Forum
Merhabalar, L2TP, IPSEC derken , okurken deneme yaparken acayip şekilde kafam karıştı sormak için bişeyler toparladım, yardımcı olursanız çok sevinirim.
LAN içinde IPSEC yapılandırırken AH ve ESP için DES,3DES, MD5 gibi şifreleme ve hash algoritmaları seçebiliyoruz ki denediğim şeyler. Ayrıca authentication için Kerberos, CA , pre-shared secimi var.Sorularımı bu dogrultuda sormak istiyorum
1..Win2003 server üzerine VPN server kurup L2TP/IPSEC yapılandırmak istedim. VPN Serverda Allow custom IP policy.... ifadesini doldurdum, pre-shared key verdim. VPN Clientda VPN baglantı ozelliklerinde Security tabında pre-shared i doldurdum.
Zaten CHAP, MS-CHAP gibi authentication metodlarını da secmiştim, şimdi bir de bu pre-shared key in secilmesi kafamı karıştırdı. L2TP de Client ın kullanıcı adı ve şifresi MS-chap vb yontemle authenticate edilip bir de pre-shared key ile authenticate mi ediliyor yoksa bu key data şifreleme key imidir?
2..Clientın VPN baglantı ozelliklerinde aşağıdaki gibi bir ayar var.Burdan Logon security icin sertifika kullanmaya kalksam biraz once doldurdugum pre-shared key ile cakısacakmı yani hangisi oncelikli olacak.? Ayrıca bu sertifika sadece authentication icin mi kullanılacak data sifreleme icin de kullanılacakmı?
3..Bütün bu ayarlardan sonra girişte soylediğim gibi Lan içinde IPSEC kullansak IP Security Policy den AH ve ESP için DES,3DES, MD5 gibi şifreleme ve hash algoritmaları seçebiliyoruz. Fakat L2TP vpn de bu ayarlar nerden yapılır bulamadım, IPSEC L2TP de ne şekilde , nasıl devreye giriyor bunu anlamadım, olayı anlamamda yardımcı olabilirseniz sevinirim
Merhaba ;
Aslında bu konuda bir makale çalışmasına başlamıştık ancak sorunuz erken geldiği için böylesine detaylı bir konuda şimdilik bir link veremiyoruz , bu nedenle detaylı bir şekilde anlatmaya çalışacağız ;
Öncelikle VPN tünelde bildiğiniz gibi seçebileceğiniz iki tünel tipi vardır ve aslında her ikiside şifreleme destekler ; PPTP ile L2TP .
Bunlardan L2TP şifreleme için IpSec kullanır , ancak ipsec başlı başına ayrı bir konudur zaten .
şimdi siz eğer vpn için şifreleme noktasında ipsec kullanmak istiyorsanız ipsec ten biraz bahsetmemiz gerekli ;
IpSec in temel 3 görevi vardır
Integrity = Bütünlük
Authentication = Kimlik Doğrulama
Confidentiality = Gizlilik
ve bu görevleri yerine getirmek için iki method kullanır
Authentication Header (AH)
Encapsulating Security Payload (ESP)
AH - veri bütünlüğü ve kimlik doğrulamayı destekler iken
ESP - 3 adımıda destekler.
Her iki protokolde ortak algoritmalar kullanır
kimlik doğrulama için
Kerberos
Preshared Key
Sertifika
veri bütünlüğü için
Message Digest 5 (MD5)
Secure Hash Algorithm (SHA-1)
ve şifreleme için ( sadece esp kullanır )
DES
3DES
bu durumda eğer vpn tuneli ipsec yardımı ile kuruluyorsa ipsec in başarılı bir şekilde çalışması için ilk olarak kimlik doğrulamasını sağlamalı ve bunuda yukarıdaki 3 yöntemden biri ile yapabilir .
eğer sizin vpn yapacak istemci server arasında güvenilen ortak bir ca var ise sertifika , iki makine aynı domainde ise yani makineler kerberos kullanabiliyor ise kerberos her iki durumda yok ise pre-shared key kullanmak zorundalar
ipsec üzerindeki kuralarda tek bir kimlik doğrulama metodu seçmeniz gerekmektedir , yani makineler arasında yapacağınız ipsec için birden çok kural tanımlamanız halinde her bir kurala farklı kimlik doğrulama metodları tanımlarsanız sonuç başarısızlık olacaktır.
aynı şekilde bir rule içinde de birden çok metod seçilmesi tavsiye edilmemektedir. ( daha fazla bilgi için http://technet.microsoft.com/en-us/library/cc772338.aspx )
son sorunuz ise ipsec konfigürasyonu için mmc konsolunu kullanarak ipsec ayarlarını yapabilirsiniz . ( her iki makinede de yapmanız gerekli veya gpo ile istemci makinelere bu ayarı dağıtma şansınız var )
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hocam teşekkür ederim cevabınıza,
konuyla ilgili özellikle sertifkalarla yeni ilgilenmeye baslayan biri olarak hazır konu acılmısken bişey sorabilirmyim.Gerçi uzun oldu ama bu konuları çok merak ediyorum, sizi bulmuşken sorayım dedim:-)
1.Sadece IP sec i düşünürsek CA, Kerberos ve pre-shared key kullanarak aslında biz user ı değil de computer u mu authenticated mi etmiş oluyoruz. Anladığım kadarıyla Mesela Kerberos kulanacaksak Domnain Controller dan da yararlanarak computer accountları üzerinden authentication yapılıyor, sertifika kullanacaksak bu sertifika computer ları authenticate eden bir sertifika mı oluyor?
2.Şifreleme veya dijital imza oluşturmak için alınan sertifikalar da olabiliyor. Bunların içinde public key de oluyor vb. IPsec için alınan sertifikada public key private key olayı var mı? Yani bu sertifika ile şifreleme vb bişey yapılmayacagına göre sadece authentication gerektiğine göre her 2 ucunda aldığı sertifika aynı CA dense sorun yok anlayışıyla mı authentication gercekleşiyor. Tam olarak bu mudur CA li authenticationdan anlamamız gereken?
3.Bazı durumlarda CA in kendi sertifikasını clientların Trusted Sertifikalar bolumune ekliyoruz hocam, IPsec deki CA li authentication da da bunu yapmaya gerek var mı? Her 2 uçta aynı CA den sertifika alırsa buna gerek kalmaz gibi geiyor?
Oldu ki IPsec yapacak uçlar farklı CA lerden sertifika aldılar. Bu 2 ucun , authentication yapabilmesi için Trusted Sertifikalar bolumune her 2 sinin de , her 2 CA in sertifikasını koyması yeterlimidir?
4. Son sorum, konuya yeni ilgi duydugum için ezbere yaptıgım bişey CA in sertifikasını cientlara dağıtma olayı senaryoları. Genel bir soru ikinci soruya benzer, CA in sertifikasını clientlara dağıtıp Trusted Sertfikalar bolumune koyuyoruz bazı durumlarda. Bu sertifika isim olarak server sertifikası oluyor yanılmıyorsam. Computer lar için yayınlanan bütün sertifikaları da aynı cümleden değerlendirebilir miyiz? Yani hem server hem de computerlara verilen sertifikalar içinde public key, private key oluyor mu , yoksa sadece CA in imzaladığı bir bildiri gibi bişeymi oluyor, amaç CA in kimlğini veya sertifikanın verildiği computer ı bildirmekten mi ibaret?
saygılarımla,
1-bilgisayar ve user olmak üzere iki ayrı sertifika almanız ve yapacağınız iletişime göre hem user için hemde makine için kimlik doğrulama sağlama imkanınız bulunmaktadır
2 - sen bana güveniyorsun , serkan da bana güveniyor , ben serkan a serkan olduğunu gösteren bir gelge veriyorum ve serkan sana geldiğinde bu belgeyi gösteriyor , sende bana güvendiğin için onun serkan olduğunu doğruluyorsun
3 - aynı domaindeki makineler zaten ca 'e güvenir ancak domain dışında ise bu durum söz konusudur
4 - sertifikaların genel yapısı public ve private keyden oluşur bu sertifikaların temelidir .
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
"lütfen yardım" konulu vb açılan başlıklar kilitlenir, forum kurallarını okuyunuz.
Mesut hocam uyarı için teşekkürler.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Mesut hocam uyarı için teşekkürler, konu başlığını değiştirme şansımız var mı? konu güzel bir noktaya geldi , bir 2 bişey daha sormak istiyorum yanlış yapmıyayım
Buradan devam edebilirsin.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
1-bilgisayar ve user olmak üzere iki ayrı sertifika almanız ve yapacağınız iletişime göre hem user için hemde makine için kimlik doğrulama sağlama imkanınız bulunmaktadır
2 - sen bana güveniyorsun , serkan da bana güveniyor , ben serkan a serkan olduğunu gösteren bir gelge veriyorum ve serkan sana geldiğinde bu belgeyi gösteriyor , sende bana güvendiğin için onun serkan olduğunu doğruluyorsun
3 - aynı domaindeki makineler zaten ca 'e güvenir ancak domain dışında ise bu durum söz konusudur
4 - sertifikaların genel yapısı public ve private keyden oluşur bu sertifikaların temelidir .
Hocam başınızı ağrıtıcam ama, user sertifikası ve bilgisayar sertifikası kavramları kafamı karıştırdı.
1..Genel olarak söylemek gerekirse sertifikalarda public ve private keyler var. Kimlik doğrulama user veya bilgisayar sertifikası ile yapılırken, kimlik doğrulama için alınan sertifikada public key ve private key de oluyor mu? Yani bu tür sertifikalarda public key private key kullanılıp şifreleme yapılır mı authentication için. User ve bilgisayar sertifikasındaki public key ne amacla kullanılıyor?
2..Authenticatin deyince aklım hep AD deki user ve computer hesabına gidiyor, bu yuzden şunu da sormak istedim: sertifikalar ile yapılan authenticationda, user ın kullanıcı adı ve/veya bilgisayarın computername i kullanılıyor mu?
3..Hocam yukarda 2 .sorudaki cevabınızla ilgili olarak, güvenme işlemi gerçekleştirlirken hangi bilgi bize güven ilişkisi sağlıyor? Sertifikanın aynı CA den alındığı bilgisi mi var sertifikalarda, bu mu güven sağlıyor?
4..Yukardaki 3.sorudaki cevanızla ilgili , aynı domaindekiler CA e güven gercekleştirilirken bu güven için DC yemi soruyolar, CA bizim domainde mi diye.?
1 - bu soruna cevap verdim
2 - kimlik doğrulama için kullanılan yöntemler vardır. Sertifika kullanmak bunlardan en güvenilir olanıdır. Yani örnek olarak bir server a rdp ile bağlanmak için bir kullanıcı adı şifreye ihtiyacın olacak , ama birisi bu şifreyi çalar ise her şekilde bu makineye login olur , sen rdp için sertifika ile kimlik doğrulama yaparsan bu durumda şifreden önce bağlanacak makinenin kendini doğrulaması gerekli ,bu aynı şekilde her yapı için değişkenlik gösterir. yani kim mekanizmalarda bilgisayar hesapları doğrulanırken kimi mekanizmalarda kullanıcı , o nedenle kimiz zaman bilgisayar , kimi zaman user sertifikası kullanırsın .
3 - bu sorununda cevabını verdim ,sanırsam cevaplarımı iyi okumuyorsun , bunu yine sormuştun ve bende demiştim ki , sen ve ben serkan a güveniyor isek serkanın vermiş olduğu kimlikler bizi ikimiz arasındaki iletişimde doğrular... ama bu her zaman tek bir merkezden alınması gerekli manasına gelmez.. misal dünya üzerinde yetkili sertifika dağıtıcıları var , para ile bunlardan bir sertifika alırsan herkes sana güvenecektir ama bu da yine sisteme bağlı .
örnek ssl li bir site yaptın ,yani sertifikalı , bu iletişim için sertifika gerekli demektir , peki sen bu sitede kullanmak üzere bir sertifika almalısın , ne sertifikası , bilgisayar , neden çünkü siteyi iis yani bir bilgisayar host ediyor , peki sen bu sertifikayı kendi kurduğun ca den alırsan , dışarıdaki herhangi bir makine örnek benim bilgisayarım sana güvenmez , bir uyarı çıkar ve ok dersem site açılır .. neden ? çünkü senin ca , dünya üzerinde kayıt edilmiş resmi bir sertifika dağıtıcısı değil , peki para verip örnek verisgn dan alsaydın , o zaman güvenirdim çünkü her işletim sistemi ve browser kurulurken zaten bu bilgiler ile gelir , yani dünya üzerinde kim yetkili bilgisi ile , olurda çok ciddi bir güvenlik açığı ile şirket batarsa ilk güvenlik güncellemesi ile bu bilgi bizlere gönderilir. veya şirket batmaz örnek sana verdiği sertifika çalınır ise sadece bunu da yine internet üzerinden online bir şekilde publish eder ve sistemlerimiz bunu otomatik algılar.ama ben senin domainin içerisindeki bir makine olsaydım güvenirdim çünkü ca kurulduktan sonra bilgisi tüm istemcilere gönderilir.
4 - her makine kendi lokalinde güvenilen kok sertifika dağıtıcılarının listesini tutar ...kurulurken zaten gelen bu liste ister elle istersen ca kurulumundan sonra otomatik olarak güncellenir .
sertifikalar konsolunu açarak kontrol edebilirsin
not : bu kadar soru sormadan önce neden makaleleri okumayı denemiyorsun , biz bu kadar uzun yazmamak için her seferinde bir sürü makale yazdık , okursan emin ol daha iyi kavrayacaksın .
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hocam sabrınız için teşekkür ederim, cevaplarınızı tekrardan okudum, başka dökümanlara da baktım
Son olarak ,özellikle öğrenmem gereken 2 konu vardı kendimce,
İlki sertifikalarla saglanan güven ilişkisinin sertifikaların içindeki hangi bilgiye bakılarak kurulduğu, ki güvenilen bir CA tarafından bu sertifikanın verilip verilmediği , Güvenilen bir CA tarafından imzalanıp imzalanmadığı bilgisi kontrol ediliyor, doğru mu anladım?
İkincisi, sertifikaların temeli public-private key çifti demiştik.Mesela EFS gibi şifreleme gerektiren bir yapıda kullanabiliyoruz bu çifti. User authentication ve computer authentication için kullanılan sertifikaları olusturan public , private key ikilisinin authentication esnasında yaptığı işi hala kavrayamadım.
Her sertifikanın parmak izi ve seri numarasından bu kontrol yapılabiliyor.
ikinci sorun ise gerekli açıklama burada bulunmaktadır
http://winscp.net/eng/docs/public_key
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Ewet hem vpn serverda hemde client ta ipsec pre shahared key her ikisindede girmemiz gerekiyor.
ama pre shared key farkı doldurman gerekir. ileri düzey şifreleme sağlıyor ama en önemlisi we güvenlisi setifika ile l2tp yapmaktır.