ÇÖZÜMPARK

Çözümsüz Sorunuz Kalmasın
ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
in ARA
Ana Sayfa Makaleler Forumlar Resimler Dosyalar Biz Kimiz? Online Destek İletişim

ISA Server

Terminal Sunucumuzun Güvenliğini Sağlamak

Terminal server teknolojisi, bilindiği üzere varsayılan ayar olarak TCP/IP 3389 numaralı iletişim protokolü üzerinden çalışmaktadır. Varsayılan ayarlar değiştirilmediği zaman bir güvenlik açığı teşkil etmektedirler. Bunun nedeni ise çok basitdir. Varsayılan ayarlar ilk kurulum aşamasında, ilgili protokoller için, yazılımcı firma tarafından uygun görülmüş ve sisteme atanmış, herkesin bilmiş olduğu kullanıma hazır ayarlardır. Değiştirilmesi tavsiye edilen varsayılan ayarlara örnek olarak ADSL modemlerimizin erişim IP nosunu, Şifresini, Routerlarımızın şifresini örnek verebiliriz. Biz bu ayarları kendi kurum veya güvenlik önlemlerimiz çerçevesinde değiştirmediğimiz sürece, herkesin bilmiş olduğu bir çalışma ortamında bulunmuş olacağız.

image001

Terminal Server Teknolojisinin kullanmış olduğu 3389 numaralı portunu değiştirerek hizmetimizin daha güvenli olmasını sağlayacağız. Bu işlemleri yapmadan önce terminal server’ dan özet olarak bahsetmemiz gerekirse, günümüzde bir çok şirket bütçe problemi nedeniyle Terminal Server Teknolojisine ihtiyaç duyarlar.

Zamanla büyüyen bir şirket, sahip olmuş olduğu donanım veya yazılımların, ihtiyaçlarına cevap vermemesi durumunda, işlemlerin yürüyebilmesi için, eski bilgisayarlarını, yazılımlarını güncelleme ihtiyacına mecbur kalırlar. Ve bu şekilde yapılın bir güncelleştirme işlemi, şirket bütcesine aşırı maliyete sebeb olmaktadır. Bu bütçe problemini yaşamak istemeyen bir çok şirket, mevcut bulunan envanterini değiştirmek yerine Güçlü bir Server alarak, mevcut bulunan eski makinelerini, thin clientlerini (aptal terminal), bu güçlü servere bağlayarak, Server’un sahip olmuş olduğu hızı ve performansı bu yavaş olan clientlerimizın hizmetine sunarak çözümler bulmaktadırlar.

image002

Mevcut bulunan Server’ımıza, Control Paneli | Ad or Remove Programs | Ad or Remove Windows Components yolunu takip ederek Terminal Server hizmetimizi kuruyoruz. etmenizi öneriyorum..

image003

Terminal server’ımızın kullanıma hazır olduğunu varsayarak, Güvenliğimizi sağlamak için yapılacak olan ilk işlem olan Registry değişikliği için HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp yolunu takip ederek PortNumber anahtarını açıp, istemiş olduğumuz port numarasının decimal değeri olarak değiştirebiliriz.

İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecektir.

image004

Güvenliğimizi sağlamanın haricinde, şirket bünyemizde birden fazla Terminal Server varsa eğer, ilgili Registry anaharını değiştirme ihtiyacı tekrardan duyarız.

image005

Terminal Serverımızı dışarıya publish (yayınlamak) için güvenlik sebebiyle ISA Server 2004 kullanacağım. ISA server üzerinde Terminal Server’ımızı yayınlamak için Create New Server Publishing Rule mizi çalıştırıyoruz.

image006

Publish Rulemize bir isim veriyoruz.

image007

Terminal Serverımızın sahip olduğu İp numarasını yazıyoruz.

image008

Protokol tipi olarak RDP (Terminal Services) Server’ ı seçiyorum. Eğer yayınlamak istemiş olduğumuz Terminal Serverımızın Port numarasını güvenlik sebebiyle değiştirmemiş olsaydık Next diyerek işlemimize devam edebilirdik, fakat güvenlik sebebi nedeniyle DEFAULT port numaramızı değiştirmiş olduğumuz için bu bölümde, PORTS bölümü altında gerekli ayarları yapmamız gerekecek.

image009

Değiştirmiş olduğumuz port numaralarını giriyoruz.

Birden fazla Terminal Server yayınlama ihtiyacı duyduğumuz zaman, Resim 3 de yapmış olduğumuz gibi Terminal Serverımıza belirtmiş olduğumuz port numarasını buradan tanımlıyoruz. Biz güvenliğimizi sağlamak için değiştirmiş olduğumuz yeni RDP 3390 port numaramızı tanımlayıp ok diyerek ilgili bölümden çıkıyoruz ve next diyerek ilerliyoruz.

image010

image011

Kuralımızı Finish diyerek bitiriyoruz

image012

image013

Kuralımızı uyguladıktan sonra localde yapacak olduğumuz yapılandırmalarımızı tamamladık. Sıra son aşama olan Client Makinelerimizi yapılandırmaya geldi.

image014

Client makinemizden Terminal Serverimiza bağlanmaya çalışıyoruz.

image015

Client makinemizin üzerinde varsayılan ayar olarak, RDP protokolü TCP/IP 3389 tanımlı olduğu için istek Terminal Serverında 3389 numaralı portuna gitmektedir. Fakat bu portumuzu Güvenlik sebebiyle değiştirdiğimiz için Terminal Server yapılandırmamızı yapmış olsak bile istek başarısız duruma düşüyor.

image016

Bu problemi aşmak için Başlat | Çalıştır |  mstsc –v  Termimal Server İP nosu : atamış olduğumuz port numarası yazmamız bizlere çözüm olacaktır.

image017

Fakat bu şekilde yapmış olduğumuz uygulama, değiştirmiş olduğumuz yeni RDP port numarasını, browserimizda göstermekte ve çalışmamızın bir anlam ifade etmediğini bizlere söylemektedir.

image018

Bu problemi de ortadan kaldırmak için, Terminal Serverımızda yapmış olduğumuz Registry değişikliğinin aynısını Client makinemizde yaparak çözüm bulabiliriz. İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecek.

image019

Makinemiz tekrardan açıldıktan sonra, terminal server ip numarasının sonuna :port numarası yazmamıza gerek kalmadan ve terminal servere bağlandıktan sonra browser üzerinde port numarasını göstermeden hizmet vermekte ve Terminal Serverimizin güvenliğini sağlamaktadır.

Fatih KARAALİOĞLU

Yayınlanış Tarihi 30 Mart 2008 Pazar 11:13 Yayınlayan: Fatih KARAALİOGLU

Yorumlar

 

Hakan UZUNER Dediki :

Eline Sağlık Fatih. Amma çok makalen varmış seninde eline sağlık demekten ben yoruldum vallahi

Mart 30, 2008 12:21
 

Savas Demir Dediki :

Eline sağlık :)

Hakkatten Arşiv Yapmış Fatih Tek Başına Kütüphne Olmuşun

Mart 30, 2008 16:19
 

mehmet ali Dediki :

teşşekkürler

Mart 30, 2008 22:08
 

Sinan KAHRAMAN Dediki :

Emeğinize sağlık Fatih Bey

Mart 31, 2008 12:01
 

siyahkum Dediki :

Aklına Sağlık Fatih Hoca

Nisan 1, 2008 02:16
 

Ismail ÇELIKBAŞ Dediki :

güzel anlatim kesin çözümler

Nisan 1, 2008 21:17
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

About Fatih KARAALİOGLU

Merhaba Dünya :-) 84 İstanbul doğumluyum. Stajımla birlikte 98 yılından beri sektörün içinde bulunup bu zaman zarfı içinde Teknik Servis Personeli, Bilgi işlem Personeli – Sorumlusu olarak farklı rollerde bulundum ve Ocak 2007 Yılından itibaren Intercomp Bilgisayar bünyesinde (IBM Çözüm Ortağı , MS Gold PARTNER) Proje Yöneticisi olarak görev almaktayım. Sektörün sıkı takipçileri bu güne kadar ismimi farklı portallarda, çözümlerde duymuş bulunup, bu güne kadar bir çok IT Portalında yazarlık, modluk ve Adminlik görevlerini üstlendim. Son olarak Çözümpark IT Portalının kuruluşunda bulunmuş olup, Yöneticilik kadrosunda paylaşımlarımı sürdürmekteyim. En belirgin özelliğim tam bir default ayar katili olmamdır. Bu özelliğim tamamen merakımdan ileri geliyor ve bu özelliğim olduğu sürece de sürekli sektörün içinde olacağıma ve bir şeyleri bozacağıma inanıyorum ve Bir gün büyüyebilirsem eğer, Abaküs ile IP hesaplaması yapan ilk M v P olacağıma inanıyorum. Sahip olduğum Sertifikalar M C P | MCSA +S | MCSE +S , MCTS | W2008 Applications Infrastructure, MCTS | W2008 Network Infrastructure, MCTS | W2008 Active Directory, IBM Certified Specialist | System x Technical , IBM Certified Specialist | System x Sales , CompTIA A+ olup hepsi şimdilik gibi görünüyor. Bu aralar vaktimin bir çoğunu geleceğin Teknolojisi Virtualization almakta olup, bozmama ya gayret göstermekteyim. Erkek Adam Renkli Takım Tutmaz ve bende Mümkün mertebe her şeye birazcık karşıyım.

Makale Kategorileri

Exchange Server
Windows Vista
3 Party
SQL Server
Network
ISA Server
Windows Server
Donanım
Ofis
Windows Xp
Linux Unix
Small Business Server
Cisco System
Fortinet
Güvenlik
Microsoft System Center
Tümü   

Bu Kategori

Hızlı aktarma
ÇözümPark Portalı, Microsoft Türkiye tarafından desteklenmektedir. Copyright BilgiPark 2008. All rights reserved