Yönetimini üstlenmiş olduğumuz yapıda birden fazla Remote Acces Server (Windows VPN Server, ISA VPN Server, Dial-in Server veya Acces Point) varsa eğer bunların kontrol edilmesi her geçen gün zorlaşacaktır. Böyle bir yapıda ortamımıza Internet Authentication Server (Radius) Serverimizi dahil ederek, mevcut bulunan Remote Acces Serverlarımız üzerinde bulunan tanımlı policyleri Radius serverimiz üzerine göndererek, gerekli Authentication işleminin Radius server tarafından yapılmasını sağlayabiliyoruz. Her bir Remote Acces Serverimiz üzerinde ayrı ayrı Policyler oluşturmaktansa tek bir server üzerinden gerekli policyleri oluşturup, gerekli güvenlik yapılandırmasını tek bir makine üzerinden ayarlayıp yönetim işlemimizi hafifletiyoruz. Kontrolün daha güvenli olması sağlıyoruz.
Radius Serverimizin bir başka kullanım amacı ise eğer yapımızda tek bir Remote Acces Server varsa bunun üzerinde bulunan Authentication işlemini Radius serverimizi devredip, kullanıcı login olayları ile Remote Acces serverimizi meşgul etmemiş oluyoruz.
Yapacak olduğumuz projemizde Remote acces Server görevini üstlenecek olan ISA Serverimizi aynı zamanda Radius Client yapıyoruz ve authentication işleminin RADİUS server tarafından yapılmasını sağlıyoruz ve ISA serverimiz üzerinde oluşan yükü biraz olsun hafifletmiş oluyoruz.
Radius Serverimizi kurmak için, ControlPaneli \ Add or Remove Programs \ Add or Remove Windows Component \ Networking Services \ İnternet Authentication Services yolunu takip ederek kurulumumuzu başlatıyoruz.
Kurulumumuz bittikten sonra Radius Server’imizin üzerinde İnternet Authentication Servisimizi açıp en önemli işlemlerden bir tanesi olan Radius Serverimizi Active Directory kaydını yaptırmaktır. Bu kayıt işleminin amacı Active Directory Domain içerisinde bulunan kullanıcılarımızın authenticate (doğru kullanıcı, izin verilmiş kullanıcı) olmasını sağlamaktır.
Radius Serverimiz üzerinde Internet Authentication Servisimizi açıp Radius Clientlerimizi (ISA Serverimizi) yapılandıracağız. Burada yapılandıracak olduğumuz Client makine, VPN Clientlerimizi ilk karşılayacak olan ISA Serverimizdir..
Yeni bir Radius Client oluştur bölümünde İSA Serverimizin IP adresini yazıyoruz ve ilerliyoruz.
ISA Serverimiz ile Radius Serverimizin birbiriyle güvenli bir şekilde iletişim kurmaları için bir parola belirliyoruz. Aynı parolayı Radius Client larımız (ISA Serverimiz) üzerinde Radius Serveri tanımlarken kullanacağız..
ISA Serverimizi Radius Client olarak tanımladıktan sonra REMOTE ACCES Policies bölümü altında yeni bir policy tanımlıyoruz veya default olarak var olan policyler üzerinde gerekli düzenlemeleri yapıyoruz veya isteğe bağlı olarak silebiliyoruz. Yeni bir Policy tanımlamak üzere New \ New Remote Acces Policy sekmesini çalıştırıyoruz.
Policy oluşturma sihirbazımızda, oluşturacağımız policyi niteleyen bir isim veriyoruz.
Acces Method :Erişim metodu olarak VPN bölümünü seçip ilerliyoruz. Bu seçmiş olduğumuz bütün VPN erişimleri için kullanılacak olan policydir.
User or Group Acces : VPN erişimlerimizi kullanıcı veya grup bazlı olarak ayarlayabiliriz. Tavsiye edilen en iyi yöntem grup bazlı olanıdır. Örnek olarak Domain Controller üzerinde VPN bağlantısına izin verecek olduğumuz kişileri VPN isimli bir grupda birleştirdim ve VPN Grubumuza izin verdim.
Policy Encrytion Level : Son olarak VPN Clientlerimiz üzerinde olmasını istediğimiz Şifrleme Seviyesini seçiyoruz. Windows 2000 Sonrası bütün Microoft ürünleri 128-bit’ lik şifrelemeyi desteklemektedirler. Eğer kullanmış olduğunuz VPN Client çeşitleri 128-bit lik şifrelemeyi desteklemiyorsa veya 128-bitlik şifrelemeyi kullanmak istemiyorsanız (hız prolemi oluşacağından ötürü) diğer şifreleme şekillerini seçip ilerliyoruz ve karşımıza gelecek olan son ekran olan Completing New Remote Acces Policy Wizard bölümünde Finish diyerek sihirbazımızı bitiriyoruz.
Oluşturmuş olduğumuz policy ile birlikte Remote Acces Policies bölümü altında VPN ACCES ismini vermiş olduğumuz policymizde bulunmakta. Oluşturmuş olduğumuz policymizin sıralamasını 1 nci sıraya yükseltiyoruz .
Authenticotion Metodunu belirliyoruz.
Vpn Clientlerimizin MS-CHAP v2 Authentication metodu ile bağlanmaları gerektiğini belirtip, VPN Policymizin özelliklerinde bulunan Grant Remote Acces Permission (Uzak bağlantılara izin ver) bölümünü işaretliyoruz ve Radius Server’imiz üzerinde yapacak olduğumuz işlemleri bitirmiş oluyoruz.
Active Drictory Domain Controller Makinemiz üzerin de güncel domain functionel seviyemizi Windows Server 2003’ e çıkartıyoruz. Bilmemiz gereken en önemli husus bu işlemin geriye yönelik bir dönüşü olmamasıdır.
Radius Serverimizi kurup, Functionel Level Seviyemizide Windows Server 2003 çıkardıkdan sonra Active Drictory User and Computers içerisinde bulunan kullanıcılarımızın özelliklerine girip Dial-in Tabının altında oluşan değişikliği resim 16’da görebiliyorsunuz. Radius server’imizin olmadığı bir yapıda, bu sekmemizin altında olan Remote Acces Permission (Dial-in or VPN) bölümünde, Uzakdan bağlanacak olan kullanıcılarımıza bu pencere altında Allow (izin) sekmesini işaretlemek zorundayken, Radius Serverimizin olmuş olduğu yerde, bu görevi Radius Serverimizi üzerinde oluşturmuş olduğumuz Control acces through Remote Acces Policy (Uzak erşim polisisi) tarafından kontrol edilmesini istiyoruz. Domain Controller makinemiz üzerinde oluşan değişikliği gördükten sonra Radius Clientlerimizi (ISA SERVER) yapılandıralım.
VPN Clientlerimizin IP lerini DHCP den almalarını istediğim için ISA Serverimiz üzerinde DHCP kuruyorum.
ISA Server Management \ Configuration \ General yolunu takip ederek Define RADIUS Server bölümünün içerisine girip, Radius Serverimizi tanımlamaya başlıyoruz.
Radius Serverimizi tanımlamak için sıraıyla, ADD \ Radius Serverimizin ismini yazıp, Resim 6’ da görülen Radius Serverimiza tanımlamış olduğumuz Parolayı giriyoruz.
İşlemleri tamamladıkdan sonra ok butonu ile çıkıyoruz.
ISA Server yönetim konsolumuzun içerisinde Virtual Private Network (VPN) bölümünde Enable VPN Client Acces bölümünü aktif duruma getiriyoruz.
VPN Erişimini sağladıkdan sonra VPN Clientlerimizin erişimleri için ayarlarımızı yapılandırmak üzere Configure VPN Client Acces bölümünü açıyoruz
Aynı zamanda bağlanacak olan VPN Clientlerimizin sayısını belirliyoruz.
ISA Serverimiz üzerinde Radius Serverumuzu tanımladığımız için VPN Clientlerimizi Group Sekmesi altında tanımlayamıyoruz. Radius serverimiz olduğu için Authentication işlemini Radius serverimiz yapacak.
VPn clientlerimizin PPTP protokolü ile bağlanmalarını istiyoruz. Güveniğimizi arttırmak için isteğe bağlı olarak L2TP/IPSec protokolünü seçebiliriz. Yapacağımız bu seçim tamamen güvenlik stratejilerimize ve sahip olduğunuz internet hızına paralel olarak etkilenecektir. Konunun daha iyi anlaşılması için bizlere sistem eğitimimiz sırasında verilen bir örneği sizler ile paylaşmak istiyorum. Affika’da vahşi hayvanlarla dolu bir ormanın içerisndeyiz ve bu hayvanlardan korunmak için demir parmaklıklarla kaplı bir kafesin içerisindeyiz. Bu kafes bizi aslandan, kaplandan korusa bile kafesin içerisine girip bizleri ziyerat edecek olan bir yılana karşı korumasızdır. L2TP/IPSec protokolünü seçerek güvenlğimizi arttırıyoruz ve içeriye girmesi muhtemel yılanı (saldırıları) engellemiş oluyoruz. Benim en azından şimdilik yılan korkum olmadığı için PPTP protokolünü seçip işlemimize devam ediyorum. ISA Serverum Domainimin üyesi olduğu için User Mapping Sekmesini yapılandırma ihtiyacı duymuyorum.
Remote Acces Konfigürasyonumuzu yapılandırmak üzere İsa Server Yönetim panelimizin içerisinden TASK bölümünde Remote Acces Configuration bölümüne giriyoruz.
VPN Clientlerimizin dışarıdan gelecekleri için External seçiyoruz.
Addres Assigment sekmesin de ise VPN Clientlerimizin DHCP üzerinden IP almaları gerektiğini belirliyoruz. Dilersek belirlediğimiz bir ip aralığıda verebiliriz.
Kimlik doğrulama işlemi için MS-CHAPv2 protokolünü seçiyorum
Authentication işlemini Radius Serverimiz yapacak olduğu için RADIUS sekmesi altında Use Radıus For Authentication ve Use RADIUS for accounting (logging) bölümlerini işaretliyoruz. Dilersek Radius Serverimizi görmek veya düzenlemek için RADIUS Servers bölümünü açabiliriz.
ISA server’ı yöneten bir kişinin bilmesi gereken en önemli hususlardan bir tanesi, kural tanımıdır. ISA Server üzerinde yapılan hemen hemen her işlemin muhakkak bir kural (Rule) tanımlaması gerekmektedir. VPN erişimlerine izin verdik ve bu erişimlerin neler yapabileceğine dair kuralımız yukarıda ki resimde mevcutdur.
· Kuralımızın ismi VPN to INTERNAL (İsteğe bağlı)
· Rule Action (Allow (izin kuralı)
· Protokols (All Outbound Traffic)
· From (Nereden) Vpn Clients’den
· To (Nereye) INTERNAL’a(Local Area Networkümüze)
· Kimler için izin verildi.VPN grubumuza
Basitce kuralımızı tanımladıkdan sonra Isa server üzerinde yapacaklarımızı bitirmiş oluyoruz..
Yapmış olduğumuz değişiklikleri uyguluyoruz ve bu işlemden sonra ISA serverimiz gerekli kullanıcıları, izin boyutlarında şirket networkümüze dahil edecek durumdadır. ISA Server (Radius Client) makinemiz üzerinde yapacak olduğumuz işlemi tamamlamış oluyoruz.
Şirket networkümüz dışarısında bulunan VPN clientimiza, VPN bağlantısını yapılandırmak üzere, Ağ Bağlantılarından Yeni bağlantı oluşturu seçiyoruz ve sırasıyla aşağıda ki adımları takip ediyoruz.
Yeni bir bağlantı oluşturma sihirbazı karşılıyor bizleri. İleri diyoruz.. İkinci seçenek olan Ağa Çalışma yerimden bağlan (Evden, işyerinden ya da başka bir yerden çalışmak için bir iş ağına çevirmeli yada VPN olarak bağlanın bölümünü seçiyoruz. İleri.. Sanal Özel Ağ bağlantısı. (İnternet üzerinden bir sanal özel ağ (VPN) bağlantısı kullanarak ağa bağlanabilirsiniz bölümünü seçiyoruz.İleri. Bağlantı ADI bölümünde şirket adını veya kendi tanımımıza uygun olan bir isimi yazarak ilerliyoruz. VPn Sunucu seçimi bölümünde Şirketimizin sahip olmuş olduğu (Bağlanacak olduğumuz server’ın) DIŞ IP’ sini yazıyoruz. Ve Finish diyerek bağlantı sihirbazımızı bitiriyoruz. </LI>
Ağ bağlantıları bölümünde oluşan yeni bağlantımız ulusal.local bağlantımızı açıp, şirket networküne bağlanabilmek için gerekli olan kullanıcı adımızı ve şifremizi giriyoruz.
Yukarıda ki resim de VPN bağlantısından önce ve VPN bağlantısından sonra ki ping komutu ile kurulmaya çalışılan iletişim bilgilerini görebiliyorsunuz. Sanal özel Ağ (VPN) bağlantısı ile bağlantıyı sağladıkdan sonra makinemiz Local de bulunan bir makinemiz ile iletişimde bulunabilmektedir.
VPN Client erişimi oluştukdan sonra Radius Serverimiz üzerinden gerçekleşen bağlantıları kontrol edebiliriz. Radius Serverimizda Computer simgesi üzerinde sağtuş \ Manage \ Event Viewer \ System içerisine girerek ilgili olay günlüklerinden VPN erişimlerimizi kontrol ediyoruz. Olay günlüğünün detayı için olay günlüğümüzün özelliklerine baktığımızda.
· Tarih : 08.01.07
· Saat : 14:34:58
· Eylem : İzin verildi
· VPN Kullanıcı : ulusal.local/vpn/Fatih KARAALIOGLU
· VPN Server : isa-srv.ulusal.local (192.168.1.1)
· VPN Client IP : 81.213.111.9 (Public bir ip adresinden) biraz daha aşağıya doğru indiğimizde
· Uygulanan Policy : VPN ACCES
· Authentication Type : MS-CHAPv2 gibi bilgilerimizi görebiliyoruz.
Radius Serverimiz üzerinde Event Viwer kullanarak gerçekleşen VPN clientl erişimleri hakkında bilgi edinebildik. VPN Serverimiz üzerinde aktif bağlantıları görmek için ise İsa Server yönetim paneli içerisinde \ Virtuel Private Network (VPN) \ Related Task \ Monitör VPN Clients bölümünü açtığımız zaman.
Aktif VPN Clientlerimizi görebiliyoruz.
İzin vermiş olduğumuz VPN grubumuzun üyesi olmayan esolmaz kullanıcı adına sahip kullanıcımız VPN erişimini kullanmak istediği zaman Radius Serverimiz üzerinde oluşacak olan Event Viewer ise.
VPN Grubunun üyesi olmadığı için bağlantı sağlanamadı.
Radius Serverimiz üzerinde oluşan Hata (Warning) olay günlüğü.
Erişim emgellendi.
Olay günlüğü özelliklerinin biraz daha aşasına indiğimizde erişimin gerçekleşmeme sebebleri belirtilmektedir.
Kaynak : http://www.microsoft.com/technet/isa/2004/plan/isaradiusremote.mspx#EKE
Fatih KARAALİOĞLU