ISA HAKKINDA HERŞEY Ayhan ERGUN ISA SERVER'I TANIMAK -ISA Server'ın özelliklerini açıklamak. -Caching, Firewall özelliklerini açıklamak. I. GĠRĠġ ISA (Internet Security and Acceleration) Server 2000, özellikle Internet'e eriģim için kendi networklerini geniģleten Ģirketler için geliģtirilmiģtir. ISA Server, caching (ön belleğe alma) özelliğiyle özellikle kullanıcıların Web eriģimini hızlandırır. Bunun dıģında ISA Server, Ģirketin network kaynaklarını, network dıģından gelecek yetkilendirilmemiģ kullanıcılara karģı korumak için firewall görevi üstlenir. A. ISA SERVER SÜRÜMLERI ISA Server, ölçeğe göre iki ayrı sürüm olarak pazara sürülmüģtür: -ISA Server Standard Edition -ISA Server Enterprise Edition Standart sürüm, küçük Ģirketler için firewall ve Web caching hizmetleri sağlar. Enterprise sürüm ise, standart sürümün özelliklerinin yanı sıra, özellikle daha fazla Internet trafiğini yönetmek ve performans sağlamak için geliģtirilmiģ bir üründür. B. ISA SERVER'IN SAĞLADIĞI ġeyler ISA Server Ģirketlere Ģu yararları sağlar: Hız (acceleration) Güvenlik (security) Yönetim GeniĢleme ISA Server, caching olanağıyla Internet üzerindeki network trafiğini azaltır. DeğiĢik katmanlarda network trafiğini izleyerek güvenliği sağlar. Güvenliği sağlamak için gelen ve giden network trafiğine filtre konur. ISA Server, güvenlik ve caching özelliklerinin yanı sıra merkezi bir yönetim ve Ģirket ilkelerinin geliģtirilmesini sağlar. C. KURULUM MODLARI
ISA Server değiģik modlarda kurulur: Cache mod Firewall mod Integrated mod Cache mode Web eriģimi hızlandıran bir moddur. Firewall ise güvenlik sağlar. Integrated modda ise her iki mod bir araya getirilebilir. Genellikle her iki mod bu Integrated mod ile bir araya getirilerek kolay yönetim sağlanır. II. CACHĠNG (ÖN BELLEĞE ALMAK) Caching eriģilen Web nesnelerinin ön bellekte tutulmasıyla network performansının artırılmasını sağlar. Caching iģlemi Intranet ve Internet için kullanılabilir. ISA Server değiģik caching iģlemlerini destekler: Forward caching. Reverse caching. Distributed caching. Forward caching iģlemi iç istemcilerin Internet üzerindeki adreslere eriģmesini hızlandırır. Sık istenen nesneler merkezi bir ön bellekte tutulur ve diğer istemcilerin buradan eriģmesi sağlanır. Reverse caching iģlemi ise, dıģ istemcilerin iç Web server üzerindeki kaynaklara eriģmesini sağlar. Distributed caching iģlemi ise birden çok ISA Server arasında yük dengelemesini sağlar. III. FĠREWALL Firewall, donanım, yazılım ya da her ikisinin bileģimi olarak düzenlenen güvenlik sistemleridir. Firewall'lar network üzerindeki paketleri filtreleyerek özel networkleri izinsiz kullanıcıların eriģiminden korur. DeğiĢik türde firewall tasarımları vardır. Buların içinde three-homed firewall ya da back-to-back firewall gibi düzenlemeler vardır. Firewall'lar iki amaca hizmet ederler: Networke giren ve networkten çıkan bütün trafiği kontrol eder ve izinsiz kullanıcıları engellerler. Bunun dıģında Ģirket için güvenlik ilkesi uygularlar. ISA Server network trafiğinin kontrolü için Ģu iģlemleri yapar:
IP Paketlerinin Filtrelenmesi Uygulama Filtreleleri Kötü Niyetli KiĢilerin Bulunması Paket filtreleme network paketlerinin özelliklerine göre yapılır. Uygulama filtereleri ise belli bir tür veriye göre yapılır. KURULUM -ISA Server'ı kurmak. -ISA Server Client'ı kurmak. I. PLANLAMAK Bu konuda ISA Server'ın planlanması ve dağıtılmasıyla ilgili konular yer almaktadır. AĢağıdaki tabloda ISA Server kurulumunda ve dağıtımında göz önünde bulundurulacak konular yer almaktadır: Konu Açıklama Gereksinim duyulan bilgisayar sayısı Donanım yapılandırması ve Internet bağlantısı. Hangi ISA Server özelliklerine gereksinim duyacağız? Belli network özelliklerini karģılamak için belli ISA Server özelliklerini seçmek. Kullanıcı gereksinimleri nelerdir? Kullanıcıların gereksinim duydukları uygulamaları ve servisleri belirlemek. Var olan network üzerinde yeniden yapılandırma gerekecek mi? ISA Server'ın var olan network ile olan iliģkisini belirleyin. A. KAPASĠTE PLANLAMASI Performans bakımından iyi sonuçlar almak için ISA Server donanımını ve Internet bağlantısını tahmin edilen yüke göre planlamak gerekir. Minimum Gereksinim: ISA Server'ı kullanmak için gerekenler: -300 MHz (MHz) ya da daha yüksek bir Pentium II-compatible CPU. -Microsoft Windows 2000 Server Service Pack 1 ya da daha yenisi, Windows 2000 Advanced Server Service Pack 1 ya da daha yenisi Windows 2000 Datacenter Server. -256 MB RAM -20 MB hard-disk space -Windows 2000 network adapter -Local hard-disk üzerinde bri NTFS disk bölümü (partition)
Uzaktan Yönetim Gereksinimleri: Uzaktan yapılacak ISA Server yönetimi için yalnızca ISA Management'i kurmanız yeterlidir. Bu program Windows 2000 Professional ya da Windows 2000 Server üzerinde çalıģabilir. Ayrıca ISA Server'ı çalıģtıran bilgisayar üzerinde Terminal Servislerini Remote Administration modunda kurabilirsiniz. Bu durumda diğer bir bilgisayara ISA Management araçlarını yüklemek zorunda kalmazsınız. Bunun yerine ISA Server'ı yönetmek için Terminal Services oturumunu kullanırsınız. Forward Caching Gereksinimleri: ISA Server bir forward caching server olarak kullanılabilir. Forward caching server, sık eriģilen Internet nesnelerinin merkezi olarak saklanmasını (cache) sağlar. Bu durumda kaç tane Web tarayıcısının Internet'e eriģeceğini belirleyin. AĢağıdaki tabloda Ģirket içindeki kullanıcıların Internet'e eriģimini en Ģekilde sağlamak için gereken donanım açıklanmaktadır: Kullanıcı Sayısı ISA Server Bilgisayarı RAM Disk Alanı -500 Tek bir Pentium II Bilgisayar 256 2-4 Gigabytes (GB) 500 1,000 Tek bir Pentium III ve 500 MHz ya da daha hızlı bilgisayar. 256 10 GB 1,000 - Ġki tane Pentium III ve 500 MHz ya da daha hızlı bilgisayar. 256 10 GB B. ISA SERVER'IN ÖZELLĠKLERĠNĠ SEÇMEK ISA Server, firewall ve caching özellikleriyle kurulabilir. Yalnızca firewall ya da caching özellikleri kurulabilir. KuruluĢ sırasında bu modlar seçilebilir: -firewall, -cache -ya da integrated. Firewall modunda network iletiģimini kurallarla (rules) yapılandırarak korumak söz konusudur. Cache mod ise network performansını artırmayı amaçlar. Integrated modda ise bütün cache ve firewall özellikleri kullanılabilir. Seçilen moda göre farklı özellikler seçilebilir. AĢağıdaki tablodaki özellikler firewall ve cache modları için geçerlidir. Integrted modda ise bütün özellikler kullanılabilir: Özellik Firewall Cache Access policy Yes Yes (HTTP ve HTTPS protokolları)
Application filters Yes No Cache configuration No Yes Firewall and SecureNAT client support Yes No Packet filtering Yes No Real-time monitoring Yes Yes Reports Yes Yes Server publishing Yes No Virtual private networking Yes No Web filters Yes Yes Web publishing Yes Yes Web Proxy client support Yes Yes C. ĠSTEMCĠ GEREKSĠNĠMLERĠ ISA Server aģağıdaki türde istemcileri destekler: -Web Proxy clients: Bir Web Proxy istemcisi isteğini doğrudan ISA Server'a gönderir. Ancak Internet eriģimi tarayıcıyla sınırlıdır. Web tarayıcısının Web Proxy olarak yapılandırılması gerekir. -SecureNAT clients: Secure network address translation (SecureNAT) istemcileri ise güvenlik ve caching sağlarlar, ancak kullanıcı düzeyli authentication iģlemine izin vermezler. Bir SecureNAT istemcisini yapılandırmak için istemci bilgisayarda ISA Server'ın IP adresi default gateway olarak düzenlenir. -Firewall clients. Firewall istemcileri ise kullanıcı bazında bağlantıya sahip olurlar. a Firewall client yapılandırmak için Firewall client programının istemci bilgisayar üzerine kurulması gerekir. ISA Server Firewall client programı yalnızca Microsoft Windows Millennium Edition, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0 ve Windows 2000 bilgisayarlara yüklenir. II. KURULUM ISA Server CD'sinin takılmasıyla baģlatılan kurulum aģamalarında Ģunlar göz önünde bulundurulur: A. KURULUM MODUNUN SEÇĠLMESĠ ISA Server kurulumuna baģlamak için ISA Server CD'si bilgisyara takılır. Ardından Continue ile kuruluma baģlanır. Lisans anlaģmasının ardından kurulum Ģekilleri seçilir: -Typical Installation -Full Installation -Custom Installation Yaygın olarak kullanılan ISA Server bileģenlerini kurmak için Typical kurulum seçilir.
Ardından kurulum modu seçilir: -firewall, -cache -ya da integrated. Eğer ISA Server'ı cache modda ya da Integrated modda kuracaksanız, kurulum programı cache için yerin düzenlendiği bir iletiģim kutusunu kullanır. Bu iģlem için NTFS ve yeterince yer olan bir disk seçilir. Varsayılan cache büyüklüğü 100 MB'dır. Minimum cache büyüklüğü ise 5 MB dir. B. LAT YAPILANDIRMASI LAT (Local Address Table), iç IP adreslerinin bir tablosudur. ISA Server'ı firewall modda ya da Integrated modda kurulmuģsa, kurulum sırasında LAT'ı yapılandırabilirsiniz. ISA Server, LAT'ı Ģirket içindeki iç IP adreslerini tanımlamak için kullanır. Böylece ISA Server, LAT'ı kullanarak iç (internal) network içindeki bilgisayarların dıģ network üzerindeki bilgisayarlarla iletiģim kurmasını sağlar. Kurulum sırasında LAT'ı yapılandırmak için: 1. Kurulum sırasında Table'ı tıklayın. 2. Özel IP adresi aralığını girmek için Add address ranges based on the Windows 2000 Routing Table onay kutusunu seçin. Ardından iç (internal) network için olan netwotk kartı için olan onay kutusunu da iģaretleyin. 3. Internal IP ranges kutusunda, IP adres aralıklarının listesini gözden geçirin ve gerekli düzeltmeleri yapın. C. ISA CLĠENT ISA Server, daha önce de bahsettiğimiz gibi üç tür istemciyi (clients) destekler: -Web Proxy clients -SecureNAT clients -Firewall clients Hangi tür istemci kullanımına nasıl karar vereceğiz? Yalnızca Web isteklerinin performansını artırmak için Web Proxy istemcisi kullanılır. Ġstemci yazılımına gerek duyulmadan ISA Server'a eriģmek için SecureNAT istemcileri kullanılır. Ancak Ģirketlerde daha çok Firewall istemcileri kullanılır. Çünkü Firewall istemcileri Internet eriģiminin yalnızca kimlik denetim yapılmıģ (authenticated) kullanıcılar tarafından yapılmasına izin verir.
Ayrıca Firewall istemciler, kullanıcı bazında ilke (policy) düzenlemesinin yapılmasını sağlar. Firewall Client Yazılımının Kurulması ISA Server kurulumunun ardından MSPInt adlı bir dizin yaratılarak istemcinin buradan setup.exe programıyla kurulması sağlanır. \\Server\MSPInt dizinine geçin. Buradaki Server, ISA Server'ın kurulduğu bilgisayarın adıdır. Ardından Setup.exe programıyla istemci yazılımı kurulur. D. MĠCROSOFT PROXY SERVER 2.0'DAN YÜKSELTMEK ISA Server Microsoft Proxy Server 2.0'dan full geçiģi destekler. Diğer bir deyiģle Proxy Server 2.0 kuralları (rules), network düzenlemeleri ve caching yapılandırması aynen benimsenir. INTERNET ERĠġĠMĠNĠ GÜVENLĠ HALE GETĠRMEK -Policy ve Rule düzenlemelerini açıklamak. -Policy oluģturmak. I. ACCESS POLICY VE RULE ISA Server, iç networkünüzü Internet'e bağlar. Ancak Ģirket içinden Internet'e eriģim için verilen izin düzenlenmesi gerekir. Bu düzenlemeler Access Policy ve ilgili kuralların (rule) oluģturulmasıyla sağlanır. ISA Server üzerinde düzenlenen Access Policy ve ilgili kurallar (rule), kullanıcıların belli bir protokole eriģmesi için izin verilmesini ya da engellenmesini (deny) sağlar. ĠPUCU: ISA Server kurulumunun ardından istemcilerin Internet eriģimini sağlamak için bir kural (rule) tanımlayarak http protokolünü kullanıma açmanız gerekir. A. ACCESS POLĠCY BĠLEġENLERĠ Bir access policy (eriģim ilkesi) Ģu bileģenlerden oluģur: Protokol Kuralları ISA Server istemcilerinin iç ve dıģ network ile iletiģim kurmak için kullanabileceği protokolleri tanımlar. Site ve Ġçerik Kuralları Ġzin verilen ya da engellenen Web proxy istemcilerinin eriģebileceği site ve içerikleri tanımlar.
Policy Elemanları Kuralların bir kısmı olarak kullanılacak ayarlamaları tanımlar. Ġlkeler (policy) belli bir zamanlamayı ya da belli bir içeriği tanımlar. B. BĠR ERĠġĠM ĠLKESĠ (ACCESS POLĠCY) PLANLAMAK Bir eriģim ilkesini oluģturmadan önce Ģirketinizin gereksinimlerini karģılayacak olan strateji geliģtirmenizde yarar vardır. Bir eriģim ilkesi geliģtirmek için Ģu kriterleri göz önünde bulundurabilirsiniz: -ġirketin gereksinimleri. -Gerek duyulan kurallar. -Kuralları tanımlamak için gereken ilkeler (policy). C. PROTOKOL KURALLARI OLUġTURMAK Protokol kuralları, istemcilerin Internet'e eriģmek için kullandıkları protokollardır. Örneğin http gibi. Bir protokol kuralı yaratmak için Ģu adımları izleyin: 1. ISA Management programını baģlatın. 2. Konsol ağacında Access Policy'ı geniģletin. 3. Protocol Rules'ı ve ardından Create a Protocol Rule'ı tıklayın. 4. Rule Action sayfasında Allow ya da Deny tıklayarak kural iģlemini tanımlayın. 5. Next'i tıklayın ve Protocols sayfasındaki seçeneklerden birisini tıklayın. Seçenekler: All IP traffic: Firewall istemciler için bütün IP trafiğine izin verilmesi ya da engellenmesi. Selected protocols: Kuralın uygulanacağı bütün protkoller. All IP traffic except selected: Kuralların uygulanmayacağı bütün protokoller. 6. Schedule sayfasında belli bir zaman planını seçin ve Next'i tıklayın. 7. Client Type sayfasında ise Ģu seçenekleri düzenleyebilirsiniz. Seçenekler: Specific computers (client address sets): Kuralların uygulanacağı istemci bilgisayarlar. Specific users and groups: Kurallın uygulanacağı kullanıcı ve gruplar seçilir.
D. SĠTE VE ĠÇERĠK KURALLARI Site ve içerik kuralları ise, kullanıcıların belli sitelere eriģmesine izin verir. Bir protokol kuralı yaratmak için Ģu adımları izleyin: 1. ISA Management programını baģlatın. 2. Konsol ağacında Access Policy'ı geniģletin. 3. Site and Content Rules'ı ve ardından Create a Site and Content Rule'ı tıklayın. 4. New Site and Content sihirbazında Site and Content rule name kutusunda kuralın adını yazın ve Next'i tıklayın. 5. Rule Action sayfasında Allow ya da Deny tıklayarak kural iģlemini tanımlayın. 6. Destination Sets sayfasındaki seçenekleri tıklayın. Seçenekler: All destinations: Bir zaman planını seçin, ardından istemci türünü seçin. All internal destinations: Bir zaman planını seçin, ardından istemci türünü seçin. All external destinations: Bir zaman planını seçin, ardından istemci türünü seçin. Specified destination set: Bir zaman planını seçin, ardından istemci türünü seçin. E. POLĠCY ELEMANLARI OLUġTURMAK ISA Server kurallarını oluģturmak için policy (ilke) bileģenlerine gerek duyulur. Ġlke elemanları kullanıcılar, yer ve bant geniģliğinin kullanımı konusunda daha fazla kontrol sağlar. ISA Server policy elemanları Ģunları içerir: Schedules (zaman planları) Bandwidth priorities (bant geniģliği öncelikleri) Destinations Sets (hedef bilgisayarlar) Client address sets (istemci adresleri) Protocol definitions (protokol tanımlamaları) Content groups (içerik gruplamaları). Dial-up entries (çevirmeli bağlantılar). CACHING'Ġ YAPILANDIRMAK -Caching (önbellekleme) fonksiyonunun özelliklerini açıklamak. -Caching ilkelerini yapılandırmak.
I. CACHING FONKSĠYONLARI ISA Server, Web nesnelerine hızlı ve etkin eriģim sağlamak için çeģitli caching fonksiyonlarına sahiptir. ISA Server'ın cache performansını artırmak için yaptıklarında bazılarını Ģu Ģekilde açıklamak mümkündür: RAM ve Disk Caching Disk üzerinden eriģilen nesneler için RAM (ana bellek) üzerinde alan ayırmak ve ardından onları disk üzerine kaydetmek. Cache Edilen Nesnelerin Dizinini OluĢturmak Cache edilen nesnelerin bir dizinini RAM üzerinde tutar. ISA Server, caching fonksiyonları bu iģlemlerin yanı sıra, bu iģlemleri dinamik olarak günceller ve kullanılmayanları da silerek caching iģlemini sürekli olarak güncel ve etkin tutmayı sağlar. A. YENĠ NESNELERE ERĠġMEK Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy servisine gönderir. Web Proxy servisi isteği aldığında Ģu Ģekilde iģler: 1. Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer almıyorsa, nesne için cache içinde bir kayıt ayrılır. 2. Wep Proxy servisi nesneyi Internet üzerinde elde eder ve bir kopyasını RAM cache üzerine koyar. 3. Web Proxy servisi nesneyi istemciye döndürür. Bu arada Web Proxy servisi nesneyi disk cache içinde de saklar. B. VAROLAN NESNELERE ERĠġMEK Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy servisine gönderir. Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer alıyorsa, nesne bir Internet trafiği oluģturmadan doğrudan istemciye ulaģır. Böylece hız artar. II. CACHING ĠLKELERĠNĠ YAPILANDIRMAK Bölümün önceki konusunda ISA Server'ın caching fonksiyonlarından söz ettik. Ancak, bu fonksiyonları ayarlamak için belli ilkeler (policy) kullanılabilir. Bu konuda bu ilkelere bakacağız: A. HTTP CACHĠNG'Ġ YAPILANDIRMAK HTTP Caching iģlemini etkinleģtirdiğinizde, ISA Server'ın HTTP nesnelerini (Internet eriģimi) cache içinde tutmasını sağlarsınız. ISA Server belirtilen bir süre kadar eriģilen içeriği cache içinde tutar ve bir sonraki eriģimin istemcilere hız sağlar.
Ancak, nesneler ne kadar süre cache içinde duracak? Bir nesnenin cache içinde kaldığı süre TTL (Time to Live) olarak adlandırılır. HTTP caching iģlemini etkinleģtirmek için: 1. ISA Management içinde, konsol ağacını açın. 2. Cache Configuration'ı tıklayın. Ardından ayrıntılar bölmesinde Configure Cache Policy'i tıklayın. 3. Cache Configuration Properties iletiģim kutusunda HTTP sekmesinde Enable HTTP Caching onay kutusunu iģaretleyin. ISA Server, HTTP nesnelerinin cache içinde saklanması için önceden tanımlı düzenlemeler sağlar: Frequently: Nesnelere Internet üzerinde sıklıkla eriģim sağlar. Bant geniģliği sınırı olmadığında tercih edilebilir. Normally: Frequently ve Less Frequently seçeneklerinin arasında bir ayarlama. (Varsayılan ayar). Less frequently: Nesnelere Internet üzerinde daha az sıklıkta eriģilir. Bant geniģliği sınırlı olduğunda tercih edilebilir. B. FTP CACHĠNG Aynı Ģekilde, FTP trafiği içinde caching ayarlamaları yapılabilir. III. CACHE BOYUTUNU AYARLAMAK ISA Server, caching için.cdat dosyasını kullanır. ISA Server, nesneleri caching alanına attıkça bu dosyaya yerleģtirilir..cdat dosyası dolduğunda, ISA Server, eski nesneleri silerek yeni nesnelere yer açar. Cache boyutunu ayarlamak: 1. ISA Management içinde, konsol ağacını açın. 2. Cache Configuration'ı tıklayın. Ardından Drives'i tıklayın. 3. Ayrıntılar bölmesinde, ISA Server üzerinde sağ tıklayın ve Properties'ı seçin. 4. Maximum cache size (MB) kutusunda sürücünün boyutunu yazın ve Set seçeneğini tıklayın. Aynı Ģekilde bellekte oluģturulacak caching boyutu da ayarlanabilir: 1. ISA Management içinde, konsol ağacını açın. 2. Cache Configuration'ı tıklayın. Ardından Properties'i tıklayın. 3. Cache Configuration Properties iletiģim kutusunda Advanced sekmesinde Percentage of free memory to use for caching kutusunda 1 ile 100 arasında bir değer yazarak ISA Server'ın kullanacağı bellek alanı yüzdesini belirtin. FĠREWALL YAPILANDIRMAK -Server'ı güvenli hale getirmek.
-Perimeter Networkler. -Packet Filtreleme ve IP Routing. I. SERVER GÜVENLĠĞĠ ISA Serve 2000 'ın en önemli olması bir güvenlik sistemi olan firewall özelliğine sahip olmasıdır. ISA Server, güvenlik ilkelerini uygulamak için çeģitli güvenlik özelliklerine sahiptir. A. SECURĠTY CONFIGURATION WIZARD ISA Server Security Wizard ile Windows 2000 üzerinde çeģitli güvenlik düzenlemeleri yapılabilir. Bu güvenlik düzenlemeleri belli Ģablonların uygulanması olarak düģünebilirsiniz. ISA Server için güvenlik Ģablonlarının düzeyleri ve Ģablon adları Ģunlardır: Güvenlik Düzeyi Server Bilgisayar Ġçin Domain Controller Dedicated Hisecws.inf Hisecdc.inf Limited Services Securews.inf Securedc.inf Secure Basicsv.inf Basicdc.inf ISA Server Security Wizard'ı baģlatmak için: 1. ISA Management içinde, konsol ağacı içinde sunucunuzu geniģletin. 2. Computer'a tıklayın. 3. Ayrıntılar bölmesinde sunucu üzerinde sağ tıklayın, ardından Secure'ı tıklayın. II. PAKET FILTRELEME VE IP ROUTING Windows 2000 ve network konularında (diğer kurslarımızda da) söz ettiğimiz gibi, network güvenliğini sağlamak için IP paketlerinin kontrol edilmesi gerekir. Bunun içinde yapılacak iģlemler paket filtreleme (packet filtering) ve IP yönlendirme (IP routing) iģlemleridir. Paket filtreleme, bilgisayar için IP paketlerine izin vermek ya da bloklamak anlamına gelir. Routing (yönlendirme) ise, network trafiğinin iç (internal) ve dıģ (external ya da Internet) networklar arasında yönlendirilmesidir. A. PAKET FĠLTRELEMEYĠ ETKĠNLEġTĠRMEK Paket filtrelemeyi etkinleģtirdiğinizde, ISA Server, ISA Server bilgisayarı üzerinde geçen IP paketini izler. Paket filtrelemeyi etkinleģtirmek için:
1. ISA Management içinde, konsol ağacı içinde sunucunuzu geniģletin. 2. Access Policy'yı geniģletin ve IP Packet Filters'ı sağ tıklayın ve ardından Properties'ı seçin. 3. General sekmesinde, Enable packet filtering onay kutusunun iģaretli olmasına dikkat edin. B. IP PAKET FĠLTRELERĠ OLUġTURMAK Bir IP paket filtresi oluģturmadan önce, paket ile iliģkili olan port ve protokolün belirlenmesi gerekir. Ayrıca kaynak ve hedef bilgisayarlar için IP adreslerinin de bilinmesi gerekir. Bir IP paket filtresi oluģturmak için: 1. ISA Management içinde, konsol ağacı içinde sunucunuzu geniģletin. 2. Access Policy'yı geniģletin ve IP Packet Filters'ı tıklayın ve ardından Create a Packet Filter'ı seçin. 3. New IP Packet Fitler Wizard'da filtreyi tanımlayan bir ad girin ve Next'i tıklayın. 4. Fitler Mode sayfasında, Allow packet transmission ya da Block packet transmission seçeneklerinden birisini seçin ve Next'i tıklayın. NOT: Allow izin vermek, Block engellemek anlamında. 5. Fitler Type sayfasında oluģturulacak filtre için Custom ya da Predefined olarak türünü belirleyin. Ardından Next'i tıklayın. Fiter Settings sayfasında Custom (özel) filtre seçtiyseniz, aģağıdaki bilgilere göre seçeneklerinizi belirleyin: IP Protokol: Özel protokolü belirlersiniz: TCP, UDP gibi. Number: IP protokolü sayısı. Direction: ĠletiĢimin yönü: Inbound (gelen), Outbound (giden) ve Both (her ikisi) gibi. Local port: Kuralın uygulanacağı portlar. NOT: Kuralı bütün portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz. Remote ports: Kuralın uygulanacağı uzak portlar. NOT: Kuralı bütün uzak portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz. C. UYGULAMA FĠLTRELERĠ Uygulama filtreleri (application filters), Firewall servisine ek bir güvenlik katmanı yaratmak için kullanılır. IP paket filtrelerinde farklı olarak, uygulama filtreleri istemci uygulama ile sunucu uygulama arasındaki bütün iģlemleri izler ve özel bazı iģlemlerin yapılması sağlar. Örneğin kimlik denetimi (authentication) ve virüs kontrolü gibi. ISA Server'ın kurulmasıyla birlikte, SMTP dıģındaki bütün uygulama filtreleri (application fitler) etkinleģtirilir. AĢağıdaki listede bu uygulama filtreleri yer almaktadır.
Uygulama filtrelerinin bazıları: DNS Intrusion Detection Filter: Ġzinsiz DNS kullanıcılarını bulur. POP Intrusion Detection Fitler: Ġzinsiz POP kullanıcılarını bulur. FTP Access Filter: FTP protokol desteği. H.323 Filter: H.323 protokolünü kullanan network trafiğini kontrol eder. ġġrket ĠÇĠ KAYNAKLARA ERĠġĠM Amaçlar: Web yayıncılığını yapılandırmak. Server yayıncılığını yapılandırmak. I. GĠRĠġ ISA Server ı iç (internal) sunucularınızı Web içeriği ve e-mail servislerini dıģ (external) istemcilere yayınlamak için kullanabilirsiniz. Sunucuları (server) yayınlama (publishing) kurallarını (rule) ile dıģ istekleri içteki sunuculara yönlendirecek Ģekilde yapılandırarak bu iģlemler yapılır. Sunucuları yapılandırarak ve Internet istemcilerinin isteklerini bir ISA Server bilgisayarına yönlendirerek Ģirketin iç (internal) sunucular üzerinde daha geliģmiģ bir güvenlik sağlanır. II. YAYINLAMA (PUBLISHING) ĠġLEMĠ Sunucucuları (server) yayınlamak kaynaklara güvenli bir Ģekilde eriģmeyi sağlar. Bir sunucuyu yayınlamak için bir yayınlama kuralı ilkesi oluģturulur. Yayınlama ilkeleri ISA Server ın gelen istekleri iģleyeceğini tanımlar. Bu yayınlama ilkeleri Web Server lar ve diğer sunucular için oluģturulabilir. ġirket içindeki bir sunucuyu yayınlamak, ona Internet üzerinden de eriģimi olanaklı hale getirir. Web Publishing ile bir Web server, Server Publishing ile de diğer sunucular yayınlanır. [img]www20.brinkster.com/ayhanergun/isa.jpg[/img] Bir Web Server ı yayınladığınızda kullanıcılar ISA Server ın dıģ network adaptörüne bağlanırlar. Ardından ISA Server, iç network adaptörünü kullanarak isteği iç networke ulaģtırır. A. WEB SERVER LARI YAYINLAMAK Bir Web Server ı yayınlamak (publishing a Web server), ISA Server aracılığıyla dıģ kullanıcıların Ģirket içindeki Web Server a eriģmesine izin verir. Bu düzenleme içinde; Web Server dan istenen dıģ istekler aslında ISA Sever dan yapılmıģ olacaklardır. Bunun dıģında Ģirket içindeki Web Server ın IP adresinin de dıģ kullanıcılara gösterilmemesi sağlanmıģ olur. DıĢ kullanıcılar ISA Server ın IP adresini bilirler. Bir Web Server ı yayınlamak için önce bir Web Publishing rule oluģturmak gerekir. Bir Web publishing kuralı oluģturarak ISA Server bilgisayarını yapılandırılır. Böylece dıģarıdan gelen istekler Ģirket içindeki Web Server a yönlendirilir.
Bu iģlem diğer eriģim ilkelerinde (Access policies) olduğu gibi destination sets ler aracılığıyla yapılır. Ancak yayınlanma ilkeleri için düzenlenen destination sets tanımlamaları, dıģ kullanıcıların bağlanacağı Ģirket içindeki bilgisayarları belirtir. Yeni bir Web Publishing Rule Yaratmak: 1. ISA Management içinde, konsol ağacında, sunucuyu geniģletin. Ardından Publishing i geniģletin ve Web Publishing Rules ı tıklayın. Ardından ayrıntılar bölmesinde (sağ taraf), Create a Web Publishing Rule ı tıklayın. 2. New Web Publishing Rule Wizard içinde; oluģturulacak kurala bir ad verin. Ardından Next ile ilerleyin. 3. Destination Sets sayfasında, bir destination set ve ilgili bilgileri belirtin. Ardından Next ile ilerleyin. 4. Client Type sayfasında istediğiniz istemci türünü belirtin ve yine Next ile ilerleyin. 5. Rule Action sayfasında, Redirect the request to this internal Web server seçeneğini tıklayarak yayınlanan Web Server ın adını belirtin. Ardından yine Next ile ilerleyerek sihirbazı sonlandırın. 2. ĠSTEKLERĠ DĠĞER PORTLARA YÖNLENDĠRMEK Web yayınlama kuralları, istenen nesneleri istemcilere hangi sunucunun vereceğini belirtir. ISA Server, varsayım olarak HTTP isteklerini sunucudaki varsayım portlara yönlendirir. ġirket içindeki sunucu HTTP istekleri için farklı bir (standart olmayan) bir port kullanıyorsa, gelen Web isteklerini Ģirket içindeki bir yayınlanan sunucuya yönlendirmek gerekir. Web isteklerini yayınlanmıģ bir sunucuya (published server) yönlendirmek: 1. ISA Management içinde, konsol ağacında, Web Publishing Rules ı tıklayın. 2. Ayrıntılar bölümünde (sağ tarafta), oluģturduğunuz Web publishing kuralını tıklayın. Ardından Configure a Web Publishing Rule ı tıklayın. 3. Web publishing kuralının Properties iletiģim kutusundaki Action sayfasında Redirect the request to this Web Server ı tıklayın. Ardından HTTP isteklerinde kullanılacak port numarasını düzenleyin. B. SERVER PUBLISHING ĠġLEMĠ Bir sunucuyu (server) yayınladığınızda, aynı Web server ın yayınlanmasında olduğu gibi, sunucu yayınlama kuralları (server publishing rules) istemcilerin dıģarından gelen isteklerini Ģirket içindeki sunuculara yönlendirirler. ISA Server sunucu yayınlama kurallarıyla dıģarıdan gelen istekler, ISA Server ın arkasında kurulu olan SMTP sunucularını, SQL sunucularını ve FTP sunucuları gibi iç sunuculara ulaģtırılırlar. Yeni bir Web Publishing Rule Yaratmak: 1. ISA Management içinde, konsol ağacında, sunucuyu geniģletin. Ardından Publishing i geniģletin ve Server Publishing Rules ı tıklayın. Ardından ayrıntılar bölmesinde (sağ taraf), Publish a Server ı tıklayın. 2. New Server Publishing Rule Wizard içinde; oluģturulacak kurala bir ad verin. Ardından Next ile ilerleyin. 3. Address Mapping sayfasında, iç ve dıģ sunucuların IP adreslerini belirtin. Next ile devam edin.
4. Protocol Settings sayfasında kuralın kullanacağı protokolü seçin. 5. Client Type sayfasında istediğiniz istemci türünü belirtin ve yine Next ile ilerleyin. ĠZLEME VE RAPORLAMA Amaçlar: Intrusion Detection. ISA Server aktivitelerini izlemek. I. ĠZLEME ve RAPORLAMA Ġzleme (monitoring) ve raporlama (reporting) araçları ISA Server ın güvenliği izlemek ve oluģan olayları göstermek için kullandığı önemli araçlardır. ISA Server da izleme ve raporlama iģlemleri öncelikle bu iģlemlerin planlanmasıyla baģlar: A. RAPORLAMA STRATEJĠSĠ OLUġTURMAK ISA Server da bir raporlama ve izleme stratejisi oluģturmada için Ģu konuları göz önünde bulundurun: 1. Öncelikle izleme ve raporlama stratejinizi belgeleyin. 2. Aktivitelerden toplayacağınız bilgileri kategorize edin. Örneğin real-time alerts (uyarılar), performans ve güvenlik (security) olayları. 3. OluĢan logları yedeklemek için bir plan yapın. B. INTRUSION DETECTION ISA Server, intrusion detection olarak adlandırılan kötü niyetli kiģilerin sisteme karģı ataklarını izleme ve tepkileri yapılandırma olanağına sahiptir. Bu iģlem IP paketleri düzeyinde ve uygulama düzeyinde yapılabilir. 1. IP PAKET DÜZEYĠ ATAKLARI IP paket düzeyinde yapılan bu düzenlemede ISA Server birçok olayı anlar ve karģı iģlemin yapılmasını sağlar. Bunlardan bazıları Ģunlardır: All ports scan attack: Kötü niyetli kiģilerin sistemde tanımlı portların dıģında, diğer portlara eriģmeyi denediklerinde oluģur. ISA Server ile eriģilebilecek port sayısını belirtilir. IP half scan attack: Kötü niyetli kiģilerin hedef bilgisayara sürekli (tekrarlayarak) bağlanmak istemesi durumunda ve TCP paketlerinin belli bayrakları (flag) içermesi durumunda oluģur.
2. UYGULAMA DÜZEYĠ ATAKLAR Uygulama düzeyinde ise ISA Server yine çok fazla olayı bulur. Bunlardan bazıları Ģunlardır: DNS hostname overflow: DNS in host adı olarak belli bir uzunluktan fazlasını yanıtladığında. DNS length overflow: IP adresinin 4 bayttan büyük olması durumunda oluģur. 3. INTRUSION DETECTION ĠġLEMĠNĠ YAPILANDIRMAK 1. ISA Management içinde, konsol ağacında, sunucuyu geniģletin. Ardından Access Policy i geniģletin ve IP Packet Filters ı sağ tıklayın ve Properties i seçin. 2. IP Packet Filtering Properties iletiģim kutusunda, General sayfasında Enable packet filtering ve Enable Intrusion detection seçeneklerini seçin. 3. Intrusion Detection sayfasında ise diğer IP paketi düzeyini seçeneklerini seçin. Port scan seçeneğini seçtiyseniz, portları belirleyin. C. ISA SERVER OLAYLARI (EVENTS) ISA Server ın çalıģması sırasında çeģitli olayları (events) ve koģulları saptayıp onları bir uyarı (alert) olarak sistem yöneticisine ulaģtırabilirsiniz. AĢağıdaki tabloda detect (saptanabilecek) edilebilecek bazı ISA Server olayları yer almaktadır: Olay Açıklama DNS intrusion Host name taģması vb DNS atakları. Intrusion detected Bir dıģ kullanıcının kötü niyetli bir atakta bulunması IP packet dropped Bir ilkeye karģı gelen bir IP paketinin düģürülmesi IP protocol violation YanlıĢ IP seçeneklerine sahip bir paketin bulunması ve düģürülmesi. D. ALERT LERĠN YAPILANDIRMAK ISA Server ın alert servisi olayları izler ve belli olayların oluģması durumunda belirlenen bir tepkiyi oluģturur. Bir alert, bir e-mail göndermek, bir programı çalıģtıracak Ģekilde oluģturulabilir. Örneğin bir intrusion detection saptandığında sistem yöneticisine bir email göndermek gibi. Bir Alert oluģturmak için:
1. ISA Management içinde, konsol ağacında, sunucuyu geniģletin. Ardından Monitoring Configuration ı geniģletin. Alert i sağ tıklayın ve New seçeneğini iģaret edin, ardından Alert i tıklayın. 2. New Alert Wizard içinde, Alert in adını yazın ve ardından Next i tıklayın. 3. Events and Conditions sayfasında alert tarafından tetiklenecek olayı seçin. Next ile ilerleyin. 4. Actions sayfasında; Send e-mail message, Run a program gibi seçeneklerden birisini seçin ve düzenlemeyi bitirin. II. ISA SERVER AKTĠVĠTELERĠNĠ ĠZLEMEK ISA Server aktiviteleri logging iģlemini yapılandırarak izlenir. ISA Server logları gelen ve giden istekleri kaydeder. Logging iģlemini yapılandırdığınızda, ISA Server eriģim ve güvenlik aktiviteleri için loglar oluģturur. Ardından bu loglar analiz edilerek kullanım, performans ve güvenlik aktivitelerinin izlenmesi sağlanır. A. LOGGING ĠġLEMĠNĠ YAPILANDIRMAK Logging iģlemi yapılandırıldığında ISA Server Ģu logları oluģturur: Packet filter logs: ISA Server bilgisayarı üzerinden geçen paketleri kaydeder. Firewall service logs: Firewall servisini kullanarak yapılan iletiģim giriģimlerini kaydeder. Web Proxy service logs: Web Proxy servisini kullanarak yapılan iletiģim giriģimlerini kaydeder. Bu arada ISA Server log dosyalarını değiģik formatlara düzenleyebilir. Bunlar W3C formatı, ISA formatı ve ODBC formatıdır. Logları yapılandırmak için: 1. ISA Management içinde, konsol ağacında, Logs ı tıklayın. 2. Ayrıntılar bölmesinde (sağ tarafta), Packet filters, Firewall service, Web Proxy service den birisini sağ tıklayın ve Properties i seçin. 3. Log sayfasında logları nasıl kaydedeceğinizi belirleyin. 4. Ardından Enable logging for this service onay kutusunu iģaretleyerek log dosyası formatlarını düzenleyin. III. ISA SERVER AKTĠVĠTELERĠNĠ REPORTS KULLANARAK ANALĠZ ETMEK ISA Server, loglarda tutulan aktivite kayıtlarını belli formatlarda hazırlanmıģ raporlar (reports) aracılığıyla sistem yöneticisine sunmayı amaçlar. A. REPORT ĠġLERĠ (JOB) OLUġTURMAK Bir raporu görmeden önce, bir rapor iģi (report job) oluģturmak gerekir. ISA Server, rapor iģini çalıģtırdıktan sonra, rapor görülebilir.
Bir rapor iģi oluģturmak: 1. ISA Management içinde, konsol ağacında, sunucuyu geniģletin. Ardından Monitoring Configuration ı geniģletin ve Report Jobs ı sağ tıklayın ve New ı iģaret edin ve ardından Report Job u seçin. 2. General sayfasında rapor için bir ad yazın ve Enable seçeneğinin seçili olduğundan emin olun. 3. Period sayfasında rapor iģinin süresini seçin. Ardında Schedule sayfasında ise rapor iģinin ne zaman oluģacağını belirleyin. 4. Ardından Recurrence pattern altında yinelenme aralığını belirleyin. 5. Credentials sayfasında ise raporu oluģturacak kullanıcı bilgilerini düzenleyin. B. ÖNCEDEN TANIMLANMIġ RAPOR FORMATLARI ISA Server ile değiģik tür ve içerikte raporlar oluģturabilirsiniz. Bu raporlar bir Web tarayıcısı tarafından bir Web sayfası olarak görüntülenebilir. ISA Server tarafından oluģturulabilen rapor türleri: Summary reports: ISA Server kullanımına iliģkin istatistikler. Bu bilgiler servisler için tutulan loglardan oluģturulur. Web Usage reports: Web kullanıcılarını görüntülemek için kullanılan raporlar. Application Usage Reports: Internet uygulamalarının kullanımını raporlamak için kullanılan raporlardır. Gelen ve giden trafik, istemci uygulamalar, en çok kullanan kullanıcılar vb. Daha detaylı bilgi için http://www.microsoft.com/isaserver http://www.isaserver.org adreslerini önerebilirim