L2TP/IPSEC İlişkisi

Merhaba ;

Aslında bu konuda bir makale çalışmasına başlamıştık ancak sorunuz erken geldiği için böylesine detaylı bir konuda şimdilik bir link veremiyoruz , bu nedenle detaylı bir şekilde anlatmaya çalışacağız ;

Öncelikle VPN tünelde bildiğiniz gibi seçebileceğiniz iki tünel tipi vardır ve aslında her ikiside şifreleme destekler ; PPTP ile L2TP .

Bunlardan L2TP şifreleme için IpSec kullanır , ancak ipsec başlı başına ayrı bir konudur zaten .

şimdi siz eğer vpn için şifreleme noktasında ipsec kullanmak istiyorsanız ipsec ten biraz bahsetmemiz gerekli ;

IpSec in temel 3 görevi vardır

Integrity  = Bütünlük
Authentication = Kimlik Doğrulama
Confidentiality  = Gizlilik

ve bu görevleri yerine getirmek için iki method kullanır

Authentication Header (AH)
Encapsulating Security Payload (ESP)

AH - veri bütünlüğü ve kimlik doğrulamayı destekler iken

ESP - 3 adımıda destekler.

Her iki protokolde ortak algoritmalar kullanır

kimlik doğrulama için

Kerberos
Preshared Key
Sertifika

veri bütünlüğü için

Message Digest 5 (MD5)
Secure Hash Algorithm (SHA-1) 

ve şifreleme için ( sadece esp kullanır )

 DES
3DES

bu durumda eğer vpn tuneli ipsec yardımı ile kuruluyorsa ipsec in başarılı bir şekilde çalışması için ilk olarak kimlik doğrulamasını sağlamalı ve bunuda yukarıdaki 3 yöntemden biri ile yapabilir .

eğer sizin vpn yapacak istemci server arasında güvenilen ortak bir ca var ise sertifika , iki makine aynı domainde ise yani makineler kerberos kullanabiliyor ise kerberos her iki durumda yok ise pre-shared key kullanmak zorundalar

ipsec üzerindeki kuralarda tek bir kimlik doğrulama metodu seçmeniz gerekmektedir , yani makineler arasında yapacağınız ipsec için birden çok kural tanımlamanız halinde her bir kurala farklı kimlik doğrulama metodları tanımlarsanız sonuç başarısızlık olacaktır.

aynı şekilde bir rule içinde de birden çok metod seçilmesi tavsiye edilmemektedir. ( daha fazla bilgi için http://technet.microsoft.com/en-us/library/cc772338.aspx  )

son sorunuz ise ipsec konfigürasyonu için mmc konsolunu kullanarak ipsec ayarlarını yapabilirsiniz . ( her iki makinede de yapmanız gerekli veya gpo ile istemci makinelere bu ayarı dağıtma şansınız var )

Hocam teşekkür ederim cevabınıza,

konuyla ilgili özellikle sertifkalarla yeni ilgilenmeye baslayan biri olarak hazır konu acılmısken bişey sorabilirmyim.Gerçi uzun oldu ama bu konuları çok merak ediyorum, sizi bulmuşken sorayım dedim:-)

1.Sadece IP sec i düşünürsek CA, Kerberos ve pre-shared key kullanarak aslında biz user ı değil de computer u mu authenticated mi etmiş oluyoruz. Anladığım kadarıyla Mesela Kerberos kulanacaksak  Domnain Controller dan da yararlanarak computer accountları üzerinden authentication yapılıyor, sertifika kullanacaksak bu sertifika computer ları authenticate eden bir sertifika mı oluyor?

2.Şifreleme veya dijital imza oluşturmak için  alınan sertifikalar da olabiliyor. Bunların içinde public key de oluyor vb. IPsec için alınan sertifikada public key private key olayı var mı? Yani bu sertifika ile şifreleme vb bişey yapılmayacagına göre sadece authentication gerektiğine göre her 2 ucunda aldığı sertifika aynı CA dense sorun yok anlayışıyla mı authentication gercekleşiyor. Tam olarak bu mudur CA li authenticationdan anlamamız gereken?

3.Bazı durumlarda CA in kendi sertifikasını clientların Trusted Sertifikalar bolumune ekliyoruz hocam, IPsec deki CA li authentication da da bunu yapmaya gerek var mı? Her 2 uçta aynı CA den sertifika alırsa buna gerek kalmaz gibi geiyor?

Oldu ki IPsec yapacak uçlar farklı CA lerden  sertifika aldılar. Bu 2 ucun , authentication yapabilmesi için Trusted Sertifikalar bolumune her 2 sinin de , her 2 CA in sertifikasını koyması yeterlimidir?

4. Son sorum, konuya yeni ilgi duydugum için ezbere yaptıgım bişey CA in sertifikasını cientlara dağıtma olayı senaryoları. Genel bir soru ikinci soruya benzer, CA in sertifikasını clientlara dağıtıp Trusted Sertfikalar bolumune koyuyoruz bazı durumlarda. Bu sertifika isim olarak server sertifikası oluyor yanılmıyorsam. Computer lar için yayınlanan bütün sertifikaları da aynı cümleden değerlendirebilir miyiz? Yani hem server hem de computerlara verilen sertifikalar  içinde public key, private key oluyor mu ,  yoksa sadece CA in imzaladığı bir bildiri gibi bişeymi oluyor, amaç CA in kimlğini veya sertifikanın verildiği computer ı bildirmekten mi  ibaret?

 saygılarımla,

1-bilgisayar ve user olmak üzere iki ayrı sertifika almanız ve yapacağınız iletişime göre hem user için hemde makine için kimlik doğrulama sağlama imkanınız bulunmaktadır

2 - sen bana güveniyorsun , serkan da bana güveniyor , ben serkan a serkan olduğunu gösteren bir gelge veriyorum ve serkan sana geldiğinde bu belgeyi gösteriyor , sende bana güvendiğin için onun serkan olduğunu doğruluyorsun

3 - aynı domaindeki makineler zaten ca 'e güvenir ancak domain dışında ise bu durum söz konusudur

4 - sertifikaların genel yapısı public ve private keyden oluşur bu sertifikaların temelidir .

"lütfen yardım" konulu vb açılan başlıklar kilitlenir, forum kurallarını okuyunuz.

Mesut hocam uyarı için teşekkürler.

Mesut hocam uyarı için teşekkürler, konu başlığını değiştirme şansımız var mı? konu güzel bir noktaya geldi , bir 2 bişey daha sormak istiyorum yanlış yapmıyayım

Buradan devam edebilirsin.

1-bilgisayar ve user olmak üzere iki ayrı sertifika almanız ve yapacağınız iletişime göre hem user için hemde makine için kimlik doğrulama sağlama imkanınız bulunmaktadır

2 - sen bana güveniyorsun , serkan da bana güveniyor , ben serkan a serkan olduğunu gösteren bir gelge veriyorum ve serkan sana geldiğinde bu belgeyi gösteriyor , sende bana güvendiğin için onun serkan olduğunu doğruluyorsun

3 - aynı domaindeki makineler zaten ca 'e güvenir ancak domain dışında ise bu durum söz konusudur

4 - sertifikaların genel yapısı public ve private keyden oluşur bu sertifikaların temelidir .

Hocam başınızı ağrıtıcam ama, user sertifikası ve bilgisayar sertifikası kavramları kafamı karıştırdı.

1..Genel olarak söylemek gerekirse sertifikalarda public ve private keyler var. Kimlik doğrulama user veya bilgisayar sertifikası ile yapılırken, kimlik doğrulama için alınan sertifikada public key ve  private key de oluyor mu? Yani bu tür sertifikalarda public key private key kullanılıp şifreleme yapılır mı authentication için. User ve bilgisayar sertifikasındaki public key ne amacla kullanılıyor?

 2..Authenticatin deyince aklım hep AD deki user ve computer hesabına gidiyor, bu yuzden şunu da sormak istedim: sertifikalar ile yapılan authenticationda, user ın kullanıcı adı ve/veya bilgisayarın computername i kullanılıyor mu?

3..Hocam yukarda 2 .sorudaki cevabınızla ilgili olarak, güvenme işlemi gerçekleştirlirken hangi bilgi bize güven ilişkisi sağlıyor?  Sertifikanın aynı CA den alındığı bilgisi mi  var sertifikalarda, bu mu güven sağlıyor?

4..Yukardaki 3.sorudaki cevanızla ilgili  , aynı domaindekiler CA e güven gercekleştirilirken bu güven için DC yemi soruyolar, CA bizim domainde mi diye.?

1 - bu soruna cevap verdim

2 - kimlik doğrulama için kullanılan yöntemler vardır. Sertifika kullanmak bunlardan en güvenilir olanıdır. Yani örnek olarak bir server a rdp ile bağlanmak için bir kullanıcı adı şifreye ihtiyacın olacak , ama birisi bu şifreyi çalar ise her şekilde bu makineye login olur , sen rdp için sertifika ile kimlik doğrulama yaparsan bu durumda şifreden önce bağlanacak makinenin kendini doğrulaması gerekli ,bu aynı şekilde her yapı için değişkenlik gösterir. yani kim mekanizmalarda bilgisayar hesapları doğrulanırken kimi mekanizmalarda kullanıcı , o nedenle kimiz zaman bilgisayar , kimi zaman user sertifikası kullanırsın .

3 - bu sorununda cevabını verdim ,sanırsam cevaplarımı iyi okumuyorsun , bunu yine sormuştun ve bende demiştim ki , sen ve ben serkan a güveniyor isek serkanın vermiş olduğu kimlikler bizi ikimiz arasındaki iletişimde doğrular... ama bu her zaman tek bir merkezden alınması gerekli manasına gelmez.. misal dünya üzerinde yetkili sertifika dağıtıcıları var , para ile bunlardan bir sertifika alırsan herkes sana güvenecektir ama bu da yine sisteme bağlı .

örnek ssl li bir site yaptın ,yani sertifikalı , bu iletişim için sertifika gerekli demektir ,  peki sen bu sitede kullanmak üzere bir sertifika almalısın , ne sertifikası , bilgisayar , neden çünkü siteyi iis yani bir bilgisayar host ediyor , peki sen bu sertifikayı kendi kurduğun ca den alırsan , dışarıdaki herhangi bir makine örnek benim bilgisayarım sana güvenmez , bir uyarı çıkar ve ok dersem site açılır .. neden ? çünkü senin ca , dünya üzerinde kayıt edilmiş resmi bir sertifika dağıtıcısı değil , peki para verip örnek verisgn dan alsaydın , o zaman güvenirdim çünkü her işletim sistemi ve browser kurulurken zaten bu bilgiler ile gelir , yani dünya üzerinde kim yetkili bilgisi ile  , olurda çok ciddi bir güvenlik açığı ile şirket batarsa ilk güvenlik güncellemesi ile bu bilgi bizlere gönderilir. veya şirket batmaz örnek sana verdiği sertifika çalınır ise sadece bunu da yine internet üzerinden online bir şekilde publish eder ve sistemlerimiz bunu otomatik algılar.ama ben senin domainin içerisindeki bir makine olsaydım güvenirdim çünkü ca kurulduktan sonra bilgisi tüm istemcilere gönderilir.

4 - her makine kendi lokalinde güvenilen kok sertifika dağıtıcılarının listesini tutar ...kurulurken zaten gelen bu liste ister elle istersen ca kurulumundan sonra otomatik olarak güncellenir .

sertifikalar konsolunu açarak kontrol edebilirsin

not : bu kadar soru sormadan önce neden makaleleri okumayı denemiyorsun , biz bu kadar uzun yazmamak için her seferinde bir sürü makale yazdık , okursan emin ol daha iyi kavrayacaksın .

Hocam sabrınız için teşekkür ederim, cevaplarınızı tekrardan okudum, başka dökümanlara da baktım

Son olarak ,özellikle öğrenmem gereken 2 konu vardı kendimce,

 İlki sertifikalarla saglanan güven ilişkisinin sertifikaların içindeki hangi bilgiye bakılarak kurulduğu, ki güvenilen bir CA tarafından bu sertifikanın verilip verilmediği , Güvenilen bir CA  tarafından imzalanıp imzalanmadığı bilgisi kontrol ediliyor,  doğru mu anladım?

 İkincisi, sertifikaların temeli public-private key çifti demiştik.Mesela EFS gibi şifreleme gerektiren bir yapıda kullanabiliyoruz bu çifti. User authentication ve computer authentication  için kullanılan sertifikaları olusturan  public , private key ikilisinin authentication esnasında yaptığı işi hala kavrayamadım.

Her sertifikanın parmak izi ve seri numarasından bu kontrol yapılabiliyor.

ikinci sorun ise gerekli açıklama burada bulunmaktadır

http://winscp.net/eng/docs/public_key

Ewet hem vpn serverda hemde client ta ipsec pre shahared key her ikisindede girmemiz gerekiyor.
ama pre shared key farkı doldurman gerekir. ileri düzey şifreleme sağlıyor ama en önemlisi we güvenlisi setifika ile l2tp yapmaktır.