ÖZGÜR KOLUKISA » Network Access Protection ile VPN-3

Makalemizin ilk bölümünde networklerde vpn yoluyla gelebilecek tehditlerden bahsetmiş, kısaca NAP hakkında bilgi edinmiştik. Daha sonrada “geçekten güvenli” bir VPN bağlantısı için, Domain controller’ı yapılandırmış, Enterprise Root CA kurarak NAP server’a sertifika vermiş ve NAP serverı kurmuştuk. Makalemizin üçüncü ve son bölümünde bölümünde sıra VPN Serverı yapılandırmaya geldi.

Öncelikle çift ethernetli kartlı bilgisayara Routing and Remote Access Server (RRAS) kuralım.

Server Manager’ı açalım, Roles’den “Add Roles” u tıklayalım (Şekil 1)

Şekil 1

Karşılama sihirbazını geçelim, Server Roles’den Network Policy And Access Services’i seçelim ve ilerleyelim. Sonraki ekrandan Routing And Remote Access Services, Remote Access service ve Routing’i seçiyoruz (Şekil2). Daha sonraki ekranlarda varsayılan değerlerle kurulumu tamamlıyoruz.

Şekil 2

Kurulum bittikten sonra run’a rrasmgmt.msc yazın. Bu Routing & Remote Access i açacaktır. Zaten bu ekrana Windows 2000/2003 de aşinayız. Konsoldan Serverımıza sağ tıklayıp Configure and Enable Routing and Remote Acces’i tıklayın (Şekil 3)

Şekil 3

Karşımıza gelen sihirbazdan Remote Access (Dial-up or VPN) seçeneğini seçiyoruz (Şekil 4)

Şekil 4

Sonraki adımda VPN’i seçiyoruz (Şekil 5)

Şekil 5

İlerleyen ekranda, VPN serverın internete bağlı olan bağlantısını seçiyoruz, yani dış ( Şekil 6)

Şekil 6

VPN clientların networkünüzdeki bilgisayarlara ulaşabilmesi için IP adresi almaları gerekir. Bu sebeple clientlara IP adresi verilmesi gerekir.

Sonraki aşamada bu işi automatically seçeneğiyle DHCP’ye bırakabiliriz. Ancak Network de DHCP olmadığı için From a specified range of addresses i seçiyoruz, yani dağıtılacak olan ip adreslerini RRAS üzerinden tanımlıyoruz. Daha sonra bu ip aralığını Address Range Assignment penceresinden tanımlıyoruz (Şekil 7)

Şekil 7

Burada New diyoruz ve bir aralık giriyoruz (Şekil 8)

Şekil 8

Managing Multiple Remote Access Server bölümü, VPN konfigurasyonu için önemli bir ekran. Çünkü burada iletişim kuracağımız policy serverı, yani NAP serverı tanımlıyoruz.

Daha öncede bahsettiğim gibi NAP server aslında bir RADIUS Serverdır. VPN server authentication’ı RADIUS üzerinden yapacağı ve policyler RADIUS’ta denetleneceğinden, bu ekranda , “Yes, Set up this server to work with a RADIUS server” seçeneğini seçiyoruz.(Şekil 9)

Şekil 9

Radius server selection alanında, NAP serverın IP adresini Primary RADIUS server alanına yazıyoruz. Alt alandaki Shared Secret, daha önceden bu VPN serverı Radius Client olarak eklerken girdiğimiz shared secrettir. Buraya önceden yaptığımız gibi “test” yazıyoruz (Şekil 10)

Şekil 10

Daha sonra varsayılan değerlerle sihirbazı tamamlıyoruz. Böylece VPN server tarafındaki yapılandırma da son buluyor.

Vista Client Konfigürasyonu ve Test

Makelemizin son demine geldi. Client tarafında öncelikli olarak, policyde belirtilen koşulların sağalanamamasını sağlayacağım. Bu koşullar NAP konfigürasyonundan hatırlayacağımız üzere, Firewall’un çalışması ve Automatic Updatelerin çalışmasıydı.

Öncelikle Vista Client’ın daha önceden oluşturduğumuz GPO’yu algılayıp uygulaması gerekir. Bunun için Vista makinada Command Prompt açın ve gpupdate /force komutunu çalıştırın. Komut çalıştıktan sonra PC yi restart ediniz.

Makine açıldıktan sonra Control Panel’i açın, Security’e ardından da Security Center’a tıklayın.

Sol taraftaki menüden Windows Firewall’u seçiyoruz. Windows Firewall normalde aktifk olarak çalışır. Burada yeşil bir çerçevede Firewall’un çalıştığı hakkında bilgi alırsınız. “Change Settings” e tıklayın. Karşınıza gelecek olan pencereden “Off(Not Recommended)” radyo butonuna tıklayıp ve OK’e basarak pencereyi kapatıyoruz.

Tekrar Security Center’a dönelim. Bu sefer yine soldaki menüden Windows Update’e tıklayalım. Açılan pencereden sol taraftaki Change Settings’e tıklayalım, bir pencere daha açılacaktır. Bu açılan pencerede “Never check for updates ( Not recomended)” radyo butonunu tıklayıp ve OK’e tıklayıp Bu ekrandan da çıkalım.

Böylelikle hem Windows Firewall hem de Windows Update kapatılacak, VPN Client NAP-nonCompliant ( koşulu karşılayamayan) olacaktır. Bu durumda Security Center aşağıdaki görünümü kazanacaktır (Şekil 11)

Şekil 11

Şimdi client makinemizin, Firma Networküne bağlanması için bir VPN bağlantısı oluşturacağız. “Network And Sharing Center” ı açalım ve Tasks kısımından “Set up a new connection or network” bağlantısına tıklayalım. (Şekil 12)

Şekil 12

Karşımıza gelen ekranda bağlantı seçeneği olarak “Connect to a workplace” seçeneğini seçiyoruz ve Next e tıklıyoruz ( Şekil 13)

Şekil 13

VPN bağlantıları genellikle internet üzerinden kurulan bağlantılardır. Dolayısıyla öncelikli olarak bize bir internet bağlantısı gerekiyor. Bu senaryoda clientın ethernet üzerinden bir ADSL vb bağlantı ile internete ulaşabildiğini varsayıyoruz. Use My internet Connection seçeneğiyle, varolan internet bağlantımız üzerinden VPN bağlantısı kurulacaktır. Dial Directly seçeneği ise, internet bağlantısı gerektirmeden bir bağlantı yapılmasını sağlar.

Bu tür genel büyük ve karmaşık ağ yapılarında güvenli bir şekilde bağlantı kurulmasını sağlar ( bir datacenterda birkaç farklı internet omurgası üzerinden bir servera bağlandığınızı düşününün … )

Biz burada Use My internet Connection seçeneğini seçiyoruz ( Şekil14)

Şekil 14

Eğer bilgisayarınızda kurulu bir ağ bağlantısı yoksa aşağıdaki ekranla karşılaşabilirsiniz (Şekil 15). Yukarıdada dediğim gibi ethernet üzerinden ip alarak bir DSL hattı üzerinden otomatik olarak internete ulaştığımız için “I’ll set up a connection later” seçeneğini seçiyoruz.

Şekil 15

VPN sihirbazının sonraki aşamasında Bağlantı kuracağımız VPN serverın IP adresini veya hostname ini Internet Address alanına, VPN bağlantımızın adını ise Destination name kısımına yazıyoruz. Internet address göreceğiniz gibi, VPN serverın dış interface ip adresidir. Bağlantı isiminin ne olduğu ise önemsizdir. (Şekil 16)

Şekil 16

Type your user name and Password bölümünde, username alanına vpn izini verdiğimiz kullnıcımızın adını, Password alanına ise bu kullanıcının kullanıcı şifresini yazıyoruz ve create butonuna basıyoruz. (Şekil 17) Herhangi bir yanlışlık yapmadıysanız karşınıza “The connection ready to use” şeklinde bir ekranla karşılaşacaksınız. Bu ekranı da close diyerek kapatıyoruz.

Şekil 17

Şimdi bağlantının NAP için yapacağımız ince ayarlarına geldi sıra. Network and sharing center’da “manage network connections” linkine tıklayalım. Burada az önce oluşturduğumuz vpn bağlantısına sağ tıklayıp properties i seçelim.

Açılan pencerede Security tabın geliyoruz, Advanced (custom settings) seçeneğini seçip, Settings… butonuna basıyoruz.

Açılan “Advanced Security Settings” penceresindeki Logon security olarak “Use Extensible Authentication Protocol (EAP) seçeneğini seçiyoruz.Açılır listedende Protected EAP’ı (PEAP) seçiyoruz. Bu seçenekleri tek tek belirlememiz lazım, çünkü VPN Serverda PEAP ile bağlanılabilecek bir VPN konfigürasyonu yapmıştık.(Şekil18)

Şekil 18

PEAP altındaki Properties’e tıklayalım. Protectred EAP Properties penceresinde, When connecting bölümüne Validate server certificate, Connect to these servers seçeneklerini seçilim.. Bağlantı sırasında bir dijital sertifika kullanılacağından dolayı, bu sertifikanın doğrulanması gerekeceği için bu ayarları seçtik. Trusted Root Certification Authorities altından Domain controller üzerine kurduğumuz, Enterprise Root CA’in adını bulup işaretliyoruz. Aslında bunu seçtiğimizde, VPN serverın sertifikasının geçerli olup olmadığını , gidip bu CA servera soruyoruz.

Son olarak “Enable Quarantine checks” seçeneğinide işaretleyerek, bu bağlantıda NAP serverla konuşacağımızı ve karantina denetimi yapılacağını belirtiyoruz (Şekil 19)

Sonunda tüm konfigurasyon görevleri tamamlanmış oluyor. Şimdi gidip bağlantımızı test edelim bakalım. Önce PCyi firma networkünden çıkarın ve dış networke alın ( İş, ev, cafe vb. )

Şekil 19

Start menüden Connec to’ya tıklıyoruz. Karşımıza gelen pencereden VPN bağlantımızı seçiyoruz ve Connect’e tıklıyoruz. Kullanıcı adı ve şifremizi kontrol ediyoruz, bağlanmak içni OK’e basıyoruz.(Şekil 20)

Şekil 20

Kısa süre içinde Successfully Connected to …. şeklinde bir ekranla karşılaşacağız. Eğer bir hata ile karşılaşıyorsanız, bilgisayarınızın TCP/IP konfigürasyonunu kontrol edin. Yine sorun varsa, yukarı dönüp VPN bağlantı ayarlarınızı tekrar kontrol ediniz.(Şekil 21)

Bağlantımız kuruldu ancak hemen akabinde bir de uyarıyla karşılaşıyoruz. Notification Area’da : This computer does not meet the requirements of this network – this computer is being updated” uyarısıyla karşılaşıyoruz..

Şekil 21

Bu uyarıyı almamızın sebebi, Firewall ve Windows Update’in çalışmasının bir bağlantı koşulu olması, bu bileşenlerin ise bizim VPN clientımızda çalışmamasıdır. Şu an için sadece NAP kurulumunda tanımladığımız, Remediation Server grubuna bağlanabiliriz.

Fakat NAP konfigurasyonunda işaretlediğimiz küçük bir kutucuk vardı : Auto Remediation…

Auto Remediation sayesinde, client computer otomatik olarak bağlantı koşullarını karşılayacak duruma gelir. Yani client computerda Firewall ve Updateler açık konuma gelir. Bunun aktif hale gelmesi genel 10 sn bile sürmeyecektir :)

Gerekli koşullar sağlandıktan sonra, notification area’da : This computer meets the requirements of this network – You have full network access şeklinde bir uyarı balonu göreceğiz. Bu da artık tam olarak Firma networküne bağlanabileceğimizin kanıtıdır (Şekil 22)

Şekil 22

Son olarak Windows Security Center’ı açtığımızda Firewall ve Updatelerin çalışır duruma geldiğini göreceğiz ( Şekil 23)

Şekil 23

Evet, böylelikle koskoca bir NAP makalesinin sonuna geldik. Bu makaleyi buraya kadar okuma, hele hele uygulama zahmetinde bulunan herkese teşekkür ederim :) Makaleyi yazmamda bana yardımcı olan Office Word 2007 ve mspaint.exe’ye ise ayrıca teşekkür ederim :) Bir başka makalemde görüşene kadar, herkese iyi günler dilerim.

ÖZGÜR KOLUKISA

Network Access Protection ile VPN-3

About OZGUR KOLUKISA (88 posts)