IpSec ile İnternet Yasaklama

Günümüzde en çok karşılaştığımız isteklerin  başında İnternet erişiminin kontrol edilmesi gelmektedir . Yani şirket içerisinde departman bazında veya kullanıcı bazında yetkilendirme yapmak en temel ihtiyaçların arasındadır. Bunu yapmanın pek çok yolu elimizdeki kaynak ve imkânlarla sınırlıdır. Biz bu makalemizde GPO üzerinden IPSEC policy ile nasıl yapılacağını inceleyeceğiz. Makalemize başlamadan önce IPSEC hakkında kısa bilgi vermekte fayda var; IPSEC IETF (internet engineering task force) tarafından kabul edilen bir protokoldür şifre doğrulama ve IP şifreleme özellikleri vardır. VPN çözümleri ile tam uyumludur.2 farkı moda çalışır bunlar “Tunneling mode” ve “İletim Mode” şeklindedir.(IPSEC AH) ve (IPSEC ESP) İpsec AH methodu Ip header ve payload arasına yerleşmektedir, İpsec ESP de ise bir önceki methoda ek olarak “MAC” adresleri paketin sonuna eklenir. IPSEC hakkında detaylı bilgi için;

http://technet2.microsoft.com/windowsserver/en/library/2a2f7792-5a4a-438b-8711-23694ae56e3a1033.mspx?mfr=true

Öncelikle kuralın uygulanması için gerekli adımları hazırlıyoruz yani hangi bilgisayar hangi kullanıcılar etkilenecek ise bunları bir OU altına toplamakla ve policy atamakla başlamalıyız bunların olduğunu varsayarak makalemize devam ediyoruz. İşlem yapacağımız Policy üzerinde sırasıyla>IPSEC policy sağ click>Create IPSEC policy

 Sekil -1 HTTP,HTTPS protokollerini etkileyecek kuralımızı hazırlamaya başlıyoruz

Sekil -2 de Kimlik Doğrulama Turu Gösterilmektedir.

 

Biz Kimlik Doğrulama olarak KERBEROS kullanacağız, eğer sistemimizde “CA” kurulu ise sertifika methodu kullanabilir ve bunu preshared key ile de güçlendirebiliriz.

 

 

Sekil -3 de yeni oluşturulacak IPSEC RULE

Yeni bir Rule oluşturmak için “ADD” butonuna basıyor ve next diyoruz

 

Sekil -4 de kuralın TUNEL ilişkisi olmadığını belirtmekteyiz.

 

Sekil -5 de hangi networkları etkileyeceği belirtilmektedir.

 

Sekil -6 da yeni oluşturacağımız IP FILTER

Sekil -7

Sekil -8 de Kaynak Adres secimi belirtilmektedir

Sekil -9 da Kuralın işleyeceği Hedef Adres belirtilmektedir

 
Sekil -10 da Kullanılacak protokol belirtilmektedir

Bizim uygulamamız HTTP,HTTPS protokolleri için olacağından TCP seçerek devam ediyoruz

Sekil -11 de PORT belirtilmektedir

Yine uygulamamız gereği HTTP için 80 portu belirtilmektedir next ve ok dedikten sonra HTTPS için 5-11 adımları 443 portu için yinelemeliyiz!

 

Sekil -12 de HTTP gibi HTTPS filter gözükmektedir

Policy’miz ve FILTER’ımız tamam şimdi ise bunları etkşleyecek action’ı belirlememiz lazım yani Permit(izin mi)Yoksa Block(engellememi)bizim amacımız engellemek olduğu için Action olarak block tanımlamamız lazım.

 

 

 

 Sekil -14 de FILTERIMIZI block Action atıyoruz 

 

Sekil 16

Ve son olarak oluşturduğumuz IPSEC policy üzerinde sağ click assign diyoruz ve sunucu tarafından gpupdate /force ile Policy’mizi tetikliyor client tarafında sistemi rest art ediyor ve sonucu beraber inceliyoruz.

 

Test için terminal makinelerimizin herhangi birinden login oluyoruz ben “Exchange 2007 OU su altında baydugan kullanıcım ilgili IPSEC policy den etkilenmesini istediğim kullanıcıdır.

 

Sonuç olarak Policy’imizin çalıştığı görülmektedir, Küçük ve ORTA ölçekli ve Yönetimden Para Koparamayan ) biz IT ciler için kimi zaman yararlı olabileceğini düşündüğüm bu çalışmayı istifadelerinize sunuyorum

Exit mobile version