ISA Server Güvenliğini Güçlendirmek Bölüm -1

[GheTTo]

Başlığı okuduğumuzda ironik olduğunu düşünebilirsiniz, çünkü hepimiz ISA Server’ı zaten sistemlerimizi, ağımızı korumak ve güvenli tutmak için kullanıyoruz. Ancak baktığımızda ISA Server bu korumayı gerçekleştirmek için çalışan bir nefer gibidir, ne kadar iyi korursak, ne kadar güçlendirirsek ve ne kadar desteklersek sonuç o derece daha iyi olacaktır. ISA güvenlik duvarını güçlendirmek, olası saldırılara karşı savunmasını yükseltmek her zaman çok konuşulan ve tartışılan bir konudur, özellikle de ISA Server 2000 ile yayımlanan System Hardening Wizard’ın ISA Server 2000’in temel çekirdek işlevlerini bozmasından sonra.
Bu ve bunu takip edecek makalelerimde güvenli bir ISA Server 2006 ortamı yaratmayı ve bu güvenliğin devamlılığının sağlanmasına odaklanacağız. Takip edeceğimiz başlıkları sıralamak gerekirse;

• Güncelleştirmeleri Yönetmek
• Fiziksel Erişim
• Domain üyeliğine karar vermek
• Windows Altyapısını Güçlendirmek
• Sunucu Rollerinin ve İzinlerinin Yönetilmesi
• Saldırı Olasılıklarını ve Alanını Daraltmak
• LockDown Kipi

Şimdi bu başlıkları sırasıyla inceleyelim.
GÜNCELLEŞTİRMELERİ YÖNETMEK
Sistem yazılımlarını özellikle işletim sistemleri ve sunucu rollerini korumanın olmazsa olmaz yollarından bir tanesi güncel tutmaktır. İlk olarak ISA Server’ın yüklü olduğu işletim sistemi olmak üzere, ISA Server ve Microsoft SQL Server 2000 Desktop Edition, Office Web Component (OWC) gibi ISA Server bileşenlerinin tüm güncellemelerinin yapılmış olması kritik öneme sahiptir.
· Windows İşletim sistemi Güncelleştirmeleri için: http://go.microsoft.com/fwlink/?linkid=28855
· ISA Server Güncelleştirmeleri için:
http://go.microsoft.com/fwlink/?linkid=28791
· MSDE 2000 ve Office Web Component güncelleştirmeleri için:
http://go.microsoft.com/fwlink/?linkid=28687
bağlantılarını kullanabilirsiniz.
Ayrıca bu noktada bir diğer önerim ise Microsoft Baseline Security Analyzer yazılımını belirli aralıklarla sistemlerinizde çalıştırmanız ve sonuçlarını incelemenizdir. MBSA yazılımı ayrıca ISAInfo isminde ISA Server için kullanabileceğiniz bir araçta içermektedir.
MBSA Ana Sayfa
http://www.microsoft.com/technet/sec.../mbsahome.mspx
FİZİKSEL ERİŞİM
ISA Server’ın fiziksel olarak erişiminin güvenli olacağı bir lokasyona yerleştirmelisiniz. Sunuculara fiziksel erişimin açık olması büyük bir güvenlik riskidir. Fiziksel olarak erişime açık olan sunuculara yetkisiz kişiler oturum açabilir, donanımsal ya da yazılımsal değişiklikler yapabilir, basitçe USB diskler kullanarak verileri kopyalayabilirler. Örneğin ISA Server Enterprise edition kullanıyorsanız ve array yapınız mevcutsa fiziksel erişim konusu özellikle önemlidir çünkü her bir array üyesi diğer array üyelerine ait şifrelenmiş gizli veriler içerir. Aynı zamanda array üyeleri bu şifrelenmiş gizli verileri decrypt edecek anahtarlara da sahiptir. Bu gizli bilgi kullanıcı oturum açma parolaları (örneğin SQL Server veritabanı için kullanılan.), IPSec anahtarları, RADIUS bilgileri gibi verileri saklamaktadır. Bu neden özellikle array yapılandırması kullanıyorsanız ISA sunucularınızın fiziksel erişimlerini kısıtlamalısınız.
DOMAIN ÜYELİĞİNE KARAR VERMEK
Birçok durumda ISA Server’ı domain üyesi olarak yapılandırmanız gerekebilir. Örneğin Domain User authentication gerektiren bir firewall kuralı oluşturacaksanız ISA Server domain’e üye olmak zorundadır.
Eğer ISA Server’ı edge network’ü korumak için kullanıyorsanız ISA Server’ı yerel ağınıza bağlı bir forest içerisine dahil etmektense farklı bir forest yapısı olarak kurmanızı tavsiye ederim. Böylece bir şekilde ISA Server ve bağlı bulunduğu forest güvensiz duruma düşse de yerel ağınızı bunun uzağında tutabilirsiniz. ISA Server’ın bir domain üyesi olarak sunduğu yönetimsel ve güvenlik imkânlarından faydalanmak istiyorsanız ISA Server’ı yerel forest’ınızla one-way trust ilişkisi kuracak şekilde farklı bir forest altyapısı içerisinde kullanmanız en uygun yöntem olacaktır.
NOT: One-way trust sadece Windows Server 2003’te desteklenmektedir.
Domain ortamınızda ISA Server ile beraber domain veya Active Directory dizin hizmetleri işlevselliklerini kullanmayı düşünmüyorsanız ISA sunucunuzu workgroup olarak yapılandırmanız daha uygun olacaktır.
WINDOWS ALTYAPISINI GÜÇLENDİRMEK
ISA Server’ı Windows Server işletim sistemlerinden bağımsız düşünmek ve güçlendirmek düşünülemez. Bu nedenle ilk önerim TechNet sitesinde bulunana Windows Server 2000 ve Windows Server 2003 Güvenlik rehberlerini incelemeniz ve altyapınıza uygun olan işlemleri gerçekleştirmenizdir .
Windows Server 2000 Güvenlik Rehberi
http://www.microsoft.com/downloads/d...displaylang=en
Windows Server 2003 Güvenlik Rehberi
http://www.microsoft.com/technet/sec...hg/sgch00.mspx
Bir diğer öneri ise Windows altyapı güçlendirmenizi Windows Server’ınızı sunucu rollerinin ve işlevlerinin tamamını yükledikten sonra gerçekleştirmenizdir . Örneğin ISA Server Enterprise için gerekli olan tüm Configuration Storage sunucularınızı ve array üyelerinizi yükleyin ve daha sonra altyapı güçlendirmenizi gerçekleştirin. Windows Altyapı Güçlendirmesini birkaç başlık altında incelememiz gerekiyor.
a) Security Configuration Wizard Kullanımı:
Windows Server 2003 Service Pack 1 saldırı alanı ve olasılıklarını azaltmak için kullanabileceğiniz Security Configuration Wizard SCW isminde bir araç içermektedir. SCW sunucu üzerinde yüklü olan rollere bağlı olarak gerekli olan minimum işlevleri belirler ve gereksiz olan tüm işlevleri devre dışı bırakır. SCW ile ilgili olarak bir sonraki makalemde çok daha ayrıntılı olara bilgi vereceğim.
b) Sunucunuzu Manuel Güçlendirmek:
Eğer Windows Server 2003 Service Pack sisteminizde yüklü değilse ya da herhangi bir sebepten dolayı yüklemek istemiyorsanız SCW aracının yapacağı gibi sunucunuzda çalışan servislerin başlangıç durumlarınızı kendinizde belirleyebilirsiniz. Ancak yine de benim şahsi önerim bu işlem için özelleştirilmiş olan SCW aracınızı kullanmanızdır. Manuel güçlendirmeyi birkaç farklı işlemi kapsayacak şekilde yapmalıyız. Sırasıyla gidersek;

1. Temel Hizmetler

Aşağıda bulunan tablo ISA Server yüklü sunucunun ve ISA Server’ın düzgün olarak çalışabilmesi için etkinleştirilmesi gereken temel servislerin bir listesini içermektedir.

1. ISA Server Sunucu Rolleri

ISA Server’ın bulunduğu sunucu Domain Controller harici farklı sunucu rolleri de barındırabilir. Aşağıda bulunan örnek tabloda bu sunucu rollerini, kullanım senaryolarını ve ilgili servislerin durumlarını görebilirsiniz.

1. ISA Server Yönetimi ve Diğer Görevler

Gerek gördüğünüz görevlerin gerçekleştirilmesi için servisler etkinleştirilmiş olmalıdır, bunun haricinde diğer gereksiz servisler devre dışı bırakılmalıdır. Aşağıda bulunan tabloda bir sunucuda gerçekleştirilecek olası görevler, kullanım senaryoları ve kullanımları durumunda ihtiyaç duyulan servislerin listesi vardır.

1. ISA Server İstemci Rolleri

Sunucular diğer başka sunucuların istemcileri olabilir. Aşağıda bulunan tabloda ISA Server’ın olası istemci rolleri, hangi durumlarda kullanılabileceği ve hangi servislerin etkinleştirilmesi gerektiği belirtilmiştir.

c) Security Template Yaratmak:
Security Template MMC konsolunu kullanarak güvenlik şablonları yaratabilirsiniz. Bu şablon hangi hizmetlerin etkin olacağını ve bunların başlangıç durumlarının dahil olduğu bilgileri içerir. Güvenlik şablonları kullanarak kolaylıkla güvenlik policy’leri yaratabilir ve tüm ISA Server’lara deploy edebilirsiniz. Bunun için; Start---Run---MMC komutunu verin, ardından File---Add/Remove Snap-in menüsünden Add butonuna tıklayın ve Security Templates konsolunu ekleyin.

Konsol içerisinde Security Templates’i genişletin, altında default olarak şablonların kayıt edildiği klasörü göreceksiniz. Varsayılan olarak C:\Windows\Security\ Templates klasörüdür, bu klasöre sağ tıklayın ve New Template komutunu verin. Şablonunuza bir isim ve isterseniz bir açıklama bilgisi ekleyin. Yarattığınız şablon klasör altında listelenecektir, şablonu genişletin ve System Services’i seçin.

Daha sonra bu bölümde ISA Server’da çalışmasını ya da durdurulmasını istediğiniz tüm hizmetleri yapılandırabilirsini z. Aşağıda servislerin isimlerini, kısa adlarını (komut satırı ve registry’de kullanmanız için) ve başlangıç durumlarını görebilirsiniz.

Şablonu isteğinize ve gereksinimlerinize göre özelleştirip düzenledikten sonra ağınızda bulunan diğer ISA Server’lara import edebilirsiniz. Bunun için; Start---Run---MMC komutunu verin, ardından File---Add/Remove Snap-in menüsünden Add butonuna tıklayın ve Security Configuration and Analysis konsolunu ekleyin. Konsolda Security Configuration and Analysis’e sağ tıklayın ve Open Database komutunu verin. Import Template penceresinde kaydetmiş olduğunuz şablonu seçin. Security Configuration and Analysis’e sağ tıklayın ve Configure Computer Now komutunu verin. Şablon yeni sisteme eklenmiş ve yapılandırılmış olacaktır.
Şimdiye kadar yazdıklarımızı özetlememiz gerekirse, ISA Server, ağımızın güvenliğini belirlediğimiz güvenlik duvarı kuralları ile sağlamaktadır. Ancak bu güvenliğin kararlılıkla devam edebilmesi için bizde ISA Server’ımızı korumalıyız. Bunun için sadece güvenlik kuralları yeterli gelmemekte, bir takım farklı işlemlerde yapmamız gerekmektedir. Bu işlemlerden dört tanesini makalemizde ayrıntılı olarak inceledik. Bir sonraki makalemizde kalan 3 adım olan Sunucu Rollerinin ve İzinlerinin Yönetilmesi, Saldırı Olasılıklarını ve Alanını Daraltmak ve LockDown Kipi aşamalarını inceleyeceğiz. Bu aşamaları da inceledikten sonra Security Configuration Wizard kullanarak ISA Server’ımızın güvenliğini yükseltmeyi ayrıntılı olarak inceleyeceğiz. Unutmayalım her evin girişini koruyan bir kapıdır ancak bu kapı ne kadar sağlam olursa, ne kadar desteklenirse o kadar huzurla uyuyabiliriz.

Yayınlanış Tarihi 06 Ağustos 2007 Pazartesi 00:00 Yayınlayan: Gökhan Şenyüz