Windows Server 2003 VPN Karantina (VPN Quarantine) Bölüm I

Günümüzde server sistemlerin güvenlik politikalar? çe?itli senaryo ve çözümlere sahne olmustur. Bu çözümlerden biri olarak “VPN Quarantine” uzak ba?lant?larda popülaritesini koruyan bir denetim ?ekli olarak ?irketlerin güvenlik çözümlerinde ön s?ralarda bulunmaktad?r. Bu yararl? olgu sayesinde uzak kullanicilar?n VPN ile ?irket networküne ba?lanmaya çal??malar? esnas?nda uygulanacak baz? politikalar ve ?artlarla (örne?in antivirus program? kullanmayan uzak kullanicilar?n ?irket networkune ba?lanmalar?na izin vermemek) ?irket güvenli?ini sa?lamak mümkün olabilmektedir. “Quarantine” kelimesi Türkçemizde “Karantina” olarak adland?r?lmaktad?r. Dolay?s?yla söylemlerimde bu ?ekli kullanaca??m. J Ad?ndan da anla??laca?? gibi Karantina ile yapabileceklerimizin ba??nda uzak kullanicilar?n ba?lant?lar?n? gerçekle?tirmelerinden sonraki safhada ikinci bir güvenlik kordonundan geçmek zorunda b?rak?lmalar?n? sa?lamakt?r. Karantinan?n kurulmas? ve uygulanmas? için elimizde bulunmas? gereken materyaller ?unlard?r. – Windows Server 2003 Ent Edition kurulu bir isletim sistemi – Active Directory Yap?s? (Yap?land?r?lm?? bir Domain Controller) – Windows Server 2003 Ent Cd – Karantina için kullanilacak bir .exe, bir .bat ve bir .txt dosyas? Evet ?imdi s?ra geldi kuruluma ba?malaya. Unutmamak gerekir ki VPN KARANT?NA kurulumu oldukça a?amal? ve dikkat gerektiren bir kurulumdur. Tüm bu ön bilgerden sonra art?k kuruluma geçebiriz. Senaryomuzda bir i? gezisi için Uzak Do?u’ya giden bir kullanicin?n ?irket networküne uzaktan eri?erek kaynaklar? kullanmas? anlat?lacakt?r. Öncelikle Active Directory Users and Computers içerisinde bir kullanici yarat?yoruz. Bu kullanici uzak ba?lant?y? gerçekle?tirece?imiz kullanici.



kullanicim?z?n Ad? “vpn1” ?imdi bir global group olu?turuyoruz.



Olu?turdu?umuz kullaniciy? “control” grubuna üye yap?yoruz.



Grup yaratmam?zdaki amaç Remote Policy tan?mlamalar?nda grup kullan?yor olmam?z. ?imdi s?ra geldi DHCP yi yap?land?r?p uzaktan ba?lanacak kullanicilar?n ?irket networkunde yer alabilmeleri için onlara ip atanmas?n? sa?lamaya. Network Servislerinden DHCP yi kuruyoruz.

DHCP’yi kurduktan sonra bir scope olu?turuyoruz.




Bu scope yarat?l?rken uzaktan ba?lanacak kullanicilara atanacak IP adreslerinin ?irketin “iç” subnetinde olduguna dikkat ediyoruz. ?imdi IAS (Internet Authentication Services) ad?n? veridi?imiz ve bütün Authentication olaylar?n? kontrol eden servisi kuruyoruz. Bu sayede VPN kullanicis?n?n güvenlik kontrolü bu noktada yap?lacak.




IAS kurulduktan sonra yap?lmas? gerekn en önemli görev onu Active Directory içerisinde Register etmektir. Aksi halde IAS görevini yerine getirmeyecek çünkü Active Directory’den yetki alamayacakt?r.



Bu register i?leminin ard?ndan Active Directory üzerinde Users bölümünde bulunan “RAS and IAS Servers” adl? grubun üyeleri aras?na “CLI” ad?yla bizim IAS serverimiz da eklendi.



Bu senaryoda DC ve IAS ayn? server üzerine kuruldu?undan dolay? ayn? ismi görmekteyiz.



?imdi IAS üzerinde RADIUS (Remote Access D?al-In User Service) Server’in yapilandirilmasi gerekiyor ki VPN kullanicilari RADIUS uzerinden kontrol edilebilsin ve KARANT?NA’ya al?nmalar? gerekti?i bilgisine ula?abilsinler.

Burda dikkat edilmesi gereken “client address” bölümüne yaz?lacak IP’nin asl?nda uzak kullaniciy? ilk olarak kar??layacak olan VPN Server’in yani yine bizim senaryomuzda DC üzerinde kurulu olan Routing and Remote Access Server üzerinde yap?land?r?lan VPN SERVER. Bundan dolay? bu k?sma VPN SERVER IP’si yaz?lmal?d?r.



Burada belirtti?imiz “Shared Secret” daha sonra VPN Server yap?land?r?l?rken kar??m?za ç?kacak ve VPN SERVER ile RADIUS SERVER aras?ndaki tokala?may? sa?layacakt?r.



?imdi IAS üzerinde uzak kullanicilar için uygulanacak olan güvenlik kurallar?n? yaratal?m.



Burda öncelikle KARANT?NAYA al?nacaklara uygulanacak i?lemleri ortaya koyaca??m?z kontrol bölümü.



Bu k?s?mda öncelikle kontrolden geçeceklerin grubunu beliriyoruz. Daha önceden olu?turdu?umuz “control” adli grubu Windows-Group adl? tema ile ekliyoruz.









??te burda Add diyoruz ve “MS-Quarantine” adli filtrelerimizi ekliyoruz. Bununla beraber kullanicilar?n KARANT?NA’ya al?nmalar? gerekti?ini IAS üzerinden RADIUS’a bildiriyoruz.



Bu k?s?mda karantinaya al?nacak kullanicilar?n karantinada ne kadar süre bekletileceklerini ortaya koyuyoruz. Karantinada daha sonradan uygulaca??m?z ?artlarla uyu?mayan kullanicilar burda belirtece?imiz saniye periodundan sonra otomatik olarak Disconnect edileceklerdir. Örne?imizde 10 saniye belirtiyoruz.

?imdi de Karantinaya ald??m?z kullanicilar?n karantina içerisinde kald?klar? müddet boyunca çal??t?rabilecekleri program ya da kullanabilecekleri uygulamalarin portlar?n? belirtiyoruz.



D??ar?dan gelecek ba?lant?lar? filtreleyece?imizden dolay? Input Filter seçilmelidir.





Yeni bir filtre olu?turup burda TCP 7250 portunu aç?yoruz aksi halde karantinadaki kullanici hiçbir ?ekilde ?irket içerisinde var olamayacakt?r. Bu noktada istenirse gerekti?ini dü?ündü?ünüz Diger portlar? da açabilirsiniz. Fakat unutmamak gerekir ki ?artlar? sa?alamayan bir kullanici çok fazla yetkiye sahip olmamal?d?r. Bundan dolay? gereksiz port aç?lmamal?d?r.





Permit seçeni?iyle yaln?zca belirtti?imiz portun kullan?lmas?n? bunun d???nda kalanlar?n ise kesinlikle reddedilmesini sa?lad?k.



Son durum bu ?eklide gözükecektir.



?imdi de kontrol edilecekler gibi ikinci bir Policy olu?turuyoruz bunu da Diger bütün kullanicilar?n giri? yapabilmesi için kullan?yoruz. Yani karantina ile ilgisi olmayan Diger tüm uzak kullanicilar..





Day-And-Tme Restiriction ile Diger bütün kullanicilar?n uzak ba?lant?lar?nda geçerli olacak zaman k?s?tlamas?n? ortaya koyuyoruz.



Tüm zamanlara Permit vererek serbest giri? hakk? veriyoruz.





Policy lerimizin son durumu bu ?ekilde olu?uyor. Fakat önemli bir ayr?nt? olarak ?unu unutmamak gerekir ki; Kontrol edileceklerin kurallar?n?n ilk s?raya ta??nmas? gerekmekte. Bunun sebebi ise ilk a?amada kontrol kriterlerimizi uygulatabilelim. Aksi halde ilk s?rada serbest haklar? sa?layan “Digerleri” isimli kural olursa hiçkimse kontrol edilme a?amas?na gelmeden serbest bir ?ekilde a?a dahil olacaklard?r. Bundan dolay? “kontrol edilecekler” isimli kural? ilk s?raya al?yoruz.



?imdi Routing and Remote Acces Serverin VPN server olarak yapilandirilmasi ve RADIUS Server’i tan?yabilmesi sa?lanmal?d?r. Bu sayede authentication VPN server taraf?ndan RADIUS Server’a iletilecektir. Routing and Remote Access Server’i VPN için yap?land?r?yoruz.



D?? a?a ç?karken kulland???m interface’i seçmeliyiz.



DHCP yi yap?land?rd???m?z için uzaktan ba?lanacak kullanicilar ilk olarak VPN Server’a ula?acaklar?ndan dolay? ilk IP atamalar? bu noktada yap?lacakt?r.



Bu k?s?mda VPN SERVER’a bizim bir RADIUS Server’imizin oldugunu söyleme zaman? geldi.



RADIUS Server olarak IAS üzerinde yap?land?rd???m?z RADIUS Serverin IP sini yaziyoruz ve Shared Secret sifresini de yaz?yoruz. Art?k VPN Serverile RADIUS kolayl?kla anla?abilecekler ve uzak kullanicilar?n kontrol denetimi VPN serverdan RADIUS servera aktar?lacak.



VPN SERVER konfigurasyonu da bu ?ekilde tamamlan?yor.



?imdi IAS, RADIUS, VPN Server konfigurasyonlarindan sonra “Quarantine Service” adli servisi kurallar?m?z?n uygulanabilmesini sa?lamak amac?yla yüklememiz gerekiyor. Bunu da yine NETWORK SERVICES kismindan yapiyoruz.



Bu servisi kurduktan sonra manual olarak start etmemiz gerekecek. Bunun için “servisler” Bölümünden servisi açmal?y?z.



Önce Automatic yapiyor ardindan Start ediyoruz.



Art?k server taraf?nda yap?lmas? gereken son bir ?ey daha kald?. Bu da Connection ayarlamas? yapmak. Bu k?s?mda da client taraf?nda kullan?lmak üzere bir nevi application yarataca??z. Bu sayede client uzak ba?lant?s?n? herhangi bir ayar yapmaks?z?n çal??t?rd???nda do?rudan ?irketin d??a aç?lan k?sm?na yani VPN Server’a ba?lanacak ve ard?ndan gerekli authentication sürecinden sonra karantina i?lemleri yap?lacak ve gerekli ?artler? yerine getirdi?inen ?irket networkune dahil olacakt?r. Bu connection ne ?ekilde yarat?l?yor bunu da ikinci bölümde inceleyece?iz.