20
Şub
Staj süresi içerisinde VPN için Güvenli Açılış CD'si Nasıl belgesinden yararlanarak çalışan bir prototip elde ettik. Belgenin aslını buradan okuyabilirsiniz.
CD, kurum çalışanlarının yerel ağlarına kararlı ve güvenli bir şekilde erişmelerini sağlar. kişiler herhangi bir bilgisayarı kendisine verilen cd ile boot ettiğinde, iç ağdaki bilgisayarının masaüstü karşısına gelir ve ağdaki sahip olduğu haklarla işlem yapabilir.
Oluşturduğumuz sistem aşağıdaki gibiydi.
CD, kurum çalışanlarının yerel ağlarına kararlı ve güvenli bir şekilde erişmelerini sağlar. kişiler herhangi bir bilgisayarı kendisine verilen cd ile boot ettiğinde, iç ağdaki bilgisayarının masaüstü karşısına gelir ve ağdaki sahip olduğu haklarla işlem yapabilir.
Oluşturduğumuz sistem aşağıdaki gibiydi.
Sistemde neden bu seçimlerin yapıldığını incelersek;
İsteğimiz iç ağa güvenli erişimdi. Bu isteği karşılamak için önceleri sabit bağlantı(kiralık hatlar vb.)kullanılmaktaydı. Her kullanıcı için iç ağdaki ve dışarıdaki bilgisayarı bağlanılıyordu. Bu işlemi her kullanıcı için yapmak; yapılandırma problemi oluşturuyor ve kullanıcı sayısınca hat kiralamak anlamına geliyordu ki bu da maliyeti yükseltiyordu. Bu problemlerden dolayı bu isteği karşılayacak yeni çözüm yolları bulunmuştur.
Bu çözüm yollarından biri OpenVPN'dir. OpenVPN iki bağlantı noktasını arasında güvenli iletişim sağlar. Yani iki farklı bağlantı noktası seçmemiz gerekiyordu. Bu secimi de iki farklı şekilde yapabilirdik. Bunlardan ilki her kullanıcının iç ağdaki bilgisayarı ( openVPN sunucu), dışarıdaki bilgisayarı(istemci) olarak seçmek fakat bu durumda her kullanıcıyı bir sunucu sahibi yapmış oluruz ki sunucu sahibi olmak sertifika yani yeni bir kullanıcı oluşturabilmek kadar geniş yetkiler vermek demektir. Diğeri ise sistemde de kullanılan, yetki sınırlandırması yapabileceğimiz ve bir çok sunucu oluşturma işinden kurtulabileceğimiz, iç ağda bir sunucu oluşturmak.
OpenVPN in çalışma şekli;
Sunucuyu başlatmadan istemcide “ifconfig” terminal komutunu çalıştırdığımızda, ”eth0” (donanımsal olarak bulunan ethernet aygıtımızı tanımlar.) ethernet aygıtımızı gördük.
Sunucu başlatıldığında “tcpdump” ile trafiğin nasıl ilerlediğine baktığımızda; sunucu ile istemci arasında veri akışı olduktan sonra, sunucu ve istemcinin onlu bloktan aldığı yeni ip ile veri iletimine başladığını gördük.
İstemcide “ifconfig” komutunu çalıştırdığımızda ise “eth0” ın yanında “tun0” sanal ethernet aygıtının oluştuğunu ve onlu bloktan ip aldığını gördük.
Yani sunucu ve istemci arasında handshake gerçekleştikten sonra, sunucu yapılandırma dosyasında tanımlanan aralıktan istemciye ve kendisine ip atıyor ve bu ip'lerle ”tun0” üzerinden şifreli veri iletimine başlıyorlar.
Ağın girişine kadar openVPN ile veri iletişimini sağladık. OpenVPN sunucusu tarafından ağa girişi kabul edilen -sertifikası onaylanmış- kullanıcıları iç ağdaki bilgisayarına yönlendirmek istiyorduk. Ağ içinde güvenlik problemimiz olmadığı için bu iletişimi tek bir komutla -rdesktop -u kullanıcı_adı makine_ip- sağladık. Bu komut ile kullanıcılar bilgisayarlarını açtıkları anda iç ağdaki bilgisayarlarının masaüstü ile karşılaşıyorlardı ve bilgisayarlarında yapabildikleri her şeyi yapabiliyorlardı.
Çalışabilir gözüken sistemimiz, bu haliyle bazı sorunlar oluşturur;
- Kullanıcı bilgisayarları ağa direk dahil olduğu için kullanıcının bilgisayarında bulunan tüm tehditler(portlarına gelen saldırılar, virusler, spy ware vb.) ağa dahil olur.
- Kullanıcılar dışarıdaki bilgisayarına ağdaki verileri taşıyabilir ki verilerin ağın dışına çıkması veri güvenliğini tehlikeye atar.
- Her kullanıcının dışarıdaki her bilgisayarına openVPN istemcisi olarak tasarlamamız gerekir
- OpenVPN in kurulu olduğu bilgisayar kullanıcının daima yanında olması gerekir.
Bu problemleri aşmak için ise çalışan cd kullandık. Çalışan cd ile ;
- Her kullanıcı bu cd ile ağa girecegi için kullanıcının hangi işletim sistemini kullandığıyla ve bilgisayarında bulundurduğu tehditlerle ilgilenmek zorunda kalmayız.
- Sadece okunabilir olduğu için ağ dışına veri çıkışını engelleriz.
- Kullanıcı herhangi bilgisayardan bu cd ile ağa giriş yapabilir yani yanında bulunması gereken bilgisayar yerine bir cd olacaktır.
İsteğimiz iç ağa güvenli erişimdi. Bu isteği karşılamak için önceleri sabit bağlantı(kiralık hatlar vb.)kullanılmaktaydı. Her kullanıcı için iç ağdaki ve dışarıdaki bilgisayarı bağlanılıyordu. Bu işlemi her kullanıcı için yapmak; yapılandırma problemi oluşturuyor ve kullanıcı sayısınca hat kiralamak anlamına geliyordu ki bu da maliyeti yükseltiyordu. Bu problemlerden dolayı bu isteği karşılayacak yeni çözüm yolları bulunmuştur.
Bu çözüm yollarından biri OpenVPN'dir. OpenVPN iki bağlantı noktasını arasında güvenli iletişim sağlar. Yani iki farklı bağlantı noktası seçmemiz gerekiyordu. Bu secimi de iki farklı şekilde yapabilirdik. Bunlardan ilki her kullanıcının iç ağdaki bilgisayarı ( openVPN sunucu), dışarıdaki bilgisayarı(istemci) olarak seçmek fakat bu durumda her kullanıcıyı bir sunucu sahibi yapmış oluruz ki sunucu sahibi olmak sertifika yani yeni bir kullanıcı oluşturabilmek kadar geniş yetkiler vermek demektir. Diğeri ise sistemde de kullanılan, yetki sınırlandırması yapabileceğimiz ve bir çok sunucu oluşturma işinden kurtulabileceğimiz, iç ağda bir sunucu oluşturmak.
OpenVPN in çalışma şekli;
Sunucuyu başlatmadan istemcide “ifconfig” terminal komutunu çalıştırdığımızda, ”eth0” (donanımsal olarak bulunan ethernet aygıtımızı tanımlar.) ethernet aygıtımızı gördük.
Sunucu başlatıldığında “tcpdump” ile trafiğin nasıl ilerlediğine baktığımızda; sunucu ile istemci arasında veri akışı olduktan sonra, sunucu ve istemcinin onlu bloktan aldığı yeni ip ile veri iletimine başladığını gördük.
İstemcide “ifconfig” komutunu çalıştırdığımızda ise “eth0” ın yanında “tun0” sanal ethernet aygıtının oluştuğunu ve onlu bloktan ip aldığını gördük.
Yani sunucu ve istemci arasında handshake gerçekleştikten sonra, sunucu yapılandırma dosyasında tanımlanan aralıktan istemciye ve kendisine ip atıyor ve bu ip'lerle ”tun0” üzerinden şifreli veri iletimine başlıyorlar.
Ağın girişine kadar openVPN ile veri iletişimini sağladık. OpenVPN sunucusu tarafından ağa girişi kabul edilen -sertifikası onaylanmış- kullanıcıları iç ağdaki bilgisayarına yönlendirmek istiyorduk. Ağ içinde güvenlik problemimiz olmadığı için bu iletişimi tek bir komutla -rdesktop -u kullanıcı_adı makine_ip- sağladık. Bu komut ile kullanıcılar bilgisayarlarını açtıkları anda iç ağdaki bilgisayarlarının masaüstü ile karşılaşıyorlardı ve bilgisayarlarında yapabildikleri her şeyi yapabiliyorlardı.
Çalışabilir gözüken sistemimiz, bu haliyle bazı sorunlar oluşturur;
- Kullanıcı bilgisayarları ağa direk dahil olduğu için kullanıcının bilgisayarında bulunan tüm tehditler(portlarına gelen saldırılar, virusler, spy ware vb.) ağa dahil olur.
- Kullanıcılar dışarıdaki bilgisayarına ağdaki verileri taşıyabilir ki verilerin ağın dışına çıkması veri güvenliğini tehlikeye atar.
- Her kullanıcının dışarıdaki her bilgisayarına openVPN istemcisi olarak tasarlamamız gerekir
- OpenVPN in kurulu olduğu bilgisayar kullanıcının daima yanında olması gerekir.
Bu problemleri aşmak için ise çalışan cd kullandık. Çalışan cd ile ;
- Her kullanıcı bu cd ile ağa girecegi için kullanıcının hangi işletim sistemini kullandığıyla ve bilgisayarında bulundurduğu tehditlerle ilgilenmek zorunda kalmayız.
- Sadece okunabilir olduğu için ağ dışına veri çıkışını engelleriz.
- Kullanıcı herhangi bilgisayardan bu cd ile ağa giriş yapabilir yani yanında bulunması gereken bilgisayar yerine bir cd olacaktır.
