IPsec Yapılandırması

Windows Filtreleme Platformu (WFP), Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nın temel platformudur. WFP, IPsec ile ağ trafiğinin güvenliğini sağlamayı yöneten kuralları içeren ağ filtreleme kurallarını yapılandırmak için kullanılır. Uygulama geliştiricileri, Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı için Microsoft Yönetim Konsolu (MMC) ek bileşeni aracılığıyla kullanıma sunulan modelden daha ayrıntılı bir ağ trafiği filtreleme modelinden yararlanmak için WFP API'sini kullanarak IPsec'i doğrudan yapılandırabilir.

IPsec nedir?

İnternet Protokolü Güvenliği (IPsec), IP paketlerini İnternet üzerinden gizli olarak aktarmak için kullanılan bir dizi güvenlik protokolüdür. IPsec daha önce tüm IPv6 uygulamaları için zorunluydu (ancak bkz. IPv6 Düğüm Gereksinimleri ve IPv4 için isteğe bağlı.

Güvenli IP trafiği, IP paketine uygulanan şifreleme koruması türlerini tanımlayan ve korumalı paketin kodunu çözme bilgilerini içeren iki isteğe bağlı IPsec üst bilgisine sahiptir.

Encapsulating Security Payload (ESP) üst bilgisi, kimlik doğrulaması ve isteğe bağlı şifreleme gerçekleştirerek kötü amaçlı değişikliklere karşı gizlilik ve koruma için kullanılır. Ağ Adresi Çevirisi (NAT) yönlendiricilerinden geçen trafik için kullanılabilir.

Kimlik Doğrulama Üst Bilgisi (AH), yalnızca kimlik doğrulaması gerçekleştirerek kötü amaçlı değişikliklere karşı koruma için kullanılır. NAT yönlendiricilerinden geçen trafik için kullanılamaz.

IPsec hakkında daha fazla bilgi için ayrıca bkz:

IPSec Teknik Başvuru

IKE nedir?

İnternet Anahtar Değişimi (IKE), IPsec protokol kümesinin parçası olan bir anahtar değişimi protokolüdür. IKE, güvenli bir bağlantı kurarken kullanılır ve kullanıcının müdahalesi olmadan gizli anahtarların ve korumayla ilgili diğer parametrelerin güvenli değişimini gerçekleştirir.

IKE hakkında daha fazla bilgi için ayrıca bkz:

İnternet Anahtar Değişimi

AuthIP nedir?

Kimliği Doğrulanmış İnternet Protokolü (AuthIP), IKEv1'i aşağıdaki gibi genişleten bir anahtar değişim protokolüdür.

IKEv1 yalnızca bilgisayar kimlik doğrulaması kimlik bilgilerini desteklese de, AuthIP şunları da destekler:
  • Kullanıcı kimlik bilgileri: NTLM, Kerberos, sertifikalar.
  • Ağ Erişim Koruması (NAP) sistem durumu sertifikaları.
  • İsteğe bağlı kimlik doğrulaması için kullanılan anonim kimlik bilgileri.
  • Kimlik bilgilerinin birleşimi; örneğin, makine ve kullanıcı Kerberos kimlik bilgilerinin birleşimi.

AuthIP,bağlantıyı başarısız olmadan önce yapılandırılmış tüm kimlik doğrulama yöntemlerini doğrulayan bir kimlik doğrulama yeniden deneme mekanizmasına sahiptir.
AuthIP, uygulama tabanlı IPsec güvenli trafiğini uygulamak için güvenli yuvalarla kullanılabilir. Aşağıdakiler sağlanır:

  • Yuva başına kimlik doğrulaması ve şifreleme. Daha fazla bilgi için bkz. WSASetSocketSecurity.
  • İstemci kimliğine bürünme. (IPsec, yuvanın oluşturulduğu güvenlik bağlamını taklit eder.)
  • Gelen ve giden eş adı doğrulaması. Daha fazla bilgi için WSASetSocketPeerTargetNamebakın.

Not

Microsoft mümkün olduğunda IKEv2 kullanımını önerir.

IPsec İlkesi nedir?

IPsec ilkesi, IPsec kullanılarak güvenliğin sağlanması gereken IP trafiği türünü ve bu trafiğin güvenliğinin nasıl sağlandığını belirleyen bir dizi kuraldır. Bir bilgisayarda aynı anda yalnızca bir IPsec ilkesi etkindir.

IPsec ilkelerini uygulama hakkında daha fazla bilgi edinmek için Yerel Güvenlik İlkesi MMC ek bileşenini (secpol.msc) açın, Yardım'ı görüntülemek için F1 tuşuna basın ve ardından içindekiler tablosundan IPsec İlkeleri Oluşturma ve Kullanma'yı seçin.

IPsec ilkeleri hakkında daha fazla bilgi için ayrıca bkz:

IPSec İlke Kavramlarına Genel Bakış
IPsec İlkesi Açıklaması

IPsec İlkelerini Yapılandırmak için WFP Kullanma

IPsec'in Microsoft uygulaması, IPsec ilkelerini ayarlamak için Windows Filtreleme Platformu'nu kullanır. IPsec ilkeleri, çeşitli WFP katmanlarına aşağıdaki gibi filtreler eklenerek uygulanır.

  • FWPM_LAYER_IKEEXT_V{4|6} katmanlarında Ana Mod (MM) değişimleri sırasında anahtarlama modülleri (IKE/AuthIP) tarafından kullanılan anlaşma ilkelerini belirten filtreler ekleyin. Kimlik doğrulama yöntemleri ve şifreleme algoritmaları bu katmanlarda belirtilir.

  • FWPM_LAYER_IPSEC_V{4|6} katmanlarında, Hızlı Mod (QM) ve Genişletilmiş Mod (EM) değişimleri sırasında anahtarlama modülleri tarafından kullanılan anlaşma ilkelerini belirten filtreler eklenir. Bu katmanlarda IPsec üst bilgileri (AH/ESP) ve şifreleme algoritmaları belirtilir.

    Bir anlaşma ilkesi, filtreyle ilişkilendirilmiş bir ilke sağlayıcı bağlamı olarak belirtilir. Anahtarlama modülü, trafik özelliklerine göre ilke sağlayıcısı bağlamlarını numaralandırır ve güvenlik anlaşması için kullanılacak ilkeyi alır.

    Not

    WFP API'si, Güvenlik İlişkilendirmelerini (SA) doğrudan belirtmek ve bu nedenle anahtarlama modülü anlaşma ilkesini yoksaymak için kullanılabilir.

     

  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} ve FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} katmanlarında açıklama balonlarını çağıran ve hangi trafik akışının güvenli hale getirilmesi gerektiğini belirleyen filtreler eklenir.

  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} katmanlarında, kimlik filtreleme ve uygulama başına ilke uygulayan filtreler ekleyin.

Aşağıdaki diyagramda, IPsec işlemiyle ilgili olarak çeşitli WFP bileşenlerinin etkileşimi gösterilmektedir. Windows filtreleme platformu

IPsec yapılandırıldıktan sonra WFP ile tümleşir ve Uygulama Katmanı Zorlama (ALE) yetkilendirme katmanlarında filtreleme koşulları olarak kullanılacak bilgiler sağlayarak WFP filtreleme özelliklerini genişletir. Örneğin, IPsec, WFP'nin ALE bağlantısında kullanıma sunduğu ve yetkilendirme katmanlarını kabul ettiği uzak kullanıcı ve uzak makine kimliğini sağlar. Bu bilgiler, WFP tabanlı bir güvenlik duvarı uygulaması tarafından ayrıntılı uzaktan kimlik yetkilendirmesi için kullanılabilir.

Aşağıda IPsec kullanılarak uygulanabilecek örnek bir yalıtım ilkesi verilmiştir:

  • FWPM_LAYER_IKEEXT_V{4|6} katman – Kerberos kimlik doğrulaması.
  • FWPM_LAYER_IPSEC_V{4|6} katman – AH/SHA-1.
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} ve FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} katmanları - tüm ağ trafiği için anlaşma bulma.
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} katman - Tüm ağ trafiği için IPsec gerekiyor.

WFP Katmanları

Filtreleme Katmanı Tanımlayıcıları

ALE Katmanlarını

WFP API kullanılarak uygulanan IPsec İlkesi Senaryoları:

Aktarım Modu

Anlaşma Bulma Aktarım Modu

Sınır Modu'nda Anlaşma Bulma Aktarım Modu'nu

Tünel Modu

Garantili Şifreleme

Uzaktan Kimlik Yetkilendirme

El ile IPsec SA'larını

IKE/AuthIP Muafiyetleri

IPsec Çözümlerini :

Sunucusu ve Etki Alanı Yalıtımı

 

 

  • Last updated on