1. Anasayfa
  2. Forefront
  3. Alakalı Konular

VPN Erişiminde Forefront TMG ile UAG Arasındaki Farklar

Ozan Gündüz tarafından
01/09/2010 Okuma süresi: 9dk, 55sn
2

Microsoft Forefront, entegre bir koruma, erişim ve kimlik yönetimi ürün hattıyla uçtan uca güvenlik ve bilgi erişimi sağlar.

Güvenlik, iş hedefine ulaşmanın bir aracı olmalıdır. Microsoft, şirketlerin iş amaçlarına ulaşmasına ve aynı zamanda riski yönetmesine ve doğru kişilerin işlerini yapmak için bilgilere her zaman erişmesine yardımcı olmak için kurum çapında güvenlik sağlamaya çalışmaktadır.

Forefront Security ürünleri kullanıcı kimliği çevresinde oluşturulan ve yüksek düzeyde güvenli ve birlikte çalışabilir platformla entegre olan koruma, erişim ve yönetim çözümleri sağlamaktadır. Microsoft çözümleri, kurumların gereksinimlerine uygun daha bağlamsal ve kullanıcı merkezli bir güvenlik çözümü sunmaya yardımcı olur.

Forefront Threat Management Gateway (TMG) ve Forefront Unified Access Gateway (UAG), Forefront ailesinin iki önemli ürünüdür. TMG, çalışanları web tabanlı tehditlere karşı koruyan kapsamlı ve güvenli bir ağ geçididir. TMG; URL filtreleme, kötü amaçlı yazılımlara karşı koruma ve saldırı önleme dahil olmak üzere çok katmanlı ve sürekli güncel bir koruma sağlar. Kurum ağına birleşik bir ağ geçidi olarak yerleştirilmesi sayesinde TMG; tek ve tutarlı bir web politikası sağlamak için ağ, uygulama ve içerik katmanlarında web trafiğini denetler.  Tüm bu teknolojiler, web güvenliği maliyetini ve karışıklığını azaltmaya yönelik birleşik ve yönetimi kolay bir ağ geçidi oluşturabilmek için çekirdek ağ koruma özellikleri ile entegre hale getirilmiştir.

UAG ise, bir yandan var olan politikalarla uyumluluğu devam ettiriken, diğer yandan güvenli ve her yerden erişilebilen mesajlaşma, işbirliği ve diğer kaynaklara erişim altyapısı sunarak üretkenliğin artmasına yardımcı olur. UAG; kurum çalışanlarına, iş ortaklarına ve sağlayıcılara, yönetilen veya yönetilmeyen tüm bilgisayarlardan ve mobil cihazlardan, kurum kaynaklarına kapsamlı ve güvenli uzaktan erişim imkanı sağlar. SSL VPN’den Direct Access (DA)’e kadar çeşitlilik gösteren bağlantı seçenekleriyle UAG, her yerden erişim imkanına merkezi ve kolay yönetim olanağı sağlar. UAG, kapsamlı bir uzaktan erişim sağlayabilmek için granüler erişim kontrollerini ve politikalarını uygulamayı zorunlu kılar; böylece kusursuz güvenlik sağlamanın yanında karışıklık ve yönetim maliyetlerini de en aza indirir.


Resim-1

Forefront TMG ve UAG’yi genel bir çerçevede tanıdıktan sonra; asıl konumuz olan, TMG ile UAG’nin uzaktan erişimde gösterdiği farklılıklardan birisi – VPN erişimini – incelemeye başlayabiliriz. Virtual Private Network (Sanal Özel Ağ), yani VPN, özel ağlara güvenli bir biçimde uzaktan erişebilmek için kullanılan bir teknolojidir. VPN bağlantısı ile ağa bağlanan bir bilgisayar, ağ sunucuları tarafından konuk gibi değil, fiziksel olarak ağa bağlıymış gibi görünür. Özellikle kurumlar tarafından yaygın bir biçimde kullanılan VPN, kurum çalışanlarının, iş ortaklarının, bayilerin veya sağlayıcıların – kısacası yetki verilen her kullanıcının – güvenli bir şekide ağa bağlanabilmesine imkan sağlar.


Resim-2

Resim-3

VPN esasında, internet üzerinden sağlanan veri akışını şifreleyip daha güvenli hale getirmek için düşünülmüş bir teknolojidir. Kiralık hatlar (leased line) gibi VPN’den daha sağlam ve güvenli çözümlerin yerine VPN’in tercih edilmesindeki en önemli nedenler, kolay yapılandırma ve maliyettir. Ya da başka bir ifadeyle, uzaktan erişim gereksinimlerinin giderilmesinde birçok firma için en etkili ve düşük maliyetli yöntemlerden bir tanesi, internet gibi herkese açık ağlar üzerinden sağlanan veri iletimini güvenli ve şifreli bir şekilde sağlayan VPN’lerdir. Yaygın olarak kullanılan iki tip VPN teknolojisi bulunmaktadır: IPsec VPN, SSL VPN.

IPsec VPN

Internet Protocol Security (IPsec), transport ve tünel modlarında çalışabilir; ancak bu iki mod, güvenlik ile ilgili olan belirgin şekilde farklı etkilere sahiptir. Daha net bir deyişle, tünel modu hem başlığı (header) hem de iletilen veriyi şifreler, transport modu ise yalnızca veriyi şifreler. İletimi doğru bir biçimde gerçekleştirebilmek için,  anahtarlar hem alıcı hem de gönderici tarafında paylaşılmalıdır. IPsec, OSI Modelinin üçüncü katmanında, yani ağ (network) katmanında çalışır; böylelikle IPsec,  uygulamalardan bağımsız olarak çalışabilir. IPsec iki uç nokta arasında, sınırsız sayıda bağlantının veya protokolün (web, e-posta, dosya transferi, VoIP) çalışabileceği bir tünel oluşturur. Veri transferi esnasında tüm uygulama protokolü bilgisinin gizlenmesi amacıyla orijinal IP paketleri yeniden enkapsüle edilir. Tipik bir VPN uygulaması, güvenli ağda bir veya daha fazla VPN ağ geçidi içerir. Uzaktan erişimde kullanılacak her bilgisayara özel bir VPN istemci yazılımı yüklenmelidir; ayrıca hangi paketlerin şifrelenip şifrelenmeyeceği ve VPN tüneli için hangi ağ geçidinin kullanılacağı istemci tarafında tanımlanmış olmalıdır. VPN bağlantısı sağlandığı anda, istemci fiziksel olarak güvenli ağa bağlıymış gibi davranır ve sanki kurum içerisindeymiş gibi her türli bilgiye erişebilir.

SSL VPN

SSL (Secure Socket Layer) VPN’ler genellikle görünmez veya istemcisiz şeklinde isimlendirilir zira SSL VPN istemci tarafında özel herhangi bir VPN yazılımına ihtiyaç duymaz. Uzaktaki sisteme ulaşmak için gereken güvenli kanalın oluşturulmasında kullanılan SSL bileşenleri, hali hazırda birçok bilgisayarda da bulunan web tarayıcılarının bir parçasıdır (Gereken bileşenler ActiveX veya Java uygulaması şeklinde tarayıcı üzerine yüklenir.). Güvenli bağlantı kurulması için gereken tek yeni bileşen ise, güvenli ağ ile uzaktaki sistem arasında ağ geçidi görevi gören ayarlanmış bir SSL VPN sunucusudur. SSL protokolü, OSI Modelin yedinci katmanında, yani uygulama (application) katmanında çalışır. Bu durum, SSL VPN’in güvenli kaynaklar için bir proxy gibi davranmasına olanak tanır. Sunucu ve istemcinin kimlik doğrulamasının yapılması, iki tarafın da birbirlerini dijital sertifikalar yoluyla tanımladıkları başlangıçtaki tokalaşma rutiniyle gerçekleştirilir. Tokalaşma işlemi esnasında, uzaktan erişim oturumunda gönderilen ve alınan tüm trafiği şifrelemek amacıyla oturum anahtarları oluşturulur. Bir SSL VPN, kimliği doğrulanmış uzaktaki sistem ile güvenli ağdaki istek yapılan kaynak arasında tüm trafiği tutarak, bireysel kullanıcı ile beraber ağdaki bireysel kaynaklara da ince-damarlı kontrol politikaları dikte ettirebilir. Bu durum önemli bir esneklik getirir çünkü artık internet bağlantısı olan her bilgisayar – ev bilgisayarları, müşteriye ait olan bilgisayarlar veya internet kafe bilgisayarları dahi – güvenli uzaktan erişim için kullanılabilir.

IPsec VPN ile SSL VPN arasındaki farklar

İki VPN yönteminin de kendine ait avantajları bulunmaktadır ve aslında hangisi daha iyi sorusuna verilecek olan cevap, sizin kurum ağınızın yapısına ve ihtiyaçlarına göre değişkenlik göstermektedir. Sorulması gereken soru, hangisi daha iyiden ziyade, hangisi benim ağıma daha uygun olmalıdır. Yine de, bazı ek faydalar sunması nedeniyle birçok firma, SSL VPN’e geçiş yapmış durumda.

  • Ağ üyeliğine güven

IPsec VPN ağ katmanında çalıştığı için, uzaktaki bilgisayar dahili (internal) bir IP adresi alır ve intranetin bir parçası haline gelir. Bazı uzak kullanıcılar içinse; IPsec VPN tarafından veya güvenli ağın DNS sunucuları tarafından kullanılan IP adresi, var olan IP adresi ile çakışabileceğnden ve DNS sunucuları zaten uzak bilgisayarda kullanımda olduğundan veya VPN için özel portlar gerektiğinden, erişim engellenebilir. Uzak kullanıcının sadece dahili sistemlere erişebilmesini garanti altına almak için özel NAT kurallarına ihtiyaç duyulabilir.

SSL VPN’de ağ adresi çakışması gibi bir durum söz konusu değildir çünkü uzak bilgisayar dahili ağın adresini kullanmaz; bu yüzden uzaktan veya yerelden herhangi bir ek düzenlemeye gitmek gerekmez.

  • Kısıtlı erişim alanı

IPsec VPN ile bağlantı kurulduğunda, kimliği doğrulanmış kullanıcı dahili olarak erişebildiği her şeye uzaktan da erişebilir. Kimliği doğrulanmış uzak bilgisayar ile güvenli ağ arasındaki her türlü iletim, filtresiz bir biçimde gerekleştirilir; bu da uzak bilgisayarın ağdaki her şeye ekstra izin gerektirmeden erişebilmesine olanak tanır.

Bahsi geçen bu durum, sadece dahili olarak erişilebilen kaynaklara -kuruma özel bilgilerin tutulduğu sistemlere, hatta CEO’nun ofisindeki yazıcıya dahi- uzaktan erişimi engellemenin kolay bir yolu olmadığı anlamına geliyor. Bununla beraber IPsec VPN, ağınıza güvenli olmayan bir giriş noktası yaratabilir çünkü üzerinde kötü amaçlı yazılım bulunan herhangi bir uzak bilgisayar ağınız için bir tehdit kaynağı haline gelebilir. Tüm bunların sonucu olarak, birçok kurum IPsec kullanımını mümkün olduğunca kısıtlı tutmaya çalışmakta ve  yalnızca küçük bir kullanıcının bunu kullanmasına izin vermekte.

IPsec VPN’in sunduğu geniş ve açık erişim imkanlarına karşın; sadece onaylanmış kaynaklar için yalnızca yetkili trafiğe izin veren ve ağdaki diğer dahili kaynaklara kazara kötü amaçlı yazılım bulaşmasını engellemek amacıyla SSL VPN, bir proxy olarak çalışmaktadır. Yetki, sadece güvenli ağa uzaktan erişmek isteyen sisteme değil, belirtilen dahili kaynaklara erişimi önceden belirlenmiş olan kullanıcılara da verilebilir. Bu durum, her uzak kullanıcının aynı erişim kurallarına sahip olmasını önler çünkü sistem yöneticisi her kullanıcı için belirli dahili kaynaklara erişim izni verebilir ve bunu ağ kaynaklarında herhangi bir ayar değişikliğine gitmeden, kolayca yapabilir.

  • Destek ve onarım

SSL VPN kullanırken herhangi bir özel VPN istemci yazılımı kullanılmadığından BT çalışanları bir tane daha az yazılıma destek vermek durumunda kalırlar. SSL bileşenleri, tarayıcı bakımının bir parçası şeklinde güncellenir ve gereken her türlü modül dinamik bir şekilde şifreli bir oturumda indirilip kurulur. 

Peki, bir kurum VPN özelliği için Forefront Threat Management Gateway mevcutken neden Forefront Unified Access Gateway kullansın?

Basit bir uzaktan erişim ve web üzerinden uygulama paylaşımı için TMG, ISA (Internet Security and Accelerator Server) 2006’da bulunan VPN işlevselliğini NAP ile entegre bir şekilde geliştiriyor ancak TMG, VPN erişimi için SSL VPN kullanmıyor, IPsec VPN kullanıyor. UAG ise, daha sağlam ve güvenli uzaktan erişime ve uygulamalara daha basit erişime ihtiyaç duyan kurumlar için sunulan bir çözüm olarak öne çıkıyor. UAG, VPN erişimi için SSL VPN kullanmasının yanında buna ek olarak DirectAccess desteğine de sahip. Özetlersek, SSL VPN’in avantajlarından yararlanmak isteyen kurumlar için doğru çözüm olarak Forefront Unified Access Gateway ilk sırada yer alıyor.

Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

Forefront UAG and IAG 2007 Feature Comparison

Bu İçeriğe Tepkin Ne Oldu?
  • 0
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!
Etiketler
Ozan Gündüz

28 Nisan 1988'de Söke'de doğdum. 2002'de orta öğrenim için İzmir Fen Lisesi'ne geçtim. 4 yıllık lise eğitimini ardından, 2006 yılında da Boğaziçi Üniversitesi Mühendislik Fakültesi Elektrik-Elektronik Mühendisli Bölümü'ne yerleştim. Halen lisans eğitimime devam etmekteyim, 2011 Haziran'da lisans derecemi almış olacağım. Son iki sene içinde, sırasıyla Airties, Intel, Pals Elektronik isimli firmalarda kısa dönem stajyer olarak çalıştım. Hali hazırda, Microsoft Türkiye Ofisi'nde uzun dönem stajyer olarak çalışmaktayım.

Yazarın Profili
İlginizi Çekebilir
25 Mar, 2009 Intelligent Application Gateway 2007 (IAG) – Portal Sayfalarının Özelleştirilmesi

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorumlar (2)

  1. 20/10/2010

    Thanks for the info

    Cevapla

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir