Clientless SSL VPN (WebVPN)

Bir kurumun uzaktaki kullanıcıları İnternet üzerinden kurum için kaynaklara erişebilmelidir. Bu bağlantının güvenliğinin mutlaka sağlanması gerekir. Çünkü İnternet hiç bir kurumun güvenliğinden emin olamayacağı paylaşılan bir ortamdır. Bu noktada VPN teknolojileri devreye girer. VPN sayesinde uzak kullanıcılar kurum içindeymiş gibi kaynaklara erişebilirler. Bu sırada fiziksel olarak kurum ile uzak kullanıcı arasında oluşan trafiğin de güvenliği sağlanır. Günümüzde genel olarak iletişim güvenliğini sağlamak için kullanılan iki yaygın protokol vardır: IPSec ve SSL. IPSec bir 3. Katman protokolüdür ve paketi network katmanından itibaren şifreler. Yani pratikte tüm uygulamalara erişim sağlayabilir. IPSec iki uzak site arasındaki iletişimin güvenliğini sağlamak için Site-to-site VPN’de veya uzaktaki kullanıcılara güvenli erişim sağlamak için Remote-access (Easy) VPN’de kullanılabilir.

SSL ise uygulama katmanında çalışan bir protokoldür ve sadece belirli uygulamaların güvenliğini sağlar. En yaygın kullanımı web trafiğinin güvenliğini sağlamaktır. HTTPS SSL kullanır. SSL kullanarak uzaktaki kullanıcılara güvenli erişim sağlanabilir. Cisco’nun üç farklı SSL VPN çözümü vardır:

  • Clientless SSL VPN (WebVPN): Kullanıcı browser aracılığıyla kurum içindeki web kaynaklarına, dosya paylaşımlarına (sadece XP dosya paylaşımları desteklenmektedir) ve Citrix sunucularına erişebilir.
  • Thin-Client SSL VPN (Port Forwarding): Kullanıcı küçük bir java applet indirir ve statik port numaraları kullanan TCP uygulamalarına (örneğin: SMTP, telnet vs.) erişebilir.
  • SSL VPN Client (SVC Full Tunnel): Kullanıcı indirdiği küçük bir yazılım sayesinde tam network erişimine sahip olur.

Clientless SSL VPN (WebVPN)’in en önemli özelliği adında da belirtildiği üzere “istemcisiz” olmasıdır. Teknik olarak WebVPN de bir istemci yani yazılım kullanır. Burdaki ince ayrıntı WebVPN’in kullandığı yazılımın dünyadaki hemen her bilgisayarda zaten yüklü olmasıdır: Bir web tarayıcısı 🙂 SSL VPN günümüz web tarayıcılarının hepsinde olan SSL desteğini kullanarak güvenli bağlantıyı gerçekleştirir. Tabi bu özelliğin paralelinde diğer avantajlar da ortaya çıkmaktadır: Bağlantı için herhangi bir yazılım yüklemeye ihtiyaç yoktur. Bu hem yöneticinin hem de kullanıcının işini kolaylaştırır. Aynı zamanda kullanıcının bağlantı için her cihazı yönetici yetkisine sahip olmadan kullanabileceği anlamına gelir. Kullanılabilecek cihazlar internet erişim olan hemen her cihazı kapsamaktadır. WebVPN’in bir diğer avantajı sadece belli uygulamalara izin vermesi ve bunun uzak kullanıcının yetkilerini sınırlandırmak için kullanılabilmesidir. Ayrıca hem kullanımı hem de yönetici tarafından yapılandırılması daha basit bir teknolojidir. SSL NAT kullanımında online casino australia sorun çıkarmaz. Ayrıca 443. portu kullandığı için ve bu porta firewall’larda bir kısıtlama uygulanmadığı için ek ayar da gerektirmez.

WebVPN’in çalışma mekanizması şu şekildedir: İstemci gateway’in IP adresini browser’a girer. Aralarında SSL handshake gerçekleşir. Bu sırada gateway’deki sertifika istemciye yollanır. Güvenli

iletişimin başlaması için istemcinin bu sertifikayı güvenilen kök sertifika yetkililerine eklemesi gerekmektedir. Kullanılacak algoritmalarında anlaşmaya varılır ve güvenli iletişim başlar. (WebVPN AES, 3DES ve RC4 şifreleme algoritmaları ile MD5 ve SHA hash algoritmalarını destekler). Kullanıcıdan kullanıcı adı ve şifre istenir. Daha sonra kurum içi web kaynaklarının ve dosya paylaşımlarının bulunduğu bir portal sayfasına yönlendirilir. İstemcinin her isteği gateway’in 443. portuna güvenli bir şekilde gönderilir. Gateway ise şifrelemeyi çözdükten sonra IP başlığını değiştirerek isteği kendisi yapıyormuş gibi iletir. Dönen cevabı da gene SSL güvenliğiyle kullanıcıya iletir. Aslında WebVPN gateway bir tür proxy gibi davranmaktadır.

Cisco IOS’ta WebVPN yapılandırması şu şekildedir:

WebVPN hizmetinden faydalanacak kullanıcılar tanımlanır. Bu örnekte router’da kullanıcı adı ve şifre tanımlanmıştır.

WebVPN(config)#username <kullanıcı adı> secret <şifre>

Router 443. porttan hizmet vereceğinden HTTPS aktive edilmelidir:

WebVPN(config)#ip http secure-server

Portal sayfasına erişmede kullanılacak IP – yani gateway – tanımlanır. Bu bir “self-signed-certificate” oluşturur. WebVPN’de bu kullanılabileceği gibi başka bir sertifika yüklenip o da ssl trustpoint olarak gösterilebilir. İsteklerin dinleneceği port özelleştirilebilir, 80. porta yapılan istekler yönlendirilebilir ve ssl algoritmaları seçilebilir. inservice komutu gateway’i aktive eder.

WebVPN(config)#webvpn gateway GATEWAY1
WebVPN(config-webvpn-gateway)#hostname SSLVPN_GATEWAY
WebVPN(config-webvpn-gateway)#ip address <IP> port 443
WebVPN(config-webvpn-gateway)#http-redirect
WebVPN(config-webvpn-gateway)#ssl encryption [3des-sha1] [aes-sha1] [rc4-md5]
WebVPN(config-webvpn-gateway)#inservice

Gateway, group policy, url list, netbios name server ve citrix server yapılandırmalarını birbirine bağlayacak olan context yapılandırılır. Gateway tanımlanır. Eğer burda domain parametresiyle bir uzantı tanımlanırsa kullanıcılar https://<IP>/<uzantı> şeklinde bağlantı kurarlar. Aynı gateway farklı domain’lerle farklı context’lere atanabilir. Context’lerde de farklı group policy’ler uygulanabilir ve AAA kullanılarak farklı kimlik denetimi listeleri oluşturulabilir. Bu da kullanıcı bazlı erişim kısıtlaması uygulanmasını sağlar. Ayrıca bağlanacak en fazla kullanıcı sayısı ve portal sayfasıyla ilgili başlık, yazılar, renkler gibi tanımlamalar da bu modda yapılır. inservice komutu gateway’i aktive eder.

WebVPN(config)#webvpn context CONTEXT1
WebVPN(config-webvpn-context)#gateway GATEWAY1 [domain <uzantı>]
WebVPN(config-webvpn-context)#max-users <sayı>
WebVPN(config-webvpn-context)#login-message “enter login credentials”
WebVPN(config-webvpn-context)#title “browser-title”
WebVPN(config-webvpn-context)#title-color <renk>
WebVPN(config-webvpn-context)#secondary-color <renk>
WebVPN(config-webvpn-context)#secondary-text-color <renk>
WebVPN(config-webvpn-context)#inservice

Erişimle ilgili ayarların yapıldığı group policy oluşturulur. idle ve session timeout süreleri, citrix izni, context’te tanımlanan web kaynağı ve dosya paylaşımı atamaları burda yapılan ayarlardır. Login olunca çıkan mesaj burda yazılır. İstenirse linklerin gözükmesi engellenir sadece URL girmek için kullanılan bar gözükür. Ayrıca context modunda varsayılan policy belirlenmelidir.

WebVPN(config-webvpn-context)#policy group POLICY1
WebVPN(config-webvpn-group)#banner “login successful”
WebVPN(config-webvpn-group)#hide-url-bar
WebVPN(config-webvpn-group)#timeout { idle <saniye> | session <saniye> }
WebVPN(config-webvpn-group)#exit
WebVPN(config-webvpn-context)#default-group-policy POLICY1

Portal sayfasından ulaşılmasına izin verilecek olan URL’ler tanımlanır. Farklı başlıklarla farklı URL listeleri oluşturulabilir. Sonrasında bu url-list group policy’ye atanmalıdır.

WebVPN(config-webvpn-context)#url-list URL_LIST1
WebVPN(config-webvpn-url)#heading “links”
WebVPN(config-webvpn-url)#url-text “URL linki” url-value <IP veya URL>
WebVPN(config-webvpn-url)#exit
WebVPN(config-webvpn-context)#policy group POLICY1
WebVPN(config-webvpn-group)#url-list URL_LIST1

Dosya paylaşımlarında kullanılacak WINS sunucusu tanımlanır ve dosya ve klasör izinleri ayarlanır. Yine sonrasında bu nbns-list group policy’ye atanmalıdır.

WebVPN(config-webvpn-context)#nbns-list NBNS_LIST1
WebVPN(config-webvpn-nbnslist)#nbns-server <IP> [master]
WebVPN(config-webvpn-nbns-list)#exit
WebVPN(config-webvpn-context)#policy group POLICY1
WebVPN(config-webvpn-group)#nbns-list NBNS_LIST1
WebVPN(config-webvpn-group)#functions {file-access | file-browse | file-entry}

Citrix erişimi için erişime izin veren ACL config modda tanımlanır ve group policy’de citrix aktive edilip ACL eşleştirilir.

WebVPN(config-webvpn-group)#citrix enabled
WebVPN(config-webvpn-group)#filter citrix <ACL ismi ve numarası>

Portal sayfası örneği:

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir