Cisconun güvenlik cihazlarından firewall olarak çıkartiğı ilk ürünlerden biri Pix tir.Pix bir firewall cihazı olmakla birlikte aynı zamanda vpn sonlandırıcı cihazdır. Pix üzerinde 2 türlü vpn yapabilriz.Birincisi Site to site vpn ,ikincisi remote access vpn.Site to site vpn de pix in karşısında başka bir aktif cihazla vpn yapılmaktadır. Remote Access vpn de ise seyyar kullanıcılarla vpn yapılır.Bu yazımda Pix üzerinde remote access vpnin nasıl yapıldığını anlatmaya çalışacağım.

Pixe  3 türlü erişebiliriz.Console portundan ,telnet yada ssh ile bağlanarak yada pdm özelliğini aktif hale getirerek web arayüzden erişebiliriz.PDM Pixin web erişim arayüzüne verilen addır.

VPN ayarlarını PDM le rahatlıkla yapabiliriz.Cihaza pdm ile bağlanmak için ip adresine https ile bağlanıyoruz.Makinamızda javanın kurulu olması ve dil ayarlarının ingilizce olması gerekir.PDM in java tabanlı olmasından dolayı ,bölgesel ayarları türkçe olan makinalarda pdm sorun çıkartıyor.

PDM ile bağlandıktan sonra Wizard kısmından VpN wizarda giriyoruz.

Remote access vpni seçiyoruz.Vpn trafiği dış bacaktan geleceği için interface kısmında outside  ı seçiyoruz.

VPN client tipi olarak 2 seçeneğimiz var.Birincisi Cisconun VPN clientını kullanmak yada microsoftun işletim sistemi ile gelen vpn bağlantısını kullanmak.Microsoft vpn clientta 2 protocolü desteklemekte.PPTP ve L2TP .Cisco vpn clientta da versiyona göre seçeneğimiz değişiyor.Bizim vpn clientımız 4.0.3 olduğu için ilk seçeneği seçiyoruz.

Cisco VPN bağlantısında group ismi ve bu grup için kullanıcılak Ortak Paylaşımlı Şifre/Anahtarı (Pre Shared Key) bir sonraki adımta tanımlarız.Grup isimlerinin verilmesindeki amaç farklı amaçlar için bağlanacak seyyar kullanıcıların sistem tarafından ayırılmasını sağlamak ve grup isimlerine göre kuralllar oluşturabilmektir.

Grupları tanımladıktan sonra bu gruptaki hangi kullanıcının bilgileri ile vpn kurulacağını tanımlıyoruz.Bunun için AAA servera yada Pix üzerinde tanımlı kullanıcı veritabanına ihtiyacımız var.AAA server olarak TACACS+ yada RADIUS serverlar kullanılabilir.Burda istenirse kullanıcı bazlı kimlik doğrulamada yapılmayabilir de. Sadece grup bilgisine göre vpn bağlantısı gerçekleştirilebilir.Bizim burda kullanıcı bazlı kimlik doğrulaması yapmamızdaki amaç kullanıcıların aktivitelerini takip edebilmektir.

Bir sonraki adımda Lokal Kullanıcı database e güvenlik seviyelerine göre kullanıcıları ekliyoruz.

VPN le kullanıcılar bağlandıktan sonra sisteme erişebilmeleri için ip almaları gerekir.Tanımladığımız vpn grubunun kullanıcağı ip aralarını bir sonraki adımda tanımlıyoruz.

IP ayarlarının dışında istenirse DNS ve WINS ,domain bilgileri de VPN cliente tanımlanabilir.

 VPN in birinci fazında kullanılacak şifreleme,kimlik doğrulama ve Diffie Hellman grup tipini belirliyoruz.Örneğimizde defaul ayarlarında bıraktık

IPSEC tünnel modda çalışabilmesi için Transform set tanımlanması gerekir.

Pix normalde iç ağınızı dış dünyadan NAT yaparak giler.Son olarakta VPN le kimlik doğrulaması yapılmış kullanıcıların iç networke gelirken NATA takılmamalarını sağlamak yani NAT tan hariç tutmak gerekir.Bunun için iç networkü Exemption kısma yazmak gerekir.

Tamamdır artık.Pix üzerinde yapacağımız tanımları bitirmiş olduk.Pixe telnetle bağlanıp bakalım configurasyonumuza neler yapmışız



Result of firewall command: "show run"
 
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
access-list inside_outbound_nat0_acl permit ip 192.168.16.0 255.255.255.0 192.168.16.192 255.255.255.224
access-list inside_outbound_nat0_acl permit ip any 192.168.16.192 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.16.192 255.255.255.224
access-list kaucukvpn_splitTunnelAcl permit ip 192.168.16.0 255.255.255.0 any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe
ip address inside 192.168.16.201 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPNPOOL 192.168.16.202-192.168.16.212
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 0 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
sysopt connection permit-l2tp
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_MD5 mode transport
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup kaucukvpn address-pool VPNPOOL
vpngroup kaucukvpn split-tunnel kaucukvpn_splitTunnelAcl
vpngroup kaucukvpn idle-time 1800
vpngroup testvpn password ********
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxxx@ttnet
vpdn group pppoe_group ppp authentication pap
vpdn username besir password *********
dhcpd lease 3600
dhcpd ping_timeout 750
username besir password bue7d3e2hnamr1M. encrypted privilege 15
terminal width 80
Cryptochecksum:e0450a0fc861b5264a7213167261dd7a
: end

CLIENT AYARLARI:

Kullanıcıda vpn bağlantısı yapabilmek için Cisco’nun vpn client yazılımın kurulu olması gerekir.VPN client yazılımını cisco.com dan yada ürünü aldığınız yerden temin edebilirsiniz.VPN client yazılımının kuruluşu anlatmayacağım.

Programı kurduktan sonra VPN Client yazılımını çalıştıyoruz.New e tıklayarak yeni bir vpn tanımı oluşturuyoruz.

HOST kısmına PIX in dış bacak ipsi ,Group Authentication kısmına oluşturduğumuz grup ismini,password kısmına da pre-shared key i giriyoruz.ve kayıt edip çıkıyoruz.

Bilgiler doğru ve sistemde bir sorun yoksa connect e bastığımızda bize kullanıc adı sifresinin sorulduğu yukardaki ekran gelecektir.Eğer Extended Client Authenticaiton seçilmemiş olsaydı bu ekran gelmeyecekti.Kullanıcı adı ve sifreyi de doğru girdikten sonra vpn bağlantısı tamamlanır ve sağ alt köşede bulunan vpn sembolu kilit ,kitli konuma geçer.

SPLIT TUNNELING

VPN le bağlandıktan sonra kullanıcının bütün trafiği pix üzerinden geçmeye başlar.Bazı durumlarda bu istenmez.Kullanıcın sadece merkezdeki içnetworke erişirken vpn yapılması bunun dışındaki trafiğinin kullanıcın kendi internet hattı üzerinden geçmesi istenir.Yani internete çıkarken kullanıcın vpn tünele bağlanması istenmez.Kullanıcın merkez bağlantısı dışında trafiğinin normal internet hattından aktarılması işlemine Split Tunneling (Tüneli Yarma) denir.

PDM ile tanımladığımız vpn tanımlarında VPN kısmına gelip Cisco VPN Client kısmına gelelim.Tanımladığımız grup ismini seçip edite tıklayın.

Gelen ekranda Manage Split Tunnelling e girelim.

Burda iç networkü tanımlayarak vpnde sifrelemenin yapılacağı networkü belirtiyoruz.Onun dışında hiçbir trafik için sifreleme yani vpne sokma işlemi yapılmayacak demektir.

Bir sonraki makalede görüşmek dileği ile.
 

Ortalama Üye Değerlendirmesi

   (1 Oylama)

Yorum Sayısı: 3 / 3