OpenVpn Kurulumu - Sayfa 7 PDF Yazdır e-Posta
Salı, 08 Eylül 2009 12:50
Makale İçeriği
OpenVpn Kurulumu
Sayfa 2
Sayfa 3
Sayfa 4
Sayfa 5
Sayfa 6
Sayfa 7
Tüm Sayfalar

 

OpenVpn Güvenliği ve Sertifika İptali

 

Buraya kadar kurulumu yaptık ve umarım siz de başarılı bir şekilde çalıştırdınız. Dikkat ederseniz Openvpn yazılımını indiren ve server tarafının IP adresini bilen herhangi birisi bağlantı yapamamaktadır. Ancak bizim server üzerinde oluşturduğumuz sertifika dosyalarını kendi bilgisayarına kopyalarsa bağlantı yapabilir. Server üzerinde oluşturduğumuz ca.crt ve ca.key dosyaları önemlidir. ca.crt dosyasını her bir client’a dağıtırken, ca.key dosyasını ise güvenli bir ortamda saklamalıyız. Aynı şekilde server.crt ve server.key dosyaları da dışarıya sızmamalıdır.

 

Burada öğrendiklerimizle istediğimiz kadar client için sertifika oluşturup dağıtarak birden fazla client'ın bağlantı yapmasını sağlayabiliriz. Bu şekilde VPN ile bağlanan clientlar artık yerel ağın bir üyesi gibi, uzak masaüstünden, dosya paylaşımına kadar normal bir yerel ağda ne yapabiliyorlarsa yapabilirler. Ancak aradaki bağlantının yerel ağ gibi 100Mbit/Sn olmadığını, sonuçta server ve client tarafının Internet bağlantı hızıyla sınırlı olduğumuzu unutmamak gerekir. Örneğin client server'dan kendine bir dosya kopyalama işlemi yaptğında, bu dosya Internet üzerinden geçmek zorunda olduğu için ancak aradaki bağlantı hızıyla orantılı olarak aktarılacaktır. Özellikle ADSL bağlantılarda upload hızları düşük olduğu için, client kendisi 4mbit adsl ile internete bağlı bile olsa, server'dan dosya çekerken, server'ın upload hızından yüksek bir hıza erişemez. Aynı şekilde birden fazla bağlantı yapıldığından bu bant genişliği de ortak kullanılmaya başlanacaktır. Böyle bir bağlantıda ya web tabanlı, çok veri aktarımı yapmayan bir uygulama kullanılmalı veya client'lar VPN'den sonra iç ağda bir terminal server'a uzak masaüstü bağlantısı yapıp, sadece ekran görüntüsü aktarılacak şekilde çalışmalıdırlar.

 

Peki daha önce sertifika verdiğimiz birisinin artık sisteme girmesini istemiyorsak ne yapacağız?

 

Komut isteminde yukarıda yaptığımız gibi “easy-rsa” dizinine geçelim;

 

C:\Program Files\OpenVPN\easy-rsa> vars

C:\Program Files\OpenVPN\easy-rsa> revoke-full Client

 

yazalım.

 

Çıkan yazıların son satırında;

 

error 23 at 0 depth lookup:certificate revoked

 

gördüğümüzde Client isimli sertifika’nın iptal edildiğini anlıyoruz. Şimdi yine “keys” dizini içinde crl.pem isminde bir dosya oluştu. Bu dosyayı tahmin ettiğiniz gibi “config” dizinine kopyalıyoruz.

 

Ayrıca server.ovpn dosyasına da

 

crl-verify crl.pem

satırını ekliyoruz. Böylece bağlanan Client’ın sertifikası kontrol edilecek ve eğer iptal edilmiş bir sertifika ise bağlanamayacaktır.

 

Son Sözler

 

OpenVpn basit kurulumu ve efektif çalışması ile eminim çok işinize yarayacaktır. Büyük projelerde kullanılacaksa, http://www.untangle.com adresinden indirebileceğiniz, kendi başına ayrı bir yazı konusu olan, yine açık kaynak bir firewall, uzaktan erişim ve saldırı tespit/önleme yazılımı olan Untangle’ı kullanabilirsiniz. Untangle içinde OpenVpn çözümü ücretsiz olarak yer almaktadır ve sertifika dağıtımını kolaylaştıran ve Client’ların konfigürasyonunu ve izlenmesini sağlayan araçlar bulunmaktadır.

 

OpenVpn'in güvensiz ağlar üzerinde (örneğin şirket içi kablosuz ağlar gibi) güvenli bir bağlantı oluşturmak içinbir çok farklı uygulaması olabileceğini de hatırlatmak istiyorum.

 

Hepinize kolay gelsin…

 

09/2009

Bu yazı turkcenet.org için hazırlanmıştır.

Kaynak gösterilerek kullanılabilir.

 



Son Güncelleme: Salı, 15 Eylül 2009 13:22
 
Make Text Bigger Make Text Smaller Reset Text Size

Aktif Ziyaretçiler

Şu anda 54 konuk çevrimiçi

Üye Girişi

Bilgisayar ağları ve Windows Hakkında Bilgiler...