“Quarantine” kelimesi Türkçemizde “Karantina” olarak
adlandırılmaktadır. Dolayısıyla söylemlerimde bu şekli kullanacağım.
Adından da anlaşılacağı gibi Karantina ile
yapabileceklerimizin başında uzak kullanıcıların
bağlantılarını gerçekleştirmelerinden sonraki
safhada ikinci bir güvenlik kordonundan geçmek
zorunda bırakılmalarını sağlamaktır.
Karantinanın kurulması ve uygulanması için
elimizde bulunması gereken materyaller
şunlardır.
- Windows Server 2003 Ent Edition kurulu bir
işletim sistemi
- Active Directory Yapısı (Yapılandırılmış bir
Domain Controller)
- Windows Server 2003 Ent Cd
- Karantina için kullanılacak bir .exe, bir .bat
ve bir .txt dosyası
Evet şimdi sıra geldi kuruluma başmalaya.
Unutmamak gerekir ki VPN KARANTİNA kurulumu
oldukça aşamalı ve dikkat gerektiren bir
kurulumdur. Tüm bu ön bilgilerden sonra artık
kuruluma geçebiliriz.
Senaryomuzda bir iş gezisi için Uzak Doğu’ya
giden bir kullanıcının şirket networküne uzaktan
erişerek kaynakları kullanması anlatılacaktır.
Öncelikle Active Directory Users and Computers
içerisinde bir kullanıcı yaratıyoruz. Bu
kullanıcı uzak bağlantıyı gerçekleştireceğimiz
kullanıcı olacaktır.
Kullanıcımızın Adı “vpn1”
Şimdi bir global group oluşturuyoruz.
Oluşturduğumuz kullanıcıyı “control” grubuna üye
yapıyoruz.
Grup yaratmamızdaki amaç Remote Policy
tanımlamalarında grup kullanıyor olmamız.
Şimdi sıra geldi DHCP yi yapılandırıp uzaktan
bağlanacak kullanıcıların şirket networkunde yer
alabilmeleri için onlara ip atanmasını
sağlamaya. Network Servislerinden DHCP yi
kuruyoruz.
DHCP’yi kurduktan sonra bir scope oluşturuyoruz.
Bu scope yaratılırken uzaktan bağlanacak
kullanıcılara atanacak IP adreslerinin şirketin
“iç” subnetinde olduğuna dikkat ediyoruz.
Şimdi IAS (Internet Authentication Services)
adını verdiğimiz ve bütün Authentication
olaylarını kontrol eden servisi kuruyoruz. Bu
sayede VPN kullanıcısının güvenlik kontrolü bu
noktada yapılacak.
IAS kurulduktan sonra yapılması gereken en önemli
görev onu Active Directory içerisinde Register
etmektir. Aksi halde IAS görevini yerine
getirmeyecek çünkü Active Directory’den yetki
alamayacaktır.
Bu register işleminin ardından Active Directory
üzerinde Users bölümünde bulunan “RAS and IAS
Servers” adlı grubun üyeleri arasına “CLI“
adıyla bizim IAS serverimiz da eklendi.
Bu senaryoda DC ve IAS aynı server üzerine
kurulduğundan dolayı aynı ismi görmekteyiz.
Şimdi IAS üzerinde RADIUS (Remote Access Dıal-In
User Service) Server’in yapılandırılması
gerekiyor ki VPN kullanıcıları RADIUS üzerinden
kontrol edilebilsin ve KARANTİNA’ya alınmaları
gerektiği bilgisine ulaşabilsinler.
Burada dikkat edilmesi gereken “client address”
bölümüne yazılacak IP’nin aslında uzak
kullanıcıyı ilk olarak karşılayacak olan VPN
Server’in yani yine bizim senaryomuzda DC
üzerinde kurulu olan Routing and Remote Access
Server üzerinde yapılandırılan VPN SERVER'a ait
olması.
Bundan dolayı bu kısma VPN SERVER IP’si
yazılmalıdır.
Burada belirttiğimiz “Shared Secret” daha sonra
VPN Server yapılandırılırken karşımıza çıkacak
ve VPN SERVER ile RADIUS SERVER arasındaki
tokalaşmayı sağlayacaktır.
Şimdi IAS üzerinde uzak kullanıcılar için
uygulanacak olan güvenlik kurallarını yaratalım.
Burda öncelikle KARANTİNAYA alınacaklara
uygulanacak işlemleri ortaya koyacağımız kontrol
bölümü.
Bu kısımda öncelikle kontrolden geçeceklerin
grubunu beliriyoruz. Daha önceden oluşturduğumuz
“control” adlı grubu Windows-Group adlı tema ile
ekliyoruz.
İşte burada Add diyoruz ve “MS-Quarantine” adlı
filtrelerimizi ekliyoruz. Bununla beraber
kullanıcıların KARANTİNA’ya alınmaları
gerektiğini IAS üzerinden RADIUS’a bildiriyoruz.
Bu kısımda karantinaya alınacak kullanıcıların
karantinada ne kadar süre bekletileceklerini
ortaya koyuyoruz. Karantinada daha sonradan
uygulacağımız şartlarla uyuşmayan kullanıcılar
burda belirteceğimiz saniye periyodundan sonra
otomatik olarak Disconnect edileceklerdir.
Örneğimizde 10 saniye belirtiyoruz.
Şimdi de Karantinaya aldğımız kullanıcıların
karantina içerisinde kaldıkları süre boyunca
çalıştırabilecekleri program ya da
kullanabilecekleri uygulamalarin portlarını
belirtiyoruz.
Dışarıdan gelecek bağlantıları
filtreleyeceğimizden dolayı Input Filter
seçilmelidir.
Yeni bir filtre oluşturup burada TCP 7250 portunu
açıyoruz aksi halde karantinadaki kullanıcı
hiçbir şekilde şirket içerisinde var
olamayacaktır. Bu noktada istenirse gerektiğini
düşündüğünüz diğer portları da açabilirsiniz.
Fakat unutmamak gerekir ki şartları sağalamayan
bir kullanıcı çok fazla yetkiye sahip
olmamalıdır. Bundan dolayı gereksiz port
açılmamalıdır.
Permit seçeniğiyle yalnızca belirttiğimiz portun
kullanılmasını bunun dışında kalanların ise
kesinlikle reddedilmesini sağladık.
Son durum bu şeklide gözükecektir.
Şimdi de kontrol edilecekler gibi ikinci bir
Policy oluşturuyoruz bunu da diğer bütün
kullanıcıların giriş yapabilmesi için
kullanıyoruz. Yani karantina ile ilgisi olmayan
diğer tüm uzak kullanıcılar..
Day-And-Tme Restiriction ile diğer bütün
kullanıcıların uzak bağlantılarında geçerli
olacak zaman kısıtlamasını ortaya koyuyoruz.
Tüm zamanlara Permit vererek serbest giriş hakkı
veriyoruz.
Policy lerimizin son durumu bu şekilde oluşuyor.
Fakat önemli bir ayrıntı olarak şunu unutmamak
gerekir ki; kontrol edileceklerin kurallarının
ilk sıraya taşınması gerekmekte. Bunun sebebi
ise ilk aşamada kontrol kriterlerimizi
uygulatabilmemizdir. Aksi halde ilk sırada serbest
hakları sağlayan “diğerleri” isimli kural olursa
hiçkimse kontrol edilme aşamasına gelmeden
serbest bir şekilde ağa dahil olacaktır.
Bundan dolayı “kontrol edilecekler” isimli
kuralı ilk sıraya alıyoruz.
Şimdi Routing and Remote Acces Serverin VPN
server olarak yapılandırılması ve RADIUS
Server’i tanıyabilmesi sağlanmalıdır. Bu sayede
authentication VPN server tarafından RADIUS
Server’a iletilecektir.
Routing and Remote Access Server’i VPN için
yapılandırıyoruz.
Dış ağa çıkarken kullandığım interface’i
seçmeliyiz.
DHCP yi yapılandırdığımız için uzaktan
bağlanacak kullanıcılar ilk olarak VPN Server’a
ulaşacaklarından dolayı ilk IP atamaları bu
noktada yapılacaktır.
Bu kısımda VPN SERVER’a bizim bir RADIUS
Server’imizin olduğunu söyleme zamanı geldi.
RADIUS Server olarak IAS üzerinde
yapılandırdığımız RADIUS Serverin IP sini
yaziyoruz ve Shared Secret şifresini de
yazıyoruz. Artık VPN Server ile RADIUS kolaylıkla
anlaşabilecekler ve uzak kullanıcıların kontrol
denetimi VPN serverdan RADIUS servera
aktarılacak.
VPN SERVER konfigurasyonu da bu şekilde
tamamlanıyor.
Şimdi IAS, RADIUS, VPN Server
konfigurasyonlarindan sonra “Quarantine Service”
adli servisi kurallarımızın uygulanabilmesini
sağlamak amacıyla yüklememiz gerekiyor. Bunu da
yine NETWORK SERVICES kismindan yapiyoruz.
Bu servisi kurduktan sonra manual olarak start
etmemiz gerekecek. Bunun için “servisler”
bölümünden servisi açmalıyız.
Önce Automatic yapiyor ardindan Start ediyoruz.
Artık server tarafında yapılması gereken son bir
şey daha kaldı. Bu da Connection ayarlaması
yapmak. Bu kısımda da client tarafında
kullanılmak üzere bir nevi application
yaratacağız. Bu sayede client, uzak bağlantısını
herhangi bir ayar yapmaksızın çalıştırdığında doğrudan şirketin dışa açılan
kısmına yani VPN Server’a bağlanacak ve ardından gerekli authentication
sürecinden sonra karantina işlemleri yapılacak ve gerekli şartlerı yerine
getirdiğinde şirket networkune dahil olacaktır.
Bu connection ne şekilde yaratılıyor bunu da
ikinci bölümde inceleyeceğiz.
Teşekkürler
Baki Onur OKUTUCU
