Şirket Bünyelerinde çalışan IT departmanlarının görevlerinden biri kullanıcılarına internet hizmetini sağlamaktır. Bu görevi sağlarken güvenlik , ölçeklenebilirlik ve monitör etme çok önemlidir , bu sayede şirket network üne dışarıdan gelebilecek atakları engellemek mümkün olacaktır. Bu amaçla kullanabileceğimiz pek çok güvenlik duvarı yazılımı veya donamında ortak bir kullanım vardır ; bunlar kurallardır.
Her yazılım ve donanımda gelen paketler için izin veya yasak kuralları vardır . Ancak bu kurallar bu yazılım veya donanım ile gelen standart kural elementleri kullanmaktadır . Yeni oluşturulan elementler ise her zaman biz yöneticiler için esneklik sağlar. Bu bakımdan yazılımsal güvenlik duvarları bu konuda bize daha cazip gelir . Bende bu makalemde şirket bünyelerinde kullandığınız ISA server üzerinden geçen tüm trafiğe hakim olmak ve ISA server ın özelliklerinden tam olarak yararlanmak için ISA server ın erişim kuralı elementlerini anlatmaya çalışacağım.
ISA server üzerinde tanımladığınız erişim kuralları elementlere çok bağlıdır. ISA server kurulumu ile beraber kurallar için tanımlanan standart elementleri kullanabileceğiniz gibi ekstra elementte tanımlayabilirsiniz. Element tanımın biraz açmak gerekirse ;
Örneğin bir izin kuralı yazıyorsunuz , kuralın davranışı bellidir , yani izin verecek bundan sonra bu kural için gelen isteklerin kaynağı sorulur , standart olarak internal , external , local host gibi tanımlı network ler ( aslında bunların her biri bir elementtir ) den birini seçeriz , aynı şekilde hedef içinde bir seçim yaparız , burada bize ayrıca protokol sorulur , yani bu kural üzerinden hangi protokoller çalışsın , bunlarda ISA üzerinde tanımlanmıştır , örneğin SMTP , HTTP ,DNS gibi , bunlarda birer elementtir. Yani özetlemek gerekirse ISA üzerinde kural yazmak için kuralda kullandığımız bileşenlere biz element diyebiliriz. Bahsettiğim gibi ISA kurulumu ile pek çok standart element gelmektedir , bunlar aşağıdaki gibidir ;
1. Protokoller
2. Kullanıcılar
3. İçerik kontrolü
4. Zamanlama
5. Domain veya url filtrelemesi
Bu elementlerden her biri isteklerimiz doğrultusunda değiştirilebildiği gibi yenileri de eklenebilmektedir. Şimdi sırayla bu elementleri inceleyelim ;
ISA SERVER ÜZERİNDEKİ ERİŞİM KURALI ELEMENTLERİNİN KULLANILMASI
1. PROTOKOLLER
ISA server üzerinde belirlediğiniz kurallarda protokol önemli bir yer arz eder. Bu kural yasak kura ise belirttiğiniz protokol için gelen trafik isteği reddelir . Kurallarda protokol tanımlayarak ISA üzerinden geçen trafik için protokol bazlı kısıtlama getirebiliriz. ISA server kurulumu ile ihtiyacımız olan pek çok protokol hazır olarak gelmektedir ;
Şekil -1
Ancak bu protokoller dışında yeni protokoller açmamızda mümkündür . Bunun için ISA server yönetim konsolunda Firewall Policy kısmına gelip sağ tarafta bulunan Toolbox sekmesine tıklıyoruz , ardından protokol kısmında new diyerek yeni bir protokol oluşturmaya başlıyoruz ;
Şekil -2
Ben şirket bünyemde wildfire programını kullanmak ve internetten gelen isteklere de cevap vermek istiyorum , ancak ISA server da bu program ile ilgili standart tanımlı bir protokol olmadığından bunu elle oluşturuyorum . Kuralıma isim olarak wildfire yazıyorum ve ileri diyerek devam ediyorum.
Şekil -3
Bir sonraki ekranda tanımlamak istediğimiz kural için bir port numarası ve bu port numarası için gerçekleşecek filtrenin içeriye doğrumu yoksa dışarıya doğrumu olduğunu seçiyoruz ( ISA server da smtp protokolü 25 nolu portu dışarıya çıkarır ama smtp server protokolü 25 nolu portu içeriye doğru açar , bu hazır tanımlanmış olan protokollerdeki inbound ve outbound ayarlarındandır. Protokolü biz oluşturacağımız için bunları da ayarlamamız gerekmektedir. Bir başka deyişle ADSL modemlerde bilinen NAT , ama aslında port yönlendirmesidir. Eğer burada bir servis hizmet veriyor ve dışarıdan gelen kullanıcılar bu porttan verilen hizmete ulaşmak istiyorlarsa “inbound” seçilmelidir )
Şekil -4
Bu protokol için bir port numarası belirlemek üzere new düğmesine tıklıyoruz ve karşımıza çıkan ekranda protokol tipini ( TCP , UDP ) , portları ve yön konusunda karar verdikten sonra ok diyerek tekrar sihirbaz ekranına dönüyoruz. İstersek burada new diyerek birden çok port numarası veya protokol tipi belirleyebiliriz . Örneğin ben wildfire için 5222 ile 5223 nolu portları içeriye doğru yönlendirdim , birde dosya paylaşımı için ( yine wildfire programında ) 7777 nolu portu açmak istiyorum ve onun içinde aynı işlemi yaptıktan sonra aşağıdaki gibi bir ekran karşıma çıkıyor.
Şekil -5
Gerekli portları tanımladıktan sonra ileri diyerek devam ediyorum ve karşıma aşağıdaki gibi bir ekran çıkıyor ;
Şekil – 6
Burada tanımladığımız protokol ikinci bir bağlantı yapabiliriz. Yani eğer protokolümüz ikinci bir bağlantıya ihtiyaç duyuyorsa buraya bu tanımlamaları yapabiliriz. Ben “no” diyerek ilerliyorum ve karşıma aşağıdaki ekran geliyor
Şekil – 7
Bu ekran da ise oluşturduğumuz kural hakkında bir özet bilgisi veriliyor ve “finish” düğmesine tıklayarak sihirbazdan çıkıyoruz. Artık ISA üzerinde standart tanımlanmamış ancak ihtiyaç duyduğumuz bir protokol eklemiş bulunuyoruz ve bu element sayesinde rahatlıkla wildfire server için bir publish kuralı yazmamız mümkün.
Bir sonraki makalemde diğer erişim kuralı elementlerini tanıtmaya devam edeceğim.
Kaynak : 2824: Implementing Microsoft Internet Security and Acceleration Server 2004