ISA Server

ISA SERVER’I TANIMAK


-ISA Server’ın özelliklerini açıklamak.

-Caching, Firewall özelliklerini açıklamak.

I. GİRİŞ

ISA (Internet Security and Acceleration) Server 2000, özellikle
Internet’e erişim için kendi networklerini genişleten şirketler için
geliştirilmiştir. ISA Server, caching (ön belleğe alma) özelliğiyle
özellikle kullanıcıların Web erişimini hızlandırır. Bunun dışında ISA
Server, şirketin network kaynaklarını, network dışından gelecek
yetkilendirilmemiş kullanıcılara karşı korumak için firewall görevi
üstlenir.

A. ISA SERVER SÜRÜMLERI

ISA Server, ölçeğe göre iki ayrı sürüm olarak pazara sürülmüştür:

-ISA Server Standard Edition

-ISA Server Enterprise Edition

Standart sürüm, küçük şirketler için firewall ve Web caching hizmetleri sağlar.

Enterprise sürüm ise, standart sürümün özelliklerinin yanı sıra,
özellikle daha fazla Internet trafiğini yönetmek ve performans sağlamak
için geliştirilmiş bir üründür.


B. ISA SERVER’IN SAĞLADIĞI ŞEYLER

ISA Server şirketlere şu yararları sağlar:

• Hız (acceleration)

• Güvenlik (security)

• Yönetim

• Genişleme


ISA Server, caching olanağıyla Internet üzerindeki network trafiğini
azaltır. Değişik katmanlarda network trafiğini izleyerek güvenliği
sağlar. Güvenliği sağlamak için gelen ve giden network trafiğine filtre
konur.

ISA Server, güvenlik ve caching özelliklerinin yanı sıra merkezi bir yönetim ve şirket ilkelerinin geliştirilmesini sağlar.


C. KURULUM MODLARI

ISA Server değişik modlarda kurulur:

• Cache mod

• Firewall mod

• Integrated mod


Cache mode Web erişimi hızlandıran bir moddur. Firewall ise güvenlik
sağlar. Integrated modda ise her iki mod bir araya getirilebilir.
Genellikle her iki mod bu Integrated mod ile bir araya getirilerek
kolay yönetim sağlanır.


II. CACHİNG (ÖN BELLEĞE ALMAK)

Caching erişilen Web nesnelerinin ön bellekte tutulmasıyla network
performansının artırılmasını sağlar. Caching işlemi Intranet ve
Internet için kullanılabilir.

ISA Server değişik caching işlemlerini destekler:

• Forward caching.

• Reverse caching.

• Distributed caching.

Forward caching işlemi iç istemcilerin Internet üzerindeki adreslere
erişmesini hızlandırır. Sık istenen nesneler merkezi bir ön bellekte
tutulur ve diğer istemcilerin buradan erişmesi sağlanır.

Reverse caching işlemi ise, dış istemcilerin iç Web server üzerindeki
kaynaklara erişmesini sağlar. Distributed caching işlemi ise birden çok
ISA Server arasında yük dengelemesini sağlar.

III. FİREWALL

Firewall, donanım, yazılım ya da her ikisinin bileşimi olarak
düzenlenen güvenlik sistemleridir. Firewall’lar network üzerindeki
paketleri filtreleyerek özel networkleri izinsiz kullanıcıların
erişiminden korur. Değişik türde firewall tasarımları vardır. Buların
içinde three-homed firewall ya da back-to-back firewall gibi
düzenlemeler vardır.

Firewall’lar iki amaca hizmet ederler:

Networke giren ve networkten çıkan bütün trafiği kontrol eder ve
izinsiz kullanıcıları engellerler. Bunun dışında şirket için güvenlik
ilkesi uygularlar.


ISA Server network trafiğinin kontrolü için şu işlemleri yapar:

• IP Paketlerinin Filtrelenmesi

• Uygulama Filtreleleri

• Kötü Niyetli Kişilerin Bulunması



Paket filtreleme network paketlerinin özelliklerine göre yapılır. Uygulama filtereleri ise belli bir tür veriye göre yapılır.


KURULUM

-ISA Server’ı kurmak.

-ISA Server Client’ı kurmak.



I. PLANLAMAK

Bu konuda ISA Server’ın planlanması ve dağıtılmasıyla ilgili konular
yer almaktadır. Aşağıdaki tabloda ISA Server kurulumunda ve dağıtımında
göz önünde bulundurulacak konular yer almaktadır:

Konu Açıklama

Gereksinim duyulan bilgisayar sayısı Donanım yapılandırması ve Internet bağlantısı.

Hangi ISA Server özelliklerine gereksinim duyacağız? Belli network
özelliklerini karşılamak için belli ISA Server özelliklerini seçmek.

Kullanıcı gereksinimleri nelerdir? Kullanıcıların gereksinim duydukları uygulamaları ve servisleri belirlemek.

Var olan network üzerinde yeniden yapılandırma gerekecek mi? ISA Server’ın var olan network ile olan ilişkisini belirleyin.



A. KAPASİTE PLANLAMASI

Performans bakımından iyi sonuçlar almak için ISA Server donanımını ve
Internet bağlantısını tahmin edilen yüke göre planlamak gerekir.


Minimum Gereksinim:

ISA Server’ı kullanmak için gerekenler:

-300 MHz (MHz) ya da daha yüksek bir Pentium II-compatible CPU.

-Microsoft Windows 2000 Server Service Pack 1 ya da daha yenisi,
Windows 2000 Advanced Server Service Pack 1 ya da daha yenisi Windows
2000 Datacenter Server.

-256 MB RAM

-20 MB hard-disk space

-Windows 2000 network adapter

-Local hard-disk üzerinde bri NTFS disk bölümü (partition)



Uzaktan Yönetim Gereksinimleri:

Uzaktan yapılacak ISA Server yönetimi için yalnızca ISA Management’i
kurmanız yeterlidir. Bu program Windows 2000 Professional ya da Windows
2000 Server üzerinde çalışabilir.

Ayrıca ISA Server’ı çalıştıran bilgisayar üzerinde Terminal
Servislerini Remote Administration modunda kurabilirsiniz. Bu durumda
diğer bir bilgisayara ISA Management araçlarını yüklemek zorunda
kalmazsınız. Bunun yerine ISA Server’ı yönetmek için Terminal Services
oturumunu kullanırsınız.

Forward Caching Gereksinimleri:

ISA Server bir forward caching server olarak kullanılabilir. Forward
caching server, sık erişilen Internet nesnelerinin merkezi olarak
saklanmasını (cache) sağlar. Bu durumda kaç tane Web tarayıcısının
Internet’e erişeceğini belirleyin.

Aşağıdaki bulunan yazıda şirket içindeki kullanıcıların Internet’e
erişimini en şekilde sağlamak için gereken donanım açıklanmaktadır:

Kullanıcı Sayısı ISA Server Bilgisayarı RAM Disk Alanı

-500 Tek bir Pentium II Bilgisayar 256 2-4 Gigabytes (GB)

500 – 1,000 Tek bir Pentium III ve 500 MHz

ya da daha hızlı bilgisayar. 256 10 GB

1,000 - İki tane Pentium III ve 500 MHz

ya da daha hızlı bilgisayar. 256 10 GB



B. ISA SERVER’IN ÖZELLİKLERİNİ SEÇMEK

ISA Server, firewall ve caching özellikleriyle kurulabilir. Yalnızca
firewall ya da caching özellikleri kurulabilir. Kuruluş sırasında bu
modlar seçilebilir:

-firewall,

-cache

-ya da integrated.


Firewall modunda network iletişimini kurallarla (rules) yapılandırarak
korumak söz konusudur. Cache mod ise network performansını artırmayı
amaçlar.

Integrated modda ise bütün cache ve firewall özellikleri
kullanılabilir. Seçilen moda göre farklı özellikler seçilebilir.
Aşağıdaki tablodaki özellikler firewall ve cache modları için
geçerlidir. Integrted modda ise bütün özellikler kullanılabilir:

Özellik Firewall Cache

Access policy Yes Yes (HTTP ve HTTPS protokolları)

Application filters Yes No

Cache configuration No Yes

Firewall and SecureNAT client support Yes No

Packet filtering Yes No

Real-time monitoring Yes Yes

Reports Yes Yes

Server publishing Yes No

Virtual private networking Yes No

Web filters Yes Yes

Web publishing Yes Yes

Web Proxy client support Yes Yes



C. İSTEMCİ GEREKSİNİMLERİ

ISA Server aşağıdaki türde istemcileri destekler:

-Web Proxy clients: Bir Web Proxy istemcisi isteğini doğrudan ISA
Server’a gönderir. Ancak Internet erişimi tarayıcıyla sınırlıdır. Web
tarayıcısının Web Proxy olarak yapılandırılması gerekir.

-SecureNAT clients: Secure network address translation (SecureNAT)
istemcileri ise güvenlik ve caching sağlarlar, ancak kullanıcı düzeyli
authentication işlemine izin vermezler. Bir SecureNAT istemcisini
yapılandırmak için istemci bilgisayarda ISA Server’ın IP adresi default
gateway olarak düzenlenir.

-Firewall clients. Firewall istemcileri ise kullanıcı bazında
bağlantıya sahip olurlar. a Firewall client yapılandırmak için Firewall
client programının istemci bilgisayar üzerine kurulması gerekir. ISA
Server Firewall client programı yalnızca Microsoft Windows Millennium
Edition, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT
4.0 ve Windows 2000 bilgisayarlara yüklenir.



II. KURULUM

ISA Server CD’sinin takılmasıyla başlatılan kurulum aşamalarında şunlar göz önünde bulundurulur:

A. KURULUM MODUNUN SEÇİLMESİ

ISA Server kurulumuna başlamak için ISA Server CD’si bilgisyara
takılır. Ardından Continue ile kuruluma başlanır. Lisans anlaşmasının
ardından kurulum şekilleri seçilir:


-Typical Installation

-Full Installation

-Custom Installation


Yaygın olarak kullanılan ISA Server bileşenlerini kurmak için Typical kurulum seçilir.

Ardından kurulum modu seçilir:

-firewall,

-cache

-ya da integrated.

Eğer ISA Server’ı cache modda ya da Integrated modda kuracaksanız,
kurulum programı cache için yerin düzenlendiği bir iletişim kutusunu
kullanır. Bu işlem için NTFS ve yeterince yer olan bir disk seçilir.

Varsayılan cache büyüklüğü 100 MB’dır. Minimum cache büyüklüğü ise 5 MB dir.


B. LAT YAPILANDIRMASI

LAT (Local Address Table), iç IP adreslerinin bir tablosudur. ISA
Server’ı firewall modda ya da Integrated modda kurulmuşsa, kurulum
sırasında LAT’ı yapılandırabilirsiniz. ISA Server, LAT’ı şirket
içindeki iç IP adreslerini tanımlamak için kullanır. Böylece ISA
Server, LAT’ı kullanarak iç (internal) network içindeki bilgisayarların
dış network üzerindeki bilgisayarlarla iletişim kurmasını sağlar.



Kurulum sırasında LAT’ı yapılandırmak için:

1. Kurulum sırasında Table’ı tıklayın.

2. Özel IP adresi aralığını girmek için Add address ranges based on the
Windows 2000 Routing Table onay kutusunu seçin. Ardından iç (internal)
network için olan netwotk kartı için olan onay kutusunu da işaretleyin.


3. Internal IP ranges kutusunda, IP adres aralıklarının listesini gözden geçirin ve gerekli düzeltmeleri yapın.


C. ISA CLİENT

ISA Server, daha önce de bahsettiğimiz gibi üç tür istemciyi (clients) destekler:

-Web Proxy clients

-SecureNAT clients

-Firewall clients

Hangi tür istemci kullanımına nasıl karar vereceğiz?

Yalnızca Web isteklerinin performansını artırmak için Web Proxy istemcisi kullanılır.

İstemci yazılımına gerek duyulmadan ISA Server’a erişmek için SecureNAT
istemcileri kullanılır. Ancak şirketlerde daha çok Firewall istemcileri
kullanılır. Çünkü Firewall istemcileri Internet erişiminin yalnızca
kimlik denetim yapılmış (authenticated) kullanıcılar tarafından
yapılmasına izin verir.


Ayrıca Firewall istemciler, kullanıcı bazında ilke (policy) düzenlemesinin yapılmasını sağlar.

Firewall Client Yazılımının Kurulması

ISA Server kurulumunun ardından MSPInt adlı bir dizin yaratılarak istemcinin buradan setup.exe programıyla kurulması sağlanır.

\\\\Server\\MSPInt dizinine geçin.


Buradaki Server, ISA Server’ın kurulduğu bilgisayarın adıdır.

Ardından Setup.exe programıyla istemci yazılımı kurulur.

D. MİCROSOFT PROXY SERVER 2.0’DAN YÜKSELTMEK

ISA Server Microsoft Proxy Server 2.0’dan full geçişi destekler. Diğer
bir deyişle Proxy Server 2.0 kuralları (rules), network düzenlemeleri
ve caching yapılandırması aynen benimsenir.

INTERNET ERİŞİMİNİ GÜVENLİ HALE GETİRMEK

-Policy ve Rule düzenlemelerini açıklamak.

-Policy oluşturmak.



I. ACCESS POLICY VE RULE

ISA Server, iç networkünüzü Internet’e bağlar. Ancak şirket içinden
Internet’e erişim için verilen izin düzenlenmesi gerekir. Bu
düzenlemeler Access Policy ve ilgili kuralların (rule) oluşturulmasıyla
sağlanır.

ISA Server üzerinde düzenlenen Access Policy ve ilgili kurallar (rule),
kullanıcıların belli bir protokole erişmesi için izin verilmesini ya da
engellenmesini (deny) sağlar.


İPUCU: ISA Server kurulumunun ardından istemcilerin Internet erişimini
sağlamak için bir kural (rule) tanımlayarak http protokolünü kullanıma
açmanız gerekir.


A. ACCESS POLİCY BİLEŞENLERİ

Bir access policy (erişim ilkesi) şu bileşenlerden oluşur:

Protokol Kuralları

ISA Server istemcilerinin iç ve dış network ile iletişim kurmak için kullanabileceği protokolleri tanımlar.

Site ve İçerik Kuralları

İzin verilen ya da engellenen Web proxy istemcilerinin erişebileceği site ve içerikleri tanımlar.


Policy Elemanları

Kuralların bir kısmı olarak kullanılacak ayarlamaları tanımlar. İlkeler
(policy) belli bir zamanlamayı ya da belli bir içeriği tanımlar.



B. BİR ERİŞİM İLKESİ (ACCESS POLİCY) PLANLAMAK

Bir erişim ilkesini oluşturmadan önce şirketinizin gereksinimlerini
karşılayacak olan strateji geliştirmenizde yarar vardır. Bir erişim
ilkesi geliştirmek için şu kriterleri göz önünde bulundurabilirsiniz:

-Şirketin gereksinimleri.

-Gerek duyulan kurallar.

-Kuralları tanımlamak için gereken ilkeler (policy).



C. PROTOKOL KURALLARI OLUŞTURMAK

Protokol kuralları, istemcilerin Internet’e erişmek için kullandıkları protokollardır. Örneğin http gibi.

Bir protokol kuralı yaratmak için şu adımları izleyin:

1. ISA Management programını başlatın.

2. Konsol ağacında Access Policy’ı genişletin.

3. Protocol Rules’ı ve ardından Create a Protocol Rule’ı tıklayın.

4. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın.

5. Next’i tıklayın ve Protocols sayfasındaki seçeneklerden birisini tıklayın.



Seçenekler:

All IP traffic: Firewall istemciler için bütün IP trafiğine izin verilmesi ya da engellenmesi.

Selected protocols: Kuralın uygulanacağı bütün protkoller.

All IP traffic except selected: Kuralların uygulanmayacağı bütün protokoller.