| ISA güvenlik duvarını güçlendirmek, olası saldırılara karşı savunmasını yükseltmek her zaman çok konuşulan ve tartışılan bir konudur, özellikle de ISA Server 2000 ile yayımlanan System Hardening Wizard?ın ISA Server 2000?in temel çekirdek işlevlerini bozmasından sonra. Daha önceki makalelerimi gözden geçirirsek, ISA Server sunucumuzu güçlendirmek için birçok adım, birçok düşünce ileri sürdük.
Şimdi ise ISA Server?ı güçlendirmek için Windows Server 2003 Service Pack 1 ile gelen Security Configuration Wizard?ı (SCW) inceleyeceğiz.
SCW, ISA Server güçlendirme işlemlerini otomatikleştirir ve ISA Server ile Windows Server 2003?ü Lockdown durumuna geçirecek özel hazırlanmış güvenlik şablonları içerir. SCW varsayılanda yüklü olarak gelmez. Windows Server 2003 üzerine Service Pack 1 yüklemesini gerçekleştirdikten sonra Add/Remove Windows Components bölümünden yüklenebilir ve daha sonra Administrative Tools altından erişilebilir.
NOT:
Windows Server 2003 SP1 yüklemeden önce ISA Server 2004 SP1 yükleyin. Bu makalede anlatılan işlemler ISA Server?ın domain üyesi olduğu, birden fazla ağ kartına sahip olduğu ve Best Practices denilen önerilere uygun yapılandırıldığı duruma göre anlatılmıştır. Sizin yapılandırmanıza göre SCW aşağıda göreceğiniz ekranlardan farklı roller tespit edebilir ya da farklı öneriler sunabilir.
Şimdi, SCW yapılandırmamıza başlayalım.
1- Administrative Tools içerisinden SCW?yi çalıştıralım. Her zamanki gibi bizi bir Welcome sayfası karşılayacak, NEXT ile diğer sayfaya geçelim.
2- İkinci sayfada karşımıza dört adet seçenek çıkacak. Sırasıyla;
- Create a new security policy
- Edit an existing security policy
- Apply an existing security policy
- Rollback the last applied security policy
Burada bence en güzel özellik uyguladığımız güvenlik ilkelerini geri alabilmek. Bu sayede yanlışlıkla verilen kararlar ya da uygulamalar yüzünden yaşayabileceğimiz sorunları çabucak çözebiliyoruz. Bu nokta biz SCW?yi ilk defa kullanacağımız için 1. Seçenek ile devam ediyoruz.
3- Bir sonraki ekranda hangi sunucuyu yapılandıracaksak o sunucunun DNS, NETBIOS, FQDN ya da IP adresini yazıyoruz. Bu noktada SCW?yi uzak bir ISA sunucusu yapılandırmak için kullanmanızı önermem.
4- Bir sonraki ekranda SCW ISA Server ve yüklü olan işletim sisteminin güvenlik yapılandırmasını kendi veritabanı ile karşılaştıracak. Bu işlem bir ya da iki dakika sürebilir. İşlem tamamlandığında View Configuration Database butonunu göreceksiniz. Bu butona tıklarsak SCW Viewer açılacak ve bize farklı istemci ve sunucu rollerini, yönetici seçeneklerini, hizmetleri, portları ve SCW?nin yapılandırabileceği diğer ayarları gösterecektir. Burada belirtilen her ayar için ayrıntılı bilgi bulabilirsiniz. Bundan sonraki sayfaları bize sorulan sorular olarak düşünelim, çünkü bir anlamda biz sunucumuzu, ağımızı, gereksinimlerimizi bize gösterilen ekranlarda belirteceğiz ve tüm bu işlemlerin sonunda SCW bizden aldığı veriler doğrultusunda gerekli güvenlik şablonlarını oluşturacak.
5- Role-Based Service Configuration sayfasındayız. Burada NEXT diyerek ilerleyeceğiz ve sunucumuzun barındırdığı rolleri, hizmetler, özellikleri vb yapılandırmaları tanımlayacağız. Bu işlemi yapmadan önce sunucunuzda olan bu tür bilgileri iyice gözden geçirmenizi öneririm.
6- Select Server Roles sayfasında SCW?nin otomatik olarak tespit ettiği rolleri göreceksiniz, örnek olarak Application Server, DNS Server, ISA Server ve diğer rolleri. İlgili rol hakkında bilgi almak için yanında bulunan ok işaretine tıklayabilirsiniz. Roller, ilgili görevleri ile alakalı hizmetleri çalıştırır ve portları açar. Bu noktada sunucunuz üzerinde kullanılmayan ama işaretli port varsa bunun işaretini kaldırın aksi halde gerekmediği halde bir rol kullanılıyor şeklinde düşünerek gereksiz port açmış ya da servis çalıştırmış oluruz. Tam tersine mevcut bir rolün işaretini kaldırırsak SCW o rolün kullanılmadığını düşünebilir ve onunla ilgili servis ve portları kapatabilir.
7- Select Client Features sayfasındayız. Bir sunucu aynı zamanda bir istemcidir de aynı zamanda. Bu nedenle bu sayfada sunucumuzun barındırdığı ve SCW?nin tespit ettiği istemcileri göreceğiz. Burada da yaklaşımımız rollerde olduğu gibi olmalıdır. Gereksiz istemcilerin işaretini kaldıralım ve tespit edilemeyen istemci türleri varsa ya da olacaksa işaretleyelim. Örneğin DDNS kullanmıyorsanız ya da kullanmayacaksanız DNS registration Client istemcisini kaldırabilirsiniz.
8- Select Administration and Other Options sayfasında bize Microsoft ISA Firewall Geliştirme ekibi tarafından ISA Firewall üzerinde önemli olduğu düşünülen yönetimsel seçenekler gösteriliyor. Bu sayfa bir önceki sayfa ile bağıntılı sayılabilir. Aynı yöntemle devam edeceğiz, ihtiyacımız olan ya da kullanmakta olduklarımız işaretli olacak.
9- Handling Unspecified Services ekranındayız. Bu sayfada SCW?nin bize göstermediği veya tespit edemediği ama hali hazırda sunucumuz üzerinde çalışan servisler hakkında nasıl bir işlem yapacağımızı belirteceğiz. Genellkile bu servisler 3rd party servislerdir. Benim önerim burada Do not change the startup mode of the service seçeneği ile devam edilmesi.
10- Confirm Service Changes sayfasında ISA Server sunucumuz üzerinde çalışan servislerde SCW?nin yapacağı değişiklikler görüntülenecek. Bu noktada iyice inceleme yapmanızı öneririm.
11- Şimdi teker teker yapılandırma yapma zamanımız geldi. İlk Sayfamız Network Security. Bu sayfada Windows Firewall ve IPSec ayarlamaları yapabiliyoruz. Biz zaten ISA Server çalıştırdığımız için bu noktada bir düzenlemeye ihtiyacımız yok. Bu sebeple Skip This Section kutusunu işaretli bırakarak NEXT diyoruz.
12- Registry Settings sayfası bize ISA firewall tarafından desteklenen protokoller üzerinde değişiklik yapmamızı sağlıyor. Daha çok RPC ve domain içi iletişimi yapılandıracağız. Burada Skip This Section kutusunun işaretini kaldırmayı unutmayın.
13- Require SMB Security Signatures sayfasında SMB imzalarının etkinliğini ya da gerekliliğini yapılandırabiliyoruz. Eğer ISA Firewall Client Share kullanıyorsanız her iki seçeneğide işaretlemenizi öneririm. Eğer kullanmıyorsanız It has surplus processor capacity that can be used to sign file and print traffic seçeneğinin işaretini kaldırıp devam edebilirsiniz.
14- Require LDAP Signing sayfasında güvenlik yapılandırması yaptığımız sunucumuzun bağlı olduğu domain ortamında karşılaması gereken minimum işletim sistemi gereksinimleri ve LDAP imzalamayı belirtiyoruz.
15- Outbound Authentication Methods sayfasında dış bağlantı yapacağımız zaman LAN Manager?ın uzak bilgisayarların kimlikleri doğrulamak için kullanacağı yöntemleri belirtiyoruz. VPN Kullanıyorsak (Örneğimizde ben kullanıyorum) ve domain üyesiysek (Örneğimizde domain üyesiyiz.) ilk iki seçenek işaretli olmalıdır. Burada File sharing passwords on Windows 95, Windows 98, or Windows Millennium Edition seçeneğini işaretlemek için hiç bir sebep göremiyorum. J
16- Outbound Authentication using Domain Accounts sayfasında dış bağlantı gerçekleştirdiğimizde LAN Manager kimlik doğrulama seviyesini ayarlayabiliyoruz. Varsayılanda etkin olan seçenek Windows NT 4.0 Service Pack 6a or later operating systems?dir. İkinci seçenek olan Clocks that are synchronized with the selected server?s clock tamamen ağ gereksinimlerinize göre belirlenecektir.
17- Registry Settings Summary sayfasında kimlik doğrulama seviyelerini gerçekleştirmek ve zorlamak için yapılacak değişiklikler gösterilir. Bu sayfayı iyice incelemenizi ve gözden geçirmenizi öneririm. Ayrıca önceki sayfalarda dikkat ettiyseniz sayfanın alt kısmında yaptığınız ayarların hangi kayıt defteri anahtarlarını değiştireceğini göreceksiniz.
18- Audit Policy sayfasında bize ilerleyen sayfalarda ayarlayacağımız audit (izleme) seçeneklerinin amaçlarını ve hedeflerini açıklamaktadır. Bilgiyi okuduktan sonra devam edebiliriz. Skip This Section kutusunun işaretini kaldırmayı unutmayın.
19- System Audit Policy sayfasındaki seçenekler bize ISA Firewall sunucumuz üzerinde yapabileceğimiz sistem izlemelerini belirlememize olanak verir. Varsayılan seçenek Audit Successful Activities?dir. Ancak bununla beraber ben ?başarılı olan? ya da ?başarılı olmayan? tüm etkinlikleri görmek istiyorum, bu nedenle Audit Succesful and Unsuccessful Activities ayarını kullanacağım.
20- Audit Policy Summary sayfasında SCW?nin geçerli audit yapılandırmamız üzerinde yapacağı değişiklikleri görebiliriz. Devam etmeden önce dikkatlice gözden geçirmemizde fayda var. Bu sayfada SCWAudit.inf güvenlik şablonunu da audit yapılandırmanıza ekleyebilirsiniz. Bu şablon SACL?leri düzenleyerek dosya sistemi üzerinde izleme yapmanıza olanak sağlar. Dikkat eidlmesi gereken nokta SCWAudit.inf şablonunu eklerseniz SCW ile rollbackyaparak bu şablonu geri alamazsınız.
21- Save Security Policy sayfasında şimdiye kadar yaptığımız tüm işlemleri kaydedeceğiz. Bu aşama da ISA Firewall sunucumuz üzerinde henüz bir değişiklik yapılmayacak.
22- Security Policy File Name sayfasında size verilen path?in sonuna dosyayı kaydetmek istediğiniz adı yazın. Herhangi bir uzantı eklemenize gerek yoktur, XML olarak kaydedilecektir. View Secuirty Policy butonuna basarak SCW ile yapılandırmış olduğunuz güvenlik değişikliklerini ayrıntılı olarak inceleyebilirsiniz. SCW Viewer ile bu değişiklikleri gözden geçirebilir ve sizin yaptığınız tüm ayarların var olup olmadığını kontrol edebilirsiniz.
23- Ve işte geldik kader anına. J Bu ekranda yaptığımız güvenlik ayarlarını kaydedip daha sonra uyuglamak üzere saklayabiliriz ya da hemen bu anda uygulamaya koyabiliriz. Eğer yapılan ayarlar konusunda herhangi bi çekinceniz varsa Aplly Later komutunu verin ve dosyayı kaydedin ardından bir test ortamında ISA sunucunuz üzerinde denemelerinizi yapın. Hemen uygulamak isterseniz Aplly Now komutunu kullanın. CWAudit.inf harici SCW kullanarak yaptığınız her değişikliği yine SCW?yi çalıştırarak geri alabilirsiniz. Şimdi değişiklikleri uyguluyorum.
Son iki ekranda yarattığımız ayarlarların uygulandığını göreceğiz ve ardından FINISH butonuna basarak işlemi sonlandıracağız. Benim önerim bu işlemleri gerçekleştirdikten sonra suncunuzu yenden başlatmanız. Bu noktada bence her zaman yapmanız gereken bu tür uygulamaları çalışma ortamında gerçek hayata aktarmadan önce test ortamında tecrübe etmenizdir. Aksi halde hiç istenmeyen sonuçlar ortaya çıkması işten bile değildir.
|
