Merhabalar bu makalemde sizlere microsoft’ un son güvenlik ürünü olan Forefront TMG 2010 üzerinde Domainimizdeki kullanıcıların internete çıkışlarını filtrelemek ve bu filtrelemeyi hangi bilgisayara oturursa otursun kendi yetkisi dahilinde websitelerine erişebilmelerini sağlıyacağız.
Şirketlerde karşılaşılan en büyük sorunlardan biri kullanıcılarının oturumlarının açık kalması ve başkaları tarafından internet erişimlerinin kullanılarak kötü amaçlı safyalara girişler, şifreleri otomatikleştirilmiş e-mail hesapları üzerinden e-mail gönderilmesini engellemiş olacağız. Biz sistem yöneticilerinin en büyük sorunlarından olan bu güvenlik açıklarının kapatılması yüksek önem arz etmektedir.
Yapıcağımız bu çalışmamızda herşeyi yapılandırılmamış firewall’ umuz TMG 2010 üzerinde gerçekleştireceğiz.
İlk olarak Forefront TMG Management penceremizi açıyoruz. Sol menüde bulunan Firewall Policy‘ e geliyoruz. Gördüğünüz gibi kurulumdan sonraki default hali ile hiçbir değişiklik yapılmamış durumda. Sağ tarafda bulunan Toolbox‘ a geliyoruz. İçerisinde bulunan Users ‘ a geliyoruz. Kurulumda gelen User Gruplarını görüyoruz. Kendi gruplarımızı oluşturacağız bunun için Newdiyoruz.
Açılan pencerede oluşturacağımız User Group’ umuza isim belirliyoruz. Ben ilk olarak yetkili kullanıcılarımızın bulunacağı grubumu oluşturuyorum. User Group’ umuza isiv verdikden sonra Next diyerek devam ediyoruz.
Users kısmında Add butonu geliyoruz. Gördüğünüz gibi ekleyeceğimiz kullanıcılarımızın hangi istemci tipinde barındırılıyor belirliyoruz. Active Directory’ de bulunan kullanıcıları ekliyeceğimden ötürü Windows users and group… seçiyorum.
Kullanıcılarımızı ekledik. Burada Yetkili kullanıcılarımız bulunduğu grubun üyesi olan kullanıcılarımızı ve hangi domain içerisinde barındığını görebiliyoruz. Kullanıcılarımızı da ekledikden sonra Next diyerek devam ediyoruz.
Finish diyerek User Group’ umuzu oluştururma işlemimizi tamamlıyoruz.
Grup ekleyerek kullanıcılarımızı nasıl tanımlayacağımızı gördük. Sınırlı kullanıcılarımızın bulunacağı grubumuzu oluşturdum sizlerde aynı şekilde Yetkili ve Sınırlı kullanıcılarımızın bulunacağı User Grouplarını oluşturmalısınız.
Authentication Method’un belirlenmesi
Bu kısımda kullanıcılarımızın Browserlar üzerinden internet erişimi sağlamak istediklerinde karşılaşıcak oldukları authentication methodumuzun yapılandırılacağı kısıma geldik. Bunun için sol tarafda bulunan Networking‘ e geliyoruz. Karşımıza gelen ilk tab olan Networks‘ de bulunanInternal‘ a geliyoruz.
Internal üzerinde sağ click yapıyoruz. Açılan sekmeden Properties diyerek özellikler penceresini açıyoruz.
Açılan özellikler penceresinde Web Proxy tabına geliyoruz. Bu kısımda bulunan Configure allowed authentication methods kısmında Authentication… butonu geliyoruz.
Açılan Authentication penceresinde kullanıcağımız methodu belirleyeceğiz. Authentication tiplerinden Basic‘ i seçiyoruz. Bütün kullanıcılarımız internet erişimi sağlayabilmeleri için mutlaka authentication sağlamaları gerektiğini belirlememiz için Require all users to authenticationkutucuğunu işaretliyoruz. Alt kısımda bulunan Authentication Servers kısmında Select Domain… butonuna geliyoruz.
Açılan Select Domain penceresinde authentication yapılacak olan domain’ imizi belirtmeliyiz.Browse diyerek mevcut olan domain’ imizi ekliyoruz ve OK diyerek ekliyoruz.
URL Set ve Domain Set’ lerimizin belirlenmesi…
Bu kısımda yasaklayacağımız websitelerini ve domainlerimizi belirleyeceğiz. Bunun için Toolbox‘ ı açıyoruz. Burada Network Objects‘ e geliyoruz. İlk olaran URL Set’ lerimizi belirliyeceğiz, bunun için URL Set üzerinde sağ click yaparak New URL Set… diyoruz.
Açılan URL Set Rule Element penceremizde oluşturacağımız URL Set’ imizde Name kısmında bir isim veriyoruz. Ben sınırlı kullanıcılarımızın erişmesini engelliyeceğim siteleri belirliyorum. Bunun için Add butonuna basarak yukarıda gördüğünüz gibi URL tanımlamaları yapıyorum. OK diyerek ekliyoruz.
Domain Name Set’ lerimizi tanımlıyacağız artık… Bunun için Network Objects kısmında Domain Name Sets’ e sağ click yapıyoruz ve New Domain Name Set… diyoruz. URL Set kısmında yaptığımız gibi Domain Name Set’ imize isim veriyoruz. Burada Yasakladığımız istelerin 80 portu üzerinde erişilebildiğiği gibi 443 portu üzerinden farklı CNAME’ ler kullanılabilerekde girilmekte bunlardan ençeok bilinen Facebook’ dur.
Birçok arkadaşımızın facebook’ a erişimi kapastasalar bile veya kapattıklarını düşünseler de kullanıcılar farklı CNAME’ ler üzerinden kullanılarak girilebildiğini biliyoruz. Bunun için direk olarak Domain Name Set oluşturarak kuralımıza ekliyeceğiz ve direk domain bazında engellemiş olacağız. Domain Name Set’ imizi oluşturuduğumaz göre OK diyerek işlemimizi tamamlıyoruz.
Firewall Policy’ lerin belirlenmesi…
Bu kısımda artık Kullanıcılarımızın erişimleri için gereken firewall policy’ lerimizi oluşturacağız. Bunun için Firewall Policy üzerine sağ click yapıyoruz. Açılan sekmede New‘ e geliyoruz, buradaAccess Rule diyoruz.
Oluşturacağımız kuralamıza bir isim veriyorum. Ben ilk olarak yetkisi full olan kullanıcılarımızı belirleyeceğimden dolayı Internet_Full_Access ismi vererek devam ediyorum.
Rule Action kısmında oluşturduğumuz bu kuralın uygulanacağı durumu belirliyoruz. Bu kuralda belirleyeceğimiz kullanıcılarımızın Internet erişimine izin vereceğimizden Allow diyoruz.
Protocols penceresinde kuralımız dahilinde kullanıcıların Internet erişimde izin vereceğimiz protokolleri belirliyoruz. Bunun için Add butonuna basarak HTTP ve HTTPS protokollerimizi ekliyoruz ve Next diyerek devam ediyoruz.
Malware Inspection penceresinde bu özelliği bu kural dahilinde aktif edebilir veya aktif etmeyebilirsiniz. Malware Inpection ne yapıyor diyebilirsiniz. Bu özellik gelen paketlerin içeriğini inceleyerek içerisinde virüs veya zararlı kod taraması yapar. Eğer virüs veya zararlı kod bulursa temizlemeye çalışır, temizleyemezse içeriği silip “txt” formatında bir bilgi döner. Fakat bunların hiç birini yapamazsa işlemi durdurur. Ben aktif etmeden devam ediyorum.
Bu pencerede oluştuduğumuz kuralın geçerli olacağı kaynak ve hedef alanlarını belirleyeceğiz. This applies to traffic from these sources kısmında Add diyerek source networkümüzü ekliyoruz.Internal‘ ı ekliyoruz.
Bu seferde de This rule applies to traffic sent these destination kısmında External Networkümüzü ekliyoruz ve devam ediyoruz.
User Sets kısmında artık yukarıda oluşturduğumuz user group‘ umuzu ekliyeceğiz. Bu kuralda Internete sınırsız erişim sağlıyacak olan kişilerin bulunduğu grubumuzu ekliyeceğiz. Add butonuna gelerek TamYetkililer grubumuzu ekliyoruz ve devam ediyoruz.
Finish diyoruz ve internete sınır çıkacak kullanıcılarımız için oluşturduğumuz kuralımızı tamamlıyoruz.
Bundan sonra internetde kısıtlamalarla erişim sağlıyacak olan kullanıcılarımız için oluşturacağımız kuralı ekliyeceğiz. Bundan sonraki adımları yukarıda oluşturduğumuz gibi aynı şekilde ekliyeceğiz. Adımlarda kısa olarak eklediğim öğeleri sizler ile paylaşacağım.
New Rule diyoruz açılan pencerede ilk olarak bu kurala bir isim veriyoruz ve devam ediyoruz.
Protocols penceresinde This rule applies to kısmında Selected protocols‘ u işaretliyoruz. Alt kısımda bulunan Add butonunda protokollerimizi ekliyeceğiz. Bildiğiniz gibi bir çok websitesinin artık HTTPS erişimleride mevcutdur. Benim engelleme yapacağım sosyal medya sayfaları olacağından dolayı bir çoğunuz facebook gibi sayfaların https üzerinden erişim sağladığını biliyoruz. HTTP ve HTTPS protokollerimizi ekliyerek devam ediyoruz.
Access Rule Sources kısmında kaynak networkümüzü (Internal) ekliyoruz ve devam ediyoruz.
Access Rule Destinations kısmında hedef networkümüzü (External) ekliyoruz ve devam ediyoruz.
User Sets kısmında oluşturuduğumuz User group umuzu ekliyeceğiz. Görüldüğü gibi bu grup sınırlı kullanıcılarımız bulunduğu grup, Add diyerek kullanıcı grubumuzu ekliyerek devam ediyoruz. Finish diyerek tamamlıyoruz kuralımızı.
Kurallarımızı oluşturduk değişikliğin etkinleştirilmesi için ve konfigürasyonun düzenleşmesi için yukarıda Apply diyoruz.
Karşımıza gelen pencerede yapılan değişikliğin başarılı bir şekilde konfigüre edildiğini başarı olduğunu görüyoruz OK butonu na basıyoruz ve işlemimizi tamamlıyoruz.
Sol kısımda bulunan Monitoring‘ e geliyoruz. Burada açılan kısımda Configuration tabına geliyoruz. Alt kısımda gördüğünüz gibi TMG Updating durumunda tamamlandığı halini göreceksinizdir. Bu sayfayı güncellemek için sağda bulunan Refresh Now butonu na basıyoruz ve checked duruma gelicektir.
Gördüğünüz üzere TMG Sunucumuz yapılan konfigürasyonları başarılı bir şekilde tamamladı.
Oluşturduğumuz kurallarımızda sınırlı ve sınırsız erişime sahip olan kullanıcılarımızı görüyoruz. Bu kullanıcılarımıza göre userlarımızı test edeceğiz ilerleyen adımlarımızda.
Bu kısımda artık internete sınırlı çıkacak olan kullanıcılarımız için erişim sağlamalarını yasakladığımız domainlerimizi ve web sayfalarımızı ekliyeceğiz. Bunun için sınırlı kullanıcılarımız için oluşturduğumuz kuralımıza sağ click yapıyoruz ve Properties diyoruz.
Açılan properties penceresinde To tabına geliyoruz. Alt kısımda bulunan Exceptions kısmında Add butonu na basıyoruz. Açılan pencereden daha önce oluşturduğumuz URL Set’ imizi ve Domain Name Setimizi ekliyoruz , apply diyerek kuralımıza dahil ediyoruz yaptığımız Domain ve URL setlerimizi.
Buraya kadar yaptığımız işlemlerden sonra kullanıcılar internete erişim sağlamak istediklerinde browser larında User Authentication ile karşılaşıcaklardır ve kendi kullanıcı adlarını ve şifrelerini girerek internete gireceklerdir.
Artık test edelim yaptığımız işlemleri…
İnternet Explorer açıyorum ve karşıma Windows Security penceresi geldi. Bu kısımda Kullanıcı adımı ve şifremi giriyorum. Yukarıda sizlerle sınırsız yetkili ve sınırlı kullanıcılarımızın hangileri olduğunu göstermiştim. Kendim tabiki sınırsız olarak erişim sağlıyorum…J Kullanıcı adı ve şifremi giriyorum ve OK butonuna basıyoruz.
Gördüğünüz üzere başarılı bir şekilde erişim sağladık. Birde yasaklı olan web sayfalarımıza ve domainlerimize erişim sağlamayı deniyelim.
Sosyal Medya sayfamızada sorunsuz bir şekilde erişim sağlayabildik. Artık yetkileri sınırlı olan kullanıcılarımızla test edelim.
Yeni bir internet explorer penceresi açıyoruz. Açılan Windows Security penceresinde bu sefer sınırlı erişim sağlıyacak olan kullanıcımız ile internet erişimi sağlıyoruz.
Yasaklı olan http://facebook.com/ adresine erişim sağlamaya çalışıyoruz. Gördüğünüz gibi erişim sağlayamıyoruz fakat asıl https protokolü ile erişim sağlayamamız gerekecektir.
HTTPS protokolü üzerinden de gördüğünüz gibi erişim sağlamanıza imkan sağlamıyor.
Evet arkadaşlar sizlere user authentication metodu ile Forefront TMG üzerinde kullanıcalarımızın internet erişimlerinde sınırlama yaptık. Bu gibi kurallarla sizlerde kendi yapılarınızda daha farklı konfigürasyonlar ile ve metodlar ile güvenlik geliştirmeleri gerçekleştirebilirsiniz.
Umarım sizlere faydalı olacaktır…