TMG 2010 İPSec Site to Site VPN Tunel

Bu məqaləmizdə TMG 2010 üzərində site to site vpn tunelin qurulması haqqında məlumat verməyə çalışacağam. İnternet və yaxud hər kəsə açıq bir xətt üzərindən bir nöqtədən digər bir nöqtəyə xüsusi kanal vasitəsilə informasiyanın şifrələnmiş şəkildə ötürülməsinə VPN (Virtual Private Network) demək olar. İnternet əlaqəsi ilə təhçiz olunmuş hər hansı bir bölgədən biz VPN vasitəsi ilə şirkət komputerləri ilə əlaqə yardaraq şirkət içində sizə açıq olan bütün informasiyadan tam yararlana bilərsiniz. Bir çox şirkətlərin bu sahədə həlləri mövcuddur. Bu mövzumuzda Microsoft İsa Serverin davamı olan TMG 2010 üzərində Site to site vpn tiplərindən İPSecin çalışma funksiyasına nəzər yetirəcəyik.

İPSec nədir, necə çalışır?

IPsec (Internet Protocol Security) nöqtələr arası informasiya mübadiləsi zamanı, informasiyanin digər nöqtəyə bütöv, təhlükəsiz və 3-cü şəxslər tərəfindən oxunmasının müəyyən alqoritmlər vasitəsilə şirfələyərək qarşısını alan bir protokol tipidir. İPSec İPv4-də unudulan boşluqlardan biridir.

İPSec üç əsas xüsusiyyəti özündə birləşdirir.

a) Bütövlük (İntegrity) – hədəf və qaynaq arasındakı informasiya mübadiləsi zamanı informasıyanın bütövlüyünun yoxlanılması.

b) Gizlilik (Confidentiality) – informasiyanın şifrələnməsi və gizliliyinin qorunması.

c) Doğrulamaq (Authentication) – əlaqə zamanı eyni şifrələmə metodu vasitəsilə tərəflər arası qurulan əlaqənin doğrulanması.

– Kerboros

– Preshared key

– Sertifikat vasitəsilə

Bu əməliyyatlar zamanı informasiylar fərqli alqoritmlər vasitəsi ilə şifrələnir. IPsec normal paket başlıqlarına bəzi dəyişiklər edərək məlumatın qorunmasını təmin edir. Bu zaman Authentication Header (AH) ve Encapsulated Security Payload (ESP) protokolundan istifadə edir.

Authentication Header (AH)- ötürülən informasıyanın bütövlüyünü və doğrulanmasını təmin edir. Əsas məqsədi informasiya mübadiləsi zamanı müəyyən alqoritmlər istifadə edərək replay atacklarının qarşısını almaq və paketlərin bütövlüyünü təmin etməkdir. Bu zaman İP paketlərinə müəyyən bir sıra nömrəsi təyin edilir və eyni alqoritm ilə həmin paketlər yoxlanaraq paketdə dəyişiklik olub-olmadığı təyin edilir.

Encapsulated Security Payload (ESP)- AH encrytion əməliyyatı gerçəkləşdirə bilmədiyi üçün, bu əməliyyat ESP tərəfindən həyata keçirilir. ESP əsəs funksiyası AH tərəfindən sıra nömrəsi təyin olunmuş ip paketlərini encrypt etdikdən sonra qarşı tərəfdə eyni alqoritm ilə məlumatı decrypt etməsidir.

– Encryption- məlumatların şifrələnməsi.

– Decryption- şifrələnmiş məlumtların açılması.

Internet Key Exchange (IKE) – nöqtələr arası informasiya mübadiləsi öncəsi məlumatların ötürülməsinin necə qorunacağı və idarə olunacağını təyin edir.

IPSec iki cür çalışır.

Transport Mode – daxili şəbəkələr üçün istifadə olunur (host to host, end to end)

Tunnel Mode – qlobal şəbəklərdə istifadə olunur (network to network, gateway to gateway)

IPSec geniş bir mövzu olduğu üçün bəzi əsas nöqtələri izah etmək istədim. Site to site İPsec VPN mode çox vaxt başqa şirkətlərin avadanlıqları ilə inteqrasiya üçün isitfadə olunur. Misal üçün sizin şəbəkənizdə Cisco, Fortinet kimi avadanlıqlar varsa TMG ilə inteqrasiya etmək mümkündür. Qeyd etdiyimiz şəkildə Bakı şəhərində fəaliyyət göstərən firmanın bölgələr üzrə bir neçə ofisi mövcuddur. Bizim məqsədimiz bu firmanın mərkəz və bölgə ofislərini təhlükəsiz şəkildə inteqrasiya etməkdir.

Qeyd etdiyimiz şəkil real həyatda istifadə olunarsa bəzi kiçik dəyişiklər olunmalıdır.

1. Ofislər arası VPN tunel sazlanarkən hər bir VPN nöqtəsi üçün Public İP-yə (Statik) ehtiyac var.

2. Hər ofisin daxili şəbəkəsi ayrı-ayrı subnetlərdə yerləşməlidir.

3. Əgər İSA Server və yaxud TMG ADSL Modemdən sonra dayanıbsa, modemləri bridge moda çəkərək modem üzərindəki Public İpləri TMG Serverin İnternetə (Public) baxan lan adresinə daxil edib, internetdən gələn sorğuları TMG üzərindən idarə edə bilərsiniz.

Mərkəz (Bakı) TMG 2010Sazlanması

1. TMG üzərindən – Remote Acess Policy (VPN) – Remote Sites – Create VPN Site-to-Site Connection seçərək davam edirik.

2. Əlaqə yaradacağımız bölgənin VPN Tunel adını daxil edərək davam edirik.

3. IPSec tunnel mode seçərək davam edirik.

4. Remote VPN gateway Ip address – bölməsinə daxil edəcəyimiz adres qarşıdakı TMG Serverin Public İP adresidir (Naxçıvan). Local VPN gateway Ip address – bölməsi isə Mərkəzi TMG Serverin Public İp adresidir (Bakı).

5. Pre-shared key bölməsinə qarışıq bir şifrə daxil etdikdən sonra davam edirik. Bu şifrə qarşı tərəfdəki TMG-nin şifrəsi ilə eyni olmalıdır.

6. Qarşıdakı TMG Serverin daxili şəbəkəsinin İP adres aralığını daxil edirik.

7. Dəyişiklik etmədən keçirik. Əgər gələcəkdə bir neçə bölgə ilə vpn tunel əlaqəniz olsa, bu bölməyə həmin tunellərin interface-lərini əlavə etməlisiniz ki, routing problemi yaşanmasın.

8. Bu bölmədə bölgələr arası əlaqə qurulan zaman hansı protlardan informasiya göndərilməsini seçmək imkanımız var. Mən bütün trafikə icazə verərək davam edirəm.

9. Finish

10. Apply -Ok deyərək Mərkəzdəki TMG Server üzərindəki əməliyyatları tamamlayırıq.

Mərkəzi server üzərində əməliyyatları tamamladıqdan sonra Bölgə serveri üzərində eyni əməliyyatları təkrarlayaraq bir neçə dəyişklik edəcəyik.

Bölgə (Naxçvan) TMG 2010Sazlanması

1.

2. Əlaqə yaradacağımız bölgənin VPN Tunel adını daxil edərək davam edirik.

3. IPSec tunnel mode seçərək davam edirik.

4. Remote VPN gateway Ip address – bölməsinə daxil edəcəyimiz adres qarşıdakı TMG Serverin Public İP adresidir (Bakı). Local VPN gateway Ip address – bölməsi isə daxili TMG Serverin Public İp adresidir (Naxçıvan).

5. Mərkəzi TMG Server üzərində daxil etdiyimiz şifrəni eynilə yenidən daxil edirik.

6. Qarşıdakı TMG Serverin daxili şəbəkəsinin İP adres aralığını daxil edirik.

7. Next deyərək davam edirik.

8. Bu bölmədə dəyişiklik olsun deyə bəzi protokol tiplərinə icazə verdim. Add –düyməsi vasitəsilə istənilən portlara icazə vermək mümkündür. Acess Rule yazarkən yaxşı olar ki, minimum hüquqlardan istifadə edək. Ehtiyac olmadığı müddətcə bütün portları açmaq düzgün deyil.

9. Finish.

10. Apply -OK

Artıq hər iki tərəfdə VPN tunel üçün əməliyyatları tamamlamış olduq. VPN tunelin çalışdığını test edək. Mərkəzi şəbəkdəki hər hansı bir komputerdən Bölgədəki komuterlərə və Bölgədən Mərkəzdəki komuterlərə ping paketi göndərərək əlaqəni test edib, əməliyyatı tamamlayırıq.

Mərkəz

Bölgə

TMG üzərindən Monitoring – Sessions bölməsinə daxil olub VPN Tuneli monitorinq edə bilərsiniz. Başqa bir Vpn məqaləsində görüşmək arzusu ilə. İnanıram ki, bütün oxucularımız üçün yararlı bir məqalı olmuşdur.

Elgüc Yusifbəyli

____________

MCT

Səs: +20. Bəyənilsin Zəifdir

Şərhlər ( 1 )

    • Zaur / . Dərc edilib:A 18/02/2014 at 7:28 Səhər
      Səs: 0. Bəyənilsin Zəifdir

    Allah Razi olsun

Şərh yazın