Günümüzde gerçek zamanlıyani “real time” olarak da adlandırılan mesajlaşma programlarıgittikçe popüler bir hal almaktadır . Bunlardan en popüleri ve 2005 yılısonu itibariyle 33 milyon üyesinin olduğunu açıklayan MSN Messenger programıdır. Gerçek zamanlımesajlaşma programlarıkullanıcıların iletişimini hızlandırmasıve aynıanda birden çok işlemin yapılmasına ( dosya paylaşımıbeyaz tahta uygulaması, ses ve video taşınmasıvb.) olanak sağladığıiçin son derece kullanışlıbir araçtır. Ancak şirket bünyesinde bu programlar birer güvenlik açığı, kötü kullanım ile zaman ve iş kayıplarına yol açan bir araç haline gelmektedir . Bu nedenle pek çok firmada anında mesajlaşma programlarıyasaklanmaktadır. Messenger programıinternet kullanımıile paralellik gösterdiğinden şirket yapılarına göre yasaklanmasıfarklılıklar göstermektedir. Her şirketin bir IT veya güvenlik politikasıvardır ve bunun izin verdiği ölçüdeki kısıtlamalar kullanıcılara uygulanarak bu programın yasaklanmasısağlanabilmektedir.
Günümüzde Ä°rili ufaklıpek çok şirket internet altyapısında Microsoft?un ürünlerinden biri olan ? Internet Security and Acceleration ? Server ıkullanmaktadır . şirketlerin ISA yıkullanım amaçlarıbirbirinden farklılık taşımasına rağmen ( güvenlik , raporlama , önbelleğe alma vb. ) hemen hemen her şirkette yer alan standart kısıtlamalarda bulunmaktadır. Bizde konumuz olan Messenger kısıtlamasınıMicrosoft un bu ürününü kullanarak nasıl yapacağımızıgöreceğiz.
şirket bünyesindeki çalışanların yetkileri çerçevesinde bu programlar internet üzerinden indirilerek bilgisayarlara yüklenebilmektedir. Sistem yöneticisinin işi eğer bunlarıyasaklamak ise bunun için kullanıcılardan program yükleme haklarınıalmak ve mevcut programlarıkaldırmak yerine merkezi internet çıkışıolan ISA üzerinden bu programın çalışmasınıengellemek yönetimsel efor açısından çok daha avantajlıdır .( hele şirket bünyesindeki bilgisayar ve MSN kullanıcılarının sayısının fazla olmasıdurumunda bu işlem çok zor olacaktır ) .
MSN Programınıyasaklamadan önce çalışma mantığınıöğrenmemiz gerekmektedir. Messenger protokolü kompleks bir protokoldür, yani birden fazla protokol veya oturum başına birden fazla port kullanabilmektedir, çünkü Messenger aşağıdaki fonksiyonlarıkullanıcılarına sunmaktadır;
· Instant messaging [ Anında Mesajlaşma ]
· Voice or video over IP (SIP signaling) [ Ä°p üzerinden ses ve görüntü aktarımı]
· Application sharing (SIP signaling) [ Uygulama paylaşımı]
· Whiteboard sharing (SIP signaling) [ Beyaz Tahta paylaşımı]
· File transfer [ Dosya Transferi ]
· Remote assistance (RDP) [ Uzak yardım ]
Bu sebeplerden dolayıMessenger programınısadece tek port kapatarak engellemek mümkün olmamaktadır. Microsoft un resmi sitesinde Messenger için TCP/IP portlarından 1863 nolu portu kullandığısöylense de bu portun kapalıolmasıdurumunda genellikle internetin olduğu her ortamda açık olan 80 nolu port tanda dışarıçıkmayıbaşarmaktadır. Ä°lk ciddi problem burada ortaya çıkmaktadır, 80 nolu port http tarafından kullanıldığıiçin bu portu kapatma imkânına sahip değiliz, bu nedenle Messenger programının ISA üzerinden yasaklanmasıiçin bir dizi kurallar yazmamız gerekmektedir. ( Not: Bu kurallardan bazılarıtek başına Messenger için yeterli olsa da tümünü uygulamak ta fayda vardır. )
Öğrendiğim bu bilgiler ışığında ISA Yönetim Konsolunu açılıp menüden ?Firewall Policy? e gelelim. Burada tanımladığınız diğer kurallar veya yeni kurmuş iseniz standart bir adet kural göreceksiniz. Yapmamız gereken MSN yasaklamak için yeni bir kural tanımlamaktır. Önemli bor noktayıatlamamak gerekmektedir, ISA 2004 de tanımlanan kurallar yukarıdan aşağıya doğru baskınlık gösterir, ancak daha önceden tanımladığınız bir kural eğer msn programın çalışmasıiçin bir şeklide açık veriyorsa yeni tanımlayacağınız kural işe yaramayacaktır, bu nedenle gerek MSN için gerekse diğer yasaklamalar için tanımlayacağınız kuralların birbiriyle çakışmamasına dikkat edin. Ben yeni kurulmuş bir ISA 2004 üzerinde anlatım yapacağım. ISA Yönetim Konsolunu açılıp menüden ?Firewall Policy? ye geldiğimizde aşağıdaki gibi bir ekran karşımıza çıkacaktır.
şekil ? 1
Yapmamız gereken sağ tarafta bulunan menüden ?Create New Access Rule ? seçmek ve karşımıza çıkan ekranda kuralımıza bir isim vermek olacaktır.
şekil - 2
Kuralımıza isim verdikten sonra ileri diyerek devam edebiliriz. Aşağıdaki ekran karşımıza çıkacaktır.
şekil - 3
Bizim amacımız yasaklama olduğundan kuralımızın eylemi olarak yasaklamayıseçiyoruz ve ileri diyerek devam ediyoruz, ardından karşımız aşağıdaki gibi bir ekran çıkıyor;
şekil - 4
Burada yasaklamak istediğimiz protokolleri seçmemiz gerekmektedir , standartta gelen tüm protokollerdir ki biz sadece seçtiğimiz bir protokolü yasaklayacağımızdan burada ?Selected Protocols? seçiyoruz , bunu seçtikten sonra sağ tarafta canlanan ?Add? butonuna tıklıyoruz ve aşağıdaki gibi bir ekran karşımıza çıkıyor;
şekil - 5
Burada yasaklamak istediğimiz protokolü seçmemiz yeterli olacaktır. Messenger programınıyasaklamak istediğimizden dolayıbize sunulan hazır protokollerden ? MSN Messenger ? ıseçip ?Add? butonuna tıklıyoruz ve aşağıdaki ekran kaşımıza çıkıyor.
şekil - 6
Ä°leri butonuna tıklayarak bir sonraki ekrana geçiyoruz.
şekil - 7
Burada kuralımızın uygulanacağıkaynak sorulmaktadır, yani hangi kaynaktan ( interface veya tanımladığınız bir bilgisayar vb? ) ?gelen? istekler için kuralın işleyeceği sorulur , burada MSN kullanıcılarıISA için ?Internal? olarak adlandırılırlar ondan kaynak olarak ?Add? butonun tıkladıktan sonra karşımıza çıkan ekrandan ? Internal? ıseçiyoruz.
şekil - 8
Seçtikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
şekil - 9
Bu ekran karşımıza çıktıktan sonra ileri butonuna tıklayarak bir sonraki ekranıgörüyoruz.
şekil - 10
Burada belirlediğimiz kaynaktan gelen isteklerin hangi hedefe gittiğinde kuralın geçerli olmasınıbelirleyeceğiz. Ä°nternet için ?External? ıseçeceğiz ( Not : bu anlatılanlar standart bir ISA yapısıiçindir , Site to Site VPN yapısıveya External dışında ekstra tanımlıbir internet çıkışıbulunuyor ise ISA üzerinde onunda seçili olmasıgerekmektedir. )
şekil - 11
Ekledikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
şekil - 12
Ardından ileri butonuna tıklayarak bir sonraki ekrana geçiyoruz
şekil - 13
Bu ekranda ise belirlediğimiz kaynaktan yine belirlediğimiz hedefe kimin gönderdiği paketler için bu kuralın çalışacağınıbelirleyeceğiz. Yani ?internal? dan gelen bir msn isteğinin hedefi ?External? ise ve bizim seçeceğimiz örneğin ?Ali? kullanıcısıbu isteği göndermiş ise bu kural geçerli olacak ve kuralın ilk ekranında seçtiğimiz kural eylemini ( yasaklama ) gerçekleştirecektir. Burada istediğiniz bir kullanıcıyı?Add? Butonu yardımıyla seçmeniz mümkün olacaktır. [ Not : eğer tanımladığınız interface ler üzerinde kimlik doğrulamayızorunlu kılmazsanız kullanıcıtanımlamak kural için geçerli bir filtreleme olmayacaktır , çünkü çoğunluk anonim çıkışlar yapacağından kuralın başarısız olduğunu göreceksiniz , bu seçenek işaretli değil ise , All Users olarak bırakmanızda fayda vardır veya kullanıcıdeğil de daha önceki kısıtlama menülerinden kaynak kısmında internal yerine makine tanımıyaparak ( ip bazlı) kısıtlama yapmanız daha sağlıklıolacaktır. ]
şekil - 14
Gerekli kullanıcıkısıtlamalarıda yapıldıktan sonra ileri diyerek son ekranıgörebiliriz.
şekil ? 15
Burada ?Finish? butonuna tıklayarak kuralıtanımlamış oluruz.
Kuralımız tamamladıktan sonra Yönetim Konsolu üzerinde ?Apply? butonuna tıklayarak kuralıuygulamış oluruz ve yine bu konsol yardımıyla kuralımız görmemiz mümkün olacaktır.
şekil - 16
Bu yapıda MSN çalışmayacaktır, ancak herhangi bir şekilde izinli kurallar yazılmadığıiçin kuralımız açık vermeyecektir ama 80 nolu port açılırsa MSN 1863 ten yapamadığıçıkışı80 nolu porttan yapacaktır, işte bu durumda ISA server ın başka bir özelliği ön plana çıkmaktadır , bu özelikle ?signature ? olarak isimlendirilir. Herhangi bir program 80 nolu porttan çıkarken kendini tanıtmak zorundadır, bizde kendisini ?MSN Messenger? diye tanıtan program olursa çıkış izni vermiyoruz ve böylece 80 porttan MSN çıkışıengellenmiş oluyor. Bunu gerçekleştirmek için tanımlıbir http kuralıüzerinde aşağıdaki işlemleri yapmamız gerekmektedir.
Aşağıdaki şekilde standart bir http kuralıtanımlıISA ara yüzünü görmekteyiz, hemen hemen her şirkette buna benzer internet için yazılmış bir kural bulunmaktadır , şimdi ISA programında bulunan iki kuraldan biri MSN portların dan olan 1863 nolu portu kapatan , bir diğeri ise kullanıcıların internete çıkmalarınısağlayan http kuralıdır. MSN Messenger bu yapıda ilk kuraldan dolayıdışarıçıkamayacaksa da ikinci kuraldaki açık olan 80 nolu portu kullanarak dışarıçıkacaktır , bunu engellemek için http kuralıüzerinde MSN Messenger programıiçin ISA nın ?Signature? özelliğini kullanarak bir yasaklama yapmamız gerekmektedir.
şekil ? 17
Tanımlıolan ?Ä°nternet? kuralına sağ tıklıyoruz ve ?Configure http? seçeneğini seçiyoruz ;
şekil ? 18
Karşımıza aşağıdaki gibi bir ekran çıkar ve buradan ?Signature ? Sekmesine tıklamamız gerekmektedir.
şekil ? 19
Burada yeni bir tanımlama yapmak için ?Add? butonuna tıklıyoruz ,
şekil ? 20
Karşımıza çıkan ekranda , ?Name? kısmıkuralımızın ismini tanımlamak için kullandığımız alanıgöstermektedir , hemen altında da isteğe bağlıbir açıklama alanıbulunmaktadır , Bunun altında filtreleme alanlarıbulunmaktadır , bu alanlarıyasaklamak istediğimiz programın yapısına göre dolduruyoruz , bazıpopüler programların imzalarıaşağıdaki gibidir.
Tablo ? 1
Daha fazla bilgi için :
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx
Yukarıdaki tabloya göre biz MSN Messenger programınıyasaklamak istediğimizden ISA ekranında aşağıdaki gibi bir tanımlama yapmalıyız.
şekil ? 21
Not : Buradan istersek Windows Messenger içinde yeni bir imza tanımlayarak yasaklama yapmamız mümkündür. ( Eğer Windows Live Messenger yasaklamak istiyorsanız kullanacağınız imza : Windows Live Messenger olacaktır .)
MSN programınıyasaklamak için gereken imza bilgilerini yazdıktan sonra ?ok? düğmesine basarak kuralımızın özellikler sayfasına geri dönelim , burada bir daha ?ok? düğmesine basarak ISA Yönetim Konsol ekranına dönelim , ?Apply? düğmesine basarak yaptığımız değişikliği kayıt edelim. Artık Messenger programıiçin gereken yasaklamayıyapmış oluyoruz , kullanıcılar bir yandan internete girmelerine rağmen MSN Messenger programınıkullanmak istediklerinde programın Log in olmadığınıgörecekler. Messenger ıprogram olarak yasaklasak ta Web Messenger servisi sayesinde anında mesajlaşma işlemi gerçekleştirilebilmektedir , tabi ki bunu da ISA üzerinde yasaklamak mümkündür. Bunun için yapılmasıgerekenler aşağıdaki gibidir ;
Öncelikle ISA Yönetim Konsolu üzerinden ?Firewall Policy? ye geliyoruz, sağ tarafta bulunan menüden ?ToolBox? ıseçiyoruz , değişen menüden ?Network Objets? i seçiyoruz ve ?New? diyerek yeni bir ?URL Set? tanımlıyoruz.
şekil ? 22
URL Set i aşağıdaki şekilde tanımlamamız gerekmektedir.
şekil ? 23
Tanımlamayıyaptıktan sonra ?ok? butonuna ve ?Apply? butonuna basarak yeni URL Set imizi tanımlamış olduk. Bizim tam olarak yaptığımız ISA ya yazacağımız kural için bir element oluşturmuş olduk , şimdi bir kural oluşturarak Web Messenger ın da açılmamasınıengellemiş olacağız. Öncelikle Firewall Policy e gelip yeni bir kural tanımlıyoruz ;
şekil ? 24
Kuralımıza isim olarak ?Web Messenger? koydum ve ileri diyerek devam ediyorum.
şekil - 25
Bizim amacımız yasaklama olduğundan kuralımızın eylemi olarak yasaklamayıseçiyoruz ve ileri diyerek devam ediyoruz , ardından karşımız aşağıdaki gibi bir ekran çıkıyor .
şekil ? 26
Yasaklamak istediğimiz belirli bir protokol olduğundan ( http , yani bu siteyi web browser üzerinden kimsenin ziyaret etmesini istemiyoruz ) http protokolünü seçiyoruz. ( tüm protokolleri de seçmemiz sorun olmaz çünkü kuralın hedefinde sadece tanımladığımız URL set olacağıiçin o yöndeki tüm trafik yasaklanır ancak bize http yeterli olmaktadır.)
şekil ? 27
Ä°leri butonuna tıklayarak devam ediyoruz ,
şekil ? 28
Burada kuralımızın uygulanacağıkaynak sorulmaktadır , kaynak olarak ?Add? butonuna tıkladıktan sonra karşımıza çıkan ekrandan ? Ä°nternal? ıseçiyoruz.
şekil - 29
Seçtikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
şekil - 30
Bu ekran karşımıza çıktıktan sonra ileri butonuna tıklayarak bir sonraki ekranıgörüyoruz.
şekil - 31
Burada belirlediğimiz kaynaktan gelen isteklerin hangi hedefe gittiğinde kuralın geçerli olmasınıbelirleyeceğiz. Kuralımız http isteklerini yasaklamaktadır , ancak bu kuralın internet kullanıcılarınıetkilememsi için hedefi Web Messenger hizmeti veren URL olan istekler için geçerli olmasınısağlamalıyız bu nedenle hedefe tanımladığımız URL yi eklememiz gerekmektedir.
şekil ? 32
Ekledikten sonra aşağıdaki gibi bir ekran karşımıza çıkacaktır.
şekil ? 33
Ä°leri diyerek bir sonraki pencereye geçiyoruz ;
şekil - 34
Bu ekranda ise belirlediğimiz kaynaktan yine belirlediğimiz hedefe kimin gönderdiği paketler için bu kuralın çalışacağınıbelirleyeceğiz. Yani internal dan gelen ve http://webmessenger.msn.com/ adresine giden bir isteği yasaklanıp yasaklanmayacağınıkullanıcıbazında tanımlamamıza yardım eder. Burada istediğiniz bir kullanıcıyı?Add? Butonu yardımıyla seçmeniz mümkün olacaktır. Kullanıcıseçimi yapıldıkta sonra ileri diyerek bir sonraki ekrana geçiyoruz ,
şekil ? 35
?Finish? diyerek kuralıtanımlıyoruz. Artık ISA Yönetim Konsolu ekranına baktığımızda aşağıdaki gibi tanımlıkurallarımız göreceğiz.
şekil ? 36
Bu kurallar sayesinde kullanıcıların temel internet ihtiyacıhiçbir kısıtlamaya uğramadan Messenger programıve servisi Isa üzerinden yasaklanmış olmaktadır. Tabiî ki her geçen gün ISA yıaşıp anında mesajlaşma programlarınıkullanmak için yeni yöntemler geliştirilmektedir , bunlar içinde kendimizi güncel tutmalıyız , örneğin yapımızda Web Messenger ISA aracılığıile yasaklansa da http://www.iloveim.com/ internet adresinden kullanıcıadıve şifre yardımıyla Messenger servisi yine çalışmaktadır , bunların takibi ve yasaklanmasıda bize kalmış artık. Makalenin işinize yarayacağıumudu ile ?
Kaynak : 2824: Implementing Microsoft Internet Security and Acceleration Server 2004
Powered by MightyAdsense
18 Mart 2008 Saat 00:49
fghfghfghfghfgh
2 Haziran 2008 Saat 17:24
Cozumpark’dan çaldığınız bariz ortada, en azından Resim-X leri kaldırsaydınız. Ya da kaynak gösterebilirdiniz.
4 Ağustos 2008 Saat 17:25
SLM NBR SENDEN İYİ:D:D:D:D KIZ SEN LOVE III ÇOK BEN yasin_19_deaf@hotmail.com BEN YAŞ:18 BEN NERDEN :İSTANBUL BEN MSN FOTOĞRAT VAR