Virtual Private Network, güvensiz bir network üzerinden (örneğin internet) güvenli bir şekilde özel bir ağa (örneğin firma networkü) bağlanmak için en iyi yöntemdir. Sistem yöneticileri, özellikle sık dolaşıp firma networküne bağlanması gereken kullanıcılara ya da taşeron firmalara VPN erişimi izini verirler. Her ne kadar vpn, network üzerinden taşınan veriyi güvenli bir tünel üzerinden kriptolayarak taşısa da, güvenlik tehditlerini çok uzağınızda aramanız gerekmez.

VPN ile firma networküne bağlanan bilgisayar üzerinde virüs ya da trojan gibi “malware”ler bulunabilir. Bu zararlı yazılımlar kolayca networkünüzdeki clientlarınıza ve serverlarınıza bulaşabilir. Security Updateleri eksik olan bir bilgisayarda, network de küçük bir terör estirebilir. VPN clientlarında antivirüs ve antispy yazılımları bulunsa bile, bunlar güncel olmadıkları sürece işe yaramazlar. Bir başka durum ise, clientın ekran koruyucusu  parola korumalı değilse, kullanıcı bilgisayarından uzaktayken bir saldırgan, varolan bağlantıyı kullanarak firma networküne sızabilir ya da bilgi edinebilir.

Yukarıdaki saydığım sebeplerden dolayı, Windows Server 2003 ile birlikte, VPN karantina adlı yeni bir vpn metodu gelmiştir. VPN karantina da sistem yöneticisi, vpn ile bağlantı kuran bilgisayarlara bir script yardımıyla bir takım bağlantı koşulları uygular. VPN client eğer bu koşullara uymuyorsa networke erişimez. Eğer tanımlanmışsa sadece karantina kaynaklarına bağlanır. Karantina kaynakları clientın bağlanabildiği bir veya birkaç bilgisayardan ibarettir. Buradaki amaç, clientın bir web veya file servera bağalanarak antivirüs programı kurması/güncellemesi ya da eksik olan bazı patchleri kurmasına olanak sağlamaktır. Böylelikle vpn client bağlantı koşullarını sağlayarak firma networküne erişim sağlayacaktır.

VPN karantina, Windows 2008 ve Windows Vista ile geliştirilerek daha basit ve etkili hale getirilmiştir. Artık karantina için sistem yöneticilerinin script yazması Ya da araması gerekmiyor. Scriptlerin yerini policyler alıyor. Karantina networkü yine yaşamını sürdürüyor ancak artık adı Remediation servers olarak değişti. Son bomba ise auto remediation. Auto remediation sayesinde clientın “sağlık durumu” otomatik olarak iyileştiriliyor. Bu örneğin firewall kapalı durumdaysa ve bağlantı için firewall açık olması gerekiyorsa client tarafında firewall otomatikman açılıyor. Fakat auto remediation’ında bir sınırı var. Eğer bağlanmak için Antivirüs yazılımının bulunması şartsa, auto-remediation işe yaramaz.

Bu makalemde NAP kullanarak bir clientın secure bir şekilde bağlantı kurmasını sağlayacağız. Test lab da kullandığım yazılımlar ve donanımlar şöyle

Bir tane Windows 2003 Server (en az SP1) – Domain controller ve Enterprise Root CA olarak çalışacak.

İki tane Windows server 2008 Standard/Enterprise. Bu serverlaran birisi RRAS VPN gateway olarak çalışacak ve iki adet NIC e sahip olacak. Diğer server ise NAP Server olarak iş görecek.

Bir adet Windows XP SP3 Ya da Vista Business/Enterprise/Ultimate client bilgisayar. Client tarafında XP’nin SP3 olması, Vistanın ise iş sürümü olarak tabir edebileceğimiz Business/Enterprise Ya da Ultimate sürümleri kullanılmalıdır. Home sürümleri NAP VPN client olarak kullanılamaz.  Network şemam aşağıda görülmektedir.

Networkümüzün genel şeması

Kurulum

Kurulum aşaması 4 bölümden oluşmak. DC üzerindeki yapılandırma, RRAS üerindeki yapılandır, RRAS yapılandırma ve son olarak client yapılandırması. Ben bunlardan ilki olan Domain controller yapılandırmasından başlıyorum

Domain Controller yapılandırması

Elimd daha önceden çalışan bir Windows 2003 SP1 Domain controller mevcut. Bu DC üzerinde öncelikli olarak Enterprise Root CA kurarak işe başlıyorum. NAP serverımıza Bir Radius Server olarak çalışacak ve vpn connection policymizde EAP kullanacağımız için, gerekli dijital sertifika Enterprise Root CA tarafından verilecek. Kurulum için Windows Components’den Certificate Services’i seçiyoruz (Şekil1)

Şekil 1

kurulum sihirbazının sonraki adımında Enterprise Root CA’i seçiyoruz (Şekil 2)

Şekil 2

Sonraki adımda ise Common Name For This CA  bölümünde CA Servera benzersiz bir isim veriyoruz. Bu isim, CA server tarafından yayınlanan tüm sertifikalarda yer alacak.Ben KOLUKISA-ROOT adını veriyorum (Şekil 3)

Burada Türkçe karakterler ve özel karakterler  kullanmamanızı tavsiye ederim. Çünkü bazı eski Windows Clientları ve non-windows clientları bu isimi düzgün görüntüleyemeyeceğinden problem çıkabilir.

Şekil 3

Sonraki adımlarda var sayılan seçenekleri kabul ederek devam ediyoruz ve kurulumu tamamlıyoruz.

Domain’de Nap-Computers adlı bir Global Security group oluşturuyoruz. Bu grup daha sonra oluşturacağımız bir GPO için kullanılacak olan gruptur.

Vista bilgisayarı domaine katıyoruz. Daha sonra Vista bilgisayarın özelliklerini açıyoruz (şekil 4)

Şekil 4

Bilgisayarı az önce eklediğimiz Nap-Computers adlı gruba üye yapıyoruz (şekil 5 )

Şekil 5

Böylelikle Domain Controller tarafındaki yapıladırma bitmiş oluyor.

NAP Server Yapılandırması

NAP Server, Windows Server 2003′den aşina olduğumuz RADIUS (IAS) görevi görecek. Ancak artık Windows 2008 ile beraber NAP adı altında geçiyor. Öncelikle Windows 2008 bilgisayarımızın gerekli IP yapılandırmasını yaptıktan sonra domaine katıyoruz. Makinemiz ile domainde oturum açtıktan sonra “Server manager” ı açıyoruz.

Roles bölümüne geliyoruz ve Add Roles’e tıklıyoruz (Şekil 6)

Şekil 6

ilk sayfayı geçtikten sonra roles ekranından Network Policy ve Access Services’i seçiyoruz (Şekil 7)

Şekil 7

İlerliyoruz ve sonraki adımda sadece Network Policy Server’ı seçiyoruz. Bu bilgisayarımıza NAP’i kuracaktır (Şekil 8)

Şekil 8

Sonraki adımlarda varsayılan değerlerle kurulumu başlatıyoruz. Herhangi bir aksilik olmazsa kurulum başarıyla tamamlanacaktır (Şekil 9)

Şekil 9

NAP kurulumu tamamlandıktan sonra, sıra NAP’i yapılandırmaya geldi. NAP’i yapılandırmadan önce bu bilgisayara bir computer sertifikası almamız gerekiyor, çünkü bu sertifika vpn erişim kuralımızda EAP için kullanılacak. Bilgisayarımıza sertifikamızı almak için önce boş bir MMC konsolu açalım.

Start menüden run’a tıklayıp ve mmc yazıyoruz. File->Add/Remove snap’in ekranını açıyoruz. Listeden Certificates’i seçiyoruz ve önce Add’e sonrada OK’e tıklıyoruz.(Şekil 10)

Şekil 10

Certificates ekranından Personel’a sağ tıklıyoruz ve All tasks’dan Request a New Certificate’i  seçiyoruz (Şekil 11)

Şekil 11

Karşımıza gelen ekrandan ilerleyerek Computer adlı sertifikayı seçiyoruz. Status’unun Available olması gerekir. Eğer bu ekranı açamadıysanız veya sertifika available görünmüyorsa DC üzerindeki CA Servisini restart ediniz. Sertifikamızı seçip Enroll’a tıklıyoruz (Şekil 12)

Şekil 12

Kısa süre içinde sertifika Enroll edilecektir. Yeni sertifikanızı Personal-> certificates altından alındığını teyit edin. (Şekil 13)

Şekil 13

VPN Clientlarının NAP ile VPN bağlantısı kurabilmesi için yapılandırmamız gereken birkaç group policy ayarı var. Maalesef bu ayarlar Windows 2003 Dc üzerinden yapılandırılamaz, çünkü bu ayarlar sadece Windows 2008 ve Vista’ya özgüdür. Bu sebeple ayarlarımızı Windows 2008 Server üzerinde yapılandıracağız.

Bunun için Group Policy Management Consolu yükleyeceğiz. Server Manager üzerinden Features’a tıklıyoruz, karşımıza gelen ekranda Group Policy Management’ı işaretliyoruz.(Şekil 14)  İlerleyen adımlarda kurulumu varsayılan ayarlarla tamamlıyoruz.

Şekil 14

Kurulumun tamamlanmasının ardından Start menüden run’a tıklıyoruz ve gpmc.msc yazıyoruz. Group Policy Management console açılacaktır. Açılan konsoldan domaininizi bulup genişletin ve Group Policy Objects’i seçin. Sağ tıklayın ve New’e tıklayın(Şekil 15)

Şekil 15

Yeni bir policy oluşturuyoruz şimdi ve policymize nap-gpo yazıyoruz. Tabii ki policynin adı size kalmış. Source Starter Policy’i none olarak bırakın (Şekil 16)

Şekil 16

Yeni policymiz oluştu ve konsolda yerini aldı. Aslında bu policyi oluşturmak zorunda değilsiniz. Ancak en iyi yöntem sadece VPNcilerin kullanacağı bir GPO oluşturarak kuralların domaindeki diğer bilgisayarları etkilemesini engellemektir. Ayrıca bu antibiotics yönetimimizi de kolaylaştıracak.

Şimdi daha önceden Domain controllerda oluşturduğumuz nap-computers grubunu,  security filtering kısmından Add’e tıklayarak ekliyoruz. Ardından Authenticated users grubunu seçerek remove tıklıyoruz, bu gpo üzerinden kaldırıyoruz. Böylelikle bu policy sadece nap-computers adlı grup tarafından kullanılabilecek (Şekil 17)

Şekil 17

Nap-gpo’ya sağ tıklayıp edit diyoruz. Group policy management editor’den ;

Computer Configuration/Policies/Windows Settings/Security Settings/System Services ‘ı açın.

Servis listesinden Network Access Protection Agent ‘ı seçin. Önce define this policy i işaretleyin, ardından Automatic’i seçerek, bu servisin bilgisayar başlatıldığından etkinleştirilmesini sağlayın.

Network Access Protection\NAP Client Configuration\Enforcement Clients’ı açın.

Remote Access Quarantine Enforcement Client’ı seçip Enable olarak işaretleyin (Şekil 18)

Şekil 18

Computer Configuration\Policies\Administrative Templates\Windows Components\Security Center ‘ı açın.

Detaylar bölümünden  Turn on Security Center (Domain PCs only) seçerek enable olarak işaretleyin.(Şekil 19)

Şekil 19

Bu işlemleri gerçekleştirdikten sonra, Vista client bilgisayarda komut satırından gpupdate /force komutunu çalıştırıp, ardından da bilgisayarı yeniden başlatıyoruz. Aslından bu işlemi biraz daha sonraya bırakabilirdik fakat şimdi gerçekleştirerek aradan çıkartalım :)

Bu işlemi de gerçekleştirdikten sonra, NAP Server yapılandırmasını yapabiliriz. Makelemizin bir sonraki adımında NAP serverın nasıl yapılandırılacağını göreceğiz.

ÖZGÜR KOLUKISA

MCSE+S+M/MCTS/MCITP/CCNA