Şirketlerin ISA yı kullanım amaçları birbirinden farklılık taşımasına rağmen ( güvenlik, raporlama, önbelleğe alma vb. ) hemen hemen her şirkette yer alan standart kısıtlamalarda bulunmaktadır. Bizde konumuz olan Messenger kısıtlamasını Microsoft un bu ürününü kullanarak nasıl yapacağımızı göreceğiz.
Günümüzde gerçek zamanlı yani “real time” olarak da adlandırılan mesajlaşma programları gittikçe popüler bir hal almaktadır. Bunlardan en popüleri ve 2005 yılı sonu itibariyle 33 milyon üyesinin olduğunu açıklayan MSN Messenger programıdır. Gerçek zamanlı mesajlaşma programları kullanıcıların iletişimini hızlandırması ve aynı anda birden çok işlemin yapılmasına ( dosya paylaşımı beyaz tahta uygulaması, ses ve video taşınması vb.) olanak sağladığı için son derece kullanışlı bir araçtır. Ancak şirket bünyesinde bu programlar birer güvenlik açığı, kötü kullanım ile zaman ve iş kayıplarına yol açan bir araç haline gelmektedir. Bu nedenle pek çok firmada anında mesajlaşma programları yasaklanmaktadır. Messenger programı internet kullanımı ile paralellik gösterdiğinden şirket yapılarına göre yasaklanması farklılıklar göstermektedir. Her şirketin bir IT veya güvenlik politikası vardır ve bunun izin verdiği ölçüdeki kısıtlamalar kullanıcılara uygulanarak bu programın yasaklanması sağlanabilmektedir.
Günümüzde İrili ufaklı pek çok şirket internet altyapısında Microsoft’un ürünlerinden biri olan “ Internet Security and Acceleration “ Server ı kullanmaktadır. Şirketlerin ISA yı kullanım amaçları birbirinden farklılık taşımasına rağmen ( güvenlik, raporlama, önbelleğe alma vb. ) hemen hemen her şirkette yer alan standart kısıtlamalarda bulunmaktadır. Bizde konumuz olan Messenger kısıtlamasını Microsoft un bu ürününü kullanarak nasıl yapacağımızı göreceğiz.
Şirket bünyesindeki çalışanların yetkileri çerçevesinde bu programlar internet üzerinden indirilerek bilgisayarlara yüklenebilmektedir. Sistem yöneticisinin işi eğer bunları yasaklamak ise bunun için kullanıcılardan program yükleme haklarını almak ve mevcut programları kaldırmak yerine merkezi internet çıkışı olan ISA üzerinden bu programın çalışmasını engellemek yönetimsel gayret açısından çok daha avantajlıdır .( hele şirket bünyesindeki bilgisayar ve MSN kullanıcılarının sayısının fazla olması durumunda bu işlem çok zor olacaktır ) .
MSN Programını yasaklamadan önce çalışma mantığını öğrenmemiz gerekmektedir. Messenger protokolü karmaşık bir protokoldür, yani birden fazla protokol veya oturum başına birden fazla port kullanabilmektedir, çünkü Messenger aşağıdaki fonksiyonları kullanıcılarına sunmaktadır;
· Instant messaging [ Anında Mesajlaşma ]
· Voice or video over IP (SIP signaling) [ İp üzerinden ses ve görüntü aktarımı ]
· Application sharing (SIP signaling) [ Uygulama paylaşımı ]
· Whiteboard sharing (SIP signaling) [ Beyaz Tahta paylaşımı ]
· File transfer [ Dosya Transferi ]
· Remote assistance (RDP) [ Uzak yardım ]
Bu sebeplerden dolayı Messenger programını sadece tek port kapatarak engellemek mümkün olmamaktadır. Microsoft un resmi sitesinde Messenger için TCP/IP portlarından 1863 nolu portu kullandığı söylense de bu portun kapalı olması durumunda genellikle internetin olduğu her ortamda açık olan 80 nolu port tanda dışarı çıkmayı başarmaktadır. İlk ciddi problem burada ortaya çıkmaktadır, 80 nolu port http tarafından kullanıldığı için bu portu kapatma imkânına sahip değiliz, bu nedenle Messenger programının ISA üzerinden yasaklanması için bir dizi kurallar yazmamız gerekmektedir. ( Not: Bu kurallardan bazıları tek başına Messenger için yeterli olsa da tümünü uygulamak ta fayda vardır. )
Öğrendiğim bu bilgiler ışığında ISA Yönetim Konsolunu açılıp menüden “Firewall Policy” e gelelim. Burada tanımladığınız diğer kurallar veya yeni kurmuş iseniz standart bir adet kural göreceksiniz. Yapmamız gereken MSN yasaklamak için yeni bir kural tanımlamaktır. Önemli bor noktayı atlamamak gerekmektedir, ISA 2004 de tanımlanan kurallar yukarıdan aşağıya doğru baskınlık gösterir, ancak daha önceden tanımladığınız bir kural eğer msn programın çalışması için bir şeklide açık veriyorsa yeni tanımlayacağınız kural işe yaramayacaktır, bu nedenle gerek MSN için gerekse diğer yasaklamalar için tanımlayacağınız kuralların birbiriyle çakışmamasına dikkat edin. Ben yeni kurulmuş bir ISA 2004 üzerinde anlatım yapacağım. ISA Yönetim Konsolunu açılıp menüden “Firewall Policy” ye geldiğimizde aşağıdaki gibi bir ekran karşımıza çıkacaktır.
Şekil – 1
Yapmamız gereken sağ tarafta bulunan menüden “Create New Access Rule “ seçmek ve karşımıza çıkan ekranda kuralımıza bir isim vermek olacaktır.
Şekil - 2
Kuralımıza isim verdikten sonra ileri diyerek devam edebiliriz. Aşağıdaki ekran karşımıza çıkacaktır.
Şekil - 3
Bizim amacımız yasaklama olduğundan kuralımızın eylemi olarak yasaklamayı seçiyoruz ve ileri diyerek devam ediyoruz, ardından karşımız aşağıdaki gibi bir ekran çıkıyor;
Şekil - 4
Burada yasaklamak istediğimiz protokolleri seçmemiz gerekmektedir, standartta gelen tüm protokollerdir ki biz sadece seçtiğimiz bir protokolü yasaklayacağımızdan burada “Selected Protocols” seçiyoruz, bunu seçtikten sonra sağ tarafta canlanan “Add” butonuna tıklıyoruz ve aşağıdaki gibi bir ekran karşımıza çıkıyor;
Şekil - 5
Burada yasaklamak istediğimiz protokolü seçmemiz yeterli olacaktır. Messenger programını yasaklamak istediğimizden dolayı bize sunulan hazır protokollerden “ MSN Messenger “ ı seçip “Add” butonuna tıklıyoruz ve aşağıdaki ekran kaşımıza çıkıyor.
Şekil - 6
İleri butonuna tıklayarak bir sonraki ekrana geçiyoruz.
Şekil - 7
Burada kuralımızın uygulanacağı kaynak sorulmaktadır, yani hangi kaynaktan ( interface veya tanımladığınız bir bilgisayar vb… ) “gelen” istekler için kuralın işleyeceği sorulur, burada MSN kullanıcıları ISA için “Internal” olarak adlandırılırlar ondan kaynak olarak “Add” butonun tıkladıktan sonra karşımıza çıkan ekrandan “ Internal” ı seçiyoruz.
Şekil - 8
Seçtikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
Şekil - 9
Bu ekran karşımıza çıktıktan sonra ileri butonuna tıklayarak bir sonraki ekranı görüyoruz.
Şekil - 10
Burada belirlediğimiz kaynaktan gelen isteklerin hangi hedefe gittiğinde kuralın geçerli olmasını belirleyeceğiz. İnternet için “External” ı seçeceğiz ( Not: bu anlatılanlar standart bir ISA yapısı içindir, Site to Site VPN yapısı veya External dışında ekstra tanımlı bir internet çıkışı bulunuyor ise ISA üzerinde onunda seçili olması gerekmektedir. )
Şekil - 11
Ekledikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
Şekil - 12
Ardından ileri butonuna tıklayarak bir sonraki ekrana geçiyoruz
Şekil - 13
Bu ekranda ise belirlediğimiz kaynaktan yine belirlediğimiz hedefe kimin gönderdiği paketler için bu kuralın çalışacağını belirleyeceğiz. Yani “internal” dan dan gelen bir msn isteğinin hedefi “External” ise ve bizim seçeceğimiz örneğin “Ali” kullanıcısı bu isteği göndermiş ise bu kural geçerli olacak ve kuralın ilk ekranında seçtiğimiz kural eylemini ( yasaklama ) gerçekleştirecektir. Burada istediğiniz bir kullanıcıyı “Add” Butonu yardımıyla seçmeniz mümkün olacaktır. [ Not: eğer tanımladığınız interface ler üzerinde kimlik doğrulamayı zorunlu kılmazsanız kullanıcı tanımlamak kural için geçerli bir filtreleme olmayacaktır, çünkü çoğunluk anonim çıkışlar yapacağından kuralın başarısız olduğunu göreceksiniz, bu seçenek işaretli değil ise, All Users olarak bırakmanızda fayda vardır veya kullanıcı değil de daha önceki kısıtlama menülerinden kaynak kısmında internal yerine makine tanımı yaparak ( ip bazlı ) kısıtlama yapmanız daha sağlıklı olacaktır. ]
Şekil - 14
Gerekli kullanıcı kısıtlamaları da yapıldıktan sonra ileri diyerek son ekranı görebiliriz.
Şekil – 15
Burada “Finish” butonuna tıklayarak kuralı tanımlamış oluruz.
Kuralımız tamamladıktan sonra Yönetim Konsolu üzerinde “Apply” butonuna tıklayarak kuralı uygulamış oluruz ve yine bu konsol yardımıyla kuralımız görmemiz mümkün olacaktır.
Şekil - 16
Bu yapıda MSN çalışmayacaktır, ancak herhangi bir şekilde izinli kurallar yazılmadığı için kuralımız açık vermeyecektir ama 80 nolu port açılırsa MSN 1863 ten yapamadığı çıkışı 80 nolu porttan yapacaktır, işte bu durumda ISA server ın başka bir özelliği ön plana çıkmaktadır, bu özelikle “signature “ olarak isimlendirilir. Herhangi bir program 80 nolu porttan çıkarken kendini tanıtmak zorundadır, bizde kendisini “MSN Messenger” diye tanıtan program olursa çıkış izni vermiyoruz ve böylece 80 porttan MSN çıkışı engellenmiş oluyor. Bunu gerçekleştirmek için tanımlı bir http kuralı üzerinde aşağıdaki işlemleri yapmamız gerekmektedir.
Aşağıdaki şekilde standart bir http kuralı tanımlı ISA ara yüzünü görmekteyiz, hemen hemen her şirkette buna benzer internet için yazılmış bir kural bulunmaktadır, şimdi ISA programında bulunan iki kuraldan biri MSN portların dan dan olan 1863 nolu portu kapatan, bir diğeri ise kullanıcıların internete çıkmalarını sağlayan http kuralıdır. MSN Messenger bu yapıda ilk kuraldan dolayı dışarı çıkamayacaksa da ikinci kuraldaki açık olan 80 nolu portu kullanarak dışarı çıkacaktır, bunu engellemek için http kuralı üzerinde MSN Messenger programı için ISA nın “Signature” özelliğini kullanarak bir yasaklama yapmamız gerekmektedir.
Şekil – 17
Tanımlı olan “İnternet” kuralına sağ tıklıyoruz ve “Configure http” seçeneğini seçiyoruz;
Şekil – 18
Karşımıza aşağıdaki gibi bir ekran çıkar ve buradan “Signature “ Sekmesine tıklamamız gerekmektedir.
Şekil – 19
Burada yeni bir tanımlama yapmak için “Add” butonuna tıklıyoruz,
Şekil – 20
Karşımıza çıkan ekranda , “Name” kısmı kuralımızın ismini tanımlamak için kullandığımız alanı göstermektedir, hemen altında da isteğe bağlı bir açıklama alanı bulunmaktadır, Bunun altında filtreleme alanları bulunmaktadır, bu alanları yasaklamak istediğimiz programın yapısına göre dolduruyoruz, bazı popüler programların imzaları aşağıdaki gibidir.
| Application | Location (Search in) | HTTP header | Signature |
| MSN Messenger | Request headers | User-Agent: | MSN Messenger |
| Windows Messenger | Request headers | User-Agent: | MSMSGS |
| Netscape 7 | Request headers | User-Agent: | Netscape/7 |
| Netscape 6 | Request headers | User-Agent: | Netscape/6 |
| AOL Messenger (and all Gecko browsers) | Request headers | User-Agent: | Gecko/ |
| Yahoo Messenger | Request headers | Host | msg.yahoo.com |
| Kazaa | Request headers | P2P-Agent | Kazaa Kazaaclient: |
| Kazaa | Request headers | User-Agent: | KazaaClient |
| Kazaa | Request headers | X-Kazaa-Network: | KaZaA |
| Gnutella | Request headers | User-Agent: | Gnutella Gnucleus |
| Edonkey | Request headers | User-Agent: | e2dk |
| Internet Explorer 6.0 | Request headers | User-Agent: | MSIE 6.0 |
| Morpheus | Response header | Server | Morpheus |
| Bearshare | Response header | Server | Bearshare |
| BitTorrent | Request headers | User-Agent: | BitTorrent |
| SOAP over HTTP | Request headers Response headers | User-Agent: | SOAPAction |
Tablo – 1
Daha fazla bilgi için:
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx
Yukarıdaki tabloya göre biz MSN Messenger programını yasaklamak istediğimizden ISA ekranında aşağıdaki gibi bir tanımlama yapmalıyız.
Şekil – 21
Not: Buradan istersek Windows Messenger içinde yeni bir imza tanımlayarak yasaklama yapmamız mümkündür. ( Eğer Windows Live Messenger yasaklamak istiyorsanız kullanacağınız imza: Windows Live Messenger olacaktır .)
MSN programını yasaklamak için gereken imza bilgilerini yazdıktan sonra “ok” düğmesine basarak kuralımızın özellikler sayfasına geri dönelim, burada bir daha “ok” düğmesine basarak ISA Yönetim Konsol ekranına dönelim , “Apply” düğmesine basarak yaptığımız değişikliği kayıt edelim. Artık Messenger programı için gereken yasaklamayı yapmış oluyoruz, kullanıcılar bir yandan internete girmelerine rağmen MSN Messenger programını kullanmak istediklerinde programın Log in olmadığını görecekler. Messenger ı program olarak yasaklasak ta Web Messenger servisi sayesinde anında mesajlaşma işlemi gerçekleştirilebilmektedir, tabi ki bunu da ISA üzerinde yasaklamak mümkündür. Bunun için yapılması gerekenler aşağıdaki gibidir;
Öncelikle ISA Yönetim Konsolu üzerinden “Firewall Policy” ye geliyoruz, sağ tarafta bulunan menüden “ToolBox” ı seçiyoruz, değişen menüden “Network Objets” i seçiyoruz ve “New” diyerek yeni bir “URL Set” tanımlıyoruz.
Şekil – 22
URL Set i aşağıdaki şekilde tanımlamamız gerekmektedir.
Şekil – 23
Tanımlamayı yaptıktan sonra “ok” butonuna ve “Apply” butonuna basarak yeni URL Set imizi tanımlamış olduk. Bizim tam olarak yaptığımız ISA ya yazacağımız kural için bir element oluşturmuş olduk, şimdi bir kural oluşturarak Web Messenger ın da açılmamasını engellemiş olacağız. Öncelikle Firewall Policy e gelip yeni bir kural tanımlıyoruz;
Şekil – 24
Kuralımıza isim olarak “Web Messenger” koydum ve ileri diyerek devam ediyorum.
Şekil - 25
Bizim amacımız yasaklama olduğundan kuralımızın eylemi olarak yasaklamayı seçiyoruz ve ileri diyerek devam ediyoruz, ardından karşımız aşağıdaki gibi bir ekran çıkıyor.
Şekil – 26
Yasaklamak istediğimiz belirli bir protokol olduğundan ( http, yani bu siteyi web browser üzerinden kimsenin ziyaret etmesini istemiyoruz ) http protokolünü seçiyoruz. ( tüm protokolleri de seçmemiz sorun olmaz çünkü kuralın hedefinde sadece tanımladığımız URL set olacağı için o yöndeki tüm trafik yasaklanır ancak bize http yeterli olmaktadır.)
Şekil – 27
İleri butonuna tıklayarak devam ediyoruz,
Şekil – 28
Burada kuralımızın uygulanacağı kaynak sorulmaktadır, kaynak olarak “Add” butonuna tıkladıktan sonra karşımıza çıkan ekrandan “ İnternal” ı seçiyoruz.
Şekil - 29
Seçtikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
Şekil - 30
Bu ekran karşımıza çıktıktan sonra ileri butonuna tıklayarak bir sonraki ekranı görüyoruz.
Şekil - 31
Burada belirlediğimiz kaynaktan gelen isteklerin hangi hedefe gittiğinde kuralın geçerli olmasını belirleyeceğiz. Kuralımız http isteklerini yasaklamaktadır, ancak bu kuralın internet kullanıcılarını etkilememsi için hedefi Web Messenger hizmeti veren URL olan istekler için geçerli olmasını sağlamalıyız bu nedenle hedefe tanımladığımız URL yi eklememiz gerekmektedir.
Şekil – 32
Ekledikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
Şekil – 33
İleri diyerek bir sonraki pencereye geçiyoruz;
Şekil - 34
Bu ekranda ise belirlediğimiz kaynaktan yine belirlediğimiz hedefe kimin gönderdiği paketler için bu kuralın çalışacağını belirleyeceğiz. Yani internal dan dan gelen ve http://webmessenger.msn.com/ adresine giden bir isteği yasaklanıp yasaklanmayacağını kullanıcı bazında tanımlamamıza yardım eder. Burada istediğiniz bir kullanıcıyı “Add” Butonu yardımıyla seçmeniz mümkün olacaktır. Kullanıcı seçimi yapıldıkta sonra ileri diyerek bir sonraki ekrana geçiyoruz,
Şekil – 35
“Finish” diyerek kuralı tanımlıyoruz. Artık ISA Yönetim Konsolu ekranına baktığımızda aşağıdaki gibi tanımlı kurallarımız göreceğiz.
Şekil – 36
Bu kurallar sayesinde kullanıcıların temel internet ihtiyacı hiçbir kısıtlamaya uğramadan Messenger programı ve servisi Isa üzerinden yasaklanmış olmaktadır. Tabiî ki her geçen gün ISA yı aşıp anında mesajlaşma programlarını kullanmak için yeni yöntemler geliştirilmektedir, bunlar içinde kendimizi güncel tutmalıyız, örneğin yapımızda Web Messenger ISA aracılığı ile yasaklansa da http://www.iloveim.com/ internet adresinden kullanıcı adı ve şifre yardımıyla Messenger servisi yine çalışmaktadır, bunların takibi ve yasaklanması da bize kalmış artık. Makalenin işinize yarayacağı umudu ile…
Kaynak: 2824: Implementing Microsoft Internet Security and Acceleration Server 2004