseniz hem bu makine hem de iletişim eşi tarafından kullanılabilen bir algoritma otomatik olarak ayarlanır. Belirli bir algoritma belirtmek isterseniz [Manüel Ayarlar]'ı seçip aşağıdaki ayarları yapılandırın.

[Kiml. Doğrulama]	Karma algoritmayı seçin.
[Şifreleme]	Şifreleme algoritmasını seçin.
[DH Grubu]	Anahtar kuvvetini ayarlamak için Diffie-Hellman anahtar değişimi yöntemine ait grubu seçin.

[Tamam] öğesine tıklayın.


[IKE Modu] değeri [Ana] olarak ([IKE] ekranı) ve [Doğrulama Yöntemi] değeri [Önc. Pylşt. Anht. Yönt.] olarak ayarlandığında, birden çok güvenlik ilkesi kaydedilirken aşağıdaki kısıtlamalar geçerlidir. Ön paylaşımlı anahtar yöntemi anahtarı: Bir güvenlik ilkesinin uygulanacağı birden fazla uzak IP adresi belirtirken, ilgili güvenlik ilkesinin tüm paylaşılan anahtarları aynıdır (tek bir adres belirtildiğinde bu durum geçerli değildir). Öncelik: Güvenlik ilkesi uygulanacak birden fazla uzak IP adresi belirtirken, söz konusu güvenlik ilkesinin önceliği tek bir adresin belirtildiği güvenlik ilkelerinin önceliğinden düşüktür.

[IKE Modu] değeri [Ana] olarak ([IKE] ekranı) ve [Doğrulama Yöntemi] değeri [Önc. Pylşt. Anht. Yönt.] olarak ayarlandığında, birden çok güvenlik ilkesi kaydedilirken aşağıdaki kısıtlamalar geçerlidir.

Ön paylaşımlı anahtar yöntemi anahtarı: Bir güvenlik ilkesinin uygulanacağı birden fazla uzak IP adresi belirtirken, ilgili güvenlik ilkesinin tüm paylaşılan anahtarları aynıdır (tek bir adres belirtildiğinde bu durum geçerli değildir).

Öncelik: Güvenlik ilkesi uygulanacak birden fazla uzak IP adresi belirtirken, söz konusu güvenlik ilkesinin önceliği tek bir adresin belirtildiği güvenlik ilkelerinin önceliğinden düşüktür.

IPSec iletişim ayarlarını yapılandırın.

[IPSec Ağı Ayarları] öğesine tıklayın.

Gerekli ayarları yapılandırın.

[Geçerlilik]

Oluşturulan IPSec SA'nın sona erme süresini ayarlayın. [Zaman] veya [Boyut] ayarını yaptığınızdan emin olun. Her ikisini de ayarlarsanız, ilk ulaşılan değere sahip ayar uygulanır.

[PFS]

[PFS Kullan]'ı seçerseniz, şifreleme anahtarının gizliliği artar, ancak iletişim hızı düşer. Ayrıca, iletişim eşi olan cihazda Mükemmel İletmek Gizliliği (PFS) işlevi etkinleştirilmelidir.

[Kml Doğrulama/Şifreleme Algoritması]

IKE aşama 2 için kimlik doğrulama ve şifreleme algoritmasının nasıl belirtileceğini ayarlamak için [Oto] veya [Manüel Ayarlar] seçeneğini belirleyin. [Oto] seçeneğini belirlerseniz, ESP kimlik doğrulama ve şifreleme algoritması otomatik olarak ayarlanır. Belirli bir kimlik doğrulama yöntemi belirtmek isterseniz [Manüel Ayarlar] seçeneğini belirleyin ve aşağıdaki kimlik doğrulama yöntemlerinden birini seçin.

[ESP]	Hem kimlik doğrulaması hem de şifreleme gerçekleştirilir. [ESP Kml Doğrulaması] ve [ESP Şifreleme] için algoritmayı seçin. Kimlik doğrulama veya şifreleme algoritmasını ayarlamak istemiyorsanız [BOŞ] seçeneğini belirleyin.
[ESP (AES-GCM)]	ESP algoritması olarak AES-GCM kullanılır ve hem kimlik doğrulaması hem de şifreleme gerçekleştirilir.
[AH (SHA1)]	Kimlik doğrulaması gerçekleştirilir ancak veriler şifrelenmez. Algoritma olarak SHA1 kullanılır.

[Tamam] öğesine tıklayın.

Kayıtlı ilkeleri etkinleştirin ve öncelik sırasını kontrol edin.

İlkeler en üstten başlayarak listelendikleri sırayla uygulanır. Öncelik sırasını değiştirmek isterseniz listeden bir ilke seçip [Önceliği Yükselt] veya [Önceliği Düşür] seçeneğine tıklayın.


IPSec ilkeleri 4. adımda görüntülenen ekranda ilkeleri kaydedin. Bir ilkenin ayrıntılarını düzenlemek için listede ilke adına tıklayın. Bir ilkeyi devre dışı bırakmak için, liste ilke adına tıklayın [Kapalı] ayarını [İlke Açk/Kpl] için seçin [Tamam]'a tıklayın. Bir ilkeyi silmek için listeden ilkeyi seçin [Sil] [Tamam]'a tıklayın. Kumanda panelinin kullanılması IPSec iletişimini <Ayarla> alanında da (<Ana Menü> ekranı) etkinleştirebilir veya devre dışı bırakabilirsiniz. <IPSec Ayarları> Toplu içeri/dışarı aktarma Bu ayar, bu ayarın toplu alımını destekleyen modellerle birlikte alınabilir/çıkartılabilir. Ayar Verilerini İçeri/Dışarı Aktarma Bu ayar toplu aktarma sırasında [Ayarlar/Kayıt Temel Bilgileri] alanına eklenir. Tüm Ayarları İçeri/Dışarı Aktarma

IPSec ilkeleri

4. adımda görüntülenen ekranda ilkeleri kaydedin.

Bir ilkenin ayrıntılarını düzenlemek için listede ilke adına tıklayın.

Bir ilkeyi devre dışı bırakmak için, liste ilke adına tıklayın

[Kapalı] ayarını [İlke Açk/Kpl] için seçin

[Tamam]'a tıklayın.

Bir ilkeyi silmek için listeden ilkeyi seçin

[Sil]

[Tamam]'a tıklayın.

Kumanda panelinin kullanılması

IPSec iletişimini <Ayarla> alanında da (<Ana Menü> ekranı) etkinleştirebilir veya devre dışı bırakabilirsiniz. <IPSec Ayarları>

Toplu içeri/dışarı aktarma

Bu ayar, bu ayarın toplu alımını destekleyen modellerle birlikte alınabilir/çıkartılabilir. Ayar Verilerini İçeri/Dışarı Aktarma

Bu ayar toplu aktarma sırasında [Ayarlar/Kayıt Temel Bilgileri] alanına eklenir. Tüm Ayarları İçeri/Dışarı Aktarma