Solution for Your Systems

Yapınıza eklediğiniz Forefront Threat Management Gateway 2010 (TMG) programının tam uyumluluğu için kullancı bilgisayarlarına kurmanız gereken TMG Client yazılımını tek tek bilgisayarlara giderek kurmak tahmin edersinizki uzun iş. Bu programın dağıtımı Software installation yoluylada gerçekleşmemektedir. Bu noktada aşağıdaki script işinizi kolaylaştıracaktır. Aşağıdaki kod'da ki ilgili yerleri kendinize göre düzenleyerek bir .BAT dosyası olarak kaydedip AD üzerinden User'lara Logon Script olarak tanımlayım. Scrip çalıştığında önce sistem de TMG Client yazılımı varmı diye bakıyor. Eğer program varsa hiç bir şey yapmıyor. Program yüklü değilse kurulumu gerçekleştiriyor.

@echo off 
cd c:\ 
IF EXIST "C:\Program Files (x86)\Forefront TMG Client\FwcMgmt.exe" GOTO END 
IF EXIST "C:\Program Files\Forefront TMG Client\FwcMgmt.exe" GOTO END 
msiexec /i \\servername\sharedfoldername\TMG_Client.msi Servername=tmgserver ENABLE_AUTO_DETECT=1 REFRESH_WEB_PROXY=1 /qn 
:END

Yazar ceyhun çamlı

Çeşitli ortamları; çeşitli kuraallar yazara ve filtrelemeler ile Internet ortamında yayımlayabiliriz. Ancak bazı problemlerle karşılaştığımız zaman, neleri kontrol etmemiz gerektiğini bilmemiz gerekir. Bu makalede olası problemleri ve bunları nasıl çözeceğimizi anlatacağım.

DNS Kayıtlarının kontrolü : ISA Server’ın External bacağındaki IP adresine ait isim, Internet ortamından çözümlenemiyorsa, domain adı için gerekli tanımlamanın DNs üzerinde doğru yapılıp yapılmadığı kontrol edilmelidir

Hata mesajlarının kontrolü : Eğer bağlantıda bir sorun varsa, hata mesajlarını kontrol ederek bu hatanın kaynağı tespit edilebilir. HTTP yapısı standart hata mesajları oluşturur. Örneğin; 403 numaralı hata, ISA Server’ın External IP adresinde sorun olduğunu gösterirken, 500 numaralı hata ise SSL sertifikalarında bir problem olduğunu gösterir.

Bağlantı için dinlenen ISA Server Port’larının kontrolü : Bunun için netstat kullanılarak dinlenen Port’lar kontrol edilebilir. Komut satırında netstat –an yazarak ISA Server’ın 80 veya 443 numaralı portları dinleyip dinlemediğini kontrol edebiliriz. Eğer ISA Serrver bu portları dinlemiyorsa Web Listener yapılandırmamızı kontrol etmeliyiz. Diğer portlar için ise Server Publishing kuralları kontrol edilmelidir.

Bu makalemizinde sonuna geldik. Umarım yararlı olmuştur. Bir sonraki makalemizde SSL’li Web Server Publishing işlemini gerçekleştireceğiz.

Yazar ceyhun çamlı \\ tags: isa server server publishing, isa server web publishing, server publishing, web server publishing

Web Publishing Rules HTTP ve HTTPs içerikler Web Server erişimini düzenleyen kuralları içerirkem Server Publishing Rules ise Internal içerikte kullanılan diğer tüm protokollerle ilgili kuralları düzenler.  Peki Server Publishing Rules nasıl oluşturulur?

Isa Server Management konsolunda Firewall Policy kısmından Publish Non-Web Server Protocols seçeneğine tıklıyoruz.

Server Publishing kuralımıza bir isim verip ilerliyoruz.

Publish edeceğimiz Server’ın IP adresini yazdıktan sonra next butonuna tıklayarak ilerliyoruz.

Publish Server tarafından kullanılacak protokolü seçip devam ediyoruz.

 

Publish Server’a gelecek isteklerin dinleneceği network adaptor’ü seçip ilerliyoruz.

Finish butonu ile işlemi sonlandırıyoruz.

Explorer’dan ftp://ftp.ceycey.com yazarak publishing işlemimizde sorun olup olmadığını test edebiliriz. Server Publishing işlemini anlattığım bu makalenin de sonuna geldik. Umarım yararlı olmuştur. Bir sonraki makalemizde Web ve Server Publishing yapılandırmalarındaki problemlerden ve çözümlerinden bahsedeceğim.

Yazar ceyhun çamlı \\ tags: isa server publishing, isa server server publishing, server publishing

Internal ortama yertleştirdiğimiz Web server’ımızı, Internet ortamıdnaki kullanıcılara güvenli ve uyumlu bir şekilde açmak için Web Publishing olayından yararlanabileceğimizi bir önceki Publishing makaleinde anlatmıştım. Bu makalede ise  web server publishing işlemi ile ilgili yapılandırmaları nasıl gerçekleştireceğimize dair detaylı bir  inceleme yapacağız.

Web Publishing Rules ve Web Listener 

Web Publishing Rule oluşturmak için;

Isa Server 2006 konsolunda Firewall Policy kısmında bulunan Tasks bölümünden Publish Web Sitesi seçeneğini tıklıyoruz.

Oluşturacağımız kurala bir isim verdikten sonra next ile devam ediyoruz.

Select Rule Action ekranında oluşturacağımız kuralın izin kuralı yoksa yasaklama mı olduğunu belirttikten sonra devam ediyoruz.

Publishing Type ekranında yayınlamak istediğimiz web sitesinin türünü belirterek ilerliyoruz.

SSL yapısı kullanıp kullanmayacağımızı belirledikten sonra devam ediyoruz. Ben bu aşamada Use non-secured connections…. seçeneğini işaretleyip devam ediyorum. (SSL’li publishing işlemini bir sonraki makalede anlatacağım.)

Gelen sayfada Internal site name adını yazarak ilerliyoruz.

Publish işlemi domain altındaki tüm dosyaları kapsayacak şekilde gerçekleştirilebilir ya da Path (optional) kısmını kullanarak sitenin bazı klasörleri yayınlanabilir. Örneğin; ceyhun/* şeklindeki yazım site içerisinde yer alan ceyhun isimli klasördeki tüm dosyaları Publish eder.

Any domain name seçeneği ile herhangi bir istek ISA Server’ın external web listener’ının IP adresine çözümlenerek Web sitesine yönlendirilir. This domain name (type below) seçeneği ile de özel bir URL’ye yönlendirme yapılabilir. Bunu kullanmak için domain adı PublicName kısmına girilir ve istenirse Folder kısmına özel bir klasör adı yazılabilir.

Gelen sayfada daha önce oluşturduğumuz bir web listener varsa onu seçebilir ya da yeni bir web listener oluşturabiliriz.

Kısaca Web Listener’ın ne olduğunu açıklayayım : Web veya SSL Web tarafından kulanılan bu yapı ile ISA Server bilgisayarlarını HTTP ve SSL isteklerini nasıl dinleyeceği tanımlanır. Bu tanımlamada Client bağlantıları için dinlenecek IP adres ve Port numara bilgileri bulunur. Eğer gelen istekler için bir Web listener yapılandırılırsa, ISA Server Web Server Publihing kurallarını uygulamadan önce gelen web isteklerinin hepsini atar. Eğer ISA Server ile çalışan bilgisayar üzerinde birden çok IP adresi ve ya network adaptor’u tanımlıysa aynı listener’ı tüm IP adresleri için yapılandırabilir ya da her bir network kartı için ayrı ayrı listener tanımlayabiliriz.

New butonu aracılığıyla bir web listener tanımlayalım.

Öncelikle web listener için bir isim belirtiyoruz.

SSL’li bağlantılar için bir web listener oluşturmak istiyorsak ilk seçeneği, yalnızca HTTP istekleri için bir listener oluşturmak istiyorsak ikinci seçeneği seçerek devam ediyoruz.

Web Listener Ip Addresses sayfasında dinlenecek network belirtilir. Eğer bu network için birden fazla IP adresi söz konusu ise ve hepsini dinleyeceksek, şekildeki gibi varsayılan ayarı kullanmalıyız. Eğer belirli bir IP adresi için bu dinlemyi gerçekleştireceksek o zaman Selecekt IP Addresses butonuna tıklamaız ve dinleyeceğimiz IP adresini belirtmemiz gerekir.

Authentication metodunu belirledikten sonra next ile devam ediyoruz.

Next ile devam ediyoruz.

Web Listener oluşturma adımları sırasında gerçekleştirmiş olduğumuz yapılandırmaya ait özet bilgilerin yer aldığı bu akranı inceleyip yapılandırma bilgilerini kontrol ettikten sonrailerliyoruz.

 

Bu kuralın uygulanacağı kullanıcıları seçtikten sonra devam ediyoruz.

Finish butonu ile yapılandırmayı tamamlıyoruz.

Not:  Apply ve OK butonlarına basmayı unutmamamız gerekir.

Böylece Web Publishing makalesinin de sonuna gelmiş bulunuyoruz. Umarım yararlı olmuştur. Bir sonraki makalemizde  Server Publishing uygulamasını anlatacağım.

Yazar ceyhun çamlı \\ tags: isa server web publishing, web server publishing

ISA Server; Web ve Server publishing kurallarını kullanarak, Internal Network güvenliğini tehlikeye sokmadan, Internal Network kaynaklarını Internet üzerinde yayınlayabilir. ISA Server üzerinde Publishing işlemini gerçekleştirmeden önce bilmemiz gereken bazı noktalar vardır. Bu makalede bu noktalardan bahsedeceğim. ISA Server üzerinde server publishing’i iki ana bölüme ayırmak mümkündür.

• Web Publishing
• Server Publishing

“Web publishing”, ISA Server’ın dışarıdan gelen HTTP ve HTTPS erişimlerini kontrol etmesine yarar. Server publishing ise farklı protokolleri kullanan diğer uygulamaların dışarından erişimlerini düzenlemeye yarar.

“Server publishing” ise Internet üzerinden iç network’te bulunan diğer kaynaklara olan erişimin düzenlenmesi için esnek ve güvenilir bir çözümdür.

Web Publishing

ISA Server, iç network üzerinde bulunan Web sitelerini Internet gibi dış networkler üzerinden erişilebilir hale getirmek için Web publishing kurallarına sahiptir. Web publishing kuralları iç networke gelen isteklerin, iç network üzerinde bulunan Web server’lara nasıl yönlendirileceğini belirleyen Firewall kuralıdır.

Web publishing kurallarının özellikleri:

HTTP protokolü ile Web server’lara erişim : Bir Web publishing kuralı konfigüre ettiğinizde ISA Server HTTP ve HTTPS portlarını Internet üzerinden dinlemeye başlar ve bu portlara gelen istekleri korunan network üzerindeki Web server’a yönlendirir.

HTTP uygulama katmanı filtreleme : HTTP uygulama katmanı filtrelemesi, ISA Server’ın kendi üzerinden geçen tüm paketlerin içeriğindeki verileri taramasını sağlamaktadır. Eğer SSL bridging etkin hale getirilmişse SSL paketlerinin içeriği de taranacaktır. Bu yetenek ek bir güvenlik katmanı sağlayacaktır.

Path mapping (Yolun eşleştirilmesi) : Path mapping iç network üzerinde çalışan Web sitesinin konfigürasyon detaylarını gizleyerek yalnızca belirli bir kısmını dış erişime açmayı sağlar. Bunun anlamı bir HTTP isteğini Web sitenizin tamamına değil üzerinde bulunan belli klasörlere erişmesini sağlamaktır.

Kimlik doğrulama (authentication) : ISA Server’ınızı, Internert üzerindeki kullanıcıların iç network üzerinde bulunan Web server’ınıza bağlanmadan önce kimlik doğrulamasından geçmesi için konfigüre edebilirsiniz. Bu düzenleme iç network üzerindeki Web server’ınızın kimlik doğrulama saldırılarından korunmasını sağlayacaktır. Web publishing kuralı, aralarında RADIUS, integrated, basic, digest, digital certificates ve RSA SecurID içeren kimlik doğrulama metodları kullanmaktadır.

 İçerik cache’leme (Content Caching) : İç network üzerinde bulunan Web server’a ait içerik ISA Server üzerinde cache belleğe alınabilir ve böylelikle Internet üzerinden gelen isteklere cache bellek’ten de yanıt verilerek Web server üzerindeki yoğunluk azaltılmış olur.

Tek bir IP adresi ile birden çok Web sitesinin yayınlanması : Birçok şirket Internet üzerinde tek bir IP adresi kullanır. Bu nedenle ISA Server üzerinde IP adresini kullanan birden fazla Web publishing kuralı tanımlayabilir ve bu sayede tek bir IP adresi üzerinden birden fazla Web sitesini Internet üzerindeki kullanıcıların hizmetine sunabilirsiniz.

Link çevrimi (Link translation) : Link çevrimi ile Web siteniz üzerinde bulunan ve Internet üzerinden doğrudan erişime kapalı olan diğer Web server’larınızın üzerindeki kaynaklara doğru olan linklerin çalışmasını sağlayabilirsiniz.

Internet client’larına ait IP adreslerini kaydetme : Varsayılan olarak web publishing kullanrak bir server’ı yayımladığımız zaman, ISA Server’ın Internal Interface’inin IP adresi, bu web server tarafından kaynak IP adresi olarak kullanılır. Eğer internet client’larının IP adreslerini kaydetmek istersek bu alanda değişiklik yapmamız gerekir.

SSL tunneling : ISA Server paketlerin içeriğini kontrol etmez, bunun yerine şifrelenmiş paketleri Client ve Web Server arasında yönlendirir.

SSL bridging : ISA Server, Server ve Client arasındaki tüm network trafiğini şifreleyebilir ve şifreyi tekrar çözebilir. ISA Server client üzeirnden gelen SSL isteklerini kabul eder ve onları HTTP’ye dönüştürerek Web Server üzerine yönlendirir. Ayrıca ISA Server; ilave güvenlik sağlamak için bunu yönlendirirken, yeniden şifreleyebilir.

Web ve Server Publishing İçin DNS Konfigürasyonu

Lokal networkümüz içinde yayımladığımız web server’a hem lokal networkümüzde yer alan bilgisayarlar , hem de internet üzerindeki kullanıcıların erişmesini istiyoruz. Böyle bir yapıda tek bir domain adı vardır, ancak lokal ve internet üzerindeki kullanıcıların bu domain adını çözümleyebilmesi için farklı dns’ler kullanması gerekir. Bu yapıya split DNS adı veriyoruz. Her iki DNS Server’ında bu domain adı için gerekli yetkiye sahip olması gerekir.

NOT: Split DNS oluşturmak için aynı domain adı için yetkili iki DNS server’a ihtiyacımız vardır. Bununla birlikte bu iki server aynı kaynaklara ait kayıtları barındırmak zorunda değildir. Örneğin iç network üzerinde bulunan DNS server Active Directory domain controller’lar ve diğer iç serverlar’a ait kayıtları barındırır. Bu bilgiler hiç bir zaman Internet üzerinde bulunan DNS server üzerinde yayınlanmamalıdır. Internet DNS server sadece Internet üzerinden erişilmesi gereken serverlar’a ait IP adres kayıtlarını içermelidir. Örneğin Internet üzerinden sadece web ve e-mail server için erişim isteniyorsa Internet DNS server sadece bu iki kaynağa ait kayıtları içermelidir.

Internet üzerindeki bir kullanıcı bu domain’e ulaşmaya çalıştığında, ISA server’ın external kısmında bulunan DNS Server2dan yararlanır.Lokal kullanıcıların isim çözümlemesi ise lokaldeki DNS ile gerçekleşir ve Web Server’ın bulunduğu perimeter network ile bağlantıya geçer.

Örnek bir uygulama ile bu durumu inceleyelim;

ISA Server Management konsolu üzerinde Configuration bölümünden Network seçimini yaptıktan sonra Templates kısmına geçerek, 3-leg Perimeter ‘ı tıklıyoruz.

Next ile ilerliyoruz.

 

ISA Server üzerindeki konfigurasyon bilgilerini daha sonra kullanmak üzere kaydetmek istersek export butonunu kullanabiliriz. Ben, yapılandırma işlemini test ortamında gerçekleştiriyor olmamdan dolayı böyle bir ihtiyacım olmayacağını bildiğim için next diyerek devam ediyorum.

 

Internal Network IP Addresses ekranında yer alan IP yapılandırmaısnın doğruluğunu kontrol ettikten sonra next ile ilerliyoruz.

Perimeter Network IP Addresses sayfasından Add Adaptor butonuna tıklıyoruz ve karşımıza gelen  Select Network Adapters ekranında perimeter erişiminde kullanacağımız adaptor’ü seçerek devam ediyoruz.

 

Select Firewall Policy ekranında yer alan seçeneklerden bir önceki makalemizde bahsettiğim için burada tekrardan bahsetmeyeceğim. Bu aşamada Allow limited Web access and access to ISP network services seçimini yaptıktan sonra next ile devam ediyorum.

Finih butonuna tıklayıp işlemi sonlandırıyorum.

Şimdi de Network Rules sekmesine geçerek Perimeter Access seçeneğine sağ tıklayıp Properties seçeneğine tıklıyoruz.

Network Relationship sekmesine geçerek, Network Address Translation (NAT) seçeneğini işaretleyip OK diyoruz.

Yaptğımız ayarlaırn devreye girmesi için Apply ve ardından Ok butonlarına basmayı unutmuyoruz.

Internet DNS kaydını oluşturacağımız bilgisayara geçip DNS konsolunu açıyoruz. Forward Lookup Zone altında bulunan Domain adı üzerinde sağ tıklayıp New Host (A)… seçeneğine tıklıyoruz.

Name kısmında www ve Ip address kısmına ISA Server’ın internete açılan ayağındaki IP adresini yazarak, Add Host butonuna tıklıyoruz.

OK ve Done butonlarını tıklayarak lokal bilgisayarlar için isim çözümlemesi yapacak DNS Server’ın bulunduğu bilgisayarda da aynı şekilde DNS yapılandırmasını ISA Server’ın lokal ayağında bulunan IP adresi için yaparak işlemlerimizi tamamlıyoruz.

Bu makalemizde Server ve Web publishim-ng konularından ve split dns yapılandırmasından bahsettim. umarım yararlı olmuştur. Bir sonraki makalemizde Web Publishing yapılandırmasından bahsedeceğim.

Yazar ceyhun çamlı \\ tags: isa server publishing, server publishing, split dns, web publishing