IPSec Kullanma
IP ağı üzerinde gönderilip alınan IP paketlerinin gizlice dinlenmesini ve yetkisiz değişikliğini önlemek için IP Güvenlik Protokolü'nü (IPSec) kullanın. Bu, bir uygulamaya veya ağ yapılandırmasına güvenmek zorunda kalmadan güvenlik sağlamak için IP protokolü düzeyinde şifreleme gerçekleştirir.
IPSec Geçerli Koşuları ve Desteklenen Modları
IPSec'in geçerli olmadığı paketler
Bir geri döngü, çok noktaya yayın veya yayın adresi belirten paketler
UDP bağlantı noktası 500'den gönderilen IKE paketleri
ICMPv6 Komşu İsteme ve Komşu Tanıtımı paketleri
Anahtar değişimi protokolünün (IKE modu) çalışma modu
Makine tarafından desteklenen IKE modu sadece, paketleri şifrelemek için kullanılan ana moddur. Şifreleme yapmayan ısrarlı mod desteklenmez.
İletişim modu
Makine tarafından desteklenen iletişim modu sadece, IP başlığı hariç kısmı şifreleyen taşıma modudur. IP paketinin tamamını şifreleyen tünel modu desteklenmez.
IPSec'i IP adres filtreleme ile birlikte kullanma
IP adres filtreleme ayarları ilk olarak uygulanır. Güvenlik Duvarını Ayarlama
IPSec İlkesi Yapılandırması
Makine üzerinde IPSec iletişimi gerçekleştirmek için, kimlik doğrulamasına ve şifrelemeye yönelik olarak geçerli aralığı ve algoritmaları içeren bir IPSec ilkesi oluşturmanız gerekir. İlke temel olarak aşağıdaki öğelerden meydana gelmektedir.
Seçici
IPSec iletişimini hangi IP paketlerine uygulayacağınızı belirtin. Makinenin ve iletişim cihazlarının IP adresini belirtmeye ek olarak, bunların bağlantı noktası numaralarını da belirtebilirsiniz.
IKE
Anahtar değişimi protokolü, İnternet Anahtar Değişimi Sürüm 1'i (IKEv1) destekler. Kimlik doğrulaması yöntemi için, önceden paylaşılan anahtar yöntemini veya dijital imza yöntemini seçin.
Önceden Paylaşılan Anahtar Yöntemi:
Bu kimlik doğrulama yöntemi, makine ve diğer cihazlar arasındaki iletişim için Paylaşılan Anahtar adında genel bir anahtar kelime kullanır.
Bu kimlik doğrulama yöntemi, makine ve diğer cihazlar arasındaki iletişim için Paylaşılan Anahtar adında genel bir anahtar kelime kullanır.
Dijital İmza Yöntemi
Makine ve diğer cihazlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular.
Makine ve diğer cihazlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular.
ESP/AH
IPSec iletişimi için kullanılan protokol olan ESP/AH'ye yönelik ayarları belirtin. ESP ve AH aynı anda kullanılabilir. Daha da iyi bir güvenlik için Kusursuz İletme Gizliliği'ni (PFS) kullanın.
IPSec'i Ayarlama
IPSec kullanımını etkinleştirin ve ardından IPSec ilkesini oluşturup kaydedin. Birden fazla ilke oluşturulduysa bunların uygulanma sırasını belirtin.
Bu bölümde, bir bilgisayardan Uzak Kullanıcı Arabirimi'ni kullanarak ayarların nasıl yapılandırılacağı açıklanmaktadır.
Kumanda panelinde, [Ana Ekran] içinde [Menü] öğesini seçin ve ardından ayarları yapılandırmak için [Tercihler] öğesini seçin. Ancak, kumanda paneli yalnızca IPSec'i etkinleştirmek veya devre dışı bırakmak için kullanılabilir. [IPSec Kullan]
Yönetici ayrıcalıkları gereklidir. Bu ayarların uygulanması için makinenin yeniden başlatılması gerekir.
Kumanda panelinde, [Ana Ekran] içinde [Menü] öğesini seçin ve ardından ayarları yapılandırmak için [Tercihler] öğesini seçin. Ancak, kumanda paneli yalnızca IPSec'i etkinleştirmek veya devre dışı bırakmak için kullanılabilir. [IPSec Kullan]
Yönetici ayrıcalıkları gereklidir. Bu ayarların uygulanması için makinenin yeniden başlatılması gerekir.
|
Gerekli Hazırlıklar
|
|
Makineyi, makineyle aynı sanal özel ağ (VPN) üzerinde bulunan bir bilgisayara doğrudan bağlayın. Çalışma koşullarını onaylayın ve bilgisayardaki ayarları önceden tamamlayın. IPSec
Aşağıdakileri IKE kimlik doğrulaması yöntemine göre hazırlayın:
Önceden paylaşılan anahtar yöntemini kullanırken, Uzak Kullanıcı Arabirimi iletişimi için TLS'yi etkinleştirin. TLS Kullanma
Dijital imza yöntemini kullanırken, kullanılacak anahtar ve sertifikayı hazırlayın. Hem Anahtarı Hem de Sertifikayı Yönetme ve Doğrulama
PFS kullanırken, PFS'nin iletişim kuran cihaz üzerinde etkinleştirildiğinden emin olun.
|
1
Sistem Yöneticisi Modu'nda Uzak Kullanıcı Arabirimi'nde oturum açın. Uzak Kullanıcı Arabirimini Başlatma
2
Uzak Kullanıcı Arabirimi'nin Portal sayfasında, [Ayarlar/Kayıt] öğesine tıklayın. Uzak Kullanıcı Arabirimi'nin Portal Sayfası
3
[Ağ Ayarları] 
[IPSec Ayarları] [Düzenle] öğelerine tıklayın.
[IPSec Ayarları] [Düzenle] öğelerine tıklayın.[IPSec Ayarlarını Düzenle] ekranı görüntülenir.
4
[IPSec Kullan] onay kutusunu işaretleyin ve [Tamam] öğesine tıklayın.
Yalnızca ilkeyi karşılayan paketler almak için [İlkesiz Paketleri Al] onay kutusunun işaretini kaldırın.
5
[Yeni İlke Kaydet] öğesine tıklayın.
[Yeni IPSec İlkesi Kaydet] ekranı görüntülenir.
6
[İlke Ayarları] kısmında ilke adını girin ve [İlkeyi Etkinleştir] onay kutusunu işaretleyin.
İlke adı için, tek baytlı alfasayısal karakterler kullanarak ilkeyi tanımlayan bir ad girin.
7
[Seçici Ayarları] kısmında seçiciyi ayarlayın.
[Yerel Adres Ayarları]
İlkenin uygulandığı makinenin IP adresi türünü seçin.
IPSec'i tüm IP paketlerine uygulamak için [Tüm IP Adresleri] öğesini seçin.
IPv4 veya IPv6 adresi kullanılarak gönderilip alınan IP paketlerine IPSec uygulamak için [IPv4 Adresi] veya [IPv6 Adresi] öğesini seçin.
[Uzak Adres Ayarları]
İlkenin uygulandığı, iletişim kuran cihazın IP adresi türünü seçin.
IPSec'i tüm IP paketlerine uygulamak için [Tüm IP Adresleri] öğesini seçin.
IPv4 veya IPv6 adresi kullanılarak gönderilip alınan IP paketlerine IPSec uygulamak için [Tüm IPv4 Adresleri] veya [Tüm IPv6 Adresleri] öğesini seçin.
IPSec'in uygulandığı bir IPv4 veya IPv6 adresi belirtmek için [IPv4 Manüel Ayarları] ya da [IPv6 Manüel Ayarları] öğesini seçin.
[Manüel Ayarlanacak Adresler]
[IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçildiğinde IP adresini girin. Ayrıca tire (-) kullanarak bir IP adresi aralığı da belirtebilirsiniz.
Giriş örneği:
Bir IPv4 adresi
192.168.0.10
192.168.0.10
Bir IPv6 adresi
fe80::10
fe80::10
Aralığın belirtilmesi
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Alt Ağ Ayarları]
[IPv4 Manüel Ayarları] seçildiğinde, IPv4 adresleri aralığını belirtmek için bir alt ağ maskesi kullanabilirsiniz.
Giriş örneği:
255.255.255.240
255.255.255.240
[Önek Uzunluğu]
[IPv6 Manüel Ayarları] seçildiğinde, IPv6 adresleri aralığını belirtmek için bir önek uzunluğu kullanabilirsiniz. 0 ila 128 aralığına sahip bir önek uzunluğu girin.
[Port Ayarları]
IPSec'in uygulandığı bağlantı noktasını makinedeki [Yerel Port] kısmında ve iletişim kuran cihazdaki [Uzak Port] kısmında ayarlayın.
IPSec'i tüm bağlantı noktası numaralarına uygulamak için [Tüm Portlar] öğesini seçin.
IPSec'i HTTP veya WSD gibi belirli bir protokole uygulamak için [Tek Port] öğesini seçin ve protokolün bağlantı noktası numarasını girin.
8
[IKE Ayarları] kısmında IKE'yi ayarlayın.
[IKE Modu]
Makine yalnızca ana modu destekler.
[Kimlik Doğrulama Yöntemi]
Makinenin kimlik doğrulama yöntemini seçin.
[Ön-Paylaşımlı Anahtar Yöntemi] seçildiğinde, [Paylaşılan Anahtar Ayarları] öğesine tıklayın kullanılacak diziyi tek baytlı alfasayısal karakterler kullanarak paylaşılan anahtar olarak girin [Tamam] öğesine tıklayın.
kullanılacak diziyi tek baytlı alfasayısal karakterler kullanarak paylaşılan anahtar olarak girin [Tamam] öğesine tıklayın.[Dijital İmza Yöntemi] seçildiğinde, kullanılacak anahtar ve sertifikanın sağında yer alan [Anahtar ve Sertifika] [Varsayılan Anahtarı Kaydet] öğelerine tıklayın.
[Varsayılan Anahtarı Kaydet] öğelerine tıklayın.
[Geçerlilik]
Kontrol iletişimi yolu olarak kullanılacak geçerli IKE SA (ISAKMP SA) süresini dakika cinsinden girin.
[Kimlik Doğr./Şifreleme Algoritması]
Anahtar değişimi için kullanılacak algoritmayı seçin.
9
[IPSec Ağ Ayarları] kısmında, IPSec ağ ayarlarını yapılandırın.
[PFS Kullan]
Oturum anahtarı için PFS'yi yapılandırmak üzere bu onay kutusunu işaretleyin.
[Geçerlilik]
Veri iletişim yolu olarak kullanılacak geçerli IPSec SA süresini zaman, boyut veya her ikisine göre belirtin.
[Zaman Göre Belirle] onay kutusu işaretlendiğinde, geçerli süreyi dakika cinsinden girin.
[Boyuta Göre Belirle] onay kutusu işaretlendiğinde, geçerli süreyi megabayt cinsinden girin.
Her ikisi de seçildiğinde, belirtilen değerine ilk ulaşılan öğe uygulanır.
[Kimlik Doğr./Şifreleme Algoritması]
Kullanılacak IPSec başlığına (ESP ve AH) ve içerdiği algoritmaya göre bu onay kutusunu işaretleyin.
[ESP Kimlik Doğrulaması]
[ESP] seçildiğinde, kimlik doğrulaması algoritmasını seçin. ESP kimlik doğrulaması gerçekleştirmek için [SHA1] öğesini seçin. Aksi halde, [Kullanma] öğesini seçin.
[ESP Şifreleme]
[ESP] seçildiğinde, şifreleme algoritmasını seçin. Algoritmayı belirtmek istemiyorsanız [BOŞ] öğesini seçin. Şifrelemeyi devre dışı bırakmak için, [Kullanma] öğesini seçin.
[Bağlantı Modu]
Makine yalnızca taşıma modunu destekler.
10
[Tamam] öğesine tıklayın.
Yeni kaydedilen ilke, [IPSec Ayarları] ekranındaki [Kayıtlı IPSec İlkeleri] kısmına eklenir.
Birden fazla ilke kaydedildiğinde
Önceliği ayarlamak için, ilke adının sağ tarafında yer alan [Üst] veya [Aşağı] öğesine tıklayın. Daha yüksek düzeyli ilkeler, IPSec iletişimine uygulamada önceliğe sahiptir.
11
Makineyi yeniden başlatın. Makineyi Yeniden Başlatma
Ayarlar uygulanır.
|
Kayıtlı İlkeleri DüzenlemeKayıtlı bilgileri düzenlemek için, [IPSec Ayarları] ekranındaki [Kayıtlı IPSec İlkeleri] kısmında düzenlemek istediğiniz ilke adına tıklayın.
|