Wordpress Free ThemesOnline TipsArticles DirectoryForeclosure HelpHouse For Sale By OwnerHouse StagingProperty Management

Windows Server 2008 R2 Advanced Firewall

| 30 Eylül 2011 | 5 Comments

Bir ağa yada bilgisayara ( bilgisayarlar topluluğuna) yapılan iletişim farklı şekillerde dizayn edilebilir.  Örneğin kaynak/hedef IP adresleri, kaynak/hedef portlar, veri paketlerinin kullandığı protokoller gibi iletişimi düzenleyebileceğimiz farklı seçeneklerimiz mevcuttur.  Bu iletişimi düzenlemeye neden ihtiyaç duyarız?  Sistemimiz koruma altına almak için, networkümüzde erişilen kaynaklara yapılacak suistimalleri önlemek için vb… sebepleri çoğaltmamız mümkündür. İşte bu sebeplerden ötürü hem iletişimi dizayn etmek hem de mevcut sistemimizi korum altına almak için firewall ( ateş duvarı yada güvenlik duvarı ) kullanırız. 

Firewall’lar donanım yada yazılım tabanlı olabilir. Donanım tabanlı olarak birçok marka bulunmaktadır. Yazılım tabanlı olarak ise her zaman olmasa bile çoğu zaman artık hem client tarafında hem de server tarafında işletim sistemine entegre olarak bir firewall gelmektedir.

 

clip_image001

Şekil 1

 

Firewallar ister donanımsal ister yazılımsal tabanlı  olsun ilk başta yerel ağımızın internet çıkışına konumlandırılırlar ki böylelikle tanımlanan kurallara göre yerel ağımıza istemediğimiz paketlerin girmesini ve yerel ağımızdan dış dünyaya yine istemediğimiz paketlerin çıkmasını önlemiş oluruz.  Bu şekilde dış dünya ( internet) ile yerel ağımız arasındaki veri iletişimimi kontrol altına almış oluruz fakat yerel ağımızın kendi içindeki güvenliğini sağlamak için ise işletim sistemleri ile birlikte entegre olarak gelen yazılımsal firewallu kullanmamız gerekmektedir.  Hem böylelikle yerel ağımızda yer alan önemli sunuculara yetkisiz kişilerin erişmesini engellemiş oluruz hem de yine bizim için önemli olan sunuculara yerel ağımızda dolaşıp duran her paketin gelmesini engellemiş oluruz.

 

clip_image003

Şekil 2

 

WINDOWS SERVER 2008 R2 FIREWALL

Hemen hemen tüm işletim sistemlerinde olduğu gibi Server 2008 R2 işletim sisteminde de yerleşik bir firewall bulunmaktadır. Windows Firewall with Advanced Security Konsoluna Yönetimsel Araçlar altından ulaşabiliyoruz.  İsminden de anlaşılacağı üzere bu konsol ile işletim sistemi üzerinde kendimize ait kurallar oluşturabiliyoruz.

Şekil 3

clip_image008

Şekil 4

Yukarıdaki şekilde Inbound Rules altındaki kurallar görülmektedir. Yeşil ve içinde check işareti olan kuralların aktif olduğunu, giri ve pasif olanların ise etkin  durumda olmadığını anlayabiliriz. Yine üst kısımda Profile sekmesinde ise mevcut olan kuralın hangi profilde ne şekilde olduğunu anlayabiliriz. Mesela HTTP ve HTTPS bütün profillerde aktif durumda iken Microsoft Office Outlook sadece Domain Profilinde aktif durumdadır.  Action kısmında ise Allow izin ver anlamına gelirken Block ise bağlantıya izin verme anlamına gelmektedir.

Var olan kurallara ( ister inbound ister outbound olsun) bir yenisini eklemek için Inbound/Outbound  Rules üzerinde sağ tıklanarak çıkan menüden New Rule seçeneği seçilir.

clip_image009

Şekil 5

 

Böylece yeni kural oluşturmaya başlayabiliriz. New Rule dedikten sonra karşımıza çıkan pencerede seçim yapmamız gerekmektedir.

clip_image010

Şekil 6

İlk olarak oluşturmak istediğimiz bu kuralın ne tip bir kural olacağını belirlememiz gerekmektedir ve burada karşımıza çeşitli seçenekler çıkmaktadır. Bu seçenekleri inceleyecek olur isek;

          Program:  Bu seçenek ile belirlenen  programın yarattığı paketleri kontrol ederiz.

          Port: Bu seçenek ile spesifik bir program belirlemeden programdan bağımsız olarak UDP ( User Datagram Protocol) yada TCP ( Transmission Control Protocol) üzerinden gelen paketleri kontrol etmiş oluruz.

          Predefined ( Ön tanımlı): Bu seçenek ile daha önceden tanımlanmış olan bir uygulama için bir kural oluşturabiliriz.

          Custom (Özel):  Tüm ayarlamaların yönetici tarafından belirlenebileceği seçenektir.

 

Biz bütün işlemleri kendimiz yapacağımız için Custom seçeneğini seçerek devam ediyoruz.  Bütün özelleştirmeleri kendimiz yapacağız.

clip_image011

Şekil 7

Karşımıza çıkan pencerede uluşturmak istediğimiz bu kural için bir program sınırlandırması olup olmadığını belirtmemiz gerekmektedir. Yani burada All Program dersek bütün programlara uygulanması sağlarız yada Programın Yolunu ( This Program Path) belirtip sadece belirlediğimiz programa uygulanmasını sağlayabiliriz.  Services ( hizmetler) kısmında ise yine belirlediğimiz servislere yada bütün servislere bu kuralın uygulanmasını sağlayabiliriz.

clip_image012

Şekil 8

 

All programs deyip devam ediyoruz. Karşımıza çıkan pencerede kuralın uygulanacağı paketler için protokol ve port belirtmemiz gerekmekte.

clip_image013

Şekil 9

Kuralın uygulanacağı portlar için local port ( çıkış noktası) ve remote port ( uzak noktalar ) için ayrı ayrı tanımlamalar yapabiliyoruz.   Port numarasını ve protokol tipini belirledikten sonra  kuralın uygulanacağı kaynak ve hedef IP filtrelemesini belirlememiz gerekmekte.

clip_image014

Şekil 10

Sadece spesifik bir IP adresi belirleyebileceğimiz gibi bir  IP aralığı da belirleyebiliriz.

clip_image015

Şekil 11

Yada özelleştirme yaparak sadece belirli interfacelere uygulanması sağlayabiliriz.

clip_image016

Şekil 12

Yalnız burada dikkat etmemiz gereken bir nokta vardır. IP adresi yada aralığı belirlerken local (yerel) ve remote (uzak) IP adresleri için tanımlama yapabiliyoruz. Uzak IP adreslerini tanımlarken yine belirli bir IP adresi yada belirli bir IP aralığı belirtebiliyoruz. Bunlara ek olarak  Predefinied Set of Computers ( Öntanımlı bilgisayar)  belirleme imkanımız var.

clip_image017

Şekil 13

Yani tanımlayacağımız kural uzak noktada daha önceden ayarlanmış olan bir bilgisayar olabilir. Yukarıdaki şekilde bu bilgisayarın bir WINS / DHCP/DNS olabileceği gibi seçenekler var. Tanımlamalarımızı yaparak bir sonraki aşamaya geçiyoruz. Bir sonraki aşamada şimdiye kadar tanımlamış olduğumuz paketlere ne yapılacağını belirtmemiz gerekmektedir.

clip_image018

Şekil 14

Burada karşımıza çıkan seçeneklere bakacak olur isek;

          Allow the connection ( bağlantıya izin ver): Belirlediğimiz kurala uyan paketlere şifrelenmemiş dahi olsa izin ver.

          Allow the connection if it is secure ( Bağlantı güvenli ise izin ver):  Bu bağlantı sadece IPSec ile şifrelenmiş ise izin ver. Burada bazı seçeneklerimiz var.

          Block the connection ( Bağlantıya izin verme):  Tanımladığımız kurala uymayan paketlere izin verme

Kuralımıza izin verip vermeyeceğimizi de belirttikten sonra bu kuralın hangi profillere uygulanacağını belirtiriz.

clip_image019

Şekil 15

 

Bütün profillere uygulayabileceğimiz gibi sadece bir tanesine de uygulayabiliriz. Örneğin sadece Domain profiline uygulamayı seçer isek sadece domain ortamında iken bu kural geçerli olur.  Hangi profile uygulanacağına da karar verdikten sonra kuralımız için bir isim ve açıklama belirtiriz ki diğer yöneticiler ne olduğunu anlayabilsin.

clip_image020

Şekil 16

 Gerekli açıklamaları da yaptıktan sonra Finish diyerek kuralımızı tamamlayabiliriz. Son aşamada belirlediğimiz kural aşağıdaki şekilde gözükecektir.

clip_image021

Şekil 17

Böylelikle kural tanımlama işini tamamlamış bulunuyoruz. Aynı işlemleri  Outbound Rules tarafında da yapabiliriz.  İşlemler aynı olduğu için tekrar etmeyeceğiz.

Bu şekilde ister dışardan gelerek ağımıza girmek isteyen paketleri için ister isek ağımızdan çıkarak dış dünyaya giden paketler için ihtiyaçlarımıza göre kurallar oluşturarak ağımızın güvenliği sağlama imkânımız bulunmaktadır. 

Yine firewallumuz üzerinde bulunan kuralları ( sistem tarafından default olarak gelen ve bizim sonradan oluşturduğumuz) Import ( dışardan alma) ve Export ( dışarıya verme) işlemlerini yapabiliriz. Bu işlemleri yapmak çok basit olsa da özellikle dışardan kural alırken çok dikkatli olmamız  gerekmekte bizim oluşturduğumuz kurallar bir anda uçabilir. O yüzden bu işlemleri yapmadan önce yedek almamızda fayda var.  Peki yedekleme işini nasıl yapacağız?

clip_image022

Şekil 18

 

Yukarıdaki şekilde Export Policy aracını seçerek mevcut kurallarımızı dışa aktararak yedekleme yapabiliriz. Export Policy’e tıkladığımız zaman bize poliçeyi kaydetmek istediğimiz yer sorulur. Bizde kendimize uygun bir isim vererek poliçemizi yedeklemiş oluruz. İşlem başarılı ise Successfully şeklinde bir mesaj alırız. Böylece kurallarımızı yedeklemiş oluruz.

clip_image023

Şekil 19

 

Import Policy üzerine tıkladığımızda bize bir uyarı mesajı gelmektedir. Bu mesajda kısaca                       “Hali hazırda var olan poliçenizi kaydedin yoksa üzerine yazılacaktır” denmek isteniyor.

clip_image024

Şekil 20

 

Windows Advanced Firewallu komut satırından da yönetebiliriz. Bunun için kullanmamız gereken komut “Netsh advfirewall  firewall” komutudur. Komut çıktısı aşağıdaki gibi olacaktır.

clip_image025

Şekil 21

Şimdilik buraya kadar.  Bir sonraki  makalemizde IPSec ve Connection Security Rules konularını anlatmaya çalışacağız. Faydalı olması dileğiyle

Murat KOÇAK

IT Professional

RastGele Reklam Kodu


Etiketler: , , , ,

Kategori: Windows Server

Murat KOÇAK

Yazar Hakkında ()

www.kocakmurat.com IT Professional

Yorumlar (5)

Trackback URL | Comments RSS Feed

  1. Murat hocam eline sağlık Her zaman güvenlik ön planda olmalıdır.

  2. Sefa Aydemir Sefa Aydemir dedi ki:

    elinize sağlık hocam, şu aralar yoğun olduğum için biraz uzak kaldım ama yazılarınızı uzaktan takip ediyorum. Sakın iletişimi kopardığımı filan zannetmeyin.

  3. Murat KOÇAK Murat KOÇAK dedi ki:

    Mehmet Hocam, Sefa Hocam bu kadar sessiz kalmayın. Özletmeyin kendinizi

  4. Ben şuan kurumsallaşıyorum. 🙂

  5. Cem BALIK Cem BALIK dedi ki:

    Murat bey işlerimiz çok yoğun kusura bakmayın varlığımızı unutturduk sizlere 🙂
    Affınıza sığınıyoruz .)

Bir yorum yazın

Bir Yorum yazmak için giriş yapmalısınız.