Günümüzde şirketler bir çok farklı lokasyonlar da şubeler veya ofisler açmaktadır. Farklı lokasyonlarda olmalarının en büyük dezavantajlarının başında kaynaklara erişememe ,data alış verişi yapamama ,bilgileri paylaşamama gibi sorunlar yer almaktadır.Son yıllarda internet hızının artması farklı teknolojilerin daha ucuz fiyatlara düşmesi  uzak ofislerin ve şubelerin birbirleri ile bağlantılarını sağlanmasına yol açmıştır.Bu makale de ISA Server 2004 ile VPN konfigürasyonun yapılması, kullanılan VPN protokollerini ve özelliklerini,kullanıcı bağlantılarının ayarlanması ve ISA Server 2004 ile gelen diğer yeni özellikleri bulacaksınız

VPN:LAN (Yerel Ağ Network) da olmayan kullanıcıların veya uzak bir ofisin internet üzerinde çeşitli yöntemlerle aynı ağa bağlanmasıdır.Şekil-1 de ISA Server 2004 ile bu bağlantıyı gösteren şema görülmektedir.

VPN protokolleri ve birbirileri arasındaki avantaj -dezavantajlar Şekil-2 ‘ de yer almaktadır.

VPN Protokolleri

PPTP: Point to PointTunnelingProtocol (128 bit)
L2TP:LayerTwoTunnelingProtocol (156 bit)
Aralarındaki en büyük fark L2TP konfigürasyonu PPTP den daha zordur.

VPN Authentication(Kimlik Doğrulama) Protocol Seçenekleri

VPN Quarantine Service
•    VPN erişecek kullanıcının erişim özelliklerini sağlayıp sağlamadığı  izlenebilir.
•    Scriptlerle uzaktan erişecek kullanıcıların analizi tutarlılığı yapılır.
•    ISA Server,VPN clientsların güvenlik konfigürasyonunu sağlamayan clientları VPN Quarantine network taşır.
•    VPN Quarantine ,bağlanan client’dan  bazı özellikler arar(ekran koruyucusu kapalımı? updateler tam mı? passwordu varmı? hotfixleri tam mı? v.b)özellikleri arar ve sorular sorar eğer istenilen özellikler yoksa tespit edip VPN giremez.
 
ISA Server 2004  le Virtual Private Networking oluşturmak

ISA Server  3 çeşit VPN network içerir.
•    VPN Clients network
•    Quarantined VPN Clients network
•    Remote-site networks
 
 
ISA Server 2004 kullanarak VPN yapmanın faydaları

ISA Server 2004 ile VPN yapılırsa bağlantı güvenliğinde, performansta ve Şekil- 4 ‘de yer alan bir çok özellikten fayda sağlanabilmektedir.

ISA Server 2004’de VPN Konfigure Etme
 
İlk olarak VPN Client erişimine izin verilir

Şekil-5 ‘de sağ tarafta yer alan Tasks menüsünden Enable VPN Client Acces şeçilir.
ISA Server da bir kaç değişiklik meydana gelmektedir.Firewall Policy yeni bir rule eklenir Şekil-6  ‘da görünmektedir.

 Ayrıca Şekil- 7 ‘deki gibi Network menüsüne VPN Clients bağlantısının geldiği görülmektedir.

Network Rules ‘da VPN Clients to Internal Network geldiği Şekil-8 ‘de görülmektedir.

Default VPN Client Access Konfigürasyonu

VPN’e bağlanacak kullanıcıları konfigure etmek için Tasks menüsündeki Configure VPN Client Access kullanılmaktadır.Şekil-10

VPN’e maximum kaç kullanıcının erişim yapacağı belirtilir.Buradaki sayı bağlantı hızınıza göre ayarlanmalıdır.Eğer düşük bir bağlantı hızına sahip iseniz ve erişim yapacak kullanıcı sayısı çok fazla ise belirgin bir yavaşlık gözlenecektir.Şekil-11

Domain’ deki hangi kullanıcıların bağlanabileceği ,VPN girebileceğini izin verilebilir..Add tuşuna basılarak VPN’e erişim hakkını vermek istediğiniz kullanıcıları ve grupları ekleyebilirsiniz.Şekil-12

VPN bağlantısında kullanılacak protokol Şekil- 13 ‘de yer alan sekmeden yapılır.Şekil- 2 ‘de PPTP ile L2TP protokoller arasındaki avantajlar ve dezavantajlar anlatılmıştı.

Şekil- 14‘de ise Enable User Mapping yapılırsa bir kullanıcının VPN ile bağlanırken kimlik doğrulama ekranında kullanıcı adı ve şifresini sorar ve kullanıcı domain seçmezse girilen domain adı otomatik olarak tanımlanır.
Bunun en büyük artısı eğer ISA Server 2004 ile herhangi bir VPN destekli cihaz (Vigor ADSL Modem) gibi arasında VPN yapmak için Enable User Mapping seçilmesi gereklidir.Cihazlar (Vigor ADSL Modem) gibi domain desteği vermeyebilirler böylece gelen domain alanına yazdığımız domain’i kendi ekler.

Kullanıcı erişim konfigurasyonu tamamlandıktan sonra.Genel VPN konfigürasyonları yapılır. Konfigürasyonlar Şekil-15 ‘de görüldüğü gibi  hem A bölümünden hem de B bölümünde yapılabilir.
 

Access Networks ten VPN clientler nerden gelecek onu seçeriz.Şekil-16
İnterneten gelenler Externaldan, diğer bir VPN den veya leased line gelenler internal seçilir gibi mevcut bağlantı yapınızı ve network özelliklerinize göre gerekli değişiklikleri yapabilirsiniz.

VPN clients’ın  IP havuzu farklıdır(Örneğin 10.0.0.1) Local Area da konuşmaları için LAN daki IP ile aynı havuzda olması gerekmektedir.Bu iki türlü yapılır.
1.Şekil-17’de görüldüğü gibi kendiniz bir IP adres aralığı vermelisiniz
2. DHCP den IP alması sağlanabilinir.Şekil-18’deki gibi advanced sekmesi tıklanır .DHCP Serverın IP yazılır veya otomatik tanıma seçeneği seçilir.

 Şekil-19 ‘da kullanılacak kimlik doğrulama tipi seçilir.Makalenin başlarında kimlik doğrulama tipleri ve özellikleri anlatılmıştı.Bknz Şekil-3

RADIUS : ISA Serverı güvenliği için  domaine üye yapmamalıdır bu durumda
AD üzerindeki kullanıcılar görünmez bunu çözmek için RADIUS kullanılır.

 RADIUS kullanmak için Internet Autentication Service kurmak gerekir.Program Ekle / Kaldır Menüsü tıklanır .Windows bileşenlerini Ekle / Kaldır seçilir ve daha sonra Networking Services’larının içinden bu bileşen eklenilir.Şekil-21

Kullanıcıların VPN’e  erişimi için gerekli konfigürasyonları
 
Denetim Masasından Network Connections girilir  ve Yeni bir bağlantı oluştur tıklanır.Çıkan sihirbazdan ileri tuşuna basılır.Şekil-22 ve 23

 Ağ bağlantı tipi seçmemiz istenmektedir.Şekil-24 ‘deki gibi Ağa çalışma yerimden bağlan seçilir.İleri tuşuna basılarak konfigürasyona devam edilir

Şekil-25 ‘deki gibi Sanal Özel Ağ bağlantısı seçilir ve devam edilir.

Bağlantı ismi girilir.İleri tuşuna basılarak yeni menüden devam edilir.Şekil-26

Sunucunun adı veya adresi girilir.Şekil-27

Bağlantı kullanılabilirliği ayarlaması Şekil- 28 ‘den yapılır.Oluşturulan bağlantıyı herhangi kullanıcı veya sadece kendiniz için kullanılabilir yapabilirsiniz.Yalnızca sizin kullanmanız  için oluşturulan bir bağlantı sizin kullanıcı hesabınızda saklanır ve login olmadığınız sürece kullanılamaz saklı kalır.

Bitiş tuşu ile sihirbaz tamamlanır. Şekil- 29

Kullanıcı adı ve parola yazılarak bağlantı sağlanılır.

Site-to-Site VPN Erişim Konfigürasyon Parçaları ve açıklamaları Şekil-31 ‘de anlatılmaktadır.

VPN Tunneling Protokol Özellikleri

Site-to-Site VPNs için network ve erişim kuralları

Network trafiğini Site to Site VPN bağlantı kurdurmak için
•    İki tane policy kuralı enable edilmelidir
1.    VPN site-to-site trafikten den ISA Server’a izin
2.    ISA Server dan VPN site-to-site trafikten  izin
 
•    remote-site network için network kuralı yaratılmalıdır
 
•    Erişim kuralları, yayınlama kuralları konfigüre edilmeli veya network erişimi sınırlanmalıdır.
 
     1. Full erişim için ISA Server içinde tüm protokollere izin verilmelidir.
     2. Limitli erişim için erişim kuralları konfigüre edilmeli veya publish kuralları network trafiği için tanımlanmalı.
 
 
Remote-Site VPN Konfigure Etme

Remote Sites sekmesi seçilir.Sağ tarafta yer alan Tasks menüsü basılır.Şekil-33

Add Remote Site Network tıklanır ve Sihirbaz başlar.Network name alanı doldurulur.Next tuşuna basılır.Şekil-34

IP Security protocol (IPSec)Tunnel Mode:ISA Serverı bir cihazla  (Linksys veya Vigor ADSL Modem gibi) bağlantı kurarak yapılandırılacaksa seçilir.
 
Diğer protkoller ise ISA Serverı - Windowsla veya ISA Serverı – ISA Serverla yapılandırarak bağlantı kurulacaksa seçilir.Şekil-35

Remote VPN yapılacak Serverın IP si veya adılır.Şekil-36

Kimlik doğrulama için kullanıcı adı ,etki alanı ve parola yazılır. Şekil-37
Bu kullanıcıya Active Directory Users and Computer bölümünden ,özelliklerine gelinir ve Dial-in sekmesinde Remote Access Permission (Dial in or VPN) de llow Access seçilir.Şekil-38

Site to Site network için Şekil-39 ‘daki gibi  kullanılacak IP aralığı girilir.

Finish tuşu ile sihirbaz tamamlanır.

Kaynak:2824 Configuring Virtual Private Network Access for Remote Clients and Network
     http://www.isaserver.org

Bir sonraki makalede görüşmek üzere…

Ortalama Üye Değerlendirmesi

   (0 Oylama)

Yorum Sayısı: 1 / 1