Nis 07

RAS Authentication

Windows Server 2003 Yorum Yok »

Authentication, kullanıcı bilgilerinin doğruluğunu, authorization (yetkilendirme) ise kullanıcının kaynaklara erişmesini sağlar. Authentication özel protokollerin düzenlenmesiyle sağlanırken, authorization kullanıcının hesabındaki dial-in özelliklerinin düzenlenmesiyle sağlanır.

  • Windows Authentication
  • RADIUS

Windows Authentication seçeneğinde kullanıcılar Windows‘a sorulurken, RADIUS seçeneğinde IAS servisi ile diğer bir kimlik denetimi server’ı kullanılır.

Authentication Protokolleri
Remote Access server’lar, kendisine uzaktan bağlanan kullanıcıların kimliğini tanımlamak için authentication yöntemleri kullanırlar. RRAS authentication için değişik protokoller kullanılabilir. Bu protokolleri iki kategoriye ayırmak mümkündür.

  • Standart authentication protokolleri
  • Extensible authentication protokolleri

Aşağıdaki tabloda authentication protokolleri yer almaktadır.

 

 

 

 

RAS Authentication

CHAP: Challenge Handshake Authentication Protocol (CHAP) yaygın olarak kullanılan bir protokoldür. Kullanıcını parolasını temsil eder. CHAP ile uzak client’a bir bilgi gönderilir. Uzaktan erişim sağlayan client bir hash algoritma ile parolayı şifreler.

SPAP: Shiva Password Authentication Protocol (SPAP), Shiva remote access server’larıyla kullanılan basit bir parola şifreleme protokolüdür.

MS-CHAP: MS-CHAP ile uzaktaki Windows-tabanlı client bilgisayarlar yetkilendirilir. MS-CHAP, Message Digest 4 (MD4) hashing algoritmasını ve Data Encryption Standard (DES) şifreleme tekniğini kullanır.

 MS-CHAP v2: Windows Server 2003 ailesi MS-CHAP v2′yi destekler. MS-CHAP v2, karşılıklı authentication işlemiyle verileri şifreler.

EAP: Extensible Authentication Protocol (EAP), PPP’ün genişletilmiş şeklidir. EAP, güvenlik aygıtlarını kullanan authentication metotlarına gereksinim duyulduğu için geliştirilmiştir.

Windows Server 2003 ailesi iki tür EAP destekler:

  • EAP-MD5 CHAP (CHAP authentication protokolüne eşit)
  • EAP-TLS (sertifika-tabanlı authentication için)

MPPE: Microsoft Point-to-Point Encryption (MPPE) bir şifreleme protokolüdür. Point-to-Point Protocol (PPP) tabanlı dial-up bağlantılardaki ya da Point-to-Point Tunneling Protocol (PPTP) virtual private network (VPN) bağlantılarındaki verileri şifreler.
128-bit key (strong), 56-bit key ve 40-bit key (standard) MPPE şifreleme sistemleri kullanılır.

MPPE, VPN server ile VPN client arasındaki PPTP bağlantılarında veri güvenliği sağlar.
MPPE, MS-CHAP (MS-CHAP v2) ya da EAP-TLS tarafından oluşturulmuş şifreleme key’lerine gereksinim duyar.

RAS Politikası (RAS Policy)

RAS konusunda uzaktan bağlantının kontrolünde belli kuralların uygulanacağını belirtmiştik. İşte Remote Access Policy’ler, bağlantıyı düzenleyerek yalnızca belli kullanıcıların ve grupların uzaktan bağlantıyı gerçekleştirmelerini sağlar.
Remote Access Policy’ler Active Directory içinde değil, RAS server üzerinde saklanırlar. Bu, düzenlemelerin server’ın durumuna göre değişebileceği anlamına gelir.
Bir remote access policy üç bileşenden oluşur. Bu bileşenler Active Directory ile ilişki içinde kullanıcıları kısıtlar. Remote access policy bileşenleri şunlardır:

• Conditions (Koşullar)

• Permissions (izinler)

• Profile (Profil)


Koşullar, tarih, saat, gün, kullanıcı ID’si, IP adresi gibi bilgilerdir. Bu bilgiler bağlantının nasıl, ne zaman ve kim tarafından yapılacağını tanımlar.
İzinler, hem kullanıcının kullanıcı kaydındaki dial-in düzenlemeleri, hem de Remote Access Policy düzenlemelerinin bileşimi olarak bağlantının yapılıp yapılmayacağını belirtir.
Profil ise, her policy için düzenlenen protokol, şifreleme (encryption) ve diğer tanımlamaları içerir. Profil düzenlemeleri bağlantıya hemen uygulanır ve koşulları uymadığında bağlantıyı kabul etmez.

RAS Politikalarının Değerlendirilmesi


Uzaktan gelen bir bağlantının değerlendirilmesi, bir RAS politikasıyla yapılabilir. Ancak RAS politikalarının kullanımı için Windows Server 2003 Active Directory’nin domain functional level’ı önemlidir.
Domain functional level (fonksiyon düzeyi) mixed ise varsayım remote access policy’nin gelen bağlantılar üzerinde bir etkisi olmaz. Bu durumda kullanıcının ayarlarına göre uzaktan erişim yapılır (allow) ya da engellenir (deny).
Varsayım policy “Allow access if dial-up permission enabled” olarak adlandırılır ve RRAS kurulduğunda yaratılır. Bu policy, erişimi kullanıcının hesabı ile kontrol eder.

Birden Çok Policy Olduğunda?

Network yöneticisi, şirket içindeki farklı gruplara göre farklı uzaktan erişim ilkeleri uygulamak isteyebilir. Böylece daha fazla ilke üretmek ve uygulamak söz konusu olabilir. Bu durumda uzak bağlantı sırasıyla kendisine uyan en az bir politika oluncaya kadar denenir.

Remote Access Policy oluşturmak için gerekli adımlar:

 

 

 

 

 

 

 

 

1. Routing and Remote Access’i açın ve sunucu adını çift tıklayın.

2. Remote Access Policies’i sağ tıklayın ve New Remote Access Policy’yi seçin.

3. Bir ilke yaratmak için New Remote Access Policy Wizard’ı kullanın

Kullanıcıların Dial-in Ayarı

Dial-in bağlantıyla RAS server bağlanacak kullanıcıların kullanıcı kaydının (Stand-alone serverda yerel kullanıcı olarak ya da Active Directory DC’de domain kullanıcısı olarak) olması gerekir.

Kullanıcı kayıtlarının Dial-In tabında uzaktan erişim seçenekleri düzenlenir:

Allow access: Kullanıcının dial-up bağlantıyla bağlanabilmesi olanaklı.
Deny access: Kullanıcının dial-up bağlantıyla bağlanabilmesi olanaklı değildir.
Control access through Remote Access Policy: Kullanıcın bağlanması düzenlenen policy’lerle belirlenir. Stand alone Windows Server 2003 RAS server ya da Active Directory (native modda) ise bu seçenek kullanılır. Mixed domainlerde olmaz. Çünkü Windows NT’de vardır.

Caller ID bölümünde kullanıcının aradığı telefon numarası RAS server üzerindeki numara ile eşleştirilir. Numara uymazsa, bağlantı kabul edilmez.

Callback seçenekleri ise RAS serverın kullanıcıyı geri aramasını sağlar.

No Callback: Geri arama yok.
Set By Caller: Numara arayan tarafından düzenlenir.
Always Callback to: Belli bir numara aranır.

Assigning Static IP Address seçeneği, bir bağlantı sağlandığında kullanıcıya atanacak olan IP adresini belirtir.

Applying Static Routes seçeneği ise network yöneticisinin routera belli statik IP routlarını eklemesini sağlar. Böylece kullanıcı bağlantısı gerçekleştiğinde LAN’a erişebilir.. Bu düzenleme genellikle demand-dial ile anlamlıdır.

Kullanıcılara IP Adresi Atamak

Remote Access ve Demand-Dial olarak bağlanan client bilgisayara atamak üzere IP adresi verilebilir. Bu işlem iki türlü yapılabilir.

Dinamik olarak
Statik olarak
DHCP’den (dinamik olarak):

Belirtilen DHCP server’dan IP adresleri otomatik olarak alınır.

Static address pool (statik adres veritabanında):

Manuel olarak eklenmiş IP adreslerinden alması sağlanır.

 IP adresi atamak için:

1. Administrative Tools menüsünden Routing and Remote Access’ı başlatın.

2. Konsol üzerinde server adını sağ tıklayın ve Properties’ı seçin.

3. IP tabını açın. İstediğiniz adres dağıtım yöntemini seçin.

  • DHCP’den (dinamik olarak)
  • Static address pool (statik adres veritabanında)

Bir sonraki makalemizde RAS’ı izlemek IAS (Internet Authentication Service) ve RADIUS’tan bahsedeceğiz.

Yazar ceyhun çamlı \\ tags: ,

Nis 07

Remote Access Service (Uzaktan Erişim’i Yapılandırmak)

Windows Server 2003 Yorum Yok »

RAS (Remote Access Service), kullanıcıların şirket network’üne uzaktan erişimini sağlar. Örneğin, şirket kullanıcılarının seyahat sırasında uzak bir yerleşim merkezinden şirket network’üne bağlanması mümkün olur. RRAS servisinin yapılandırılmasının ardından Windows Server 2003, uzak bağlantılar için hazır hale gelir. Bu arada kullanıcı kayıtlarının buna uygun olarak yapılandırılması ve gerekli güvenlik ayarlarının yapılması gerekir.

Remote access (uzaktan erişim) ya bir dial-up bağlantıyla ya da VPN (virtual private network) ile gerçekleşir.

 

 

 

 

 

 

 

 

 

 

 

 

Yukarıdaki şekilde görülen senaryoyu ele alalım:

Dial-up client bilgisayar, Routing and Remote Access servisini çalıştıran bir Windows Server 2003 bilgisayara PPP protokolü ile bağlanacak şekilde yapılandırılmıştır. Remote access server (network access server – NAS da denir) dial-up client’lardan gelen aramalara ayrı bir modem kullanarak cevap verir.

Dial-up erişim, hem client hem server tarafından yapılandırmayı gerektirir. Client tarafında, remote access server’a bağlantıyı New Connection Wizard ile yapılandırırsınız.

Server tarafında ise ya Routing and Remote Access Server Setup Wizard ya da Routing and Remote Access konsolunun server Properties iletişim kutusu kullanılır.

 RAS’ın Yapılandırılması

RRAS servisi Windows Server 2003 sunucuların uzaktan bağlantıyla erişilmesine olanak tanır.

RAS’i yapılandırmak için:

 1. Administrative Tools menüsünden Routing and Remote Access’i açın.

2. Konsol ağacında serverı sağ tıklayın. Ardından Configure and Enable Routing and Remote Access’i tıklayın.

3. Routing and Remote Access Server Setup wizard başlar.

RAS server uzak istemci ile şirket networkü (LAN) arasında bir gateway görevi görür. RAS sayesinde şirket networküne bağlanan uzak kullanıcı, tıpkı LAN’daki bir kullanıcı gibi şirket networkündeki kaynaklara erişebilir.

 RRAS Konsolu

Routing and Remote Access konsolunda birçok özellik server bilgisayar üzerinde sağ tıklanarak elde edilen Properties iletişim kutusunda yapılır.

 Bu iletişim kutusunda General, Security, IP, PPP ve Logging olmak üzere tablar yer alır.

 General tabında Routing and Remote Access servisi bir LAN router, demand-dial router, remote access server olarak yapılandırılır.

 Security tabında authentication (kimlik doğrulama) yöntemleri yapılandırılır.

 IP tabında Routing and Remote Access servisinin IP paketlerini LAN, remote access ve demand-dial bağlantılar için yapılandırmasını sağlar.

 PPP tabında ise dial-up bağlantıların kimlik doğrulaması yapılandırılır. Bu tab üzerinde Multilink bağlantılar, BAP ya da BAPC ve LCP (Link Control Protocol) gibi protokollerin yapılandırılması sağlanır.

 Logging tabında ise Routing and Remote Access servisinin log’lama seçenekleri düzenlenir. Normalde yalnızca hataları loglayan servis, diğer loglama seçeneklerinin ayrıca düzenlenmesini gerektirir.

 Windows Server 2003 değişik RAS bağlantısına olanak sağlar:

 Dial-Up Bağlantılar

Uzak client, RAS server üzerindeki modem aracılığıyla RAS server’a telefon hatlarıyla bağlanır.

 VPN Client Bağlantılar

Uzak istemci Internet aracılığıyla VNP server’a bağlanır. Bu bağlantı güvenli bir tünel oluşturulur.

 Dial-up (Gelen) Bağlantılar

Domain üyesi bir kullanıcının dial-up bağlantıyla RAS sunucusuna bağlanması için gereken işlemler şunlardır:

 1. Start/Administrative Tools/Routing and Remote Access

2. Konsol üzerinde sunucu üzerinde sağ tıklanır ve Configure and Enable Routing and Remote Access seçilir.

3. Common Configuration sayfasında Remote access server seçilir.

4. Remote Client Protocols sayfasında uzaktan erişim için kullanılacak bütün protokoller belirtilir.

5. Network Selection sayfasında, uzaktan erişen client’a atanacak network bağlantısı seçilir.

6. IP Address Assignment sayfasında client’a atanacak IP adresi yapılandırılır.

7. Managing Multiple Remote Access Servers sayfasında istenirse RADIUS (Remote Authentication Dial-In User Service) yapılandırılır.

8. Finish ile sihirbaz sonlandırılır.

 RAS client’larının RAS sunucularına bağlanmaları için farklı teknolojiler kullanılabilir. Windows Server 2003, telefon hatlarını (PSTN), ISDN hatlarını, kablo modemi, X.25 networklerini ve doğrudan kablo bağlantılarını destekler. Uzaktan erişim için kullanılacak teknolojilerin seçilmesi şu kriterlere göre yapılabilir:

 PSTN (Public Switched Telephone Network)

Kolay bir bağlantı türüdür, ancak hızı yeterli olmayabilir.

 ISDN (Integrated Services Digital Network)

PSTN’den hızlı, ancak DSL’e göre yavaş olabilir. Adaptörleri pahalıdır.

 Kablo modem

Hızlı bağlantılar sağlar. Ancak pahalı bir çözüm olabilir.

 X. 25

Güvenli network’lerde kullanılır. Pahalı adaptörlere gereksinim duyabilir.

 Doğrudan Bağlantı

Basit ve güvenlidir. Ancak uzaklık sınırı vardır.

PPP (Point to Point Protocol)

En yaygın kullanılan RAS protokolüdür. PPP, uzaktan erişim yapan client ve server’ların farklı server’lara bağlanmasını sağlayan protokoldür.

 SLIP (Serial Line Internet Protocol)

Uzaktan erişim yapan client’ların bir SLIP sunucusuna bağlanmasını sağlayan eski bir protokoldür. SLIP, Telnet ile kullanılan yaygın bir uzaktan erişim protokolüdür. Windows Server 2003 bir SLIP server yazılımını içermez.

 Microsoft RAS

Windows 2000 öncesi istemcilerin RAS sunucusuna bağlanmasını sağlamak için kullanılan özel bir protokoldür.

 PPTP (Point to Point Tunneling Protocol)

IP tabanlı networkleri destekler. PPP şifrelemesini kullanır.

 L2TP                                     

IP ya da Frame Relay gibi birçok WAN medyasını destekler. Header sıkıştırmasını destekleyen L2TP, tunnel authentication yöntemini destekler. Bu, IPSec gibi diğer protokollerle birlikte kullanılarak güvenli bağlantıları sağlar.

 NOT: PPTP bağlantıları yalnızca user-level (kullanıcı düzeyinde) authentication (kimlik denetimi) sağlar. LT2P/IPSec bağlantıları ise user-level authentication yanı sıra computer-level (bilgisayar düzeyinde) authentication (sertifika servisiyle) sağlar.

Multilink, kullanıcıların modem, ISDN ve diğer bağlantıları birleştirme yeteneğidir. Multilink sayesinde client bilgisayar tıpkı tek bir port gibi birden çok iletişim portunu kullanır ve daha büyük bant genişliğine sahip olur.

 Multilink, PPP multilink protokolüyle sağlanır. Ayrıca Windows Server 2003, dinamik multilink sağlayan BAP (Bandwith Allocation Protocol) protokolünü de destekler.

 Multilink ve BAP’ı Etkinleştirmek İçin:

 RAS Server üzerinde,

 Routing and Remote Access’i kullanarak dinamik bant genişliği kontrolünü etkinleştirin.

 BAP ve BACP’i etkinleştireceğiniz server adı üzerinde sağ tıklayın ve Properties’i seçin.

PPP tabında “Dynamic bandwidth control using BAP and BACP” onay kutusunu seçin.

 Ardından remote access policy üzerinde Multilink’i etkinleştirin,

 1. Konsol ağacında Remote Access Policies’i tıklayın.

2. Ayrıntılar sayfasında yapılandıracağınız remote access ilkesini tıklayın.

3. Edit Profile’i tıklayın ve Multilink tabında gerekli düzenlemeleri yapın.
Bir sonraki makalemizde RAS authentication ve RAS Policy yapılandırmalarını inceleyeceğiz.

Yazar ceyhun çamlı \\ tags: ,