Internet Security and Accerelation (ISA) Server Microsoft’un güçlü, hızlı, esnek, kolay yapılandırılan güvenlik duvarı yazılımıdır. Aynı zamanda Caching özelliği ile ağ kaynaklarının kullanımını daha efektif hale getirir. ISA server kullanarak ağımızda bulunan istemcilerimizin gerek internet ağına gerekse de diğer ağlara erişimlerini kontrol edebilir, izinler verebilir, engelleme kuralları oluşturabiliriz. Peki istemcilerimiz ISA server’ı nasıl kullanır? ISA Client terimi bizlere neyi ifade eder?
ISA Client;
Farklı bir ağdaki kaynaklara ISA server’ı kullanarak, yani ISA server üzerinden geçerek bağlanan istemci bilgisayardır. ISA server 3 farklı türde Client destekler. Bu istemci türlerini kullanmanız tamamen güvenlik gereksinimlerinize, sistem gereksinimlerinize göre değişecektir. Client türlerini kısaca açıklamak gerekirse;
1- Firewall Client: Üzerinde Firewall Client (FWC) yazılımı yüklü ve etkin halde bulunan bilgisayarları ifade eder. FWC yüklü bir istemci internet üzerinden bir kaynak talep ettiğinde bu istek ISA server üzerindeki Firewall hizmetine yönlendirilir. ISA server Firewall hizmeti bu istek üzerinde kimlik doğrulamasını yaptıktan sonra ilgili firewall kurallarına, uygulama filtrelerine göre isteği uygulamaya koyar. Firewall hizmeti talep edilen nesneyi cache’ine alabileceği gibi eğer varsa nesneyi Web Proxy Filter ile cache’inden kullanarak istemciye iletebilir. FWC en üst seviyede işlevsellik ve güvenlik sağlamaktadır.
Şekil-1
2- SecureNAT Client: SecureNAT istemciler FWC yazılımı yüklenmemiş bilgisayarlardır. Bunun yerine SecureNAT istemciler diğer ağlara gidecek tüm talepleri ISA server’ın iç IP adresine yönlendirecek şekilde yapılandırılmıştır. SecureNAT istemciler ISA server bilgisayarının iç IP adresini Varsayılan Ağ Geçidi olarak kullanırlar. SecureNAT istemcilerden gelen talepler ilk olarak NAT (Network Address Translation) driver’ına aktarılır. Ardından isteğe izin verilip verilmeyeceğinin belirlenebilmesi için Firewall hizmetine yönlendirilir. Son olarak ilgili kurallara, uygulama filtrelerine veya eklentilerine göre ilgili işlemler gerçekleştirilir. İstek cache’lenebileceği gibi mevcut ise cache’den de kullanılabilir. İstemcide sadece Varsayılan Ağ Geçidi yapılandırılacağı için SecuNAT istemciler uygulanması en kolay istemcilerdir.
Şekil-2
3- Web Prox Client: WPC, CERN uyumlu web uygulamaları çalıştıran herhangi bir bilgisayar olabilir. Örneğin Internet Explorer ya da Firefox gibi tarayıcılar CERN uyumlu web uygulamalarıdır. WPC istemciden yapılan istek erişim izninin kontrol edilmesi amacıyla Firewall hizmetine yönlendirilir. Erşimi izni verildikten sonra bilgi cache’lenir ya da cache’den istemciye iletilir. Günümüzde bilgisayarlar zaten hâlihazırda bir çok Web Proxy uyumlu yazılım kullandığı için WPC ek olarak bir yazılım yüklenmesini gerektirmemektedir. Bununla beraber ilgili uygulama ISA server’ı kullanacak şekilde yapılandırılmalıdır.
Şekil-3
Aşağıda bulunan tablo ISA Client’ların karşılaştırmasını içerir.
ÖZELLİK | SecureNAT | Firewall Client | Web Proxy Client |
Client yüklemesi | Hayır/İstemci Yapılandırması gerekli. | Evet, ISA FWC Client yüklenmeli. | Hayır, Uygulama yapılandırması gerekli. |
İşletim sistemi desteği | TCP/IP destekli tüm işletim sitemleri | Sadece Windows işletim sistemi kullanan istemciler. | Web uygulaması çalıştırabilen tüm işletim sistemleri |
Protokol desteği | Multi-connection protokoller için uygulama filtreleri gerekli. | Tüm Winsock uygulamaları. | HTTP, HTTPS ve FTP over HTTP. |
Kullanıcı düzeyinde kimlik doğrulaması | Sadece VPN istemciler için | Evet. | Evet. |
Tablo-1
FWC uygulaması sağladığı üst düzey güvenlik ve işlevsellik nedeniyle benim görüşüme göre en iyi tercihtir ancak bir dezavantaj olarak deployment sorunları içerebilir çünkü her bilgisayara yüklenmelidir.
FIREWALL CLIENT YAZILIMI YÜKLEME METOTLARI
FWC yazılımı 3 farklı şekilde sistemlerimize yükleyebiliriz.
1- Manuel yükleme: ISA kurulumu sırasında Firewall Client Installation Share seçeneği kullanılmışsa ISA server otomatik olarak FWC kurulum dosyalarını \\ISA_Server\mspclnt klasörü içerisine oluşturur ve paylaşıma açar. Burada bulunan MS_FPC.msi dosyasını kullanarak istemcilerimize kurulum yapabiliriz. Ayrıca istenirse bir answer file ile unattended kurulum gerçekleştirebiliriz. Komut dizimi ise;
Path\Setup.exe /v" [SERVER_NAME_OR_IP=NameOfTheIsaServerComputer] [ENABLE_AUTO_DETECT={1 or 0}] [REFRESH_WEB_PROXY={1 or 0}] /qn"
şeklindedir. İncelemek gerekirse;
PATH: Setup.exe dosyasının bulunduğu paylaşılan klasörün yolunu gösterir. Varsayılanda \\ISA_Server\mspclnt klasörüdür.
NameOfTheIsaServerComputer: FWC yazılımının hangi ISA server’ı kullanacağını belirtir.
ENABLE_AUTO_DETECT=1 FWC yazılımının ISA server’ı otomatik olarak algılamasını sağlar.
REFRESH_WEB_PROXY=1 FWC yazılımının istemcide Web Proxy ayarlarını güncellemesini sağlar.
2- System Management Server 2003 kullanarak FWC yüklemek: SMS Server 2003 kullanılarak istenirse Windows Installer (.msi) ya da Package Definition Format (.pdf , .sms) dosyaları kolaylıkla dağıtılabilir. Genel olarak kısaca bahsetmek gerekirse;
a) ISA FWC yazılımının yükleneceği bilgisayarlardan oluşan bir grup oluşturun. Bu gurup SMS içerisinden yönetilebilecek bilgisayar ya da kullanıcılardan oluşan mantıksal bir yapıdır. SMS ile IP adresine göre, donanıma göre, kullanıcı adı ya da gruplara göre vb. şekillerde grup oluşturabilirsiniz.
b) ISA FWC yükleme paketini (MS_FWC.msi) import ederek bir SMS paketi yaratın. Bu SMS paketi ile FWC yazılımı üzerinde sistem ya da kullanıcı bazında istediğiniz değişiklikleri uygulayabilirsiniz.
c) SMS paketini yüklemek için uygun bir zaman aralığı belirleyin ve oluşturduğunuz gruba yüklmeyi gerçekleştirin.
3- Active Directory GPO kullanarak FWC yüklemek: FWC yüklemelerini otomatize etmek için kullanılabilecek bir diğer metot ise Active Directory üzerinde Group Policy Software seçeneğidir. Bu seçenekle ilgili olarak bir sonraki makalemde ayrıntılı olarak ve ekran görüntüleriyle bilgi vereceğim ancak yine de kısaca değinmek gerekirse;
a) FWC kurulum dosyalarını ağ üzerinde paylaştırılmış bir lokasyona kopyalayın ya da bulunduğu lokasyonu paylaşıma açın.
b) FWC yazılımını kullanıcılara mı bilgisayarlara mı atayacağınızı belirleyin. Eğer FWC yazılımını kullanıcılara atamaya karar verirseniz yazılım kullanıcı ilk oturum açtığında yüklenecek ya da isterse kullanıcı Add/Remove Programs menüsünü kullanarak kurulumu başlatabilecektir. Eğer yazılımı bilgisayarlara dağıtmak isterseniz FWC yazılımı bilgisayarın ilk yeniden başlatılmasından sonra yüklenecektir.
c) Group Policy kullanarak Software distribution Policy oluşturun. Software Disribution Policy’i paylaştırılmış klasördeki yükleme dosyalarını kullanacak şekilde yapılandırın. Ayrıca isterseniz policy’i kullanarak yükleme seçenekleri üzerinde değişiklikte yapabilirsiniz.
d) Kullanıcı oturum açtığında ya da bilgisayar yeniden başladığında FWC yazılımı otomatik olarak kurulmuş olacaktır. FWC otomatik olarak ISA server’ı tespit edecek, yapılandırma dosyasını yükleyecek ve bağlantıyı sağlayacaktır.
Her bir OU’ya farklı ISA server’lar atayamazsınız. Bunu yapabilmeniz için ISA server setup.exe dosyasını paylaştırılmış bir klasör içerisinden komut satırı kullanarak çalıştırmalısınız. Bunun için 1. Yükleme metodunda anlatılanları uygulayabilir ve hangi OU’da hangi sunucunun kullanılacağını tespit edebiliriz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
