Mustafa Ka®a

Archive for the ‘ISA Server’ Category

ISA server üzerinde gerçekleşen işlemler kayıt altında tutulmaktadir.Bu kayıtlardan istenilen kriterlere göre raporlar olusturulabilir.ISA Server üzerinde rapor alınmasi islemini monitoring bölümünde yer alan Reports aracı sağlamaktadır.Daha detaylı rapor biçimleri için kullanabilecegimiz araçlardan biri de Proxy Detect’tir.

Şirketler güvenlik çözümleri için Firewall ürünlerine gereksinim duymaktalar.Yazılımsal Firewall ürünlerinin en çok tercih edilenlerinin başında ISA Server gelmekte.ISA Server’ın bu kadar çok tercih edilmesinin nedenlerini sıralamak gerekirse Microsoft tabanlı networklerde bir çok sunucuyla tümleşik çalışması,kullanışlı bir arayüze sahip olması,paket filtereleme ve application filtreleme düzeyinde çalışması,cache ve proxy özellikleri içermesi,son olarak yapılan bir çok işlemin raporlanması söylenebilir.Sizlere bu makalede ISA Server 2004 raporlanması için alternatif bir ürün olan ProxyInspector yazılımını tanıtacağım.Bu raporlama programının belkide en göze çarpan özellikliği farklı kriterlere göre detaylı ve grafiksel raporların kısa bir sürede alınmasıdır.

ProxyInspector sadece ISA Server 2004 sürümleri için rapor oluşturmamakta.Bilinen bir çok yazılımsal firewall üzerinden de raporlar alabilmektedir.Aşağıda desteklenen yazılımları görebilmektesiniz.

Windows 98SE / ME / NT 4.0 / 2000 / XP / 2003 / Vista.

ProxyInspector programını aşağıda yer alan linkten indirebilirsiniz.

http://www.advsoft.info/en/download/

Programın ne iş yaptığını,hangi firewall’larda çalışabildiğini öğrendik.İndirmiş olduğumuz kurulum dosyasına çalıştırarak bir kaç saniye süren kurulum işlemini tamamlayalım.Ben programı ISA Server 2004 üzerine kurmayı tercih ettim.Böylelikle log dosyalarına ulaşmam daha kolay olacak ve hızlı bir şekilde rapor alma işlemini tamamlayabileceğim.Resim-1’de kurulum sihirbazında yer alan yönergeleri izleyerek kuruluma başlıyorum.Bu kısımda lisans sözleşmesini kabul ederek bir sonraki adım olan olan kurulum dosyalarının hangi dizinde saklanacağını belirleyerek diğer bölüme geçiyorum.

Resim-1

ProxyInspector programının start menude ve masaüstünde kısayol olarak oluşup oluşmayacağını belirleyerek kurulum işlemini tamamlıyorum.Resim-2

Resim-2

Program log dosyalarının nerden alınacağı sormakta log tipini W3C/Native text log files olarak kullanacağım ancak bu ayarı seçebilmem için ISA Server üzerinde bir kaç işlem yapmam gerekiyor.Resim-3

Resim-3

ISA Server 2004’ün monitoring kısmından Logging bölümüne geliyorum.Resim-4’de Logging bölümü görülmekte.

Resim-4

Tasks bölümünde yer alan Configure Firewall Logging ayarına tıklayarak ,Log ayarımı File radio butonunu seçerek bir sonraki adıma geçiyorum.Resim-5’de yapmış olduğum ayar görülmekte.

Resim-5

Web Proxy Logging içinde az önce yapmış olduğum ayarları tekrarlıyorum.Böylelikle log formatımı belirlemiş oldum.Resim-6’da web proxy logging için yapılan ayar görülmektedir.

Resim-6

Database bölümünün altında yer alan Program settings kısmından bir çok seçenek ayarlanabilir.Bunlardan en önemlisi oluşan logların bulunduğu dizinin seçilmesidir.Çünkü raporların oluşmasını sağlayan kaynak bu dizindir.Resim-7’de log dosyasının yolunun ayarlanması görülmekte.Ayrıca bu bölümde rapor ayarlarının renkleri ,fontları ve grafik biçimleride değiştirilebilir.

Resim-7

Report Wizard tıklayarak kısa bir sürede rapor oluşturma işlemine başlıyoruz.Rapor sihirbazında kritlerlerimizi belirleyerek istediğimiz bilgilerin çıkmasını sağlayacağız.Resim-8’de Report wizards’ ı görmekteyiz.

Resim-8

Report wizard yeni bir rapor oluşturmak için tasarlanmış bir bölüm.Makalenin ilerleyen kısmında rapor oluşturmak için başka hangi bölümün kullanıldığını da göreceğiz.Resim-9’da rapor sihirbazı yer almakta.

Resim-9

Resim-10’da oluşturulacak raporun tipini belirliyorum.Alacağım ilk raporda girilmiş olan site bilgilerine göre bir rapor almak istiyorum.Bunun için site kısmına seçerek devam ediyorum.

Resim-10

Son 30 günde girilmiş olan ilk 100 yüz site görülmekte.İstenirse tüm siteler seçilebileceği,belirlemiş olduğumuz özel bir sitede seçilebilir.Resim-11’de siteler görülmekte

Resim-11

Resim-12’de kullanıcıların yapmış oldukları toplam trafiğin görülmesini de ayarlayabiliyoruz.

Resim-12

Oluşturulacak raporun tarih aralığını belirleyerek.Bir sonraki adıma geçiyorum.Resim-13’de tarih süreleri görülmekte.

Resim-13

Rapor kriterleri tamamlandı artık kısa bir süre sonra raporumuz oluşmuş olacak.Resim-14’de sorgu işlemleri görülmekte.Raporumda belirlemiş olduğum tarih aralığında,belirlediğim sitelere giren kullanıcıları ve yaptıkları toplam trafiği göreceğiz.

Resim-14

Resim-15’de sitelere hangi saat aralıklarında girildiği ve bu saatlerde yapılan toplam trafik görülmekte.

Resim-15

En çok giren kullanıcılar Resim-16’da görülmekte.Kullanıcılar kimlik doğrulamaya zorlanmadığı anonymous erişimlerin oranın çok fazla çıktığı görülmekte.

Resim-16

ProxyInspector’ın sağ bölümünde yer alan server,kullanıcı,saat,gün-hafta gibi kriterlere göre rapor olmak istenirse bölümde yer alan özelliğe sağ tuş yaparak create report’un çıkması sağlanabilir.İkinci rapor örneğimizi bu şekilde alalım.Resim-17’de kullanıcılara göre raporun oluşturulması işlemi görülmektedir.

Resim-17

Resim-18’de ISA Server üzerinden çıkış yapan kullanıcılar görülmektedir.İstenirse tüm kullanıcıların göre yada belirlediğimiz bir kullanıcıya özel rapor oluşturulması sağlanabilir.

Resim-18

Yine kullanıcıların yapmış olduğu toplam trafiğe ve yapılan site erişimlerin toplam trafiğine göre bir rapor alacağım.Bu kısımda trafik kullanımı % 1’in altında olan bilgilerin raporda görülmemesini sağlayacağım.Resim-19

Resim-19

Tarih aralığımızı girerek rapor oluşturmayı tamamlıyoruz.Resim-20’de tarih kriteri görülmektedir.

Resim-20

Resim-21’de girilmiş toplam trafiğe göre en çok girilen siteler sıralanmaktadır.Bu bilgiler doğrultusunda şirketimizde girilmesini istemediğimiz siteler yasaklanabilir.

Resim-21

Resim-22’de alınan grafiksel raporda aslında bilinen bir gerçeği ortaya çıkarmakta en çok girilen siteye dikkat edildiğinde Türkiyenin en büyüğü Galatasaray’a ait bir siteye erişim yapıldığı görülmekte J.Oluşan raporun grafiksel görüntüsünü bu şekilde görebilmekteyiz.

Resim-22

ISA Server 2004 rapor almak için kullandığımız reports’a alternatif olabilecek bir ürünü sizlere tanıttım.Doğru ve düzgün bir şekilde alınan raporlama networkümüzü daha iyi izleme seçeneği verecektir.ProxyInspector ile almış olduğumuz bu rapor kaydedilebileceği gibi mail olarakta ilgili kişilere yollanabilir.

Kaynak:

http://www.advsoft.info/en/products/proxyinspector/

Ka®a

VPN-Q 2006 makalesinin ilk bölümünde VPN Quarantine teknolojisinin avantajlarını,VPN-Q kurulumunu ve programın özelliklerini inceledik.Makalenin ikinci bölümünde istemci bilgisayarlar üzerine yapılandırılmasını ve şartların nasıl incelendiğini göreceğiz.

Makalenin birinci bölümünde VPN-Q 2006 programını sizlere tanıtmış ve daha sonra kurulum işlemini gerçekleştirmiştim.Makalenin bu son bölümünde yapılması gereken tüm ayarlamaları detaylı bir şekilde inceleyeceğiz.İlk olarak masaüstünde yer alan VPN-Q 2006 kısa yoluna tıklayarak gerekli ayarlamaları yapmaya başlayalım.

Resim-1’de görmüş olduğunuz General bölümünde yer alan VPN Server text boxuna, VPN Sunucunun IP adresini ya da DNS ismini girmeniz gerekmekte. Bu bölümde yapmanız gereken bir başka ayarlama ise Quarantine hizmetini nerde kullanacağınızı belirlemekte biz Quarantine hizmetini ISA Server 2004 üzerinde kullanacağımız için seçim olarak da bu radio butonu seçiyoruz.

Resim-1

İkinci bölüm olan VPN Client kısmında ise mail adresinize gönderilmiş olan .xml uzantılı lisans bilgisini girmeniz gerekmekte.Eğer bu lisansı girmez iseniz istemci yapılandırması için gereken paketi oluşturamayacaksınız.Bu bölümü makalenin ilerleyen bölümünde tekrar inceleyeceğiz.Resim-2

Resim-2

ISA Server 2004 bölümünde erişim yapacak istemcilerin yararlanması için gereken bazı konfigürasyonlar yapılabilmektedir.Bu ayarlamalar VPN-Q 2006 kullanan istemciler için gerekli olan kural ve protokollerin ayarlanması işlemidir.Resim-3’de gördüğünüz hoş geldin ekranını next ile geçerek konfigürasyonu yapmaya başlıyoruz.

Resim-3

İlk ayar olarak VPN-Q istemci ile sunucu iletişiminin sağlanmasını ve erişim kuralının oluşturulmasını seçiyoruz.Resim-4

Resim-4

İstemcilerin güvenlik updatelerini alabilecekleri güncelleştirme sunucularının kim olduğunu belirliyoruz.Ortamda WSUS sunucusu var ise bu sunucunun isminin girilmesi gerekmektedir.Resim-5

Resim-5

İsim çözümleme işlemi için kullanılacak DNS sunuculara ait IP adresleri bu bölümde girilmektedir.Resim-6

Resim-6

VPN istemcilerin ortamda bulunan domain controller’a erişim yapması gerekiyorsa DC’ye ait IP adres bilgileri Resim-7’de görülen alanlara girilmelidir.

Resim-7

Az önce yapmış olduğumuz ayarlamalar ile protokol ve kural erişim konfigurasyonlarını tamamlamış olduk.Bu bölümde ayrıca Quarantine Network ayarlamaları da yapılabilir.Makalenin birinci bölümünde yer alan Resim-7 ve Resim-8’de bu ayarlamaların ISA Server 2004 üzerinde nereden gerçekleştirileceğini sizlere göstermiştim.Bu kısımda “Enable Quarantine Control” seçeneği seçildiği anda ISA Server üzerinde de aynı ayarın gerçekleşmesi sağlanacaktır.Resim-8’de yapılan ayarlamayı görebilmektesiniz.

Resim-8

Son bölüm olan Advanced tabında hangi durumlarda loglamanın gerçekleştirileceğini ve bu logların nerede saklanacağını belirliyoruz.Ben önerilen seçenek olan tüm actionlarda oluşacak logların tutulmasını belirliyorum.Bu bölümde aynı zamanda servislerinin durdurulması ve çalıştırılması işlemi de yapılabilmektedir.Eğer Remote Access Quarantine Agent servisi stop durumdayda start duruma getirerek bu basit yapılandırma işlemini tamamlıyorum.Resim-9

Resim-9

Resim-10’da VPN Client’larda kullanılacak olan paketin oluşturulması işlemine geçiyorum.Daha önce sizlere bu bölüm hakkında kısa bilgiler vermiştim.Microsoft’un CMAK özelliği ile bu paketlerin oluşturulması içerisinde gerekli ayarlamaların yapılması gerçek anlamda zahmetli bir işlemdi.Client setup paketini oluşturmak için lisansın girilmesi gerekliliğini sizlere daha önceden belirtmiştim.Oluşturulacak paket içerisinde varsayılan olarak gelen tüm şartlar mevcut olacak.Bu şartların neler olduğunu tekrar hatırlayacağız.VPN erişimi yapmak isteyen istemci bilgisayar ilk zorunluluk olarak VPN Sunucumuza L2TP/IPSec ile gelecek.ISA Server üzerinde oluşturmuş olduğumuz Pre-Shared key bu paketin içerisinde yer almakta.Bizlerin client tarafında elle hiç bir şey girmesine gerek kalmayacak.VPN istemcinin L2TP/IPSec ile gelmesinin yanı sıra aşağıda yer alan şartları da sağlamış olması gerekli;

Belirlemiş olduğumuz minimum işletim sistemi service paketini üzerinde bulundurması gerekmekte.Makalenin birinci bölümünde Group Policy ile bu seviyelerin ayarlandığını hatırlıyalım.IP yönlendirme durumu kapalı olması gerekmekte.Ekran Koruyucunun aktif olması ve password korumalı şekilde yapılandırılması şartlarımız arasında yer almakta.Güvenlik duvarı açık olmalı ,eğer 3.Party kişisel güvenlik duvarı kullanılıyorsa bunun dahi açık olması zorunluluğu aranmakta.İnternet paylaşımının kapalı,Anti-virus taramasını yapılmış ve güncellemeleri alınmış bir anti virus yazılımı istemci bilgisayar üzerinde bulunmalı.Otomatik güncelleştirme açık olmalı ve son güvenlik güncelleştirmelerinin yapılmış olması gerekmekte.

Yukarıda saydığımız şartlar eğer istemci bilgisayar üzerinde yok ise risk teşkil edeceği için bağlantının sağlanmasına izin verilmeyecektir.VPN Quarantine mantığını sizlere tekrar belirtmiş olmaktayım.

VPN istemci paketini create butonuna basarak oluşturmaya başlıyorum.

Resim-10

İstemci ayarlama paketinin oluşturulacağı yönünde uyarı ekranı alıyorum.Konfigürasyonun uygulanabilmesi için değişikliklerin kaydedilmesi gerekmekte.Resim-11’de görüldüğü gibi değişikliklerin kaydedilmesi için “yes” butonuna basıyorum.

Resim-11

Değişikliklerin kayıt edildiği bilgisi görünmekte.Resim-12

Resim-12

İstemci ayarlama paketinin nereye oluşturulacağı ekranı Resim-13’de görülmekte.Paketin masaüstüne oluşturulmasını sağlıyorum.

Resim-13

Oluşturulan paketi USB memory yada network yardımı ile VPN erişimi yapacak olan istemci bilgisayara kopyalıyorum ve istemci üzerinde kurulum yapılması işlemine başlıyorum.VPN-Q 2006 istemci paketini yüklemek için çıkan uyarıdaki “yes” butonuna basıyorum.Resim-14

Resim-14

Lisans sözleşmesini kabul ediyorum.Resim-15

Resim-15

Kurulum dosyalarının çıkarılması işlemi gerçekleşiyor.Kısa bir süre sonra istemci tarafındaki VPN Quarantine paketinin yüklenmesi işlemi tamamlanmış olacaktır ve ağ bağlantıları bölümüne erişim sırasında kullanmamız için gereken kısayolu kendisi otomatik olarak atacaktır.Resim-16

Resim-16

Resim-17’deki ekran görüntüsünde yer alan ağ bağlantılarına geldiğimizde L2TP/IPSec’li,IP adresi girilmiş bir bağlantının oluşmuş olduğunu görebilmekteyiz.Artık tek yapılması gereken bu bağlantıya tıklamak.

Resim-17

Kullanıcı adı ve şifre bilgilerini girerek “connect” butonuna basıyoruz.Resim-18

Resim-18

Authentication (Kimlik doğrulaması) işlemi gerçekleştirilmekte.Resim-19

Resim-19

Evet beklediğimiz an geldi VPN Sunucu erişim yapacak bilgisayar üzerindeki yapılandırmaları kontrol etmeye başlıyor.Şartların sağlanamadığı ayarlamalarda kırmızı çarpı işaretini,şartların sağlandığı ayarlamalarda yeşil check işaretini görebilmekteyiz.Resim-20

Resim-20

Detail bölümünde sağlanan ve sağlanamayan şartların neler olduğunun ayrıntılı bilgilerini görebilmetekyiz.Resim-21’de ekran koruyucunun password korumalı olmadığı,3.party bir firewall yazılımının bilgisayarda yüklü olmadığı,otomatik update seçeneğinin kapalı olduğu ve son güvenlik güncellemesinin olmadığı bilgilerini almaktayım.Gerekli olan şartlar sağlananmadığı sürece bu bilgisayar üzerinden dial-in izni dahi olan kullanıcılar erişim yapamayacaktır.

Resim-21

Resim-22’de sistem kontrolünde bir veya birden fazla güvenlik eksiğinin saptandığı ve bu sebepten bağlantının sağlanamadığı görülmekte.

Resim-22

Bir süre sonra tekrar bağlanmak isteyip istemediğinizi soran pencerenin çıktığını görebilmektesiniz.Resim-23. İstemci bilgisayar üzerinde eksik olan şartları tamamladıktan sonra tekrar deneme yaptığınızda bağlantının sağlandığını görebileceksiniz.

Resim-23

VPN-Q 2006 ile VPN Quarantine makale serisinde sizlere dikkat gerektiren ve konfigürasyonu zor olan bir konuyu 3.Party bir yazılımla daha kolay hale getirmeye çalıştım.Sizler de şirketinize yapılan VPN istemci erişimlerini daha güvenli hale getirmek istiyorsanız Quarantine teknolojisini kullanabilirsiniz.

Kaynak:

http://www.winfrasoft.com

Bir Sonraki Makalede Görüşmek üzere…

Ka®a

VPN teknolojisi günümüzde bir çok firmanın uzak erişime olanak sağlamak için kullandığı bağlantı tiplerinin başında yer almakta. Genelde uzak networklerde bulunan istemcilerin şirket network’üne bağlanabilmesi için şirketler ISA Server 2004′ü tercih etmekteler.VPN erişimini daha güvenli hale getirmek için kullandığımız VPN Quarantine özelliğini 3.party bir program olan VPN-Q 2006 üzerinde inceleyeceğiz.

Uzak network’te yer alan kullanıcıların şirket network’üne güvenli bir şekilde erişebilmesi için VPN sunucular sıklıkla kullanılmaktadır. VPN istemci adını verdiğimiz uzak network’te yer alan kullanıcıları RRAS ile ya da ISA Server 2004 kullanarak şirket ağımıza dâhil edebiliriz. Kullanmış olduğumuz VPN alt yapısının temeli güvenli erişime dayanmaktadır, bununla beraber güvenlik seviyesini bir kademe daha arttırmak isterseniz bunun için geliştirilmiş olan teknolojiyi yani VPN Quarantine yapılandırmanız gerekmektedir. VPN Quarantine teknolojisi şirket networkünüze erişim yapacak istemci bilgisayarlarda belirli şartlar aramaktadır. Bu şartları şu şekilde belirleyebiliriz; güncel service pack, ekran koruyucu yapılandırması veya anti-virüs yazılımının yüklü olması. İstemci bilgisayarlarda aranan bu ve benzeri şartlar sağlandığında bağlantı kurulacaktır. Böylelikle bahsettiğimiz güvenlik seviyesini bir üst kademeye çıkarmış ve yaşanacak sorunları önceden engellemiş olursunuz. VPN Quarantine yapılandırması gerçek anlamda zor ve karmaşık bir tasarımdır. Yapılandırma işlemlerini şu şekilde sıralayabiliriz;

Remote Access Quarantine Service kurulmalı.

ConfigureRQSForISA.vbs Script’in yapılandırılması.

CMAK yapılandırması

Quarantine şartlarını belirleyen .exe,.bat veya .txt uzantılı dosyaların oluşturulması.

CMAK dosyası ile oluşturulan paketin VPN istemci bilgisayara yüklenmesi

Bahsetmiş olduğumuz bu gereksinimler ve yapılandırmalar bu yararlı teknolojiyi kullanmak isteyen birçok sistem yöneticisinin gözünü korkuttuğu için bu hizmeti kullanmaktan uzak durmaktadırlar. Bu makalemizde sizlere bu hizmeti sevdirecek, çok kısa sürede yapılandırmanızı sağlayacak bir programdan bahsedeceğim. Böylelikle sizlerde uzak erişimlerde daha güvenli olmanın rahatını yaşamış olacaksınız.

VPN Quarantine yapılandırmasını sağlayan programın ismi VPN-Q 2006.VPN-Q 2006 programı VPN erişim hizmeti veren RRAS ve ISA Server 2004/2006 sürümlerinde başarılı bir şekilde çalışmakta. Makalenin ilerleyen kısımlarında programı indirebileceğiniz adresi, kurulum için gereksinimleri ve programın yapılandırmasını bulabileceksiniz. Bu detaylara başlamadan önce ISA Server 2004’de VPN Client yapılandırılmasının nasıl yapıldığını tekrar hatırlayalım çünkü VPN Quarantine içinde VPN client erişiminin daha önceden yapılandırılması gerekmektedir.

ISA Server 2004’ün bu denli çok tercih edilen bir ürün olmasının en büyük nedenlerinden biri de VPN Client ve Remote Sites erişimlerine imkân vermesidir. ISA Server 2004 VPN erişimi için arka planda Routing and Remote Access Servisinden yararlanmaktadır bizler ISA Server management konsoldan gerekli olan yapılandırmayı çok kısa bir sürede gerçekleştirebilmekteyiz. Bunun için Resim-1’de görüldüğü gibi Virtual Private Networks(VPN) bölümüne gelerek Tasks kısmında yer alan Enable VPN Client Access butonuna tıklamalıyız.

Resim-1

Configure VPN Client Access’e tıkladığınızda karşınıza gelen penceredeki yapılandırmalar şu şekilde ayarlanabilir.General bölümünde aynı anda VPN sunucu üzerine erişecek VPN istemci sayısı belirlenir.Sonraki kısım olan Groups bölümünde ise uzaktan erişim yapma hakkında sahip kullanıcıların olduğu grup eklenir.Uzaktan erişim hakkına sahip dediğimiz kullanıcılar dial-in izni olan kullanıcılardır.Protocols bölümünde bağlantı sırasında kullanılacak protokol türü belirlenir.PPTP ve L2TP protokollerinin her ikisini de işaretleyebilirsiniz.Son bölümde,bağlantı sırasında domain son ekinin otomatik olarak gelmesi yani mapping edilmesi sağlanabilir.Resim-2’de tüm bu ayarlamaların ekran görüntüsü yer almaktadır

Resim-2

General VPN Configuration bölümünde ise bağlantının sağlanacağı network,VPN istemcilere atanacak IP aralığı,kimlik doğrulama method ayarlamaları yapılmaktadır.Resim-3

Resim-3

ISA Server 2004 üzerinde VPN Client erişimi bu kadar kolay bir şekilde yapılandırılmaktadır. Uzaktan erişim yapacak istemci bilgisayarlar üzerindeki ayarlamalar ise şu şekildedir. Ağ bağlantılarım bölümünde yeni bir bağlantı oluştur kısa yolu tıklanır ve yapılandırma sihirbazında belirtilen seçenekler ayarlanır. Resim-4’de bu ayarlamalar görülmektedir, buradaki en önemli kısım erişim yapılacak VPN Sunucunun real IP’sinin girilmesidir.

Resim-4

Sihirbazda bağlantı ayarının hangi kullanıcı hesapları için yapıldığı, masaüstü kısa yolunun oluşturulması sağlanır. Kısa yol tıklanıldığında kullanıcı adı ve şifre girilerek bağlantı sağlanır. Resim–5

Resim-5

VPN Client’ların görüntülenmesi işlemi için monitoring bölümünde yer alan sessions(oturumlar) tabından yararlanılır. Resim-6’da erişim yapmış olan kullanıcı bilgisi görülmektedir.

Resim-6

VPN Client erişiminin nasıl yapılandırıldığını hatırladıktan sonra ISA Server 2004 üzerinde VPN Quarantine işlemi için yapılması gerekenleri ayarlamaya başlayalım. VPN-Q 2006 programı bu ayarları bizim için yapılandıracaktır ancak yine de ISA Server üzerinde bu ayarlamaların nerden yapılacağına bakalım. Networks bölümünde varsayılanda gelen networkler görülmektedir. Quarantined VPN Clients network’ün üzerinde sağ tuşa tıklayarak özellikler kısa yolunu seçelim. Resim–7

Resim-7

Qurantined VPN Clients özelliklerinde “Enable Quarantine Control” seçeneğinin işaretli olması gerekmektedir. Böylelikle ISA Server 2004 gelen uzak istemcileri kontrol edebilecektir. Resim–8

Resim-8

ISA Server 2004 üzerinde VPN Quarantine Clients erişiminin 3.party bir tool olan VPN-Q 2006 yardımı olmadan nasıl yapıldığı hakkında detaylı bilgi almak istiyorsanız aşağıda yer alan linkteki makaleyi incelemenizi öneririm.

http://www.sistemuzmani.com/Articles/Details.aspx?aId=1000000464

Resim-9’da VPN Quarantine Clients bulunduğu network ve ISA Server dizaynı görünmektedir.

Resim-9

VPN-Q 2006 yazılımını Winfrasoft firmasının sitesinden indirebilirsiniz.Aşağıda son sürümü indirebileceğiniz link bulunmaktadır.

http://www.winfrasoft.com/download/download

VPN-Q 2006 yazılımını indirmek için sizden istenen bilgileri girmeniz gerekmektedir. Bu bilgileri doğru girmenizi öneririm. Çünkü ürünün testinin yapılabilmesi için mail adresinize içerisinde. xml uzantılı bir dosyanın bulunduğu. rar ekli mail gönderilmektedir. Bu dosya aynı zamanda sizin deneme sürümü için kullanacağınız lisans olacaktır.

VPN-Q 2006 programının çalışabilmesi için istemci ve sunucu tarafındaki gereksinimler aşağıda yer almaktadır.

İstemci tarafında aranan minumum sistem gereksinimleri

Microsoft Windows XP için:

Professional Service Pack 2

Professional x64 Edition

Tablet PC Edition 2005

Home Edition Service Pack 2

Media Center Edition 2005

Microsoft .NET Framework 1.1 (SP1 önerilen) ve üzeri

ve

Microsoft Windows Vista için:

Home Basic

Home Premium

Ultimate

Business

Enterprise

Server tarafında aranan minumum sistem gereksinimleri

Windows Server 2003 Service Pack 1 (32 bit)

Microsoft .NET Framework 1.1 (SP1 önerilen) veya üzeri service pack

Microsoft Routing and Remote Access Services (RRAS) veya Microsoft ISA Server 2004 Standard / Enterprise Microsoft ISA Server 2006 Edition Standard / Enterprise Edition

VPN-Q 2006 programı farklı sürümlerde satışa sunulmaktadır. Standard ve Enterprise sürümlerde birçok güvenlik kontrol şartı hazır olarak gelmektedir. VPN istemcilerde kontrol edilecek güvenlik şartları ise şunlar;

İşletim sistemi service pack incelemesi

IP yönlendirme durumu

Ekran Koruyucu ayarlanması

Güvenlik duvarı durumu

3.Party kişisel güvenlik duvarı durumu

Güvenlik duvarında hariç tutulmuş uygulama ve programlar

İnternet paylaşım durumu

Anti-virüs taramasını yapılıp yapılmadığı ve güncel olup olmasının durumu

Otomatik güncelleştirmenin açık olup olmaması

Güvenlik güncelleştirmelerinin durumu

Bunun dışında diğer özellikler ise şunlar;

WSUS uyumu

Elle ve otomatik IPSec Pre-shared key bağlantısı

Çoklu dil seçeneği

Vista işletim sistemi çalışması 32 bit ve 64 bit desteği

Çoklu VPN desteği

Merkezi loglama

Merkezi GPO yönetimi Kabiliyetlerin iyileştirilmesi

Yukarıda saydığımız özelliklerin hangi sürümlerde bulunduğu Resim-10’da yer almaktadır.

Resim-10

VPN istemcilerde aranacak güvenlik şartlarında değişiklik yapmak istenirse VPN-Q 2006 bu ayarlamalara GPO ile imkan tanımakta.Bunun için indirmiş olduğunuz kurulum dosyasının içerisinde yer alan GPO klasörü altında yer alan vpn-q.adm template bizlere yardımcı olmakta.Resim-11’de yeni bir gpo oluşturuyorum ve gerekli ayarlamaları yapmaya başlıyorum.

Resim-11

Computer Configuration bölümünde yer alan Administrative Templates’e sağ tuş yaparak add/remove templates seçeneği ile vpn-q.adm dosyasını ekliyorum.Resim-12

Resim-12

Administrative Templates bileşenin altında Winfrasoft adında klasörün oluştuğu görülmekte. Artık istenilen ayarlamaları yapmak mümkün olacaktır. Örnek olarak sizlere service pack seviyesi ve ekran koruyucu süresinin ayarlanmasını göstereceğim. Resim-13

Resim-13

Microsoft firması Windows XP için kısa bir süre üçüncü service paketini çıkardı.Erişim yapacak istemcilerde SP3’ün olması şartını zorunlu hale getiriyorum.Aynı zamanda ekran koruyucu süresini 10 dakika olarak ayarlıyorum.GPO ile güvenlik kontrol şartlarını rahatlıkla yapabileceksiniz.Resim-14

Resim-14

VPN Quarantine işlemini bu kadar kolaylaştıracak olan yazılımı sistemimize yüklemeye başlıyoruz. Sihirbazı takip ederek kurulumu başarılı bir şekilde tamamlayacağız. Resim-15’de kurulum sihirbazının bizleri karşıladığını görmekteyiz

Resim-15

Sonraki adım olan lisans sözleşmesini onaylayarak bir sonraki adıma next ile geçiyoruz. Resim–16

Resim-16

VPN-Q 2006 yeni sürümünde gelen yeni gelişmeleri belirtmekte. Makalenin daha önceki bölümlerinde sizlere bu özelliklerin neler olduğunu belirtmiştim. Resim-17’de gelişmiş güncellemeler görülmekte.

Resim-17

Kurulum seçenekleri bölümünde VPN-Q yazılımı için gerekli olan bileşenlerin yüklenmesi ve ayarlanması seçeneklerini belirliyoruz. Makalenin daha önceki bölümlerinde normal bir şekilde herhangi bir 3.party yazılım kullanmadan VPN Quarantine yapmak içinde bu servislerin kurulması gerektiğinden bahsetmiştim. VPN-Q 2006, Remote Access Quarantine Agent ve CMAK servisini yükleyeceğini, ISA Server üzerinde yer alan varsayılan ayarlamaları yapacağını ve Remote Access Quarantine Agent servisini çalıştıracağını belirtmekte. Resim-18’de bu seçenekler yer almakta. Kurulumun ilerleyen bölümünde seçmiş olduğumuz servislerin yüklenebilmesi için bir adet Windows Server 2003 SP1 CD’sine ya da kurulum dosyalarının bulunduğu I386 klasörüne ihtiyacımız olacak.

Resim-18

Resim-19’da kurulum dosyalarının nerede saklanacağını belirliyoruz

Resim-19

Kurulum dosyalarının yüklenmesi işleminin başladığını Resim-20’de görebilmekteyiz.

Resim-20

Az önce bahsetmiş olduğum servisleri kurabilmek için Windows Server 2003 SP1 CD’sinin istendiğini Resim-21’de görmektesiniz.

Resim-21

VPN sunucusuna ait IP adresi ya da DNS ismini girerek kurulum adımlarını tamamlıyoruz. Resim–22

Resim-22

VPN-Q 2006 kurulumu ve ön ayarların yapılması başarı ile tamamlandı. Resim–23

Resim-23

VPN Quarantine makalesinin birinci bölümünde inceleyeceklerimiz bu kadar. Makalenin ikinci bölümünde VPN-Q programının konfigürasyonunu, VPN Quarantine istemciler için gereken paketin oluşturulmasını, şartların belirlenmesini ve şartların kontrol edilmesi işlemlerini inceleyeceğiz.

Kaynak:

http://www.winfrasoft.com

Bir Sonraki Makalede Görüşmek üzere…

Ka®a

ISA Server 2004 üzerinde real time gerçekleşen işlemleri görebilmek için logging bölümünden yararlanırız.Ancak logging kısmında girilen sitelerin bilgileri IP adresleri şeklinde görülmektedir.Bu makalemizde sizlere Site bilgilerinin hostname’ler şeklinde görüntülenmesini anlatacağım.

ISA Server 2004 monitoring araçlarından bir tanesi de Logging bölümüdür.Bu bölümden real time olarak gerçekleşen kullanıcı veya bilgisayarların yapmış oldukları hareketleri izleyebiliriz.Logging bölümünü ISA Server üzerindeki erişim hatalarının çözülmesi içinde sıklıkla kullanmaktayız.Bu kısımda bir çok bilgiye erişebiliriz,örnek olarak hangi kullanıcı ,hangi rule üzerinden nereye bağlanıyor bunların bilgilerini rahatlıkla görmekteyiz.

Resim-1’deki görüntüde erişim yapılan URL (Uniform Resource Locator) ‘lerin bilgileri çıkmakta.Bir çoğumuz erşim yapılan URL bilgilerinin IP adresi biçiminde görünmesinden dolayı çok memnun olmayız.Bu makalemizde URL’lerin IP adresleri şeklinde değilde hostname’leri halinde gösterilmesinin nasıl olduğunu göreceğiz.

Resim-1

Web Proxy clientların logging kısmında çıkan bilgilerinin yer aldığı alanların arttırılması yada azaltılması için Logging task’da yer alan configure Web Proxy logging bölümüne girmek yeterlidir.Bu arada Fields bölümünden logging işlemi yapıldığında istediğimiz alanları rahatlıkla ekleyebiliriz.Bu alanlara birkaç örnek verecek olursak istemcinin IP adresi,istemci kullanıcı adı ,hedef port yada hedef IP adresi olabilir.Resim-2’de bu ayarların nerden ve nasıl yapılacağını görmektesiniz.

Resim-2

Yukarda bahsettiğimiz Web Proxy client loglarında görmek istediğimiz alan bilgilerini Firewall Client içinde aynı şekilde ayarlamak mümkündür.Yine Logging task’ı kullanarak Firewall client içinde görünmesi istenen alanlar eklenebilir.Resim-3’de Firewall client logging alanları görünmektedir.

Resim-3

Daha önceki makalelerde de bahsettiğimiz ISA Server’da kullanılan client tiplerinden bu makalemizde de kısaca bahsedelim.Bildiğiniz üzere ISA Server’da üç çeşit client tipi mevcut olmaktadır.Bunlar Firewall Client,Web Proxy client ve SecureNat clienttır.Client ayarlamaları için Configuration bölümü altında yer alan Networks’e girerek Internal network’ün özelliklerini seçerek işlemimize devam edelim.Resim-4’de Internal network görünmektedir.

Resim-4

Internal Network’ün özelliklerinden Web Proxy tabında geldiğimizde Web Proxy clients’ın etkin olduğunu aynı zamanda http port numarasını görmekteyiz.ISA Server’dan rapor aldığımızda kullanıcı isimlerinin görünmesi için authentication (kimlik doğrulama) butonuna tıklamamız gerekmektedir.Yine bu kısımda Web Proxy client tipinin özelliklerini sizlere kısaca anlatmak isterim.Web Proxy client için herhangi bir yazılım yüklemeye yada Default gateway adresi yazmaya gerek yoktur.Web Proxy client’ı yapılandırmak için istemci bilgisayarın Browserında yer alan Lan settings bölümüne gerekli bilginin girilmesi yeterlidir.Resim-5’de Web Proxy özellikleri görünmektedir

Resim-5

SecureNat client’lar kimlik doğrulamaya gerek duymadan internete erişim yapabilmektedir.Web Proxy client’ların internete erişim yaparken kimlik doğrulama yapmadan internete çıkmalarını engellemek istiyorsak “Require all users authenticate” check box’ını işaretlemeliyiz.Böylelikle kimlik doğrulama yapmamış hiçbir Web Proxy client internete çıkamayacaktır.Ayrıca raporlamada bahsettiğimiz IP adresinin görünmesi sorununuda önlemiş olacağız.Resim-6’da kullanıcı kimlik doğrulama zorunluluğu için gerekli ayarı görmektesiniz.

Resim-6

Firewall Client kimlik doğrulama esasına göre çalışan ve istemci bilgisayara yüklenen küçük bir yazılımdır.Bu yazılım istenirse ISA Server 2004 CD’sinden yada kurulum esnasında Firewall client program paylaşımı verilmiş ise ISA Server üzerinden de yüklenebilir.Resim-7’de Firewall client özellikleri görünmektedir.

Resim-7

Bu hatırlatmalardan ve bilgilerden sonra logging bölümünden URL kısmında hostname’in görüntülenmesi işlemine başlayabiliriz. Bunun için Collective yazılıma ait LogHostname yazılımını indirmemiz gerekmektedir.Yazılımı indirebileceğiniz link aşağıda yer almaktadır.

http://collectivesoftware.com/Downloads/

Collective LogHostname yazılımı ISA Server Standard Edition 2004/2006 ve ISA Server Enterprise Edition 2004/2006 üzerine kurulabilmekte.

İndirmiş olduğumuz setup dosyasını tıklayarak kuruluma başlayalım. Kurulum sırasında sihirbaz yardımcı olmakta. İlk adım olarak sihirbaz bilgisi ve servisin otomatik olarak durup/çalıştırma yapacağı bilgisi gelmekte. Resim-8’de gördüğünüz gibi

Resim-8

Kuruluma kullanıcı sözleşmesini onaylayarak devam ediyoruz. Resim-9

Resim-9

Kurulum seçeneklerinden varsayılan olarak gelen typical ile devam ediyoruz. Resim-10

Resim-10

Karşımıza gelen son ekran ile kurulum tamamlanmış olmakta. Resim-11

Resim-11

LogHostname yazılımı diğer programlarda alışık olduğumuz gibi kendisini Programs’ın içerisine atmıyor. Add-ins bölümün içerisine otomatik olarak gelmekte.Resim-12’de Web Filters’ın altına geldiğini görmektesiniz.

Resim-12

LogHostname Filter’ın özelliklerine gelerek ürünün açıklamasını ve filtrenin aktif olduğunu görebiliriz. Resim-13

Resim-13

Gerçekleşen logging’leri incelediğimizde artık URL kısmında görülen bilgilerin IP adresi olarak değilde Hostname olarak geldiğini Resim-14’de görebilmekteyiz.

Resim-14

Bu küçük ve nerdeyse hiçbir ayar yapmayı gerektirmeyen programla ISA Server üzerinde gerçekleşen logging’lerdeki URL bilgilerinin IP adresi şeklinde değilde hostname halinde görülebilmesi bizlerin işini kolaylaştıracaktır. ISA Server üzerinde çalıştırabileceğimiz yeni yazılımları hep birlikte incelemeye devam edeceğiz.

Kaynak:

http://collectivesoftware.com

Bir Sonraki Makalede Görüşmek Üzere…

Ka®a

ISA Server 2004′üzerinde yazdığımız kurallar içerisinde Deny’ların olmaması düşünülemez.Kullanıcılar bu kurallardan birine yakalandığı zaman ISA Server’ın uyarı web sitesini görmektediler.Bu makalede kendi tasarladığımız siteye yönlendirilmesi işlemini göreceğiz.

Yasaklanması istenilen site Resim-1’de yer almakta. Kullanıcıların bu siteyi kullanmamaları ISA Server 2004 tarafından engellenebilir. Bunun için bir rule oluşturulması gerekmektedir.

Resim-1

Yeni bir Access rule oluşturarak işleme başlıyoruz. Bunu için oluşturulacak rule bir isim verilmeli. Resim–2

Resim-2

Uygulanacak hareket olarak Deny seçiyoruz. Resim–3

Resim-3

Kuralda yer alacak protokol seçimi Resim–4 ‘de yer almakta.

Resim-4

İç ağımızda yer alan kullanıcıları seçilmesi için erişim kaynağı yeri olarak internal’ı ekleyerek kuralı oluşturmaya devam ediyoruz. Resim–5

Resim-5

Kullanıcıların sadece belirlediğimiz siteye girmek istediklerinde yasaklanmaları için URL Sets kısmına sitenin adını ve adresini giriyoruz ,daha sonra hedef kısmına bu siteyi ekliyoruz. Resim–6

Resim-6

Bu site girmek isteyen tüm kullanıcıların yasaklanması için All Users (Tüm kullanıcıları) seçiminde bırakarak kuralı tamamlıyoruz. Resim–7

Resim-7

Finish butonuna basarak kuralı tamamlıyoruz. Resim–8

Resim-8

Firewall Policy’e oluşturduğumuz kural geldi. Kullanıcılar yasakladığımız siteye girmek istediklerinde ISA Server tarafından yayınlanan uyarı web sayfası açılacak. Resim–9

Resim-9

Resim-10’da ISA Server uyarı sayfası görülmekte. Bu sayfanın anlamı kullanıcılar tarafından anlaşılamamakta. Artık bu sayfanın yerine kendi yaptığımız sayfanın çıkmasını sağlayacağız.

Resim-10

Kendi yaptığımız uyarı sayfasının çıkması için ağımızda yer alan bir Windows Server 2003 üzerine IIS servisini kurmamız gerekli. IIS servisini kurmak için Denetim masasında (control panel) yer alan Program / Ekle Kaldır (Add or Remove Programs) tıklıyoruz. Resim–11

Resim-11

Program ekle / kaldır’da yer alan Windows bileşenlerini ekle kaldır (Add /Remove Windows Components )tıklıyoruz. Application Server üzerindeyken details butonuna basarak gerekli özellikleri seçiyoruz. Resim–12

Resim–12

IIS Servisini açarak gerekli yapılandırmaya başlıyoruz. Web Sites klasörünün üzerindeyken sağ tuş tıklayarak New>Web Site çıkmasını sağlıyoruz. Resim–13

Resim-13

Web site oluşturma sihirbazı bizi karşılamakta. Next butonuna basarak devam ediyoruz. Resim–14

Resim-14

Oluşturacağımız web siteye açıklama yazıyoruz daha sonra next butonuna basıyoruz. Resim–15

Resim-15

Siteyi yayınlayacağımız IP adresini ve port numarasını giriyoruz. Ayrıca IIS üzerinde aynı port ve IP adresinden birden fazla web site yayınlayabilmemiz için host header kısmına sitenin ismini yazıyoruz. Resim–16

Resim-16

Web site için daha önceden tasarladığımız web sayfalarını www.kara.com klasörüne atıyoruz.Resim–17

Resim-17

Oluşturulan web site Resim–18 ‘deki gibi ilgili klasör altında yer almakta.

Resim-18

Web site dosyalarının nerede yer aldığını gösteriyoruz. Bunun için browse (göz at) butonuna tıklayarak web sitenin bulunduğu dizini seçiyoruz. Resim–19

Resim–19

Site üzerinde gerekli erişim izinlerini belirliyoruz. Resim–20

Resim-20

Finish butonuna basarak web site oluşturma sihirbazını kapatıyoruz. Resim–21

Resim–21

Oluşturduğumuz web site bir Resource Record kaydı oluşturacağız. Böylelikle web sitemizin isimle ulaşılmasın sağlayacağız. Bunun için DNS yönetim konsolu açarak zone içine Alias (CNAME) takma ad oluşturuyoruz. Resim–22’de www kaydının girildiği görülmekte.

Resim–22

ISA Server üzerinde oluşturduğumuz kurala çift tıklayarak özellikler sayfasını açıyoruz.Kullanıcılar yasakladığımız siteye girmeye çalıştıklarında artık bizim oluşturduğumuz web siteye yönlendirilecekler.Bunun için Action tabında “Redirect HTTP requests to this Web page” checkbox kutusunu işaretliyor ve altınada yönlendirilmesini istediğimiz sitenin adını veya IP adresini yazıyoruz.Artık kullanıcılara uyarı sayfası olarak bizim oluşturduğumuz web site gelecektir.Resim–23

Resim–23

Yasakladığımız siteye girmeye çalışan bir kullanıcının karşına çıkan yeni uyarı sayfası Resim-24’de görülmekte.

Resim–24

Eğer IIS kurmak için vaktiniz yok veya bu ayarlamalar ile uğraşmak istemiyor iseniz var olan bir siteyede yönlendirme yapabilirsiniz. Bunun için internette var olan bir URL (Uniform Resource Locator) yazmamız yeterli. Resim–25

Resim–26

Bir Sonraki Makalede Görüşmek Üzere…

Ka®a

FTP (File Transfer Protokol) ile bir bilgisayardan başka bir bilgisayara dosya aktarımı gerçekleştirilir.FTP en eski protokollerden biridir.Şubelerimizde veya uzak bir noktada çalışırken şirketimizin FTP sunucularına bağlanarak daha önceden oluşturduğumuz dosyaların içerisinde yer alan program ve sürücüleri almak bizlerin işlerini kolaylaştıracaktır.İndirmek istediğimiz dosyalar için internette arama yaparak zaman kaybetmemiş olacağız.Bu makalede FTP Server’ın ISA Server 2004 ile Publish edilmesi yer almaktadır.

Windows Server 2003 üzerinde bulunan IIS bileşeni altında yer alan FTP Servisi yüklenerek şirket kullanımı için FTP Server oluşturulabilmektedir.Resim-1’de yüklenen FTP Server ve altındaki FTP siteleri görülmektedir.

Resim-1

ISA Server 2004 yönetim konsolu açılır. Tasks tabının altında yer alan Create New Server Publishing Rule tıklanarak kural oluşturulmaya başlanır. Resim–2

Resim-2

Server Publishing kuralının ismi yazılır. Resim–3

Resim-3

Şirket networkünde bulunan ve yayınlanılması istenen server’ın IP adresinin yazılması gerekmektedir.FTP Server yayınlanacağı için FTP Servisi yüklü olan Server’ın IP adresi yazılır.Eğer IP adresi hatırlanmıyor ise Browse tıklanarak,FTP Server yüklü olduğu bilgisayar seçilir ve IP adresi bulunur.Resim-4’de FTP hizmeti veren Server’ın adı ve IP adresi görülmektedir.

Resim-4

IP adresi bulunduktan sonra OK tuşuna basarak IP adresi, textbox alanına gelir ve yayınlanacak olan Server seçilmiş olur. Resim–5

Resim-5

Resim-6’da protokol seçimi yapılması istenmektedir. Yayınlanabilecek protokollerin listesi görülmektedir.

Resim-6

FTP Server yayınlanacağı için FTP Server seçilir.Resim–7

Resim-7

Eğer FTP için Default olarak kullanılan porttan (TCP Port 21) değil de alternatif bir port tanımlanmak istenirse Ports alanı kullanılmalıdır.Resim-8

Resim–8

FTP Server’a isteklerin nerden geleceği belirtilir.Resim–9

Resim-9

Finish butonuna basılarak FTP Server yayınlama kuralı tamamlanmış olmaktadır.Resim-10

Resim-10

Oluşturulan kuralın kullanılabilmesi ve değişikliklerin geçerli olabilmesi için Apply butonuna basılmalıdır. Resim–11

Resim–11

ISA Server 2004 üzerinde oluşturulan bu kural ile FTP Server yayınlanması tamamlanmış olmaktadır.

Bir Sonraki Makalede Görüşmek Üzere

Ka®a

Bir çok şirket internet ve network güvenliklerini sağlamak için ISA Server yazılımı kullanmayı tercih etmektetir.Sistem yöneticilerinin güvenlik sistemi oluşturmadan önce Eğitim,Lisanslama ve Donanım gibi maliyetleri çıkarıp gerekli gideri ilgili Satın Alma Müdürü veya Genel Müdüre ilettiklerinde ilk aldıkları cevap fiyat yüksekliği olmaktadır.Bu yüzden eğitim ve lisanslamanın yapılmaması gibi bir şansları olmadıklarından alacakları Server’ın donanım özelliklerini düşürmeye gitmektedirler.Daha düşük RAM,Daha yavaş bir Harddisk veya istemedikleri özellikte bir CPU almaktadırlar.Bu da ilerde Server üzerinde kullanıcı sayısı artıkça sistem performansının düşmesine veya sorunların çıkmasına neden olacaktır.Uygulanacak birkaç optimizasyonla performans artırımı sağlanılabilir. Bu makalede 9 adımla ISA Server performansının daha iyi bir hala getirilmesi yer almaktadır.

Sistem performansı, genellikle kullanıcı isteklerinin sistem tarafından kısa bir zamanda başarı ile sonuçlandırılması olarak tanımlanabilir. Performansın anlaşılabilirliğinin denenmesinde iki ana fikir ölçüt alınabilir.İlk fikir, yüksek performanslı uygulamaların göz önüne alınması ve ikici olarakta var olan sistem ve kodların çalışma performansıdır.ISA Server performansını oluşturan bileşenlerin işlemci,bellek,ağ ve disk kaynakları olduğu göz önünde bulundurulmalıdır.

1.Secure Network Address Translation Client Tipi Yerine Microsoft Firewall Client Yazılımı Kullanılmalıdır.

Microsoft Firewall Client performansı Secure NAT (Ağ Adres Çeviricisi)dan daha iyidir.Secure NAT Client tipi Microsoft yüklü olmayan yerlerde veya server tabanlı çevrelerde kullanılmalıdır.Microsoft Firewall client tipi,Web Proxy ve Secure NAT tipinden daha fazla yarara sahiptir.Çünkü bu Client tipi direkt olarak ISA Server ile konuşur.

Hatırlatma:Aşağıdaki linkte ISA Server 2004 Clients Tipleri hakkında detaylı bilgi yer almaktadır.

http://www.mustafakara.net.tr/isa-server-2004-kurulumu-ve-yonetilmesi.html

2.Çoklu İşlemci Serverlar İçin Her Bir Ethernet Kartının Farklı İşlemcilere Tanıtılması Performansı Daha Uygun Hale Getirecektir.

3. Özel Network Adaptör Kartlarının Parametrelerinin Ayarlanması

Özel Network Adaptör Kartlarının Parametrelerinin Ayarlanması performansın artırılmasını sağlayacaktır. Intel veya Compaq Fast Ethernet adaptörleri ve Intel veya Compaq Gigabit adaptörleri için aşağıdaki yer alan parametre değişiklikleri yapılabilir.

1. Start→Settings→Network and Dial-up Connections  → Konfigure etmek istediğiniz Local Area Connection sağ tuş

2. Properties→Configure→Advanced

3. Property diyalog kutusu→değiştirmek istediğin parametreye tıkla sonra→Value diyalog kutusu→ Listeden kullandığınız network adaptörünü seç

Eğer Intel veya Compaq Fast Ethernet adaptörleri kullanıyorsanız aşağıdaki değerleri yazın:

Coalesce Buffers: 32
Receive Buffers: 500
Transmit Control Blocks: 64

Eğer Intel veya Compaq Gigabit adaptörleri kullanıyorsanız aşağıdaki değerleri yazın:

Coalesce Buffers: 512
Receive Buffers: 768
Transmit Descriptors: 512

4.Bellek Kapasitesinin Belirlenmesi

ISA Serverın sistem üzerinden kullanacağı RAM(bellek) belirlenmelidir.Kullanıcılar bağlı bulunduğu anlarda Performans monitoring yapılıp değerlerin üzerine çıkıp çıkmadığı kontrol edilmelidir.

5. ISA Server Üzerinde IP Routing Etkinleştirin.

IP Routing kullanımı performansının arttırılmasını sağlayacaktır.

6.ISA Server Loglamasını Devre Dışı Bırakmak Performası Artıracaktır.

ISA Server loglamasını kullanmak zorunda değilseniz devre dışı bırakmak sistem üzerinde görülür derecede performans artışı sağlayacaktır.Çünkü kurulum sırasında gelen MSDE logging RAM kaynaklarını kullanarak performansı olumsuz şekilde etkilemektedir.

Aşağıdaki adımlar izlenerek devre dışı bırakma işlemi yapılır.

1. Start →Programs→Microsoft ISA Server→ISA Managment tıklanır

2. ISA Managment ‘ta Servers genişletilir→Bilgisayar adı genişletilir→Monitoring Configuration→Logging tıklanır

3. Sağ yüzeyde ISA Managment Penceresi sağ tuş ve log tipi disable edilir

Bu işlem yapıldığı için herhangi loglama tutulmayacaktır.Bunun dışında log tutulması ve performansın minumum seviyelerde düşmemesi isteniyorsa SQL remote database logging tipi kullanılabilir.Bu ayarlamaların nasıl yapılacağı ilerleyen makalemde anlatmaya çalışacağım.

7. Registry’deki TCP/IP Buffer (Tampon) Boyutlarını Arttırmak

Regedit kullanılarak TCP/IP tampon boyutları arttırlır.Bu ayarlamalar dikkatli bir şekilde yapılmalıdır. Registry ayarlamaları yaparken sorun çıkabilir ve işletim sistemini yeniden yüklemeniz gerekebilir.Microsoft bu ayarlamalar sonucunda çıkabilecek sorunların çözümünü garanti etmektedir .Bu risk kullanıcıya aittir. Aşağıdaki adımlarla bu ayarlamalar yapılabilmektedir.

1. Start →Run→Regedit

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

3. Edit →New→ sağ tuş DWORD ve aşağıda yer alan değerleri Decimal olarak oluşturulur.

Value Name: ForwardBufferMemory
Value Data: 80000
Value Name: MaxForwardBufferMemory
Value Data: 80000
Value Name: NumForwardPackets
Value Data: 60000
Value Name: MaxNumForwardPackets
Value Data: 60000

4.Registry editor’den çıkılır ve sistem yeninde başlatılır.

8.Firewall Client Kernel Mode Data Pump Etkinleştirilmesi Performansı Arttıracaktır.

Kernel Mode ne olduğu hakkında kısa bir bilgi vermek gerekirse, Bu seviyede çalışan programlar bütün bellek adreslerine ve Giriş-Çıkış (sabit disk ve benzeri) aygıtlarına tam yetki ile erişirler. Ayrıca bu modadayken tüm sistem fonksiyonlarına erişilebilir, bellek yeniden adreslenebilir.

User Mode: Kullanıcı sistem için kullanılan fonksiyonları güvenlik açısından kullanamaz. Kullanıcı sadece kendi başlattığı uygulamaların adres alanları içerisinde kalmak suretiyle işlerini yürütebilir. Sistemin güvenli bir şekilde çalışabilmesi için kullanıcıya kısıtlı izinler tanınmıştır.

Regedit kullanılarak bu ayarlamalar dikkatli bir şekilde yapılmalıdır. Registry ayarlamaları yaparken sorun çıkabilir ve işletim sistemini yeniden yüklemeniz gerekebilir.Microsoft bu ayarlamalar sonucunda çıkabilecek sorunların çözümünü garanti etmektedir.Bu risk kullanıcıya aittir.(Bu uyarı support sayfasındaki yazıda sürekli yapıldığı için bende yazma ihtiyacı duyuyorum) Aşağıdaki adımlarla bu ayarlamalar yapılabilmektedir.

1. Start →Run→Regedit

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fwsrv\Parameters

3. Edit →New→ve sağ tuş DWORD ve aşağıda yer alan değerleri oluşturulur

Value Name: KernelModeFirewallClient

Value Data: 1

4.Registry editor’den çıkılır ve sistem yeninde başlatılır

9.Uygulama ve Web Filteresi

Application filter ,Uygulama katmanına giden belirli protokol port ve paketlerin içeriklerine bakarak işlem yapar.TCP filter kullanmak ,Application Filtere göre daha fazla fayda sağlar.

Application Filtering işlemciye, TCP filter’dan daha fazla ihtiyaç duyar bunun nedeni ise aşağıda yer almaktadır:

Application filter data içeriklerine bakar,TCP filter ise sadece TCP/IP Header (başlık)bakar ve böylece daha az performans harcar. Bir diğer fark ise Application filter user mode,TCP Filter ise Kernel Mode çalışır.Bu modlar 8.madde de anlatılmıştır. </LI>

Yukarıda var olan 9 madde sistem kaynaklarındaki yükün minumuma indirilmesi,kullanıcıların hiçbir şekilde ISA Server performansı yüzünden yavaşlama veya web sitesinin açılmaması gibi sorunlarının kabul edilebilir düzeye getirilmesi için sistem yöneticisinin yapabileceği ayarlamalardır.

Kaynak:

http://www.isaserver.org/tutorials/Optimizing-ISA-performance-Part1.html

http://support.microsoft.com/?id=293640

Bir Sonraki Makalede Görüşmek Üzere…

Ka®a