İlk bölümde genel bir giriş yaparak bilgi verdiğimiz Websense ürününün kurulumu ve ISA Server 2006 ile olan entegrasyonuna ikinci bölümde de devam ediyoruz.
Şekil-1
1. Masaüstündeki Websense ikonuna tıklayarak Websense yönetim ekranını başlatın. Aşağıdaki ekran karşınıza çıkacaktır. İşte tüm ayarları yapacağımız yönetim paneli açılmış oldu.
Şekil-2
Ayarlara tek tek bakmadan önce Websense’in çalışma şekline bakalım.
ISA server’a kurulan filtre sayesinde ISA servera gelen web istekleri isa server tarafından Websense’e iletilir ve ilgili kurala göre gereken cevap ta Websense tarafından kullanıcıya gönderilir.
Websense’te temel amacımız belirli kategorilerle ilgili filtreleme politikaları yapmaktır. Bu politikalar da birkaç filtreden oluşmaktadır.(category filter, protocol filter) Bu yüzden önce filtreleri oluşturup daha sonra bu filtreleri bir politikada kullanacağız . Tabi ki filtreler ve politikalar çeşitli şablonlar temel alınarak ayarlanabildiği gibi sıfırdan da başlanabiliyor. Filtrelemenin başlaması için “full database download” yapmamız gerekiyor. Daha önceki Websense versiyonlarında kurulum sırasında database’i indirmek isteyip istemediğimiz de sorulurdu. Bu versiyonda temel bir database kurulu olarak geriliyor. Bizim yapmamız gereken ise database’in tamamını indirmek. Bunu yapabilmek için de evaluation seri numaramızı girmemiz gerekiyor.
2. İlk olarak veritabanının update edilmesi gerekir. Böylece full filtreleme başlamış olacaktır.
Şekil-3
Database hazır hale geldikten sonra yapmamız gereken birkaç ayar daha gerekiyor. Bu ayarlar temel olarak şu şekildedir .
- Database download schedule – Database’in hangi aralıklarla update edileceği, gerekiyorsa proxy server bilgileri vs.
- Notification ayarları – Herhangi bir kategoride ihlal olması durumunda bilgilendirmenin hangi mail adresine ve nasıl yapılacağı ile ilgili ayarlar
- Directory Access – Websense’in Active Directory’e ulaşımı ile ilgili ayarlar
3. Database download schedule ayarlarını yapmak için Settings sekmesinde database download bölümünü açın ve size uygun bir zaman değeri girin
Şekil-4
4. Notification ayarlarını yapmak için yine settings sekmesinde “Alerts and Notifications” bölümünde alertse girin ve email alerts alanına ilgili ayarları girin. İsterseniz email bilgilendirmesi haricinde pop-up uyarıları ile ilgili ayarları da bu bölümde yapabilirsiniz.
Şekil-5
5. Default olarak Websense sadece belirli kategorilerin ihlalinde veya izin verilmesi halinde uyarı göndermek için ayarlanmıştır. İsteğe bağlı olarak farklı kategoriler de ekleyebilir ve kaç girişim sonra uyarı gönderileceği gibi ayarları da yapabilirsiniz. Demo sebebiyle “Job Search” kategorisini blocked bölümüne ekleyip bir girişimde email uyarısı vermesi şeklinde bir ayar yapıyorum. (Biraz sonra yapacagım kategori ayarlarında “job search” yasaklı olacağı için.)
Şekil-6
Şekil-7
6. Settings sekmesi altında Directory Services ve Logon Directory bölümlerinde ilgili active directory erişim ayarlarını yapabiliriz. Bu bölümde birçok diğer programda olduğu gibi, domain controller ip adresi ve giriş bilgilerini girerek ayarları tamamlayın.
Temel ayarlar bitti diyebiliriz. Tabiki bunların haricinde yapabileceğinizi detaylı ayarlar da mevcut. Sıra da ise Websense’in esas görevi olan filtreleme var. Default kategori filtresini baz alan bir politika yaratıp, active directory’de ki ozgur isimli bir kullanıcıya atayıp sonuçlara bakıyor olacağız.
Öncelikle filtreler ve politiklar ile ilgili ayarları Main sekmesi altınde yer almaktadır. Burada filtreleri özelleştirebilir, politika uygulayacağımız kullanıcı ve/veya grupları ekleyebilir ve tabiki de politika yaratıp ayarlarını yapabiliriz.
7. Öncelikle Filters bölümüne bir göz atalım. MSHOWTO isimli bir “category filter” yarattım. Bu filtre default isimli hazlihazırda sistemde var olan bir filtreyi baz aldı. Gördüğünüz gibi çeşitli kategoriler mevcut. Üzerinde saat olan kategoriler “kotalı erişim” anlamına gelmektedir. Yani o kategorilere erişimde zaman kısıtlaması olacağı belirtilmektedir. Üzerinde X işareti olan kategorilere ise erişim engellenmiş olup, yeşil ok olanlar ise herhangi bir kısıtlama olmadığını belirtmektedir. Demo gereği ayarlarda herhangi bir değişiklik yapmıyorum. “Job Search “ yani iş arama siteleri yasak, tatil siteleri ise kotalı şekilde bir örnek yapıyor olacağız.
Şekil-8
Şimdi bir politika hazırlayalım ve yukarıda bahsettiğim kategori filtresini kullanalım.
8. Main sekmesinde Policies bölümüne girin ve sağda Common tasks menusunde “ Create Policy” isimli linki tıklayın.
Şekil-9
Politika’ya istediğiniz bir ismi verdikten sonra description bölümüne bir açıklama girin. Description alanları genelde pek kullanma alışkanlığımız olan alanlar değildir ancak bazen durum çok karışık hale gelebiliyor ve yazdığımız kısa açıklamalar işimizi çok kolaylaştırabiliyor. Bu yüzden tavsiyem description bölümlerini doldurma alışkanlığı kazanmanız. Özellikle Websensete birden çok politika yaratmanız gereken durumlarda, çıkacak bir problemin çözümünde description alanına yazacağınız kısa açıklamalar çok yardımcı olacaktır.
Policy Definition bölümünde hangi zaman diliminde hangi filtrelerin kullanacağı belirlenmektedir. Biraz daha açıklamak gerekirse. Haftasonu c.tesi ve Pazar günleri “ monitor only” isimli filtre seçilmiştir. Buna göre herhangi bir engelleme olmayıp, internet trafiği izlenecektir. Haftaiçi gece saat 00:00’dan sabaha kadar basic isimli filtre geçerli olacaktır ve filtreleme çok temel olacaktır. Haftaiçi mesai saatlerini temsil eden 08:00 – 17:00 saatleri arasında ise Default filtre kullanılacaktır. Mesaiden sonra 17:00 – 24:00 arasında ise yine “basic” isimli filtre geçerli olacaktır. Burdaki ayarlar tavsiye edilen ayarlar olup her türlü değişikliği yapabilirsiniz. Örneğin mesai saatlerinin 08:00 -17:00 olması pek çok şirkete uymayabilir.
9. Politikayı da ayarladıktan sonra şimdi active directoryden bir kullanıcıyı sisteme ekleyelim ve ona bu yeni yarattığımız politikayı atayalım.
10. Main sekmesinde Clients bölümüne girin. Directory ikonuna tıklayınca domain ağacı aşağıya dogru açılacaktır. Burada ilgili kulanıcıyı veya grubu seçip ilgili politikayı atayabilirsiniz. Örnekte de görüldüğü gibi daha önce yarattığımız MSHOWTO isimli politikayı Ozgur isimli kullanıcıya atıyorum.
Şekil-10
11. Politikayı hazırlayıp örnek kullanıcıya atadıktan sonra şimdi test edelim ve Websense cevaplarına bir bakalım. İlk olarak yasak olarak belirlediğimiz “job search” kategorisine ait olduğunu bildiğim www.kariyer.net isimli siteye erişimi deniyorum ve aşağıdaki gibi bir hata mesajı ile karşılaşıyorum. Bu hata mesajı isa server tarafından yaratılmıştır ve erişmeye çalıştığımız sitenin yasak olması ile alakalı değildir. Burdaki problem, kullanıcının isa server üzerinde kurulu Websense’in ürettiği hata sayfasına ulaşamıyor olmasıdır. Bu yüzden internal networkten localhost networkune dogru http protokolune izin veren bir kuralı isa server üzerinde oluşturmak gerekiyor. Makalemin başında da belirttiğim gibi atak yüzeyini fazlalaştırmamak ve performans adına Websense’i ayrı bir serverda kurmak her zaman daha iyi bir fikirdir. Ancak demo gereği ISA server ile aynı server üzerine kurduğumuz için bahsettiğim kuralı oluşturmamız gerekiyor.
Şekil-11
12. Kuralı oluşturduktan sonra www.kariyer.net isimli siteye girişi tekrar deniyoruz ve olması gerektiği gibi Websense cevabı ile karşılaşıyoruz. www.kariyer.net “Job Search” kategorisine girdiği için engellendi.
Şekil-12
13. Şimdi bir de kota uygulaması olan bir kategoriden sayfaya girelim ve Websense’in cevabını görelim.
Şekil-13
Gördüğünüz gibi bu sefer karşımıza bir de “ use quota time” opsiyonu çıkıyor. Günlük ayrılan kota çerçevesinde bu kategorideki sitelere erişim yapılabilir.
14. Websense kurulumu bittikten sonra temel ayarlar içerisinde notification yani belirlediğimiz kategorideki filtrelemelerle ilgili email veya pop-up mesaj şeklinde bilgilendirme için email ayarlarını ve hangi kategoriler ile ilgili bilgilendirme yapılacağını belirlemiştik. Demo gereği, Job Search kategorisinde 1 kez engelleme oldugunda email ile haberdar edilme şeklinde ayar yapmıştık. Yukarıdaki www.kariyer.net denemesinden sonra mailboxımıza bakıyoruz ve aşağıdaki mesajı görüyoruz.
Şekil-14
15. Son olarak Websense’in diğer versiyonlarında olmayan bir özellikten bahsetmek istiyorum. Websense 7 ile birlikte artık bir websitesine bir kullanıcı erişmeye çalışırsa Websense’in ne gibi bir reaksiyon vereceğini kullanıcıya denetmeden önceden görebiliyoruz . Yönetim panelinin sağ bölümünde test filtering bölümüne ilgili kullanıcı veya grubu ve erişilmek istenen websitesini girdiğiniz zaman Websense sonucu size gösterebiliyor. Böylece bir politika uyguladığınızda etkilerini önceden görebiliyorsunuz.
Şekil-15
Sonuç:
URL filtreleme, firewalları tamamlayıcı özelliği sayesinde internet erişimini kontrol altında tutmak isteyen şirketler tarafından çok rabet gördü. Websense te bu konuda gerek stabilitesi gerek her ihtiyaca cevap veren özellikleri ile pazardaki yerini sağlamlaştırdı. Microsoft ta bu konudaki ihtiyaçları bildiğinden TMG ile birlikte URL filtreleme özelliğini sunuyor olacak. Henüz 2. Betada da karşımıza çıkmayan bu özellik piyasaya sunulduktan sonra, pazarda rekabetin daha da kızışacağı bir gerçek.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
