Günümüzde “bilgi güvenliği” farkındalığı sadece büyük ağların ihtiyacı değil 3 – 5 kullanıcılı ağlarda bile gerekli önlemlerin alınması, doğru konfigürasyonun yapılması, güvenliğin sağlanmasında en önemli faktörlerden. Kullanıcı kimliğinin doğrulanması, orta büyüklükteki ve büyük ağlarda bir dizin yapısı kullanılarak yapılır. (Active Directory, Novell Directory, Open LDAP vb.) Ancak çok az kullanıcı bulunan ağlarda kimlik doğrulaması için daha basit çözümlere ihtiyaç vardır. Watchguard XTM serisi cihazların kendi bünyesinde bulunan kullanıcı veritabanı ve otomatik browser yönlendirmesi özelliklerini, MAC adresi kısıtlaması ile birleştirdiğimizde, başarılı bir doğrulama yapısı kurmuş oluyoruz. Client sayısının yüksek olduğu yerlerde kullanışsız olan bu metot az kullanıcı yerlerde oldukça başarılı bir şekilde çalışmaktadır.
Bu makalemizde WatchGuard ürünü üzerinde MAC address kısıtlamalı Kimlik Doğrulamalı Internet Erişimi konfigürasyonunun nasıl yapıldığını anlatmaya çalışacağım. MAC adres kısıtlaması bize, her kullanıcının ağ kablosunu takıp veya kablosuz yayına bağlanıp internet te dolaşmasını engellemek ve bu erişim kontrolünün tamamen bizim kontrolümüzde olmasını sağlayacaktır. User Authentication ise, kullanıcı mac adresi tanımlandıktan sonra internet erişimini sağlarken, logların daha anlaşılabilir bir şekilde tutulması için faydalı olacaktır. Bunu yapmayıp direkt internet izni de verebilirdik. Fakat bu bizim için ve log kayıtlarını anlamakta zorlanmamıza neden olacaktır. Bu konfigürasyonu ister şirket içinde, isterseniz Misafirler için sağlanan internet erişiminde kullanabilirsiniz. Anlatım teknik bir anlatım olduğu için sık ekran paylaşımları ile ilerleyeceğiz;
Önemli Bir Not: MAC Adreslerini tanımlarken mutlaka ve mutlaka cihazı yönetmek için bir MAC adresi tanımlamayı unutmayın. Eğer tanımlamazsanız cihaza erişemez ve cihazı yeniden yapılandırmak zorunda kalırsınız.
İlk olarak XTM cihazımıza login oluyoruz.
Daha sonra “Policy Manager” tabına tıklıyoruz.
MAC erişimlerini tanımlamak için Menü den “Network” daha sonra “Configuration” tabını seçiyoruz.
Gelen ekranda “MAC Access Control” tabına tıklıyoruz ve aşağıda bulunan “Restrict access by MAC adress” kutucuğunu işaretliyoruz. Daha sonra “Add” butonuna tıklayıp ilgili MAC adresimizi tanımlıyoruz.
Daha sonra kullanıcıların Kimlik doğrulama ekranına yönlendirilmesini sağlamak için “Setup” – “Authentication” – “Authentication Settings” ekranına giriyoruz.
Burada “Firewall Authentication” tabına gelip aşağıdaki “Auto redirect user to authentication page for authentication” kutucuğunu işaretliyoruz. Bu kutucuğu işaretledikten sonra kullanıcı internet erişmek istediğinde otomatik olarak kimlik doğrulama ekranına yönlendirilecektir. Tabi MAC adresi tanımlarında adresi tanımlı ise.
Daha sonra kullanıcılarımızı oluşturmak için “Setup” – “Authentication” – “Authentication Servers” ekranına giriyoruz.
Ben burada ilk önce “naviga” grubunu oluşturdum, Daha sonra “cem” kullanıcısını oluşturup “naviga” grubunun üyesi yaptım. Bu grup kurallarımızı oluştururken bize kolaylık sağlayacaktır. Kullanıcının ağdaki kalma ve Boşta kalma sürelerini de istediğimiz şekilde tanımlayabiliriz.
Kullanıcımızı ve grubumuzu da tanımladıktan sonra artık kurallarımızı yazmaya başlayabiliriz. Kuralımızda dikkat etmemiz gereken bir şey var. “DNS” kuralını network e vermek zorundayız. Burada kullanıcı erişimi sağlamak için, DNS sorgusu yapmak zorundadır. Eğer sorguyu yapmaz ise “Kimlik doğrulama ekranı” da yönlendirilemez. Dns kuralımızı oluşturduktan sonra web erişimi için “http proxy” kuralını oluşturduğumuz kullanıcıların erişebileceği şekilde yapılandırıyoruz. Aşağıdaki resimde de görüldüğü gibi… Bu işlemler “https proxy” içinde geçerlidir.
Kurallarımız da hazır artık. Fakat dikkat etmemiz gereken bir unsur daha. Henüz kuralımızı kaydetmedik. Bunu da resimde en üste gördüğümüz “XTM510.xml” yazısının yanında bulunan “*” işaretinden anlıyoruz. Konfigürasyonumuzu kaydediyoruz. Kaydettikten sonra “*” kaybolduğunu göreceksiniz.
Kullanıcımız Internet erişim sağlamak istediğinde WatchGuard direkt olarak kullanıcıyı “Kimlik doğrulama ekranı” na yönlendirecektir.
Kullanıcı “Login” oluyor.
Ve artık internet erişimi sağlanmış durumdadır.
Loglarımızda da gördüğümüz gibi kullanıcıya izin verilmiş ve internet erişimi sağlanmış durumda. Eğer Mac adresi tanımlanmamış bir kullanıcı internet e erişmek isterse aşağıdaki loglarda görüldüğü gibi “Deny” ve “Mac address blocked” kayıtları gözükecektir.
Konfigürasyonumuz bu şekilde sonlanmıştır. Umarım faydalı bir makale olmuştur.
Yeni makalelerde görüşmek üzere…