Bu yazının I. kısmında ISA Server'ın neler yapabildiğini ve nasıl kurulduğunu açıkladım.
Şimdi ise ISA Server'ı kullanarak şirket policy lerimizi rule'ları kullanarak nasıl güvenli hale getiririz.

Internet Erişimini Güvenli Hale Getirmek

Policy ve Rule nedir?.Rule nasıl oluşturulur.

Access Policy ve Rule;
ISA Server, Integrated veya Firewall modda kurulduğunda local networkümüzde bulunan bilgisayarların güvenli şekilde
internete çıkmalarını sağlar.Ancak bilgisayarların internete erişmeleri için birdizi düzenlemenin erişim politikasının[Access Policy] belirlenmesi ve gerekli kuralların[rule] tanımlanması ile sağlanır.

ISA server üzerinde kurallar port veya network bazında verilebilir, yani kullanıcılarınızın web sitelerine erişebilmeleri için http için rule
tanımlanız gerekir.Aksi halde erişemeyeceklerdir.

Access Policy Bileşenleri
Bir access policy (erişim politikası) şu bileşenlerden oluşur:

1.Protokol Kuralları
ISA Server istemcilerinin iç ve dış network ile iletişim kurmak için kullanabileceği protokolleri tanımlar.
2.Site ve İçerik Kuralları
İzin verilen ya da engellenen Web proxy istemcilerinin erişebileceği site ve içerikleri tanımlar.

3.Policy Elemanları
Kuralların bir kısmı olarak kullanılacak ayarlamaları tanımlar. İlkeler (policy) belli bir zamanlamayı ya da belli bir içeriği tanımlar.

* Access Policy tanımlarken, şirket gereksinimlerini ön planda tutmanız alehinize olacaktır.Ama bunu security ilkelerini aşmadan yapmanız çok daha iyi olacaktır.

Bir protokol [http] kuralı yaratmak için aşağıdaki yolu izleyebilirsiniz.

1. Isa Management Consol u açıp, konsol da access policy altında
2. Protocol Rules'ı ve ardından Create a Protocol Rule'ı tıklayın.
3. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın.
4. Next'e ve ardından Protocols sayfasındaki seçeneklerden birini tıklayın.
Bu sayfadaki seçenekler aşağıdaki gibidir.

All IP traffic: Firewall clientlar için bütün IP trafiğine izin verilmesi[allow] veya engellenmesi[deny].
Selected protocols: Kuralın uygulanacağı bütün protkoller.
All IP traffic except selected: Kuralların uygulanmayacağı bütün protokoller.

5.Schedule sayfasında belli bir zaman planını seçin ve Next'i tıklayın.

6.Client Type sayfasında ise şu seçenekleri düzenleyebilirsiniz.
Bu ekranda kuralların client yada user bazında uygulanmasına karar vericeksiniz.

Specific computers (client address sets): Kuralların uygulanacağı clientlar
Specific users and groups: Kurallın uygulanacağı kullanıcı ve gruplar seçilir.

Site ve İçerik Kuralları

Site ve içerik kuralları ise, kullanıcıların belli sitelere erişmesine izin verir.Adult,MP3 gibi contentleri bu şekilde allow yada deny edebilirsiniz.Bir protokol kuralı yaratmak için şu adımları izleyin:

1.ISA Management programını başlatın.

2.Konsol ağacında Access Policy'ı genişletin.

3.Site and Content Rules'ı ve ardından Create a Site and Content Rule'ı tıklayın.

4.New Site and Content sihirbazında Site and Content rule name kutusunda kuralın adını yazın ve Next'i tıklayın.

5.Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın.

Destination Sets sayfasındaki seçenekleri tıklayın.
Bu ekranda kullanabileceğiniz seçenekler;
All destinations: Bir zaman planını seçip, ardından client türünü seçin.
All internal destinations: Bir zaman planını seçip, ardından client türünü seçin.
All external destinations: Bir zaman planını seçip, ardından client türünü seçin.
Specified destination set: Bir zaman planını seçip, ardından client türünü seçin.

Policy Elemanları Oluşturmak

ISA Server kurallarını oluşturmak için policy (ilke) bileşenlerine gerek duyulur. İlke elemanları kullanıcılar, yer ve bant genişliğinin kullanımı konusunda daha fazla kontrol sağlar.

ISA Server policy elemanları şunları içerir:

• Schedules (zaman planları)
• Bandwidth priorities (bant genişliği öncelikleri)
• Destinations Sets (hedef bilgisayarlar)
• Client address sets (istemci adresleri)
• Protocol definitions (protokol tanımlamaları)
• Content groups (içerik gruplamaları).
• Dial-up entries (çevirmeli bağlantılar).

+CACHE ın yapılandırılması

Cache fonksyonunun özelliklerini açıklamak.
Cache kurallarını tanımlamak.

Isa server kullanıcıların web nesnelerine hızlı erişim sağlaması için bazı fonksyonlara sahiptir.

Ram ve Disk Caching;
Disk üzerinde bulunan nesneler için ram de alan ayırmak.

Cache Edilen Nesnelerin Dizinini Oluşturmak
Cache edilen nesnelerin bir dizinini RAM üzerinde tutar.

ISA Server, caching fonksiyonları bu işlemlerin yanı sıra, bu işlemleri dinamik olarak günceller ve kullanılmayanları da silerek caching işlemini sürekli olarak güncel ve etkin tutmayı sağlar.

Yeni Nesnelere Erişmek
Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy client isteğini ISA Server üzerindeki Web Proxy servisine gönderir.

Web Proxy servisi isteği aldığında şu şekilde işler:
Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer almıyorsa, nesne için cache içinde bir kayıt ayrılır.
Nesneyi Internet üzerinde elde eder ve bir kopyasını RAM cache üzerine koyar.
Nesneyi client'a göngerir. Bu arada nesneyi disk cache içinde de saklar.

Varolan Nesnelere Erişmek
Kullanıcı bir HTTP isteğinde bulunduğunda, client tarafında çalışan Web Proxy, isteğini ISA Server üzerindeki Web Proxy servisine gönderir.
Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer alıyorsa, kullanıcıya göndererek mevcut internet bandwith ini kullanmaz dolayısıyla chachingden faydalanmış oluruz.

1.Caching İlkelerini Yapılandırmak

Isa Server in chache fonkstonu kurallar çerçevesinde şekillendirilebilir.Ne şekilde yapılandırılabilir ona bakalım.

HTTP Caching'i Yapılandırmak
HTTP Caching işlemini etkinleştirdiğinizde, ISA Server'ın HTTP nesnelerini (Internet erişimi) cache içinde tutmasını sağlarsınız. ISA Server belirtilen bir süre kadar erişilen içeriği cache içinde tutar.

Ancak, nesneler ne kadar süre cache içinde duracak?
Bir nesnenin cache içinde kaldığı süre TTL (Time to Live) olarak adlandırılır.

HTTP caching işlemini etkinleştirmek için:
ISA Management içinde, konsolu açın.
Cache Configuration'ı tıklayın. Ardından ayrıntılar bölmesinde Configure Cache Policy'i tıklayın.
Cache Configuration Properties iletişim kutusunda HTTP tabında Enable HTTP Caching check boxunu işaretleyin.

ISA Server, HTTP nesnelerinin cache içinde saklanması için önceden tanımlı düzenlemeler sağlar:
Frequently: Nesnelere Internet üzerinde sıklıkla erişim sağlar. Bant genişliği sınırı olmadığında tercih edilebilir.
Normally: Frequently ve Less Frequently seçeneklerinin arasında bir ayarlama. (Varsayılan ayar).
Less frequently: Nesnelere Internet üzerinde daha az sıklıkta erişilir. Bant genişliği sınırlı olduğunda tercih edilebilir.

* Not:Aynı şekilde, FTP trafiği içinde caching ayarlamaları yapılabilir.

2.Cache Boyutunu Ayarlamak
ISA Server, caching için .cdat dosyasını kullanır. ISA Server, nesneleri caching alanına attıkça bu dosyaya yerleştirilir. .cdat dosyası dolduğunda, ISA Server, eski nesneleri silerek yeni nesnelere yer açar.

Cache boyutunu ayarlamak:
ISA Management içinde, konsol u açın.
Cache Configuration'ı tıklayın. Ardından Drives'i tıklayın.
Ayrıntılar bölümünde, ISA Server üzerinde sağ click ve Properties'ı tıklayın.
Maximum cache size (MB) kutusunda sürücünün boyutunu yazın ve Set seçeneğini tıklayın.

Aynı şekilde RAM de oluşturulacak caching boyutu da ayarlanabilir:
ISA Management içinde, konsol u açın.
Cache Configuration'ı tıklayın. Ardından Properties'i tıklayın.
Cache Configuration Properties iletişim kutusunda Advanced tabında, Percentage of free memory to use for caching kutusunda 1 ile 100 arasında bir değer yazarak ISA Server'ın kullanacağı bellek alanı yüzdesini belirtin.

+Firewall'un Yapılandırılması

Cache i yapılandırdık şimdi gelelim firewall'un yapılandırılmasına.

Paket filtreleme ve IP routing in devreye sokulması

Paket filtreleme, bilgisayar için IP paketlerine izin vermek ya da bloklamak anlamına gelir. Routing (yönlendirme) ise, network trafiğinin iç (internal) ve dış (external ya da Internet) networklar arasında yönlendirilmesidir
Paket filtrelemeyi aktif hale getirdiğinizde, ISA server üzerinden geçen IP paketlerini inceler.Aktif etmek için aşağıdaki yolu izleyebilirsiniz.

ISA Server Enterprise ve Standart sürümleri için
Management Consoldan server ı açın.
Access Policy altında IP Packet filter üzerinde sağ click ve properties i seçin.
General tabında Enable IP Filtering check box ını işaretleyin.

Small Business Server da IP Filter'ı etkinleştirmek için ise;
Microsoft Small Business Server Administrator Consol u açın.
Consoldan Internet Security and Acceleration Server 2000 i açın.
Server an array folderı içindeki Access policy yi açın.
IP Packet filters üzerinde sağ click'e basıp properties i seçin.
General tabında Enable Packet Filtering check boxını işaretleyin

IP Paket Filtreleri Oluşturmak

IP paket filtresi oluşturmadan önce paket ile ilgili port,protokol +ip adreslerinin biliniyor olması gerekir.

IP Paket filtresi oluşturmak için aşağıdaki yolu izleyebilirsiniz.[80 portu için oluşturalım]

Isa management consol içinde serverınızı açın.
Access Policy altında IP Packet Filter üzerinde sağ click'e basıp Create a Packet Filter'ı seçin.
Karşınıza çıkan ekranda filtreyi tanımlayan bir ad verip [örneğin HTTP diyebiliriz] next i tıklayın.
Filter Mode sayfasında, Allow[izin] packet transmission ya da Block[engel] packet transmission seçeneklerinden birisini seçin ve next'i tıklayın.
Filter Type sayfasında oluşturulacak filtre için Custom ya da Predefined olarak türünü belirleyin. [HTTP server]'a tıklayın (80).Ardından next'i tıklayın

Fiter Settings sayfasında Custom (özel) filtre seçtiyseniz, aşağıdaki bilgilere göre seçeneklerinizi belirleyin:
IP Protokol: Özel protokolü belirlersiniz: TCP, UDP gibi.
Number: IP protokolü sayısı.
Direction: İletişimin yönü: Inbound (gelen), Outbound (giden) ve Both (hem giden hem gelen) gibi.
Local port: Kuralın uygulanacağı portlar.
Remote ports: Kuralın uygulanacağı uzak portlar.

Uygulama Fitreleri

Uygulama filtreleri (application filters), Firewall servisine ek bir güvenlik getirmek için kullanılır. IP paket filtrelerinde farklı olarak, uygulama filtreleri client uygulama ile server uygulamaları arasındaki bütün işlemleri izler ve özel bazı işlemlerin yapılması sağlar. Örnek olarak kimlik denetimi (authentication) ve virüs kontrolü gibi.
ISA Server'ın kurulmasıyla birlikte, SMTP dışındaki bütün uygulama filtreleri (application fitler) etkinleştirilir.
Aşağıdaki listede bu uygulama filtreleri yer almaktadır.

Uygulama filtrelerinin bazıları:
DNS Intrusion Detection Filter: İzinsiz DNS kullanıcılarını bulur.
POP Intrusion Detection Fitler: İzinsiz POP kullanıcılarını bulur.
FTP Access Filter: FTP protokol desteği.
H.323 Filter: H.323 protokolünü kullanan network trafiğini kontrol eder.

ISA Server hakkındaki bir diğer yazımda Kurulumda ve sonrasında karşılaşılan problemleri ve çözümlerini yazıcam.

Melih
ilach.com

__________________________