Etiket arşivi: güvenli internet

Windows Server 2008 Terminal Services Gateway Bolum 1 (Windows Server 2008 TS Gateway Oncesi)

Terminal Services Gateway Nedir ? Hangi firmaların ihtiyaçlarına cevap verir, hangi durumlarda kullanmalıyız gibi sorulara cevap vermeden önce W2008 Terminal Services Gateway dan önce yaşamış olduğumuz sıkıntıları sizler ile paylaşarak, şaha tecrübelerimi aktararak Windows Server 2008 ile birlikte gelen bu yeni özelliğin önemini anlatmak istedim.

Terminal Services Gateway makale dizisi ile , bundan sonra ki makalelerimde kurulumu, yapılandırılması, dizaynı ve uzak ofis mağazalarımız ve yerel istemcilerimiz için kullanıma hazır hale getirilmesinden bahsedeceğim.

image001

Bir firmanın , Terminal Services Teknolojisine ihtiyacı varsa eğer, yukarıda göstermiş olduğum basit bir yapı olup, firmanın Terminal Services ihtiyaçlarını karşılamaktadır.

Yukarıda ki yapıdan bahsetmemiz gerekirse iç networkümüzde, merkezimizde bulunan bir terminal server bulunmakta olup bu terminal serverimizi korumakta olan UTM teknolojisine sahip bir firewall bulunmaktadır. Şirket networkü ihtiyaçları gereği farklı çoğrafi bölgelere yayılmış ve uzak ofisleri – mağazaları bulunmaktadır. Firewallımızın burada ki görevi sadece ama sadece uzak ofislerimizden gelecek olan Terminal Services isteklerini iç networkümüzde bulunan Terminal Serverimizi yönlendirmek için dizayn edilmiştir.

Firewallımızın çalışma mantığı, sahip olduğumuz farklı çoğrafi bölgelerde ki uzak ofislerimizin, merkez networkü ile iletişimini sağlayan internet erişimlerini kiralamış bulunduğumuz kurum üzerinden (Turk Telekom vb. kurumlar) IP adresini sabitleştiriyoruz ve firewallımız üzerinde Virtual IP uygulamasını yapılandırıyoruz. Yapılandırmış olduğumuz bu Virtual IP uygulaması ile uzak ofis ve mağazalarımızın sahip oldukları Dış Sabit IP adresleri firewallımız üzerine tek tek tanımlanıyor ve bu IP adresleri bir grup altında birleştirilip aşağıda ki gibi kural oluşturuluyor.

·         Dış dünyadan gelen

·         Dış IP adeslerinin tanımlamış olduğumuz grubun üyesi olan

·         Tüm Terminal services isteklerini

·         İç networkümüz içinde bulunan Terminal Serverımıza yönlendir.

Yukarıda ki gibi oluşturmuş olduğumuz basit bir kural iç networkümüz içinde bulunan Terminal Serverimizi korumak için yeterli olup bu grubun üyesi olmayan hiç bir IP adresinin isteğini Terminal Serverimiza yönlendirmeden Terminal Serverimiz üzerinde gereksiz kaynak harcatmadan korumayı gerçekleştirmektedir.

Örnek Network Diyagramına bakıldığı zaman kırmızı bölgede ki nokta, kullanıcının IP adresinin, Firewallımıza tanımlı olmadığı için isteğinin yasaklandığını görebilmekteyiz.

image002

Yukarıdaki yapı şirket networkü içinde bulunan Terminal Serverin koruması için yeterli olsa bile bazı özel durumlarda bu güvenlik bizlere dez avantaj getirmekteydi. Örnek olarak bir destek firması bir arıza durumunda uzak , herhangi bir noktadan Terminal Servera bağlanıp problemi çözmek adına hizmet vermek istediği zaman, bağlanmış olduğu noktanın dış ıp adresi firewalla tanımlı olmadığı için isteği firewall tarafında engellenecek ve çözüm üretemeyekti.

Diğer bir örnek ise firmanın sahibi, yönetim üyesi, mağazalar müdürü vb.. kişiler evlerinden veya iş seyahatlerinde Terminal Servera bağlantı isteği duydukları zaman aynı şekilde istekleri firewall tarafından engellenecekti.

Bu gibi problemler ise firewall üzerinde yapılacak olan VPN (Sanal Özel Ağ) yapılandırılması ile çözüm bulunmakta olup, destek firmaları ve firma yetkilileri firewall üzerinde yapılandırılan VPN istekleri ile güvenli ama bir o kadar da yavaş olarak şirket networküne bağlanıyor ve işlemlerini gerçekleştirebiliyordu.

image003

VPN teknolojisini kullanarak Terminal Serverimiza erişimi daha bir esneklik getirmiş olsakta problemlerimiz henüz bitmiş durumda değildir.

Merkez networkümüz içinde bulunan Firewallımız üzerinde nasıl dış dünyadan gelen istekleri iç networkümüz içinde bulunan Terminal Server için gerekli port yönlendirmelerini yaptıysak bağlantıyı kuracak olduğumuz networklerde de iç networkden, dış dünyaya ilgili portların açılması zorunludur.

Ve bu networkler (uzak ofislerimiz, destek departmanının barınmış olduğu network, mağazalar müdürünün evi vb.) bizlerin kontrolü altında olduğu için ve bu portları açmamız da bir sıkıntı olmadığı için bir problem ile karşılaşmıyorduk. İçeriden dışarıya Terminal Services Portunu ve VPN portlarına izin vererek erişimi gerçekleştirebiliyorduk.

Problemleri sırasıyla aşmaya devam ederken her seferinde farklı problemler bizleri beklemektedir.

 image004

Yeni problemimiz ise Mağazalar müdürümüz, on günlüğüne iş seyahatine çıkıyor ve tek düşünmüş olduğu şey, akşamları şirket networküne bağlantı kurarak raporları, günlük satışları vb.. işlemleri kontrol etmektir. Ve bunun için otelden istemiş olduğu tek şey internet erişimidir. İhtiyacı doğrultusunda gerekli internet bağlantısının olup olmadığını soruyor ve internet bağlantısının olduğunu öğrendikten sonra rezervasyonunu yaptırıp, otel networküne giriş yapıyor.

Giriş yaptıktan sonra mağazalar müdürümüz internetini kullanabilmektedir.

Web üzerinde gezinti yapabilmekte ve siteler arasında dolaşabilmektedir. Bu işlemler için gerekli olan port 80 numaralı HTTP isteği otel networkü tarafından misafir kullanıcılara atanmış olup bir sıkıntı yaşamamaktadır.

Misafir internet hattı üzerinden, 443 numaralı HTTPS, güvenli internet erişimlerini de kullanmakta olup şifreli web sayfaları üzerinde işlemlerini yapabilmektedir.

Fakat muhasebe müdürümüzün, şirket networküne bağlana bilmesi için gerekli olan portlar

·         Terminal Services için 3389

·         VPN için 1723

Numaralı portlar misafir kullanıcılarına, şirket networkünü kullanabilmesi için izinli olmamış olup, yapmış olduğu istekler şirket networküne gitmeden, otel networkü tarafından yasaklanmaktadır. Ve muhasebe müdürümüz on günlük tatilini işten uzakta, hiç bir işlemi kontrol etmeden tam bir tatil havasında geçmektedir (!) J

Çünkü muhasebe müdürümüzün gitmiş olduğu networkde bir misafirdir ve ihtyiaç duymuş olduğu portları açtırması tamamen Otel IT yetkililerinin insiyatifindedir. Eğer Otel IT departmanı bu portları açmazsa muhasebe müdürümüz firmaya bağlantı kuramayacak ve kontrollerini gerçekleştiremeyecektir.

image005

 

W2008 Terminal Services’ den önce yaşamış olduğumuz sıkıntıları sizlere bir senaryo çerçevesinde aktarmaya çalıştım ki bu ve benzeri senaryoları zaten günlük hayatda , projelerimiz de yaşamaktayız.

W2008 ile birlikte gelen bu yeni özelliği kullanarak, Otel networkü tarafından Güvenli internet erişimi için bizlere tahsis edilen 443 numaralı HTTPS portunu kullanarak merkez networkü içinde bulunan Terminal Server Gateway serverimiza bağlantıyı kuruyoruz ve Terminal Server Gateway üzerinden iç networkümüzde bulunan Uzak masa üstü aktif duruma getirilmiş

·         Terminal Serverimiza

·         Terminal Serverlarımıza

·         İstemci bilgisayarlarımıza

bağlantıyı gerçekleştirebiliyoruz.

Terminal Server Gateway Rolünün öncelikli özelliği bu olup diğer bir avantajı ise iç networkümüz içinde bulunan çoklu Terminal Serverlar için firewallımız üzerinde farklı portlar açarak veya istemci bilgisayarlarımıza bağlantı kurmak için kullandığımız VNC, Radmin vb. diğer programların portlarını açmaksızın sadece ama sadece 443 numaralı HTTPS portu üzerinden bilgisayarlarımıza bağlantı kurabilmekteyiz.

Firewallımız üzerinde birden fazla port açmayarak güvenliğimizi sağlıyoruz ve bu portları tek tek açmayarak harcamış olduğumuz iş yükümüzü hafifletmiş oluyoruz.

TS Gateway Makale dizimizin sonra ki bölümlerinde Kurulumu, yapılandırılması gibi operasyonlarımızı gerçekleştireceğiz.

 

Fatih KARAALIOGLU