ISA Server Üzerinde Erişim Kuralı Elementleri Bölüm -4

[GheTTo]

Şirket Bünyelerinde çalışan IT departmanlarının görevlerinden biri kullanıcılarına internet hizmetini sağlamaktır. Bu görevi sağlarken güvenlik , ölçeklenebilirlik ve monitör etme çok önemlidir , bu sayede şirket network üne dışarıdan gelebilecek atakları engellemek mümkün olacaktır. Bu amaçla kullanabileceğimiz pek çok güvenlik duvarı yazılımı veya donamında ortak bir kullanım vardır ; bunlar kurarlardır. Her yazılım ve donanımda gelen paketler için izin veya yasak kuralları vardır . Ancak bu kurallar bu yazılım veya donanım ile gelen standart kural elementleri kullanmaktadır . Yeni oluşturulan elementler ise her zaman biz yöneticiler için esneklik sağlar. Bu bakımdan yazılımsal güvenlik duvarları bu konuda bize daha cazip gelir . Bende bu makalemde şirket bünyelerinde kullandığınız ISA server üzerinden geçen tüm trafiğe hakim olmak ve ISA server ın özelliklerinden tam olarak yararlanmak için ISA server ın erişim kuralı elementlerini anlatmaya çalışacağım.
ISA server üzerinde tanımladığınız erişim kuralları elementlere çok bağlıdır. ISA server kurulumu ile beraber kurallar için tanımlanan standart elementleri kullanabileceğiniz gibi ekstra elementte tanımlayabilirsiniz.
Bu makalemde ise içerik filtrelemesi konusunda bilgi vermeye çalışacağım.
ISA Server üzerinde hazırladığınız her kural , elementlere dayanmaktadır . Şimdiye kadar inceledeğimiz elementler olan protokol ve kullanıcılar ile , kurallarımıza yeni protokoller ve kullanıcılar ekleyebiliyorduk . Bunlara örnek olarak , şirketimizdeki ekstra programlar için port tanımlamak veya şirket çalışanları için kullanıcılar ve gruplar açmak tı. Şimdi ise biz ISA Server ile farklı kısıtlamalar yapmak istiyoruz. Bunların başında içerik filtrelemesi gelmektedir. Örneğin çalıştığınız şirkette kullanıcılara “http” , “dns” , “http” gibi standart izinleri verdiniz , ancak bu standart izinler ile bile aslında kullanıcılar internet bağlantınız bir hayli yoğun kullanabilirler , özellikle bunlardan “http” günümüzde pek çok objenin yayınlanması için kullanılabilir. Örneğin http üzerinden radyo dinlemek veya televizyon izlemek , ( yine son günlerde çok yaygın olan online video sitelerinden video izlemek ) sizin internet bağlantınızı bir hayli yoracaktır. Bu nedenle verdiğiniz izinleri kötü amaçlı olarak kullanılmasını engellemek için içerik filtrelemesini kullanmanız gerekmektedir.
İçerik filtrelemesini kullanmak için var olan kuralınızı sağ tıklamanız ve özellikler pencerisini açmanız gerekmektedir.

Şekil – 1
Benim Tanımlamış olduğum kuralda sadece “http , https , dns” protokollerine izin verilmektedir.

Şekil – 2
Kuralımıza özellikler yaptıktan sonra “Content Types” sekmesine gelirsek , bu kural üzerinden izinli olan içerikleri görürüz. İçerik filtrelemesi kolay bir kısıtlama yöntemi olmak ile beraber sıkça hata yapılmaktadır. İzin ve yasak kurallarının karakterine göre içerik filtrelemesi de değişiklikler gösterir.
Benim kuralım üzerinden hareklet edersek . Benim kuralım bir izin kuralıdır ve ben bu kural üzerinde içerik tipinde video yı ve audio yu seçer fakat başka hiçbirşey seçmez isem bu şu manaya gelir ; internet explorer veya benzeri bir browser ile sadece bu iki dosya tipini görüntüşeyebilirler , ancak onun dışında kalan diğer tüm içerikler izin kuralında yer almadığı için aslında yasaklanmıştır. Kuralın tipi izin değilde yasak olsaydı bu sefer içerik filtrelemesi kısmında seçeceğim video ve audio uzantıları artık görüntülenemeyen içerik tipine girecektir. Bu nedenle yasaklamak ve izin vermek için aslında kuralınızın karakterini her zaman göz önünde bulundurun.
Şimdi ben içerik filtrelemesinde herhangi bir değişiklik yapmama halinde standart kural ile bir çalışanımzın neler yapabildiğine bir bakalım.
Aşağıdaki şekilde internet üzerinden haberleri izleyebildiğini ve bunun gibi pek çok siteden video akışını takip edebildiğini görüyoruz.

Şekil – 3
Yine aşağıdaki şekilden internet ortamından müzik te dinleyebildiğini görüyoruz.

Şekil – 4
Bu iki önemli açık sayesinde internet bağlantınız kullanıcılarınız tarafından bir hayli sömürülecektir. Bunu engellemek için içerik filtrelemesi konusunda çalışma yapmanız gerekmektedir. Var olan izin kuralımızda bütün içeriklere izin verilmektedir. Ben bu kuraldan video ve audio yu yasaklayarak bu iki önemli açığı kapatacağım.
Bunun için izin kuralında sağ tıkladığımda karşıma çıkan pencerede “Contents Type” a geliyorum ve seçimi aşağıdaki gibi yapıyorum.

Şekil – 5
Bu sayede ses ve görüntü dışındaki bütün içeriğe izin vermiş oluyorum. Bu değişiklikten sonra ise kullanıcı tarafındaki yansımalarına bakalım.

Şekil - 6
Daha önce ziyaret ettikleri sitelerden artık video izleyemiyorlar ve yine online olarak müzik dinleyemiyorlar. Ancak bu iki kuralında sağlıklı çalışması için kullanıcılarda firewall client yüklü olmalı ve ISA Server kimlik doğrulamak için ayarlanmış olmalıdır. ( firewall client zorunlu değildir , bu şartların sağlanması kuralın etkinliğini artırıyor. )
Peki ISA cephesinde gelen istekler nasıl karşılanıyor. İstemci video izlemek için play tuşuna bastığı anda isa server a düşen loglar aşağıdaki gibidir
Yukarıdaki şekilde görünüyorki showtvnet üzerinden video görüntüsü istendiğinde Web Proxy filter a takılıyor.

Tablo -1
Bu sayede artık şirketinizde iztediğiniz dosya uzantıları için yasak getirmeniz mümkün oluyor. Content type içerisinde sadece müzik ve video detayları bulunmamaktadır , bunun dışında internet ortamında yasaklamak istediğiniz pek çok dosya tipini buradan ayarlayabilir veya olmayanları ekleyebilirsiniz. Örneğin şirketinizdeki sistem yöneticileri dışında kimsenin download yapmasını istemiyorsunuz. Çünkü çalışanların dosya indirmeleri çok gerekli değildir . Eğer böyle bir yasaklama yapamak istiyorsanız bu sefer dosya tipi kısmından daha fazla sınırlama yapmalıyız. Kuralımızı hatırlayacak olursak ;

Şekil – 7
Bu kurala göre görüntü ve ses dosyaları haricindeki bütün dosyalar izinlidir. Oysaki internette dolaşmak için “HTML Documents” yeterli bir izindir. Biz çalışanlarımızın şirket ortamındaa sorun çıkmadan çalışmalarını ancak internetten muzik ve video izlemeleri ile dosya indirmelerini yasaklamak istiyorsak aşağıdaki dosya tiplerini seçmemeiz yeterli olacaktır.

Şekil - 8
Bu izinler sayesinde kullanıcılarınız rahatlıkla internette gezinebilirler. Verilen dosya uzuntılarını görmek istiyorsanız aşağıda detayları bulunmaktadır.

Şekil - 9

Şekil - 10

Şekil -11
Bu dosya uzantıları onların rahatlıkla internet ortamında dolaşmalarını sağlayacaktır , ancak orada ekli olmayan sıkıştırılmış dosya uzantıları sayesinde internet ortamından download u büyük bir ölçüde önlemiş oluyorsunuz.

Şekil – 12
Yukarıdaki şekilde göründüğü üzere “zip , rar “ vb uzantılarda dosyaları indirmeye çalıştıklarında istemciler hata alacaktır. Bunu istemci tarafında denedim ve aşağıdaki hata ile karşılaştım.

Şekil -13
Burada çok açık bir şekilde istemcinin isteğinin ISA tarafından kesildiği görünmektedir.
Kullanıcı eğer dosya uzantısı ile oynarsa . Örneğin benim kendime ait bir server ım var ve ben akşam evde iken bir programı server ıma ftp ile yollasam , bu programın ismi : 3com.rar olsa , ben isa dan dolayı bunu şirkette indiremem , ancak dosya uzantısı ile oynayarak isa yı atlatacağımı düşünsem dahi isa nın cevabı açık ve net oluyor.

Şekil – 14
İzin verilen dosya formatlarından biri ile orijinal dosya formatını değşitirmem halinde yukarıdaki gibi bir sonuç alıyorum.

Şekil – 15
Veya hiç dosya uzantısı yazmamam halinde ise yine internet explorer ile bu dosyatı indirme imkanına sahip olamıyorum. ISA sadece kuraldaki uzantılara izin verdiği için başka bir formata çevirmem benim için bir açık kapı sağlamıyor.
Peki biz ISA üzerinde bu tanımlı olan dosya tiplerinden farklı bir dosya tipini eklemek veya bir katagori altından birini silmek istersen bunu nasıl yaparız ?
Bunun için ISA yönetim konsolunda Firewall policy kısmında sağ tarafta bulunan menüde “Toolbox” tan “Content Types” sekmesine geliyoruz.

Şekil -16
Burada ISA Server da tanımlı olan standart içerik tiplerini görüyoruz. Biz eğer kendimize yeni bir içerik tipi belirlemek istiyorsak “new” diyerek yeni bir içerik tipi tanımlıyoruz.

Şekil – 17
Örneğin siz şirketinizde belli multimedia dosya tipleri dışında bişey yasaklamak istemiyorsanız , isa da sizin ihtiyacınızı karşılayacak bir içerip tipi yoksa bunu elle hazırlayabiliriz. Ben en çok bilinen multimedia öğelerinin dosya uzantılarını içeren bir içerip tipi tanımlıyorum bu sayede artık kurallarımda bu içerik tipinide kullanabilirim.

Şekil – 18
İçerik tipini ekledikten sonra ISA yönetim konsolunun aldığı hal yukarıdaki gibidir. Yeni eklemek yerine var olan bir içerik tipini değiştirmek istiyorsanızda sadece üzerine çift tıklayarak açılan pencereden “Content types” sekmesine gelmek ve buradaki “add” ile “remove” butonlarını kullanarak bazı tanımlamalar yapmak veya tanımlı bazı uzantıları silmek yeterli olacaktır. Tanımlama için *. Gibi ibareler kulllanmanıza gerek yoktur , sadece dosya uzantısını yazıp 1add1 butonuna basmanız yeterlidir ( örnk : avi , mp3 )

Şekil – 19
Bu bilgiler ışığında artık şirketinizdeki çalışanların interneti kötü amaçla kullanmalarını engellemiş olacaksınız.
Bir sonraki ISA makalesinde görüşmek üzere.

Yayınlanış Tarihi 13 Ağustos 2007 Pazartesi 12:24 Yayınlayan: Hakan UZUNER