Easy VPN Bölüm 1: Cisco Easy VPN Nedir? Nasıl Çalışır?

Bu ve devam edecek makale serimizde Cisco IOS 12.3(11)T ve sonrasına sahip Routerlar üzerinde yapabileceğimiz, Client konfigürasyonunu basitleştiren ve yönetimi merkezi hale getirerek network yöneticilerinin işini kolaylaştıran Easy VPN Server üzerinde duracağız.

Öncelikle şunu belirtmek isterimki ismi her ne kadar Easy olsa da Easy VPN kurulum ve yapılandırma işlemleri hem biraz karmaşık hem de uzundur. Bu sebeple tek bir makale içerisinde bütün içeriği anlatmaktansa bir kaç farklı bölüme ayırmayı daha uygun gördüm. İlk bölümde Easy VPN çözümünün ne olduğu ve nasıl çalıştığı ile ilgili bilgiler veriyor olacağım.

Cisco Easy VPN, Easy VPN Server ve Easy VPN Remote olmak üzere iki bileşenden oluşur.Easy VPN Server Cisco IOS Router, Cisco Pix ve ASA yada VPN Concentrator olabilecek VPN Server uzak noktadaki kullanıcılarn VPN bağlantılarını sonlandıracak ve onlara Mode Configuration dediğimiz konfigürasyon bilgilerini aktaracaktır. Easy VPN Remote ise VPN Server’a bağlanacak yine bir Router, Firewall yada VPN Client yazılımı olabilir. Aslında VPN bağlantısını başlatacak olan taraftır.

Remote taraftaki kullancılar özellikle güvenlik ile ilgili policy’leri VPN Server’dan alacaktır. Uzak noktadaki kullanıcıların yada VPN Client gibi bir yazılımla merkeze bağlanan Teleworker diye adlandırdığımız kullancıların bu konuyla ilgili bilgilerinin, genellikle az olduğunu düşünürsek bu özelliğiyle VPN Server’ın ideal ve ucuz bir çözüm olduğunu söyleyebiliriz. Easy VPN ile birlikte remote kullanıcılar sadece kullanıcı adı ve şifre girerek güvenli bir bağlantı sağlayabileceklerdir.

Cisco Easy VPN Server özelliğini destekleyen Router ve IOS bilgileri cisco.com’dan alınmış ve aşağıdadır.

Easy VPN Server ile ilgili bir ayrıntı olarak şunuda belirtmek gerekir ki, IKE Phase 1 sırasında belirlediğimiz ISAKMP Policylerinden, sadece Diffie-Hellman group 2 key exchange’i destekler. Group 1 ve 5 Easy Vpn server’da kullanılamaz.

Daha önce yayınlanan bir makalemizde IPSec VPN’in IKE Phase 1 ve 2 dediğimiz iki aşamadan oluştuğunu, IKE Phase 1’in ISAKMP, IKE Phase 2’nin IPSec’i temsil ettiğini söylemiştik. İşin içine Easy VPN girdiğinde kavramsal olarak IKE Phase 1,5 olarak adlandırdığımız ve uzak kullanıcılar için extra konfigürasyonları içeren (Xauth, Mode Config) bir bölüm daha giriyor olacak.

IKE Phase 1,5 ile güvenlik ilkelerimiz ve VPN Clientımızın IP konfigürasyonu clienta aktarılır. Şimdi adım adım Easy VPN Server ve Easy VPN Remote arasında değişilen hangi mesajlar ile VPN tünelinin kurulduğunu inceleyeceğiz.Cisco Easy VPN içerisinde bağlantılar, genellikle belirli bir coğrafyada bulunmak yerine sürekli gezen insanlar ile merkez arasında bir bağlantı olacağı için, client tarafından başlatılır. İlk olarak Easy VPN Client tarafı IKE Phase 1’i başlatır. Burada VPN Client’ın karar vediği şey, aslında üzerindeki konfigürasyondan da bildiği, authentication için kullanılacak yöntemdir. Authentication için iki farklı yöntem kullanılabilir. Pre-Shared Key veya Digital Certificates. Makale dizimizde önceklikle pre-shared key ile authentication üzerinde duracağız. Bunun için VPN clientımızın komut satırında ya da grafik arayüzünde grup ismi ve şifresi şeklinde tanımlamalar yapılmalıdır. Policyler grup bazlı olarak belirlenir.

İkinci aşamada VPN Client SA parametrelerinde karara varılması için istekleri gönderir.

Burada VPN Client konfigürasyonunu mümkün olduğu kadar basite indirmek için aşağıdaki parametrelerin bir çok farklı konfigürasyonu Easy VPN Server’a gönderilir.

1. Encryption ve Hashing Algoritmaları
2. Authentication methodları
3. Diffie-hellman Groupları

Easy VPN Server VPN Client tarafından kendisine gönderilen kombinasyonları inceler ve kendi üzerinde de konfigüre edilmiş bir policy grubunu kabul ederek, bu noktada kabul ettiği policy grubunu VPN Client’a bildirir. Burada VPN Server üzerinde tanımlanmış olan Policyler priority (öncelik) değerlerine göre yukarıdan aşağıya kontrol edilir. Bu aşamada client authentication bitmiştir ve artık sıra IKE Phase 1,5 içerisinde Xauth (Extenden Authentication) olarak belirttiğimiz kullanıcı kimlik doğrulamasına gelmiştir.

Kullanıcı kimlik doğruluma (Xauth aşaması) Easy VPN Server üzerinde konfigüre edilmişsi devreye girecek ve client kendisine username ve password ekranının VPN Server tarafından sunulması için bekleyecektir. Güvenlik noktasından baktığımızda VPN Serverların mutlaka kullanıcı kimlik doğrulamayı sağlaması gerekir. Kullanıcı kimlik doğrulama AAA ile yapılacaktır. Dolayısıyla AAA VPN server üzerinde mutlaka enable edilmelidir.

Router(config)#aaa new-model

Burada istersek örneğin Cisco Secure ACS gibi Radius Serverdan faydalanabilir ya da Router üzerinde local kullanıcı isimler ve şifreler oluşturabilir. Her ikiside kullanılabilmektedir. Böyle bir durumda Router önce AAA Server olarak tanımladığımız Server’ı kontrol eder, Server’ın fail olması durumunda local veritabanına geçer.

Kullanıcı kimlik doğrulamasını aştıktan sonra Mode Config aşamasına geçilir ve VPN Serverda gerekli parametreler istenir. Özellikle IP Konfigürasyonunu içeren bu parametreler VPN Server tarafından client’a gönderilir. Bu noktadan sonra VPN tüneli kurulmuştur ve RRI (Reverse Route Injection) dediğimiz kısma gelinmiştir.

RRI ile birlikte Cisco VPN Server üzerinde clientin ip adresi için static route’lar oluşturulur. RRI aslında şekildeki gibi bir bağlantıda ihtiyaç duymayacağımız bir parametredir. Ama sözgelimi VPN Client’ın ip konfigürasyonunu Easy VPN Server üzerindeki bir DHCP Server’dan aldığını, Easy VPN Server olarak görev yapan Routerın arkasında başka routerlar ve vlanlar (dolayısıyla subnetler) olduğunu düşünürsek iç networkte söz konusu subnetlerin VPN Client ip adresi hakkında hiç bir bilgisinin olmayacapını görebiliriz. Burada RRI böyle bir durumun oluşmasını engelleyecektir. Eğer VPN Server başka Router ya da layer 3 Switchler ile bir IGP (Rip, EIGRP, OSPF gibi) ile haberleşiyorsa bunun içerisine Static Route Redistribute edilmelidir.

Konfgürasyon paramatreleri her iki taraftada tamamlandıktan sonra IPSec aşaması başlar ve IPSec VPN kurulur.

Evet makale serimizin bu bölümünde Easy VPN Server hakkında genel bilgiler vermeye çalıştık. Bir sonraki makalede Cisco Routerlar üzerinden Easy VPN Server kurulumunun SDM ile nasıl yapılacağıyla ilgili bir uygulama yapacağız. Herkese iyi çalışmalar.

Kaynak:Hayrullah KOLUKISAOĞLU

1 yorum

  1. kardeşim ben bunu çalıştıramadım benm msn mi çaldılar aylardır o msn yi geri almaya çalışıyorumö ve alamıyorum bu konuda beni aydınlatırsa sana minnet duyarım şimdiden teşekütler.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir