Primary Color:
Primary Text:
Secondary Color:
Secondary Text:
Tertiary Color:
Tertiary Text:
Color Picker
Preview
FeaturesTypographyTutorials
Module Title
Home
Module Title

Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut non turpis a nisi pretium rutrum. Nullam congue, lectus a aliquam pretium, sem urna tempus justo, malesuada consequat nunc diam vel justo. In faucibus elit at purus. Suspendisse dapibus lorem. Curabitur luctus mauris.

Module Title
Module Title
Instructions

Select a predefined style from via the drop-down or choose your own colors via the handy mooRainbow based color-chooser. When you are satisfied with your selection, click the "Apply Colors" button below to store your selection in a cookie.

Apply Colors
Renk Seçici
Eki 22 2008
Windows 2008 NAP VPN Karantina-2 Yazdır e-Posta
Yazan Özgür KOLUKISA   
Perşembe, 23 Ekim 2008
Özgür KOLUKISA

365

Image
NAP Enforcement
Makelemizin ilk bölümünde, NAP Servislerini kurmuş ve VPN Enforcement öncesinde serverı hazırlamıştık. Şimdi asıl NAP yapılandırmamızı gerçekleştirmek için NAP Servera geri dönüyoruz ve işimize tam gaz devam ediyoruz.

 Network Access Protection ile VPN Karantina -2

            Makelemizin ilk bölümünde, NAP Servislerini kurmuş ve VPN Enforcement öncesinde serverı hazırlamıştık. Şimdi asıl NAP yapılandırmamızı gerçekleştirmek için NAP Servera geri dönüyoruz.

 Önce Start ->Run -> nps.msc yoluyla NAP konsolunu açıyoruz. Şimdi NAP konfigurasyonumuzu rahatlıkla yapabiliriz.

      Nap server konsolunu açtıktan sonra, ilk olarak sağ taraftaki “task pane” den Register this Server in Active Directory seçeneğini işaretliyoruz. Bu, NAP serverın Ras and IAS Servers adlı güvenlik grubuna üye olmasını sağlayarak hizmet vermesini sağlayacaktır. Seçeneği işaretledikten sonra karşınıza gelen iki uyarıyı Ok i  seçerek onaylayın.

Ardından, Network Access protection altından “Configure NAP” e  tıklıyoruz (Şekil 1)

Şekil 1

            Karşımıza gelen ekranda, “Network Connection Method” Virtual Private Network (VPN) olarak seçiyoruz. Bu durumda policy name otomatik olarak NAP VPN olarak beliriyor. İstersek Policy isimini farklı bir şeylerde yapabiliriz. Next'e tıklayarak devam ediyoruz.(Şekil 2)

Şekil 2

Specify NAP Enforcement Servers Running VPN Server adlı bir ekranla karşılaşacağız. Burada Radius client olarak tanımlayacağımız VPN Serverları eklenir. Bizde burada Windows Server 2008 VPN server ı ekleyeceğiz.

            İlk olarak Add butonuna tıklıyoruz, New Radşus Client penceresinde firendly name kısımına VPN gateway yazıyoruz. Dilerseniz farklı bir isimde verebilirsiniz.Firendly name sadece Radius clientı tanımlayan ayırt edici basit bir isimdir.

            “Address” kısımına 192.168.0.3, yani VPN serverın IP adresini yazıyoruz.(Şekil 3)

            “Shared Secret” alanı bizim için önemli olan bir başka alandır.Bu Radius Server ve Radius Client/Proxy arasında authentication için kullanılan özel bir anahtardır. Manual seçiliyken bu alana shared secret imizi yazacağız. Bu sadece bir test ortamı olduğu için, ben shared secret olarak test yazıyorum.

Shared secretin kırılmasını zorlaştırmak için, çok daha uzun ve karmaşık bir anahtar girmenizi şiddetle tavsiye ederim. Zaten generate'i seçerek  otomatik oluşturulan, gayet karmaşık bir Radius shared secret oluşturabilirsiniz.

Şekil 3

            Configure User Groups and Machine Groups ekranında bu policynin  uygulanacağı bilgisayar ve kullanıcı gruplarını seçebilirsiniz. Eğer tüm bilgisayar ve kullanıcı grupları bu policye dahil olsun istiyorsak, buradaki alana herhangi bir ekleme yapmamanız gerekir. Bizde burayı boş bırakıyoruz.

            Configure an Authentication Method bölümünde, VPN için kimlik doğrulama metodunu seçeceğiz. NAP Serverımızın çalışabilmesi için PEAP (Protected Extensible Authentication Protocol) seçilmesi gerekir. PEAP kullanabilmemiz için Computer sertifikasına ihtiyacımız var.

Biz daha önceden bu sertifikamızı alıp yüklediğimiz için, NPS Server Certificate bölümünden sertifikamızın adını görebiliyoruz. Eğer yukarıdaki Computer sertifikası alımını yapmamışsanız bu adımı geçemezsiniz.

EAP Types'de varsayılan olarak Secure Password (PEAP,MS CHAP v2) seçilidir. Bu clientın bağlanırken username ve passwordunu girerek vpn bağlantısını çevirmeye imkan tanır. (Şekil 4)

Bununla birlikte clientın bilgisayarındaki bir sertifika Ya da smart card ile bağlanmasını istiyorsanız (EAP-TLS) seçmeniz gerekir. Bu konumuz dışında olduğundan dolayı EAP-TLS'den bahsetmeyeceğiz.

Şekil 4

Specify a NAP Remediation Server Group and URL bölümü opsiyoneldir. (Şekil 24) Remediation, Windows 2003 Server VPN karantinadaki karantina kaynaklarına benzetilebilir. Eğer client NAP policysinde tanımlanan kurallara uymuyorsa, bağlantısı tamamen başarısız olmaz : Ancak client sadece Remediation Server grubunda tanımlanan bilgisayarlara ve adreslere erişebilir.

Buradaki mantık, antivirüs/antispy yazılım olmayan clientın, serverdan bunları indirip kurması, güncellemesi örnek olarak verilebilir. Gerekli koşulları karşılayan client tekrar bağlandığında, tüm network kaynaklarına erişebilecektir.

            Bizde burada küçük bir grup oluşturacağız. New group'a tıklıyoruz (Şekil 5)

Şekil 5

Tıkladıktan sonra karşımıza şekil 6 daki ekran çıkacaktır. Burada “group name” alanına,  ben geçici grup adını veriyorum. İsmi çok da önemli değildir. Daha sonra da Add'e tıklıyoruz.

Şekil 6

            Add new Server penceresinde kaynak olarak domain controller ı tanımlayacağım. Elbette Remediation Server olarak DC i tanımlamak normalde pek akılcı bir davranış değildir :) ancak test ortamındaki az sayıdaki makineden dolayı, ben DC'yi göstereceğim.

Siz sakın Dclerinizi Remediation Server olarak tanımlamayın. Güçlü antivirüs programları ve firewall ile korunan File & Web serverlarınız, Remediation server olarak seçilebilir.( Şekil 7)

Şekil 7

Serverımızı tanımladıktan sonra Ok'e tıklıyoruz ve serverı ekliyoruz. Her bir Remediation server için aynı adımları izlemelisiniz. Neticesinde, serverımız oluşturduğumuz gruba eklenecektir.(Şekil 8)

Şekil 8

            Bu sihirbazımızın son adımında NAP Security Health Policymizi ve Remediation ayarlarımızı seçeceğiz.

            SHV'ler clientların bağlantı için hangi koşullara sahip olması gerektiğini belirtirler. Örneğin client antivirüs programına sahip mi? Sahip ise güncel mi? Microsoft Update aktif mi? gibi koşullardır bunlar. Listede sadece bir tane SHV var ve bu öntanımlı Windows Security Health Validator'dır. Bu şekilde de kalacak.(Şekil 9)

            Enable auto remediation of client computers, client eğer koşullara uymuyorsa, clientın bu koşullara uymasını sağlayan bir seçenektir. Örneğin sistem yöneticisi firewall'un açık olmasını bir koşul olarak belirlemişse, client bağlanırken otomatikman Firewall'u aktif hale gelir.

            Kullanışlı bir seçenek olmasına rağmen, maalesef auto remediation bazı SHVler ile çalışamaz. Eğer vpn clientında anti-spy yazılımının olması bir koşulsa, clienta anti-spy Ya da virüs yazılımı kurulmaz.

           

Şekil 9

“Network access restrictions for NAP-ineligible client computers”  : NAP uyumlu olmayan clientların, bu policyden nasıl etkileneceğini belirler. Nap-ineligible bilgisayarlara örnek olarak Windows XP SP3 öncesi, Vista'nın Home versiyonları, windows 2000/NT ve 9X serisi eski işletim sistemleri örnek olarak verilebilir.

            Bu aşamada iki seçeneğimiz var:

Deny full network access to nap-ineligible computers : Nap uyumlu olmayan eski  bilgisayarlar, sadece remediation kaynaklarına erişebilsin.

Allow full network access to nap-ineligible computers : Bu eski bilgisayarlar networke tam erişim kazansın..

Biz burada Deny Full... seçeneğini seçerek , sadece NAP uyumlu bilgisayarların networke ulaşmasını sağlayacağız.

            Yukarıda gerçekleştirdiğimiz düzinelerce kural ve yapılandırmanın işe yaraması için, VPN Gateway'in NAP uyumlu bir RRAS server olması gerekir. Bu Serverlar ise Windows Server 2008 bilgisayarlardır. Bu aşamada, daha önceden radius client olarak eklediğimiz VPN Serverımız (VPN GW), Nap capable olarak işaretlenmelidir. Serverı nap capable yapmak için, NAP konsolundan RADIUS Clients and Server->RADIUS Clients a geliyoruz.(Şekil 10)

Şekil 10

 Sağ taraftaki ekrandan VPN servera çift tıklıyoruz. Karşımıza VPN Serverın RADIUS client ayarları gelir. Biz buradaki yapılandırmayı, daha önceden sihirbaz yardımıyla yapmıştık zaten. Ancak Sihirbazda karşımıza çıkmayan bir seçeneği işaretliyoruz : “Radius client is NAP capable”.. (Şekil 11)

Şekil 11

Buraya kadarki tüm aşamalarda, hep bazı koşul ve kısıtlamalardan bahsettik, ancak bu koşulların ne olduğundan ve nasıl seçileceğinden bahsetmedik. Bu koşulları belirlemek için, Network Access Protection altından System Health Validators'a geliyoruz (Şekil 12)

Şekil 12

            Windows security health validator'a çift tıklıyoruz ve özelliklerini açıyoruz. SHV'ler Windows Vista ve Windows XP için ayrı ayrı yapılandırılabilirler. Bizim clientımız Vista Client olduğundan dolayı Windows Vista tabını kullanacağız (Şekil13)

Şekil 13

SHV yapılandırmasında clientımızda bağlantı için bir takım koşullara koyacağız. Ben yukarıdaki şekilde de görüldüğü üzere, firewall'un tüm bağlantılar için etkin olarak çalışmasını ve Otomatik güncelleştirmelerin etkin olmasını şart koydum. Sizde kendi kurallarınızı seçerek OK'e tıklayın.

Artık NAP server tarafındaki yapılandırma da, böylelikle tamamlanmış oluyor. Makalemizin sonraki adımında, VPN Server konfigürasyonunu ve client tarafındaki konfigürasyonu gerçekleştireceğiz. Sonra da yapımızı test edeceğiz.

İyi günler dilerim

ÖZGÜR KOLUKISA


Görüntüleme sayısı: 365

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.
Son Güncelleme ( Perşembe, 23 Ekim 2008 )
 
Ekle:
Delicious
Furl it!
Spurl
NewsVine
Fark
YahooMyWeb
< Önceki   Sonraki >
[ Geri ]