Örneklemeler Cisco gateway’ler için düşünülmüştür. Protokol seçenekleri güncellemelerle değişebilir. Bu makalemde IPsec’in Faz 2 kısmından bahsedeceğim.
Faz 1 konfigürasyonundan sonra Faz 2’ye geçilir. Faz-2’de AH veya ESP başlık yöntemlerinden biri seçilir. Daha sonra bu yöntemler altında bulunan protokollerden seçim yapılır. Bu şekilde IPsec tünel veya taşıma modunda çalıştırılabilir.
Taşıma ve tünel modu için ilgili makalemi okuyabilirsiniz.
AH (Authentication Header) Tarafından Sağlanan Veri Güvenliği: (Doğrulama)
AH (Authentication Header – Kimlik Doğrulama Başlığı) çeşitli prokollerden oluşur ve tercihe göre seçim yapılır. AH başlığı ile veri gizliliği sağlanmamaktadır yani gönderilecek veri şifrelenmemektedir. AH, kötü niyetli kişilerin dinleme girişimlerine karşı savunmasızdır. AH ile aşağıdaki işlemler gerçekleştirilebilir.
Bütünlük (Integrity): Verinin yolda değişip değişmediği kontrol edilir. Verinin orijinal olduğu garanti edilir.
Kimlik Denetimi (Authentication/Identification): Veri kaynağının kimlik doğrulaması yapılır. Verinin asıl gönderici tarafından geldiği garanti edilir.
Yeniden gönderme koruması: İsteğe bağlı kullanılır. Aynı verinin tekrar tekrar gönderilmediği garanti edilir.
AH, bir başlıktır ve veri paketinde farklı durumlara göre farklı yerlere yerleştirilir.
ESP (Encapsulating Security Payload) Tarafından Sağlanan Veri Güvenliği: (Doğrulama ve Şifreleme)
ESP (Encapsulating Security Payload – Kapsüllenen Güvenlik Yükü), çeşitli prokollerden oluşur ve tercihe göre seçim yapılır. ESP, AH başlığında olduğu gibi sadece doğrulama işlemi değil veri şifrelemesi de yapar. Dolayısıyla veri dinleme saldırılarına karşı koruma sağlanır. Kapsülleyen güvenlik veri yükü anlamına gelen ESP protokolü, AH protokolünü de kapsamaktadır. ESP ile aşağıdaki işlemler gerçekleştirilebilir.
Gizlilik (Privacy/Confidentiality): Veriler şifrelenir.
Bütünlük (Integrity): Verinin yolda değişip değişmediği kontrol edilir. Verinin orijinal olduğu garanti edilir.
Kimlik Denetimi (Authentication/Identification): Veri kaynağının kimlik doğrulaması yapılır. Verinin asıl gönderici tarafından geldiği garanti edilir.
Yeniden gönderme koruması: İsteğe bağlı kullanılır. Aynı verinin tekrar tekrar gönderilmediği garanti edilir.
ESP bir başlıktır ve veri paketinde farklı durumlara göre farklı yerlere yerleştirilir.
ESP ve AH Başlığının Birlikte Kullanımı
Hem şifreleme hem de doğrulama ile güçlü bir güvenlik sağlanmak istediğinde daha çok kaynak tüketimi yapılarak maksimum koruma hedeflenir.
IPsec Faz 2 Ayarlamaları
1- Erişim listesi (Access-list) ayarlanır. Bu liste hangi IP adresleri arasındaki hangi protokollerin konuşması IPsec ile şifrelenecek hangisi hariç tutulacak belirlenmiş olur.
2- Tranform-set ayarlanır. [IKEv1 kısmıdır. IKEv2 seçeneğiyle farklı protokoller de mevcuttur.]
- İsmi (transform-set-name) verilir.
- AH seçildiyse doğrulama protokolü, ESP seçilmişse doğrulama ve şifreleme protokolü seçilir.
- Doğrulama: MD5, SHA, SHA256, SHA384, SHA512..
- Şifreleme: DES, 3DES, AES…
- Mode seçilir.
- Transport
- Tunnel
3- Crypto-map ayarlanır.
- İsmi (map-name) ve sayı numarası (seq-num) verilir.
- Daha önce ayarlanan erişim listesinin hangisinin kullanılacağı numarasıyla belirtilir.
- Karşı taraftaki cihazın konuşulacak bacak (interface) IP adresi veya hostname belirtilir.
- Daha önce ayarlanan tranform-set’lerden hangisinin kullanılacağı ismiyle belirtilir.
- Konfigürasyonun hangi bacakta (interface) kullanılacağı belirlenir.
4- IPsec konfigürasyonun hangi bacakta (interface) kullanılacağı belirlenir. Bu interface’e Crypto-map uygulanarak IPsec aktif hale getirilir.
