Süzme eylemi veri iletimi için güvenlik gereksinimlerini tanımlar. Filtreleme eylemleri, ilke oluşturduğunuzda veya ilkeyi oluşturmadan önce tanımlanabilir. Filtre listeleri tüm ilkelerde kullanılabilir. Filtreleme listesi tanımlamak için IP Güvenlik İlkesi düğümünü sağ tıklatın ve Filtre listelerini ve filtreleme eylemlerini yönet seçeneğini belirleyin.

Süzme eylemi şunlar için yapılandırılabilir:

Trafiğe izin verme

IPsec bu trafiği, değişiklik olmadan veya güvenlik istemeden TCP/IP sürücüsüne/sürücüsünden geçirir. Bu, IPsec yeteneği olmayan bilgisayarlardan gelen trafik için uygundur. Bu tür filtreleme eylemini kullanırken, IP filtresi listesini en az bir kapsama göre sınırlandırdığınızdan emin olun, böylece güvenli olması gereken trafiğe izin vermezsiniz.

Sorun giderme amacıyla ICMP trafiğine izin vermeyi düşünün. Etki alanınızda olmayan bir bilgisayarın (örneğin, danışmanın bilgisayarı) etki alanınızdaki başka bir bilgisayara erişimine izin vermeniz de gerekebilir. Bu erişime izin vermek için izin ver filtreleme eylemini kullanabilirsiniz.

Önemli

İzin ver filtreleme eylemi, kimlik doğrulama, veri bütünlüğü veya şifreleme olmadan erişime izin verir. Filtre listesinde belirtilen IP adresi olan bilgisayarı kullanan herhangi bir kişiye erişim verilir. Bilgisayarlar arasındaki tüm trafik düz metin olarak yapılır, sağlamlık denetimleri gerçekleştirilmez.

Trafiği önleme

IPsec sessizce önlenen trafiği atar. Önle filtreleme eylemi kullanırken doğru IP adresi kapsamını tanımlayan IP filtresi listesi kullandığınızdan emin olun. Geniş kapsam kullanma, geçerli bilgisayarlar arasındaki trafiğin engellenme olasılığını artırır.

Güvenlik anlaşması

Güvenli olmayan iletişimi kabul ederken her zaman IPsec'le yanıt ver seçeneğini etkinleştirirseniz, IPsec, güvenlik ilişkilerinde (SA'lar) ve IPsec tarafından korunan gönderme veya alma trafiğinde anlaşmaya çalışır. Bununla birlikte, eş IPsec kullanamıyorsa, iletişime IPsec koruması olmadan izin verilir. Bu filtreleme eylemini seçtikten sonra, aşağıdakileri de yapılandırabilirsiniz:

  • Güvenlik yöntemleri ve bunların sırası. Bu yöntem listesi yöntemlerin hangi sırada deneneceğini tanımlar. Başarılı ilk yöntem kullanılır ve diğer yöntemler denenmez. Genellikle listenin en yüksek güvenlik düzeyinden en düşük güvenlik düzeyine doğru sıralanması gerekir, böylece en güvenli yöntem kullanılır.

  • İlk gelen güvenli olmayan trafiği kabul etme (Güvenli olmayan iletişimi kabul ederken her zaman IPSec'le yanıt ver) IPsec, yapılandırılan süzgeç listesiyle eşleşen gelen bir paketin güvenli olmamasına (diğer bir deyişle, IPsec tarafından korunmamasına) izin verir. Ancak, gelen pakete giden yanıtın korunması gerekir. İstemciler için varsayılan yanıt kuralını kullanırken bu ayar yararlı olur. Bir grup sunucu, herhangi bir IP adresiyle iletişimlerin güvenliğini sağlayan bir kuralla yapılandırıldığında ve güvenli olmayan iletişimleri kabul ettiğinde, yalnızca güvenli iletişimlerle yanıt verme, istemci bilgisayarlarda varsayılan yanıt kuralını etkinleştirme istemcilerin sunucunun güvenlik belirleme isteğine yanıt vermesini sağlar. Hizmet reddi saldırılarını önlemek için, Internet'e bağlı güvenli bilgisayarlarda bu seçenek devre dışı bırakılmalıdır.

  • IPsec etkin olmayan bilgisayarlarla iletişimi etkinleştirme (Güvenli bağlantı kurulamazsa, güvenli olmayan iletişime izin ver) IPsec gerekirse güvenli olmayan iletişime geri döner. Burada da, IP süzgeç listesini en az bir kapsama göre sınırlandırmanız gerekir. Aksi durumda, bu süzme eyleminin bulunduğu kuraldan etkilenen iletişimlerde, anlaşmanın herhangi bir nedenle başarısız olması verilerin güvenli olmayan şekilde gönderilmesine neden olur. Güvenli olmayan iletişim konusunda endişeleriniz varsa, bu ayarları devre dışı bırakabilirsiniz. Ancak, bilinen sistemler gibi, IPsec başlatamayan bilgisayarlarla yapılan iletişim önlenebilir. Hizmet reddi saldırılarını önlemek için, Internet'e bağlı güvenli bilgisayarlarda bu seçenek devre dışı bırakılmalıdır.

  • Yeni ana mod anahtarlama malzemesinden hızlı mod oturum anahtarları oluşturma (Oturum anahtarı kusursuz iletme gizliliği (PFS)). Oturum anahtarı PFS'nin etkinleştirilmesi, birden çok hızlı mod oturum anahtarı türetmek için ana mod ana anahtarlama malzemesinin kullanılamamasını sağlar. Hızlı mod PFS'si etkinleştirildiğinde, yeni hızlı mod anahtarı oluşturulmadan önce, yeni ana mod ana anahtarlama malzemesi oluşturmak için yeni bir Diffie-Hellman anahtar değişimi gerçekleştirilir. Oturum anahtarı (hızlı mod) PFS'si, ana mod'da yeniden kimlik doğrulaması gerektirmez ve ana anahtar (ana mod) PFS'sinden daha az kaynak kullanır.

IPsec güvenlik yöntemleri

Her güvenlik yöntemi, ilişkili kuralın uygulandığı iletişimlerle ilgili güvenlik gereksinimlerini tanımlar. Birden çok güvenlik yöntemi oluşturmak, iki bilgisayar arasında bir ortak yöntem bulunma şansını artırır. Internet Anahtar Değişimi (IKE) bileşeni güvenlik yöntemleri listesini azalan sırayla okur ve izin verilen güvenlik yöntemlerinin listesini eşine gönderir. Ortak olan ilk yöntem seçilir. Genellikle, en güvenli yöntemler listenin en üstünde görüntülenir ve en az güvenli yöntemler listenin en altında yer alır.

Önceden tanımlı güvenlik yöntemleri

Aşağıdaki güvenlik yöntemleri önceden tanımlanmıştır:

Şifreleme ve Bütünlük

Üçlü Veri Şifreleme Standardı (3DES) algoritmasına sahip veri gizliliği (şifreleme), Güvenli Karma Algoritma 1 (SHA1) bütünlük algoritması ve varsayılan anahtar ömürleri (100 megabayt (MB), 1 saat) ile veri bütünlüğü ve kimlik doğrulaması sağlamak için ESP protokolünü kullanır. Veri ve adresleme (IP üstbilgisi) korumalarının her ikisi de gerekliyse, özel bir güvenlik yöntemi oluşturabilirsiniz. Şifrelemeye gerek duymuyorsanız, yalnızca Bütünlük seçeneğini kullanın.

Yalnızca bütünlük

SHA1 bütünlük algoritması ve varsayılan anahtar ömürleriyle (100 MB, 1 saat) veri bütünlüğü ve kimlik doğrulama sağlamak için ESP protokolünü kullanır. Bu yapılandırmada, ESP veri gizliliği (şifreleme) sağlamaz.

Özel güvenlik yöntemleri

Önceden tanımlı Şifreleme ve Bütünlük veya Yalnızca bütünlük ayarları güvenlik gereksinmelerinizi karşılamazsa, özel güvenlik yöntemleri belirtebilirsiniz. Örneğin, şifreleme ve adres bütünlüğü, daha güçlü algoritmalar veya anahtar geçerlilik süreleri belirtilmesi gerekiyorsa, özel yöntemleri kullanabilirsiniz. Özel bir güvenlik yöntemi yapılandırırken, aşağıdakileri yapılandırabilirsiniz:

Güvenlik protokolleri

IP üstbilgisi bütünlüğü ve veri şifrelemesi gerekirse, özel güvenlik yönteminde hem AH (şifreleme olmaksızın veri ve adres bütünlüğü), hem de ESP (veri bütünlüğü ve şifreleme) etkinleştirilebilir. Her ikisine de etkinleştirmeyi seçerseniz, ESP için bütünlük algoritması belirtmeniz gerekmez.

Not

AH protokolü karma başlık kullandığından, ağ adresi çevirisi (NAT) aygıtları üzerinde kullanılamaz. NAT aygıtları başlığı değiştirir, böylece paketin kimlik doğrulaması düzgün yapılamaz.

Bütünlük algoritması

128 bitlik bir anahtar kullanan Message Digest 5 (MD5). Bu algoritma artık güvenli olarak kabul edilmemektedir ve yalnızca karşılıklı kullanılabilirlik bunun kullanılmasını gerektiriyorsa tercih edilmelidir.

160 bitlik bir anahtar kullanan SHA1. SHA1, MD5'ten daha güçlü bir karmadır ve Federal Bilgi İşlem Standardı'yla (FIPS) uyumludur.

Şifreleme algoritması

3DES, DES birleşimlerinin en güvenli olanıdır, ancak performansı biraz düşüktür. 3DES, benzersiz bir 56 bitlik anahtarlar kullanarak her bloğu üç defa işler.

DES, tek 56 bitlik anahtar kullanır. Yüksek güvenlik ve 3DES ek yükleri için gereksinim yoksa kullanılır. Bu algoritma artık güvenli olarak kabul edilmemektedir ve yalnızca karşılıklı kullanılabilirlik bunu gerektiriyorsa kullanılmalıdır.

Oturum anahtarı (hızlı mod) ayarları yeni bir anahtarın ne zaman oluşturulacağını belirler, nasıl oluşturulacağını belirlemez. Yaşam süresini kilobayt (KB) veya saniye cinsinden veya her iki birimde de belirtebilirsiniz. Örneğin, iletişim 10.000 saniye sürüyorsa ve anahtar yaşam sürelerini 1000 saniye olarak belirtirseniz, aktarımı tamamlamak için 10 anahtar üretilecektir. Bu, bir saldırganın bir oturum anahtarını belirlemeyi ve iletişimin bir bölümü ile ilgili anahtarı ele geçirmeyi başarması durumunda bile, tüm iletişimin ele geçirilmemesini sağlar. Varsayılan olarak, yeni hızlı mod anahtarları her 100 MB veri için veya saatte bir kez oluşturulur. Anahtar yaşam süresine ulaşıldığında, anahtar yenileme veya yeniden üretmenin yanı sıra SA’ için de yeniden anlaşma yapılır.

Yeni Kural Özellikleri iletişim kutusunu kullanarak filtreleme eylemi oluşturmak için
  1. Özellik iletişim kutusunda filtreleme eylemi oluşturmak istiyorsanız, IP Güvenlik İlkesi Özellikleri iletişim kutusunun Kurallar sekmesinde Ekleme Sihirbazını Kullan onay kutusundaki işareti kaldırın. Sihirbazı kullanmak istiyorsanız, onay kutusunu seçili bırakın. Ekle'yi tıklatın. Aşağıdaki yönergeler iletişim kutusunu kullanarak filtre listesi oluşturmak içindir.

  2. Kural Özellileri iletişim kutusunun Filtreleme Eylemi sekmesinde Ekleme Sihirbazını Kullan onay kutusundaki işareti kaldırın ve Ekle'yi tıklatın.

  3. Güvenlik Yöntemleri sekmesinde kuralın kullanacağı yöntemi (eylemi) seçin.

  4. (İsteğe bağlı) Açıklama sekmesinde, filtreleme eylemini açıklamasını yazın. Bu açıklama, filtreleme eylemleri arasında sıralama yapmanıza yardım edebilir ve özelliklerini açmadan filtreleme eylemini hızlıca tanımanıza olanak sağlar.

  5. Tamam'ı tıklatın.

  6. Listeye ek filtreleme eylemleri eklemek için 4 ile 8 arasındaki adımları yineleyin.

    Not

    Kural birden fazla filtreleme eylemi listeleyebilse de, kural başına yalnızca bir filtreleme eylemi kullanılabilir.

  7. Filtreleme Eylemi sekmesinde kurala uygun filtreleme eylemini seçin ve sonra Tamam'ı tıklatın.

Filtre listelerini ve filtreleme eylemlerini yönet iletişim kutusunu kullanarak filtreleme eylemi oluşturmak için
  1. IP Güvenlik İlkesi düğümünü sağ tıklatın ve IP filtre listelerini ve filtreleme eylemlerini yönet seçeneğini belirleyin.

  2. Özellik iletişim kutusunda filtreleme eylemi oluşturmak istiyorsanız, Filtreleme Eylemlerini Yönet sekmesinde Ekleme Sihirbazını Kullan onay kutusundaki işareti kaldırın. Sihirbazı kullanmak istiyorsanız, onay kutusunu seçili bırakın. Ekle'yi tıklatın. Aşağıdaki yönergeler iletişim kutusunu kullanarak filtre listesi oluşturmak içindir. Aşağıdaki yönergeler sihirbazı kullanmaz.

  3. Güvenlik Yöntemleri sekmesinde bir yöntem seçin ve sonra Tamam'ı tıklatın.

  4. Güvenlik anlaşması seçeneğini belirlediyseniz, birden fazla yöntem ekleyebilir ve denenme sıralarını belirleyebilirsiniz. Bunu yapmak için Ekle'yi tıklatın.

  5. (İsteğe bağlı) Açıklama sekmesinde, filtrenin açıklamasını yazın. Bu açıklama, filtreler arasında sıralama yapmanıza yardım edebilir ve özelliklerini açmadan filtreyi hızlıca tanımanıza olanak sağlar.

  6. Tamam'ı tıklatın.

  7. Listeye filtreleme eylemleri eklemek için 4 ile 8 arasındaki adımları yineleyin.

Ayrıca Bkz.