Microsoft Exchange Server Blog: Forefront Threat Management Gateway TMG Üzerinde Katı Proxy Filter

Bu makalemde sizlerle Forefront Threat Management Gateway (TMG) üzerinde katı Proxy http,https filter işlemini paylaşacağım. Şirket yapınızda proxy olarak çeşitli “Linux, Tmg, Isa” vb. yazılım veya Utm donanımlar kullanıyor olabilirsiniz. Proxy olarak kullandığınızda hepsinin aslında mantığı aynıdır. Kullanıcının hangi siteye ne zaman girmiş, ne kadar zaman harcamız vs… TMG’de bu işlemi gayet başarılı bir şekilde yapmaktadır.

Şöyle bir senaryo belirleyelim. Bir firmada IT Admin’siniz, bu firmanın yönetimi bir karar alarak sizden tüm kullanıcıların internet erişimlerinin full olarak erişime kapatılmasını ve sadece departman Müdürlerinin belirleyeceği sitelere giriş izinlerinin olması konusunda sizden çalışma istedi.

Ayrıca yapınız büyük, Muhasebe, Satış, Pazarlama gibi departmanlarınız ve bu departmana bağlı kullanıcılarınız mevcut. Muhasebenin kullanıcılarının girdiği siteye Satış departmanı, Satışın girdiği sitelere’de Muhasebe departmanı kullanıcılarının giremesin gibi talepler geldi. Bu işlemleri TMG üzerinde nasıl konfigure edeceğimize bakalım.

Öncelikle yapımdan bahsetmek istiyorum.

Windows 2008r2 Enterprise Server Kurulu “Update İşlemleri Yapılmış”. Bu sunucunun üzerinde Forefront Threat Management Gateway (TMG) kurulu ve yapılandırmaya hazır durumda.

Test ortamı olduğu için ben Workgroup yapıma 2 Grup tanımladım. Siz bu işlemi Active Directory ortamınızda daha rahat şekilde yapabilirsiniz.

Grup 1 Grup 2

Grup İsmi : Satış Grup İsmi : Muhasebe

Grup Üyesi : Ufuk Grup Üyesi : Berk

Ufuk ve Berk kullanıcıları ilgili gruplara üye edildi.

Yukarıda ki işlemlerimizden sonra TMG üzerinde mutlaka yapmamız gereken bir ayar var.

TMG Management Console > Networking > Internal ‘ın properties kısmına geliyoruz.

Web Proxy sekmesine geldikten sonra Authentication… bölümüne tıklıyoruz.

Require all users to authenticate kutucuğunu işaretliyoruz. Bu işlem sayesinde kimlik doğrulama’yı aktif hale getirmiş olduk.

İşlemlerimize başlayalım. Öncelikle Internet Explorer’a TMG İsim veya IP fark etmez proxy bilgisini girdim. www.cozumpark.com sitesine bağlanmaya çalıştım.

Benden bir Usernam ve Password istedi. Yukarıda ki işlem sayesinde bu ekranı aldık.

Şifre bilgimi giriyorum ve okey diyorum.

Başarlı bir şekilde giriş yapabildik.

Ancak şifre ekranını Cancel ile geçmeye çalışsaydık bizim siteye erişimimizi engelleyecekti.

Normal kural yapımda Authenticate olan bütün kullanıcılar sınırsız olarak internete çıkabilir durumdadır.

Öncelikle Muhasebe ve Satış departmanında ki Ufuk ve Berk kullanıcılarını TM üzerine ekleyelim.

Bu işlem için TMG Management üzerinde ki Toolbox altında Users kısmına gelip, New butonuna tıklıyoruz.

Departman ismini belirtiyoruz. Next ile sonra ki adıma geçiyoruz.

Kullanıcımızı ekliyoruz.

Muhasebe grubumuzu ekledik.

Aynı şekilde Satış grubumuzuda oluşturup, Ufuk kullanıcısını gruba ekledik.

Bu işlemlerden sonra Domain Name Sets oluşturmamız gerekiyor. Toolbox > Network Objects > New butonuna tıklayıp, Domain Name Set kısmına geliyoruz.

Yasaklayacağımız Domain uzantılarını belirtiyoruz. Belirtirken *.com,*.com.tr gibi eklememiz gerekiyor. Ben 4 adet Domain uzantısı ekledim. Siz daha da sert bir kural olması için bütün uzantıları ekleyebilirsiniz.

Şimdi bir kural yazalım ve kontrol edelim.

Firewall Policy > Sağ Klik > New > Access Rule kısmına tıklıyoruz.

Kural ismimizi belirtip, sonra ki adıma geçiyoruz.

Bu işlemimiz engelleme amaçlı olduğundan Deny kısmını seçip sonra ki adıma geçiyoruz.

Sources > Internal seçiyoruz.

Destinations kısmında oluşturduğumuz Domain Name Set’i belirtiyoruz. Yani Yasaklı Domainler.

Bütün kullanıcıların etkilenmesi için Set Users kısmından All Users seçili bir şekilde kuralımı oluşturuyorum.

Bu kuralımız Proxy ile internete çıkan tüm şirket çalışanlarımızı etkileyecektir.

Kuralımız çalışıyormu test edelim. Ufuk kullanıcısı ile google.com’a bağlanmaya çalışacağım.

Tmg başarılı bir şekilde .com uzantısını engelledi.

Loglarımızı kontrol edelim.

TMG loglarında Rule,Request,Protokol ve User bilgilerini görüyoruz.

Şimdi Muhasebe ve Satış Departmanları için 2 adest URL SET oluşturmamız gerekiyor.

Toolbox > Network Objects > New > URL Set tıklıyoruz.

Muhasebe İzinli URL Set’ine google.com ve CozumPark.com siteleri için izin verdim.

Satış İzinli URL Set’ine ufuktatlidil.com ve microsoft.com siteleri için izin verdim. URL Setlerimiz oluştu.

2 Tanede kural yazalım Satış ve Muhasebe için. Muhasebe için bir örnek kurala hemen yapalım.

Kuralımızı özetleyelim ,

Rule Name : Muhasebe İzinli Siteler

Action : Allow

Protocols : HTTP , HTTPS

From / Listener : Internal

To : Muhasebe İzinli “URL Setimiz”

Condition : Muhasebe “Berk Kullanıcısı”

Bu kural sayesinde Muhasebe Departmanın’da çalışan Berk kullanıcısı Muhasebe İzinli URL Set’inde belirttiğimiz www.google.com ve www.cozumpark.com sitelerine erişim sağlayacak, ancak diğer .com , .com.tr , .net ve .net.tr uzantılı sitelere erişim sağlayamacaktır.

Satış Departmanı içinde kuralı aynı şekilde yazalım.

Rule Name : Satış İzinli Siteler

Action : Allow

Protocols : HTTP , HTTPS

From / Listener : Internal

To : Satış İzinli “URL Setimiz”

Condition : Satış “Ufuk Kullanıcısı”

Bu kural ilede Satış Departmanın’da çalışan Ufuk kullanıcısı Satış İzinli URL Set’inde belirttiğimiz www.ufuktatlidil.com ve www.microsoft.com sitelerine erişim sağlayacak ancak diğer .com , .com.tr , .net ve .net.tr uzantılı sitelere erişim sağlayamacaktır.

Muhasebe kuralımızı kontrol edelim. Berk kullanıcısı google.com ve cozumpark.com adreslerine erişim sağlaycakmı görelim.

Şifre bilgisini giriyorum.

www.google.com

www.cozumpark.com

Loglardan kontrol edelim.

Rule,Source,Request,Protocol ve User bilgilerini görebiliriz.

Berk kullanıcısı ile izin verdiğimiz sitelerin dışında bir siteye girmeye çalışalım. Örnek www.ufuktatlidil.com

Log üzerinden tekrar baktığımza www.ufuktatlidil.com adresine Berk kullanıcısının giremediğini, girişi engelleyen kuralın’da Blocked Domain Set kuralı olduğunu görüyoruz.