ISA Server 2004 de Kurulum Sonrası İlk Konfigürasyon

Microsoft' un ilk olarak 2000 yılında piyasa sürdüğü network güvenlik ürünü olan ISA SERVER sadece firewall olarak değil aynı zamanda Proxy Server olarak da kullanılabiliyor. İnternet Sayfalarını CACHE ederek şirket ortamında internet hattınızdaki yükü hafifleterek kullanıcıların internete daha hızlı çıkmalarına yardımcı oluyor. Yine VPN desteği sağladığını da belirtelim ISA nın.

Isa 2000 ve 2004 arasındaki farklara bakacak olursak kısaca:

ISA 2000 : İlk kez piyasaya çıkan ürün. Çoklu network desteğine sahip değil. Dolayısıyla her networke farklı bir policy atama şansına sahip değilsiniz.

Yani her departmanı farklı networklere alıp her birine ayrı ayrı kurallar koyabilme şansınız yok. Artık ISA 2000 kullananda yoktur zaten.

ISA SERVER 2004 :

* Çoklu netwok desteği

* Network başına policy oluşturabilme imkanı

* Networkler arası Route ve NAT imkanı

* Gelişmiş Uygulama Filtresi (Paketleri uygulama katmanında filtreleme)

* Gelişmiş Kimlik Doğrulama Seçenekleri

* Kullanıcı Yetkilendirmeleri (Dilediğiniz kullanıcı (Rule) kural oluşturabilsin, öteki de sadece kuralları okuyabilsin…vs.)

* Bir XML Dosyası ile yaptığınız bütün Rule ları export edip import edebilme.

* Schedule seçeneği ile kuralları belirli saatlerde uygulayabilme (örn: internet yasak ama saat 12.00 – 12.30 arası serbest gibi…)

******************************

Isa 2000 kurulduğunda Default Rule Tüm trafikler/Tüm clientlar için serbestti. Siz yasaklamanız gerekenleri tek tek belirtiyorunuz.

Bu da güvenlik açığı oluşturabiliyordu.

ISA SERVER 2004 de Default Rule:

Tüm Kullanıcılar ve Tüm Networkler için Tüm Trafik Yasak tır. İzin verilecekleri siz belirlersiniz.

Şimdi kurulum sonrası yapılması gereken ilk kuralı inceleyeceğiz:

Resimde basit bir şirket ortamının örnek yapısını görüyoruz. ISA Bridge modunda çalışmakta. Kullanıcıların gatewayi Isa server.

Isa' nın NAT ve ROUTE yapabildiğini de söylemeye gerek yok sanıyorum. Bir adet DNS Server ımız var. O da internete yine ISA üzerinden çıkmakta.

isa server 2004

ISA 2004 ve varsayılan kuralın Tüm networklerde – Tüm Kullanıcılar İçin – Tüm Trafik Erişimi – Yasak olduğunu belirtmiştik.

Mantık şu şekilde işliyor; Sizin oluşturduğunuz herbir kural Last Default Rule un üzerine geliyor. Bir kullanıcınız bir paket göndermek istediğinde ISA önce

en üstteki kurala bakıyor. Eğer o kural o kullanıcı için tanımlı ise alttaki kurallar kullanıcıya uygulanmadan en üstteki kural geçerli oluyor.

O kuralda o kullanıcı ile ilgili bir tanımlama yoksa bi alttaki kurala bakıyor isa…bu şekilde tüm kurallar o kullanıcıyı ilgilndirmiyorsa sonunda

en alttaki kurala takılıp deny ı yiyor kullanıcı 🙂 Bu yüzden yapmamız gereken şey ISA yı kurduktan sonra hemen http, https ve DNS protokolleri için

gerekli kullanıcılara allow vermek. Tabi yukarıdaki çizim en basit şirket ortamı için geçerli. Şirketinizde Web server olabilir, Exchange olabilir,

Terminal sunucunuz, sertifika sunucunuz olabilir. Dolayısı ile daha farklı networkleriniz için daha biçok protokole izin vermeniz gerekebilir.

Create New Rule diyoruz ve rule umuza isim veriyoruz.isa server 2004

Biz HTTP, HTTPS, ve DNS Protokolleri için kullanıcılarımıza izin vereceğiz bu yüzden

"Uygulama ile Kuralda belirtilen koşullar eşleştiği zaman" sorusuna Allow (izin ver) diyoruz.

isa server 2004

Isa, bizim en çok ihtiyaç duyduğumuz, üzerine en çok kural tanımlayacağımız protokolleri en yukarıda listelemiş zaten. İlk üç protokolü seçip Close ve Next diyoruz.

isa server 2004

Burada kuralın nerye doğru uygulanacağını belirtiyoruz. Biz kuralımızı dış bacağa doğru uygulayacağız.
Bu yüzden External ı seçiyor ve close diyoruz.

isa server 2004

Dilerseniz tüm kullanıcıları seçebilirsiniz. Ya da diyelim ki şirket ortamında stajyerlerin internete çıkması kesinlikle yasak ise onları hariç tutabilirsiniz.

isa server 2004

Kuralımızı oluşturup Apply butonuna bastıktan sonra resimde de görüldüğü gibi Varsayılan Kuralın üzerine atandı. Tüm Kullanıcılar için – İç Networkten – Dış Networke – DNS, HTTP, HTTPS Protokolleri İzinli.

 

About Emre BAŞTUĞ

Emre BAŞTUĞ