ISA 2004 Üzerinden İnternet Kaynaklarına Erişim

Mr.666 · 21-08-2006, 18:41

Sahip olduğunuz ağ yapısında ISA server’ın görevleri temel olarak güvenlik ve ivmelendirme ( cache özelliği ile interneti hızlandırma ) olarak bilinse de aslında ISA Server bu görevlerin dışından bir proxy server görevi görür , aynı zamanda içerideki kaynakları internete açmak içinde çok iyi yayınlama teknolojilerine sahiptir . ISA 2000 de olduğu gibi kurulumları ayrı ayrı yapılmaz ancak istenmeyen özellikleri devreye alınmayarak istediğin bir özelliğini tek balına kullanmanız mümkün olabilmektedir. Örneğin sadece cache özelliğini veya sadece publish özelliğini kullanabilirsiniz.

Bizim amacımız sahip olduğumuz ISA server ın teknolojilerine ve işleme mantığına tam hakimiyet sağlamaktır. Bu sayede kullanıcılarımızın güvenli bir şekilde internete çıkmalarını sağlamış olacağız.

Bunu anlamak için öncelikle ISA server a gelen bir isteğin hangi kriterlere göre değerlendirildiği ve ISA nın bu değerlendirme sonunda nasıl davrandığını bilmeliyiz.

Şekil -1

Örnek bir uygulama ve şekil desteği ile konuyu anlatamaya çalışacağım. Yukarıdaki şekilde kullanıcılar internet üzerindeki herhangi bir kaynağa ISA üzerinden erişmek istemektedirler. Burada kullanıcılar internete çıkmak istediklerini default gateway olan ISA Server a iletirler. ISA Server bu talebi alır ve de öncelikli kontrollerini yapar. Bu kontroller şöyle özetleyebiliriz ;

· İnternete çıkmak isteyen kullanıcını izni var mı ?

· İnternete çıkmak isteyen bilgisayarın izni var mı ?

· İnternete çıkmak için kullandığı protokolün izni var mı ?

· İnternet üzerinde gitmek istediği hedef noktanın izni var mı ?

· İnternet üzerinde gitmek istediği hedef noktanın içeriği hakkında izinler verilmiş mi ?
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=85657

Burada ki kriterler özel yasaklamalar ile arttırılabilir ancak standart yasaklar bunlardır. Dikkat edilirse her konuda “izin” den bahsettim , sebebi ISA kurulur kurulmaz her kullanıcıyı , bilgisayarı , protokolü , hedefi (external interface ) ve içeriği kapatır , yani kısacası her şeyi yasaklar . Bundan dolayı her istek için artık izin aranır. Bir kullanıcı veya bilgisayar internet kaynaklarına erişmek isterse bu kontrollerden geçer , bunun sonucunda internete erişmiş olur ( izni var olması halinde )
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=85657

ISA server kullanıcıları internet kaynaklarına ulaştırırken bir proxy görevi görürü , kural bazında yukarıdaki kontroller yapılmaktadır , ancak kuralların geçilmesi halinde trafik nasıl yönetilir ? Evet ISA server bir prox server gibi çalışır ve kullanıcıların internete çıkmasında vekil görevi görür. Peki biz neden kullanıcıları bir proxy server arkasından internete çıkarmalıyız , bunun bize ne gibi bir yararı olur ?

Bu konuyu da yine bir şekil ile açıklamak istiyorum ;

Şekil -2

Yukarıdaki şekil i incelersek eğer ; kullanıcılar internete erişmek için bir proxy sunucusu kullanmaktadırlar. Proxy sunucusu bize temel olarak 5 fayda sağlamaktadır ;

1. Kullanıcı doğrulaması sayesinde istediğiniz kullanıcıların internete çıkmasını sağlarken , istemediğiniz kullanıcıların ise internete çıkmasını yasaklayabilirsiniz.

2. Kullanıcı isteklerini filtreden geçirebilirsiniz.Bu sayede internete çıkmasına izin verdiğiniz kullanıcıların internet ortamına her türlü isteği değil , sizin izin verdiğiniz isteklerin gitmesine izin verebilirsiniz

3. İnternet içeriğini denetleme imkanına sahip olursunuz

4. Tüm kullanıcı hareketlerini loglaya bilirsiniz

5. Network yapınız hakkında hiçbir bilgiyi dışarıya vermemiş olursunuz

ISA server ın bu özelliğinden yararlanmak için ISA server ı Web Proxy olarak kon figüre etmemiz gerekmektedir. ;

ISA server’ın kullanıcılara hizmet vermesi için kullanıcılar ile ISA Server arasında bir ilişki kurulması gerekmektedir. Bunu 3 şekli vardır ; Secure NAT , Web proxy ve Firewall Client yazılımının yüklenmesi . Burada Web proxy bağlantı şeklini kullanarak ISA Server üzerinden internete çıkmak isteyen kullanıcılara bu özelliği kullanarak nasıl hizmet verebileceğimiz ve bu yolla ne gibi kısıtlamalar yapabileceğimiz öğreneceğiz. Misal kullanıcılarımızı Secure NAT olarak ayarlamadık veya FC yazılımın yüklemedik ve GPO üzerinden domain deki tüm makinelere proxy server olarak ISA Server ı gösterdik. Bu durumda istemci tarafında yapılacak işlemler bitmiştir. Bundan sonra ISA server ana ekranına gelip buradan “Network” kısmına tıklıyoruz.

Şekil -3

Ardından sağ bölümdeki “Internal” kısmına sağ tıklayıp özellikler diyoruz

Şekil -4

Açılan ekranda “Web Proxy” Sekmesine geliyoruz.

Şekil -5

Burada bu hizmeti açmamıza ve de kapamamıza yarayan “Enable Web Proxy Clients” kısmını göreceğiz. Hemen altında bu hizmeti ISA Server üzerinden hangi porttan verdiğimizi belirleyebiliriz. Altında yer alan SSL seçeneği ise istemci makinedeki internet explorer ile ISA server arasında secure bir bağlantı gerçekleşmesini sağlar. Authentication sekmesine geldiğimizde ise istemciler ile ISA Server arasındaki kullanıcı doğrulama yöntemlerini göreceğiz. ( web proxy yi kullanarak ISA ya ulaşmaya çalışan kullanıcılar için). Bu sekmede aşağıdaki şekildedir.

Şekil -6

Burada kimlik doğrulama şekillerini görmekteyiz. ”integrated” varsayılan olarak seçilidir. Bu seçenek seçili ise kullanıcıların kimliklerini doğrulamak için şifre sormaz. Domain yapısı olduğu ve de bu ISA domain e üye olduğundan dolayı kullanıcı bilgilerini AD üzerinden alır. Bu seçenek kaldırılır ise “Select Domain” seçeneği aktif olur , bunu sebebi ISA Server eğer birden fazla domain e hizmet veriyor veya bir domain e üye değilse geçerlidir. Integrated kaldırılıp basic seçilirse bu sefer kullanıcılara şifre sorar ve bu şifre ISA Server a kriptolanmadan yollanır , aynı durumun sadece şifre kısmını kriptolanıp yollanmasını istiyorsak “Digest” seçilir.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=85657

Bir diğer sekme olan “Advanced” sekmesine girdiğimizde ise karşımıza şöyle bir pencere çıkacaktır ;

Şekil - 7

Burada yer alan “Number of connection” ISA Server üzerinde eş zamanlı olarak maksimum kaç kullanıcını bağlanabileceğini ayarlayabiliriz. Hemen altında ise bu kullanıcıların açtıkları oturumların zaman aşımına uğrama süresini belirtir , mesela sınır olarak 50 kullanıcılı bir ağda 20 kişi belirtilirse zaman biraz düşürülmeli , neden ? biri girip internetten gazete okumaya başlarsa o uzun süre istek yollamayacak ve gereksiz yere bağlantı işgal edecektir.

Bu ayarlar yapıldıktan sonra artık şirket bünyemizdeki kullanıcılar ISA server üzerinden güvenli ve kontrollü bir şekilde internet kaynakların ulaşabilmektedir.

Kaynak : 2824: Implementing Microsoft Internet Security and Acceleration Server 2004

Mr.666 & HaUZun..

Mr.Heretic · 21-08-2006, 20:31

Güsel döküman kardeş saolasın

inanhuseyin · 21-08-2006, 20:33

Emeğine sağlık

Güzel olmuş

Saolasın

21-08-2006, 18:41	#1
Mr.666 Moderator Kayıt Tarihi: Jul 2005 Üye numarası: #29226 Yer: Ankara Mesaj sayısı: 1,410 Karma etkisi: 2610 Karma: 260208	ISA 2004 Üzerinden İnternet Kaynaklarına Erişim Sahip olduğunuz ağ yapısında ISA server’ın görevleri temel olarak güvenlik ve ivmelendirme ( cache özelliği ile interneti hızlandırma ) olarak bilinse de aslında ISA Server bu görevlerin dışından bir proxy server görevi görür , aynı zamanda içerideki kaynakları internete açmak içinde çok iyi yayınlama teknolojilerine sahiptir . ISA 2000 de olduğu gibi kurulumları ayrı ayrı yapılmaz ancak istenmeyen özellikleri devreye alınmayarak istediğin bir özelliğini tek balına kullanmanız mümkün olabilmektedir. Örneğin sadece cache özelliğini veya sadece publish özelliğini kullanabilirsiniz. Bizim amacımız sahip olduğumuz ISA server ın teknolojilerine ve işleme mantığına tam hakimiyet sağlamaktır. Bu sayede kullanıcılarımızın güvenli bir şekilde internete çıkmalarını sağlamış olacağız. Bunu anlamak için öncelikle ISA server a gelen bir isteğin hangi kriterlere göre değerlendirildiği ve ISA nın bu değerlendirme sonunda nasıl davrandığını bilmeliyiz. *Şekil -1* Örnek bir uygulama ve şekil desteği ile konuyu anlatamaya çalışacağım. Yukarıdaki şekilde kullanıcılar internet üzerindeki herhangi bir kaynağa ISA üzerinden erişmek istemektedirler. Burada kullanıcılar internete çıkmak istediklerini default gateway olan ISA Server a iletirler. ISA Server bu talebi alır ve de öncelikli kontrollerini yapar. Bu kontroller şöyle özetleyebiliriz ; · İnternete çıkmak isteyen kullanıcını izni var mı ? · İnternete çıkmak isteyen bilgisayarın izni var mı ? · İnternete çıkmak için kullandığı protokolün izni var mı ? · İnternet üzerinde gitmek istediği hedef noktanın izni var mı ? · İnternet üzerinde gitmek istediği hedef noktanın içeriği hakkında izinler verilmiş mi ? Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=85657 Burada ki kriterler özel yasaklamalar ile arttırılabilir ancak standart yasaklar bunlardır. Dikkat edilirse her konuda “izin” den bahsettim , sebebi ISA kurulur kurulmaz her kullanıcıyı , bilgisayarı , protokolü , hedefi (external interface ) ve içeriği kapatır , yani kısacası her şeyi yasaklar . Bundan dolayı her istek için artık izin aranır. Bir kullanıcı veya bilgisayar internet kaynaklarına erişmek isterse bu kontrollerden geçer , bunun sonucunda internete erişmiş olur ( izni var olması halinde ) Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=85657 ISA server kullanıcıları internet kaynaklarına ulaştırırken bir proxy görevi görürü , kural bazında yukarıdaki kontroller yapılmaktadır , ancak kuralların geçilmesi halinde trafik nasıl yönetilir ? Evet ISA server bir prox server gibi çalışır ve kullanıcıların internete çıkmasında vekil görevi görür. Peki biz neden kullanıcıları bir proxy server arkasından internete çıkarmalıyız , bunun bize ne gibi bir yararı olur ? Bu konuyu da yine bir şekil ile açıklamak istiyorum ; *Şekil -2* Yukarıdaki şekil i incelersek eğer ; kullanıcılar internete erişmek için bir proxy sunucusu kullanmaktadırlar. Proxy sunucusu bize temel olarak 5 fayda sağlamaktadır ; 1. Kullanıcı doğrulaması sayesinde istediğiniz kullanıcıların internete çıkmasını sağlarken , istemediğiniz kullanıcıların ise internete çıkmasını yasaklayabilirsiniz. 2. Kullanıcı isteklerini filtreden geçirebilirsiniz.Bu sayede internete çıkmasına izin verdiğiniz kullanıcıların internet ortamına her türlü isteği değil , sizin izin verdiğiniz isteklerin gitmesine izin verebilirsiniz 3. İnternet içeriğini denetleme imkanına sahip olursunuz 4. Tüm kullanıcı hareketlerini loglaya bilirsiniz 5. Network yapınız hakkında hiçbir bilgiyi dışarıya vermemiş olursunuz ISA server ın bu özelliğinden yararlanmak için ISA server ı Web Proxy olarak kon figüre etmemiz gerekmektedir. ; ISA server’ın kullanıcılara hizmet vermesi için kullanıcılar ile ISA Server arasında bir ilişki kurulması gerekmektedir. Bunu 3 şekli vardır ; Secure NAT , Web proxy ve Firewall Client yazılımının yüklenmesi . Burada Web proxy bağlantı şeklini kullanarak ISA Server üzerinden internete çıkmak isteyen kullanıcılara bu özelliği kullanarak nasıl hizmet verebileceğimiz ve bu yolla ne gibi kısıtlamalar yapabileceğimiz öğreneceğiz. Misal kullanıcılarımızı Secure NAT olarak ayarlamadık veya FC yazılımın yüklemedik ve GPO üzerinden domain deki tüm makinelere proxy server olarak ISA Server ı gösterdik. Bu durumda istemci tarafında yapılacak işlemler bitmiştir. Bundan sonra ISA server ana ekranına gelip buradan “Network” kısmına tıklıyoruz. *Şekil -3* Ardından sağ bölümdeki “Internal” kısmına sağ tıklayıp özellikler diyoruz *Şekil -4* Açılan ekranda “Web Proxy” Sekmesine geliyoruz. *Şekil -5* Burada bu hizmeti açmamıza ve de kapamamıza yarayan “Enable Web Proxy Clients” kısmını göreceğiz. Hemen altında bu hizmeti ISA Server üzerinden hangi porttan verdiğimizi belirleyebiliriz. Altında yer alan SSL seçeneği ise istemci makinedeki internet explorer ile ISA server arasında secure bir bağlantı gerçekleşmesini sağlar. Authentication sekmesine geldiğimizde ise istemciler ile ISA Server arasındaki kullanıcı doğrulama yöntemlerini göreceğiz. ( web proxy yi kullanarak ISA ya ulaşmaya çalışan kullanıcılar için). Bu sekmede aşağıdaki şekildedir. *Şekil -6* Burada kimlik doğrulama şekillerini görmekteyiz. ”integrated” varsayılan olarak seçilidir. Bu seçenek seçili ise kullanıcıların kimliklerini doğrulamak için şifre sormaz. Domain yapısı olduğu ve de bu ISA domain e üye olduğundan dolayı kullanıcı bilgilerini AD üzerinden alır. Bu seçenek kaldırılır ise “Select Domain” seçeneği aktif olur , bunu sebebi ISA Server eğer birden fazla domain e hizmet veriyor veya bir domain e üye değilse geçerlidir. Integrated kaldırılıp basic seçilirse bu sefer kullanıcılara şifre sorar ve bu şifre ISA Server a kriptolanmadan yollanır , aynı durumun sadece şifre kısmını kriptolanıp yollanmasını istiyorsak “Digest” seçilir. Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=85657 Bir diğer sekme olan “Advanced” sekmesine girdiğimizde ise karşımıza şöyle bir pencere çıkacaktır ; *Şekil - 7* Burada yer alan “Number of connection” ISA Server üzerinde eş zamanlı olarak maksimum kaç kullanıcını bağlanabileceğini ayarlayabiliriz. Hemen altında ise bu kullanıcıların açtıkları oturumların zaman aşımına uğrama süresini belirtir , mesela sınır olarak 50 kullanıcılı bir ağda 20 kişi belirtilirse zaman biraz düşürülmeli , neden ? biri girip internetten gazete okumaya başlarsa o uzun süre istek yollamayacak ve gereksiz yere bağlantı işgal edecektir. Bu ayarlar yapıldıktan sonra artık şirket bünyemizdeki kullanıcılar ISA server üzerinden güvenli ve kontrollü bir şekilde internet kaynakların ulaşabilmektedir. *Kaynak : 2824: Implementing Microsoft Internet Security and Acceleration Server 2004* Mr.666 & HaUZun..

Konu Araçları	Bu Konuda Ara
Printer Çıktısını Göster Sayfayı Emaille Yolla	Bu Konuda Ara: Gelişmiş Arama

21-08-2006, 20:31	#2
Mr.Heretic Cool Çırak Kayıt Tarihi: Jul 2006 Üye numarası: #79430 Mesaj sayısı: 30 Karma etkisi: 0 Karma: 14	Güsel döküman kardeş saolasın

21-08-2006, 20:33	#3
inanhuseyin Forum Ustası Kayıt Tarihi: May 2006 Üye numarası: #68634 Yer: Beyoğlu Mesaj sayısı: 2,549 Karma etkisi: 2696 Karma: 268710	Emeğine sağlık Güzel olmuş Saolasın

Şu Anda Konuyu Görüntüleyenler: 1 (0 üye ve 1 misafir)