Güvenlik

SMART CARD UYGULAMALARI – II (VPN)

Bir önceki makalemizde SmartCard’ın temel kurulum bilgileri ve Session logon yapabilmemiz için gerekli sertifika ayarlarını, sertifikanın smartcard’a yüklenmesi konusunu incelemiştik. Şimdi ise, uzak güvenli bağlantıların smartcard aracılığı ile sağlanması için “VPN with Smartcard” adlı konuyu incelemek istiyorum.

Özellikle birçok kullanıcısının farklı coğrafi alanlarda bulunduğu şirket networklerine uzaktan alternatif bir erişim , VPN’in smartcard aracılığı ile yapılmasıdır.

Bunun için sahip olmamız gereken topoloji , Windows 2003 domain yapımızda bulunan CA otoritesi ve bir de VPN bağlantılarını karşılayacak olan RAS sunucudur.

Öncelikle RAS Vpn sunucumuza gerekli computer sertifikasını alarak işe başlayabiliriz..

1000000779_image001

Bunu yapmak için sunucu üzerinde certificates snap-in’i kullanıyoruz.

1000000779_image002

Computer sertifikasını hazır template’lerden alabileceğimiz gibi, kendimiz de sunucuya özel bir sertifika olarak hazırlayabiliriz. Bunun için gerekli uygulama amacı “Server Authentication” olan bir sertifika yaratmaktır.

Sertifikayı aldıktan sonra RAS sunucumuzu VPN hizmeti için yapılandırıyoruz.

1000000779_image003

Sunucu yapılandırıldıktan sonra makinanın sahip olduğu sertifikayı kontrol ediyoruz.

1000000779_image004

Sunucunun ayarlarına gelip Security Tab’ında bulunan authentication methods kısmında Sertifika ile bağlantıları sağlayabilmek için gerekli EAP protokolünü seçiyoruz. Bunun yanında, EAP’ın PPTP bağlantıları için kullanacağı metodlardan “smartcard or other certificate” ‘in seçili olması gerekiyor.

1000000779_image005

Sunucu tarafındaki ayarlardan sonra, client tarafının ne şekilde yapılandırılacağını inceleyelim. Burada belirtmek istediğimiz bir husus, clientların herhangi bir yerden şirket network’une bağlanmak istediğinde bu ayarları yapabiliyor nitelikte bilgiye sahip olmaları gerekliliğidir.

Yeni bağlantı sihirbazı ile VPN bağlatı tipini seçiyoruz, ve istenilen sunucu adres bilgisini girerek vpn bağlantı sihirbazını sonlandırıyoruz.

1000000779_image006

Bağlantının özelliklerine geldiğimizde Security sekmesindeki güvenlik ayarlarını “Advanced (custom settings) ‘i seçerek değiştiriyoruz ve “settings” kısmına geldiğimizde ,

1000000779_image007

Logon Security bölümünde “ Use EAP” seçeneği ile birlikte “smartcard or other certificates” ‘i seçiyoruz ve hemen ardından bu kısımdaki Properties’i de editlemek üzere açıyoruz ,

1000000779_image008

Karşımıza çıkan yeni pencerede “Use my Smartcard” seçeneği default olarak seçili olduğundan, burada herhangi bir değişiklik yapmıyoruz. Gerekli değişiklikleri makalenin sonunda inceleyeceğimiz “sertifika ile Vpn” bölümünde yapacağız.

1000000779_image009

Şimdi ise smartcard’ın sisteme takılmasını ve VPN bağlantısının gerçekleştirilmesini inceleyelim,

burada belirmek isteriz ki , smartcard okuyucu cihazın driver’ları ile birlikte client’ın üzerinde yüklü olması gerekiyor ve daha önceden şirketimiz CA sunucusundan yüklemiş olduğumuz sertifikanın smartcard’ımızda bulunması gerekiyor. Bu işlemlerin nasıl yapıldığı konusunu halihazırda I. Makalemizde incelemiştik.

Aşağıdaki şekilde, yukarıdaki EAP bağlantı ayarlarını tamamladıktan sonra VPN bağlantısına Connect dediğimizde karşımıza çıkan pencere görülmektedir, elbette herhangi bir username ve parola sormamakla beraber, bize authentication için gerekli olan tek şeyin smartcard olduğunu hatırlatıyor ve kartı takmamızı istiyor.

1000000779_image010

“Accessing Smartcard” mesaji görüntülenirken biz details’e bastığımızda o andaki okuyucuda takılı olan smartcard’ı ve kart bilgilerini görüntülemektedir.

1000000779_image011

“OK” diyerek bağlantıyı gerçekleştirmek istediğimizde Smartcard’ın yerel bir güvenlik ilkesi olan PIN sorgulaması karşımıza gelmektedir, burada kart PIN numaramızı girerek devam ederiz.

1000000779_image012

Sonunda kimlik doğrulanarak bağlantımız sağlanır..

1000000779_image013

Bağlantı bilgilerini incelediğimizde Authentication Method olarak EAP’ın kullanıldığını teyid edebiliriz.

1000000779_image014

SmartCard’ın kullanım alanlarından birisi olan VPN’i de kısaca incelemiş olduk.

Kullanıcılarımızın bu tür yapılandırmalarda yaşayacakları zorluk bir tarafa, sürekli dolaşımda oldukları lokasyonlardan şirket network’ümüze güvenli bağlantılar oluşturmak istediklerinde ve bu yer değiştirilen lokasyonlardan ayrıldıklarında kendilerine ait birtakım security unsurlarını orada unutmak istemiyorlar ise, smartcard VPN seçeneği alternatif bir yol olarak kullanılabilir.

Buraya kadar geldiğimizde VPN bağlantısının sertifika ile yapılmasına da değinmek istiyorum,

Client’ımızın EAP ayarlarına geldiğimizde biz smartcard için “use my smartcard” seçeneğini kullanmıştık, şimdi ise “Use certificate… “ seçeneği ile bağlantının yerel makinada bulunacak olan sertifika ile yapılmasını sağlayacağız.

1000000779_image015

Bunun icin otorite’den alacağımız user sertifikası yeterli olacaktır. Sertifikayı almadan önce yukarıdaki şekilde görebileceğimiz gibi, şirketimizin sertifika otoritesi Trusted Root listesinde bulunmamaktadır. Bu noktada Validate Server certificate seçeneğini kullanamayız,

User sertifikasını alıp install ettikten sonra ise ;

1000000779_image016

Aşağıdaki güvenlik uyarısını alacağız,

Tabii ki client’ların şirket dışında olacağını ve active directory yapımızda olmadıkları için alınacak bir sertifikanın trusted root container’ına gelemeyeceğinden dolayı, bize aşağıdaki güvenlik uyarısını vermektedir , ve onayladığımız takdirde ilgili sertifika client üzerinde Trusted root’a eklenecektir.

1000000779_image017

Şu anda “Validate Server certificate” seçeneği ile CA otoritesi teyid edilebilecektir. Görüldüğü gibi bizim ADNCA isimli CA’imiz listede yer almaktadır.

1000000779_image018

İlgili ayarları tamamladıktan sonra aşağıdaki pencerede karşımıza çıkan sertifika ile bağlantı ve kullanıcı adı bilgilerini kontrol edebiliriz. Burada farklı kullanıcıların bağlanabilmesi için yukarıdaki “smartcard or other certificates” bölümünde en altta bulunan “ use different username for this connection “ ile farklı kullanıcı bağlantılarını ayrıca sağlayabiliriz. Bunun için her bir kullanıcı için kendilerine ait bir sertifikanın yüklü olması gerekiyor.

1000000779_image019

Bağlantı ikonuna tıkladığımızda ise, username ve password sorgusundan arınmış tertemiz bir vpn penceresi karşımıza çıkmaktadır..

1000000779_image020

Bir sonraki makalede görüşmek dileğiyle..

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu