Bu noktada ISA server’ın bize tümleşik olarak sunduğu VPN Quarantine hizmetinden yararlanabiliriz.
ISA üzerinde VPN Quarantine konfigüre etmeden önce VPN yapılandıracağız. Domain’i ve ISA server’ıkurarak başlayalım.
Domain kurulumu tamamlandıktan sonra ISA server’ıkuralım.
Install ISA Server ile devam edelim.
Storage server ile birlikte ISA server’ıyada sadece ISA Server’ıyapılandırarak da devam edebiliriz.
Ä°lk ISA server’ıkurduğumuzdan ilk seçeneği seçerek devam ediyoruz.
Internal network’ü belirleyelim ve kurulumu başlatalım. ISA kurulumu bittikten sonra server’ıdomain’e katalım.
Domain ve ISA server hazır olduğuna göre başlayabiliriz.
şimdi ISA server üzerinde VPN konfigürasyonunu yapalım. VPN penceresinde Select Authentication Methods sekmesinden statik ip havuzumuzu belirleyelim. VPN client access sekmesinden VPN client ıaktif hale getirelim ve VPN ile bağlanacak grubu yada gruplarıseçelim. Yaptığımız ayarlama neticesinde RRAS kendini konfigüre edecektir. VPN ile gelenlerin networkümüze erişimi için access rule belirlemeliyiz. Rule da nerelere erişim haklarıolacaksa o portlar göz önüne alınmalıdır!
Access policy’mizi de belirleyelim.
VPN bağlantımızıtest edersek;
Herhangi bir sorun olmadığınıgörüyoruz. Artık VPN Quarantine ya geçebiliriz.
Remote Quarantine servisini kurarak başlayalım.
Quarantine servisi ISA server’a VPN Quarantine desteği sunan servistir ve bu hizmeti verecek sunucuya yüklenmesi gerekir. Ayrıca ISA server’ın bu servisi kullanarak trafiği dinleyebilmesi için konfigüre edilmesi gerekir. En kolay şekilde ISA server’ıConfigureRQSForISA.vbs script’ini kullanarak konfigüre edebiliriz. Script’i yüklemek için komut satırında
Cscript ConfigureRQSForISA.vbs /install rqtmm
Burada son kısımda yazan rqtmm kelimesi karantinadan çıkmak için client’ın söylemesi gerek kelimedir ve kişiselleştirilebilir. Script’i yükleyelim.
rqtmm kelimesi client tarafında sorgulama sırasında karantinadan çıkmak için kullanılacak profili hazırlarken kullanacağımız kontrol.bat dosyasında da geçmesi gerektiğinden kontrol.bat dosyasınıda değiştirelim.
Script’in ISA üzerinde oluşturduğu konfigürasyonu doğrulamak istersek;
client’ın karantinada olduğunu haber verebilmesi için kullanacağı7250 portunu RQS isimli user-defined protocolden localhosta doğru açtığınıve
rqtmm kelimesini de kayıt defterine işlediğini görebiliriz. Artık karantinaya geçebiliriz.
Network pencerinde Quarantined VPN Clients özelliklerinden karantinayıaçalım ve karantinada geçen süreyi 10 saniye olarak ayarlayalım. Policy olarak ISA policy’lerini kullanacağız. ISA server tarafında yapılacak ayarlamalarıbitirmiş bulunmaktayız. şimdi de client’ın kendini karantinadan çıkarasıiçin kullanacağıprofili Connection Manager Administration Kit (CMAK) ile hazırlayalım. Öncelikle CMAK’i Windows bileşenlerinden kuralım.
Connection Manager Administration Kit’i bileşenlerden kurduktan sonra Administrative Tools altından çalıştıralım ve yeni bir profil oluşturalım.
“New Custom Action†belirleyelim. Kullandığımız kontrol.bat dosyasıclient tarafında C:\x.txt dosyasının var olup olmadığınıkontrol ediyor ve eğer varsa bir kaç aşama sonrasında kullanacağımız rqc.exe ile ISA server’a rqtmm kelimesini bildiriyor yani karantinadan geçtiğini bildiriyor. Parametreler ise Remote Quarantine Control’un yani rqc.exe in alacağıparametrelerdir ve bağlantısırasında otomatik olarak doldurulmaktadır. Action type da Post connect seçiyoruz ki ve devam ediyoruz.
Bat dosyamızda görüldüğü üzere eğer client C:\x.txt gibi bir dosyaya sahip değilse rqc.exe, ISA server’a karantinadaki client’ın şartlarısağlamadığınıbildirecektir.
Son olarak Add’e basarak kullanılacak olan rqc.exe’yi ekleyelim profili tamamlayalım ve CMAK’in C:\Program Files\Cmak\Profiles\RQ klasörü altında oluşturduğu RQ.exe dosyasınıclient’a gönderelim. Daha sonra client’a gönderdiğimiz RQ.exe dosyasınıyükleyelim ve RQ.exe’nin “My Network Places†’de oluşturduğu bağlantıyıkullanarak bağlanalım.
u1 kullanıcısıilk aşamada vpn bağlantısıoluşturmakta kullandığımız kullanıcıydıve dial-in izni vardı. şifresini yazıp bağlanalım.
Görüldüğü üzere client bilgisayarıkarantina şartlarınısağlayamadıçünkü client tarafında C:\x.txt dosyasınıoluşturmadık. şimdi kontrolden geçebilmesi için gerekli olan x.txt dosyamızıoluşturalım.
Tekrar bağlanmayıdenersek;
Başarılıbir şekilde karantinadan çıkıp bağlantının sağlandığınıgörebiliriz.
Client, ISA server üzerinde karantinadan geçtikten sonra VPN client olacağından VPN’den internal’a rule oluşturmak uygun olacaktır ki zaten daha önce oluşturmuştuk. Dolayısıyla remote client’ımız domain e katılabilir yada üyesi olduğu domaine log on olabilir.
Powered by MightyAdsense
