Kurumsal ortamlarda MSN Messenger, Skype gibi uygulamaları Microsoft teknolojileriyle nasıl engellersiniz?

  • Article

Kurumsal ortamlarda verimli çalisma degerlendirildiginde, Internet üzerinden kullanilan haberlesme teknolojileri üzerinde kontrol uygulanmasi gündeme gelir. Bu islem yönetici gözüyle bakildiginda çok basit gibi gözükmekle beraber teknik olarak zor bir problemdir. Bunun temel sebebi bu tür uygulamalar, gelisen güvenlik teknolojilerine uyum saglayacak sekilde evrimlesmislerdir.

Internet’ten haberlesme bundan yillar önce popular oldugunda kullanicilar güvenlik duvari kullanmadigindan her uygulama kendine ait portlar kullanarak Internet’e çikacak sekilde yazilmaktaydi. Kurumsal ortamlarda güvenlik duvarlariyla Internet gezginleri için kullanilan portlar disindakiler kapatildiginda sorun çözülebiliyordu.

Ikinci nesil uygulamalar Internet gezginleri için kullanilan HTTP protokünü kullanmaya basladilar. Hatta kurumsal ortamlarda kullanilan web proxy geçis kapilarini da kullanabiliyorlardi. Güvenlik duvarlarinda bu portlar kapatildiginda Internet erisimi durdugundan baska çözümlere ihtiyaç vardi. Kullanilabilecek yöntemlerden biri bu uygulamalarin baglanti kurdugu sunuculari bulup onlara erisimi kapatmakti. Ancak dünya üzerinde bu tür hizmetleri veren servis saglayicilar yüksek erisilebilirlik sebebiyle pek çok yerde sunucu bulundurmakta ve bunlarin IP’leri de siklikla degismekteydi. Dolayisiyla bugün IP’leri belirleyip kapatsaniz bile, yarin MSN Messenger yada benzer bir uygulama baska sunuculari deneyerek Internet’e çikabiliyordu. Bu sorunu asmak için HTTP protokolünün içini de tarayan güvenlik duvarlari gerekliydi. Bu isleme uygulama seviyesinde filtreleme deniyor. Gönderilen paketlerin Internet gezgini mi ya da haberlesme uygulamalari mi oldugunu gönderilen istegin baslik kismindan ögrenmek ve istegi engellemek mümkün hale geldi.

Bazi haberlesme uygulamalari, güvenlik duvari kisitlamalarindan kurtulmak için haberlesmeleri kriptolu yapilan HTTPS (SSL) protokolüne kaydirdilar. Bu durumda uygulama seviyesindeki paketlerin içerigi sifrelendigi için güvenlik duvarlari çaresiz kalmislardi. Kurumsal ortamlar için çok tehlikeli olan zararli kodlar kendilerini bilgisayarlara aktarirken bu yöntemleri kullanmaya basladigindan tehlike büyüktü. Bunun çözümü olarak HTTPS inspection yöntemi gelisti. Bu yöntemde kullanici SSL kullanan bir siteye baglanmak istediginde güvenlik duvari ona kendi sertifikasyla cevap verip, Internet’teki siteye kendisi baglaniyor. Böylece güvenlik duvari içinden geçen trafigi izleyebiliyor.

Yukarida deginilen bütün teknolojiler Microsoft Threat Management Gateway (TMG) 2010 ürünü ile saglanabilir. Bu amaçla Internet çikisinda sadece HTTP/HTTPS trafigine izin verecek sekilde ayar yapilmasi gereklidir. Diger protokollerle çikis zaten güvenlik sebebiyle özel durumlar haricinde tercih edilmemelidir. Daha sonra HTTP Inspection özelligi devreye alinarak HTTP header’lardan User-Agent içerisinde ilgili uygulamanin imzasi aranarak (Örnegin MSN messenger vs) bu isteklerin durdurulmasi ayarlanmalidir. Son olarak eger gerek duyulursa kurumsal ortamlarda bulunan sertifika makamindan TMG sunucusuna bir sertifika verilerek bu sertifikaya istemcilerin güvenmesi saglanir ve belirli trafikler için HTTPS inspection devreye alinabilir. Bu özellik kurumsal ihtiyaçlara göre çok esnek bir sekilde ayarlanabilir ve özellikle kullanici bilgisayarlarina zararli kodlar indirilmesi Malware Inspection özelligi sayesinde engellenir. Ayrica TMG içerisinde kategori tabanli filtreleme özelligi sayesinde bu tür uygulamalarin baglandigi sitelere gidis de engellenebilir. Kategori bilgileri sürekli güncellendiginden yukarida deginilen güncel tutma zorunluluguna da gerek kalmaz.

Günümüzde kurumsal sirketlerin Internet’ten gelebilecek tehlikelere karsi kendilerini korumalari zorlasmaktadir. Bu durumda Microsoft Threat Gateway ürünü kurumsal ortamlarin kapsamli ihtiyaçlarina cevap verecek, esnek ve yüksek güvenlikli çözümler üretmek mümkündür.