Bir önceki makalemizde SmartCard’ın temel kurulum bilgileri ve Session logon yapabilmemiz için gerekli sertifika ayarlarını, sertifikanın smartcard’a yüklenmesi konusunu incelemiştik. Şimdi ise, uzak güvenli bağlantıların smartcard aracılığı ile sağlanması için “VPN with Smartcard” adlı konuyu incelemek istiyorum.
Özellikle birçok kullanıcısının farklı coğrafi alanlarda bulunduğu şirket networklerine uzaktan alternatif bir erişim , VPN’in smartcard aracılığı ile yapılmasıdır.
Bunun için sahip olmamız gereken topoloji , Windows 2003 domain yapımızda bulunan CA otoritesi ve bir de VPN bağlantılarını karşılayacak olan RAS sunucudur.
Öncelikle RAS Vpn sunucumuza gerekli computer sertifikasını alarak işe başlayabiliriz..
Bunu yapmak için sunucu üzerinde certificates snap-in’i kullanıyoruz.
Computer sertifikasını hazır template’lerden alabileceğimiz gibi, kendimiz de sunucuya özel bir sertifika olarak hazırlayabiliriz. Bunun için gerekli uygulama amacı “Server Authentication” olan bir sertifika yaratmaktır.
Sertifikayı aldıktan sonra RAS sunucumuzu VPN hizmeti için yapılandırıyoruz.
Sunucu yapılandırıldıktan sonra makinanın sahip olduğu sertifikayı kontrol ediyoruz.
Sunucunun ayarlarına gelip Security Tab’ında bulunan authentication methods kısmında Sertifika ile bağlantıları sağlayabilmek için gerekli EAP protokolünü seçiyoruz. Bunun yanında, EAP’ın PPTP bağlantıları için kullanacağı metodlardan “smartcard or other certificate” ‘in seçili olması gerekiyor.
Sunucu tarafındaki ayarlardan sonra, client tarafının ne şekilde yapılandırılacağını inceleyelim. Burada belirtmek istediğimiz bir husus, clientların herhangi bir yerden şirket network’une bağlanmak istediğinde bu ayarları yapabiliyor nitelikte bilgiye sahip olmaları gerekliliğidir.
Yeni bağlantı sihirbazı ile VPN bağlatı tipini seçiyoruz, ve istenilen sunucu adres bilgisini girerek vpn bağlantı sihirbazını sonlandırıyoruz.
Bağlantının özelliklerine geldiğimizde Security sekmesindeki güvenlik ayarlarını “Advanced (custom settings) ‘i seçerek değiştiriyoruz ve “settings” kısmına geldiğimizde ,
Logon Security bölümünde “ Use EAP” seçeneği ile birlikte “smartcard or other certificates” ‘i seçiyoruz ve hemen ardından bu kısımdaki Properties’i de editlemek üzere açıyoruz ,
Karşımıza çıkan yeni pencerede “Use my Smartcard” seçeneği default olarak seçili olduğundan, burada herhangi bir değişiklik yapmıyoruz. Gerekli değişiklikleri makalenin sonunda inceleyeceğimiz “sertifika ile Vpn” bölümünde yapacağız.
Şimdi ise smartcard’ın sisteme takılmasını ve VPN bağlantısının gerçekleştirilmesini inceleyelim,
burada belirmek isteriz ki , smartcard okuyucu cihazın driver’ları ile birlikte client’ın üzerinde yüklü olması gerekiyor ve daha önceden şirketimiz CA sunucusundan yüklemiş olduğumuz sertifikanın smartcard’ımızda bulunması gerekiyor. Bu işlemlerin nasıl yapıldığı konusunu halihazırda I. Makalemizde incelemiştik.
Aşağıdaki şekilde, yukarıdaki EAP bağlantı ayarlarını tamamladıktan sonra VPN bağlantısına Connect dediğimizde karşımıza çıkan pencere görülmektedir, elbette herhangi bir username ve parola sormamakla beraber, bize authentication için gerekli olan tek şeyin smartcard olduğunu hatırlatıyor ve kartı takmamızı istiyor.
“Accessing Smartcard” mesaji görüntülenirken biz details’e bastığımızda o andaki okuyucuda takılı olan smartcard’ı ve kart bilgilerini görüntülemektedir.
“OK” diyerek bağlantıyı gerçekleştirmek istediğimizde Smartcard’ın yerel bir güvenlik ilkesi olan PIN sorgulaması karşımıza gelmektedir, burada kart PIN numaramızı girerek devam ederiz.
Sonunda kimlik doğrulanarak bağlantımız sağlanır..
Bağlantı bilgilerini incelediğimizde Authentication Method olarak EAP’ın kullanıldığını teyid edebiliriz.
SmartCard’ın kullanım alanlarından birisi olan VPN’i de kısaca incelemiş olduk.
Kullanıcılarımızın bu tür yapılandırmalarda yaşayacakları zorluk bir tarafa, sürekli dolaşımda oldukları lokasyonlardan şirket network’ümüze güvenli bağlantılar oluşturmak istediklerinde ve bu yer değiştirilen lokasyonlardan ayrıldıklarında kendilerine ait birtakım security unsurlarını orada unutmak istemiyorlar ise, smartcard VPN seçeneği alternatif bir yol olarak kullanılabilir.
Buraya kadar geldiğimizde VPN bağlantısının sertifika ile yapılmasına da değinmek istiyorum,
Client’ımızın EAP ayarlarına geldiğimizde biz smartcard için “use my smartcard” seçeneğini kullanmıştık, şimdi ise “Use certificate… “ seçeneği ile bağlantının yerel makinada bulunacak olan sertifika ile yapılmasını sağlayacağız.
Bunun icin otorite’den alacağımız user sertifikası yeterli olacaktır. Sertifikayı almadan önce yukarıdaki şekilde görebileceğimiz gibi, şirketimizin sertifika otoritesi Trusted Root listesinde bulunmamaktadır. Bu noktada Validate Server certificate seçeneğini kullanamayız,
User sertifikasını alıp install ettikten sonra ise ;
Aşağıdaki güvenlik uyarısını alacağız,
Tabii ki client’ların şirket dışında olacağını ve active directory yapımızda olmadıkları için alınacak bir sertifikanın trusted root container’ına gelemeyeceğinden dolayı, bize aşağıdaki güvenlik uyarısını vermektedir , ve onayladığımız takdirde ilgili sertifika client üzerinde Trusted root’a eklenecektir.
Şu anda “Validate Server certificate” seçeneği ile CA otoritesi teyid edilebilecektir. Görüldüğü gibi bizim ADNCA isimli CA’imiz listede yer almaktadır.
İlgili ayarları tamamladıktan sonra aşağıdaki pencerede karşımıza çıkan sertifika ile bağlantı ve kullanıcı adı bilgilerini kontrol edebiliriz. Burada farklı kullanıcıların bağlanabilmesi için yukarıdaki “smartcard or other certificates” bölümünde en altta bulunan “ use different username for this connection “ ile farklı kullanıcı bağlantılarını ayrıca sağlayabiliriz. Bunun için her bir kullanıcı için kendilerine ait bir sertifikanın yüklü olması gerekiyor.
Bağlantı ikonuna tıkladığımızda ise, username ve password sorgusundan arınmış tertemiz bir vpn penceresi karşımıza çıkmaktadır..
Bir sonraki makalede görüşmek dileğiyle..