ISA Server 2004 Üzerinde VPN-Q 2006 ile VPN Quarantine Bölüm-1
Uzak network’te yer alan kullanıcıların şirket network’üne güvenli bir şekilde erişebilmesi için VPN sunucular sıklıkla kullanılmaktadır. VPN istemci adını verdiğimiz uzak network’te yer alan kullanıcıları RRAS ile yâda ISA Server 2004 kullanarak şirket ağımıza dahil edebiliriz. Kullanmış olduğumuz VPN alt yapısının temeli güvenli erişime dayanmaktadır, bununla beraber güvenlik seviyesini bir kademe daha arttırmak isterseniz bunun için geliştirilmiş olan teknolojiyi yani VPN Qurantine yapılandırmanız gerekmektedir. VPN Quarantine teknolojisi şirket networkünüze erişim yapacak istemci bilgisayarlardan belirli şartlar aramaktadır. Bu şartları şu şekilde belirleyebiliriz; güncel service pack, ekran koruyucu yapılandırması veya anti-virüs yazılımının yüklü olması. İstemci bilgisayarlardan aranan bu ve benzeri şartlar sağlandığında bağlantı kurulacaktır. Böylelikle bahsettiğimiz güvenlik seviyesini bir üst kademeye çıkarmış ve yaşanacak sorunları önceden önlemiş olursunuz. VPN Quarantine yapılandırması gerçek anlamda zor ve karmaşık bir tasarımdır. Yapılandırma işlemlerini şu şekilde sıralayabiliriz;
· Remote Access Quarantine Service kurulmalı.
· ConfigureRQSForISA.vbs Script’in yapılandırılması.
· CMAK yapılandırması
· Quarantine şartlarını belirleyen .exe,.bat veya .txt uzantılı dosyaların oluşturulması.
· CMAK dosyası ile oluşturulan paketin VPN istemci bilgisayara yüklenmesi
Bahsetmiş olduğumuz bu gereksinimler ve yapılandırmalar bu yararlı teknolojiyi kullanmak isteyen birçok sistem yöneticisinin gözünü korkuttuğu için bu hizmeti kullanmaktan uzak durmaktadırlar. Bu makalemizde sizlere bu hizmeti sevdirecek, çok kısa sürede yapılandırmanızı sağlayacak bir programdan bahsedeceğim. Böylelikle sizlerde uzak erişimlerde daha güvenli olmanın rahatını yaşamış olacaksınız.
VPN Quarantine yapılandırmasını sağlayan programın ismi VPN-Q 2006.VPN-Q 2006 programı VPN erişim hizmeti veren RRAS ve ISA Server 2004/2006 sürümlerinde başarılı bir şekilde çalışmakta. Makalenin ilerleyen kısımlarında programı indirebileceğiniz adresi, kurulum için gereken gereksinimleri ve yapılandırmasını bulabileceksiniz. Bu detaylara başlamadan önce ISA Server 2004’de VPN Client yapılandırılmasının nasıl yapıldığını tekrar hatırlayalım çünkü VPN Quarantine içinde VPN client erişiminin daha önceden yapılandırılması gerekmektedir.
ISA Server 2004’ün bu denli çok tercih edilen bir ürün olmasının en büyük nedenlerinden biride VPN Client ve Remote Sites erişimlerine imkân vermesidir. ISA Server 2004 VPN erişimi için arka planda Routing and Remote Access Servisinden yararlanmaktadır bizler ISA Server management konsoldan gerekli olan yapılandırmayı çok kısa bir sürede gerçekleştirebilmekteyiz. Bunun için Resim-1’de görüldüğü gibi Virtual Private Networks(VPN) bölümüne gelerek Tasks kısmında yer alan Enable VPN Client Access butonuna tıklamalıyız.
Resim-1
Configure VPN Client Access’e tıkladığınızda karşınıza gelen penceredeki yapılandırmalar şu şekilde ayarlanabilir.General bölümünde aynı anda VPN sunucu üzerine erişicek VPN istemci sayısı belirlenir.Sonraki kısım olan Groups bölümünde ise uzaktan erişim yapma hakkında sahip kullanıcıların olduğu grubu eklenir.Uzaktan erişim hakkına sahip dediğimiz kullanıcılar dial-in izni olan kullanıcılardır.Protocols bölümünde bağlantı sırasında kullanılacak protokol türü belirlenir.PPTP ve L2TP protokollerinin her ikisinide işaretleyebilirsiniz.Son bölümde,bağlantı sırasında domain son ekinin otomatik olarak gelmesi yani mapping edilmesi sağlanabilir.Resim-2’de tüm bu ayarlamaların ekran görüntüsü yer almaktadır.
Resim-2
General VPN Configuration bölümünde ise bağlantının sağlanacağı network,VPN istemcilere atanacak IP aralığı,kimlik doğrulama method ayarlamaları yapılmaktadır.Resim-3
Resim-3
ISA Server 2004 üzerinde VPN Client erişimi bu kadar kolay bir şekilde yapılandırılmaktadır. Uzaktan erişim yapacak istemci bilgisayarlar üzerindeki ayarlamalar ise şu şekildedir. Ağ bağlantılarım bölümünde yeni bir bağlantı oluştur kısa yolu tıklanır ve yapılandırma sihirbazında belirtilen seçenekler ayarlanır. Resim-4’de bu ayarlamalar görülmektedir, buradaki en önemli kısım erişim yapılacak VPN Sunucunun real IP’sinin girilmesidir.
Resim-4
Sihirbazda bağlantı ayarının hangi kullanıcı hesapları için yapıldığı, masaüstü kısa yolunun oluşturulması sağlanır. Kısa yol tıklanıldığında kullanıcı adı ve şifre girilerek bağlantı sağlanır. Resim–5
Resim-5
VPN Client’ların görüntülenmesi işlemi için monitoring bölümünde yer alan sessions(oturumlar) tabından yararlanılır. Resim-6’da erişim yapmış olan kullanıcı bilgisi görülmektedir.
Resim-6
VPN Client erişimin nasıl yapılandırıldığını hatırladıktan sonra ISA Server 2004 üzerinde VPN Quarantine işlemi için yapılması gerekenleri ayarlamaya başlayalım. VPN-Q 2006 programı bu ayarları bizim için yapılandıracaktır ancak yinede ISA Server üzerinde bu ayarlamaların nerden yapılacağına bakalım. Networks bölümünde varsayılanda gelen networkler görülmektedir. Quarantined VPN Clients network’ün üzerinde sağ tuşa tıklayarak özellikler kısa yolunu seçelim. Resim–7
Resim-7
Qurantined VPN Clients özelliklerinde “Enable Quarantine Control” seçeneğinin işaretli olması gerekmektedir. Böylelikle ISA Server 2004 gelen uzak istemcileri kontrol edebilecektir. Resim–8
Resim-8
ISA Server 2004 üzerinde VPN Quarantine Clients erişiminin 3.party bir tool olan VPN-Q 2006 yardımı olmadan nasıl yapıldığı hakkında detaylı bilgi almak istiyorsanız aşağıda yer alan linkteki makaleyi incelemenizi öneririm.
http://www.cozumpark.com/Articles/Details.aspx?aId=1000000464
Resim-9’da VPN Quarantine Clients bulunduğu network ve ISA Server dizaynı görünmektedir.
Resim-9
VPN-Q 2006 yazılımını Winfrasoft firmasının sitesinden indirebilirsiniz.Aşağıda son sürümü indirebileceğiniz link bulunmaktadır.
http://www.winfrasoft.com/download/download
VPN-Q 2006 yazılımını indirmek için sizden istenen bilgileri girmeniz gerekmektedir. Bu bilgileri doğru girmenizi öneririm. Çünkü ürünün testinin yapılabilmesi için mail adresinize içerisinde. xml uzantılı bir dosyanın bulunduğu. rar ekli mail gönderilmektedir. Bu dosya aynı zamanda sizin deneme sürümü için kullanacağınız lisans olacaktır.
VPN-Q 2006 programının çalışabilmesi için istemci ve sunucu tarafındaki gereksinimler aşağıda yer almaktadır.
İstemci tarafında aranan minumum sistem gereksinimleri
Microsoft Windows XP için:
· Professional Service Pack 2
· Professional x64 Edition
· Tablet PC Edition 2005
· Home Edition Service Pack 2
· Media Center Edition 2005
· Microsoft .NET Framework 1.1 (SP1 önerilen) ve üzeri
ve
Microsoft Windows Vista için:
· Home Basic
· Home Premium
· Ultimate
· Business
· Enterprise
Server tarafında aranan minumum sistem gereksinimleri
· Windows Server 2003 Service Pack 1 (32 bit)
· Microsoft .NET Framework 1.1 (SP1 önerilen) veya üzeri service pack
· Microsoft Routing and Remote Access Services (RRAS) veya
· Microsoft ISA Server
2004 Standard / Enterprise Edition
2006 Standard / Enterprise Edition
VPN-Q 2006 programı farklı sürümlerde satışa sunulmaktadır. Standard ve Enterprise sürümlerde birçok güvenlik kontrol şartı hazır olarak gelmektedir. VPN istemcilerde kontrol edilecek güvenlik şartları ise şunlar;
· İşletim sistemi service pack incelemesi
· IP yönlendirme durumu
· Ekran Koruyucu ayarlanması
· Güvenlik duvarı durumu
· 3.Party kişisel güvenlik duvarı durumu
· Güvenlik duvarında hariç tutulmuş uygulama ve programlar
· İnternet paylaşım durumu
· Anti-virüs taramasını yapılıp yapılmadığı ve güncel olup olmasının durumu
· Otomatik güncelleştirmenin açık olup olmaması
· Güvenlik güncelleştirmelerinin durumu
Bunun dışında diğer özellikler ise şunlar;
· WSUS uyumu
· Elle ve otomatik IPSec Pre-shared key bağlantısı
· Çoklu dil seçeneği
· Vista işletim sistemi çalışması
· 32 bit ve 64 bit desteği
· Çoklu VPN desteği
· Merkezi loglama
· Merkezi GPO yönetimi
· Kabiliyetlerin iyileştirilmesi
Yukarıda saydığımız özelliklerin hangi sürümlerde bulunduğu Resim-10’da yer almaktadır.
Resim-10
VPN istemcilerde aranacak güvenlik şartlarında değişiklik yapmak istenirse VPN-Q 2006 bu ayarlamalara GPO ile imkan tanımakta.Bunun için indirmiş olduğunuz kurulum dosyasının içerisinde yer alan GPO klasörü altında yer alan vpn-q.adm template bizlere yardımcı olmakta.Resim-11’de yeni bir gpo oluşturuyorum ve gerekli ayarlamaları yapmaya başlıyorum.
Resim-11
Computer Configuration bölümünde yer alan Administrative Templates’e sağ tuş yaparak add/remove templates seçeneği ile vpn-q.adm dosyasını ekliyorum.Resim-12
Resim-12
Administrative Templates bileşenin altında Winfrasoft adında klasörün oluştuğu görülmekte. Artık istenilen ayarlamaları yapmak mümkün olacaktır. Örnek olarak sizlere service pack seviyesi ve ekran koruyucu süresinin ayarlanmasını göstereceğim. Resim-13
Resim-13
Microsoft firması Windows XP için kısa bir süre üçüncü service paketini çıkardı.Erişim yapacak istemcilerde SP3’ün olması şartını zorunlu hale getiriyorum.Aynı zamanda ekran koruyucu süresini 10 dakika olarak ayarlıyorum.GPO ile güvenlik kontrol şartlarını rahatlıkla yapabileceksiniz.Resim-14
Resim-14
VPN Quarantine işlemini bu kadar kolaylaştıracak olan yazılımı sistemimize yüklemeye başlıyoruz. Sihirbazı takip ederek kurulumu başarılı bir şekilde tamamlayacağız. Resim-15’de kurulum sihirbazının bizleri karşıladığını görmekteyiz.
Resim-15
Sonraki adım olan lisans sözleşmesini onaylayarak bir sonraki adıma next ile geçiyoruz. Resim–16
Resim-16
VPN-Q 2006 yeni sürümünde gelen yeni gelişmeleri belirtmekte. Makalenin daha önceki bölümlerinde sizlere bu özelliklerin neler olduğunu belirtmiştim. Resim-17’de gelişmiş güncellemeler görülmekte.