;?>VPN teknolojisi günümüzde bir çok firmanın uzak erişime olanak sağlamak için kullandığı bağlantı tiplerinin başında yer almakta. Genelde uzak networklerde bulunan istemcilerin şirket network’üne bağlanabilmesi için şirketler ISA Server 2004’ü tercih etmekteler.VPN erişimini daha güvenli hale getirmek için kullandığımız VPN Quarantine özelliğini 3.party bir program olan VPN-Q 2006 üzerinde inceleyeceğiz.
Uzak network’te yer alan kullanıcıların şirket network’üne güvenli bir şekilde erişebilmesi için VPN sunucular sıklıkla kullanılmaktadır. VPN istemci adını verdiğimiz uzak network’te yer alan kullanıcıları RRAS ile ya da ISA Server 2004 kullanarak şirket ağımıza dâhil edebiliriz. Kullanmış olduğumuz VPN alt yapısının temeli güvenli erişime dayanmaktadır, bununla beraber güvenlik seviyesini bir kademe daha arttırmak isterseniz bunun için geliştirilmiş olan teknolojiyi yani VPN Quarantine yapılandırmanız gerekmektedir. VPN Quarantine teknolojisi şirket networkünüze erişim yapacak istemci bilgisayarlarda belirli şartlar aramaktadır. Bu şartları şu şekilde belirleyebiliriz; güncel service pack, ekran koruyucu yapılandırması veya anti-virüs yazılımının yüklü olması. İstemci bilgisayarlarda aranan bu ve benzeri şartlar sağlandığında bağlantı kurulacaktır. Böylelikle bahsettiğimiz güvenlik seviyesini bir üst kademeye çıkarmış ve yaşanacak sorunları önceden engellemiş olursunuz. VPN Quarantine yapılandırması gerçek anlamda zor ve karmaşık bir tasarımdır. Yapılandırma işlemlerini şu şekilde sıralayabiliriz;
Remote Access Quarantine Service kurulmalı. ConfigureRQSForISA.vbs Script’in yapılandırılması.CMAK yapılandırmasıQuarantine şartlarını belirleyen .exe,.bat veya .txt uzantılı dosyaların oluşturulması. CMAK dosyası ile oluşturulan paketin VPN istemci bilgisayara yüklenmesi
Bahsetmiş olduğumuz bu gereksinimler ve yapılandırmalar bu yararlı teknolojiyi kullanmak isteyen birçok sistem yöneticisinin gözünü korkuttuğu için bu hizmeti kullanmaktan uzak durmaktadırlar. Bu makalemizde sizlere bu hizmeti sevdirecek, çok kısa sürede yapılandırmanızı sağlayacak bir programdan bahsedeceğim. Böylelikle sizlerde uzak erişimlerde daha güvenli olmanın rahatını yaşamış olacaksınız.
VPN Quarantine yapılandırmasını sağlayan programın ismi VPN-Q 2006.VPN-Q 2006 programı VPN erişim hizmeti veren RRAS ve ISA Server 2004/2006 sürümlerinde başarılı bir şekilde çalışmakta. Makalenin ilerleyen kısımlarında programı indirebileceğiniz adresi, kurulum için gereksinimleri ve programın yapılandırmasını bulabileceksiniz. Bu detaylara başlamadan önce ISA Server 2004’de VPN Client yapılandırılmasının nasıl yapıldığını tekrar hatırlayalım çünkü VPN Quarantine içinde VPN client erişiminin daha önceden yapılandırılması gerekmektedir.
ISA Server 2004’ün bu denli çok tercih edilen bir ürün olmasının en büyük nedenlerinden biri de VPN Client ve Remote Sites erişimlerine imkân vermesidir. ISA Server 2004 VPN erişimi için arka planda Routing and Remote Access Servisinden yararlanmaktadır bizler ISA Server management konsoldan gerekli olan yapılandırmayı çok kısa bir sürede gerçekleştirebilmekteyiz. Bunun için Resim-1’de görüldüğü gibi Virtual Private Networks(VPN) bölümüne gelerek Tasks kısmında yer alan Enable VPN Client Access butonuna tıklamalıyız.
Resim-1
Configure VPN Client Access’e tıkladığınızda karşınıza gelen penceredeki yapılandırmalar şu şekilde ayarlanabilir.General bölümünde aynı anda VPN sunucu üzerine erişecek VPN istemci sayısı belirlenir.Sonraki kısım olan Groups bölümünde ise uzaktan erişim yapma hakkında sahip kullanıcıların olduğu grup eklenir.Uzaktan erişim hakkına sahip dediğimiz kullanıcılar dial-in izni olan kullanıcılardır.Protocols bölümünde bağlantı sırasında kullanılacak protokol türü belirlenir.PPTP ve L2TP protokollerinin her ikisini de işaretleyebilirsiniz.Son bölümde,bağlantı sırasında domain son ekinin otomatik olarak gelmesi yani mapping edilmesi sağlanabilir.Resim-2’de tüm bu ayarlamaların ekran görüntüsü yer almaktadır
Resim-2
General VPN Configuration bölümünde ise bağlantının sağlanacağı network,VPN istemcilere atanacak IP aralığı,kimlik doğrulama method ayarlamaları yapılmaktadır.Resim-3
Resim-3
ISA Server 2004 üzerinde VPN Client erişimi bu kadar kolay bir şekilde yapılandırılmaktadır. Uzaktan erişim yapacak istemci bilgisayarlar üzerindeki ayarlamalar ise şu şekildedir. Ağ bağlantılarım bölümünde yeni bir bağlantı oluştur kısa yolu tıklanır ve yapılandırma sihirbazında belirtilen seçenekler ayarlanır. Resim-4’de bu ayarlamalar görülmektedir, buradaki en önemli kısım erişim yapılacak VPN Sunucunun real IP’sinin girilmesidir.
Resim-4
Sihirbazda bağlantı ayarının hangi kullanıcı hesapları için yapıldığı, masaüstü kısa yolunun oluşturulması sağlanır. Kısa yol tıklanıldığında kullanıcı adı ve şifre girilerek bağlantı sağlanır. Resim–5
Resim-5
VPN Client’ların görüntülenmesi işlemi için monitoring bölümünde yer alan sessions(oturumlar) tabından yararlanılır. Resim-6’da erişim yapmış olan kullanıcı bilgisi görülmektedir.
Resim-6
VPN Client erişiminin nasıl yapılandırıldığını hatırladıktan sonra ISA Server 2004 üzerinde VPN Quarantine işlemi için yapılması gerekenleri ayarlamaya başlayalım. VPN-Q 2006 programı bu ayarları bizim için yapılandıracaktır ancak yine de ISA Server üzerinde bu ayarlamaların nerden yapılacağına bakalım. Networks bölümünde varsayılanda gelen networkler görülmektedir. Quarantined VPN Clients network’ün üzerinde sağ tuşa tıklayarak özellikler kısa yolunu seçelim. Resim–7
Resim-7
Qurantined VPN Clients özelliklerinde “Enable Quarantine Control” seçeneğinin işaretli olması gerekmektedir. Böylelikle ISA Server 2004 gelen uzak istemcileri kontrol edebilecektir. Resim–8
Resim-8
ISA Server 2004 üzerinde VPN Quarantine Clients erişiminin 3.party bir tool olan VPN-Q 2006 yardımı olmadan nasıl yapıldığı hakkında detaylı bilgi almak istiyorsanız aşağıda yer alan linkteki makaleyi incelemenizi öneririm.
http://www.sistemuzmani.com/Articles/Details.aspx?aId=1000000464
Resim-9’da VPN Quarantine Clients bulunduğu network ve ISA Server dizaynı görünmektedir.
Resim-9
VPN-Q 2006 yazılımını Winfrasoft firmasının sitesinden indirebilirsiniz.Aşağıda son sürümü indirebileceğiniz link bulunmaktadır.
http://www.winfrasoft.com/download/download
VPN-Q 2006 yazılımını indirmek için sizden istenen bilgileri girmeniz gerekmektedir. Bu bilgileri doğru girmenizi öneririm. Çünkü ürünün testinin yapılabilmesi için mail adresinize içerisinde. xml uzantılı bir dosyanın bulunduğu. rar ekli mail gönderilmektedir. Bu dosya aynı zamanda sizin deneme sürümü için kullanacağınız lisans olacaktır.
VPN-Q 2006 programının çalışabilmesi için istemci ve sunucu tarafındaki gereksinimler aşağıda yer almaktadır.
İstemci tarafında aranan minumum sistem gereksinimleri
Microsoft Windows XP için:
Professional Service Pack 2
Professional x64 Edition
Tablet PC Edition 2005
Home Edition Service Pack 2
Media Center Edition 2005
Microsoft .NET Framework 1.1 (SP1 önerilen) ve üzeri
ve
Microsoft Windows Vista için:
Home Basic
Home Premium
Ultimate
Business
Enterprise
Server tarafında aranan minumum sistem gereksinimleri
Windows Server 2003 Service Pack 1 (32 bit) Microsoft .NET Framework 1.1 (SP1 önerilen) veya üzeri service pack Microsoft Routing and Remote Access Services (RRAS) veya Microsoft ISA Server 2004 Standard / Enterprise Microsoft ISA Server 2006 Edition Standard / Enterprise Edition
VPN-Q 2006 programı farklı sürümlerde satışa sunulmaktadır. Standard ve Enterprise sürümlerde birçok güvenlik kontrol şartı hazır olarak gelmektedir. VPN istemcilerde kontrol edilecek güvenlik şartları ise şunlar;
İşletim sistemi service pack incelemesiIP yönlendirme durumuEkran Koruyucu ayarlanması Güvenlik duvarı durumu 3.Party kişisel güvenlik duvarı durumu Güvenlik duvarında hariç tutulmuş uygulama ve programlar İnternet paylaşım durumu Anti-virüs taramasını yapılıp yapılmadığı ve güncel olup olmasının durumu Otomatik güncelleştirmenin açık olup olmaması Güvenlik güncelleştirmelerinin durumu
Bunun dışında diğer özellikler ise şunlar;
WSUS uyumuElle ve otomatik IPSec Pre-shared key bağlantısıÇoklu dil seçeneği Vista işletim sistemi çalışması 32 bit ve 64 bit desteği Çoklu VPN desteği Merkezi loglama Merkezi GPO yönetimi Kabiliyetlerin iyileştirilmesi
Yukarıda saydığımız özelliklerin hangi sürümlerde bulunduğu Resim-10’da yer almaktadır.
Resim-10
VPN istemcilerde aranacak güvenlik şartlarında değişiklik yapmak istenirse VPN-Q 2006 bu ayarlamalara GPO ile imkan tanımakta.Bunun için indirmiş olduğunuz kurulum dosyasının içerisinde yer alan GPO klasörü altında yer alan vpn-q.adm template bizlere yardımcı olmakta.Resim-11’de yeni bir gpo oluşturuyorum ve gerekli ayarlamaları yapmaya başlıyorum.
Resim-11
Computer Configuration bölümünde yer alan Administrative Templates’e sağ tuş yaparak add/remove templates seçeneği ile vpn-q.adm dosyasını ekliyorum.Resim-12
Resim-12
Administrative Templates bileşenin altında Winfrasoft adında klasörün oluştuğu görülmekte. Artık istenilen ayarlamaları yapmak mümkün olacaktır. Örnek olarak sizlere service pack seviyesi ve ekran koruyucu süresinin ayarlanmasını göstereceğim. Resim-13
Resim-13
Microsoft firması Windows XP için kısa bir süre üçüncü service paketini çıkardı.Erişim yapacak istemcilerde SP3’ün olması şartını zorunlu hale getiriyorum.Aynı zamanda ekran koruyucu süresini 10 dakika olarak ayarlıyorum.GPO ile güvenlik kontrol şartlarını rahatlıkla yapabileceksiniz.Resim-14
Resim-14
VPN Quarantine işlemini bu kadar kolaylaştıracak olan yazılımı sistemimize yüklemeye başlıyoruz. Sihirbazı takip ederek kurulumu başarılı bir şekilde tamamlayacağız. Resim-15’de kurulum sihirbazının bizleri karşıladığını görmekteyiz
Resim-15
Sonraki adım olan lisans sözleşmesini onaylayarak bir sonraki adıma next ile geçiyoruz. Resim–16
Resim-16
VPN-Q 2006 yeni sürümünde gelen yeni gelişmeleri belirtmekte. Makalenin daha önceki bölümlerinde sizlere bu özelliklerin neler olduğunu belirtmiştim. Resim-17’de gelişmiş güncellemeler görülmekte.
Resim-17
Kurulum seçenekleri bölümünde VPN-Q yazılımı için gerekli olan bileşenlerin yüklenmesi ve ayarlanması seçeneklerini belirliyoruz. Makalenin daha önceki bölümlerinde normal bir şekilde herhangi bir 3.party yazılım kullanmadan VPN Quarantine yapmak içinde bu servislerin kurulması gerektiğinden bahsetmiştim. VPN-Q 2006, Remote Access Quarantine Agent ve CMAK servisini yükleyeceğini, ISA Server üzerinde yer alan varsayılan ayarlamaları yapacağını ve Remote Access Quarantine Agent servisini çalıştıracağını belirtmekte. Resim-18’de bu seçenekler yer almakta. Kurulumun ilerleyen bölümünde seçmiş olduğumuz servislerin yüklenebilmesi için bir adet Windows Server 2003 SP1 CD’sine ya da kurulum dosyalarının bulunduğu I386 klasörüne ihtiyacımız olacak.
Resim-18
Resim-19’da kurulum dosyalarının nerede saklanacağını belirliyoruz
Resim-19
Kurulum dosyalarının yüklenmesi işleminin başladığını Resim-20’de görebilmekteyiz.
Resim-20
Az önce bahsetmiş olduğum servisleri kurabilmek için Windows Server 2003 SP1 CD’sinin istendiğini Resim-21’de görmektesiniz.
Resim-21
VPN sunucusuna ait IP adresi ya da DNS ismini girerek kurulum adımlarını tamamlıyoruz. Resim–22
Resim-22
VPN-Q 2006 kurulumu ve ön ayarların yapılması başarı ile tamamlandı. Resim–23
Resim-23
VPN Quarantine makalesinin birinci bölümünde inceleyeceklerimiz bu kadar. Makalenin ikinci bölümünde VPN-Q programının konfigürasyonunu, VPN Quarantine istemciler için gereken paketin oluşturulmasını, şartların belirlenmesini ve şartların kontrol edilmesi işlemlerini inceleyeceğiz.
Kaynak:
Bir Sonraki Makalede Görüşmek üzere…
Ka®a