DüÅŸünün bir iÅŸyeri sahibisiniz. Åžirketinizde güvenliÄŸi saÄŸlamak için personel tuttunuz. Åžimdi bu durumda en iyi güvenliÄŸi bu personelinize gerekli olan tüm teçhizatı saÄŸlayarak, gerekli eÄŸitimleri saÄŸlayarak mı gerçekleÅŸtirirsiniz yoksa o personeli kendi haline bırakarak mı? Ä°ÅŸte ISA Server güvenliÄŸini güçlendirmenin temel çıkış noktasıda budur. DoÄŸru, ISA Server ağımızı korur, yönlendirir ancak ISA Server’ın çalıştığı iÅŸletim sistemini, bileÅŸenlerini, fiziksel yapısını ne kadar optimize ederseniz o derece gönül rahatlığıyla çalışabilirsiniz. Bir önceki makalemizde ISA Server güçlendirmesi için yapılması gereken adımları belirtmiÅŸ ve ilk dördünü ayrıntılı olarak incelemiÅŸtik. Tekrar hatırlamamız gerekirse;

ü GüncelleÅŸtirmeleri Yönetmek

ü Fiziksel EriÅŸim

ü Domain üyeliÄŸine karar vermek

ü Windows Altyapısını Güçlendirmek

ü Sunucu Rollerinin ve Ä°zinlerinin Yönetilmesi

ü Saldırı Olasılıklarını ve Alanını Daraltmak

ü LockDown Kipi

Åžimdi kaldığımız yerden devam edelim ve güvenlikte en büyük yardımcılarımızdan birinin gücüne güç katalım.

SUNUCU ROLLERÄ°NÄ°N ve Ä°ZÄ°NLERÄ°NÄ°N YÖNETÄ°LMESÄ°

ISA Server aÄŸ eriÅŸiminizi denetlediÄŸi için ISA Server ve baÄŸlı bileÅŸenleri üzerindeki izin ve yetkilendirmelere özel önem vermeniz gerekmektedir. ÖrneÄŸin ISA Server sunucunuza kimlerin oturum açabileceÄŸini tespit etmeli daha sonrasında buna uygun olarak gerekli yetkilendirmeleri yapmalısınız. ISA Server yönetimsel rollerin kullanıcılara ya da gruplara uygulanabilmesine imkân saÄŸlar. Hangi grupların ya da kullanıcıların ISA Server’ınızı yapılandırabileceÄŸini, monitör edebileceÄŸini belirledikten sonra istediÄŸiniz gibi yetkilendirmeleri gerçekleÅŸtirebilirsiniz. Peki, bu yönetimsel yetkilendirmeleri, rolleri ve izinleri vermeden önce neleri göz önünde bulundurmalısınız? Teker teker inceleyelim.

Yönetimsel Roller

Ağınızda olan her programda olduÄŸu gibi ISA Server üzerinde yetkilendirme yaparken ISA Server yöneticilerinin rollerini, neler yapacaklarını belirlemeli ve buna göre yetkilendirmeleri yapmalısınız. ISA Server bu iÅŸlemi basitleÅŸtirmek için yönetimsel rolleri kullanır. Yönetimsel rolleri kullanarak ISA Server yöneticilerinize birbirinden bağımsız, ön tanımlı, belirli bir grup görevleri gerçekleÅŸtirecek ÅŸekilde yetkilendirebilirsiniz. ÖrneÄŸin bir kullanıcıya ISA Server Basic Monitoring rolüne göre yetki verirseniz ISA Server Full Administrator rolünün yetkisinde olan görevleri gerçekleÅŸtiremez.

AÅŸağıda bulunan tabloda ISA Server Standard Edition’da bulunan rolleri görebilirsiniz.

Åžekil-1

AÅŸağıda bulunan tabloda ISA Server Enterprise Edition’da bulunan rolleri görebilirsiniz.

Åžekil-2

ISA Server yönetimi yapacak kullanıcılar herhangi bir Windows kullanıcısı olabilir. Özel ayrıcalıklara ya da Windows izinlerine ihtiyaç yoktur. Bu durumun tek bir istisnası vardır; ISA Server performans sayaçlarını inceleyecek, perfmon kullanacak ya da ISA Server dashboard kullanacak kiÅŸiler Windows Server 2003 Performance Monitor Users grup üyesi olmak zorundadır.

ISA Server Extended Monitoring izinlerinin gizli yapılandırma bilgileri de olmak üzere tüm yapılandırmayı import ve export edebileceÄŸini de belirtmek istiyorum. Bu gizli yapılandırma bilgilerini decrypt edebilecekleri anlamına gelmektedir.

ISa Server’ın bulunduÄŸu bilgisayar üzerinde admin yetkileri olan bir kullanıcıya ISA Server Array Administrator ya da ISA Server Enterprise Administrator yetkisi otomatik olarak verilmez. ISA Server standart Edition’da yetkilendirme yapabilmek için ISA Server Management konsolu içerisinde sunucu adınızı seçin, Tasks sekmesinde Assign Administrative Roles komutunu verin. Karşınıza gelen pencerede Assign Roles sekmesinde yetki vermek istediÄŸiniz kullanıcı ya da grupları seçin ve ardından istediÄŸiniz rolden birini verebilirsiniz.

Åžekil-3

Kullanıcı Kimlik Bilgileri

Kullanıcı bilgilerinizin gerektiÄŸi durumlarda güçlü ve karmaşık parolalar kullanın. Bir parola ne kadar karmaşıksa yetkisiz eriÅŸimi engellemek için o kadar verimlidir. Güçlü bir parola kullanıcı adının tamamı ya da bir kısmını içermemeli, 10 karakter olmalı, büyük ve küçük harf içermeli, rakam içermeli ve (@!,$) gibi semboller kullanılmalıdır.

Ä°zinler

ISA Server yöneticilerine gerekli izinleri verirken gereken en az izni verme ilkesini uygulamanızı öneririm. Kullanıcıya yapması gereken görevleri gerçekleÅŸtirmek için gereken izin ne ise onu atayın, bu ÅŸekilde kullanıcı hesabı yetkisiz kiÅŸilerin kontrolüne geçse dahi yetkisi dışında zarara yol açmayacaktır. Bu noktada aynı sebeplerden Administrator grubunuzun üye sayısını da en azda tutmanız çok önemlidir çünkü Administrator grubu ISa Server Full Administrator rolüne göre yetkilendirilir. ISA Server’a belirli bir görevi gerçekleÅŸtirmek için oturum açmanız gerektiÄŸinde aynı ÅŸekilde o görevin gerektirdiÄŸi yetkiye uygun kullanıcı kullanın. ÖrneÄŸin logları izlemek için ISA Server Full Administrator yetkisine sahip bir kullanıcı ile oturum açmayın.

Guest hesabını ISA Server üzerinde hiçbir ÅŸekilde etkinleÅŸtirmeyin. ISA Server guest hesabını Authenticated Users seti içerisinde deÄŸerlendirir. Ä°ÅŸletim sistemi kullanıcı hesabı kimlik bilgilerini doÄŸrulayamazsa o hesabı guest olarak kabul eder ve guest hesabına tanınmış yetkiler doÄŸrultusunda izin verir. EÄŸer yanlışlıkla guest hesabına fazla izin verilmiÅŸ ya da üyelik tanınmışsa bu bir güvenlik riski oluÅŸturacaktır.

Bir ISA Server yöneticisinin izinlerini kaldırmanız gerektiÄŸinde; ISA Server üzerinde o kullanıcı hesabını silin, Configuration Storage Server üzerinde Active Directory Application Mode (ADAM)nesnelerini inceleyin ve izinlerini kaldırdığınız kullanıcı hesabının sahip olduÄŸu nesnelerin sahipliÄŸin alın.

SALDIRI OLASILIKLARINI ve ALANINI DARALTMAK

BaÅŸlığı okuduÄŸumuzda çok net bir anlam elde edemeyebiliriz, bu neden örneklemeye çalışmamız daha doÄŸru olur. Aslında ISA Server’ımızı güçlendirmek için ÅŸimdiye kadar anlattıklarımız ya da uyguladıklarımız hali hazırda saldırı olasılıklarını ve alanını daraltmaktadır. DüÅŸünün ki evimizin kapısını ardına kadar açık bıraktık, bu noktada çok cazip bir hedef halini alacaktır. Sinemalarda izlediÄŸimiz meÅŸhur 300 filmini hatırlayalım, savaÅŸ alanını bir geçitle sınırlayıp düÅŸmanlarının tüm güçleriyle saldırmalarını engellemiÅŸlerdi. Ä°ÅŸte bu noktada aÅŸağıda belirtilen iÅŸlemlerle saldırı olasılıklarını ve alanını daraltabiliriz.

ü Gereksiz uygulamaları ya da servisleri devre dışı bırakın. ÖrneÄŸin artık neredeyse kullanılmayan telnet servisiyle eriÅŸim kapalı olsun.

ü Kullanmadığınız ISA Server özelliklerini devre dışı bırakın. ÖrneÄŸin cache özelliÄŸini kullanmıyorsanız, açmayın. VPN iÅŸlevini kullanmıyorsanız VPN istemci eriÅŸimini kapatın.

ü Ağınızı yönetirken kritik öneme sahip olmayan servisleri ISA System Policy kullanarak kapatın.

ü ISA System Policy kurallarını sadece gerekli olan aÄŸ nesnelerine uygulayın. ÖrneÄŸin Active Directory sistem ayarı varsayılan olarak etkindir ve tüm internal network için uygulanır. Bu sistem kuralını sadece gerekli olan aÄŸ için etkinleÅŸtirin.

a) ISA Server Özelliklerini Devre Dışı Bırakmak

Ağınızda ihtiyaç duyduÄŸunuz gereksinimlere göre ISA Server’ın sunmuÅŸ olduÄŸu çeÅŸitli özellikleri kullanmanız gerekmeyebilir. Ä°htiyaçlarınızı dikkatlice gözden geçirmelisiniz ve VPN istemci eriÅŸimi, Cache ve Add-in’leri bu ihtiyaçlara göre yapılandırmalısınız.

i. VPN Ä°stemci EriÅŸimi

VPN eriÅŸimi varsayılan olarak devre dışıdır. Bu aynı zamanda Allow VPN Client Traffic to ISA Server isimli ilgili sistem kuralının da devre dışı olduÄŸu anlamına gelir. VPN istemci eriÅŸimi devre dışı olsa da VPN Clients to Internal Network isimli varsayılan sistem kuralı etkindir. VPN Ä°stemci EriÅŸimi etkinleÅŸtirilmiÅŸse ancak gerekli deÄŸilse ÅŸu ÅŸekilde kapatılabilir; ISA Server Management konsolunu açın ve Virtual Private Networks’ü seçin. VPN Clients sekmesine geçin ve Configure VPN Access komutunu verin. Burada gereksiniminize göre ayarlamanızı gerçekleÅŸtirin.

Åžekil-4

ii. Caching

Caching özelliÄŸi varsayılan olarak devre dışı bırakılmıştır. Bu Scheduled Content Download gibi bağıntılı cache görevlerinin de devre dışı olduÄŸu anlamına gelir. Caching özelliÄŸini devre dışı bırakmak için; ISA Server Management > Sunucu Adı > Configuration > Cache bölümüne gelin ve Disable Caching komutunu verin.

Åžekil-5

iii. Add-Ins

ISA Server kurduÄŸunuzda uygulama ve web filtreleri içeren bir takım eklenti de beraberinde yüklenir. Ä°sterseniz ayrıca 3rd party üreticiler tarafından hazırlanmış eklentileri de sisteminizde kullanabilirsiniz, bu noktada dikkat edilmesi gereken hususlar;

ü Ä°htiyaç duymadığınız uygulama ve web filtrelerini yüklemeyin.

ü Güvenilmeyen bir kaynak tarafından hazırlanmış eklentileri asla yüklemeyin.

ü Eklentiyle iliÅŸkili olan DLL’leri güvenli bir kitaplık altına, örneÄŸin %Program Files%Microsoft ISA Server, kaydedin. Daha sonra gerekli olan NTFS izinlerini yapılandırın.

ü Kullanmadığınız uygulama ve web filtrelerini devre dışı bırakın.

Eklentileri devre dışı bırakmak için; ISA Server Management > Sunucu Adı > Configuration > Add-ins bölümüne gelin devre dışı bırakmak istediÄŸiniz uygulama ya da web filtresini seçtikten sonra Disable Selected Filters komutunu verin.

b) System Policy

ISa Server aÄŸ altyapısının uygun ÅŸekilde çalışabilmesine olanak saÄŸlamak için genel olarak kullanılan servislere izin veren varsayılan bir system policy içerir. Güvenlik açısından bakacak olursak kesinlikle önerilir ki ihtiyaç duymadığınız aÄŸ hizmetlerini kapatmalısınız. Kurulum bittikten sonra varsayılan system policy ayarlarını kontrol edin ve gerekli olmayan servisleri kapatın. Bu hizmetleri genel olarak incelemek gerekirse;

i. AÄŸ Hizmetleri

ISA Server yüklediÄŸinizde temel aÄŸ hizmetleri etkin halde gelir. Kurulum tamamlandığında ISA Server yerel ağınızda bulunan DNS serverlara ya da Time serverlara eriÅŸim saÄŸlayabilir. AÄŸ hizmetlerini kullanılacak aÄŸ bölümüne göre yapılandırmanız önerilir, örneÄŸin yerel ağınızda DHCP kullanmıyorsanız ancak DMZ için DHCP kullanıyorsanız yerel aÄŸ için DHCP hizmetini devre dışı bırakın. Ayrıca system policy kurallarını belirli bir grup bilgisiyar içinde etkinleÅŸtirebilirsiniz. AÅŸağıda bulunan tablo aÄŸ hizmetlerine uygulanan system policy ayarlarını göstermektedir.

Åžekil-6

System policy kurallarını düzenlemek için; ISA Server Management > Sunucu Adı > Firewall Policy > Tasks > Edit System Policy komutunu uygulayabilirsiniz.

Åžekil-7

ii. Kimlik DoÄŸrulama hizmetleri

ISA Server ana özelliklerinden bir tanesi de güvenlik duvarı kurallarını belirli bir kullanıcı ya da bilgisayar grubuna uygulayabilmesidir. Bunu yapabilmesi için kimlik doÄŸrulaması yapabilen sunucularla iletiÅŸim kurabilmesi gerekmektedir. Bu sebeple varsayılan olarak ISA Server yerel aÄŸda bulunan Active Directory sunucularıyla (Windows authentication için) ve RADIUS sunucularıyla iletiÅŸim kurabilir. AÅŸağıda bulunan tablo kimlik doÄŸrulama hizmetlerine uygulanan system policy kurallarını göstermektedir. Tüm kimlik doÄŸrulama hizmetlerini yapılandırmak iin ISA Server Management > Sunucu Adı > Firewall Policy > Tasks > Edit System Policy > Authentication Services yolunu kullanabilirsiniz.

Åžekil-8

iii. DCOM

DCOM protokolünü kullanmanız gerekiyorsa, örneÄŸin ISA Server’ın uzaktan yönetimi için, Enforce Strict RPC Compliance system policy kuralının etkin olmadığına emin olun. Bu kuralı devre dışı bırakmak için ISA Server Management > Sunucu Adı > Firewall Policy > Tasks > Edit System Policy > Authentication Services > Active Directory altında ilgili kuralın iÅŸaretini kaldırın.

Åžekil-9

DCOM sıklıkla baÅŸta uzaktan yönetim ve auto-enrollment olmak üzere pek çok hizmet için gereklidir.

iv. Uzaktan Yönetim

ISA Server’ınızı uzaktan yönetmek isteyebilirsiniz. Dikkat edilmesi gereken nokta kimlerin ya da hangi bilgisayarların sunucunuzu uzaktan yönetip, denetleyebileceÄŸine karar vermektir. AÅŸağıda bulunan tablo konu ile ilgili olarak yapılandırılması gereken system policy kurallarını göstermektedir.

Åžekil-10

Varsayılan olarak ISA Server’ın uzaktan yönetimi için gerekli kurallar etkindir, yani izin verilmektedir. ISA Server uzaktan MMC konsolu ile ya da Terminal Services ile uzaktan yönetilebilir.

Varsayılan olarak bu kurallar ön tanımlı Remote Management Computers seti için geçerlidir. ISA Server’ı yüklediÄŸinizde bu bilgisayar seti boÅŸ olarak yaratılır. Uzaktan yönetim yapılacak bilgisayarlar bu set içerisine dahil edilerek etkinleÅŸtirilebilir. Bu seti sadece belirli IP adreslerine sahip bilgisayar için de düzenleyebilirsiniz. Bunun için; ISA Server Management > Sunucu Adı > Firewall Policy > Toolbox > Network Objects > Computer Sets > Remote Management Computers üzerinde deÄŸiÅŸiklik yapabilirsiniz.

Åžimdiye kadar saydıklarımızın yanı sıra Remote Monitoring, Logging, Diagnostic Services gibi diÄŸer system policy kuralları dikkatlice gözden geçirilmeli, sistem ve aÄŸ gereksinimlerimiz belirlenmeli ve buna uygun olarak ihtiyaç duyulan hizmetler etkinleÅŸtirilirken ihtiyaç dışı hizmetler kesinlikle kapatılmalıdır.

Åžimdiye kadar yaptıklarımızı gözden geçirecek olursak,

- Windows ve ISA güncelleÅŸtirmelerini gerçekleÅŸtirdik

- ISA Server’ımıza fiziksel eriÅŸimi engelledik

- ISA Server’ı ihtiyaca göre domain içerisinde konumlandırdık

- Windows ve aÄŸ altyapımızı güçlendirdik

- ISA Server üzerindeki sunucu rollerini, kullanıcı grup ve hesaplarını ve bunlara baÄŸlı olan izinleri yapılandırdık

- Olası saldırı olasılıklarını ve alanını daralttık.

ISA Server’ımızı güçlendirmek için son adım olarak göreceÄŸimiz konu LockDown Kipi. Açıkçası bu konu oldukça detaylı ve ÅŸimdiye dek gördüklerimizden farklılık arz ettiÄŸi için ayrı bir makalede incelenmeyi gerektiriyor.

Bu konuyla ilgili sorularınızı http://mshowto.org/forum linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

ISA Server 2004 Security Hardening Guide