Güvenlik

WatchGuard MAC Address Kısıtlamalı ve Kimlik Doğrulamalı Internet Erişimi


 


Günümüzde “bilgi güvenliği” farkındalığı sadece büyük ağların ihtiyacı değil 3 – 5 kullanıcılı ağlarda bile gerekli önlemlerin alınması, doğru konfigürasyonun yapılması, güvenliğin sağlanmasında en önemli faktörlerden. Kullanıcı kimliğinin doğrulanması, orta büyüklükteki ve büyük ağlarda bir dizin yapısı kullanılarak yapılır. (Active Directory, Novell Directory, Open LDAP vb.) Ancak çok az kullanıcı bulunan ağlarda kimlik doğrulaması için daha basit çözümlere ihtiyaç vardır. Watchguard XTM serisi cihazların kendi bünyesinde bulunan kullanıcı veritabanı ve otomatik browser yönlendirmesi özelliklerini, MAC adresi kısıtlaması ile birleştirdiğimizde, başarılı bir doğrulama yapısı kurmuş oluyoruz. Client sayısının yüksek olduğu yerlerde kullanışsız olan bu metot az kullanıcı yerlerde oldukça başarılı bir şekilde çalışmaktadır.


 


 


Bu makalemizde WatchGuard ürünü üzerinde MAC address kısıtlamalı Kimlik Doğrulamalı Internet Erişimi konfigürasyonunun nasıl yapıldığını anlatmaya çalışacağım. MAC adres kısıtlaması bize, her kullanıcının ağ kablosunu takıp veya kablosuz yayına bağlanıp internet te dolaşmasını engellemek ve bu erişim kontrolünün tamamen bizim kontrolümüzde olmasını sağlayacaktır. User Authentication ise, kullanıcı mac adresi tanımlandıktan sonra internet erişimini sağlarken, logların daha anlaşılabilir bir şekilde tutulması için faydalı olacaktır. Bunu yapmayıp direkt internet izni de verebilirdik. Fakat bu bizim için ve log kayıtlarını anlamakta zorlanmamıza neden olacaktır. Bu konfigürasyonu ister şirket içinde, isterseniz Misafirler için sağlanan internet erişiminde kullanabilirsiniz. Anlatım teknik bir anlatım olduğu için sık ekran paylaşımları ile ilerleyeceğiz;


 


 


Önemli Bir Not: MAC Adreslerini tanımlarken mutlaka ve mutlaka cihazı yönetmek için bir MAC adresi tanımlamayı unutmayın. Eğer tanımlamazsanız cihaza erişemez ve cihazı yeniden yapılandırmak zorunda kalırsınız.


 


 


 


image001


 


 


 


İlk olarak XTM cihazımıza login oluyoruz.


 


 


 


image002


 


 


 


Daha sonra Policy Manager” tabına tıklıyoruz.


                                                                                                   


 


    


image003


 


 


 


MAC erişimlerini tanımlamak için Menü den “Network” daha sonra “Configuration” tabını seçiyoruz.


 


 


 


image004


 


 


 


Gelen ekranda “MAC Access Control” tabına tıklıyoruz ve aşağıda bulunan Restrict access by MAC adress kutucuğunu işaretliyoruz. Daha sonra “Add” butonuna tıklayıp ilgili MAC adresimizi tanımlıyoruz.


 


 


 


image005


 


 


 


Daha sonra kullanıcıların Kimlik doğrulama ekranına yönlendirilmesini sağlamak için “Setup” – “Authentication” – “Authentication Settings” ekranına giriyoruz.


 


 


 


image006


 


 


 


Burada “Firewall Authenticationtabına gelip aşağıdaki “Auto redirect user to authentication page for authentication kutucuğunu işaretliyoruz. Bu kutucuğu işaretledikten sonra kullanıcı internet erişmek istediğinde otomatik olarak kimlik doğrulama ekranına yönlendirilecektir. Tabi MAC adresi tanımlarında adresi tanımlı ise.


 


 


 


image007


 


 


 


Daha sonra kullanıcılarımızı oluşturmak için “Setup” – “Authentication” – “Authentication Servers ekranına giriyoruz.


 


 


 


image008


 


 


 


Ben burada ilk önce naviga grubunu oluşturdum, Daha sonra “cem” kullanıcısını oluşturup naviga grubunun üyesi yaptım. Bu grup kurallarımızı oluştururken bize kolaylık sağlayacaktır. Kullanıcının ağdaki kalma ve Boşta kalma sürelerini de istediğimiz şekilde tanımlayabiliriz.


 


 


 


image009


 


 


 


Kullanıcımızı ve grubumuzu da tanımladıktan sonra artık kurallarımızı yazmaya başlayabiliriz. Kuralımızda dikkat etmemiz gereken bir şey var. “DNS” kuralını network e vermek zorundayız. Burada kullanıcı erişimi sağlamak için, DNS sorgusu yapmak zorundadır. Eğer sorguyu yapmaz ise “Kimlik doğrulama ekranı” da yönlendirilemez. Dns kuralımızı oluşturduktan sonra web erişimi için “http proxy” kuralını oluşturduğumuz kullanıcıların erişebileceği şekilde yapılandırıyoruz. Aşağıdaki resimde de görüldüğü gibi… Bu işlemler “https proxy” içinde geçerlidir.


 


 


 


image010


 


 


 


Kurallarımız da hazır artık. Fakat dikkat etmemiz gereken bir unsur daha. Henüz kuralımızı kaydetmedik. Bunu da resimde en üste gördüğümüz “XTM510.xml” yazısının yanında bulunan “*” işaretinden anlıyoruz. Konfigürasyonumuzu kaydediyoruz. Kaydettikten sonra “*” kaybolduğunu göreceksiniz.


 


 


 


image011


 


 


 


Kullanıcımız Internet erişim sağlamak istediğinde WatchGuard direkt olarak kullanıcıyı “Kimlik doğrulama ekranı” na yönlendirecektir.


 


 


 


image012


 


 


 


Kullanıcı “Login” oluyor.


 


 


 


image013


 


 


 


image014


 


 


 


Ve artık internet erişimi sağlanmış durumdadır.


 


 


 


image015


 


 


 


Loglarımızda da gördüğümüz gibi kullanıcıya izin verilmiş ve internet erişimi sağlanmış durumda. Eğer Mac adresi tanımlanmamış bir kullanıcı internet e erişmek isterse aşağıdaki loglarda görüldüğü gibi “Deny” ve “Mac address blocked” kayıtları gözükecektir.


 


 


 


image016


 


 


 


Konfigürasyonumuz bu şekilde sonlanmıştır. Umarım faydalı bir makale olmuştur.


 


 


Yeni makalelerde görüşmek üzere…

İlgili Makaleler

Bir Yorum

  1. Mehaba
    Öncelikle paylaşımınız için teşekkür ederim. Kimlik doğrulama işlemini yapmadan sadece mac adreslerini tanımlayarak, kullanıcı kısıtlam işlemini yapabiliyormuyuz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu