URL Filtering Çözümü Olarak Forefront TMG Ürününün İncelenmesi

tarafından 22 Temmuz 2011 tarihinde Microsoft kategorisine yazıldı.
 
Proxy çözümü olarak ISA 2006’yı kullanıyorsanız ISA 2010’a upgrade ettiğinizde çok güçlü bir URL Filtering ürününe de sahip olacaksınız. Ya da yeni bir URL Filtering çözümü arayışınız varsa TMG’yi mutlaka denemelisiniz.
TMG, geleneksel tüm firewall’lardaki kural dizilimlerinin ve yetkilendirmelerinin bir benzerini sunduğu yönetim ekranında, Active Directory ile de tam uyumluluk sağlayarak, URL Filtering’in yapılandırılmasını ve yönetimini oldukça kolay kılıyor.
URL Filtering ürünü tercihinde maliyet ve kolay kullanım önemli bir ölçü olduğu gibi, ürünün veri tabanındaki adres sayısı da önemli bir ölçüdür. TMG, bu konuda oldukça iddialı.

TMG,  internet erişimlerinde, filtreleme politikaları sağlayan güvenlik ürünlerine takılmaksızın internete erişim sağlayan pek çok SSL tunnel programlarını ve tool’larını da, HTTPS Inspection fonksiyonu sayesinde işe yaramaz hale getirmektedir.
Hem yapmanız gereken temel bir takım düzenlemeleri sizlere aktarmak hem de URL Filtering kullanımının esnekliğini sizlere göstermek için örnek bir yapılandırmayla incelemelerimize başlayalım.
Öncelikle, TMG sunucunuzda, registry ayarlarına giderek aşağıdaki düzenlemeyi yapmalısınız.

Bir DWORD değeri oluşturulmalı ve değeri 10 olarak atanmalıdır. (http://support.microsoft.com/kb/326040)
 

image001
 
 
Sonrasında, User Authentication tanımlamasını, Internal Properties sayfasından Web Proxy sekmesine giderek Require all users to authenticate seçeneğini disable bırakacak şekilde  yapılandırmalısınız.
 

image002
 
 
Şimdi de URL Filtering tanımı yapacağımız Web Policy ekranına geçelim.

Burada, varsayılan ayarlarla yapınıza uygun bir kurulum gerçekleştirdiğinizde, TMG’nin, kategorizasyonu çok isabetli seçilmiş bir tane Deny kuralı ile karşılaşırız. Bu kural sayesinde pek çok zararlı siteye erişim yasaklanmaktadır. İsmini 1_Erişim_Yasak olarak değiştirelim ve bu kural için Users sekmesinde tanımlanacak kullanıcılar olarak All Users ‘ı seçelim.
 

image003
 
 
Bu kuralın hemen altında, ismini 2_Yetkili_Erişim  diyeceğimiz ikinci bir kural oluşturmalı ve Users sekmesinde sadece izinli personel seçilerek full erişim tanımlanmalıdır.(Yöneticiler, IT sorumluları)
 

image004
 
 
Üçüncü kuralla devam edlim. İsmi 3_Erişim_Yasak olsun. Bu kuralı tanımlamadan önce, kuralda kullanılmak üzere yeni bir Category Set oluşturalım ve ismini Category_Block_Set olarak belirleyelim.
 
 

  image005

 

Category_Block_Set
isimli bu kategori grubuna, birinci kuralda yasaklanan kategorilere ek olarak Games, Streaming Media…  kategorilerini de ekleyelim. Sıra,3_Erişim_Yasak isimli üçüncü kuralımızı tanımlamaya geldi. Bu kuralda Users sekmesinde tanımlanacak kullanıcılar olarak All Users ‘ı, To tabında da Category_Block_Set ‘i seçelim.
 

image006
 
 
Dördüncü bir kural daha oluşturalım ve adı 4_Erişim_Yasak olsun. Burada da TMG’nin erişime izin verdiği, oysaki erişilmemesini düşündüğünüz siteler için geçerli olacak bir kuralı tanımlamış olalım.

Bunun için yeni bir URL Set oluşturacağız. İsmi URL_Block_Set olsun ve içerisine de erişilmemesi düşünülen siteleri yazacağız. (Kim bilir belki www.destekyeri.com ‘a erişimi yasaklamak istersiniz.)
<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>

Yeri gelmişken hemen belirtelim, tanımlayacak olduğunuz herhangi deny ya da permit kuralının, To kısmını hem Category Set’ler hem de URL Set’ler oluşturmamalı. Category Set’ler için bir kural, URL Set’ler için de ayrı bir kural oluşturmalısınız. Tavsiye edilen budur.
 
 

image007
 

4_Erişim_Yasak isimli bu kuralda, Users sekmesinde tanımlanacak kullanıcılar olarak All Users ‘ı, To tabında da URL_Block_Set ‘i seçelim.
 
 

image008
 

Beşinci bir kural daha oluşturalım ve adı 5_Erişim_izinli olsun. Bu kuralda da istenilen erişimler tanımlanabilir.
 
 

image009
 
 
 
Require all users to authenticate seçeneğini disable bırakacak şekilde yapılandırmalısınız demiştim. Authentication desteği olmayıp, sürekli anonymouse hesabıyla internet erişimi gerçekleştirmek isteyen uygulamalara ya da sayfalara erişim için, özel bir rule tanımı yapabilirsiniz ve bu rule’da Users sekmesinde izin vereceğiniz user’lar listesine All Users ‘ı eklersiniz.  Sorununuz kalmaz.
 
TMG’nin vekâletiyle erişimi gerçekleştirilen adreslerin kayıt altına alınması, bu erişimlerin anlık izlenebilirliği ve erişimler neticesinde karşılaşabileceğimiz virüs vakalarına karşı TMG’nin Malware Inspection özelliğini inceleyeceğiz.

Yakın bir zamana kadar, internet erişim yetkilendirmeleri sağlayan uygulamalar kullanılarak, internet erişimlerinin güvenli ve performanslı olması sağlanmaya çalışılmaktaydı. Oysa şimdi tüm internet erişimlerinin kayıt altına alınması gibi üçüncü bir vazife daha sahiplenilmeyi bekliyor.
 
İnternete erişim gerçekleştirecek makinelerin trafiğini yönetirken, bize ulaşan talepleri karşılamak ve uygulayacağımız politikaların işlevini sağlamak için, loglamanın ne kadar önemli bir işlem olduğu hepimizce aşikârdır. Bu süreci yönettimiz pek çok zaman, ihtiyacımız olanın uzunca bir sürenin erişim listesine sahip olmaktan ziyade, anlık trafiğe hakim olabilmek ve hızlı filtrelemeler tanımlayabilmek olduğunu görürüz.
 
TMG bu konuda oldukça güzel bir çözüm sunmaktadır.
 
 
image010
 

İnternet trafiğinde akan bilgilerden hangilerinin loglanmasını istiyorsanız yine o bilgileri anlık trafik izleme ekranında görebilirsiniz.
 
 

image011
 

Loglanmasını istediğiniz bilgileri etkinleştirmelisiniz..
 
 
Yönetim ekranında Logs & Report başlığı altında görülen ekranda, anlık trafik izlenmekte ve pek çok filtreleme kriteri ile size yardımcı olmaktadır.
 
 
image012
 
 
Daha pek çok çeşit filtreyi uygulayabilirsiniz. Uygulanabilecek filtre seçenekleri listesi aşağıdadır.
 
 

image013
 
 
Yazdığınız filtrelerin sonuçlarını oldukça güzel bir şekilde karşınızda bulacaksınız.
 
 
image014
 
 

image015
 

<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>
Tüm bu trafiğin kayıt altına alınmasında Microsoft’un tavsiye ettiği çözüm önerisi SQL Server’ın kullanılmasıdır. Kayıt altına alınacak trafik bilgisi çok fazla detay içerdiğinden kayıtların tutulacağı alan da büyük olmalıdır. Bu durum ilk etapta canınızı sıkabilir ama fazla alan kullanımını gidermenin en kolay yolu, SQL üzerinde tanımlanacak query’ler ile schedule silme işlemdir.

Bu konuda, TMG Kullanımında Yaşanan Sorunlar ve Çözümleri isimli makalemi inceleyeblirsiniz.
 
Gelelim virüslere karşı TMG korumasını incelemeye.

İnternet erişimi gerçekleştirilen sitelerde ya da download edilen dosyalarda bulunan virüslerin makinelerimize bulaşmasına karşı TMG koruması oldukça başarılı.

TMG, henüz kurulum aşamasında default olarak oluşturduğu kategorizasyonu çok isabetli seçilmiş bir Deny kuralı sayesinde, virüs içeren sitelerle makinelerimiz arasında perde oluyor. Bu deny kuralının To kısmını oluşturan kategorilerin isimlerine bakarsanız Malicious, Botnet ve Anonymizers’ı göreceksiniz. Güçlü bir URL veritabanına sahip olan TMG, virüs içerikli sitelerin kategorizasyonunu isabetli bir şekilde gerçekleştirdiğinden, farkında olmadan virüs içerikli bir siteye erişmeye çalıştığınızda, ilgili kural sayesinde erişiminize engel olacak ve sistemlerinizi virüslerden koruyacaktır.
 
 
TMG’nin download edilen dosyalara karşı da virüs koruması çok başarılı. TMG, download edilmek istenen dosyayı kendi üzerinde belirttiğiniz bir alana download etmeye başlatıyor, virüs taramasından geçiriyor ve sonrasında da dosya içeriği temizse size teslim ediyor.

 

image016
 

Örneğin wireshark’ı download edelim ve TMG’nin karşımıza çıkardığı ekrana bakalım:
 
 

image017
 

Görüldüğü gibi TMG kontrolu ele almış durumda. Dosya yukarıdaki ekranda belirttiğimiz alana download edilecek ve tarama sonrasında virüs bulunmazsa bize teslim edilmek üzere Download butonuna basmamız beklenecek.
 
 

image018
 

İnternet erişimlerini kontrol altında tutabilmek için, işlevi, ister bloklamak(deny) isterse de izin(permit) vermek olsun, tüm web erişim kurallarında, illa ki kaynak, hedef, kullanıcılar ve tabi ki protokol tanımları yapılmak zorundadır. Bu tanımlardan birini diğerinden önemli görmek mümkün değildir; fakat sizi hedeflediğiniz işlevin yerine gelmemesi noktasında en çok sıkıntıya sokan ve uğraştıran tanım, hedef bilgisinin oluşturulduğu aşamadır. Hedef tanımlarında size bahsedeceğim yöntemleri uygularsanız sorununuz kalmayacaktır.
<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>

Şöylece malum olmalı ki; herhangi bir deny ya da permit kuralında, To kısmında, hem Category Set’ler hem de URL Set’ler bir arada bulunmamalı. Category Set’ler için bir kural, URL Set’ler için de ayrı bir kural oluşturmalısınız. Tavsiye edilen de budur.
<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>

Oluşturacağınız URL Set’ler için örnekler vererek yolculuğumuza devam edelim.

Kullanıcılarımızın erişmesinde sakınca görmediğimiz adresler için bir beyaz liste hazırlamak istemiş olalım. Bunun için yeni bir URL Set oluşturarak konfigürasyona başlayalım.
 
 

image019    image020
 

Listemizi oluşturacak adreslerden bir tanesi www.destekyeri.com olsun.

Bu adrese erişimin hiç bir şekilde kısıtlanmaması için tanımı *.destekyeri.com/* şeklinde yapmalıyız.

Bu şekilde yapılan bir tanımlama % 99 sorunsuz çalışmanıza olanak sağlayacaktır.  % 99 dedim çünkü -örneğimiz üzerinden devam edecek olursak- bir süre sonra size gelen bir şikâyetin konusunu http://www.destekyeri.com/guvenlik.gbt adresine erişimde problem yaşandığı bilgisi oluşturabilir.

İşte bu durum canınızı sıkmasın; bu durumu, TMG’nin tanımlayacağınız bir adrese daha ihtiyacı var şeklinde yorumlamalısınız. Bu tanımı da http://www.destekyeri.com/*  şeklinde oluşturmalısınız.

image021

Dediğim gibi, tanımlayacağınız adreslerin % 99’u için *.destekyeri.com/* şeklinde bir tanım yeterli olacaktır. Sorun yaşadığınız durumlarda da  http://www.destekyeri.com/*  şeklinde bir tanım daha ekleyerek sorununuzu çözebilirsiniz. Erişimle ilgili bir daha da şikayet gelmeyecektir.

<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>
İkinci bir örnekle devam edelim. Listemize,  sertifika yüklü ve https üzerinden yayınlanmış bir siteyi eklemek isteyelim. Adresimiz https://webmail.Semerkand.com.tr olsun. Beyaz_Liste’ye *.webmail.Semerkand.com.tr/* yazdığınızda hedefinize ulaşamamış olursunuz. Bu durum, sertifikalı sitelere özeldir ve çözüm için iki farklı adres yazma alternatifiniz bulunmaktadır. Alternatifleriniz, webmail.Semerkand.com.tr:443 ya da https://webmail.Semerkand.com.tr şeklindedir.

image022
 
Yine sertifika yüklü ve https üzerinden yayınlanmış siteler,  TMG ile gelen HTTPS Inspection özelliği sayesinde bloklanabilirler. Bu durumda da bloklanan adresler içerisinden erişimine izin verilecekleri HTTPS Inspection penceresinde Destination Exception alanına eklemelisiniz.  Ayrıca bu adresler bir de Beyaz_Liste’ye eklenmek zorundadırlar.

Örneğimiz https://www.Mostar.com.tr olsun ve bu adrese yapılmak istenen erişimler, HTTPS Inspection’a takılmış ve adresin sertifikası da aşağıdaki şekildeki gibi olsun.

image023
 
Bu adres için, Exception eklerken, dikkat edilmesi gereken husus, TMG’nin, browse edilen FQDN den ziyade, web server sertifikasının “Issued To” alanına baktığını bilmektir.

HTTPS Inspection penceresinde, Exception alanında tanımlanması gereken adres *.mostar.com.tr şeklinde olacaktır. İlgili satırın sonunda ‘/’ ya da ‘*’ bulunmamalıdır.

Bu tanımı yapmak için de bir Domain Name Set oluşturulup ilgili tanımlar bu set içerisine yazılmalıdır.
 
 
image024
 
 
Bu şekilde ilgili erişim yine gerçekleşmeyecektir. Beyaz_Liste’ye https://www.Mostar.com.tr adresi için tanımlama yapılmalıdır. Bu tanımlama da ya https://www.Mostar.com.tr/* ya da www.Mostar.com.tr:443 şeklinde olmalıdır.
 

image025
 
 
Sıra geldi kategori bazlı filtrelemeler tanımladığınız halde yetkilendirmelerin tutarlı çalışmadığı durumlarda yapmanız gereken tanımlamalara. Bu konuyu ya örnekler üzerinden inceleyelim.
 
Kural diziliminde, üst tarafta bloklanan hedefler kategorisinde Streaming Media kategorisi tanımlanmış olsun. Bu kuralın altında ki başka bir kuralda da, erişim sağlanabilecek hedefler kategorisinde de News kategorisi tanımlamış olsun.
 

image026
 

Bu şekilde, üstteki kuraldan dolayı bir video paylaşım sitesi erişimi bloklanırken, alttaki kural sebebiyle de haber sitesilerine erişimler sağlanıyor olmalıdır. Ancak sorun şu ki, haber sitelerinin hemen hemen hepsi binlerce video içermekte ve bu durumda TMG’den beklentiniz haber siteleri açılsın fakat sitede bulunan videolar izlenemesin olmaktadır. Bu durumda da çözüm için izin kuralının üstüne bir deny kuralı daha ekleyerek, Content Types sekmesini aşağıdaki şekilde gösterildiği gibi düzenlemelisiniz.
 

image027   image028
 
 
Bu kural sizi hedefinize yaklaştıracaktır. Ama yine de bazı haber sitelerinin videolarına erişimi bloklamak için manuel tanımlar yapmanız gerekmektedir. Örneğin www.haberturk.com için http://video.haberturk.com/*  adresini yasaklı erişimler adresine eklemelisiniz. Ya da www.sabah.com.tr adresi için http://www.sabah.com.tr/multimedya/video/* adresini yine aynı yasaklı URL listesine eklemelisiniz. Bu adreslerin tespiti için de TMG’nin güçlü loglama fonksiyonunu kullanabilirsiniz.
image029
 
Son bölümde ise 443 harici portlardan iletişim kurulması gereken HTTPS erişimleri hakkında yapılması gereken özel bir tanımı inceleyeceğiz.
 
ISA 2004 ve ISA 2006’da bulunmayan, TMG ile birlikte gelen HTTPS Inspection fonksiyonunu incelemiş ve bazı HTTPS trafiklerinin bu fonksiyon ile bloklandığı zaman çözüm için neler yapılması gerektiğinden bahsetmiştik. HTTPS Inspection ekranında Destination Exceptions alanına ve Web Access Policy ekranında da izin verilecek adresler listesini tanımladığımız URL Set’e, ilgili HTTPS adresinin ne şekilde yazılacağını açıklamıştık.
 
Şimdi ise HTTPS üzerinden erişilecek site, default port olan 443 harici bir porttan hizmet veriyorsa ne yapılması gerektiğini inceleyeceğiz.
 
Yine örnek adresler üzerinden devam edelim. Tarayıcının adres satırına, http:\\www.destekyeri.com ya da http:\\www.destekyeri.com:80 yazılmış olması arasında bir fark yoktur.
 
Birincisinde, http protokolü ve http protokolünün kullandığı default port olan port:80 kullanılarak ilgili adrese erişim gerçekleştirilmesi talep edilmektedir.Tarayıcı da, http protokolünün default port numarası olan port:80’i bildiğinden, ayrıca port belirtmemize ihtiyaç duymamaktadır.

İkincisinde ise, port bilgisini yazarak tarayıcıya şu şekilde seslenmiş oluyoruz: Sen bilsende bilmesende, ben http protokolünün kullandığı portu yazıyorum, bunu kullan. Ama buna gerek yok çünkü tarayıcılar zaten http protokolü hakkında gerekli bilgiye sahipler.
 
Gelelim HTTPS protokolüne. Bu protokol kullanılarak hizmet veren siteler çoğunlukla default port olan 443’ü kullanmaktadırlar. Fakat bazı durumlarda ilgili site yöneticileri farklı portlardan da hizmet verecek şekilde tanımlar yapabilmektedirler. Yani, https:\\mail.destekyeri.com yerine, ki bu durum default port olan port:443’ün kullanıldığını belirtmektedir, https:\\mail.destekyeri.com:4344 gibi bir adresten hizmet verilebilmektedir. Bu durumda HTTPS protokolü üzerinden port:4344 kullanılarak bu adrese erişim gerçekleştirilecek demektir.
 
İnternet erişimlerinde farklı portlardan hizmet veren sitelere erişimler için TMG üzerinde yapılması gereken tanımlar şu şekildedir:
 
1-Bir tane custom port tanımlanmalı.
2-İlgili adrese erişimi sağlayacak kural üzerinde Protocols alanına bu port tanıtılmalı
3- Bu tanımlardan sonra ilgili adrese erişimin gerçekleştirilebilir olması gerekir ama TMG bir tanıma daha ihtiyaç duymaktadır. Bu tanım için en kolay yol, ISAtrpe isimli 1.6 MB’lık bir setup dosyası çalıştırılmalı ve bu tool açılarak ilgili https portu bu tool üzerinde tanıtılmalıdır. İlgili setup’ı internette ismini yazarak temin etmeniz mümkündür.
 
Erişecek olduğumuz adres https://mail.destekyeri.com:4344 olsun.  4344 portunu TMG’ye tanıtarak başlayalım. Aşağıdaki custom port tanımlama ekran görüntülerinde gösterildiği şekilde Port-4344 ismiyle 4344 numaralı portu TMG’ye tanıtalım.
 
 
image030
 
 
Toolbox menüsünden New ile Protocol’ü seçerek açılan pencerede bir isim verelim ve Next ile devam edelim.
 
 
image031
 

Açılan pencerede New ile portun yazılacağı pencereye ulaşıp gerekli bilgileri yazarak OK diyelim.
 
 

image032
 

Aşağıdaki sayfada oluşturduğumuz portu görerek Next ile devam edelim
 
 
image033
 

Açılan sayfada No ile devam edelim.
 
 

image034
 

image035
 
 
Birinci adım tamamlanmış oldu, User Defined altında oluşturduğumuz portu görebiliriz.
 
 
image036
 
 
Sıra, bu portu ilgili izin kuralında tanımlayacağımız ikinci adıma geldi. Bunun için de ilgili kural üzerinde çift tıklayarak kuralı konfigüre edeceğimiz ekrana ulaşıp Protocols sekmesini açalım. Aşağıdaki ekran görüntülerinde gösterildiği şekilde Port-4344’ü ilgili kuralda aktif hale getirelim.
 
 
image037
 
 
image038
 
 
İkinci adım da tamamlandı ve kural aşağıdaki gibi görünecektir.
 
 
image039
 
 
Sıra geldi üçüncü adıma. Bu adımda ISAtrpe isimli tool’u internetten download edilim ve default ayarlarla kuralım. Kurulum tamamlandıktan sonra ilgili tool’u çalıştırdığımızda aşağıdaki gibi bir ekranla karşılaşırız.
 
 
image040
 
 
Port:4344’ü ISAtrpe üzerinde tanımlayacağız. Bunun için de açılan pencerede aşağıda gösterildiği gibi gerekli alanlar doldurularak Add Tunnel Range butonuna basılır.
 
 
image041
 
 
Bu işlem TMG’nin firewall servislerini stop-start edecektir ve sonrasında da işlem tamamlanacaktır.
 
 
image042
 
 
https://mail.destekyeri.com:4344 adresine erişim gerçekleştirilebilir.
 
Bundan sonra yapılması gereken, 443 harici User Defined altında oluşturulan her portu, Web Access Policy sayfasındaki ilgili kuralda etkinleştirmek ve burada da tarif edildiği şekilde tanımlanmasını sağlamak olmalıdır.
Hoşçakalın.
 

email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2015, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.