ISA Server programında oluşan pek çok sorun ISA server?ın iyi derecede monitör edilmesi ile çözülebilmektedir. İyi kurallar veya iyi bir kurulum sorunsuz bir çalışmayı garanti etmez ancak oluşan sorunların erken tespiti ve anlaşılabilmesi için gerek ISA üzerinden geçen paket trafiğini gerekse ISA?nın kendisini iyi monitör etmeliyiz. Ben de bu amaçla sizlere ISA 2004 u nasıl izleyeceğimizi anlatmaya çalışacağım. Isa monitoring başlıca aşağıdaki maddelerden oluşur.
- Alerts konfigürasyonu
- Session (oturum ;o anda kaç client ISA Server üzerinden işlemler yapıyor) konfigürasyonu
- Log konfigürasyonu
- Rapor konfigürasyonu
- Bağlantı konfigürasyonu
- Servisler ve performans konfigürasyonu
Aşağıdaki sorulara cevaplar bulacağız ve nasıl yapıldıklarını öğreneceğiz
ISA Server Monitoring(İzleme) niçin kullanırız?
ISA Server Monitoring araçları nelerdir?
Monitoring ve rapor dizaynı
Dashboard kullanarak ISA Server monitoring
Şekil -1
ISA Server Monitoring(İzleme) niçin kullanırız?
Networkler arası trafiği,kullanıcıların internette yaptıklarını,nerelere girdiklerini ve buna benzer olayları izlemek için
ISA Server Clients,Server ve network arasındaki bağlantı problemlerini gidermek için
Atakları tespit etmek ve bu ataklar hakkında bilgi almak için
Gelecekte yapacağımız ISA Server ayarları ve internet erişimi ne şekilde ayarlamamız gerektiği hakkında bilgi almak için
ISA Server Monitoring araçları nelerdir?
Alerts: Servislerin çalışamama,ayarlanan uyarılar mail atar,karşı atak ve sonlandırma yapar,meydana gelen hataları bildirir.
Session:Oturum da olan kullanıcılar hakkında bilgi verir
Logging:Web Proxy,Message Screener ve Firewall Servisleri hakkında detaylı arşivlerdir.
Reports:ISA Server üzerinde kullanılan bilgiler hakkında rapor verir
Connectivity:ISA Server bağlanılanURL,Network ve bilgisayarlar hakkında bilgi verir.
Performence:Gerçek zamanlı performans , kullanıcı loglarında yaratılması oluşan bilgiler performans durumunu belirtir
Alerts Tanımlama
Şekil -2
Şekil -3
Burada ISA ?nın oluşturduğu alertsler görünmektedir. Seçmek istediğimiz alert tıklanır.
ISA alerts belli tanımlamalar ve kategorilere koymuştur.
Kendimiz bir alert eklemek istiyorsak Add tıklanır ve aşağıdaki adımlar yapılır.
Şekil -4
Şekil -5
Yeni ekleyeceğimiz alerti seçeriz. Örneğin Intrusin Detected (Zorla girmeyi tespit etmek)
Şekil -6
Seçtiğimiz alert ise bir category tipi ve bir şiddet tipi oluştururuz.
Şekil -7
Yukarıdaki resimde alert meydana geldiğinde ISA Server yapacağı olaylar yer almaktadır.
Exchange Serverda seçtiğimiz kişilere mail atar.
Alerts karşı bir program çalıştırırç
Windows event log rapor eder.
ISA Server serviceslerini durdurur veya çalıştırır.
Şekil -8
Şekil -9
Alert tanımlanmıştır.
Varolan alerts Edit tuşuyla üzerinde değişiklik yapılır
Şekil -10
Şekil -11
Biz aşağıdaki senaryoya göre DNS zorla girme tespitinde bize mail ile uyarmayı ayarladıysak
Only if the aler was manual reset seçmek mantıkılıdır.Çünkü bu saldırı 500 kes yapılırsa bize 500 tane mail atacak ve buda Exchangimize zarar verecektir
Number of occurrences:Alerts üst üste 5 defa meydana
Number of events per second:Saniyede 3 defa meydana geldiğinde
Yukardakilerden herbirinden oluştuğunda
İmmediatly:anında
Only if the aler was manual reset:Alerts resetlendikten sonra yeni bir saldırı olduğunda
If time since last execution is more than 5 minutes :son saldırı anında 5 dakki zaman geçtikten sonra yeni bir saldırı olduğunda
Şekil -12
Acknowledge :Tamam alerts gördüm demektir. Reset:Alerts sil anlamındadır
Session Monitoring Nedir?
- Gerçek zamanlı clients oturumları hakkında bilgi alırız
- Oturumların ne zaman gerçekleştiğini tespit ederiz
- Oturum tiplerini
- Kaynak network buluruz
- Client isimlerini ve bilgisayar adlarını buluruz.
- Oturumları anında kapatabilir ve geri çevirebiliriz.
Şekil -13
Oturumlar Start monitoringle çalıştırır ve tüm oturumlardaki tüm işlemleri görürüz ama bu hem ISA Serverı şişirecektir ve bilgi karmaşasına yol açacaktır.Bu yuzden Edit Filter ile filtreleme yapmak bizi istedigimiz bilgiye daha kolay ulaştıracaktır.
Şekil -14
Logları Konfigüre etme
Loglar bize kullanıcıların yaptıkları işlemleri analiz etme bunlardan bilgi almak için yararlı kayıtlardır.
Firewall logları,Smtp Message Screener logları ve Web Proxy logları ayrı ayrı tutulmaktadır.
Bu loglar MSDE,SQL çalıştırılabilir.
Şekil -15
Loglar yukarda sağ taraftaki menüden konfigüre edilir.Filtreleme yapılıp,Sorgu çalıştırılabilir.
Şekil -16
Loglar istenilen formatta saklanır.Ayrıca saklayacağımız bu formattaki alanları da kendimiz seçebiliriz
Şekil -17
NOT:İstenilirse Loglar da da Sessionlar daki gibi filtreleme yapılabilir.
Raporları Konfigüre Etme
Raporlar nasıl yaratılır.
Raporlar ne zaman yapılaabilir
Raporları yayınlama
Şekil -18
Oluşturacağımız raporun adını yazarız.
Şekil -19
Burada raporun içeriği seçilir.
- Özet
- Web kullanımları
- Uygulama kullanımları
- Trafik ve yararlanma
- Güvenlik
Şekil -20
Raporun tarih aralığı seçilir.
Şekil -21
Eğer raporu yayınlayacaksak bir dizin belirtmeliyiz.
Şekil -22
Raporun oluştuğunu bize mail ile uyarmasını istiyorsak Exchange Server üzerinden mail hesaplarını tanımlamalıyız.
Şekil -23
Rapor oluşturma tamamlanmıştır.
Şekil -24
Oluşan raporu görmek istiyorsak üzerine sağ tuş yapar ve View seçeriz
Şekil -25
Ve rapor detaylı bir şekilde görülür.
Connectivity Monitoring (Bağlantı İzleme)
İnternet ile seçtiğimiz bir web ve ya active directory ile ya da dns ile bir bağlantı olup olmadığını izleme görevini yapar. Create New Connectivity Verifier bir bağlantı oluşturabiliriz
Şekil -26
Şekil -27
Şekil -28
Yukardaki resimler nereye bağlantı kurmak istiyorsak onu seçeriz
Send an HTTP ?GET? request: HTTP GET komutu göndererek bağlantı sınama
Send a Ping request:Ping komutu ile bağlantı sınama
Establish a TCP Connection to port:Port kullanarak TCP bağlantısı sınama
Servisler ve Performans
Şekil -30
ISA Serverın kullandığı servisleri görürüz.Bu Servislerin çalışıp çalışmadığı hakkında bilgiler ediniriz.Raporlar ,loglar izlenerek ISA Server 2004 için en iyi performansta çalışmasını sağlayabiliriz.
Kaynak : 2824: Implementing Microsoft Internet Security and Acceleration Server 2004