1. Ana Sayfa
  2. ISA Server
  3. ISA Server 2006 ile VPN Güvenliğinizi L2TP Kullanarak Arttırın

ISA Server 2006 ile VPN Güvenliğinizi L2TP Kullanarak Arttırın

Networkünüze dışardan gelen VPN bağlantıları yapınız için ciddi güvenlik sıkıntılarına yol açabilirler. Sadece kullanıcı adı ve şifresini bilen bir kişi istediği bilgisayardan sizin networkünüze dahil olup tüm kaynaklara ulaşabilir. Bunu engellemek için ise ya da  Pre-shared Key ile L2TP üzerinden bağlantılarınızı sağlayabilirsiniz. Bu makalemde a gelen VPN isteklerinin sadece L2TP kullanılarak networke giriş yapmalarına olanak sağlayacağız.

 

Makalede kullanacağımız network yapısı şekil-1 verilmiştir.

 

Şekil-1

 

ISA nın VPN özelliğini, VPN Server ve VPN Gateway olarak iki şekilde konfigüre edebiliyoruz. VPN Server seçeneği, üzerine dışardan gelen tüm isteklerin belirlenmiş kriterlere göre işlem görmesini sağlarken, VPN Gateway seçeneği, farklı iki network yapısını birbirine bağlayıp tek network gibi çalışmalarını sağlıyor. Şekil-1 de verilen network ü VPN Server olarak konfigüre edeceğiz. Gerçekleştireceğimiz adımlar kısaca aşağıdaki gibi:

 

VPN Server özelliğinin ISA üzerinde etkinleştirilmesi

 

VPN client larının internal network e ulaşmaları için bir Access rule yaratılması

 

İstenilen kullanıcı hesapları için Dial-in izninin verilmesi  

 

ISA Server 2006 ya ve VPN client lara sertifika yüklenmesi

 

L2TP/IPSec VPN bağlantısının test edilmesi

 

VPN Client bağlantılarının monitör edilmesi

 

A. VPN Server ın Etkinleştirilmesi

 

1. Internet and Acceleration Server 2006 > Virtual Private Networks (VPN) > Verify that VPN Client Access is Enabled ı klikleyelim.

2. VPN Client Properties penceresinde Enable VPN client Access i işaretleyelim ve bağlanacak kullanıcı sayısını aşağıdaki kutucuğa girelim.

 

Şekil-2

 

3. Groups tabında daha öncesinde, Active Directory de bağlanacak kullanıcılar için oluşturduğumuz grubu seçelim.

 

Şekil-3

 

4. Protocols tabında istediğimiz protokolleri seçelim.

 

Şekil-4

 

5. User Mapping tabında Enable User Mapping ve When username does not contain a domain, use this domain kutucuklarını işaretleyelim. Alt tarafa domain adımızı yazalım.

 

Şekil-5

 

6. Microsoft Internet Security and Acceleration Server 2006 > Virtual Private Networks (VPN) > Remote Access Policy i klikleyelim.

7. Virtual Private Networks (VPN) Properties penceresinde External ı işaretleyelim.

 

Şekil-6

 

8. Address Assignment penceresinde internal networkteki DHCP yi kullanacağımız için Dynamic Host Configuration Protocol (DHCP) seçeneğini seçtikten sonra alt tarafta DNS DHCP gibi hizmetlere hangi kart üzerinden ulaşılacaksa o kartı seçelim. Burada dikkat edilmesi gereken nokta, ISA Server üzerinde, DHCP Relay Agent ı etkinleştirmeniz ve içerdeki DHCP yi tanımlamanız gerektiğini unutmamanızdır. Bu işlemi yapmazsanız ISA Server üzerine gelen client bilgisayarlarınız IP adresi alamadan VPN bağlantı oluşturabilirler. Buda local kaynaklara erişememelerine neden olacaktır.

 

Şekil-7

 

9. Authentication pencersinde sadece MS-CHAPv2 yi işaretli bırakalım. Eğer L2TP için sertifika kullanma şansınız yoksa Pre-shared Key i tercih edebilirsiniz. Fakat bu güvenlik seviyenizi daha düşük kalmasına sebep olacaktır. Biz burada sertifika kullanacağımız için Pre-shared Key i boş bırakarak devam ediyoruz.

 

Şekil-8

 

10. RADIUS penceresindeki kutucukları boş bırakarak devam ediyoruz. Kullandığımız ISA Server ve bağlanacak istemci bilgisayarlar, zaten domaine üye olarak çalıştıkları için bu seçenekleri kullanmamıza şu anda gerek kalmıyor. 

 

Şekil-9

 

11. Apply > OK > Apply diyerek konfigürasyonu kayıt edelim ve ISA Server ı restart edelim.

 

B. Bağlanacak Kullanıcıların Local Kaynaklara Ulaşmaları İçin Access Rule Yaratılması

 

Yukarıdaki adımlardan sonra external clientlarınızın yerel kaynaklara ulaşmalarını sağlamamız gerekiyor. Aşağıdaki adımları takip edelim.

 

1. Microsoft Internet Security and Acceleration Server 2004 > Firewall Policy > Sağ klik > New > Access Rule

2. Welcome to the New Access Rule Wizard > Access rule name satırına belirlediğiniz bir ismi yazalım ve Next e klikleyelim.

 

Şekil-10

 

3. Rule Action penceresinde Allow u seçelim ve Next e klikleyelim.

4. Protocols penceresinde All outbound protocols u seçelim ve Next e klikleyelim.

5. Access Rule Sources penceresinde Add e klikleyelim. Add Network Entities penceresinde Networks > VPN Clients > Close diyelim.

 

Şekil-11

 

6. Next > Add > Add Network Entities > Networks > Internal u seçip sonrasında Close diyelim.

 

Şekil-12

 

7. User Sets penceresinde All Users > Next > Finish > Apply diyerek işlemi sonlandıralım.

 

Şekil-13

 

Son aşamada şekil-14 teki gibi bir Rule un yaratılmış olması gerekiyor.

 

Şekil-14

 

C. Dial-in İçin İstenilen Kullanıcıya İzin Verilmesi

 

VPN bağlantısı yapacak kullanıcılar için dial-in izinlerini ayarlamanız gerekiyor. Benim buradaki tercihim kullanıcı hesabı üzerinden işlem yapmak olacak. Aşağıdaki adımları takip edelim.

 

1. Start > Administrative Tools > Active Directory Users and Computers ü açalım ve VPN bağlantısı yapmasını istediğimiz kullanıcının özeliklerine geçelim.

2. Dial-in penceresini açalım ve Remote Access Permission (Dial-in or VPN) başlığı altında Allow access seçeneğini işaretleyelim. Apply > OK diyerek işlemi sonlandıralım.

 

Şekil-15

 

D. ISA Server 2006 ya Sertifika Yüklenmesi

 

VPN esnasında L2TP kullanılması için, hem bağlanılacak server da hem de bağlanacak client ta IPsec yada Administrator sertifikasının yüklü olması gerekiyor. Aşağıdaki adımları takip edelim.

 

1. Bir Explorer açalım ve http://10.0.5.60/certsrv yazıp Enter a basalım ve karşımıza gelecek ekranda username olarak Administrator ı kullanarak devam edelim.

2. Request a Certificate > advanced certificate request > Create and submit a request to this CA i seçelim.

3. Sertifika listesinden Administrator ü seçelim (IPsec sertifikası da seçilebilir) ve alt taraftaki Store certificate in the local computer certificate store kutucuğunu dolduralım.

4. Submit i klikleyelim ve gelen Potential Scripting Violation ı Yes diyerek kabul edelim.

5. Certificate Issued sayfasında Install this certificate i klikleyelim ve gelen Potential Scripting Violation ı Yes diyerek kabul edelim.

6. Start > Run > mmc > Enter > File menüsünde Add/Remove Snap-in i klikleyelim.

7. Açılan pencerede Add > Certificates > Computer Account > Local Computer > Finish i seçerek tekrar Add e klikleyelim.

8. Certificates (Local Computer) > Personal > Certificates e klikleyelim ve sol tarafa bakalım.

9. Az önce yüklemesini gerçekleştirdiğimiz Administrator sertikasını çift klikleyelim.

10. Details tabına geçip alt taraftaki Copy to File butonuna klikleyelim.

11. Next e klikleyelim ve Export File Format penceresinde Cyptographic Message Syntax Standard – PKCS #7 Certificates (.P7B) ı seçip Next e klikleyelim.

12. File to Export penceresinde dosyaya bir isim verip masaüstümüze kayıt edelim ve işlemi Next > Finish şeklinde sonlandıralım.

13. Trusted Root Certification Authorities > Certificates > All Task > Import u seçelim.

 

Şekil-16

 

14. Next > File to Import sayfasında Browse a klikleyelim ve az önce masaüstümüze kaydettiğimiz sertifikayı gösterelim.

15. Next > Next > Finish diyerek işlemi sonlandıralım.

 

E. VPN İle Bağlanacak Client Bilgisayara Sertifika Yüklenmesi

 

Bağlanacak client bilgisayarlar için ISA Server üzerinde gerçekleştirdiğimiz işlemlerin aynısı geçerlidir. Fakat önerim, VPN bağlantısı oluşturacak bilgisayarların local networkteyken bu sertifika yükleme işlemlerini gerçekleştirmeleridir.

 

F. Client Bilgisayarlarda VPN Bağlantısının Oluşturulması

 

1. Start > Run > Settings > Network Connection > Create New Connection > Connect to the network at my workplace > VPN Connection e klikleyelim ve bir isim vererek Next e klikleyelim.

2. VPN Server Selection penceresinde Modem inizin dış bacak IP sini verelim ve Finish e klikleyelim.

3. Connect to penceresinde Properties e klikleyeli ve Networking tabına geçelim.

4. Type of VPN seçeneğini L2TP IPSec VPN olarak değiştirelim.

 

Şekil-17

 

Artık bağlantı kurmaya hazırız.  Oluşturduğumuz bağlantıyı çevirelim ve ISA Server üzerinde gelen bağlantıları gözlemlemeye başlayalım. Client üzerinde oluşturduğumuz bağlantının ayrıntılarına baktığımızda şekil-18 gibi olmalıdır.

 

Şekil-18

 

ISA Server üzerinde baktığımızda gelen bağlantıyı kullanıcı adını ve IP adresini görebiliriz.

 

Şekil-19

 

Bu şekilde VPN bağlantısını sertifika aracılığı ile L2TP li oluşturarak gerekli güvenlik artırımını gerçekleştirmiş olduk.

Yorum Yap

Yazar Hakkında

Emre Aydın, Üniversite öncesi tüm öğrenimini İstanbul’da, üniversite öğrenimini ise Kocaeli'nde tamamladı. İşletme Yüksek Lisansını (MBA) Işık Üniversitesinde gerçekleştirmiştir. Üniversite sonrası Metis, Microsoft Türkiye, BilgeAdam gibi bilişim sektörünün farklı firmalarında Çözüm Danışmanı, Birim Müdür Yardımcı ve Birim Müdürü olarak görev almıştır. Son olarak Comparex Türkiye'de Birim Müdürü olarak çalışmış ve sonrasında tekrar Microsoft Türkiye çatısı altında Office 365'ten sorumlu teknik çalışan olmuştur. Uzmanlık alanı olan Microsoft Exchange Server, Office 365, Microsoft EMS, Windows Server ve Microsoft Azure konularında birçok kişi ve firmaya teknik eğitim vermiştir. Özellikle  Türkiye’nin önde gelen firmalarında Mesajlaşma Teknolojileri üzerine başarılı projelere imza atmıştır. Türkiye'nin en büyük ve uzun soluklu bilişim portali olan MSHOWTO’yu 2005 yılında kurmuş, portalin isim ve fikir babası olmuştur. Halen MSHOWTO’da yönetici olarak portalın birçok kişiye ulaşmasında önemli bir görev üstlenmektedir. Microsoft Office 365 alanında MVP olan Emre Aydın, Türkiye’de 11 kez üst üste MVP seçilebilme başarısı gösteren iki MVP’den birisidir. Birçok üniversite, etkinlik ve lansmanda konuşmacı, moderatör olarak yer almıştır. Sahip olduğu bazı sertifikalar: MVP | Office 365 | Since 2006 MCT | Since 2005 MCSD | Azure Solutions Architect MCSE | Private Cloud, Messaging, Communication, Server Infrastructure, Productivity, Platform MCSA | Office 365, Server 2012, Server 2016, Cloud Platform MCTS | Developing Azure Solutions, Implementing Azure Infrastructure, Architecting Microsoft Azure Solutions, SAM P-Seller Intelligent Cloud | EMS Amazon | AWS Certified Solutions Architect - Associate

Yorum Yap