IPFire Hizmetler Sekmesi

2.4 Hizmetler Sekmesi

VPN (Virtual Private Network/Sanal Özel Ağ) internet üzerinden şifreli ve güvenli veri iletişimi sağlamak için düşünülmüş bir teknolojidir. IPFire ile bu teknolojiyi kullanarak iki bilgisayarın güvenli bir şekilde veri iletişimini sağlayabilirsiniz.

Sanal Özel Ağlar (VPN)

Sanal Özel Ağlar veya VPN iki ağı doğrudan her biri başka internet şebekesi üzerinden diğerine bağlanmasına izin verir. Tüm veriler güvenli bir şekilde şifrelenmiş bir tünel üzerinden, meraklı gözlerden gizlice iletilir. Benzer şekilde, tek bir bilgisayardan başka bir ağa aynı imkânları kullanarak bağlanabilirsiniz. Sanal Özel Ağ (VPN) oluşturmak için kullanılan kurallar IPsec olarak bilinir. Ayrıca OpenVPN SSL/TLS kullanır.

IPFire ile kolayca diğer IPFire ile birlikte çalışan herhangi bir VPN ürünü IPsec veya OpenVPN kullanılabilir. IPFire sisteminde VPN bağlantıları net olarak tanımlanmıştır. Bunlar “Ağdan ağa” veya “Sunucudan ağa” şeklindedir.  Bu tamamıyla sizin isteğinize bağlıdır eğer burayı kullanmak istemiyorsanız burayı dikkate almayabilirsiniz. IPFire sisteminde aynı anda hem IPSec hemde OpenVPN kullanabilirsiniz.

Bütün modern işletim sistemlerinin IPsec ve/veya OpenVPN desteği vardır. Bu Windows, Macintosh OSX, Linux ve Unix türevleri olabilir. Ne yazık ki, kullandığınız işletim sistemine bağlı olarak kullandığınız araçlarda bu desteği sağlamak için birçok ayar yapma zorunluluğunuz olabilir.

Not: VPN’e başlamadan önce saatler ve zaman dilimlerinin yapılandırılmış olması gereklidir.

Ağdan ağa

IPsec tünel ile internette ağdan ağa VPN özel ağ bağlantısı oluşturmanın iki veya daha fazla yolu vardır. Ağdan ağa VPN olarak en az bir ağ ile çıkılan internet IPFire güvenlik duvarı ile bağlı olmalıdır. Diğer ağ IPFire bir güvenlik duvarı veya başka bir IPsec için yönlendirici veya güvenlik duvarı etkin bağlanabilir olmalıdır.

Ağdan ağa sanal özel ağlar (VPN) sadece IPsec kullanılarak oluşturulabilir. OpenVPN için ağdan ağa henüz oluşturulmamıştır.

Sunucudan ağa

Bir Sunucudan ağa (Roadwarrior) bağlantısı VPN tünelinin bir ucunda IPFire ve diğer ucunda uzak ya da mobil kullanıcının olduğu bir ağdır. Mobil kullanıcı genel IP adresi bir ISS tarafından atanan bir dizüstü bilgisayarı olabilir. İsterseniz VPN için MAVİ ağ IPFire duvarı kablosuz makineler arasında oluşturulabilir. Bu mavi üzerindeki trafiği sağlayan kablosuz algılayıcılar elle alınamaz.

Kimlik doğrulama yöntemi

Bir “Roadwarrior” veya “Ağdan ağa” bağlantısını yapılandırmadan önce ön paylaşımlı anahtar, parola, parola paylaşımı veya X.509 sertifikası olması gerekir. Bu VPN’e erişmeye çalışan kullanıcıların kimlik doğrulama yöntemlerinde vardır. Bunlar VPN yapılandırma aşamasında gerekli olacaktır.

Ön paylaşımlı anahtar

Ön paylaşımlı anahtar veya PSK VPN bağlantılarında kimlik doğrulama yöntemininin kolaylıkla kurulmasını sağlayan bir yöntemdir. Bu yöntemde kimlik doğrulama kodu girilmelidir.  Bir parola herangi bir karakter olabilir. Bu alan IPFire kimlik doğrulama ve VPN istemcisi için kullanılabilir olmalıdır.

PSK yöntemi sertifika kimlik doğrulamasına göre daha az basamak içerir. Bu VPN bağlantısını sınamak ve VPN bağlantısı işlemini tanımak için kullanılır.

Ön paylaşımlı anahtar yöntemi Roadwarrior bağlantılarında kullanılmamalıdır. Tüm radwarriorlarda aynı ön paylaşımlı anahtar kullanmanız gerekse bile.

X.509 Sertifikaları

X.509 sertifikaları VPN sunucularına bağlanmanın çok güvenli bir yoludur. X.509 sertifikalarını IPFire sisteminiz üzerinde kurup uygulayabilir veya ağınızda başka bir sertifika yetkilisi kullanabilirsiniz.

X.509 Terimleri

IPFire ve diğer pek çok uygulama üzerinde X.509 sertifikaları OpenSSL tarafından işletilip kontrol edilir. SSL’in (Güvenli Yuva Katmanı) kendi terminolojisi bulunmaktadır.

Kendi türüne bağlı olarak X.509 sertifikaları kamu ve özel şifreleme anahtarları içerebilir. Bu sertifika yetkileri CA (Sertifika Otoritesi) tarafından doğrulanması gereklidir. Bir ana bilgisayar sertifikasını doğrulamak ve sertifika doğrulamasını gerçekleştirmek için uygun CA gereklidir. Özel ağlar veya benzersiz makinelerde “Yerel CA bilgisayarları” bulunabilir. IPFire örneğinde bu IPFire güvenlik duvarının kendisidir.

Sertifika istekleri Sertifika Otoritelerinin X.509 sertifikaları için isteklerdir. CA’da imzalama isteği ile X.509 sertifikaları oluşturulabilir.

X.509 sertifikaları ve istekleri genellikle uzantıları tarafından belirlenen üç farklı biçimde sabit sürücüde saklanabilir. OpenSSL için varsayılan değer PEM biçimindedir. Bu yazdırılabilir biçimde tüm sertifikaların bilgilerini içerir. DER biçimi ise sadece temel bilgileri değil herhangi bir ekstra X.509 bilgilerinide içerir. Bu birçok tarayıcı için varsayılan biçimdir. PKCS#12, PFK veya P12 sertifikaları ikili biçimde PEM dosyalarındaki bilgiyi içerir.

Bir sertifika kullanmak için diğer tarafın sertikasını almanız gerekir. IPFire üzerinde IPsec uygulamsı kendi yerleşik sertifikasını içerir. Ayrıca sertifikaları roadwarrior makinelerinde çalıştırablirsiniz.

Roadwarrior’ın IPsec uygulaması için sertifikası yoksa IPFire sertifikasını isteğe bağlı olarak oluşturablirsiniz.

Bir Cevap Yazın