Daha üst seviye bir güvenliğe yönelmek istenirse Extensible Authentication Protocol’e terfi edebiliriz. VPN istemcilere gerekli sertifikaları yükleyerek EAP ile yetkilendirilmelerini ve L2TP/IPsec protokolünü kullanmalarını sağlamak bağlantı güvenliğini oldukça arttırmış olacaktır.
Domain kurulumu, ISA server kurulumu, CA kurulumu okuyucuya bırakılmıştır. Senaryoda Enterprise Root CA kullanılmıştır. Her zamanki gibi VPN istemcisinin dial-in tab’ından allow access iznini vererek ve ilgili gruba üye yaparak başlayalım.
VPN istemcinin bağlantısını sağlayıp intranet’e girebilmesi için access rule hazırlanmalıdır.
Artık VPN bağlantımızı test edip senaryonun giriş kısmını tamamlayabiliriz.
VPN bağlantısı sorunsuz sağlanmıştır.
ISA server’ı ve VPN istemciyi EAP için hazırlayalım. İlk olarak ISA server için MMC console’u kullanarak CA’den sertifika alacağız. MMC console’dan ISA için sertifika almadan önce ISA ile CA’in Kurulu olduğu internal network arasında sadece sertifika alma sürecinde kullanılmak üzere access rule oluşturalım ve tüm trafiğe izin verelim. MMC console ile sertifika alabilmemiz için Remote Procedure Call hizmetini geçici bir süre devre dışı bırakacağız. ISA için sertifika işlemleri bittikten sonra RPC’yi tekrar devreye alarak oluşturduğumuz access rule’u iptal edeceğiz. ISA server’ın standart versiyonunda RPC hizmetini configuration altındaki Add-ins tabında bulabiliriz ve devre dışı bırakabiliriz. Senaryoda ISA Enterprise versiyonu kullanılmaktadır. Bu durumda ilk olarak RPC hizmetini Enterprise Add-ins tab’ından devre dışı bırakmalıyız. ISA server’ın domain’e üye olduğunu hatırlatalım.
Oluşturduğumuz rule’a sağ tıklayıp açılan pencereden Configure Rpc Protocol tab’ından Enforce scrict Rpc compliance kutucuğunu boşaltalım.
Enterprise Add-ins tab’ından da RPC’yi devre dışı bırakalım.
Ardından configuration altından ulaşabileceğimiz Add-ins tab’ından da RPC’yi devre dışı bırakalım.
Değişikleri kaydetmek istediğimizde,
Penceresi gelecektir ve alttaki save the changes and restart the services seçeneğini işaretleyip devam edelim. ISA server için MMC console’dan sertifika alabiliriz.
ISA server için computer sertifikası aldıktan sonra daha önce belirttiğim gibi oluşturduğumuz rule’u devre dışı bırakıp, RPC’yi tekrar devreye almayı unutmayınız. Enterprise Add-ins’den RPC’yi devreye alırsak diğer kısımda da devreye alınmış olacaktır ve yine değişikliği kaydederken karşımıza gelecek olan üstteki pencereden save the changes and restart the services seçeneğini işaretleyip devam edelim. Artık VPN istemci için ISA server’ın güvendiği CA’den sertifika alabiliriz. VPN üzerinden bağlantımızı sağlayıp sertifikayı alalım. CA 192.168.30.1 ip’sine sahip olan DC üzerinde kurulmuştur ve VPN istemci domain’e üye olmadığından sertifika alma işlemi web ara yüzünden yapılmaktadır.
Request a certificate ile devam edelim
ve VPN istemci için sertifikasını yükleyelim. Sertifika alma işlemi bittiğine göre bağlantımızı kesip VPN bağlantımızı EAP için yapılandırmaya başlayabiliriz.
VPN bağlantı özelliklerinde security tab’ından varsayılan olarak seçili olan typical seçeneğinin altındaki advanced tab’ı ile devam edelim
ve EAP’ı seçerek özelliklerine girelim. VPN istemci için sertifika almadan önce bu pencereye bakarsanız güvenilen sertifika otoriteleri arasında sizin CA’inizin olmadığını görebilirsiniz!
Bu pencerede yapılandırmayı şekildeki gibi yapınız. ISA server’ın ve VPN istemcinin sertifikalarına bakalım.
VPN istemcinin sertifikası.
ISA server’ın sertifikası.
Sertifika işlemi tamamlandığına göre ISA server’ı EAP için hazırlayalım.
Burada EAP kutucuğunu işaretlediğimizde bize, EAP yetkilendirmesinin Windows namespace’ine ait olmadığını ve uygulanabilir olması için RADIUS kullanıcısı yada user mapping kullanmamız gerektiğini belirten bir bilgi penceresi çıkacaktır. Biz user mapping kullanacağız. VPN clients özelliklerinden
user mapping’i şekildeki gibi yapılandıralım. Değişikleri kaydettikten sonra ISA server’ı yeniden başlatalım ve RRAS’ta da EAP yapılandırmasının aktif olduğunu doğrulayalım ki aktif olmuş olacaktır. Ardından VPN istemcisinden bağlanalım.
RRAS’da da EAP görüldüğü gibi ayarlanmıştır. Şimdi VPN bağlantımızı yapabiliriz.
Bağlantımızı sağlayalım.
Sertifikayı görüntüleyip bakabiliriz. OK ile devam edip bağlantıyı sağlayalım.
Bağlantı sağlandıktan sonra bağlantı özelliklerine bakarsak EAP ile bağlantımızın sağlanmış olduğunu görebiliriz. Şimdi de L2TP/IPSec yapılandırmamıza geçebiliriz. ISA server yönetim konsolunda VPN yapılandırmasından protokol tipini L2TP/IPsec’e çevirelim ve IPsec için pre-shared key belirleyelim
Pre-shared key belirlemeyi unutmayınız.
ISA server tarafında L2TP/IPsec için yapılandırmayı tamamladık. VPN istemci tarafında da yapılandırmayı tamamlamalıyız.
Security tab’ından pre-shared key belirledikten sonra Networking tab’ında da VPN bağlantımız içinde protokol tipini değiştirelim.
Tekrar bağlanalım ve şifrelemeye bakacak olursak,
herhangi bir problem olmadığını görebiliriz.