Çoğu firma AD yapısı kullanmakta ve kullanıcılarını da Active Directory’de tutmakta. ISA Server’ı firewall olarak kullandığımda bu kullanıcıların inbound ve outbound erişimleri için kimlik denetlemelerini yapar ve kontrol altında tutabilirim. ISA Server’ın bunu yapabilmesi için, kullanıcılarla aynı domaine dahil olması gerekir. Fakat domaine dahil bir firewall, güvenlik açısından tehlikeli olacaktır. Saldırganın firewall’u ele geçirmesi durumunda iç networkümdeki tüm sunuculara atakta bulunması kolaylaşacaktır.Tabiki bunu olmasini hicbir Sistemci istemez.Kotu amacli saldirganlar sistemimize ciddi anlamda zararlar verebilir ve bu bizlerin basini fena halde derde sokabilir.Biz sistemciler olarak server yapimizi elimizden geldigince en iyi sekilde korumak zorndayiz. ISA Server’ı domaine dahil etmeden Active Directory’deki kullanıcılarımın kimlik doğrulamalarını RADIUS authentication’ı kullanarak yapabiliriz.
RADIUS kullandığımızda ise, ISA Server’ı domaine dahil etmeden AD domain authentication’ın getirilerinden faydalanabiliriz. ISA Server gelen Web isteklerine karşı RADIUS authentication kullanacak şekilde yapılandırıldığında, istekleri firewall’un arkasında yer alan RADIUS server’a iletir. RADIUS Server’da authentication isteğini AD domain controller’a iletir. Bu AD domain controller değil, başka bir RADIUS server da olabilir. SA Server’ı RADIUS authentication kullanacak şekilde yapılandırmak için yapmamız gerekenler birkaç adımdan oluşmakta bunlari sirasiyla yapalim.
İlk olarak Domain Controller üzerinde yada domaine üye olan bir makina üzerinde İAS ‘ı (İnternet Authentication Services) kuruyoruz.
Bu servise Add\Remove Windows Components ‘ den Networking Services bölümünden ulaşabiliriz.
IAS’ı Active Directory kullanıcı hesaplarını kullanacak şekilde konfigüre etmemiz gerekiyor.Bunun için de IAS’ın AD domaininde register etmeliyiz. Administrative tools içerisinden IAS’ı açın. Internet Authentication Services (Local) üzerine sağ tuşla basarak Register Server in Active Directory’i tıklayın.
Bize bir uyarı veriyor; Active Directory deki kullanıcıların authenticate olması için İAS etkinleştirilecegi ve bu sevisin dial-in özelliklerini okuyacagını bildiriyor. OK diyerek geciyoruz.
Ok dedikten sonra bir uyarı daha alıyoruz.Bu uyarıda ise İAS kurulu olan bu bilgisayarın Domainimizdeki kullanıcıların dial-in özelliklerine erişimi için yetkilendirildigini ve bu bilgisayarın kendisini RAS\IAS Server Grubu’ nun üyesi yaptıgını söylüyor.
Benim uygulamış oldugum senaryoda IAS Domain Controller üzerinde oldugu için üye olarak DC görülmektedir.
Şimdi ise Radius ile İsa ‘yı tanıştırmamız gerekiyor.Bunun için IAS üzerinde RADIUS Client üzerinde Sag tıklayarak New RADIUS Client Diyoruz.
Friendly name kısmına İsa için herhangibirisim yazıyor ve Client address kısmına İsa ‘ın İç ethernet ip’sini yazıyoruz next diyerek bu kısmı geçiyoruz.
İsa server ile RADIUS’un birbirleriyle görüşmelerinde kullanıcakları bir Shared Secret belirliyoruz.Belirledigimiz bu key’i İsa üzerinde tekrar kullanacagız.
Kullanıcı authenticate olmak için RADIUS server’a gittiğinde, RADIUS bu kullanıcının AD üzerindeki özelliklerini ve remote access policy’leri kontrol eder ve authentication’ın gerçekleşip gerçekleşmeyeceğine karar verir. Bunun için IAS üzerinde Remote Access Policies kısmında policy’ler tanımlayarak kimin izni olup olmayacağını belirliyoruz. Biz bu makalede Web erişimi isteyen kullanıcılar için ISA’nın RADIUS authentication yapmasını istiyoruz ve bu amaçla kullanılacak bir policy oluşturacağız.
IAS konsolunda Remote Access Policies’i tıkladığınızda varsayılan olarak gelen iki deny kuralı yer alır. Bu bölümde sağ tuşla basarak New Remote Access Policy’i seçelim ve kuralımızı oluşturalım.
New Remote Access Policy Wizard penceresi açılır. Set up a custom policy’i seçelim ve policy’e bir ad verelim.
Next dedigimizde karşımıza attribute seçmemiz için bir bölüm gelecek İlk olarak Authentication şeklini seçiyoruz. Karşımıza gelen authentication metodlarından PAP’ı seçelim ve tekrar Add’e basalım. OK’e basarak pencereyi kapatalım.
Policy Conditions penceresinde ikinci kez Add’e basalım, NAS-IP Address attribute’ını seçelim ve ISA server’ın IP adresini yaz
Policy Conditions penceresinde ikinci kez Add’e basalım, NAS-IP Address attribute’ını seçelim ve ISA server’ın IP adresini yazalım.
Son olarak tekrar add butonuna basarak Windows-Groups attribute’unu seçelim. Ben senaryomda Domain users’a ınternet yetkisi için izin vermek istiyorum ve buraya ekliyorum.
Son haliyle Access policy ‘imiz görüldüğü şekilde olmalıdır.Next diyerek geçiyoruz ve karşımıza gelen ekranda Grant remote access permission sekmesini işaretleyerek devam ediyoruz.
Sonraki ekran Profile penceresidir. Profile, policy koşulları sağlandığında uygulanacak bağlantı parametrelerini içerir ve koşullarda oluşturduğumuz ayarlara benzer ayarları içermektedir.
Edit Profile sekmesiyle secenekleri görüntülüyoruz.Encriyption kısmında sadece No encryption’u işaretleyerek Authentication kısmında’da Unencrypted Authenticatiın (PAP,SAP) sekmesini işaretliyoruz ve bu kısımdaki işimizi bitirerek Apply-OK diyerek bu pencereyi kapatıyoruz.
Ok dedikten sonra bize birden fazla Authentication methodu sectigimizi ve policiyi dogru yapılandırdıgımızdan emin olup olmadıgımızı bu konuda bize yardım edebilecegini söylüyor.No diyerek geciyorum ve policy’i Finish diyerek bitiriyorum.
ISA üzerinde internete çıkmasına izin verdiğiniz kullanıcıları, AD üzerinde gözden geçirebilirsiniz. AD Users and Computers’da kullanıcının özelliklerinde Dial-in tabına girin. Remote Access Permission bölümünde Control access through Remote Access Policy seçeneği varsayılan olarak seçili gelir. Tabiki bunun için Domain Functional Level ‘inizin 2003 modda olması gerekir. Bu işlemin geri dönülemeyeceğini de hatırlatırım.
Domain Controller üzerindeki ayarları sırası ile yaptık.Şimdi İsa server üzerindeki ayarlara gecelim.
ISA Server kurarak, RADIUS client olarak yapılandırın. Bu işlem için IAS ile ISA arasında secure channel kurulmalı ve bu channel’ın kullanacağı gizli bir anahtar belirlenmelidir. Yukarıda hatırlarsanız, biz bu anahtarı IAS tarafında belirlemiştik. Aynı anahtarı ISA üzerinde de gireceğiz.
ISA Server Management’ı açalım. Configuration altında General’ı tıklayın ve sağda ISA Server Additional Policy altında Define Radius Server ‘la ISA ‘yı yapıandırmaya başlayalım.
IAS server’ımızı yapılandırırken girdigimiz key’i ISA yı yapılandırırkende giriyoruz ve burdaki yapılandırmayı bitirerek kapatıyoruz.
ISA üzerinde de Web Proxy Authentication için RADIUS authentication metodunu seçmeliyiz. Bunun için ISA management konsolunda Configuration bölümünde Networks altında yer alan Internal networkün özelliklerine girin. Web Proxy tabında Authentication kısmında RADIUS’u seçelim bütün kullanıcıların Authentication için Radius kullanması için Reguire all users to authenticate sekmesinide işaretleyerek bu kısmıda bitiriyoruz.
Son olarak yapmamız gereken Kullanıcılarımızın internete çıkmaları için bir Access Role yazmak.
Bu kuralda All Users seçmek yerine yada bir gruop tanımlamak yerine All Authenticated Users’ı
Seçmemiz gerekir.Zaten İSA workgroup da oldugu için istesekte Domain Controller daki bir group’u burada gösteremeyiz.Kuralımızı da yazdıktan sonra şimdi test edelim kullnıcılarımız Radius üzerinden geçerek internete çıkabileceklerimi.
ISA server bizden kim oldugumuzu kimlikdofrulaması yapmamızı istiyor.Remember my Password sekmesini işaretlesek bile explorer her açıldıgında bizden Authentication isteyecektir Fakat Remember işaretli olarak bırakılırsa explorer her açıldıgında kullanıcı adı parola girmek yerine sadece enter diyerek baglantıyı saglayabiliriz.
Görüldügü gibi istedigimiz sonuca ulaştık ve sistemimizi daha güvenli bir hale getirdik.Başka bir makalede görüşmek üzere Hoşçakalın...!
Güvenli ve Sorunsuz Günler Dilerim.
Ahmet ALTUNTAŞ