Günümüzde en çok karşılaştığımız isteklerin başında İnternet erişiminin kontrol edilmesi gelmektedir . Yani şirket içerisinde departman bazında veya kullanıcı bazında yetkilendirme yapmak en temel ihtiyaçların arasındadır. Bunu yapmanın pek çok yolu elimizdeki kaynak ve imkânlarla sınırlıdır. Biz bu makalemizde GPO üzerinden IPSEC policy ile nasıl yapılacağını inceleyeceğiz. Makalemize başlamadan önce IPSEC hakkında kısa bilgi vermekte fayda var; IPSEC IETF (internet engineering task force) tarafından kabul edilen bir protokoldür şifre doğrulama ve IP şifreleme özellikleri vardır. VPN çözümleri ile tam uyumludur.2 farkı moda çalışır bunlar “Tunneling mode” ve “İletim Mode” şeklindedir.(IPSEC AH) ve (IPSEC ESP) İpsec AH methodu Ip header ve payload arasına yerleşmektedir, İpsec ESP de ise bir önceki methoda ek olarak “MAC” adresleri paketin sonuna eklenir. IPSEC hakkında detaylı bilgi için;
http://technet2.microsoft.com/windowsserver/en/library/2a2f7792-5a4a-438b-8711-23694ae56e3a1033.mspx?mfr=true
Öncelikle kuralın uygulanması için gerekli adımları hazırlıyoruz yani hangi bilgisayar hangi kullanıcılar etkilenecek ise bunları bir OU altına toplamakla ve policy atamakla başlamalıyız bunların olduğunu varsayarak makalemize devam ediyoruz. İşlem yapacağımız Policy üzerinde sırasıyla>IPSEC policy sağ click>Create IPSEC policy
Sekil -1 HTTP,HTTPS protokollerini etkileyecek kuralımızı hazırlamaya başlıyoruz
Sekil -2 de Kimlik Doğrulama Turu Gösterilmektedir.
Biz Kimlik Doğrulama olarak KERBEROS kullanacağız, eğer sistemimizde “CA” kurulu ise sertifika methodu kullanabilir ve bunu preshared key ile de güçlendirebiliriz.
Sekil -3 de yeni oluşturulacak IPSEC RULE
Yeni bir Rule oluşturmak için “ADD” butonuna basıyor ve next diyoruz
Sekil -4 de kuralın TUNEL ilişkisi olmadığını belirtmekteyiz.
Sekil -5 de hangi networkları etkileyeceği belirtilmektedir.
Sekil -6 da yeni oluşturacağımız IP FILTER
Sekil -7
Sekil -8 de Kaynak Adres secimi belirtilmektedir
Sekil -9 da Kuralın işleyeceği Hedef Adres belirtilmektedir
Sekil -10 da Kullanılacak protokol belirtilmektedir
Bizim uygulamamız HTTP,HTTPS protokolleri için olacağından TCP seçerek devam ediyoruz
Sekil -11 de PORT belirtilmektedir
Yine uygulamamız gereği HTTP için 80 portu belirtilmektedir next ve ok dedikten sonra HTTPS için 5-11 adımları 443 portu için yinelemeliyiz!
Sekil -12 de HTTP gibi HTTPS filter gözükmektedir
Policy’miz ve FILTER’ımız tamam şimdi ise bunları etkşleyecek action’ı belirlememiz lazım yani Permit(izin mi)Yoksa Block(engellememi)bizim amacımız engellemek olduğu için Action olarak block tanımlamamız lazım.
Sekil -14 de FILTERIMIZI block Action atıyoruz
Sekil 16
Ve son olarak oluşturduğumuz IPSEC policy üzerinde sağ click assign diyoruz ve sunucu tarafından gpupdate /force ile Policy’mizi tetikliyor client tarafında sistemi rest art ediyor ve sonucu beraber inceliyoruz.
Test için terminal makinelerimizin herhangi birinden login oluyoruz ben “Exchange 2007 OU su altında baydugan kullanıcım ilgili IPSEC policy den etkilenmesini istediğim kullanıcıdır.
Sonuç olarak Policy’imizin çalıştığı görülmektedir, Küçük ve ORTA ölçekli ve Yönetimden Para Koparamayan ) biz IT ciler için kimi zaman yararlı olabileceğini düşündüğüm bu çalışmayı istifadelerinize sunuyorum