Düşünün bir işyeri sahibisiniz. Şirketinizde güvenliği sağlamak için personel tuttunuz. Şimdi bu durumda en iyi güvenliği bu personelinize gerekli olan tüm teçhizatı sağlayarak, gerekli eğitimleri sağlayarak mı gerçekleştirirsiniz yoksa o personeli kendi haline bırakarak mı? İşte ISA Server güvenliğini güçlendirmenin temel çıkış noktasıda budur. Doğru, ISA Server ağımızı korur, yönlendirir ancak ISA Server’ın çalıştığı işletim sistemini, bileşenlerini, fiziksel yapısını ne kadar optimize ederseniz o derece gönül rahatlığıyla çalışabilirsiniz. Bir önceki makalemizde ISA Server güçlendirmesi için yapılması gereken adımları belirtmiş ve ilk dördünü ayrıntılı olarak incelemiştik. Tekrar hatırlamamız gerekirse;
ü Güncelleştirmeleri Yönetmek
ü Fiziksel Erişim
ü Domain üyeliğine karar vermek
ü Windows Altyapısını Güçlendirmek
ü Sunucu Rollerinin ve İzinlerinin Yönetilmesi
ü Saldırı Olasılıklarını ve Alanını Daraltmak
ü LockDown Kipi
Şimdi kaldığımız yerden devam edelim ve güvenlikte en büyük yardımcılarımızdan birinin gücüne güç katalım.
SUNUCU ROLLERİNİN ve İZİNLERİNİN YÖNETİLMESİ
ISA Server ağ erişiminizi denetlediği için ISA Server ve bağlı bileşenleri üzerindeki izin ve yetkilendirmelere özel önem vermeniz gerekmektedir. Örneğin ISA Server sunucunuza kimlerin oturum açabileceğini tespit etmeli daha sonrasında buna uygun olarak gerekli yetkilendirmeleri yapmalısınız. ISA Server yönetimsel rollerin kullanıcılara ya da gruplara uygulanabilmesine imkân sağlar. Hangi grupların ya da kullanıcıların ISA Server’ınızı yapılandırabileceğini, monitör edebileceğini belirledikten sonra istediğiniz gibi yetkilendirmeleri gerçekleştirebilirsiniz. Peki, bu yönetimsel yetkilendirmeleri, rolleri ve izinleri vermeden önce neleri göz önünde bulundurmalısınız? Teker teker inceleyelim.
Yönetimsel Roller
Ağınızda olan her programda olduğu gibi ISA Server üzerinde yetkilendirme yaparken ISA Server yöneticilerinin rollerini, neler yapacaklarını belirlemeli ve buna göre yetkilendirmeleri yapmalısınız. ISA Server bu işlemi basitleştirmek için yönetimsel rolleri kullanır. Yönetimsel rolleri kullanarak ISA Server yöneticilerinize birbirinden bağımsız, ön tanımlı, belirli bir grup görevleri gerçekleştirecek şekilde yetkilendirebilirsiniz. Örneğin bir kullanıcıya ISA Server Basic Monitoring rolüne göre yetki verirseniz ISA Server Full Administrator rolünün yetkisinde olan görevleri gerçekleştiremez.
Aşağıda bulunan tabloda ISA Server Standard Edition’da bulunan rolleri görebilirsiniz.
Şekil-1
Aşağıda bulunan tabloda ISA Server Enterprise Edition’da bulunan rolleri görebilirsiniz.
Şekil-2
ISA Server yönetimi yapacak kullanıcılar herhangi bir Windows kullanıcısı olabilir. Özel ayrıcalıklara ya da Windows izinlerine ihtiyaç yoktur. Bu durumun tek bir istisnası vardır; ISA Server performans sayaçlarını inceleyecek, perfmon kullanacak ya da ISA Server dashboard kullanacak kişiler Windows Server 2003 Performance Monitor Users grup üyesi olmak zorundadır.
ISA Server Extended Monitoring izinlerinin gizli yapılandırma bilgileri de olmak üzere tüm yapılandırmayı import ve export edebileceğini de belirtmek istiyorum. Bu gizli yapılandırma bilgilerini decrypt edebilecekleri anlamına gelmektedir.
ISa Server’ın bulunduğu bilgisayar üzerinde admin yetkileri olan bir kullanıcıya ISA Server Array Administrator ya da ISA Server Enterprise Administrator yetkisi otomatik olarak verilmez. ISA Server standart Edition’da yetkilendirme yapabilmek için ISA Server Management konsolu içerisinde sunucu adınızı seçin, Tasks sekmesinde Assign Administrative Roles komutunu verin. Karşınıza gelen pencerede Assign Roles sekmesinde yetki vermek istediğiniz kullanıcı ya da grupları seçin ve ardından istediğiniz rolden birini verebilirsiniz.
Şekil-3
Kullanıcı Kimlik Bilgileri
Kullanıcı bilgilerinizin gerektiği durumlarda güçlü ve karmaşık parolalar kullanın. Bir parola ne kadar karmaşıksa yetkisiz erişimi engellemek için o kadar verimlidir. Güçlü bir parola kullanıcı adının tamamı ya da bir kısmını içermemeli, 10 karakter olmalı, büyük ve küçük harf içermeli, rakam içermeli ve (@!,$) gibi semboller kullanılmalıdır.
İzinler
ISA Server yöneticilerine gerekli izinleri verirken gereken en az izni verme ilkesini uygulamanızı öneririm. Kullanıcıya yapması gereken görevleri gerçekleştirmek için gereken izin ne ise onu atayın, bu şekilde kullanıcı hesabı yetkisiz kişilerin kontrolüne geçse dahi yetkisi dışında zarara yol açmayacaktır. Bu noktada aynı sebeplerden Administrator grubunuzun üye sayısını da en azda tutmanız çok önemlidir çünkü Administrator grubu ISa Server Full Administrator rolüne göre yetkilendirilir. ISA Server’a belirli bir görevi gerçekleştirmek için oturum açmanız gerektiğinde aynı şekilde o görevin gerektirdiği yetkiye uygun kullanıcı kullanın. Örneğin logları izlemek için ISA Server Full Administrator yetkisine sahip bir kullanıcı ile oturum açmayın.
Guest hesabını ISA Server üzerinde hiçbir şekilde etkinleştirmeyin. ISA Server guest hesabını Authenticated Users seti içerisinde değerlendirir. İşletim sistemi kullanıcı hesabı kimlik bilgilerini doğrulayamazsa o hesabı guest olarak kabul eder ve guest hesabına tanınmış yetkiler doğrultusunda izin verir. Eğer yanlışlıkla guest hesabına fazla izin verilmiş ya da üyelik tanınmışsa bu bir güvenlik riski oluşturacaktır.
Bir ISA Server yöneticisinin izinlerini kaldırmanız gerektiğinde; ISA Server üzerinde o kullanıcı hesabını silin, Configuration Storage Server üzerinde Active Directory Application Mode (ADAM)nesnelerini inceleyin ve izinlerini kaldırdığınız kullanıcı hesabının sahip olduğu nesnelerin sahipliğin alın.
SALDIRI OLASILIKLARINI ve ALANINI DARALTMAK
Başlığı okuduğumuzda çok net bir anlam elde edemeyebiliriz, bu neden örneklemeye çalışmamız daha doğru olur. Aslında ISA Server’ımızı güçlendirmek için şimdiye kadar anlattıklarımız ya da uyguladıklarımız hali hazırda saldırı olasılıklarını ve alanını daraltmaktadır. Düşünün ki evimizin kapısını ardına kadar açık bıraktık, bu noktada çok cazip bir hedef halini alacaktır. Sinemalarda izlediğimiz meşhur 300 filmini hatırlayalım, savaş alanını bir geçitle sınırlayıp düşmanlarının tüm güçleriyle saldırmalarını engellemişlerdi. İşte bu noktada aşağıda belirtilen işlemlerle saldırı olasılıklarını ve alanını daraltabiliriz.
ü Gereksiz uygulamaları ya da servisleri devre dışı bırakın. Örneğin artık neredeyse kullanılmayan telnet servisiyle erişim kapalı olsun.
ü Kullanmadığınız ISA Server özelliklerini devre dışı bırakın. Örneğin cache özelliğini kullanmıyorsanız, açmayın. VPN işlevini kullanmıyorsanız VPN istemci erişimini kapatın.
ü Ağınızı yönetirken kritik öneme sahip olmayan servisleri ISA System Policy kullanarak kapatın.
ü ISA System Policy kurallarını sadece gerekli olan ağ nesnelerine uygulayın. Örneğin Active Directory sistem ayarı varsayılan olarak etkindir ve tüm internal network için uygulanır. Bu sistem kuralını sadece gerekli olan ağ için etkinleştirin.
a) ISA Server Özelliklerini Devre Dışı Bırakmak
Ağınızda ihtiyaç duyduğunuz gereksinimlere göre ISA Server’ın sunmuş olduğu çeşitli özellikleri kullanmanız gerekmeyebilir. İhtiyaçlarınızı dikkatlice gözden geçirmelisiniz ve VPN istemci erişimi, Cache ve Add-in’leri bu ihtiyaçlara göre yapılandırmalısınız.
i. VPN İstemci Erişimi
VPN erişimi varsayılan olarak devre dışıdır. Bu aynı zamanda Allow VPN Client Traffic to ISA Server isimli ilgili sistem kuralının da devre dışı olduğu anlamına gelir. VPN istemci erişimi devre dışı olsa da VPN Clients to Internal Network isimli varsayılan sistem kuralı etkindir. VPN İstemci Erişimi etkinleştirilmişse ancak gerekli değilse şu şekilde kapatılabilir; ISA Server Management konsolunu açın ve Virtual Private Networks’ü seçin. VPN Clients sekmesine geçin ve Configure VPN Access komutunu verin. Burada gereksiniminize göre ayarlamanızı gerçekleştirin.
Şekil-4
ii. Caching
Caching özelliği varsayılan olarak devre dışı bırakılmıştır. Bu Scheduled Content Download gibi bağıntılı cache görevlerinin de devre dışı olduğu anlamına gelir. Caching özelliğini devre dışı bırakmak için; ISA Server Management > Sunucu Adı > Configuration > Cache bölümüne gelin ve Disable Caching komutunu verin.
Şekil-5
iii. Add-Ins
ISA Server kurduğunuzda uygulama ve web filtreleri içeren bir takım eklenti de beraberinde yüklenir. İsterseniz ayrıca 3rd party üreticiler tarafından hazırlanmış eklentileri de sisteminizde kullanabilirsiniz, bu noktada dikkat edilmesi gereken hususlar;
ü İhtiyaç duymadığınız uygulama ve web filtrelerini yüklemeyin.
ü Güvenilmeyen bir kaynak tarafından hazırlanmış eklentileri asla yüklemeyin.
ü Eklentiyle ilişkili olan DLL’leri güvenli bir kitaplık altına, örneğin %Program Files%Microsoft ISA Server, kaydedin. Daha sonra gerekli olan NTFS izinlerini yapılandırın.
ü Kullanmadığınız uygulama ve web filtrelerini devre dışı bırakın.
Eklentileri devre dışı bırakmak için; ISA Server Management > Sunucu Adı > Configuration > Add-ins bölümüne gelin devre dışı bırakmak istediğiniz uygulama ya da web filtresini seçtikten sonra Disable Selected Filters komutunu verin.
b) System Policy
ISa Server ağ altyapısının uygun şekilde çalışabilmesine olanak sağlamak için genel olarak kullanılan servislere izin veren varsayılan bir system policy içerir. Güvenlik açısından bakacak olursak kesinlikle önerilir ki ihtiyaç duymadığınız ağ hizmetlerini kapatmalısınız. Kurulum bittikten sonra varsayılan system policy ayarlarını kontrol edin ve gerekli olmayan servisleri kapatın. Bu hizmetleri genel olarak incelemek gerekirse;
i. Ağ Hizmetleri
ISA Server yüklediğinizde temel ağ hizmetleri etkin halde gelir. Kurulum tamamlandığında ISA Server yerel ağınızda bulunan DNS serverlara ya da Time serverlara erişim sağlayabilir. Ağ hizmetlerini kullanılacak ağ bölümüne göre yapılandırmanız önerilir, örneğin yerel ağınızda DHCP kullanmıyorsanız ancak DMZ için DHCP kullanıyorsanız yerel ağ için DHCP hizmetini devre dışı bırakın. Ayrıca system policy kurallarını belirli bir grup bilgisiyar içinde etkinleştirebilirsiniz. Aşağıda bulunan tablo ağ hizmetlerine uygulanan system policy ayarlarını göstermektedir.
Şekil-6
System policy kurallarını düzenlemek için; ISA Server Management > Sunucu Adı > Firewall Policy > Tasks > Edit System Policy komutunu uygulayabilirsiniz.
Şekil-7
ii. Kimlik Doğrulama hizmetleri
ISA Server ana özelliklerinden bir tanesi de güvenlik duvarı kurallarını belirli bir kullanıcı ya da bilgisayar grubuna uygulayabilmesidir. Bunu yapabilmesi için kimlik doğrulaması yapabilen sunucularla iletişim kurabilmesi gerekmektedir. Bu sebeple varsayılan olarak ISA Server yerel ağda bulunan Active Directory sunucularıyla (Windows authentication için) ve RADIUS sunucularıyla iletişim kurabilir. Aşağıda bulunan tablo kimlik doğrulama hizmetlerine uygulanan system policy kurallarını göstermektedir. Tüm kimlik doğrulama hizmetlerini yapılandırmak iin ISA Server Management > Sunucu Adı > Firewall Policy > Tasks > Edit System Policy > Authentication Services yolunu kullanabilirsiniz.
Şekil-8
iii. DCOM
DCOM protokolünü kullanmanız gerekiyorsa, örneğin ISA Server’ın uzaktan yönetimi için, Enforce Strict RPC Compliance system policy kuralının etkin olmadığına emin olun. Bu kuralı devre dışı bırakmak için ISA Server Management > Sunucu Adı > Firewall Policy > Tasks > Edit System Policy > Authentication Services > Active Directory altında ilgili kuralın işaretini kaldırın.
Şekil-9
DCOM sıklıkla başta uzaktan yönetim ve auto-enrollment olmak üzere pek çok hizmet için gereklidir.
iv. Uzaktan Yönetim
ISA Server’ınızı uzaktan yönetmek isteyebilirsiniz. Dikkat edilmesi gereken nokta kimlerin ya da hangi bilgisayarların sunucunuzu uzaktan yönetip, denetleyebileceğine karar vermektir. Aşağıda bulunan tablo konu ile ilgili olarak yapılandırılması gereken system policy kurallarını göstermektedir.
Şekil-10
Varsayılan olarak ISA Server’ın uzaktan yönetimi için gerekli kurallar etkindir, yani izin verilmektedir. ISA Server uzaktan MMC konsolu ile ya da Terminal Services ile uzaktan yönetilebilir.
Varsayılan olarak bu kurallar ön tanımlı Remote Management Computers seti için geçerlidir. ISA Server’ı yüklediğinizde bu bilgisayar seti boş olarak yaratılır. Uzaktan yönetim yapılacak bilgisayarlar bu set içerisine dahil edilerek etkinleştirilebilir. Bu seti sadece belirli IP adreslerine sahip bilgisayar için de düzenleyebilirsiniz. Bunun için; ISA Server Management > Sunucu Adı > Firewall Policy > Toolbox > Network Objects > Computer Sets > Remote Management Computers üzerinde değişiklik yapabilirsiniz.
Şimdiye kadar saydıklarımızın yanı sıra Remote Monitoring, Logging, Diagnostic Services gibi diğer system policy kuralları dikkatlice gözden geçirilmeli, sistem ve ağ gereksinimlerimiz belirlenmeli ve buna uygun olarak ihtiyaç duyulan hizmetler etkinleştirilirken ihtiyaç dışı hizmetler kesinlikle kapatılmalıdır.
Şimdiye kadar yaptıklarımızı gözden geçirecek olursak,
– Windows ve ISA güncelleştirmelerini gerçekleştirdik
– ISA Server’ımıza fiziksel erişimi engelledik
– ISA Server’ı ihtiyaca göre domain içerisinde konumlandırdık
– Windows ve ağ altyapımızı güçlendirdik
– ISA Server üzerindeki sunucu rollerini, kullanıcı grup ve hesaplarını ve bunlara bağlı olan izinleri yapılandırdık
– Olası saldırı olasılıklarını ve alanını daralttık.
ISA Server’ımızı güçlendirmek için son adım olarak göreceğimiz konu LockDown Kipi. Açıkçası bu konu oldukça detaylı ve şimdiye dek gördüklerimizden farklılık arz ettiği için ayrı bir makalede incelenmeyi gerektiriyor.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
