Wordpress Free ThemesOnline TipsArticles DirectoryForeclosure HelpHouse For Sale By OwnerHouse StagingProperty Management

Windows Firewall With Advanced Security And IPSec

| 28 Kasım 2011 | 2 Comments

İlk makalemizde Windows Server 2008 R2 firewall konusunu anlatmış idik. Bu makalemizde Advanced Security ve IPSec konularını anlatmaya çalışacağız. Öncelikle Server 2008/R2 ve Vista/ 7 işletim sistemleri üzerinde IPSec konsolu Windows Firewall with  Advanced Security konsoluyla birleştirilmiştir. Bunu sebebi firewall ve IPSec üzerinde yaptığımız düzenlemelerin birbirleriyle çakışmasını engellemektedir.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 01

 Şekilde de görüldüğü gibi IPSec konsoluna ulaşmak için Windows Firewall with Advanced Security konsolunu açmamız gerekiyor. Bununla beraber 2003 / XP ‘ den beri devam eden ve Denetim Masasında bulunan Windows Firewall bulunmaktadır. Ancak burada çok kısıtlı ve temel ayarlar yapılabilmektedir.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 02

Bu kısa açıklamadan sonra IPSec bileşenini incelemeye geçebiliriz. Öncelikler IPSec ne demektir ona bakalım.

IPSec ( Internet Protokol Güvenliği); TCP/IP ağlarında network üzerinde meydana gelen trafiği güvenli hale getirmek için kimlik doğrulama (Authentication) ve şifreleme ( encryption) işlemi yapan açık bir protokol standardıdır. IPSec protokolünün üç ana bileşeni vardır;

1-      Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.

 

2-      Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz:

·         Önpaylaşımlı anahtar (preshared key) (MS-CHAP)

·         Kerberos (Windows tabanlı ağlar için)

·         Sertifika yetkilisi (certificate authority)

3-      Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.

Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu işlemede Decryption denir

http://tr.wikipedia.org/wiki/IPsec

IPsec güvenliği sağlamak için şu protokolleri kullanır;

1-      IKE (Internet Key Exchange): Güvenlik parametrelerinin ve anahtarların paylaşımından sorumludur. IPSec, veri şifrelemesi için simetrik şifreleme algoritmalarını kullanır. Bu algoritmalar güvenli bir anahtar paylaşımını gerektirir. IKE protokolleri güvenli bir biçimde anahtar paylaşımını olanaklı kılar.

 

2-      AH (Authentication Header): AH, veri bütünlüğü (integrity) ve veri kaynağı kimlik denetimi sağlar. AH, korunması istenen datanın içine gömülür. ESP protokolünden itibaren AH protokolü önemini yitirmiştir.

 

3-      ESP (Encapsulating Security Payload): ESP; verinin şifrelenmesi, kimlik denetiminden geçirilmesi ve güvenli hale getirilmesini sağlar. Birçok IPSec uygulamaları ESP’i kullanır.

 

Özet olarak IPSec  veri güvenliği ve şifrelemeyi sağlamak için geliştirilen açık bir protokoller  kümesidir diyebiliriz. Asıl konumuza dönecek olur isek Windows Firewall with Advanced Security konsolunda IPSec tabına geçer isek aşağıdaki gibi bir ekranla karşılaşırız.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 03

Burada üç ana başlıkla karşılaşırız.

·         IPSec Defaults:  IPSec bağlantılarında kullanılacak olan varsayılan ayarlar.

·         IPSec Exemptions (IPSec istisnaları):  IPSec bağlantılarında kullanılacak olan ICMP istisnalarını buradan tanımlayabiliriz. Bu ne anlama gelir? ICMP paketlerinin belirlenen IPSec ilkelerine uymasa dahi yerine ulaşması anlamına gelir.

·         IPSec Tunnel Authorization:  IPSec bağlantısını kullanacak olan yetkili kullanıcı ve bilgisayarları belirlemektir.

Şimdi bu başlıkları yakından incelemeye başlayalım. IPSec defaults kısmında Customize butonuna basarak detaylara ulaşabiliriz. Aşağıdaki ekran ile karşılaşırız.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 04

Burada üç seçeneğimiz vardır;

KEY EXCHANGE ( MAIN MODE)  (ANAHTAR DEĞİŞİMİ – ANA MOD)

Güvenli iletişimin sağlanabilmesi için iki bilgisayarın birbirlerinin kimliklerini doğrulaması gerekir. Ama burada önemli olan paylaşılan anahtarın ağ üzerinde transfer olmaması gerekir. Advanced şıkkını seçip Customize butonuna tıklayarak anahtar değiştirme algoritmaları ve güvenlik yöntemleri gibi seçenekleri yapılandırabiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 05

 Integrity ( bütünlük) anlamına gelir. Yani hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığıdır. Yukarıdaki şekilde SHA-1 ( Secure Hash Algoritm) anlamına gelir. Yani uzunluğu belirli olmayan bir metnin sabit uzunluktaki özetinin çıkarılmasıdır.  SHA-1 veri bütünlüğü için yapı taşı durumundadır. NSA ( National Security Agency) tarafından tasarlanmıştır. SHA-0-1-2 gibi versiyonları bulunmaktadır.

Encryption ( şifreleme) anlamına gelir. Yani verinin farklı algoritmalarla anlaşılamaz hale getirilmesidir.  AES ( Advanced Encryption Standart) anlamına gelir. CBC (Cipher Block Chaining) anlamına gelir. AES algoritması  ile 128 bit uzunluğunda anahtar kullanarak CBC modu ile şifreleme yapılabilir. AES,  DES (Data Encryption Standart)’in zayıflıklarını ortadan kaldırmak için geliştirilmiştir. 3DES ise DES’ın zayıflıklarına karşı geliştirilmiştir. DES kullanımı giderek azalmaktadır ve onun yerini AES almaktadır. Diffle-Hellman ise geliştiricilerin adıdır.

Key Lifetimes (Anahtar Ömrü): Burada belirtilen eşik değerine ulaşıldığında yeni bir anahtar oluşturulacağı belirtilmektedir.

Key Exchange Options ( Anahtar Değişim Seçenekleri): Anahtar değişimi için Diffle-Helmann gelişmiş güvenliği kullanabiliriz. Bu seçenek Vista ve sonrası için uyumludur.

 

DATA PROTECTION (QUICK MODE) (VERİ KORUMA – HIZLI MOD)

Veri koruma, ağda taşınan verinin bütünlüğünün nasıl korunacağını ve şifrelemenin nasıl yapılacağını belirler.  Advanced şıkkını seçip Customize butonuna tıklayarak gelişmiş seçeneklere ulaşabiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 06

Yukarıdaki şekilde iki kısım görüyoruz. Soldaki kısım Data Integrity ( Veri Bütünlüğü) ile ilgili ve kullanılan protokoller gözükmekte. Bu protokeler ESP ( Encapsulation Security Payload) ve AH ( Authentication Hedar) olmak üzere iki tanedir.

ESP; doğrulama, bütünlük ve güvenlik işlemlerinin hepsinin bir arada yapabilmektedir. AH ise sadece doğrulama ve bütünlük işlemlerini yerine getirmekte güvenlik işlemini yerine getirememektedir.

Sağdaki kısımda ise Data Integrity and Encryption ( Veri Bütünlüğü ve Şifreleme) işlemleri için kullanılan protokoller gözükmektedir.

Her iki kısımda Add (ekle) butonuna basarak protokolleri ekleye biliriz. Sağ kısımda Add butonuna basarsak;

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 07

Veri bütünlüğü için seçebileceğimiz protokoller ve algoritmaları ekleyebileceğimiz pencere ile karşılaşırız. Burada ESP default ve tavsiye edilen olarak gelmektedir. İstersek AH yada Null Encapsulation ( kapsülleme yok) şıkkını seçebiliriz. No encapsulation şıkkını sadece network trafiği denetleniyorsa ve networkte kullanılan yazılımların ve donanımların ESP ve AH ile uyumsuz olması durumunda kullanılması gerekmekte. 

Algorithm (algoritma) kısmında veri bütünlüğü için kullanılacak olan algoritmaları seçebiliyoruz.

Sol kısımda bulunan Add butonuna tıklarsak;

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 08

Hem veri bütünlüğü hem de şifreleme için kullanabileceğimiz protokolleri ve algoritmaları seçebiliriz. Algorithm kısmına dikkat edersek hem Encryption Algorithm hem de Integrity Algorithm kısımlarını görebiliriz.

AUTHENTICATION METHOD ( DOĞRULAMA METHODU)

Bu seçenek ile kimlik doğrula seçeneklerini belirleyebiliriz. Varsayılan olarak Kerberos V5 kullanılmaktadır. Yine Advanced şıkkını seçip Customize butonuna tıklarsak kullanabileceğimiz protokollere ulaşabiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 09

Yine burada kullanabileceğimiz farklı doğrulama yöntemleri vardır. Her iki kısımda da Add butonuna basarak kullanabileceğimiz farklı metotları görebiliriz. Önce ilk kısma (sol tarafa bakalım).

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 10

Default olarak gelen doğrulama yöntemi   Kerberos V5’tir.  Bundan başka NTLM v2 ( NT Lan Manager), bir CA’dan alınan sertifika ve Preshared Key ( Paylaşılan anahtar) yöntemleridir. Preshared Key tavsiye edilmemektedir.  Yine ayrıca eğer authentication yöntemi olarak Preshared Key kullanılırsa Second Authentication ( yani ikinci kısım sağ taraf) ‘ın kullanılmayacağı belirtilmektedir.

Şimdi ikinci kısma (sağ tarafa) bakalım. Bu sefer ikinci kısımdaki Add butonuna basıyoruz ve aşağıdaki ekran ile karşılaşıyoruz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 11

Yukarıdaki şekilde görüldüğü gibi iki farkla her şey aynı  birincisi  IPSec iletişimi için yine bir CA’den alınan sağlık sertifikası kullanabilmemizdir. İkincisi ise Preshared Key  ikinci kısımda yoktur.

IPSec Exemptions ( IPSec İstisnaları) kısmınından bahsetmiş idik. Burada IPSec ile belirlenen ilkelere uymasa dahi ICMP paketlerinin yerine ulaşması söz konusudur. Yani IPSec ilkelerinin ICMP paketlerine uygulanmamasını sağlayabiliyoruz.

IPSec  Tunel Authorization ( IPSec Tunel Yetkilendirmesi): Bu kısımda ise IPSec bağlantısını kullanacak olan kullanıcı ve bilgisayarları belirtebiliyoruz. Bunu yapmak için Advanced şıkkını seçip Customize butonuna basıyoruz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 12

Yukarıdaki şekilde Computers ve Users adlı iki tab görüyoruz. İşlev olarak ikisi de aynı birisi bilgisayarlar için diğeri kullanıcılar için.  Computers tabının altında iki seçenek var.

 Authorized computers ( yetkilendirilmiş bilgisayarlar); Only allow connections from these computers ( sadece bu bilgisayarlardan bağlantılara izin ver) yani belirleyeceğimiz bilgisayarlardan gelen bağlantılara izin ver.

Exceptions (istisnalar); Deny connections from these computers ( Bu bilgisayarlardan gelen bağlantıları engelle) yani belirleyeceğimiz bilgisayarlardan gelen bağlantılara izin verme.

Bu opsiyonlar bize IPSec Tunel Bağlantılarında belirlediğimiz kullanıcı ve bilgisayardan gelen bağlantılara izin ver yada izin verme opsiyonunu sağlamaktadır.

IPSec genellikle iki türlü uygulama şekli vardır;

·  Transport Mode: Yerel ağımızda uyguladığımız IPSec uygulamasıdır. Bilgisayarlar arası iletişimde kullanılır.

· Tunnel Mode: İnternette WAN’lar arasında uygulanana IPSec uygulamasıdır.

Evet buraya kadar Windows Server 2008 R2 üzerinde IPSec yapısını anlatmaya çalıştık. Şimdi ise Windows Server 2008 R2 üzerinde Ağ izolasyonu konusuna değineceğiz.

WINDOWS SERVER 2008 R2 AĞ İZOLASYONU

İzolasyon dış etkenlerden koruma anlamına gelmektedir. Ağ izolasyonu dediğimiz zaman ise ağımızı dış etkenlerden izole etmektir. Peki ağımızı neye ve kime karşı izole edebiliriz? Hiç şüphe yok ki dışardan gelen bağlantılara karşı izole edebiliriz. Ama sadece bu yetmez kendi iç kullanıcılarımıza karşı da izole etmemiz gerekir. Bu tamamen güvenlik politikalarımıza bağlı olarak değişir.  Peki ama bu nu nasıl sağlayabiliriz?

İlk olarak veriye ulaşacak kişileri bir ağda, ulaşamayacak olanları başka bir ağda konumlandırabiliriz. Bir diğer yol ise VLAN ( Vritual Local Area Network) oluşturmaktır. VLAN oluşturmak için yönetilebilir biz switch gereklidir. Yine network yapımız büyüdükçe VLAN’ları yönetmek ve VLAN’lar arasında bağlantı sağlamak için fazladan donanım ihtiyaçlarımız ortaya çıkacaktır.

Server 2008/R2 tarafında ise izolasyon işlemi ise dış dünyadan ayrılacak olan sunucu/istemcilerin kendi aralarında iletişim kurmak istedikleri zaman belirli kurallara göre anlaşıp ondan sonra iletişime geçebilmeleri olarak tanımlanabilir. Yani iletişime geçecek bilgisayarların güvenilir olduklarını ispat etmeleri gerekir ki iletişime geçebilsinler.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 13

Yukarıdaki şekilde izole edilmiş olan ağa dış ağdaki bilgisayarlar (kullanıcılar) erişememektedir. Böylece ağı istemediğimiz tehditlere karşı korumuş oluruz.  İzole ila amacımızın birbirleri ile iletişime geçmek isteyen bilgisayarların güvenilir olması gerektiğini belirtmiş idik. Bu iletişimde IPSec kullanarak iletişimin bütünlüğünü ve güvenliğini artırabiliriz.

Peki dış ağda bulunan fakat izole edilmiş ağa ulaşması gereken bilgisayarlar için ne yapabiliriz? Bu durumda da istisna kuralı tanımlayarak izole olamayan bir ağda bulunan bilgisayarın izole edilmiş bir ağa erişmesini sağlayabiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 14

İzolasyon işlemi yaparken kullanacağımız ilkeler bağımsız olarak değil birbirleriyle etkileşimli olarak çalışır. IPSec ilkelerine bakacak olur isek;

·       No Authentication: İletişim gerçekleşmez

·     Require: İletişim için öce IPSec kimlik doğrulaması isteyecek fakat yok ise yine de iletişime geçecektir.

·  Request: İletişim için mutlaka IPSec isteyecektir. IPSec yok ise iletişim gerçekleşmeyecektir.

Server 2008 R2’de izolasyon (ağ/sunucu) Advanced Firewall konsolunda Connection Security Rules kısmını kullanılarak yapılmaktadır. Bu kurallar iki bilgisayar arasında iletişimin nasıl yapılacağını tanımlamaktadır ve Server 2008 R2 bu iletişim için IPSec kullanır.

AĞ İZOLASYONU

Ağ izolasyonu yapabilmek için Connection Security Rules kısmında yeni bir kural tanımlaması yapmamız gerekmektedir. Bunun için Connection Security Rules üzerine gelip Sağ tıklayarak New Rule şıkkını seçeriz. Karşımıza aşağıdaki gibi bir ekran çıkacaktır.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 15

Isolation: Bu kurallar bir bilgisayara yapılacak iletişim için authentication kriterleri (doğrulama kriterleri), domaine üye olma yada sağlık durumu ( NAP- Network Access Protection) gibi kuralları yerine getirmeyen bilgisayarların bu kuralların uygulandığı bilgisayarlarla iletişime geçemeyeceğini belirtir.

Authentication Exemption (Kimlik  Doğrulama İstisnaları): Bu istisna ile iletişim için bilgisayarın kimlik doğrulama zorunluluğu ortadan kalkar. Yani kimlik doğrulaması olmasa dahi iletişim gerçekleşir.  İstisna kuralı belirli bir IP adresi, IP aralığı, subnet ve ön tanımlı bilgisayarlar için uygulayabiliriz.

Server- to -Server:  Belirli bilgisayarlar arasında ( genellikle sunucular) gerçekleşecek olan iletişim için kuralların tanımlandığı bölümdür. İletişim kuralları uçtan uça tanımlanmalıdır.

Tunnel: Genellikle internet üzerindeki ağ geçitleri üzerinde tanımlanan kuralları belirtir. Ankara ve İstanbul’daki şubelerin birbirlerine bağlantısını buna örnek verebiliriz.

Custom: Veri güvenliği ve iletişimin sağlıklı olması için özelleştirilebilen kuralların tanımlandığı bölümdür.

Eğer tek bir sunucuyu izole etmek istersek İsolation seçeneğini kullanabiliriz. Eğer bir ağdaki birden çok sunucuyu izole etmek istersek Custom seçeneğini kullanabiliriz.  Custom seçeneğini seçerek devam edelim.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 16

Buradaki izolasyon iki bilgisayar arasında şifreli bir tünel oluşturmak anlamına gelir.  Başlangıç ve bitiş kısımlarında IP tanımlaması yapılmasını gerektirir. Eğer başlangıç ve bitiş kısımlarındaki değerler aynı olursa sadece tanımlanan IP adresleri izole edilmiş olur.  Ayrıca Customize kısmına geçip Interface belirleyebiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 17

Başlangıç ve bitiş IP adreslerini belirtebilmek için These IP adresses ve ardından Add butonuna tıklamamız gerekir.  Karşımıza aşağıdaki gibi bir pencere gelir.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 18

Buradaki seçeneklere bakacak olur isek. İlki belirli bir IP adresi yada subnet bilgisini girerek tanımlama yapmak. İkincisi belirli bir IP adres aralığı  girmek.  Üçüncüsü ise daha önceden tanımlanmış olan DNS, WINS, DHCP, Varsayılan Ağ geçidi gibi bilgisayarları seçebiliriz.  Seçimimizi yaptıktan sonra bir sonraki aşamada kimlik denetimi ile ilgili işlemleri yapmamız gerekir. Burada dört farklı seçeneğimiz var.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 19

Request authentication for inbound and outbound connections  ( Gelen ve giden bağlantılar için kimlik doğrulaması talebi): Bu seçenek ile hem bu bilgisayardan dışarı doğru hem de bu bilgisayara gelen bağlantılar için kimlik doğrulaması istenecektir. Ancak karşı tarafta kimlik doğrulama denetimi yoksa bağlantı yine de sağlanacaktır.

Require authentication for inbound connections and request authentication for outbound ceonnections (Gelen bağlantılar için kimlik doğrulaması iste ve giden bağlantılar için kimlik doğrulaması talep et): bu seçenek ile bu bilgisayara gelen bağlantılar için kimlik doğrulaması gerekecektir.  Bu bilgisayardan dışarı bağlantılarda kimlik denetimi istenecek fakat kimlik doğrulama denetimi yok ise bağlantı yine de gerçekleşecektir.

Require authentication for inbound and outbound connections ( Gelen ve giden bağlantılar için kimlik denetimi iste): Bu seçenek ile hem gelen bağlantılar hem de giden bağlantılar için kimlik doğrulaması gerekecektir.  Aksi taktirde iletişime geçilmeyecektir anlamına gelir.

Do not authenticate ( Kimlik doğrulaması yok):  Tüm iletişimin kimlik doğrulaması olmadan gerçekleşeceği anlamına gelir.

Kimlik denetimi ile ilgili gereklilikler tamamlandıktan sonra kimlik denetiminin nasıl olacağını belirlememiz gerekir.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 20

Default ( Varsayılan): IPSec ayarlarında kullanılan varsayılan ayarlarlar uygulanır.

Computer and user  (Kerberos V5):  Bu seçenek ile kullanıcı ve bilgisayar kimlik denetimi AD ( Active Directory) hizmetinde kullanılan Kerberos V5 olacaktır.

Computer (Kerberos V5): Bu seçenek ile sadece bilgisayarla AD üzerinden denetlenecektir. Yani sadece AD’ye üye olan bilgisayarlar iletişime geçebilir. 

 Advanced (Gelişmiş): Kullanıcı ve bilgisayar bazında gelişmiş kimlik doğrulaması yapabileceğimiz seçenekleri yapılandırmamızı sağlar.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 21

Yukarıdaki şekle bakacak olur isek First Authentication  ve Second Authentication seçeneklerimiz vardır.  First Authentication kısmında Add butonuna tıklayarak kullanabileceğimiz seçenekleri görebiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 22

Computer (Kerbores V5 ): AD  dizin hizmeti kimlik doğrulama protokolü.

Computer ( NTLMv2): Kimlik denetim bilgilerinin yerel olarak kontrol edilmesini sağlayan protokol.

Computer certificate from this certification authotirty (CA):  Tanımlanan bir CA’dan alınan sertifika ile kimlik denetiminin yapılması.

Preshared Key (Ön paylaşımlı anahtar): Bağlantının her iki ucunda tanımlanan bir şifre ile kimlik denetiminin yapılması.

Belirlenen kimlik denetim protokollerinden biri ilk protokol olarak seçildikten sonra farklı bilgisayarların farklı yöntemlerle birbirlerini denetlemeleri için ikinci bir kimlik denetim protokolü eklenebilir. Ancak kimlik denetim protokolü olarak Preshared Key seçilmiş ise ikinci bir kimlik denetim protokolü seçilemeyecektir.

Daha sonraki aşamada bağlantıya geçilecek olan protokol tipleri ve numaralarını belirlememiz gerekecektir.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 23

Bundan sonraki aşamada belirlediğimiz kuralların uygulanacağı profilleri belirlememiz gerekecektir.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 24

Son aşmada ise oluşturduğumuz bu kural için bir isim verip kuralımız sonlandırabiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 25

Evet izolasyon kuralımızı oluşturduk. Bundan sonraki aşamada ise izole edilmiş olan ağa ulaşması gereken  bir bilgisayar olabilir. Bu durumda yapmamız gereken ise İzolasyon İstisnası oluşturmaktır. Bunu yapma için ise bu seferki seçeneğimiz Authentication Exemption olmalıdır.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 26

Bir sonraki aşamada hangi bilgisayarların bu kurala uyacağını belirtmemiz gerekmektedir.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 27

Yukarıdaki şekilde Add butonuna tıklayarak bu seçimimizi yapılandırabiliriz. Burada belirli bir IP adresi yada subnet belirli bir IP aralığı yada ön tanımlı bilgisayarlar tanımlayabiliriz.

Windows Firewall with Advanced Security and IPSec

Windows Firewall with Advanced Security and IPSec 28

Seçimimizi yaptıktan sonra bu kuralın hangi profillere uygulanacağını belirtip kuralımıza isim vererek istisna kuralımızı tanımlamış oluruz.

Murat KOÇAK

IT Professional

RastGele Reklam Kodu


Etiketler: , ,

Kategori: Windows Server

Murat KOÇAK

Yazar Hakkında ()

www.kocakmurat.com IT Professional

Bir yorum yazın

Bir Yorum yazmak için giriş yapmalısınız.