Forefront Threat Management Gateway TMG Üzerinde Katı Proxy Filter

tarafından 22 Temmuz 2011 tarihinde Microsoft kategorisine yazıldı.


 


 


Bu makalemde sizlerle Forefront Threat Management Gateway (TMG) üzerinde katı Proxy http,https filter işlemini paylaşacağım. Şirket yapınızda proxy olarak çeşitli “Linux, Tmg, Isa” vb. yazılım veya Utm donanımlar kullanıyor olabilirsiniz. Proxy olarak kullandığınızda hepsinin aslında mantığı aynıdır. Kullanıcının hangi siteye ne zaman girmiş, ne kadar zaman harcamız vs… TMG’de bu işlemi gayet başarılı bir şekilde yapmaktadır.


 


Şöyle bir senaryo belirleyelim. Bir firmada IT Admin’siniz, bu firmanın yönetimi bir karar alarak sizden tüm kullanıcıların internet erişimlerinin full olarak erişime kapatılmasını ve sadece departman Müdürlerinin belirleyeceği sitelere giriş izinlerinin olması konusunda sizden çalışma istedi.


 


Ayrıca yapınız büyük, Muhasebe, Satış, Pazarlama gibi departmanlarınız ve bu departmana bağlı kullanıcılarınız mevcut. Muhasebenin kullanıcılarının girdiği siteye Satış departmanı, Satışın girdiği sitelere’de Muhasebe departmanı kullanıcılarının giremesin gibi talepler geldi. Bu işlemleri TMG üzerinde nasıl konfigure edeceğimize bakalım.


 


Öncelikle yapımdan bahsetmek istiyorum.


 


Windows 2008r2 Enterprise Server Kurulu “Update İşlemleri Yapılmış”. Bu sunucunun üzerinde Forefront Threat Management Gateway (TMG) kurulu ve yapılandırmaya hazır durumda.


 


Test ortamı olduğu için ben Workgroup yapıma 2 Grup tanımladım. Siz bu işlemi Active Directory ortamınızda daha rahat şekilde yapabilirsiniz.


 


Grup 1                                                                                Grup 2


 


Grup İsmi           : Satış                                                   Grup İsmi           : Muhasebe



Grup Üyesi        : Ufuk                                                  Grup Üyesi        : Berk


 


 


 


Ufuk ve Berk kullanıcıları ilgili gruplara üye edildi.





 


image001


 


 


image002


 


 


 


Yukarıda ki işlemlerimizden sonra TMG üzerinde mutlaka yapmamız gereken bir ayar var.


TMG Management Console > Networking  > Internalın properties kısmına geliyoruz.


 


 


 


image003


 


 



Web Proxy sekmesine geldikten sonra Authenticationbölümüne tıklıyoruz.


 


 


 


image004


 


 


 


Require all users to authenticate kutucuğunu işaretliyoruz.  Bu işlem sayesinde kimlik doğrulama’yı aktif hale getirmiş olduk.


 


 


 


image005


 


 


 


İşlemlerimize başlayalım. Öncelikle Internet Explorer’a TMG İsim veya IP fark etmez proxy bilgisini girdim. www.cozumpark.com sitesine bağlanmaya çalıştım.


 


 


Benden bir Usernam ve Password istedi. Yukarıda ki işlem sayesinde bu ekranı aldık.


 





image006


 


 


 


Şifre bilgimi giriyorum ve okey diyorum.


 


 



image007


 


 


 


Başarlı bir şekilde giriş yapabildik.


 


 


 


image008


 


 


 


Ancak şifre ekranını Cancel ile geçmeye çalışsaydık bizim siteye erişimimizi engelleyecekti.


 


 


 


image009


 


 


 


Normal kural yapımda Authenticate olan bütün kullanıcılar sınırsız olarak internete çıkabilir durumdadır.


 


 


 


image010


 


 


 


Öncelikle Muhasebe ve Satış departmanında ki Ufuk ve Berk kullanıcılarını TM üzerine ekleyelim.


Bu işlem için TMG Management üzerinde ki Toolbox altında Users kısmına gelip, New butonuna tıklıyoruz.


 


 


 


image011


 


 


 


Departman ismini belirtiyoruz. Next ile sonra ki adıma geçiyoruz.


 


 


 


image012


 


 


 


Kullanıcımızı ekliyoruz.


 


 



image013


 


 


 


image014


 


 


 


Muhasebe grubumuzu ekledik.


 


 


 


image015


 


 



Aynı şekilde Satış grubumuzuda oluşturup, Ufuk kullanıcısını gruba ekledik.


 


 


 


image016


 


 



Bu işlemlerden sonra Domain Name Sets oluşturmamız gerekiyor. Toolbox > Network Objects > New butonuna tıklayıp, Domain Name Set kısmına geliyoruz.


 


 


 


image017


 


 


 


Yasaklayacağımız Domain uzantılarını belirtiyoruz. Belirtirken *.com,*.com.tr gibi eklememiz gerekiyor. Ben 4 adet Domain uzantısı ekledim. Siz daha da sert bir kural olması için bütün uzantıları ekleyebilirsiniz.


 


 


 


image018


 


 


 


Şimdi bir kural yazalım ve kontrol edelim.


 


Firewall Policy > Sağ Klik > New > Access Rule kısmına tıklıyoruz.


 


 


 


image019


 


 


 


Kural ismimizi belirtip, sonra ki adıma geçiyoruz.


 


 


 


image020


 


 


 


Bu işlemimiz engelleme amaçlı olduğundan Deny kısmını seçip sonra ki adıma geçiyoruz.


 


 



image021


 


 


 


Sources > Internal seçiyoruz.


 


 


 


image022


 


 


 


Destinations kısmında oluşturduğumuz Domain Name Set’i belirtiyoruz. Yani Yasaklı Domainler.


 


 


 


image023


 


 


 


image024


 


 



Bütün kullanıcıların etkilenmesi için Set Users kısmından All Users seçili bir şekilde kuralımı oluşturuyorum.


 


 


 


image025


 


 


 


image026


 


 


 


Bu kuralımız Proxy ile internete çıkan tüm şirket çalışanlarımızı etkileyecektir.


 


Kuralımız çalışıyormu test edelim. Ufuk kullanıcısı ile google.com’a bağlanmaya çalışacağım.


Tmg başarılı bir şekilde .com uzantısını engelledi.


 


 


 


image027


 


 



Loglarımızı kontrol edelim.


 


 


 


image028


 


 


 


TMG loglarında Rule,Request,Protokol ve User bilgilerini görüyoruz.


 


Şimdi Muhasebe ve Satış Departmanları için 2 adest URL SET oluşturmamız gerekiyor.


Toolbox > Network Objects > New > URL Set tıklıyoruz.


 


 


 


image029


 


 


 


Muhasebe İzinli URL Set’ine google.com ve CozumPark.com siteleri için izin verdim.


 


 



image030


 


 


 


Satış İzinli URL Set’ine ufuktatlidil.com ve microsoft.com siteleri için izin verdim. URL Setlerimiz oluştu.


 


 


 


image031 


 


 


 


image032


 


 


 


2 Tanede kural yazalım Satış ve Muhasebe için. Muhasebe için bir örnek kurala hemen yapalım.


 


 


 


image033


 


 


 


image034


 


 


 


image035


 


 


 


image036


 


 


 


image037


 


 


 


image038


 


 


 


image039


 


 


 


Kuralımızı özetleyelim ,


 


Rule Name         : Muhasebe İzinli Siteler
Action                  : Allow


Protocols            : HTTP , HTTPS


From / Listener                : Internal


To                          : Muhasebe İzinli “URL Setimiz”


Condition           : Muhasebe “Berk Kullanıcısı”


 


 


 


Bu kural sayesinde Muhasebe Departmanın’da çalışan Berk kullanıcısı Muhasebe İzinli URL Set’inde belirttiğimiz www.google.com ve www.cozumpark.com sitelerine erişim sağlayacak, ancak diğer .com , .com.tr , .net ve .net.tr uzantılı sitelere erişim sağlayamacaktır.


 


 


 


Satış Departmanı içinde kuralı aynı şekilde yazalım.


 


Rule Name         : Satış İzinli Siteler
Action                  : Allow


Protocols            : HTTP , HTTPS


From / Listener                : Internal


To                          : Satış İzinli “URL Setimiz”


Condition           : Satış “Ufuk Kullanıcısı”


 


 


 


image040


 


 


 


Bu kural ilede Satış Departmanın’da çalışan Ufuk kullanıcısı Satış İzinli URL Set’inde belirttiğimiz www.ufuktatlidil.com ve www.microsoft.com sitelerine erişim sağlayacak ancak diğer .com , .com.tr , .net ve .net.tr uzantılı sitelere erişim sağlayamacaktır.


 


 


 


Muhasebe kuralımızı kontrol edelim. Berk kullanıcısı google.com ve cozumpark.com adreslerine erişim sağlaycakmı görelim.


 


 


 


Şifre bilgisini giriyorum.


 


 


 


image041


 


 


 


www.google.com


 


 


 


image042


 


 


 


 


www.cozumpark.com


 


 


 


image043


 


 


 


Loglardan kontrol edelim.


Rule,Source,Request,Protocol ve User bilgilerini görebiliriz.


 


 


 


image044


 


 


 


Berk kullanıcısı ile izin verdiğimiz sitelerin dışında bir siteye girmeye çalışalım. Örnek www.ufuktatlidil.com


 


 



image045


 


 


 


Log üzerinden tekrar baktığımza www.ufuktatlidil.com adresine Berk kullanıcısının giremediğini, girişi engelleyen kuralın’da Blocked Domain Set kuralı olduğunu görüyoruz.


 


 


 


image046


 


 


 


Satış kuralımızı kontrol edelim. Ufuk kullanıcısı www.ufuktatlidil.com ve www.microsoft.com adreslerine erişim sağlaycakmı görelim.


 


Ufuk kullanıcısının Şifre bilgisini giriyorum.


 


 


 


image047


 


 


 


www.ufuktatlidil.com adresine giriş yapabildik.


 


 


 


image048


 


 


 


Logları kontrol edelim.


Rule,Source,Request,Protocol ve User bilgilerini görebiliriz.


 


 


 


image049


 


 


 


Ufuk kullanıcısı için www.cozumpark.com adresine izin vermemiştik. Bakalım giriş yapabilecek mi?


 


 



image050


 


 


 


Loglara’da bakalım.


 


 


 


image051


 


 


 


Biraz log takip işlemini’de görmüş olduk aslında J


 


 


 


Makalemizin sonuna geldik. Bir çok ISA,TMG kullanın IT Admininin ortak sorununa  yönelik bir çalışma olduğunu düşünüyorum.  Umarım faydalı olmuştur.

email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2017, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.