Makalemin ilk bölümüne ek olarak devam ettiğim bu yazımda erişim kuralı elementlerinden Kullanıcıları anlatmaya çalışacağım.
ISA üzerinde tanımladığınız kurallarda kullanıcı genelde yabana atılır , sebebi ise protokoller ile ip bazlı kısıtlamalar yapmak çok daha kolaydır , ISA Server da özellikle büyük şirketlerde tek tek kullanıcı açmanın vermiş olduğu iş yükü de bunu destekleyen etkenlerdendir.Ancak sağlıklı bir ISA üzerinde mutlaka kullanıcı bazlı kısıtlamalar veya izinler verilmesi gerekmektedir. Örneğin bir izin kuralı yazıyorsunuz , ancak bu kuralda belirli kişilerin veya belirli bir grubun yararlanmasını istiyorsunuz , öncelikle siz bu kullanıcıların ip adreslerinden makine tanımlamalarını yapar ve bu makine set inden external yönüne doğru bir kural yazarak bu isteği yerine getirmiş olursunuz , fakat bu kullanıcılar geziyor ise bu durumda işiniz bir hayli zor , sadece bu da değil eğer kullanıcı bazlı kısıtlamalar yapmıyorsanız aldığınız ip bazlı raporlarda sizi tatmin etmeyecektir. Bu nedenle ISA server da kural elementleri arasında önemli bir yere sahip olan kullanıcı tanımlamaya başlayalım.
Öncelikle ISA yönetim konsolunda Firewall Policy sekmesine gelelim ve sağ tarafta bulunan menüden Toolbox – User kısmına tıklayalım.
Şekil -1
Burada ISA tarafından oluşturulmuş standart user şablonlarını görüyoruz. Bunlar sırasıyla
All Authenticated Users
All Users
System and Network Service
Bunlardan ilki kimlik doğrulaması yapan her kullanıcıyı ifade etmekte ve tanımladığınız bir kuraldan kimlik doğrulaması yapmış user ların etkilenmesini istemeniz halinde kuralda user kısmında belirtmeniz gereken user grubudur..
All Users ise belirlediğiniz kuraldan user bazlı olarak herkesin etkilenmesini istemeniz durumunda belirleyeceğiniz user grubudur.
System and Network Service ise ISA server üzerinde çalışan local veya network servisi kullanıcısını belirtmektedir. Yani bir user a izin vermezken bir servisi çalıştıran system user ına izin vermek için kullanılır.
Şekil -2
Standart User ları gördükten sonra ihtiyaçlarımız doğrultusunda user oluşturmaya başlayalım
ISA yönetim konsolunda Firewall Policy sekmesine gelelim ve sağ tarafta bulunan menüden Toolbox – User kısmına tıklayalım. Buradan “New” diyerek yeni bir user tanımlamaya başlıyoruz
Şekil -3
Buraya yazılacak isim bizim kolay tanımlama yapabilmemiz için ad üzerindeki user ın adı soyadı ile aynı olmalıdır , ama siz isterseniz takma isimlerde kullanabilirsiniz.
Şekil -4
İsim tanımlaması yaptıktan sonra bir sonraki pencereye geçiyoruz ve burada “add” butonunu kullanarak nereden user ekleyeceğimiz seçiyoruz ( Microsoft firması ISA server ın domain e üye yapılmasının bir güvenlik açığı doğuracağını belirtmekte ve mümkünse arada bulunan bir radius server ile bu kullanıcı bilgilerini çekmemizi istemektedir , bu denkli güvenli bir yapı kuracaksanız Windows 2003 üserinde kuracağınız IAS a ISA server ı client olarak tanımlamanız yeterli olacaktır , tabi ki ISA içinde RADIUS ayarları yapılmalıdır.)
Biz ISA server ı domain ortamında kullandığımız için “add” butonuna bastığımızda karşımıza çıkan menüden “Windows Users and Groups” u seçiyoruz ve aşağıdaki gibi karşımıza çıkan ekranda istediğimiz user ı ekliyoruz.
Şekil -5
Şekil -6
Kullanıcıyı ekledikten sonra “next” diyerek ilerliyoruz.
Şekil -7
Burada hazırladığımız user için özet bir bilgi vermektedir , “Finish” diyerek kullanıcı tanımlamayı bitiriyoruz.
Kullanıcı tanımladıktan sonra artık ISA yönetim panelinde aşağıdaki şekilde tanımladığımız kullanıcıyı görebiliyoruz.
Şekil -8
Bu tanımlama bittikten sonra şirketinizdeki kullanıcıları aynı şekilde buraya tanımlayabilirsiniz , ancak tek tek user tanımlamak yerine AD üzerinde gruplama yapmak ve izin / yasak kuralını grup bazlı oluşturmak çok daha verimli olacaktır . Bu amaçla oluşturulmuş gruplarınızı aynı şekilde tanımlayabiliriz. Yapılacak eylemlerde sadece User yerine grup çağırmanız gerekecektir. Ben bu amaçla birkaç örnek grup tanımlaması yaptım.
Şekil -9
Grup tanımlamaları da yapıldıktan sonra eğer tanımlamalarınız bitti ise bu kullanıcıları veya grupları artı kural için kullanabiliriz.
Firewall Policy sekmesinde sağ menüden Tasks - Create Array Access Rule “ a tıklayarak yeni bir kural oluşturuyorum ,
Şekil -10
Şekil -11
Kurala bir isim vererek ilerliyoruz.
Şekil -12
Bu bir izin kuralı olacaktır . Amacım şirketimde çalışan ve bir isp üzerinde bulunan maillerini okumak isteyen kullanıcılara izin vermek. Bunları AD üzerindeki gruplarını kural yazmadan önce element olarak ISA ya tanımlamıştım.
Şekil -13
Benim oluşturduğum örnek kurala göre bu çalışanlar pop3 ve smtp servislerini kullanabilecekler. Bu protokolleri seçtikten sonra ileri diyerek bir sonraki ekrana geçiyorum.
Şekil -14
POP3 ve SMTP isteğinin nereden geldiğini belirtiyorum ve bir sonraki ekrana geçiyorum.
Şekil -15
Bu gelen isteklerin hedefini belirtiyorum ( internet ) ve ilerliyorum
Şekil -16
Ve bizim için en önemli noktaya geliyoruz , bu kuraldan kimler etkilensin , evet internal seçeneği çok büyük bir kapsamdır yani şirket içerisinde 200 tane makine varsa hepsi internal tanımına uyaran biz bunlardan sadece Mail Kullanıcılarının etkilenmesini istiyoruz , bu nedenle bu kısımda varsayılan olarak gelen “All Users” silerek yerine “add” butonunu kullanarak tanımladığımız grubu ekliyoruz .
Şekil -17
Grup ekleme işlemi bittikten sonra “next” diyerek ilerliyoruz
Şekil -18
Karşımıza çıkan bu ekranda “finish” diyerek kuralımız bitiriyoruz.
Artık user bazlı bir kural hazırlamış bulunuyoruz , ancak işimiz burada bitmiyor bu kadar user tanımlamamıza ve user bazlı kural oluşturmamıza rağmen isa server hala anonim çıkışlara açık olduğundan bu kural işimiz görmeyecektir bu nedenle makalemin ikinci bölümünde de isa server ı user bazlı kural yazmak için hazır hale nasıl getirilir konusuna değineceğim.
Bir sonraki makalemde diğer erişim kuralı elementlerini tanıtmaya devam edeceğim.
Kaynak : 2824: Implementing Microsoft Internet Security and Acceleration Server 2004