Bu makalemde sizlerle Forefront Threat Management Gateway (TMG) üzerinde katı Proxy http,https filter işlemini paylaşacağım. Şirket yapınızda proxy olarak çeşitli “Linux, Tmg, Isa” vb. yazılım veya Utm donanımlar kullanıyor olabilirsiniz. Proxy olarak kullandığınızda hepsinin aslında mantığı aynıdır. Kullanıcının hangi siteye ne zaman girmiş, ne kadar zaman harcamız vs… TMG’de bu işlemi gayet başarılı bir şekilde yapmaktadır.
Şöyle bir senaryo belirleyelim. Bir firmada IT Admin’siniz, bu firmanın yönetimi bir karar alarak sizden tüm kullanıcıların internet erişimlerinin full olarak erişime kapatılmasını ve sadece departman Müdürlerinin belirleyeceği sitelere giriş izinlerinin olması konusunda sizden çalışma istedi.
Ayrıca yapınız büyük, Muhasebe, Satış, Pazarlama gibi departmanlarınız ve bu departmana bağlı kullanıcılarınız mevcut. Muhasebenin kullanıcılarının girdiği siteye Satış departmanı, Satışın girdiği sitelere’de Muhasebe departmanı kullanıcılarının giremesin gibi talepler geldi. Bu işlemleri TMG üzerinde nasıl konfigure edeceğimize bakalım.
Öncelikle yapımdan bahsetmek istiyorum.
Windows 2008r2 Enterprise Server Kurulu “Update İşlemleri Yapılmış”. Bu sunucunun üzerinde Forefront Threat Management Gateway (TMG) kurulu ve yapılandırmaya hazır durumda.
Test ortamı olduğu için ben Workgroup yapıma 2 Grup tanımladım. Siz bu işlemi Active Directory ortamınızda daha rahat şekilde yapabilirsiniz.

Grup 1                                                                                Grup 2

Grup İsmi           : Satış                                                   Grup İsmi           : Muhasebe


Grup Üyesi        : Ufuk                                                  Grup Üyesi        : Berk

Ufuk ve Berk kullanıcıları ilgili gruplara üye edildi.

image001

image002

Yukarıda ki işlemlerimizden sonra TMG üzerinde mutlaka yapmamız gereken bir ayar var.

TMG Management Console > Networking  > Internalın properties kısmına geliyoruz.

image003

Web Proxy sekmesine geldikten sonra Authenticationbölümüne tıklıyoruz.

image004

Require all users to authenticate kutucuğunu işaretliyoruz.  Bu işlem sayesinde kimlik doğrulama’yı aktif hale getirmiş olduk.

image005

İşlemlerimize başlayalım. Öncelikle Internet Explorer’a TMG İsim veya IP fark etmez proxy bilgisini girdim. www.cozumpark.com sitesine bağlanmaya çalıştım.

Benden bir Usernam ve Password istedi. Yukarıda ki işlem sayesinde bu ekranı aldık.

image006

Şifre bilgimi giriyorum ve okey diyorum.

image007

Başarlı bir şekilde giriş yapabildik.

image008

Ancak şifre ekranını Cancel ile geçmeye çalışsaydık bizim siteye erişimimizi engelleyecekti.

image009

Normal kural yapımda Authenticate olan bütün kullanıcılar sınırsız olarak internete çıkabilir durumdadır.

image010

Öncelikle Muhasebe ve Satış departmanında ki Ufuk ve Berk kullanıcılarını TM üzerine ekleyelim.

Bu işlem için TMG Management üzerinde ki Toolbox altında Users kısmına gelip, New butonuna tıklıyoruz.

image011

Departman ismini belirtiyoruz. Next ile sonra ki adıma geçiyoruz.

image012

Kullanıcımızı ekliyoruz.

image013

image014

Muhasebe grubumuzu ekledik.

image015

Aynı şekilde Satış grubumuzuda oluşturup, Ufuk kullanıcısını gruba ekledik.

image016

Bu işlemlerden sonra Domain Name Sets oluşturmamız gerekiyor. Toolbox > Network Objects > New butonuna tıklayıp, Domain Name Set kısmına geliyoruz.

image017

Yasaklayacağımız Domain uzantılarını belirtiyoruz. Belirtirken *.com,*.com.tr gibi eklememiz gerekiyor. Ben 4 adet Domain uzantısı ekledim. Siz daha da sert bir kural olması için bütün uzantıları ekleyebilirsiniz.

image018

Şimdi bir kural yazalım ve kontrol edelim.

Firewall Policy > Sağ Klik > New > Access Rule kısmına tıklıyoruz.

image019

Kural ismimizi belirtip, sonra ki adıma geçiyoruz.

image020

Bu işlemimiz engelleme amaçlı olduğundan Deny kısmını seçip sonra ki adıma geçiyoruz.

image021

Sources > Internal seçiyoruz.

image022

Destinations kısmında oluşturduğumuz Domain Name Set’i belirtiyoruz. Yani Yasaklı Domainler.

image023

image024

Bütün kullanıcıların etkilenmesi için Set Users kısmından All Users seçili bir şekilde kuralımı oluşturuyorum.

image025

image026

Bu kuralımız Proxy ile internete çıkan tüm şirket çalışanlarımızı etkileyecektir.

Kuralımız çalışıyormu test edelim. Ufuk kullanıcısı ile google.com’a bağlanmaya çalışacağım.

Tmg başarılı bir şekilde .com uzantısını engelledi.

image027

Loglarımızı kontrol edelim.

image028

TMG loglarında Rule,Request,Protokol ve User bilgilerini görüyoruz.

Şimdi Muhasebe ve Satış Departmanları için 2 adest URL SET oluşturmamız gerekiyor.

Toolbox > Network Objects > New > URL Set tıklıyoruz.

image029

Muhasebe İzinli URL Set’ine google.com ve CozumPark.com siteleri için izin verdim.

image030

Satış İzinli URL Set’ine ufuktatlidil.com ve microsoft.com siteleri için izin verdim. URL Setlerimiz oluştu.

image031

image032

2 Tanede kural yazalım Satış ve Muhasebe için. Muhasebe için bir örnek kurala hemen yapalım.

image033

image034

image035

image036

image037

image038

image039

Kuralımızı özetleyelim ,

Rule Name         : Muhasebe İzinli Siteler
Action                  : Allow

Protocols            : HTTP , HTTPS

From / Listener                : Internal

To                          : Muhasebe İzinli “URL Setimiz”

Condition           : Muhasebe “Berk Kullanıcısı”

Bu kural sayesinde Muhasebe Departmanın’da çalışan Berk kullanıcısı Muhasebe İzinli URL Set’inde belirttiğimiz www.google.com ve www.cozumpark.com sitelerine erişim sağlayacak, ancak diğer .com , .com.tr , .net ve .net.tr uzantılı sitelere erişim sağlayamacaktır.

Satış Departmanı içinde kuralı aynı şekilde yazalım.

Rule Name         : Satış İzinli Siteler
Action                  : Allow

Protocols            : HTTP , HTTPS

From / Listener                : Internal

To                          : Satış İzinli “URL Setimiz”

Condition           : Satış “Ufuk Kullanıcısı”

image040

Bu kural ilede Satış Departmanın’da çalışan Ufuk kullanıcısı Satış İzinli URL Set’inde belirttiğimiz www.ufuktatlidil.com ve www.microsoft.com sitelerine erişim sağlayacak ancak diğer .com , .com.tr , .net ve .net.tr uzantılı sitelere erişim sağlayamacaktır.

Muhasebe kuralımızı kontrol edelim. Berk kullanıcısı google.com ve cozumpark.com adreslerine erişim sağlaycakmı görelim.

Şifre bilgisini giriyorum.

image041

www.google.com

image042

www.cozumpark.com

image043

Loglardan kontrol edelim.

Rule,Source,Request,Protocol ve User bilgilerini görebiliriz.

image044

Berk kullanıcısı ile izin verdiğimiz sitelerin dışında bir siteye girmeye çalışalım. Örnek www.ufuktatlidil.com

image045

Log üzerinden tekrar baktığımza www.ufuktatlidil.com adresine Berk kullanıcısının giremediğini, girişi engelleyen kuralın’da Blocked Domain Set kuralı olduğunu görüyoruz.

image046

Satış kuralımızı kontrol edelim. Ufuk kullanıcısı www.ufuktatlidil.com ve www.microsoft.com adreslerine erişim sağlaycakmı görelim.

Ufuk kullanıcısının Şifre bilgisini giriyorum.

image047

www.ufuktatlidil.com adresine giriş yapabildik.

image048

Logları kontrol edelim.

Rule,Source,Request,Protocol ve User bilgilerini görebiliriz.

image049

Ufuk kullanıcısı için www.cozumpark.com adresine izin vermemiştik. Bakalım giriş yapabilecek mi?

image050

Loglara’da bakalım.

image051

Biraz log takip işlemini’de görmüş olduk aslında :)

Makalemizin sonuna geldik. Bir çok ISA,TMG kullanın IT Admininin ortak sorununa  yönelik bir çalışma olduğunu düşünüyorum.  Umarım faydalı olmuştur.