Gelişen teknoloji ile birlikte şirket network yapılarına düzenlenen atak sayıları ve çeşitleri de artmaktadır. Her gün yeni bir açık veya atak yöntemi bulunmakta ve bu yolla dünya üzerindeki pek çok firma veya ev kullanıcısı bu açıklardan zarar görmektedir. Şirket datalarının öneminin yüksek olması nedeniyle şirket bünyesindeki IT departmanı bu önemli verileri korumak için firewall kullanmak zorundadır. Piyasada gerek donanımsal gerekse yazılımsal olarak pek çok firewall bulunmaktadır, ben bunlarda en çok tercih edilen ve en esnek olanlardan biri olan ISA nın bir şirket bünyesine nasıl uygulanacağını ve ISA nın üzerinden kullanıcıların internet kaynaklarına nasıl erişebileceğini anlatmaya çalışacağım.
Sahip olduğunuz ağ yapısında ISA server?ın görevleri temel olarak güvenlik ve ivmelendirme ( cache özelliği ile interneti hızlandırma ) olarak bilinse de aslında ISA Server bu görevlerin dışından bir Proxy server görevi görür, aynı zamanda içerideki kaynakları internete açmak içinde çok iyi yayınlama teknolojilerine sahiptir. ISA 2000 de olduğu gibi kurulumları ayrı ayrı yapılmaz ancak istenmeyen özellikleri devreye alınmayarak istediğin bir özelliğini tek balına kullanmanız mümkün olabilmektedir. Örneğin sadece cache özelliğini veya sadece publish özelliğini kullanabilirsiniz.
Bizim amacımız sahip olduğumuz ISA server ın teknolojilerine ve işleme mantığına tam hâkimiyet sağlamaktır. Bu sayede kullanıcılarımızın güvenli bir şekilde internete çıkmalarını sağlamış olacağız.
Bunu anlamak için öncelikle ISA server a gelen bir isteğin hangi kriterlere göre değerlendirildiği ve ISA nın bu değerlendirme sonunda nasıl davrandığını bilmeliyiz.
Şekil -1
Örnek bir uygulama ve şekil desteği ile konuyu anlatamaya çalışacağım. Yukarıdaki şekilde kullanıcılar internet üzerindeki herhangi bir kaynağa ISA üzerinden erişmek istemektedirler. Burada kullanıcılar internete çıkmak istediklerini default gateway olan ISA Server a iletirler. ISA Server bu talebi alır ve de öncelikli kontrollerini yapar. Bu kontroller şöyle özetleyebiliriz;
· İnternete çıkmak isteyen kullanıcını izni var mı?
· İnternete çıkmak isteyen bilgisayarın izni var mı?
· İnternete çıkmak için kullandığı protokolün izni var mı?
· İnternet üzerinde gitmek istediği hedef noktanın izni var mı?
· İnternet üzerinde gitmek istediği hedef noktanın içeriği hakkında izinler verilmiş mi?
Burada ki kriterler özel yasaklamalar ile arttırılabilir ancak standart yasaklar bunlardır. Dikkat edilirse her konuda ?izin? den bahsettim, sebebi ISA kurulur kurulmaz her kullanıcıyı, bilgisayarı, protokolü, hedefi (external interface ) ve içeriği kapatır, yani kısacası her şeyi yasaklar. Bundan dolayı her istek için artık izin aranır. Bir kullanıcı veya bilgisayar internet kaynaklarına erişmek isterse bu kontrollerden geçer, bunun sonucunda internete erişmiş olur ( izni var olması halinde )
ISA server kullanıcıları internet kaynaklarına ulaştırırken bir Proxy görevi görürü, kural bazında yukarıdaki kontroller yapılmaktadır, ancak kuralların geçilmesi halinde trafik nasıl yönetilir? Evet, ISA server bir Proxy server gibi çalışır ve kullanıcıların internete çıkmasında vekil görevi görür. Peki, biz neden kullanıcıları bir Proxy server arkasından internete çıkarmalıyız, bunun bize ne gibi bir yararı olur?
Bu konuyu da yine bir şekil ile açıklamak istiyorum;
Şekil -2
Yukarıdaki şekil i incelersek eğer; kullanıcılar internete erişmek için bir Proxy sunucusu kullanmaktadırlar. Proxy sunucusu bize temel olarak 5 fayda sağlamaktadır;
1. Kullanıcı doğrulaması sayesinde istediğiniz kullanıcıların internete çıkmasını sağlarken, istemediğiniz kullanıcıların ise internete çıkmasını yasaklayabilirsiniz.
2. Kullanıcı isteklerini filtreden geçirebilirsiniz. Bu sayede internete çıkmasına izin verdiğiniz kullanıcıların internet ortamına her türlü isteği değil, sizin izin verdiğiniz isteklerin gitmesine izin verebilirsiniz
3. İnternet içeriğini denetleme imkânına sahip olursunuz
4. Tüm kullanıcı hareketlerini loglaya bilirsiniz
5. Network yapınız hakkında hiçbir bilgiyi dışarıya vermemiş olursunuz
ISA server ın bu özelliğinden yararlanmak için ISA server ı Web Proxy olarak kon figüre etmemiz gerekmektedir. ;
ISA server?ın kullanıcılara hizmet vermesi için kullanıcılar ile ISA Server arasında bir ilişki kurulması gerekmektedir. Bunu 3 şekli vardır; Secure NAT, Web Proxy ve Firewall Client yazılımının yüklenmesi. Burada Web Proxy bağlantı şeklini kullanarak ISA Server üzerinden internete çıkmak isteyen kullanıcılara bu özelliği kullanarak nasıl hizmet verebileceğimiz ve bu yolla ne gibi kısıtlamalar yapabileceğimiz öğreneceğiz. Misal kullanıcılarımızı Secure NAT olarak ayarlamadık veya FC yazılımın yüklemedik ve GPO üzerinden domain deki tüm makinelere Proxy server olarak ISA Server ı gösterdik. Bu durumda istemci tarafında yapılacak işlemler bitmiştir. Bundan sonra ISA server ana ekranına gelip buradan ?Network? kısmına tıklıyoruz
Şekil -3
Ardından sağ bölümdeki ?Internal? kısmına sağ tıklayıp özellikler diyoruz
Şekil -4
Açılan ekranda ?Web Proxy? Sekmesine geliyoruz.
Şekil -5
Burada bu hizmeti açmamıza ve de kapamamıza yarayan ?Enable Web Proxy Clients? kısmını göreceğiz. Hemen altında bu hizmeti ISA Server üzerinden hangi porttan verdiğimizi belirleyebiliriz. Altında yer alan SSL seçeneği ise istemci makinedeki internet Explorer ile ISA server arasında Secure bir bağlantı gerçekleşmesini sağlar. Authentication sekmesine geldiğimizde ise istemciler ile ISA Server arasındaki kullanıcı doğrulama yöntemlerini göreceğiz. ( web Proxy yi kullanarak ISA ya ulaşmaya çalışan kullanıcılar için). Bu sekmede aşağıdaki şekildedir.
Şekil -6
Burada kimlik doğrulama şekillerini görmekteyiz. ?integrated? varsayılan olarak seçilidir. Bu seçenek seçili ise kullanıcıların kimliklerini doğrulamak için şifre sormaz. Domain yapısı olduğu ve de bu ISA domain e üye olduğundan dolayı kullanıcı bilgilerini AD üzerinden alır. Bu seçenek kaldırılır ise ?Select Domain? seçeneği aktif olur, bunu sebebi ISA Server eğer birden fazla domain e hizmet veriyor veya bir domain e üye değilse geçerlidir. Integrated kaldırılıp basic seçilirse bu sefer kullanıcılara şifre sorar ve bu şifre ISA Server a kriptolanmadan yollanır, aynı durumun sadece şifre kısmını kriptolanıp yollanmasını istiyorsak ?Digest? seçilir.
Bir diğer sekme olan ?Advanced? sekmesine girdiğimizde ise karşımıza şöyle bir pencere çıkacaktır;
Şekil - 7
Burada yer alan ?Number of connection? ISA Server üzerinde eş zamanlı olarak maksimum kaç kullanıcını bağlanabileceğini ayarlayabiliriz. Hemen altında ise bu kullanıcıların açtıkları oturumların zaman aşımına uğrama süresini belirtir, mesela sınır olarak 50 kullanıcılı bir ağda 20 kişi belirtilirse zaman biraz düşürülmeli, neden? Biri girip internetten gazete okumaya başlarsa o uzun süre istek yollamayacak ve gereksiz yere bağlantı işgal edecektir.
Bu ayarlar yapıldıktan sonra artık şirket bünyemizdeki kullanıcılar ISA server üzerinden güvenli ve kontrollü bir şekilde internet kaynakların ulaşabilmektedir.
|