Bir kuruluş ne kadar küçük olursa olsun o kuruluş için gerek kendi içersinde gerekse Dünya üzerinde bulunan diğer kuruluşlar ile iletişimde bulunması olmazsa olmaz kurallardan bir tanesidir. Günümüzde en yaygın iletişim şekli ise e-posta ile sağlanan iletişim şeklidir. Dünya üzerinde kurumların en çok kullandığı yazılım ise, gerek e-posta larının güvenliği gerekse kullanım kolaylığı açısından Microsoft’un yazılımı olan Exchange Server’dır. Standart iletişim protokolünü destekleyen client makinelerimizden, internete de dolaşmamıza yardımcı olan web browserlarımızdan ve hatta PDA desteği olan cep telefonlarımızdan rahatlıkla Exchange Serverumuzla iletişimde bulunabilir, e-postalarımıza, takvimimize ve bizlere sağlamış olduğu bir çok avantajlarından yararlanabiliriz. Exchange serverumuza bağlana bilmek için kullanılan en bilindik yöntemler sırasıyla;
Outlook Web Acces (OWA) : Exchange Server’ımız ilk kurulduğu zaman, kendi lokalimizde herhangi bir yapılandırmamıza gerek duymaksızın, firewall ayarlarımız yapılandırıldığı zaman ise dünyanın herhangi bir ucundan Web de gezinmemizi sağlayan http Protokolünü kullanarak Web Browserlarımızdan bağlanabiliriz.
Outlook Mobile Acces (OMA) : PDA özelliğine sahip akıllı cep telefonlarımızın yardımıyla, kullanmış olduğumuz OWA ekranının küçültülmüş ve sadeleştirilmiş halidir.
Microsoft Office Outlook : Microsoft Office yazılım paketimizi kurduğumuz zaman içerisinde bulunan e-posta okuma-gönderme, takvim, kişiler, görevlerimizi, ajandamızı vb. bir çok özelliği içerisinde barındıran bir Microsoft ürünüdür. Office ürününe sahip değilsek eğer kullanabileceğimiz daha az fonksiyona sahip olan Windows Outlook Express’ dir ve standart olarak Windows işletim sistemimizi yapılandırdığımız zaman kurulu olarak gelmektedir.
Şirket localimizde bulunan Client makinelerimiz, direk olarak Exchange Sunucumuz ile iletişimde buluna bilecekleri için Microsoft Office Outlook ve Windows Outlook Express’ mizi onlar için yapılandırmamız çok basitdir, hızlıdır ve problemsizdir. Peki ama şirket dışında bulunan clientlerimiz veya gezici olan mobil kullanıcılarımızın yaplandırması nasıl olacak? OWA sorumuza cevap olsa da bir çok zaman kullanıcılarımız için problem olmaktadır. İkinci alternatif olarak RPC (uzakdan yordam çağrısı) aklımıza gelsede bu özellik açacağı port sayısının fazla olması ve yapılandırılması biraz karışık olması sebebiyle bir güvenlik açığı oluşturmaktadır.
Isa Serverimiz arkasında bulunan Exchange Servurumuza şirket networkünde olmayan veya gezici kullanıcılarımız için yapılandıracak olduğumuz VPN yapılandırılması için yazımıza devam ediyorum..
Şirket networküne bağlanacak olan kullanıcımızın özelliklerine girerek Dialin tabı altında Remote Acces Permission (Dial-in or VPN) bölümü altında Allow Access (uzak erişime izin ver bölümünü aktif duruma getiriyoruz.
Şirket Networkümüze dahil edecek olduğumuz kullanıcı veya kullanıcılarımızı bir gruba (Ben VPN isiminde bir grup oluşturdum) ekliyoruz.. Bunun nedeni ISA server üzerinden VPN erişimlerine izin sağlarken kullanıcı bazlı izin veremiyor olmamızdır.
Grubumuzu oluşturdukdan sonra DC+Exchange Serverimizda yapacak olduğumuz işlemleri tamamlamış bulunuyoruz.
ISA server üzerinde DHCP kuruyoruz. VPN ile bağlanacak olan kullanıcılarımız DHCP üzerinde oluşturmuş olduğumuz havuzdan (scope) Ip almalarını sağlayacağız.
ISA Server yönetim konsolumuzun içerisinde Virtual Private Network (VPN) bölümünden VPN Client Acces enable yapıyoruz.
VPN Erişimini sağladıktan sonra VPN Clientlerimizin erişimleri için ayarlarımızı yapılandırmak üzere Configure VPN Client Acces bölümünü açıyoruz. (VPN Erişimini sağladıkdan sonra Resim 5 ve Resim 6 daki farkı görebiliyorsunuz)
Eş zamanda bağlanacak olan en fazla VPN client sayımızı belirliyoruz. Bu sayıyı ortalama olarak mobile kullanıcılarımız ve şirket networkünde bulunmayan ama Exchange sunucumuz ile iletişimde bulunması gereken kullanıcılarımızın sayısını göz önünde bulundurarak yapılandırabiliriz.
Resim 3’ de görülen, Domain Controller makinemiz üzerinde oluşturmuş olduğumuz VPN grubumuzu buraya ekliyoruz. Sadece kullanıcı ekleme imkanımız olmadığını yazımızın başında belirtmiştik..
VPn clientlerimizin PPTP protokolü ile bağlanmalarını istiyoruz. Güveniğimizi arttırmak için isteğe bağlı olarak L2TP/IPSec protokolünü seçebiliriz. Yapacağımız bu seçim tamamen güvenlik stratejilerimize ve sahip olduğunuz internet hızına paralel olarak etkilenecektir. Konunun daha iyi anlaşılması için bizlere sistem eğitimimiz sırasında verilen bir örneği sizler ile paylaşmak istiyorum. Affika’da vahşi hayvanlarla dolu bir ormanın içerisndeyiz ve bu hayvanlardan korunmak için demir parmaklıklarla kaplı bir kafesin içerisindeyiz. Bu kafes bizi aslandan, kaplandan korusa bile kafesin içerisine girip bizleri ziyerat edecek olan bir yılana karşı korumasızdır. L2TP/IPSec protokolünü seçerek güvenlğimizi arttırıyoruz ve içeriye girmesi muhtemel yılanı (saldırıları) engellemiş oluyoruz. Benim en azından şimdilik yılan korkum olmadığı için PPTP protokolünü seçip işlemimize devam ediyorum. ISA Serverum Domainimin üyesi olduğu için User Mapping Sekmesini yapılandırma ihtiyacı duymuyorum.
Remote Acces Konfigürasyonumuzu yapılandırmak üzere İsa Server Yönetim panelimizin içerisinden VPN bölümünde Remote Acces Configuration bölümüne giriyoruz.
VPN Clientlerimizin dışarıdan gelecekleri için External seçiyoruz.
Addres Assigment sekmesin de ise VPN Clientlerimizin DHCP üzerinden IP almaları gerektiğini belirliyoruz. Dilersek Sabit bir ip aralığıda verebiliriz.
Kimlik doğrulama işlemi için MS-CHAPv2 protokolünü seçiyorum
ISA server’ı yöneten bir kişinin bilmesi gereken en önemli hususlardan bir tanesi, kural tanımıdır. ISA Server üzerinde yapılan hemen hemen her işlemin muhakkak bir kural (Rule) tanımlaması gerekmektedir. VPN erişimlerine izin verdik ve bu erişimlerin neler yapabileceğine dair kural yukarıda ki resimde mevcutdur.
· Kuralımızın ismi VPN (İsteğe bağlı)
· Rule Action (Allow (izin kuralı))
· Protokols (All Outbound Traffic (Exchange sunucumuzla iletişimde Gerekli olan protokolleride tanımlayabiliriz))
· From (Nereden) Vpn Client’den
· To (Nereye) Dc-srv.ulusal.local (mail sunucumuza)
· Kimler için izin verildi.VPN grubumuzu buraya tanımlıyoruz...
Basitce kuralımızı tanımladıkdan sonra Isa server üzerinde yapacaklarımızı bitirmiş oluyoruz..
Yapmış olduğumuz değişiklikleri uyguluyoruz ve bu işlemden sonra ISA serverimiz gerekli kullanıcıları, izin boyutlarında şirket networkümüze dahil edecek durumdadır.
Şirket networkümüz dışarısında bulunan VPN clientimiza, VPN bağlantısını yapılandırmak üzere, Ağ Bağlantılarından Yeni bağlantı oluşturu seçiyoruz ve sırasıyla aşağıda ki adımları takip ediyoruz.
Yeni bir bağlantı oluşturma sihirbazı karşılıyor bizleri. İleri diyoruz.. İkinci seçenek olan Ağa Çalışma yerimden bağlan (Evden, işyerinden ya da başka bir yerden çalışmak için bir iş ağına çevirmeli yada VPN olarak bağlanın bölümünü seçiyoruz. İleri.. Sanal Özel Ağ bağlantısı. (İnternet üzerinden bir sanal özel ağ (VPN) bağlantısı kullanarak ağa bağlanabilirsiniz bölümünü seçiyoruz.İleri. Bağlantı ADI bölümünde şirket adını veya kendi tanımımıza uygun olan bir isimi yazarak ilerliyoruz. VPn Sunucu seçimi bölümünde Şirketimizin sahip olmuş olduğu (Bağlanacak olduğumuz server’ın) DIŞ IP’ sini yazıyoruz. Ve Finish diyerek bağlantı shirbazımızı bitiriyoruz. </LI>
Ağ bağlantıları bölümünde oluşan yeni bağlantımız ulusal.local bağlantımızı açıp, şirket networküne bağlanabilmek için gerekli olan kullanıcı adımızı ve şifremizi giriyoruz.
Sol tarafta ki resim de makinemizin sahip olmuş olduğu Yerel ağ bağlantısı.
Sağ tarafta ki resim de ise şirket networkümüze bağlanan sanal İnterfacmizin sahip olmuş olduğu İP leri görebiliyoruz.
Yukarıda ki resim de ise VPN bağlantısından önce ve VPN bağlantısından sonra ki ping komutu ile kurulmaya çalışılan iletişim bilgilerini görebiliyorsunuz... Sanal özel Ağ (VPN ) bağlantısı ile bağlantıyı sağladıkdan sonra makinemiz mail sunucumuz ile iletişimde bulunabilmektedir.
Gerekli olan alt yapıyı hazırladıkdan sonra Client Makinemizin Denetim Masasının içine girip, Postayı seçiyoruz.
E-posta bölümü altında Yeni bir e-posta hesabı ekleyi seçip ilerliyoruz Microsoft Exchange sunucusuna bağlan bölümünü işaretleyip ilerliyoruz </LI>
Microsoft Exchange sunucumuzun ismini veya sahip olmuş olduğu IP yazıp, Exchange hesabı aktif olmuş olan kullanıcımızın adını yazdıkdan sonra, Adı denetle butonuna basarak, kullanıcı adımızı denetliyoruz ve başarılı bir şekilde işlemimizi bitiriyoruz.
Yapmış olduğumuz işlemi kontrol etmek için Şirket dışında bulunan Client makinemizden, Şirket networkunde bulunan bir kullanıcımıza mail gönderiyoruz.
Yukarıda ki resimde görüldüğü üzere mail alış verişi başarılı bir şekilde gerçekleşmektedir.
Fatih KARAALİOĞLU