;?>

Feed Rss

ISA Server 2004 Üzerinde VPN-Q 2006 ile VPN Quarantine Bölüm-1

04.29.2008, ISA Server, Makale, by , 2.528 views.
Okuma Süresi: 6 dakika

VPN teknolojisi günümüzde bir çok firmanın uzak erişime olanak sağlamak için kullandığı bağlantı tiplerinin başında yer almakta. Genelde uzak networklerde bulunan istemcilerin şirket network’üne bağlanabilmesi için şirketler ISA Server 2004’ü tercih etmekteler.VPN erişimini daha güvenli hale getirmek için kullandığımız VPN Quarantine özelliğini 3.party bir program olan VPN-Q 2006 üzerinde inceleyeceğiz.

Uzak network’te yer alan kullanıcıların şirket network’üne güvenli bir şekilde erişebilmesi için VPN sunucular sıklıkla kullanılmaktadır. VPN istemci adını verdiğimiz uzak network’te yer alan kullanıcıları RRAS ile ya da ISA Server 2004 kullanarak şirket ağımıza dâhil edebiliriz. Kullanmış olduğumuz VPN alt yapısının temeli güvenli erişime dayanmaktadır, bununla beraber güvenlik seviyesini bir kademe daha arttırmak isterseniz bunun için geliştirilmiş olan teknolojiyi yani VPN Quarantine yapılandırmanız gerekmektedir. VPN Quarantine teknolojisi şirket networkünüze erişim yapacak istemci bilgisayarlarda belirli şartlar aramaktadır. Bu şartları şu şekilde belirleyebiliriz; güncel service pack, ekran koruyucu yapılandırması veya anti-virüs yazılımının yüklü olması. İstemci bilgisayarlarda aranan bu ve benzeri şartlar sağlandığında bağlantı kurulacaktır. Böylelikle bahsettiğimiz güvenlik seviyesini bir üst kademeye çıkarmış ve yaşanacak sorunları önceden engellemiş olursunuz. VPN Quarantine yapılandırması gerçek anlamda zor ve karmaşık bir tasarımdır. Yapılandırma işlemlerini şu şekilde sıralayabiliriz;

 

Remote Access Quarantine Service kurulmalı. ConfigureRQSForISA.vbs Script’in yapılandırılması.CMAK yapılandırmasıQuarantine şartlarını belirleyen .exe,.bat veya .txt uzantılı dosyaların oluşturulması. CMAK dosyası ile oluşturulan paketin VPN istemci bilgisayara yüklenmesi

Bahsetmiş olduğumuz bu gereksinimler ve yapılandırmalar bu yararlı teknolojiyi kullanmak isteyen birçok sistem yöneticisinin gözünü korkuttuğu için bu hizmeti kullanmaktan uzak durmaktadırlar. Bu makalemizde sizlere bu hizmeti sevdirecek, çok kısa sürede yapılandırmanızı sağlayacak bir programdan bahsedeceğim. Böylelikle sizlerde uzak erişimlerde daha güvenli olmanın rahatını yaşamış olacaksınız.

VPN Quarantine yapılandırmasını sağlayan programın ismi VPN-Q 2006.VPN-Q 2006 programı VPN erişim hizmeti veren RRAS ve ISA Server 2004/2006 sürümlerinde başarılı bir şekilde çalışmakta. Makalenin ilerleyen kısımlarında programı indirebileceğiniz adresi, kurulum için gereksinimleri ve programın yapılandırmasını bulabileceksiniz. Bu detaylara başlamadan önce ISA Server 2004’de VPN Client yapılandırılmasının nasıl yapıldığını tekrar hatırlayalım çünkü VPN Quarantine içinde VPN client erişiminin daha önceden yapılandırılması gerekmektedir.

ISA Server 2004’ün bu denli çok tercih edilen bir ürün olmasının en büyük nedenlerinden biri de VPN Client ve Remote Sites erişimlerine imkân vermesidir. ISA Server 2004 VPN erişimi için arka planda Routing and Remote Access Servisinden yararlanmaktadır bizler ISA Server management konsoldan gerekli olan yapılandırmayı çok kısa bir sürede gerçekleştirebilmekteyiz. Bunun için Resim-1’de görüldüğü gibi Virtual Private Networks(VPN) bölümüne gelerek Tasks kısmında yer alan Enable VPN Client Access butonuna tıklamalıyız.

image001

Resim-1

Configure VPN Client Access’e tıkladığınızda karşınıza gelen penceredeki yapılandırmalar şu şekilde ayarlanabilir.General bölümünde aynı anda VPN sunucu üzerine erişecek VPN istemci sayısı belirlenir.Sonraki kısım olan Groups bölümünde ise uzaktan erişim yapma hakkında sahip kullanıcıların olduğu grup eklenir.Uzaktan erişim hakkına sahip dediğimiz kullanıcılar dial-in izni olan kullanıcılardır.Protocols bölümünde bağlantı sırasında kullanılacak protokol türü belirlenir.PPTP ve L2TP protokollerinin her ikisini de işaretleyebilirsiniz.Son bölümde,bağlantı sırasında domain son ekinin otomatik olarak gelmesi yani mapping edilmesi sağlanabilir.Resim-2’de tüm bu ayarlamaların ekran görüntüsü yer almaktadır

image002

Resim-2

General VPN Configuration bölümünde ise bağlantının sağlanacağı network,VPN istemcilere atanacak IP aralığı,kimlik doğrulama method ayarlamaları yapılmaktadır.Resim-3

image003

Resim-3

ISA Server 2004 üzerinde VPN Client erişimi bu kadar kolay bir şekilde yapılandırılmaktadır. Uzaktan erişim yapacak istemci bilgisayarlar üzerindeki ayarlamalar ise şu şekildedir. Ağ bağlantılarım bölümünde yeni bir bağlantı oluştur kısa yolu tıklanır ve yapılandırma sihirbazında belirtilen seçenekler ayarlanır. Resim-4’de bu ayarlamalar görülmektedir, buradaki en önemli kısım erişim yapılacak VPN Sunucunun real IP’sinin girilmesidir.

image004

Resim-4

Sihirbazda bağlantı ayarının hangi kullanıcı hesapları için yapıldığı, masaüstü kısa yolunun oluşturulması sağlanır. Kısa yol tıklanıldığında kullanıcı adı ve şifre girilerek bağlantı sağlanır. Resim–5

image005

Resim-5

VPN Client’ların görüntülenmesi işlemi için monitoring bölümünde yer alan sessions(oturumlar) tabından yararlanılır. Resim-6’da erişim yapmış olan kullanıcı bilgisi görülmektedir.

image006

Resim-6

VPN Client erişiminin nasıl yapılandırıldığını hatırladıktan sonra ISA Server 2004 üzerinde VPN Quarantine işlemi için yapılması gerekenleri ayarlamaya başlayalım. VPN-Q 2006 programı bu ayarları bizim için yapılandıracaktır ancak yine de ISA Server üzerinde bu ayarlamaların nerden yapılacağına bakalım. Networks bölümünde varsayılanda gelen networkler görülmektedir. Quarantined VPN Clients network’ün üzerinde sağ tuşa tıklayarak özellikler kısa yolunu seçelim. Resim–7

 
 
 

image007

Resim-7

Qurantined VPN Clients özelliklerinde “Enable Quarantine Control” seçeneğinin işaretli olması gerekmektedir. Böylelikle ISA Server 2004 gelen uzak istemcileri kontrol edebilecektir. Resim–8

image008

Resim-8

ISA Server 2004 üzerinde VPN Quarantine Clients erişiminin 3.party bir tool olan VPN-Q 2006 yardımı olmadan nasıl yapıldığı hakkında detaylı bilgi almak istiyorsanız aşağıda yer alan linkteki makaleyi incelemenizi öneririm.

http://www.sistemuzmani.com/Articles/Details.aspx?aId=1000000464

Resim-9’da VPN Quarantine Clients bulunduğu network ve ISA Server dizaynı görünmektedir.

image009

Resim-9

VPN-Q 2006 yazılımını Winfrasoft firmasının sitesinden indirebilirsiniz.Aşağıda son sürümü indirebileceğiniz link bulunmaktadır.

http://www.winfrasoft.com/download/download

VPN-Q 2006 yazılımını indirmek için sizden istenen bilgileri girmeniz gerekmektedir. Bu bilgileri doğru girmenizi öneririm. Çünkü ürünün testinin yapılabilmesi için mail adresinize içerisinde. xml uzantılı bir dosyanın bulunduğu. rar ekli mail gönderilmektedir. Bu dosya aynı zamanda sizin deneme sürümü için kullanacağınız lisans olacaktır.

VPN-Q 2006 programının çalışabilmesi için istemci ve sunucu tarafındaki gereksinimler aşağıda yer almaktadır.

İstemci tarafında aranan minumum sistem gereksinimleri

Microsoft Windows XP için:

Professional Service Pack 2

Professional x64 Edition

Tablet PC Edition 2005

Home Edition Service Pack 2

Media Center Edition 2005

Microsoft .NET Framework 1.1 (SP1 önerilen) ve üzeri

ve

Microsoft Windows Vista için:

Home Basic

Home Premium

Ultimate

Business

Enterprise

Server tarafında aranan minumum sistem gereksinimleri

Windows Server 2003 Service Pack 1 (32 bit) Microsoft .NET Framework 1.1 (SP1 önerilen) veya üzeri service pack Microsoft Routing and Remote Access Services (RRAS) veya Microsoft ISA Server 2004 Standard / Enterprise Microsoft ISA Server 2006 Edition Standard / Enterprise Edition

VPN-Q 2006 programı farklı sürümlerde satışa sunulmaktadır. Standard ve Enterprise sürümlerde birçok güvenlik kontrol şartı hazır olarak gelmektedir. VPN istemcilerde kontrol edilecek güvenlik şartları ise şunlar;

İşletim sistemi service pack incelemesiIP yönlendirme durumuEkran Koruyucu ayarlanması Güvenlik duvarı durumu 3.Party kişisel güvenlik duvarı durumu Güvenlik duvarında hariç tutulmuş uygulama ve programlar İnternet paylaşım durumu Anti-virüs taramasını yapılıp yapılmadığı ve güncel olup olmasının durumu Otomatik güncelleştirmenin açık olup olmaması Güvenlik güncelleştirmelerinin durumu

Bunun dışında diğer özellikler ise şunlar;

WSUS uyumuElle ve otomatik IPSec Pre-shared key bağlantısıÇoklu dil seçeneği Vista işletim sistemi çalışması 32 bit ve 64 bit desteği Çoklu VPN desteği Merkezi loglama Merkezi GPO yönetimi Kabiliyetlerin iyileştirilmesi

Yukarıda saydığımız özelliklerin hangi sürümlerde bulunduğu Resim-10’da yer almaktadır.

image010

Resim-10

VPN istemcilerde aranacak güvenlik şartlarında değişiklik yapmak istenirse VPN-Q 2006 bu ayarlamalara GPO ile imkan tanımakta.Bunun için indirmiş olduğunuz kurulum dosyasının içerisinde yer alan GPO klasörü altında yer alan vpn-q.adm template bizlere yardımcı olmakta.Resim-11’de yeni bir gpo oluşturuyorum ve gerekli ayarlamaları yapmaya başlıyorum.

image011

Resim-11

Computer Configuration bölümünde yer alan Administrative Templates’e sağ tuş yaparak add/remove templates seçeneği ile vpn-q.adm dosyasını ekliyorum.Resim-12

image012

Resim-12

Administrative Templates bileşenin altında Winfrasoft adında klasörün oluştuğu görülmekte. Artık istenilen ayarlamaları yapmak mümkün olacaktır. Örnek olarak sizlere service pack seviyesi ve ekran koruyucu süresinin ayarlanmasını göstereceğim. Resim-13

image013

Resim-13

Microsoft firması Windows XP için kısa bir süre üçüncü service paketini çıkardı.Erişim yapacak istemcilerde SP3’ün olması şartını zorunlu hale getiriyorum.Aynı zamanda ekran koruyucu süresini 10 dakika olarak ayarlıyorum.GPO ile güvenlik kontrol şartlarını rahatlıkla yapabileceksiniz.Resim-14

image014

image015

Resim-14

VPN Quarantine işlemini bu kadar kolaylaştıracak olan yazılımı sistemimize yüklemeye başlıyoruz. Sihirbazı takip ederek kurulumu başarılı bir şekilde tamamlayacağız. Resim-15’de kurulum sihirbazının bizleri karşıladığını görmekteyiz

image016

Resim-15

Sonraki adım olan lisans sözleşmesini onaylayarak bir sonraki adıma next ile geçiyoruz. Resim–16

image017

Resim-16

VPN-Q 2006 yeni sürümünde gelen yeni gelişmeleri belirtmekte. Makalenin daha önceki bölümlerinde sizlere bu özelliklerin neler olduğunu belirtmiştim. Resim-17’de gelişmiş güncellemeler görülmekte.

image018

Resim-17

Kurulum seçenekleri bölümünde VPN-Q yazılımı için gerekli olan bileşenlerin yüklenmesi ve ayarlanması seçeneklerini belirliyoruz. Makalenin daha önceki bölümlerinde normal bir şekilde herhangi bir 3.party yazılım kullanmadan VPN Quarantine yapmak içinde bu servislerin kurulması gerektiğinden bahsetmiştim. VPN-Q 2006, Remote Access Quarantine Agent ve CMAK servisini yükleyeceğini, ISA Server üzerinde yer alan varsayılan ayarlamaları yapacağını ve Remote Access Quarantine Agent servisini çalıştıracağını belirtmekte. Resim-18’de bu seçenekler yer almakta. Kurulumun ilerleyen bölümünde seçmiş olduğumuz servislerin yüklenebilmesi için bir adet Windows Server 2003 SP1 CD’sine ya da kurulum dosyalarının bulunduğu I386 klasörüne ihtiyacımız olacak.

image019

Resim-18

Resim-19’da kurulum dosyalarının nerede saklanacağını belirliyoruz

image020

Resim-19

Kurulum dosyalarının yüklenmesi işleminin başladığını Resim-20’de görebilmekteyiz.

image021

Resim-20

Az önce bahsetmiş olduğum servisleri kurabilmek için Windows Server 2003 SP1 CD’sinin istendiğini Resim-21’de görmektesiniz.

image022

Resim-21

VPN sunucusuna ait IP adresi ya da DNS ismini girerek kurulum adımlarını tamamlıyoruz. Resim–22

image023

Resim-22

VPN-Q 2006 kurulumu ve ön ayarların yapılması başarı ile tamamlandı. Resim–23

image024

Resim-23

VPN Quarantine makalesinin birinci bölümünde inceleyeceklerimiz bu kadar. Makalenin ikinci bölümünde VPN-Q programının konfigürasyonunu, VPN Quarantine istemciler için gereken paketin oluşturulmasını, şartların belirlenmesini ve şartların kontrol edilmesi işlemlerini inceleyeceğiz.

Kaynak:

http://www.winfrasoft.com

Bir Sonraki Makalede Görüşmek üzere…

Ka®a

Mustafa Kara Mustafa Kara (1375 Posts)

Mustafa Kara, 1981 yılında Adana'da doğdu. Üniversite öncesi tüm öğrenimini Mersin'de tamamladı. Anadolu Üniversitesi mezunudur. İşletme Yüksek Lisansını (MBA) , Maltepe Üniversitesinde ve Bilgisayar Mühendisliği Yüksek Lisansını da Okan Üniversitesinde gerçekleştirmiştir. Eskişehir'de okuduğu yıllarda Anadolu Üniversitesi Bilgisayar Araştırma Uygulama Merkezi Bilgi işlem departmanında çalışma hayatına başladı. Üniversite sonrası İstanbul'da kendi iş dallarının öncü firmalarında görev aldı. Uzun yıllar boyunca BilgeAdam BTA ve Kurumsal ‘da Sistem ve Network Eğitmeni, Kıdemli Danışman ve Birim Müdürü görevlerinde bulundu. Şu an COMPAREX Türkiye'de Teknik Müdür olarak çalışmaktadır. Uzmanlık alanı olan Microsoft System Center Ürün Ailesi, Hyper-V, Exchange Server, Windows Server, EMS, OMS, Azure ve bilişim teknolojilerinin önde gelen diğer üreticileri olan AWS, Veritas (Symantec) Backup Exec, Veeam Backup & Replication, VMware Virtualization, Cisco Routing & Switching, HP Server & Storage, EC-Council CEH ve ITIL Processes Management konularında birçok kişi ve firmaya 15.000 saatin üzerinde teknik eğitim vermiştir. Kamu ve özel sektördeki kuruluşlara projeler gerçekleştirmiş ve bu projelerin bazıları Microsoft tarafında Case Study olarak duyurulmuştur. Türkiye'nin en büyük bilişim portallarında yazıları yayınlanmakta olup MSHOWTO Topluluk Lideri görevini üstlenmektedir. Ayrıca üniversitelerde seminerler vermektedir. Seminer vermiş olduğu bazı üniversiteler: Boğaziçi Üniv.-Yıldız Teknik Üniv.-Marmara Üniv.-Galatasaray Üniv. -Bilgi Üniv. Bahçeşehir Üniv.- Kadir Has Üniv. –Kültür Üniv. –Yeditepe Üniv.. -Kocaeli Üniv.- Akdeniz Üniversitesidir. 2010 yılında çeşitli community'lerde yapmış olduğu çalışmalar neticesinde Microsoft tarafindan MVP ünvanına layık görülmüştür. Sahip olduğu sertifikalar: MVP, MCT, AWS SA, MCITP, MCTS, MCDBA, MCSE+S+M, MCSA+S+M, MCDST, MCP, CCDA, CCNA, HP AIS, HP APS ve CompTIA A+'dır.


Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir