Bulut Bilişim gelişen modern teknoloji ile birlikte yaşamın vazgeçilmez bilişim kaynağı olmaya devam etmektedir. Buluta sahip olmanın birçok avantajı bulunmaktadır. Kurumların, şirketlerin uygun altyapı özellikleriyle modern dünyada var olması için bir köprü oluşturmuştur. Güvenlik günümüzde her alanda olduğu gibi bulut bilişiminde özellikle odaklandığı anahtar durumlardan birisidir.

Bulut Bilişim, yazılım uygulamaları, veri depolama hizmeti ve işlem kapasitesi gibi hizmetleri, internetin bir evrim ötesinde, detaydan soyutlayacak şekilde sunan mimari modeldir. Süper bilgisayarlar ve grid bilişim sonrası sanallaştırma teknolojisi gibi kavramlarla bütünleşerek hız kazanmıştır.

İş yükü genişlemeye başladığında sağladığı kaynakları arttırarak sistemin devamlılığını sağlar. Bu kaynaklar verinin depolanmasından, uygulamaların çalıştırılmasına kadar uzayan bir genişlikte servis alanını kapsayabilir. Bulutun ilk uygulamaları depolama, yedekleme amacıyla olmuştur.  Hepimiz internetten elektronik postalarımıza girerek, video izleyerek zaman zaman bulut sisteminin basit birer müşterisi olmuşuzdur.

Bulut Bilişimin sağladığı avantajlar oldukça geniş bir alanı kapsamaktadır. Kolay yönetim, maliyetlerin düşürülmesi, felaket yönetimi, esneklik, verimlilik ve yüksek erişilebilirlik bulut bilişimin sağladığı avantajlardan bazılarıdır:

Örneğin bir fabrika var ve bu fabrikada işçiler bütün işlemlerini kendi sistemleri üzerindeki uygulamalardan yapıyorlar. Ancak fabrika genişlemeye başladığında kaynakların yetmediğini düşünelim. Böyle bir sorunla karşılaşıldığında, uygulamaların çalışmasını sağlayan fiziksel sunucunun desteklediği ölçüde bir iyileştirme yapılması gerekebilir. Bu iyileştirme sırasında yapılan işlemin zorluğuna bağlı olarak hizmetin kesintiye uğrama süresi saatleri bulacak düzeyde artabilir. Fakat bulut olsaydı, bu iyileştirme işlemi dakikalar ile ölçülecek bir süre içinde yapılabilecekken, kullanılan sanallaştırma yazılımına bağlı olarak sunucular çalışır vaziyette iken dahi yapılabilmektedir. Bu sayede hem insan hem iş gücü azalmış olurken, hem de servis kesintisi en aza indirgenmiş olacaktır. İşte bulut bilişimde esneklik buradan gelmektedir.

Verimlilik, sunucuların etkin kullanımından gelmektedir. 5 sunucunun %20 işlemci kullanımıyla calıştırıldığı bir ortamda sunucu başına %80 israfdan bahsedebiliriz. İşte bulut uzerindeki sanallaştırma sayesinde bu 5 makinenin tek bir makine üzerinde toplanmasıyla verimlilik sağlanabilirdi. Ek olarak sunucuların elektrik, bakım, işletim maliyetlerinden de önemli ölçüde kâr sağlanacakdı.

Yüksek erişilebilirlik, günümüzde şirketlerin 1 dakika kesintiye bile razı olmamasından dolayı bulut mimarinin olmazsa olmazlarındandır. Birçok şirketin hizmetlerinin 1 dakika kesintiye uğramasi bile yüksek  miktarlarda zarara sebep olabilmektedir.

Bulut Bilişim sahip olunan bulut tipine bağlı olarak bir takım dezavantajlar da içermektedir. Sürekli internet bağlantısı gerektirmesi,  sistem güncellemelerinin hizmet sağlayıcısı tarafindan yapılması nedeniyle müşterilerin değişen boyutlarda etkilenmesi, deneyimsiz bulut operatörleri ve güvenlik boyutu sebepleriyle çekinceler oluşturmaktadır.

Güvenlik problemi günümüzde her alanda olduğu gibi bulut mimaride de başlıca problem sahalarından birisidir. Verinin gizliliği, korunması güvenlik alanlarında kilit rol oynamaktadır. Normalde bulut, daha fazla bir alana hitap edebilecekken güvenlik konularından dolayı büyük bir yatırımcı kitlesini kaybetmektedir. Çünkü geleneksel sistemlere nazaran bulutdaki veri kötü niyetli kişiler için daha fazla ilgi çekmektedir.

Güvenlikde ki anahtar teknolojilere bakacak olursak sanallaştırma, sanal makineler üzerindeki sanal güvenlik duvarı mantığı, kimlik yönetimi, erişim kontrolü, hesap verilebilirlik ve tabi ki kendini ispatlamış bulut sağlayıcısı kullanımı ön plana çıkmaktadır.

BULUT BİLİŞİM ALTYAPISI SERVİS MODELLERİ

Bulut Bilişimde servis modelleri sağladığı desteğe göre kademeli olarak birbiri üzerinde oluşacak şekilde 3’ e ayrılır. Şekilde bulut bilişim servis modellerini görmektesiniz.

Bulut Bilişim Servis Modelleri

Yazılımlar, platformlar üzerinde çalışmakta iken, platformlar ise doğal olarak altyapı üzerine kuruludurlar. Servis modelleri:

Servis olarak yazılım (Software as a Service, SaaS): Kullanıcının uygulamaları yüklemeden, konfigürasyon ayarlarını yapıp çalıştırmasına gerek kalmadan direk kullanmasına dayanan bir modeldir. İçerisinde mail, takvim, ofis uygulamaları, konferans programları barındıranve kurumlar için kolaylıklar sağlayan uygulamalar bunlara örnektir.

Servis olarak platform (Platform as a Service, Paas): Kullanıcının isteğine göre ya da standartlara göre  uygulama  geliştirme, çalıştırma ortamı, tamamlayıcı  servisler  ve  altyapılarını sağlar.

Servis olarak altyapı (Infrastructure as a Service, Iass):  Kullanıcının  ağ, depolama, işlem kaynaklarını servis olarak kullanmasıdır. Bu hizmeti kullanan müşteriler ise çok çeşitli yelpazede bir yapı içermektedirler. Müşterilerin bir kısmı altyapılarını bütün olarak buluta yükleyerek bulutun esnekliğinden faydalanmışken, bazı müşteriler ise bir kısım sunucuları kendi kontrolü altına almışlardır.

BULUT BİLİŞİM TİPLERİ

Kurumlar, şirketler yapılarına, verilerinin güvenlik derecesine, birbirleriyle olan çalışılabilirlik durumlarına göre hangi bulut tipinde yer alacakları bakımından sınıflandırılırlar.

Genel Bulut:  Kullanıcılar arayüzler  aracılığıyla buluta erişip kullandıkları kadar öderler. Servis sağlayıcıları hiçbir zaman sunucularına direk erişim vermezler, erişim internet aracılığıyla olur. Bu tür yapılardaki veriler, saldırılara karşı her zaman daha ön plandadır.

Özel Bulut: Kuruma özel olarak oluşturulan, intranet benzeri bir ortam sağlayan, kontrol ve uyarlanabilirlik bazında kurum bazlı ayarlamaların da yapılabildiği, güvenliğin ön planda olduğu modeldir.

Hibrid (Karma) Bulut: Genel ve özel bulutun karmasıdır. Özel buluta sahip olan kurumlar gerekli gördüğü durumlarda genel bulutdan da faydalanırlar ancak güvenlik yine ön plandadır.

Topluluk (Ortaklık) Bulutu: Birden çok birbiriyle ilişkili kurumun bir bulut altyapısını kullandığı modeldir. Kaynaklar herhangi bir kurumca özel bulut mantığında yönetilebilecegi gibi bir sağlayıcı tarafindan da yönetilebilir. Veriler ve yazılımlara kurumlarca erişim sağlanabilir.

Uygulamaların hizmet sürelerini optimize etmek açısından bulutun altyapısı ile olan etkileşimi önemlidir.

Buluttan bahsederken sanallaştırma konusuna değinmemek olmazdı çünkü bu muazzam teknoloji bulut mimarinin en temel yapı taşlarından birisidir. Bir fiziksel kaynağı birden fazla mantıksal yapıya bölerek fiziksel kaynaktan tam anlamıyla faydalanmaktır. Böylece kaynaklar verimli kullanılır. Sanallaştırmanın limitlerine ulaşıldığında sistem en uygun durumdaki başka bir fiziksel sunucuya aktarılabilmektedir.

Bulut modeli, bilişim dünyasına yeni bir bakış açısı getirmiştir. Günümüzde kurumlar birçok hizmeti dışarıdan almaktadırlar. Bilgi teknolojilerinin hızlı gelişen, karmaşık bir yapıda olmasından dolayı bu karmaşık ortamın yönetilmesi işlemi, kurumlar için kendi alanları dışında zor ve maliyetli durumlar oluşturmuştur. İşte bu noktada bulut gerekli desteği sağlamaya çalışarak çözüm üretme sürecinde önder teknolojilerden birisi olmuştur.

Bulut Bilişime Etmen Tabanlı Yaklaşım

Son yılların diğer popüler konularından birisi olan etmen / mobil ajan teknolojisinin de (mobile agents) sahip olduğu birçok özellik ile bulut bilişim sistemlerinde yerini almaya başladığı görülmektedir.

NEDİR ETMEN ?

Etmen sorumluluğundaki işleri gerçekleştirmek için çalışan yazılım veya donanım bileşenidir. Mobil ajan ismiyle de Türkçemizde anılmaktadır ancak ben etmeni tercih ediyorum. Etmenler dağıtık çalışmaya müsaittirler. Yaratıcılık, mobilize, otonomi, zekilik gibi birçok özelliğe sahip olup birbirleriyle haberleşirler ve farklı platformlardaki makinelere taşınabilirler. Günümüzde sistemlerin dağıtık yapıdan mobil yapıya kaymaları nedeniyle etmen tabanlı yaklaşım bulut mimari içerisindeki yerini yavaş yavaş almaya başlamıştır.

Aslında Javacı arkadaşlarım EJB’leri (Enterprise Java Beans) bilirler, bir ara bu konu hakkında da detaylı bir şekilde yazmak istiyorum. Etmen teknolojisini okurken direkt aklımda EJB’ler canlanmıştı bu sebeple bu girdiyi yaptım

Dipnot: //Etmen mantığı = EJB mantığı//

Bulut bilişim teknolojisi, gelişmelerini sürdürmeye devam etmesine rağmen tüm dünyadaki bulut bilişim sağlayıcıları tarafından birlikte çalışılabilirlik ve taşınabilirlik konularında bir standart olmaması bakımından sorunlar içermektedir. Kullanıcıların yoğun, sonsuz istekleri karşısında kısıtlı sağlayıcı hizmeti ve sağlayıcının hizmet veremediği durumlar nedeniyle, buluta şüpheyle yaklaşılmaktadır. Bunun için etmenin mobil özelliğinden faydalanarak bulut bilişim sağlayıcıları arasında birlikte çalışılabilirlik ve taşınabilirlik konularında standartları belirlemek için Etmen Tabanlı Açık Bulut Bilişim MABOCCF (Mobile Agent Based Open Cloud Computing Federation) fikri düşünülmüştür.  Şekilde Mobil Etmen Tabanlı Açık Bulut Bilişim Federasyonu Mimarisi görülmektedir.

Mobil Etmen Tabanlı Açık Bulut Bilişim Federasyonu Mimarisi

Mimariye göre Java sanal makinesi (Java Virtual Machine, JVM) ve mobil etmen alanının (Mobile Agent Place, MAP), her sanal makinenin bulut bilişim alanına (Cloud Computing Region, CCR) otomatik olarak yüklendiği varsayılıyor. Burada sanal makine veya fiziksel makine, görev yöneticisi (Task Manager, TS) gibi çalışıyor ve diğer bulut sağlayıcılarının görev yöneticileri ile sürekli etkileşim halinde bulunmaktadır.  Mobil etmen alanı, üzerinde çalışan etmenleri ve kaynakları güncelliyor.

Bu standarda göre, işlemler mobil etmene sarmalanmış ve mobil etmen, bulut bilişim üzerindeki mobil etmen alanında kaynakların yetersiz kaldığı durumlara göre veya makinelerde çıkabilecek arıza durumlarına göre diğer bulut sağlayıcılarının (Cloud Computing Service Provider, CCSP) alanlarına veya kendi bulutlarındaki mobil etmen alanlarına geçiş yapabiliyor. Bu geçişin aktif veya pasif olarak yapılabileceği varsayılıyor.

Böylece görev yöneticileri üzerinden yapılan paylaşımlar vasıtasıyla bulut bilişimde hizmet sağlayıcısına göre ayarlanabilir ve sınırsız olan kaynak kullanımı, bütün bulut sağlayıcılarının ortak bir alanda buluşması nedeniyle tam anlamıyla sürdürülebilir sınırsız kaynak kullanımına ulaşıyor.

Etmenin mobil özelliğinin yanında zeki olması özelliğinden de bulut bilişimde faydalanılması gerektiği düşünülmüş. Buna göre etmen, zekilik özelliğiyle sanal makine üzerindeki mobil etmen alanlarında mevcut is yüklerini hesaplayabilir, bulutlardaki aktif servisleri takip edip, bulutlar arası mesafeleri hop sayılarından hesaplayarak veritabanında bu sonuçları ileriki zamanlarda kullanmak üzere saklayabilir. Bu hesaplamaları, performansı düşürmemek amacıyla çalışmadığı zamanlarda yapabilir.

Bulut bilişime etmen tabanlı yaklaşım, gelecekte bulutun yerini sağlamlaştırması açısından olması gereken anahtar teknolojilerden birisini oluşturacağını düşünmekteyim.

Merhaba, bu makalemde sizlere IBM ürünü Lotus Domino Server’ın yeni sürümü olan  9.0.1  kurulumunu anlatacağım. Ancak makalemin ilerleyen bölümlerinde ise kurulum sonrası kullanım ve farklı konu başlıkları ile paylaşımlarıma devam edeceğim.

Makaleme başlamadan önce sizlere öncelikle şirket ihtiyaçlarınız için en doğru ürün lisanslamasını seçmenizi öneririm. Bu noktada aşağıdaki link yardımı ile sürümlerin arasındaki farklı görebilirsiniz.

http://www-03.ibm.com/software/products/en/ibmdomino

Gelelim makale konumuza, kurulum için tabiki ilk şart sistem gereksinimleri. Ben bu makalemde temel kurulum anlatmayı hedefliyorum, yani banka, Telekom veya GSM gibi büyük organizasyonlardan öte daha çok kobi gibi orta ölçekli firmalar için Lotus kurulumunu hedefledim. Malum bahsi geçen kurumlar için hangi konuda makale yazılır ise yazılsın bir hayli uzmanlık ve zaman gerektirmektedir.

Peki sistem gereksinimlerini inceleyerek başlayalım;

Eğer gereksinimler hazır ise indirdiğimiz ürünü kurmaya başlayalım. Ben server 2012 R2 üzerinde kuracağım.

Next ile devam ediyoruz.

lisans sözleşmesini kabul edip devam ediyoruz.

Bu ekranda server’ın kurulacağı dizini belirleyebiliriz. Ayarları değiştirmeden devam ediyoruz. Ama “Domino Partitioned servers” seçeneği ise kurulumu yapa kullanıcı bu sunucu üzerinde birden fazla domino server kurulum yapmasını sağlar. Böyle bir kurulum yapmayacağımızdan devam işaretlemeden devam ediyoruz.

Data dosyalarını saklayacağı dizini belirtiyoruz.

Burada karşımıza 4 seçenek çıkar.
Domino Utility Server: Sadece application(uygulama) servislerini yükler. Aynı zamanda Domino Cluster desteği vardır. Fakat Mesajlaşma servisi için destek içermez.
Domino Messaging Server: Mesajlaşma servisi desteği bulunur. Cluster ve uygulama servisi desteği yoktur.
Domino Enterprise Server: Hem uygulama hem de mesajlaşma servisi desteği vardır. Aynı zamanda Domino Cluster hizmetini bünyesinde barındırır.
Customize: Bu seçenek ile yüklenecek uygulamaları ve servisleri manuel seçebiliriz.
Biz enterprise sürümünü seçip devam ediyoruz.

Bütün seçimlerimizin bu pencerede özetlerini görüyoruz. Next deyip kuruluma başlıyoruz.

Finish deyip kurulumu tamamlıyoruz.

Sonra ki işlemimiz, Server için gereken temel ayarları yapmamız gerekli. Lotus Application Lotus Domino Server ‘ı çalıştırıyoruz.

Uygulama ya da Windows servisi olarak mı başlasın.

Font ayarlarını bu pencereden yapabilirsiniz. Next diyoruz.

Bu pencerede 2 seçenek mevcut;

Set up the first server or a stand-alone server: Sunucuüzerinde ilk ve tek server  kurulacaksa bu seçeneği işaretliyoruz.

Set up an additional server: Yapıda eğer Lotus Domino Server var ise ek olarak bir tane daha Domino server eklemek için işaretliyoruz.

Biz ortamda sadece tek sunucu olucağı için ilk seçeneği işaretliyoruz.

Serverımıza isim veriyoruz. İsterseniz tanımda girebiliriz.

I want to use an existing server ID file  Daha önce oluşturduğumuz id  seçerek yeni oluşturacak id’yi seçmemizi engeller. Id data’nın altına kaydedilir.

Domino Server Organizasyonumuz için isim veriyoruz. Bütün kullanıcıların bağlı olduğu penceredir ve bu organizasyona şifre giriyoruz.

Organizasyon için domino domain ismi girmemiz gerekiyor ve organizasyon isminden farklı olabilir.

Burada Administrator id ve şifre oluşturmamız gerekli. Çünkü yönetimi sağlamak adına yapılan işlem.

Hangi servisin çalışmasını istiyorsak buradan seçimleri yapabiliriz.

Not: Bu pencerede dikkat edilmesi gereken durum ise, burada LDP servisi başlatıldığında başka bir servis tarafından kullanılıyorsa, mesela Active Directory yüklü ise çakışma yaşayabilirsiniz. Çözümü ise Domino Server Konfigürasyon ayarları üzerinden LDP portunu değiştirip bu gibi durumların oluşmamasını engelleyebiliriz.

customize tıklayarak network ayarları yapıyoruz.

İlk seçenek veri tabanını oluşturup güvenliğini sağlıyoruz. İkinci seçenekte ise admin grubunu oluşturup gereken kullanıcılara yetki vermek için kullanılır. Ayarları değiştirmeyip devam ediyoruz.

Setup deyip ayarları başlatıyoruz.

Finish deyip Domino Server ayarlarını tamamlamış oluyoruz.

Bundan sonraki anlatımdan Domino Administrator  Client ile yönetim ayarlarını yapmış olacağım.

Daha önceki makalemde IBM Domino Server’ı kurulumunu tamamladık. Bu makaleme aşağıdaki link üzerinden ulaşabilirsiniz

http://www.cozumpark.com/blogs/bm/archive/2015/07/19/_3101_bm-lotus-domino-9-bolum-1-kurulum.aspx

Bu makalemizde Domino sunucumuzun yönetim konsolunu kuracağız.

Kurulum dosyasından Setup.exe tıklayarak kuruluma başlıyoruz.

Next diyoruz.

Lisans sözleşmesini kabul edip ilerliyoruz.

Burada programı yükleyeceğimiz dizin yerini belirliyoruz.

Yükleyeceğimiz IBM Domino Administrator tabına geliyoruz.

IBM domino Administrator ve alt programlarını işaretliyoruz. Next ile ilerliyoruz.

Install diyip kuruluma başlıyoruz ve sonrasında finish diyip kurulumu tamamlıyoruz.

Masaüstünde    IBM Domino Admin simgesine tıklıyoruz.

next diyoruz.

Bu pencerede Your Name kısmına Domino Server kurulumunda yönetecek kullanıcıyı yazıyoruz. Domino  server kurulumunda  kullanıcı Administrator  olarak yazmıştım . Domain Server kısmına ise Sunucumuzun Adı/Organizasyon ismi  -> MAILSERVER/leventbebek olarak yazıyorum.

I want to connect to a Domino Server  seçeneği ise ortamda bulunan Domino Server bağlanmak için.

Belirlediğimiz  Administrator kullanıcsının şifresini giriyoruz.

Domino Administrator Client Management açılış ekranı ve temel ayarları tamamlamış olduk.

Domino Administrator Client  Kullanıcı oluşturma

Poeople & Group / People / Tools People / Register

Yukarıda olduğu gibi sekmeyi  takip ederek kullanıcıyı oluşturacağımız pencereye ulaşıyoruz.

Oluşturmadan önce bizden admin şifresini girmemizi istiyor.

Kullanıcıyı oluşturmak için yapacağımız pencere karşımıza geldi.

Basics sekmesinde kullanıcı adı soyadını yazıyoruz. Short name’mi otomatikman kendisi oluşturuyor , isterseniz kendinizde belirleyebilirsiniz ve password belirliyoruz.

Mail sekmesinde ayarlar otomatik olarak geliyor. Ama ayar yapmamız gerekten durum mail kotasıdır.

Set database  quota in megabytes -> kota boyutunu belirliyoruz.

Set warning threshold in megabytes -> belirlediğimiz rakamda kotaya ulaştığında bizi uyar. Belirledikten sonra sonra ki sekmeye geçiyoruz.

Address sekmesinde bilgiler otomatik olarak geliyor ve değişiklik yapmadan devam ediyoruz.

ID info sekmede

Certificate expiration date: Sertifika geçerlilik süresi

Public key specification : Sertifika şifreleme çeşiti

Licence type: Lisans tipi

In file seçeneği ise oluşturacağımız kullanıcının id’sini  kendi lokasyonunda saklaması için kullanılan seçenektir.

Groups sekmesi burda kayıt açtığımız kullanıcılara örneğin departman  bazı oluşturulan gruba üye ediyoruz.  Sol tarafta grup isimleri mevcut ve üye yapacağımız grubu seçip add ile ekliyoruz.

Yukarıda ki resimde çek işaretli butona tıkladığımızda kayıt aşağıya düşüyor ve register tıklıyoruz.

Bu hatayı alıyor iseniz basics tabında  password kısmında ayar yapmanız gerekir.

Burda weak ve strong çizgisi var.  Bu çizgi güvenlik düzeyini artırıp azalta biliyorsunuz. Verdiğimiz şifre bu ayarda güvenliği düzeyi kabul etmediği için hatayı alıyorsunuz. Ben bu seviyeyi 5 adıma kadar düşürdüm.

Tekrardan register dediğimizde işlem tamamlamış oluyoruz.

F9 dediğimizde oluşturduğumuz kullanıcıyı geldiğini görüyoruz.

Bu makalemizde Fortigate utm üzerinde VPN bağlantısı sırasında SSL sertifika kullanımını ele alıyor olacağız. Fortigate ülkemizde ve dünyada bir çok kurum tarafından tercih edilen UTM, Firewall, Log Depolama, Access Point gibi bir çok cihazı üreten önemli bir marka.

Yapımızda kullanılan cihaz Fortigate 100D modeli ve OS versiyonu 5. Model farkı olmaksızın versiyon 5 yazılımını kullanan tüm yapılarda aşağıda izleyeceğimiz adımlar aynı olmaktadır. Cihaz üzerinde yapılandırılan VPN işleminde cihazın kendi sertifikası kullanılmaktadır. Bu işi bir adım daha ileri götürüp global sertifika sağlayıcılardan sertifika almak isterseniz aşağıdaki adımlar size kaynak olacaktır.

İşletim sistemimiz üzerinden Forti SSL VPN yazılımından vpn bağlantısı yapmak istediğimizde aşağıdaki gibi sertifika uyarısı almaktayız. Bunun nedeni cihazın üzerinde bir sertifika bulunması fakat bu sertifikanın Güvenilir Global Sertifika üreticileri tarafından sağlanmayan bir sertifika olmasıdır.

Cihazımız üzerine Global bir sertifika ekleyerek bu sorunu ortadan kaldırabiliriz. Bu nedenle yapmamız gerekenler aşağıdaki gibidir.

System menüsünden Certificates kısmına girelim. Açılan ekranda sistemin farklı işlemlerde kullandığı local sertifikalar yer almaktadır. Biz global bir sertifika almak için gerekli kodu cihaz üzerinde oluşturabilmekteyiz. Sonra üretilen kod ile global sertifika sağlayıcılardan sertifika talebinde bulunabiliriz. Bu işlem için GENERATE butonuna tıklayalım.

Sertifika oluşturma ekranında ip, mail adresi ve Domain Name bilgisine göre sertifika oluşturulabilmektedir. Biz Domain Name mimarisine göre sertifika oluşturacağız. Yapımızda kullanılan ip bilgisi ileride değişebilir bu nedenle bizim için en mantıklı seçim Domain Name seçeneğidir.

Bu seçimi yaptıktan sonra sertifikamıza bir isim verelim.

Organizasyon bilgilerimizi aşağıdaki ekrana girelim. Biz VPN bağlantımızı SSLvpn.cozumpark.com adresimizden gerçekleştireceğimiz için Domain Name kısmına SSLvpn.cozumpark.comşeklinde domain bilgisini giriyorum. Biz bağlantımızı bu adres üzerinden yaparsak sertifika uyarısı almayacağız. Ancak ip üzerinden yaparsak yine sistemin sertifikasını kullanmak durumunda kalacağız. Yani bu sertifika sadece SSLvpn.cozumpark.com adresine hizmet edecektir. Bilgileri tamamladıktan sonra OK butonuna tıklayalım.

Şu anda aşağıda görüldüğü gibi sertifikalar ekranına sertifikamız PENDING olarak eklendi. Bu sertifikayı Global Sertifika sağlayıcılarından temin etmemiz gerekmektedir. Bu ekranda oluşturulan sertifikada alacağımız sertifikanın oluşturulması için gerekli olan CSR kodu bulunmaktadır. Download butonuna tıklayarak CSR kodumuzu bilgisayarımıza kayıt edelim.

Şu anda sertifikamızın CSR kodunu bilgisayarımıza kayıt ettik.

CSR kod sertifika üretecek olan sistemlerin kullanacağı kodları içermektedir. Bu kodlara göre sertifika oluşturmakla görevli yazılımlar bize ihtiyacımız olan sertifikayı üretirler. İçeriğine baktığımızda aşağıda olduğu gibi kriptolanmış bir takım metinler yer almaktadır.

Ben bu kodu Global Sertifika satan bir firmaya ilettim ve 3 yıllık bana gerekli olan bir sertifika temin ettiler.  Sertifika nedir ve hangi sertifikalar kullanmam gerekir gibi noktalarda mutlaka aşağıdaki makaleleri okumanızı öneririm.

Gerekli sertifikayı yukarıdaki CSR kodunu sertifika üreticisi firmaya verip elde ettikten sonra bu sertifikayı sisteme ekleme aşamasına geldi. Bu işlem için sertifika ekranımızda yer alan IMPORT menüsüne tıklayarak Local Certificate linkine tıklayalım.

Açılan ekranımızda sertifika yolu istenmektedir. Bu ekranımızda satın aldığımız sertifikayı gösterelim. Bu sertifika bize sertifika üreticisi tarafından mail olarak yollanmakta olup çok ufak bir KB’lar seviyesinde bir dosyadır. Tabi şunu da eklemek gerekir online olarak çalışan üye olduktan sonra gerekli csr kodunu verip üye ücretini ödeyerek online olarak bu sertifikayı alabileceğimiz ortamlarda bulunmaktadır.  

Sertifikamızı seçelim.

Aşağıdaki ekranımızda olduğu gibi PENDING olan sertifikamız OK duruma geldi.

Biz buraya kadar olan kısımda sertifika kodunu üretim download ettik. Download ettiğimiz koda göre sertifika satın aldık. Aldığımız bu Global Sertifikayı cihazımıza yükledik. Bundan sonraki aşamada ise cihaz üzerinde VPN yapılması durumunda bu sertifikanın kullandırılmasıdır.

Bu işlem için VPN menüsüne gelerek burada yer alan Settings sekmesine girelim. Bu ekranda Server Certificate kısmından sertifikamızı seçelim.

Listen on Interface : Burada svpn yapılırken bu vpn cihazın hangi portuna gelecekse o port seçilmedir. Ben internet dış bacağım olan Wan1 potunu seçiyorum.

Hosts : Bu ekranda VPN yapabilecek kullanıcılarımı içeren grubumu seçiyorum.

IP Ranges: Bu ekranda dağıtılacak olan ip bloğunu seçiyoruz.

Şu anda ayarlarımız tamamlandı. Şimdi bir VPN bağlantısı yapalım. Bu bağlantımızda sertifika uyarısı almadan bağlantımızı gerçekleştirdik.

Umarım yararlı olur. Bir başka makalede görüşmek dileğiyle.

Depolama alanında teknoloji büyük bir ilerleme yaşıyor. Bu durumu özellikle sosyal medya üzerinde görebiliyoruz. Cep telefonlarımız, tabletler, vs… Şimdi akıllı saatler ve giyilebilir teknolojiler hayatımıza girmeye başladı. İleride ise nesnelerin interneti diye adlandırılan teknoloji evrimi ile beraber ev eşyalarımız dahi internete bağlı olup bizler ile ve diğer cihazlarla bilgi paylaşımında bulunacak. Saniyeler içerisinde internet üzerinde çok büyük miktarlarda veriler hızla paylaşılmaya başlandı ve bu durum katlanarak devam etmekte.

İş dünyası ise teknolojiye daha çok bağlı. Bir şirketin internet erişiminin kesilmesi hayal bile edilemiyor. Firma büyüklüğüne göre saatlik ya da saniyeler bazında bir erişim problemi bile firmalarda büyük bir kayıp oluşturabilmekte.

Bunun dışında firmalarda hizmetlerini daha fazla online (çevrimiçi) olarak sunmak için uğraşıyorlar. Örnek olarak bir havayolu firması müşterilerine biletlerini ve check-in (kayıt) işlemlerini internet üzerinden yapmaları için teşvik ediyor. (Ucuz bilet, öncelik hakkı, mil, vs…) Bu şekilde firmalarda operasyonel giderlerini ve personel giderlerini azaltmış oluyorlar. Daha az personel çalıştırmış olup, daha kısa sürede daha fazla talep karşılayabiliyorlar.

Devlet kurumlarını da unutmamak lazım. Ülkeler arasında olan siber savaşları da gazetelerde okuyorsunuzdur. Teknolojiye yatırım yapmayan devletler, bunu boş bir yatırım gören ülkeler büyük kayıplar veriyor ve itibarlarını da büyük oranda kaybediyorlar.

Bu teknoloji yatırımlarının içinde storage (depolama) önemli bir rol oynamaktadır. Sizlere elimden geldiği kadarıyla anlatacağım yazı serisinin sonunda temel depolama teknolojileri hakkında bilgi sahibi olacaksınız ve firma bağımlılığı olmadan depolama ürünleri, cihazları ve yazılımları hakkında belirli bir bilginiz olacak. (Netapp, EMC, vs…) Zaten model farklılığı, kullanılan arayüz ve yazılım dışında firmalarda ürünlerini genelde temel depolama teknolojileri üzerine kurmakta ve piyasaya sunmaktadır. (RAID,Cluster,Thin provision, vs…)

Şimdi mevcut bir IT altyapısında depolamanın önemini konuşalım. IT altyapısı genelde üç katmandan oluşmaktadır. Computing (İşleme), Network (Ağ), Depolama (Storage).

Computing (İşleme) alanı bizim kullanıcılarımız, müşterilerimiz, serverlarımız, veritabanlarımız, web serverlarımız, transaction (işleme) sunucularımızdır.

Network (Ağ) ise bizim Computing (İşleme) ve Depolama (Storage) arasındaki köprümüzdür. Computing alanındaki işleme gücümüz ne kadar yüksek olursa olsun eğer network altyapımız yeterli bir kapasiteye sahip değilse performans darboğazı yaşayacağızdır. Bunu bir otoyol olarak düşünebilirsiniz.

Son olarak Storage (Depolam) bizim bu serimizde konuşacağımız esas alan olacaktır. Eğer işleme gücünüz ve network altyapınız iyi olsa da, elinizdeki bilgiyi depolayacak ve ilerideki gelişmeleri düşünerek hazır olacak mevcut bir storage altyapınız yoksa yine sıkıntı yaşayacak hatta veri kayıpları yaşayacaksınızdır. Bu yüzden depolamaya IT altyapınızda gereken önemi vermeli ve ileriye dönük planlarınızda iyi düşünmelisiniz.

Depolamayı da iki başlık altında değerlendirebiliriz. Persistent (Uzunömürlü), Nonpersistent (Kısaömürlü) depolama. Nonpersistent depolamayı volatile (uçucu) bilgi olarak ta düşünebiliriz. Buna örnek olarak RAM (Random Access Memory) modüllerini verebiliriz.

RAM modülleri çok hızlı ekipmanlardır. Günümüzdeki pek çok SSD (Solid State Disk) flash tabanlı diskler bile bu ekipmanlardan 1000 kat daha yavaş çalışmaktadır. RAM modüllerinin dezavantajı bilgisayarınızın elektriği kesildiğinde modülün üzerinde tutulan tüm bilgiyi kaybedersiniz.

Yazı serimiz daha çok persistent türü depolama üzerine olarak. Bu konuları anlatırken HP (High performance) ve HA (High availability) konularına da değineceğiz çünkü bu iki etken günümüzde IT altyapılarında büyük rol oynamaktadır.

İnsanlar artık küçük ya da büyük boyutlu fark etmeden dosyalarını hızlı bir şekilde internete yüklemek istiyor. Ayrıca bu dosyaları rahatlıkla paylaşabilmek ve her daim erişilebilir olmasını da bekliyor. Persistent türü olarak bahsettiğimiz depolama teknolojilerinde en klasik olan tür disk sürücüleri olacaktır. Ve diğer disk teknolojilerini teker teker ele alıyor olacağız.

Bununla beraber bulut depolamayı da unutmayacağız. Artık insanlar belirli bir miktar parayı aylık ya da yıllık gözden çıkararak (Dropbox kullanan biri olarak aylık 10 dolara 1TB depolama alanı kullanıyorum. Dilerseniz yıllık 100 dolarda verebilirsiniz.) tüm bilgilerini bulutta depolamayı tercih edebiliyorlar. Kullanılan disk türü, teknolojisi, vs. diğer etkenler sizi ilgilendirmiyor çünkü siz tüm sorumluluğu ve riski bulut depolama hizmeti aldığınız firmaya devrediyorsunuz. Sizin endişelenmeniz gereken tek konu ilgili servisin internet üzerinden erişilebilir olması. Bunu da firmalar artık %99,99999 oranında garanti ediyorlar. (Dropbox,Google Drive, AWS, vs.)

Birazda zamanda geriye gidip 1956 yılında IBM firmasının RAMAC 350 modeline internetten bakmanızı öneririm. Koca bir oda büyüklüğünde bir cihazdı ve depoladığı miktar sadece 4MB’tı. Şimdi konuştuğumuz şeylerin yanında çocukça kalıyor.

Serimizin bir sonraki bölümünde görüşmek üzere…

Portalımızda Cluster servisi ile çok detaylı makaleler anlatıldığı için burada fazla detaya girmeden özetle Cluster Servisini anlatmak gerekirse, Windows’un servislerinizin yüksek erişebilirliğini sağlamak için kullanılan servistir. Cluster ile sunucu yedekliliği hedeflenmektedir.  Bu makalemizde sizlere Windows Server 2012 R2 ile birlikte Cluster servisindeki yenilikleri anlatacağım.

Konuyu detaylandırmadan önce aşağıda hazırlamış olduğum özet tabloda görüleceği üzere geliştirilen 7 özelliğin 5’i Hyper-V alanında. Yeni gelen 10 özelliğin üçü de Hyper-V ortamı için. Görüleceği üzere Windows Server 2012r2 ile gelen sanallaştırma servisi olan Hyper-V hem sürümü üçe yükselmiş oldu hem de Cluster servisindeki yeniliklerle servis sürekliliği arttırılmış / iyileştirilmiş oldu.

Şimdi yukarıdaki özet tabloda verilen bilgilerin detayını 2 ana başlık altında inceleyelim.

1)     Genel Cluster Servisindeki Yenilikler

Cluster Bağımlılıklarının Azaltılması:Server 2012R2 öncesindeki işletim sisteminde Cluster kurarken 1196 ve 1579 Event numaralı hata mesajların alınmaması ve sonradan soruna neden olmamak adına Cluster ve Servis isimlerini, DNS ve AD üzerinde oluşturup yetkilendirirdik. Artık buna gerek kalmadan Cluster’ı kurup PowerShell üzerinden yazılacak New-Cluster –AdministrativeAccessPoint komutu ile işlemi tamamlayabileceğiz. Detaylarına aşağıdaki linkten ulaşabilirsiniz.

https://technet.microsoft.com/en-ie/library/dn265970.aspx

Özellikle Kerberos Authentication yapılarındaki Cluster kurulumlarında tercih edilen bir yöntemdir.

Dynamic Witness: Aşağıda linkini verdiğim makalede “Split Brain” senaryosuna ve Quorum modellerini detaylı anlatmıştık. Cluster’ımızın kontrolsüz bir şekilde down olma durumunu engellemek için Server 2012 ile tanıştığımız Dynamic Quorum ile istediğimiz sunucunun oy hakkını alabiliyorduk. Bunu daha çok WAN üzerinden çalışan Multi Site Cluster yapılardaki uzak node’ların veya Always On SQL Cluster yapınızdaki AG node’umuzun oy hakkının alınarak olası bir problemde Cluster’ın down olmasını önlemek için kullanmaktayız.

http://www.cozumpark.com/blogs/windows_server/archive/2014/03/02/microsoft-cluster-mimarisinde-quorum-yapilandirmasi-ve-split-brain-senaryosu.aspx

Yapılan çalışmalar sonucunda Dynamic Witness’ın yeterli gelmediği gözlenmiştir. Bunun üzerine 2012R2 ile birlikte Dynamic Witness özelliği geliştirilmiştir. Bu özellik ile node sayısı ne olursa olsun (çift veya tek) Cluster’a eklenecek witness ile node durumuna göre sistem otomatik hesaplama yaparak Cluster’ın devamlılığını sağlamaya çalışmaktadır. Konunun daha rahat anlaşılması için bir örnekle anlatalım:

Yukarıdaki resimde 3 Node’lu cluster eklediğimiz Witness Diskli yapımızda tek sayı olduğundan Witness Diskin oy hakkı yok. Node’lardan biri erişilemez olduğunda Witness Diskin oy hakkı verilerek servis sürekliliği sağlanmakta. Multi Site çözümlerde Witness olarak file share kullanılması önerilmektedir.

Quorum user interface improvements (Quorum için Kullanıcı Ara yüzünün Geliştirilmesi:):

Hem GUI hem de PowerShell üzerinden kolaylıkla Quorum yönetimi yapılabilmektedir. Failover Cluster Management Tools üzerinden yapmak için Cluster üzerinden sağ tıklanıp MoreActions > Configure Cluster Quorum girilir. PowerShell ile yapmak için Set-ClusterQuorum komutu ile yapılmaktadır.

Dynamic Witness ile oy yönetim tablosunun GUI ara yüzden rahatlıkla izlenebilmesi için Failover Cluster Management Tools üzerinden görüntülenmesi sağlandı.Aşağıda örnek görüntüsünü paylaştığım Server 2012 Cluster yapımızda Failover Cluster Management Tools üzerinden Node kısmına geldiğinizde sadece status bilgileri yer almaktaydı.

Aşağıdaki örnek görüntülerini verdiğim Server 2012 R2 ile birlikte ise kolaylıkla Dynamic Quorum yapısı izlenebilmekte.

Çift sayıdaki node’larınız için Cluster High Avaibility için disk veya file share witness kullanılması gerekmektedir. Aşağıda Validation Rapor görüntüsü görülmektedir.

Force Quorum Esnekliği: Cluster’ın yarısından 1 fazlasına ait node’lar erişilemez olduğunda Cluster down olur. Böyle bir durumla karşılaşıldığında sistem sürekliliğinin devam edilmesi adına uygun göreceğiniz tek bir node üzerinde Cluster servisi önce stop edilir arkasında da PowerShell üzerinden Start-ClusterNode with –FixQuorum ile Force Quorum (/fq) ile başlatılmaktadır.

Server 2012 R2 öncesi sistemlerde diğer node’lara erişim sağlandığında veya sorun düzeldiğinde devreye alınabilmesi için önce Cluster servisi durdurulur arkasından da Force Quorum “Net Start ClusSvc /FQ” komutu ile start edilirdi. 2012R2 ile birlikte Node’lar da sorun düzeldikçe sisteme otomatik join olmaktalar. İşlem tamamlandığında ilk müsait zamanda Cluster’ı “Net Start ClusSvc /PQ” komutu ile restart ettiğinizde çok ufak bir kesinti ile çalışmaya devam edecektir.

Tie Breaker: Failover Cluster’ın olmazsa olmaz 3 bileşeni vardır. Disk, Network ve Quorum. Multi-Site Cluster yapılarda eğer network bağlantısı bir şekilde kesilirse yukarıda da paylaştığım gibi Split Brain Senaryosu oluşup disk veya veri bozulmasına neden olabilir.

Server 2012 R2 ile birlikte gelen Tie Breaker özelliği ile Disaster ortamları için eğer Multi Site Cluster oluşturuyorsanız olası Split Brain durumlarına karşı istediğiniz node’un öncelik durumunu LowerQuorumPriorityNodeID PowerShell komutu ile düşürüp olası network problemlerin de sistem sürekliliği sağlanmış olacaktır.

Global Update Manager (GUM) Mode:En özet şekilde GUM, her türlü Cluster bilgisinin (Cluster Database) node’lar arasında iletilmesinden sorumludur. Server 2012 ile tanıştığımız bu özellik 2012’de yönetilemezken 2012R2’de yönetilebilmektedir.

GUM’un 2 tipi bulunmaktadır. Bunlar;

a)      All (write) and Local (read): Server 2012’nin Default ayarı olan bu ayarda; Aktif node cluster veri tabanından sorumlu olup olası değişikliği tüm node’lara aktarmakla yükümlüdür. Bir node veri tabanına erişmek istediğinde tutarlı veri oluşturma adına gerekli kontrollerin yapılmasını da aktif node yapar.

b)      Majority (read and write): Tüm değişiklikle zaman damgası ile oluşturulur ve tüm node’lar veri tabanına erişmek istediklerinde en güncel versiyonuna erişip kullanırlar. Majority Mode’u isterseniz aktif node kontrolüne verilebileceği gibi isterseniz tüm node’ların değişiklikte bulunabileceğini (Get-Cluster).DatabaseReadWriteMode PowerShell komutu ile oluşturabilirsiniz.

Cluster Dashboard: Failover Cluster Management Tools ile bağlandığımızda Server 2012’de sadece aşağıdaki gibi bir link görebilmekteydik.

Fakat 2012R2 ile birlikte anlık durum bilgisine doğrudan erişilebilinmektedir.

Node’lar arası İletişimde IPSec’in kapatılması:Her saniye tüm Node’lar birbirini port 3343 portundan kontrol eder. Eğer 5 kere arka arkaya node cevap vermezse down olduğu düşünülür.

IPSec ile şifrelenmiş networkte gecikmeler yaşanabileceğinden Cluster tarafında sorunlara neden olabilir. Ya node’un down kabul edilme sayısının 5’den daha yüksek değerlere taşınmalı ya da Server 2012R2 ile bu yeni gelen özellik ile node’lar arası iletişimde Heartbeating network bacağında IP kapatılması gerekmektedir. Microsoft tarafından IPSec’in Heartbeating network bacağında kapatılması önerilmektedir.

IPSec’in kapatılması için PowerShell üzerinden “(Get-Cluster). NetFTIPSecEnabled = 0” komutunun çalıştırılması yeterlidir.

2)     Hyper-V Cluster’a Gelen Yenilikler

Shared Virtual Hard Disk for Guest Cluster (Paylaşılmış Sanal Disk):Hyper-V üzerinde daha önceden cluster yapmak istediğimizde ya iSCSI kullanmak zorundaydık veya Hyper-V sunucusuna direk bağlı LUN disklere ihtiyacımız vardı. Şimdi ise Hyper-V Cluster alanımız içerisindeki (CSV) bir vhdx dosyasını gösterip paylaşılmasıyla yapılabilmekte.

Bu işlem için öncelikle Hyper-V Management üzerinde CSV alanda diski oluşturup sunuculara ekledikten sonra Advanced alan içinde “Enable virtual hard disk sharing” işaretlenmeli.

VM Drain on Shutdown: Cluster olan Hyper-V sunucunuzda olan olası bir problem sonucu kontrolsüz kapanacak olduğunda üzerinde çalışan tüm sanal sunucular önce saved moduna alınır sonra Cluster’a üye diğer Hyper-V node’lara aktarır.

Default’ta açık olan bu özellik istenilirse PowerShell üzerinden yazılacak “(Get-Cluster).DrainOnShutdown 0” komutu ile kapatılabilir.

VM Component Health Detection (Network sağlık kontrolü): Server 2012 ve üstü işletim sistemine sahip Sanal sunucunuzun external portunda oluşan olası bir problemde 1 ping kaybıyla kesinti olmaksızın live migration yapılarak Cluster’a üye uygun başka bir Hyper-V hostuna taşır.

Bu işlem her bir network portu için ayrı ayrı yapılmaktadır. Sanal sunucunuzun network portunun kontrol edilmesini istiyorsanız ilgili network adaptörün Advanced sekmesi altındaki “Protected Network” seçilir.

Optimized CSV Placement Policies: Scale-out File Server Cluster üzerinde oluşturulmuş CSV LUN’unuz içerisindeki sanal sunucuların disklerini farklı File Server üzerinden çalıştırarak performans kazanımı sağlanmaktadır.

Artan CSV Esnekliği: File Server Cluster üzerinde konuşlandırdığınız CSV alanınızda bulunan sanal sunucularınız için eğer bir disk performans kaybı yaşanırsa meta datalar CSV’nin sahibi diğer bir File Server Cluster Node’u üzerinden sağlanır.

CSV Cache Allocation: File Server ve Hyper-V ortamlarında kullanılan, Server 2012’de Default’da disable olan bu özellik 2012 R2 ile birlikte enable geldi. 2012R2 ile birlikte fiziksel RAM’in %80’inine kadar cache için ayrılabilmekte. 2012’de bu oran %20’yi geçemiyordu.

Bu özellik ile blok seviyesinde okuma performansının artışı sağlanmaktadır. İstediğimiz değeri PowerShell üzerinden (Get-Cluster).BlockCacheSize = xxx komutu üzerinden MB cinsinden değer belirleyebiliriz. Detaylı bilgiye aşağıdaki adresten ulaşabilirsiniz.

http://blogs.msdn.com/b/clustering/archive/2012/03/22/10286676.aspx

CSV Diagnosibility: 2012R2 ile CSV volume durumunu daha iyi loglama ve inceleme imkânımız oluşmaktadır. PowerShell üzerinden Get-ClusterSharedVolumeState, FileSystemRedirectedIOReason ve BlockRedirectedIOReason komutlarıyla öğrenilebilmektedir.

Kaynak:

https://technet.microsoft.com/en-ie/library/dn265972.aspx#BKMK_CAU

http://channel9.msdn.com/Events/TechEd/NorthAmerica/2014/DCIM-B354#fbid

https://technet.microsoft.com/tr-tr/library/dn282283.aspx

Her şirkette mutlaka var olan, vazgeçilmez donanım firewallar. Meslek hayatıma başladığımdan bu yana oldukça fazla sayıda ürün tanımak kısmet oldu. Yakın zamanda BerqNET firewall ile tanıştım ve bu ürün oldukça ilgimi çekti.

Hikâyesini incelediğimizde ise şu detaylara ulaştım. Logo’nun Kurucusu Sayın Tuğrul TEKBULUT özellikle kobilerde siber saldırıların hızla arttığını görmüş ve pazardan bu konuda ürün gereksinimi konusunda talepler almaya başlamış. Ocak 2013’te de Murat APOHAN ile Berq Firewall’ı geliştirmeye başlamışlar. İlk olarak orta seviye pazardaki kurumların ihtiyaçlarını karşılayacak, kurumları hem yatırım yönünden zorlamayacak hemde yönetim konusunda kolaylıklar sağlayacak bir ürün geliştirmeye karar vermişler.

Bu sebeple, dünyanın en kolay arayüzüne sahip ve %100 Türk mühendisleri tarafından geliştirilen UTM Firewall’unu tasarlamak maksadıyla yola çıkmışlar. Aslında çokta iyi yapmışlar, çünkü bu zamana kadar gördüğüm en temiz ve en kolay arayüzü ortaya çıkarmışlar. Soft pastel renklerle bezenmiş arayüz, ikonların yerleşim planları oldukça güzel. Avantajları maddeler halinde sıralayacak olursak aşağıdaki tablo ile karşılaşmaktayız,

a)      Karmaşık ve anlaşılması zor arayüzlü UTM cihazlarının yanında; Berq Firewall temiz  ve anlaşılır bir arayüze sahip. Bu cihaz, kullanan sistem yöneticilerinin kolayca öğrenebildikleri, hızlı kurulabilen ve kolay yönetilebilen bir ürün olmuş.

b)      Raporlama özelliği standart olarak ürünün içinde gelmekte, mevcut rakiplerine göre daha fazla detay sunabilmektedir. Rakiplerinde benzeri detaylar için ayrı cihaz veya lisanslar almak gerekir.

c)      Berq 5651 yasasının gerekliliğini sağlayacak logları ayrı bir lisans, yazılım veya donanıma gerek duymadan kendi içinde üretebilmekte ve nitelikli zaman damgasıyla imzalamaktadır. Ayrıca network üzerinde bir paylaşım alanı gösterildiğinde bu alana logların otomatik olarak her gece saat 03:00’da çıkartılması inanılmaz bir artı değer. Piyasada ki ürünler yerli ürünler olmadığı için bunu tümleşik olarak yapmamaktadır. Hatta birçoğu nitelikli imzalama yapmamaktadır. Geliştiriciler yerel yasalardaki değişiklikleri rakiplerine göre daha iyi anlayıp yorumlayabiliyor.

d)      Ürününün uçtan uca tüm desteğinde Türkçe Hizmet Sunulması takdir edersinizki çok büyük avantaj.

e)      Türkiyede geliştirildiğinden, ürün fiyatlarının tamamının TL olarak satışa sunulması.

f)       Yazılım geliştirme süreçlerinde izlenen metodların çağdaşlığı ve en ince detaylara kadar ihtimam gösterilmesi

g)      Cihazların donanım kalitesi konusunda yapılan yatırımlar ve bu amaçla kullanılan donanımlar.

h)      Gerektiğinde cihazların tüm güncellemerini otomatik olarak sorgulayıp, bunu hiçbir müdahale gerektirmeden otomatik olarak gerçekleştirebilmesi.

Peki, bu kadar artı değerden bahsettikden sonra arayüzlerine biraz göz atalım ve açıklamaya çalışalım isterseniz. Temelde arayüzler çok kolay kullanım üzerine tasarlanmış. Ürün klasik firewall’larda bulunan tüm karmaşık terim ve tasarımlardan arındırılmış sade, şık ve bir o kadarda keyifli bir arayüze sahip. Hemen ilk açılış ve karşılama ekranını sizlerle paylaşalım,

Login olmak için igb1 portuna network kablosunu takın. Sonrasında bir internet gezgini ile adres çubuğuna https://192.168.12.1/ adresini yazın. Tabi kendi network kartınıza bu ip bloğndan bir ip vermeyi unutmayın. Kullanıcı adı berqNET ve şifreside aynı şekilde berqNET yazarak login olun.

İlk olarak “izleme” ekranı bizleri karşılayacak ve donanımsal olarak cihazımızın durumunu inceleyebiliyor olacağız. Ağ arayüzleri başlığında cihaz üzerinde bulunan portları ve ne amaçla kullanıldıklarınıda detaylıca inceleyebiliyor ve yapılandırabiliyoruz. Cihaz ilk geldiğinde igb0 isimli port dış network (WAN) olarak kullanılabilir şekilde geliyor. Diğer tüm portlar iç network (LAN) olarak programlanmış durumda. Hepsinin kendilerine ait birer varsayılan ip’leri mevcut. Ama isterseniz dış network (WAN) arayüzü 4 Adede kadar arttırabiliyorsunuz.

Ekranda en üst tarafta gördüğümüz tüm ayarları yapacağımız bir bar mevcut, aşağıdaki gibi,

Ara yüzün en can alıcı noktası çok basitleştirilmiş bu üst görüntü. Ulaşmak istediğiniz herşeye bu bar üzerindeki ikonlardan ulaşabiliyorsunuz.

Bir sonraki adıma geçmek için hemen ayarlar ikonuna tıklayıp neler yapabiliyoruz bir inceleyelim,

Ayarlar ekranında yine başlıklar altınca birçok seçenek mevcut. Burada sağ tarafta “Mevcut Ayarlar” kısmında etnernet portlarına ait varsayılan ip adreslerini görebiliyorsunuz. Bu ip’lerle istediğiniz arayüzden bağlanarak konfigürasyon yapabilirsiniz. Cihazı yeniden başlatmak ve tamamen kapatmak gibi işlemlerin yanı sıra isterseniz ip dağıtma gibi network rollerinide basit şekilde yaptırabilirsiniz. Türkçe kurulum sihirbazı ile yapılacak işleri adım adım inanılmaz kolaylıkla yapabilirsiniz. Önemli bir nokta Servis ayarlarında Kayıt Aktarım seçeneği; dışarıda bir paylaşım alanını bu log’ların kayıt edilmesi için kullanabiliyoruz, üstelik şifrelenmiş şekilde.

Firewall ekranını inceleyelim,

Burada dikkat çeken önemli nokta herşeyin sürükle-bırak mantığı ile yapılması. Nesneleri, (ip bloğu, ip, kişi, grup) ilgili başlıklar altında tanımladıktan sonra eğer bir kural oluşturacaksanız işiniz o kadar kolaylaşıyorki, kuralın altına ilgili nesneleri sürükleyip bırakıyorsunuz. Ben şahsen bu kolaylığı “bu seviyede” rakip ürünlerin hiçbirisinde görmedim.

Bir sonraki adımda Url Filtreleme kısmına bakalım,

Bir kurumun ihtiyacı olacak tüm isteklere cevap verebilecek seviyede Url Filtrelemesine sahipsiniz. Yapmanız gereken, ihtiyacınız olan kuralları tanımlamak. Web siteleri için saat aralığı, black list, white list veya istediğiniz gruba göre kural tanımlayabilirsiniz. Aşağıdaki ekran görüntüsünde URL Kategori gruplarından bir kısmını görebilirsiniz, sol tarafta.

Sırada Sanal Ağ yani VPN ekranı mevcut. Burada da detaylı şekilde sanal ağ’lar oluşturabiliyoruz,

Göreceğiniz üzere hem IPSec hemde SSL olarak VPN bağlantısı oluşturabiliyoruz. İster site-to-site VPN isterseniz Client-to-Site VPN yapılandırmalarını kolaylıkla kurgulayabilirsiniz. Kurum ihtiyaçları doğrultusunda tüm çözümler buradada mevcut.

Yukarıdaki ekran görünüsünde göreceğiniz üzere ağ nesnelerini tanımladıktan sonra kural içerisine sürüklemek yeterli oluyor.

IPS / IDS / UYGF ekranı ise uygulama bazlı koruma ve IPS/IDS türü saldırıları algılama ve atak önleme ayarlarının yapıldığı yer. Buradaki ekran görüntüsünü incelediğimizde oldukça zengin ve başarılı bir ekran görüntüsü aşağıdaki gibi karşımızda,

Yine sol tarafta bulunan nesneler menüsünden oluşturacağımız nesnelerle sağ tarafta bulunan geniş ekranda tab başlıkları altından kurallar oluşturabiliyoruz. Buradaki imzaların tamamı belirli zaman aralığında güncellenmekte ve yeni oluşacak tehlikelere karşı bizi güvenli hale getirmekte.

Şimdi en son ekran olan kayıtlar ekranına ulaşıp inceleyelim, yukarıdaki “kayıtlar” ikona tıkladığımızda yine soft pastel renklerden meydana gelen çok güzel bir ekran ile karşılaşıyoruz.

Burada bar şeklinde genel bilgiler mevcut. İkonların alt kısmında “tab” şeklinde oldukça detaylı ve anlaşılır bilgiler mevcut. Bunlardan da firewall ekran görüntüsü paylaşalım isterseniz,

Bu logları isterseniz excell formatında dışarıya alabilir, detaylıca buradan inceleyebilirsiniz.

Genel hatlarıyla Berq firewall incelemesini gerçekleştirmeyi hedefledik. Bundan sonra yazacağımız makalelerde derinlemesine konuları tek tek inceleyip detaylı configürasyonları sizlerle paylaşacağız.

İhtiyaçlarınız doğrultusunda Berq Firewall sizi ve kurumunuzu fazlasıyla memnun edecek, kullanılması keyifli ve başarılı bir ürün. Destek konusunda hiçbir şekilde sorun yaşamayacaksınız, aradığınızda sizi karşılayacak kişi bir Türk mühendis. Aynı dili konuşmanın verdiği rahatlıkla problemlerinizi en kısa sürede çözebileceksiniz. Biz teknik ekip olarak projelerimizde Berq firewall’ı gönül rahatlığıyla konuşuyor ve konumlandırıyoruz. Eğer ihtiyacınız varsa gözardı etmemeniz gereken bir seçenek olacağına eminim.

Makalemizin ilk bölümünde Windows İşletim Sistemi üzerinde Sanal disk oluşturma, oluşturulan sanal diski işletim sistemine ekleme, Hyper-v üzerinde disk oluşturma, Hyper-v üzerindeki sanal makinaya sonradan oluşturulan diski bağlama işlemleri yaptık. Bu makalemizde yine farklı işlemler ile ilerliyor olacağız. İlk olarak Hyper-v sanal makinamıza fiziksel bir diski bağlama adımını ele alacağız.

Hyper-V Üzerindeki Sanal Makinaya Fiziksel Disk Bağlamak

Ekleyecek olduğumuz disk literatürde pass-through disk olarak geçmektedir. Pass-through fiziksel usb, fiziksel sata veya storage üzerindeki bir lun alanının sanal makinaya bağlanması anlamını ifade eder. Her ne kadar yüksek I/O gerektiren durumlarda kullanılması düşünülse bile bu ortama göre farklılık arz edebilir. Performans kriteri ortamda şartlarına bağlı olacak değişim gösterebilir.

Eklenecek fiziksel disk sistem üzerinde mutlaka aşağıdaki gibi Offline yani çevrim dışı olmalıdır.

Yeni bir sanal makine oluştururken veya oluşturulmuş olan sanal makinaya ekleme imkânımız vardır. Biz elimizde oluşturulmuş olarak bekleyen sanal makinamıza fiziksel disk ekleme işlemi yapacağız. Sanal makinamız üzerinde sağ tıklayarak Ayarlar… kısmına tıklayalım.

Biz şu anda IDE olarak ekleme yapacağız. Ancak makinamız açık ise SCSI olarak ekleme imkanına sahibiz. IDE olarak ekleyeceğimiz için makinamız kapalı durumda. IDE Denetleyicisi seçiliyken Sabit Sürücü seçimini yapalım ve Eklebutonuna tıklayalım.

Disk ekleme adımımızda Fiziksel Sabit Sürücü seçimini yaparak diskimizi seçelim. Bu ekranımızda sadece çevrimdışı durumda bekleyen fiziksel alanlarımız listelenecektir.

Diskimiz seçildi. Tamambutonuna tıklayalım.

Sanal makinamız açıldığında diskimizin başarı ile eklendiğini görebilmekteyiz.

Hyper-v Yönetim Konsolu Üzerinde Disk Sıkıştırma

İlk Hyper-v konsolumuz üzerinde yer alan bir sanal makinamızın özelliklerine gelelim. Disk durumunu görüntülemek için İncele butonumuza tıklayalım.

Bu ekranımızdan sanal diskimizin biçimini, türünü, nerede tutulduğunu gerçek ve fiziksel disk üzerinde kapladığı alanı görebilmekteyiz. Bu ekran yoğun sanal makine olan ortamlarda etkin kullanılan bir alan olma özelliği göstermektedir.

Diskimiz yukarıda görüldüğü gibi dinamik bir disk ve büyür ama veri sildikçe geri ufalma yapmaz. Bu nedenle disk üzerinde ilk işlem olarak disk sıkıştırması yaparak yedekleme sırasında kolaylık ve fiziksel disk üzerinde alan kazanımı sağlayalım. Diskimiz üzerinde Düzenle butonuna tıklayalım.

Mevcut seçili diskimizin yolu göründü. İleributonu ile sonraki adıma ilerleyelim.

3 seçenek bizi karşıladı ancak biz bu adımımızda sıkıştırma yapacağımız için ilk seçim olan Sıkıştırseçimini yapıp İleri ile sonraki adıma ilerleyelim.

Yapacağımız işlemin özeti bize sunuldu. Son ile işlemi başlatalım. Disk boyutuna göre bu işlem zaman alacaktır. Bizim lab ortamımızdaki diskimiz ufak olduğundan bu işlem çok hızlı şekilde tamamlandı.

Hyper-v Yönetim Konsolu Üzerinde Disk Genişletme

Sanal makinalarımızda ilk disk oluşturma aşamasında disk alanını isteyerek veya istemeden ufak olarak belirlemiş olabilir. Ayrıca planlı olarak kontrolümüzde bir büyüme tasarlamış olabiliriz bu gibi durumlardan dolayı sanal disk alanımızın yetmediği durumlarda disk genişletmesi yapmamız gerekmektedir. Bu işlemi yapabilmek için Hyper-v konsol üzerindeki Disk düzenleme aracını kullanabileceğimiz gibi sanal makinamızın özellikleri üzerinden bu işlemi yapma imkânımız var. Yine sanal makinamızın özelliklerinde diskimizi seçelim ve Düzenle butonumuza tıklayalım.

Disk yolumuz ve hangi disklerin düzenlenebileceği bilgisini içeren ekrandaİleri butonu ile ilerleyelim.

Bu adımımızda genişletme işlemi yapacağımız için Genişlet seçimini yapıp İleri butonuna tıklayalım.

Mevcut disk boyutumuz bize sunuldu ve ne kadar büyütmek istiyorsak mevcut disk boyutundan küçük ve 64 TB’tan büyük olmamak kaydı ile boyutu belirlememiz gerekiyor.

Dinamik disk boyutu olarak 64 TB, vhdx sınırı olduğundan disk genişletme aşamasında atanabilir ancak VHDX boyutu fiziksel disk üzerindeki boş olanı kesinlikle aşamaz. Bu ayarımızdan sonra İleributonuna tıklayarak sonraki adımımıza geçelim.

Gerekli özet ekranımızda Son butonumuza tıklayarak işlemimizi tamamlayalım.

Bu işlem sonrasında sanal makinamızı açtığımızda genişlemiş olan alanı görmekteyiz.

Disk üzerinde sağ tıklayarak Birimi Genişlet… kısmına tıklayalım.

Klasik disk genişletme adımlarımızı tamamlayalım.

Disk boyutumuzu büyütmüş bulunuyoruz. Sanal makine üzerinde gereksiz yere bol kaynaklı makinaları gerçek ortamımızda oluşturmamaya özen göstermeliyiz. Ne kadar kaynak gerekli ise o kadar kaynak atamak yararlı olacaktır. Bu nedenle ara ara böyle operasyonlara maruz kalabiliriz ancak sistemin elimizin altında olması ara ara ortam kontrolü gibi durumlarda yararlı olacağını düşünüyorum.

Hyper-v Yönetim Konsolu Üzerinde Disk Dönüştürme

Bazı durumlarda sanal disk üzerinde dinamikten, sabit büyüklüklü diske vhd diskten, vhdx diske veya tam tersi işlemlere dönüşüm yapma gibi gereksinimler olabilir. Tabi bu dönüşümler için belirli şartları yerine getirmek gerekir. Örnek olarak 2 TB kapasiteden büyük olan diskleri VHDX formatından VHD formatına çeviremeyiz. Nedeni ise VHD maximum 2 TB desteklemektedir. Yine bir örnek daha verecek dinamik büyüyen bir diski fiziksel disk alanından daha büyük olacak şekilde sabit büyüklükteki yani fixed diske çeviremeyiz.

Gerekli işlemler için sanal makine özelliklerimizi açalım. Bu işlemi Hyper-v konsol üzerindeki disk düzenleme aracından da yapabilmekteyiz. Disk seçiliyken Düzenle butonumuza tıklayalım. Dikkat ederseniz VHD formatındaki bir diski dönüştüreceğiz.

Disk yolumuz ve hangi disklerin düzenlenebileceği bilgisini içeren ekrandaİleri butonu ile ilerleyelim.

Bu adımımızda dönüştürme işlemi yapacağımız için Dönüştür seçimini yapıpİleributonuna tıklayalım.

Mevcut diskimiz VHD olduğundan ve biz bir dönüşüm işlemi yapacağımızdan dolayı VHDX seçimini yapıyoruz. Bu diskin yararları ve desteklenmeyen sistemler noktasında disk seçim alanında bilgi sunulmaktadır. Seçimi yaptıktan sonra İleributonuna tıklayalım.

Bu adımda diskin türünü de değiştirme imkanına sahibiz ancak biz bu senaryoyu farklı örnekte ele alacağımız için Dinamik olan diskimizi yine dinamik seçimde bırakıp İleri butonu ile sonraki adıma ilerliyoruz.

Dönüşüm sonrası diskimizin nereye kayıt edileceğini seçiyoruz. Bunun nedeni ise mevcut diskimiz dönüşüm sırasında birebir dönüştürülmez. Mevcut diskin farklı bir kopyası bizim istediğimiz dönüşüm şekline göre baştan oluşturulur. İsim verdikten sonra Kaydet butonumuza tıklayalım.

Kaydedeceğimiz yol belirlendi. İleriile sonraki adıma geçelim.

Özet ekranımızda yapılacak olan işlerin özeti sunulmaktadır. Son ile adımı başlatalım. Burada dönüşüm yapılacak olan disk boyutuna göre ve fiziksel bilgisayarın performansına göre dönüşüm belirli bir süre zaman alacaktır. Bu işlem sırasında kesinti yapmadan işlemin sorunsuzca tamamlanmasını beklemekte yarar var.

Şu anda test.vhd olan diskimiz test1.vhdx olarak dönüştürüldü.

Bu dönüşüm işlemlerini Hyper-v konsolu üzerindeki Disk düzenleme aracı ile yapabileceğimizi yukarıda birkaç kez belirtmiştik. Farklı örnek olması açısından yine bir VHD diski VHDX diske dönüştürme işlemimizi bu araç üzerinden yapalım. Disk Düzenle… butonumuza tıklayalım.

Sihirbaz ekranımızıİleri butonuna tıklayarak geçelim.

Disk yolumuz ve hangi disklerin düzenlenebileceği bilgisini içeren ekrandaİleri butonu ile ilerleyelim.

Bu adımımızda dönüştürme işlemi yapacağımız için Dönüştür seçimini yapıpİleributonuna tıklayalım.

Mevcut diskimiz VHD olduğundan ve biz bir dönüşüm işlemi yapacağımızdan dolayı VHDX seçimini yapıyoruz. Bu diskin yararları ve desteklenmeyen sistemler noktasında disk seçim alanında bilgi sunulmaktadır. Seçimi yaptıktan sonra İleributonuna tıklayalım.

Bu adımda diskin türünü de değiştirme imkanına sahibiz ancak biz bu senaryoyu farklı örnekte ele alacağımız için Dinamik olan diskimizi yine dinamik seçimde bırakıp İleri butonu ile sonraki adıma ilerliyoruz.

Dönüşüm sonrası diskimizin nereye kayıt edileceğini seçiyoruz. Bunun nedeni ise mevcut diskimiz dönüşüm sırasında birebir dönüştürülmez. Mevcut diskin farklı bir kopyası bizim istediğimiz dönüşüm şekline göre baştan oluşturulur. İsim verdikten sonra Kaydet butonumuza tıklayalım.

Kaydedeceğimiz yol belirlendi. İleriile sonraki adıma geçelim.

Sonuç olarak farklı yöntem ile amacımıza ulaştık. Bunun yanında bu işlemleri yine powershell komut setleri ve script ile yapma gibi birçok imkana sahip durumdayız. Diskimizin bilgisini aşağıda görebilirsiniz. VHD diskimiz VHDX formatına dönüştürüldü. İşlem sonrası testlerinizi yaptığınızda yeni diskiniz sorunsuz çalışıyor ise dönüşümü yapılan diski yer kaplamaması açısından silip ortamdan kaldırabilirsiniz.

Şimdi farklı bir örnek yaparak dinamik diskimizi sabit büyüklükteki yani Fixed diske çevirelim. Elimizde örnek olarak kullanacağımız disk aşağıdaki gibi VHDX ve dinamik bir disktir.

Bu işlem için yine Hyper-v konsolumuzu kullanalım. Konsol üzerindeki Disk Düzenle… kısmına tıklayalım.

Sihirbazıİleri butonuna tıklayarak geçelim.

Bir sonraki ekranımızda dinamik diskten fixed diske çevireceğimiz sanal VHD disk dosyamızı gösterelim. Aç butonuna tıklayarak bu adımı geçelim.

Diskimiz seçildi.İleri butonu ile bir sonraki adıma geçelim.

Bu örneğimizde yine diskimizi dinamik diskten fixed diske çevirmek için bit tür değişimi yapacak olduğumuzdan dolayı Dönüştür seçimini yapalım ve İleri seçeneği ile sonraki adıma geçelim.

Biz diskimizi VHDX olarak bırakacağımız için VHDX seçimini olduğu gibi bırakarak İleri butonu ile bir sonraki adıma geçelim.

Biz Dinamik olarak değişen boyuttan Sabit boyutlu türe geçeceğimiz için Sabit Boyutlu seçimini yapıp İleri ile bir sonraki adıma geçelim.

Yukarıda belirttiğimiz gibi mevcut disk üzerinden bir dönüşüm yapılmayıp yeni bir disk oluşturularak bizim belirlediğimiz formata bir çevrim yapılacaktır. Bu nedenle fiziksel diskimizde yeterli alanın yani dinamik disk + sabit büyüklükte olacak disk boyutu kadar alan olmalıdır.Gözat… butonuna tıklayarak sanal dinamik diskimizi kayıt edeceğimiz alanı seçelim.

Sabit büyüyen sanal diskimize bir isim verip Kaydetbutonuna tıklayalım.

Diskimizin kayıt yolu belli oldu.İleributonumuza tıklayalım.

Son butonuna tıklayarak dönüşüm işlemini başlatalım.

1GB olan dinamik diskimiz daha önce 4MB alan kaplarken sabit büyüyen disk formatına çevirdiğimiz için sabit boyutu olan 1GB alan büyüklüğüne geldi ve bu büyüklükteki yeri fiziksel disk alanında kaplamaya başladı.

Şimdi son örnek olarak sabit boyutlu sanal diskimizi dinamik boyutlu sanal diske çevireceğiz. Yine konsolumuz üzerinden Disk Düzenleme ekranını açalım.

Sihirbazı yine İleributonu ile geçelim.

Dönüşümü yapılacak olan sabit boyutlu diskimizi Gözat… butonu ile gösterip İleributonu ile bir sonraki adıma ilerleyelim.

Dönüştürme işlemi yapacağımız içimİleri butonu ile sonraki adıma ilerleyelim.

Biz disk biçimimizde değişiklik yapmayacağımız için VHDX seçiliyken İleributonuna tıklayarak bir sonraki adıma geçelim.

Sabit boyutlu diskten Dinamik boyutlu genişleyen diske çevrim yapacağımız için Dinamik Olarak Genişleyen seçimini yapıp İleributonu ile bir sonraki adıma geçelim.

Dinamik olarak genişleme türünü seçtiğimiz diskimizi kayıt edecek alanı belirleyip Kaydetbutonuna tıklayalım.

Diskimizi kaydedecek yolu belirledik. Son butonuna tıklayarak dönüşümü başlatalım.

Dönüşüm işlemimiz başladı. Bu fiziksel makine performansı ve dönüştürülme işlemi yapılacak olan disk boyutuna göre bir zaman alacaktır.

Dönüşüm sonrası 1 GB olan sabit boyutlu büyüyen diskimiz, 4MB dinamik büyüyen bir diske dönüştü. Bu kadar ufalmasındaki sebep içinin boş olması. Normalde disk boyutu içindeki veri boyutu seviyesinde olacaktır.

Bu makale serimizin de sonuna geldik. Umarım yararlı olmuştur. Bir sonraki makalemizde görüşmek dileğiyle.

Bu yazıda sistem yöneticilerinin büyük sorunlarından birkaçına cevap bulmaya çalışacağız. Temel amacı LAN yapılarında en yüksek fiziki güvenliği sağlamak olan bu yazı aynı zamanda bir kaç sorununa da çözüm yolu sunmaktadır.

Hedeflerimizi şu şekilde belirledik;

1.      Uygun maliyet,

2.      LAN yapısında 802.1x PEAP yapısı ile kolay kurulabilir Switch Port ve WIFI güvenliği sağlamak,

3.      Kuruluş personelinin, şirkete ait diğer ofislerde bulunması durumlarında kablolu veya kablosuz bağlantıları kolay ve güvenli bir şekilde sağlaması,

4.      Kuruluşa bir personel başladığında bu personelin yapıya kolayca adapte edilebilmesi veya ayrılan personelin sistemden kolayca çıkartılabilmesi ve sistem kaynaklarının kapatılması.

5.      5651 Sayılı yasa gereğince gerekli olan kayıtların asıl kişiyi doğrulayacak şekilde toplanabilir hale getirilmesi.

Hedeflerimizden yola çıkarsak, hedef bazında bir kullanıcının kablolu, kablosuz yapılarda tanımlanması gerekmektedir. Bu işlem için bir çok farklı yol olsa da ya çok zahmetli ya da yönetmesi zordur. Örnek olarak bu işlemleri MAC access listeleri oluşturarak yapabiliriz fakat her cihaza bunları girmek her değişiklikte yeniden konfigürasyon yapmak zordur. Kaldı ki çoklu ofis yapısında çalışıyorsanız bu daha ayrı bir problem. Kablolu yapılar için MAC bazlı VLAN yapmak AP ler için merkezi kontrolcü ile WiFi şifresini her seferinde değiştirmek ayrı bir çözüm.  Bu yazıda temel amaç tek bir noktada yapılacak bir ayar ve tutulacak tek kaynak ile bu işlemi çözmektir.

Yapıda cihazlar arasında kullanılacak olan haberleşme protokolü RADIUS olup, kullanıcıların kendisini sisteme tanıtması için PEAP yapısı kullanılacaktır. Bu yapıda karmaşayı önlemek sürekli devirdaime dönüşen sertifika işi yerine kullanıcıları sisteme sertifika yerine kullanıcı adı ve şifresi ile tanıtması sağlanarak self servis bir yapı ile bir kullanıcı kaynağından tüm işlemler yürütülecektir. Bu yapının tamamında DrayTek markasına ait cihazlar kullanılacaktır. RADIUS sunucu olarak DrayTek router cihazları kullanılacaktır. Bu nedenle herhangi bir dış kaynağa ya da sunucuya ihtiyaç olmayacaktır.

Resim 1

Resim1 de görülen yapıda iki lokasyon bulunmaktadır. Burada şube lokasyonu istenildiği kadar arttırılabilir. Merkez yapıda DrayTek 2860 modeli RADIUS sunucu ve kullanıcı veritabanı olarak görev yapmaktadır. Ayrıca VPN ile gelen tüm uç noktalar için gerekli görülürse HTTP/HTTPS Proxy olarak işlem yaparak internet çıkışlarında kullanıcı adı doğrulaması yapmasını da sağlayabilir. Switch yapısında DrayTek G2260 modeli kullanılmıştır. Bu model bir çok güvenlik ve sistem özelliği yanında 802.1x yapısında PEAP ile çalışabilmesinden dolayı seçilmiştir. AP olarak kullanılan model DrayTek AP902 modelidir, fakat herhangi bir AP modeli kullanılabilir tüm modeller 802.1x PEAP desteği ve radius sunucu desteği sumaktadır. Yapıda kullanılan DrayTek 2860 modeli istenilirse AP ve Switch yapıları için merkezi kontrol cihazı olarak da çalışabilir, fakat bu anlatımda verilmemiştir.

Resim 2

Bu yapı için öncelikli olarak Resim2‘de görüldüğü gibi DrayTek 2860 modelini Applications >> RADIUS/TACACS+ menüsünden "Internal RADIUS" seçilmeli ve "Enable" seçilerek sistem aktif edilmelidir. "Shared Screed" kısmında sorgu yapacak cihazların sorgu yapabilmesi için gerekli şifre girilerek "RADIUS Client Access List" kısmında DrayTek 2860 modeline Radius sorgusu yapacak olan cihazların network ya da IP adresleri girilmelidir. Unutulmaması gereken kısım yapının PEAP çalışacağıdır ve bu nedenle "Support 802.1X Method" kesinlikle aktif edilmelidir. Bundan sonraki işlem kullanıcılarımızı "User Management >> User Profile" kısmında oluşturarak sisteme eklemektir.

 Resim3

Örneğimizde kablolu yapıları desteklemek için kullanacağımız DrayTek G2260 Layer2 Gigabit Managemenet switchin ethernet portlarında RADIUS ile 802.1x yapabilmesi için öncelikle RADIUS sunucu tanımları yapılmalıdır. Security >> AAA >> General Setup başlığından "IP Address/Hostname" başlığından "Enable" seçilerek RADIUS sunucu olarak kullanmakta olduğumuz "192.168.1.1" DrayTek Router IP adresi girilmelidir. DrayTek 2860 Router cihazında  "Shared Secret" kısmına girilmiş olan şifre bu kısımda "Secret" kısmına girilmelidir.

Resim 4

Artık switch cihazımız RADIUS sunucu adresini bildiğine göre yapılması gereken "Security" sekmesi altında "NAS" kısmından "General Setup" bölümünde "Mode" kısmını "Enable" yaparak sistemin çalışmaya başlamasını sağlamaktır.

Bu kısımda 802.1x kullanmasını istediğimiz portlarda "Single 802.1x" seçmeliyiz ve "Apply" buttonuna basarak sistemi aktif duruma getirmeliyiz.

Unutulmaması gereken kısım bu işlem yapıldığında porta bağlı olan cihazın da 802.1x ayarları yapılmış olmalıdır ve 802.1x yapamayacak cihazların portları "Force Authorized" olarak seçilmelidir, DrayTek 2860 cihazına yapılmış olan uplink bağlantısının bağlı olduğu port ve AP cihazlarının bağlı olduğu portlarda "Force Authorized" şeklinde bırakılmalıdır. Ağınızda 802.1x PEAP desteği olmayan cihazlar var onların bağlı olduğu portlarda bu şekilde bırakılmalıdır.

Resim5

DrayTek AP cihazları birden fazla SSID desteklemektedir, istediğiniz SSID yi bu sisteme dahil etmek için "Wireless LAN >> Security Settings " kısmından "Mode" kısmını "Mixed(WPA+WPA2)/802.1x “ olarak seçiniz "Set up RADIUS Server if 802.1x is enabled" kısmında "RADIUSServer" linkine tıklayınız.

Resim 6

Resim6’da örnekteki gibi açılan pencerede "IP Address" kısmına RADIUS sunucu olarak yapılandırdığımız DrayTek 2860 cihazının IP adresini giriniz "Shared Secret" kısmına DrayTek 2860 modelinde sorgu yapacak cihazlar için yazdığımız "Shared Secret" keyiniz bu kısma yazınız ve "OK" buttonuna basınız.

Bu işlemden sonra bu SSID ye bağlanacak kullanıcılar bir WIFI keyi yerine kullanıcı adı ve şifresi kullanacaktır. Bunu desteklemeyen bir cihazınız ya da cihaz gurubunuz var ise ikinci bir SSID açarak güçlü bir parola ve MAC address erişim listesi ilede onları WIFI ağına dahil edebilirsiniz.

DrayTek cihazları ile artık 802.1x ayar kısmını tamamladık, bu kısımdan sonra DrayTek G2260 Switch cihazında "Single 802.1x" olarak seçtiğimiz portlar üzerinden kablolu cihazlar ve AP810 cihazında RADIUS doğrulaması seçilen SSID yayınlarına bağlananlar 802.1x PEAP üzerinden kullanıcı adı ve şifresi ile doğrulama yapabilirler.

Bu kısımdan sonra Windows işletim sistemlerinde yapılması gereken bazı işlemler var özellikler kablolu ağlar için "dot3sv" servisi aktif edilmeli ve başlangıç da başlayacak şekilde ayarlanmalıdır.

Resim 7

Resim7üzerinde görüldüğü gibi bu servisi başlatın ve açılış davranışı olarak otomatik seçin. Bu şekilde kablolu yapılar için 802.1x sistemini kullanmaya başlayabiliriz. Wireless yapıları için sistem bu şekilde hazır gelsede "WlanSvc" servisininde başlamış ve açılış davranışı olarak otomatik başlangıç seçili olduğuna emin olmalısınız.

Winres 1

Winres 2

Servis işlemlerini yaparak sistemi yeniden başlattıktan sonra ethernet ayarlarında özellikler kısmını tıkladığınızda "Networking" başlığının yanında "Authentication" başlığınında çıktığını görebilirsiniz. "Authentication" başlığını resimde görüldüğü gibi ayarlayın. Bu kısım 802.1x ayarlarının yapılacağı bölümdür işlemler için sırası ile alttaki işlemler yapılmalıdır.

Winres 3

Winres2‘de settings kısmını tıklayarak "Protected EAP Properties" başlığına ulaşın ve Winres3‘de görüldüğü gibi ayarlayarak onaylayın. Biz yapıda herhangi bir sertifika kullanmayacağı sistemi güvelikli ama olabildiğinice kolay kullanılabilir ve self servis yapmaya ve ileriye dönük sertifika üretme takip etme işlemlerinden kurtarmak istiyoruz bu nedenle sertifika kontrollerini kapatıyoruz.

Winres 3-2

Winres 3-2-1

Winres3 kısmında ayarlarımızı yaptıktan sonra OK tuşunu tıklayarak tekrar Winres2 kısmına dönelim ve "Additional Settings" kısmını seçerek Winres3-2 de görüldüğü gibi sistemi ayarlayalım. Bu kısımdan sonra yapmamız gereken sadece kullanıcı adı ve şifresini girerek sistemi çalışır hale getirmek olacaktır. Kullanıcı adı ve şifresini girmek için "Replace Credentials" kısmını tıklayarak Winres3-2-1‘de görüldüğü gibi "User name" ve "Password" yazan kısımlara DrayTek 2860 kullanıcı veri tabanında oluşturduğumuz kullanıcı adı ve şifresini girelim bu kısımdan sonra cihaz yapacağı DHCP broadcasti ile DrayTek cihazından IP adresi alarak ağa dahil olacaktır kablolu ve kablosuz yapılar için ayarlar aynı şekildedir.

Bir başka makalede buluşmak dileğiyle.

Bundan önceki makalemde genel olarak OMS paketi hakkında temel bilgilendirme yapmıştım. Bu makalem ile birlikte ise sunmuş olduğu 4 temel servisin incelemesine başlıyorum. Bu servisleri bir daha hatırlayalım;

·        Insight & Analytics

·        Security & Compliance

·        Automation & Control

·        Protection & Recovery

Bu makalemde ilk olarak Insight & Analytics konusuna değineceğim.

Bu servis temel olarak agent yüklü makinelerde işletim sistemi ve uygulamalar tarafından üretilen logların ( ve performans verilerinin) toplanması, kolere edilmesi ve yine bu loglar üzerinde arama yapılmasına olanak sağlar. Bu veriler ile pek çok farklı başlık altında size raporlar sunulabilmektedir. Gerçek zamanlı loglar üzerinde arama yapmak veya toplanan milyonlarca log üzerinden istediğiniz özel raporların alınmasını sağlayabilen bir platform sunulmaktadır. Portal üzerinde “Solution” olarak tanımlalan istediğiniz çözümleri mevcut toplanan loglarınızın daha anlamlı ve sizin için kritik raporlara dönüşmesini sağlayabilirsiniz.

Bildiğiniz gibi pek çok sistem log toplamaktadır ancak toplanan bu verilerin gerçekten sizin için anlamlı ve sizin IT yönetiminize yön verecek veya kritik yatırılmar, güvenlik önemleri için daha kolay karar vermenizi sağlayacağını düşünün! Microsoft OMS ilse sizlere bunu sunmayı hedeflemektedir. Bu nedenle toplanan bu verilerin sizin ihtiyacınız doğrultusunda yorumlanması için portal üzerinde pek çok çözüm sunmaktadır. Malum bulut teknolojileri çok hızlı geliştiği için aşağıda sizin ile paylaşacağım çözümler şu anda aktif olanlar, ancak özellikle OMS çok hızlı ilgi gören ve kullanılmaya başlayan bir ürün olduğu için müşteri talepleri doğrultusunda yeni çözümler eklenmektedir. Malum loglar zaten var, bunları kolere edecek bilgisayar gücüde bulut üzerinde nerede ise sınırsız olarak sunuluyor, geriye aslında müşteriden gelecek ek bir ekran, raporu bu sisteme entegre etmek kalıyor.

Portal üzerindeki mevcut çözmler şu anda gördüğünüz gibi, ama dediğim gibi her an yenileri ekleniyor;

Peki bu çözümler temel olarak ne yapıyor derseniz aslında hepsini tek tek incelemek gerekli fakar buna vaktimiz yok, temel olarak yukarıda özetlediğim gibi toplanan verilerin sizin için anlamlı yorumlanmasını sağlıyorlar. Örneğin birisi sisteminizdeki eksik yamaları paylaşırken bir diğeri sizin sisteminize hangi ip adresleri üzerinden ne tür ataklar yapıldığını, bir diğer network performans durumunu, bir diğeri kötü içerikli kodların sisteminizdeki raporunu, bir diğeri active directory replikasyonunundaki sorunları bir diğeri ise SQL performans sorunlarını raporlayabilir. Örnekleri çoğaltmak mümkün.

Peki bu log toplam işi aslen nasıl gerçekleşiyor şimdi ona bakalım.

Yukarıdaki resimde gördüğünüz gibi Azure veri merkezinde host edilen OMS Repository sistemin merkezi konumundadır. Bilginin kaynağı ise sizin sisteminizdeki sunuculardır. Kaynak olarak eklediğiniz sunuculardan toplanan veriler OMS Repository de toplanır. Toplanan verileri ayrıce hesabınıza eklediğiniz çözümler – solutions da değiştirmektedir. Yani örneğin SQL, Network performance, AD Replikasyon ve benzeri her bir ek çözüm kendine özgü logları toplayacağı için ek logların toplanmasına neden olur. Ancak sunucu logları ve eklediğiniz bu çözüm logları tek veri olarak analiz edilir. OMS aynı zamanda Azure storage üzerinden de log toplayabilir. Yani hali hazırda bulut çözümleri kullanıyorsanız pek çok bulut servisinin log ve ölçübirimini çıktı olarak kayıt ettiğini biliyorsunuzdur. OMS, Azure storage hesabınız üzerinde saklanan bu verileri de izleyebilir. Yine ek olarak mevcut bir SCOM alt yapınız var ise onun ile de entegre çalışarak SCOM’ un size sunamayacağı bilgisayar ve rapor gücü ile mevcut loglarınız için çok daha anlamlı ve karar vermeye yönelik raporlar edinebilirsiniz.

Ne tür verilerin toplanacağına sizlerde karar verebilirsiniz. Temel olarak Windows veya Linux sunucular için olay günlüğü olarak ifade ettiğimiz verilere ek olara performs verileri, IIS logları veya custom text log toplama şansına sahipsiniz.

Peki ne tür verileri toplayabiliyoruz?

·        Custom Logs

·        Windows Event logs

·        Windows Performance counters

·        Linux Performance counter

·        IIS logs

·        Syslog

Custom Logs

Windows veya Linux işletim sistemleri üzerindeki txt dosyalarından toplanan verilerdir. Bildiğiniz gibi pek çok uygulama txt bazlı loglar yazmaktadır. Bu logları OMS' in sunduğu Custom fields (aramalar için kendinize özel alanların tanımlanması) özelliği sayesinde daha anlaşılabilir bir şekilde sisteme kayıt edebiliriz

Yukarıda custom fields uygulaması için bir örnek yer almaktadır.

Burada ise en temel veri kaynağımız olan text bazlı log dosyasnın nasıl OMS sistemine alındığını görebiliyoruz.

Windows Event logs

İşletim sistemlerinden klasik olarak bildiğimiz olay günlüklerini veri olarak OMS sistemine alabiliyoruz.

Ek olarak hangi olay günlüklerini alacağımızı da seçebiliyoruz

Windows Performance counters

Windows sistemler için performans değerlerini OMS sistemine alabiliyoruz.

Yine diğer veri kaynaklarında olduğu gibi bunda da performans sayaçları için ihtiyaç duyduğumuz ayarları değiştirebiliyoruz

Linux Performance counter

Windows platformunda olduğu gibi Linux platformu içinde performans sayaçlarını OMS ile toplayıp raporlayabiliyoruz.

IIS logs

Benzer şekilde IIS loglarını toplayarak özellikle internete açık sunuculardaki atakların hangi ip adresleri üzerinden gerçekleştirildiğini tespit edebiliyoruz.

Not: tabiki burada IIS üzerinde hangi alanların loglanacağını kendiniz ayarlayabiliyorsunuz.

Syslog

Windows veya Linux işletim sistemlerinde cihazlar veya yazılımlar tarafından üretilen logların syslog sunucusuna gönderilmesi yanında agent üzerinden OMS içerisine alınması desteklenmektedir.

OMS için veri kaynaklarını bu şekilde sizler ile detaylandırmış olduk. Makalemin ikinci bölümünde ise bu kaynaklardan alınan logların nasıl işlendiği ve rapor haline getirildiği konularına değineceğim. Bir sonraki makalemde görüşmek üzere.

Merhabalar , bu yazımızda ülkemizdeki tarih zaman dilimi değişikliği sürecinde çok gündeme gelen ntp (network time protokol) servisinin Ubuntu server üzerine kurulumunu anlatıyor olacağım.

Ntp servisi udp 123 protokolünü kullanmaktadır. Ağ içerisindeki clientler , aktif cihazlar ,ağ yazıcıları gibi birçok cihaz üzerinde kullanılabilmektedir.

Kurulum için Ubuntu server üzerinde yetkili kullanıcı olarak oturum açmak veya sudo su – komutu ile yetkili kullanıcıya geçiş yapmak gerekmektedir.

Yetkili kullanıcıya geçiş sonrasında tüm Debian türevi Linux dağıtımlarındaki depolardan paket kurulum komutu olan apt-get install komutu ile ntp servisimizin kurulum komutunu verebiliriz.

Alttaki ekran çıktısında göreceğimiz kuruluma devam etmek isteyip istemediğimizi soran prompta Y harfi ile veya sadece enter tuşuna basarak onay verebiliriz.

Üstteki ekranda gördüğümüz üzere herhangi bir hata mesajı almadan kurulumu tamamlıyoruz.

Sonrasında ntp servisimizin yapılandırma dosyası olan /etc/ntp.conf dosyamızı kendi yapımıza göre düzenlememiz gerekiyor. Ben nano editörü tercih ediyorum vi ,vim veya başka bir editör de tercih edebilirsiniz.

Üstteki ekranda kırmızı ile gösterilen alandaki # işaretlerini kaldırarak o satırları aktif hale getiriyorum. İster isek ubuntu ntp sunucuları haricindeki sunucuları da buraya yazabiliriz.

Restrict satırının başındaki # işaretini kaldırıp kendi ip ve ağ maskemizi girerek ntp sunucumuzun hangi ip adreslerine veya networke hizmet vereceğini belirliyoruz.

Ctrl+X kombinasyonu ile yaptığım değişiklikleri kaydedip düzenleyiciden çıkıyorum. Sonrasında yaptığım değişikliklerin aktif olması için servisi yeniden başlatmam gerekiyor.

Bunun için

/etc/init.d/ntp stop

/etc/init.d/ntp start

Komutlarını veya

Komutunu kullanmak yeterli olacaktır.

Bu işlem sonrasında sistem loglarında herhangi bir hata almadan servisimizin çalıştığını kontrol ediyoruz.

Timedatectl status komutu ile de ntp sunucumuzu kontrol edebiliriz.

Sunucumuzun kurulum ve konfigürasyonu bu kadar . Bundan sonrasında clientlerimize ntp sunucu ayarlarımızı dağıtmak için group policy,  dhcp sunucuyu kullanabiliriz veya manuel olarak client üzerine girebiliriz. Client tarafında zaman dilimi ayarımızın doğruluğundan emin isek sorunsuzca servisimizi kullanabiliriz.

Faydalı olması dileği ile

Device Guard teknolojisi Windows 10 ve Windows Server 2016 ile birlikte hayatımıza girmiş yeni bir güvenlik teknolojisidir ve daha güvenlidir. Bu teknoloji Donanım ve yazılım güvenlik çözümlerinin birleştirilmesi sonrası oluşturulmuş yeni bir teknolojidir ve daha önceki Windows sürümlerinde bulunmamaktadır. Makalemiz içinde bu teknolojinin gereksinimlerini, çalışma mantığını ve yapılandırması hakkında teknik detayları aktaracağız.

Device Guard; Code Integrity Policies içinde bulunmayan hiçbir uygulama (zararlı olması gerekmemekte) güvenilmeyen uygulama olarak algılanacak ve bu uygulama, bilgisayar üzerinde yönetici haklarına sahip olsak bile çalıştırılmayacak, yüklenemeyecek ve kullanılamayacaktır.

VBS ile birlikte yapılandırıldı zaman koruma kalkanı Windows’ un Kernel i olarak adlandırdığımız çekirdeğini de kapsayacaktır ve kötü amaçlı bir saldırgan tarafından yazılmış olan bir yazılım, işletim sisteminin çekirdeğini yönetmek istediği zaman çalıştırabileceği kodlar çok sınırlı olacaktır.

Virtualization-Based Security ve Code Integrity Policies

Her gün, binlerce farkı türden saldırı yöntemleri gelişmekte ve birçok kez geleneksel koruma yöntemleri yeni saldırılara karşı çaresiz kalmaktadır. Windows 10 Device Guard ile bu güvenlik anlayışı tamamen değişmektedir.
Anti virüs yazılımının veya kullanmış olduğumuz diğer güvenlik çözümlerinin, bilgisayarlarımıza bulaşmakta olan zararlı yazılımları algılamadan önce Code Integrity Politikaları tarafında güvenli bir yazılım olarak imzalandı mı yoksa imzalanmadı mı bunların kontrolü yapılmaktadır.

Code Integrity

Code Integrity iki ana bölümden oluşmaktadır ve bu bolümler KMCI (Kernel Mode Code Integrity) ve UMCI (User Mode Code Integrity) olarak adlandırılmaktadır ve bir işletim sistemi olarak düşünebiliriz.
KMCI daha önceki işletim sistemlerinde bulunmaktaydı ve imzalanmayan sürücülere karşı işletim sistemini korumaktaydı.

Kernel Mode Code Integrity

KMCI teknolojisinin daha önceki işletim sistemlerinde bulunduğunu bilmekteyiz ve yukarıda gösterilen mimaride Windows 8.1 içinde bulunan KMCI mimarisi gösterilmektedir.

Daha önceki işletim sistemlerimiz üzerinde bulunan Kernel mod’ un birçok avantajı bulunmaktaydı ve bu avantajları yeni işletim sisteminde gelişerek devam etmektedir.

Fakat mimariye baktığımız zaman bir güvenlik açığı bulunmakta. Son kullanıcının sahip olduğu ara yüz ile işletim sisteminin yüklü olduğu bölüm aynı platform üzerinde barınmaktadır.

kernel security check

Kernel Mod ile User Mod un aynı platform üzerinde barınması, kullanıcının yakalanacak olduğu bir virüs veya kötü amaçlı bir yazılımın işletim sistemini bozmasına neden oluyordu.

Birçok Windows kullanıcısı yukarıdaki Kernel Security Check uyarısını almıştır. Bu hatanın birçok nedeni vardır ama en bilinen nedenleri yanlış veya imzasız sürücü yüklenmesi ve virüslü bir dosyanın işletim sistemini bozması, bozmaya çalışmasıdır.

Windows işletim sistemleri reload Kernel modüle özelliği ile kullanıcı biriminde yakalandığı bir virüs dosyası işletim sisteminin Kernel Modülüne zarar vermeye çalışıyor. İşletim sistemi bu hata ile karşılaştığı zaman mavi ekran hatası ile bizleri karşılıyor ve onarım işlemine başlıyor. Bu onarım işleminde, Windows un çekirdeği olan Kernel i onarmak ve reload özelliği sayesinde onarım sırasında Kernel i baştan yüklemektir.

Virtualization Based Security

Virtualization-Based Security ve Code Integrity Policies
Device Guard donanım özelliklerinden yararlanarak güvenlik seviyelerini yukarıya çekti ve gelişmiş donanım özelliklerini sonuna kadar kullanmaktadır. CPU virtualization extensions (Intel VT-x or AMD-V) ve level address translation özelliklerini içermektedir. Input/output memory management birimi olan IOMMUs İle güçlendirilmiş bir güvenlik bizlere sunulmaktadır.

Hyper-V Microkernelized

Aslında bugün konuşmaya başlamış olduğumuz Device Guard güvenlik çözümünün ilk adımları çok uzun zaman önce atıldı. Device Guard teknolojisinin çalışma mantığını anlayabilmek için Hyper-V mimarisini iyi bir şekilde analiz etmemiz gerekmektedir. Hikâyenin başlangıcı olan Hyper-V: Microkernelized or Monolithic makalesi ile bu hikâyenin başlangıcı Microsoft’ un güvenliğe vermiş olduğu önemi hatırlayabiliriz.

Hyper-V Architecture

Hyper-V nin ilk çıkmış olduğu günden beri Best practices for configuring Hyper-V hosts yapılandırmalarında Do not collocate other server roles maddesi yer almaktadır. Bu madde detaylı olarak incelendiği zaman, Hyper-V Rolü Windows işletim sistemi üzerinde bir rol olarak yüklendiği zaman ve Hyper-V ile birlikte başka bir rol yüklendiği zaman NOT SUPPORTED durumuna düştüğü ilk zamanlardan beri yazılıp-çizilmektedir.

Security guide for Windows Server 2012 makalesi içinde Chapter 1 Overview bölümü içinde güvenlik gelişimi ve derin bilgiler paylaşıldı.

Bugün, Device Guard teknolojisi Hyper-V mimarisinin bizlere sunmuş olduğu bütün güvenlik yeteneklerini neredeyse sunmaktadır.

CPU virtualization extensions ve SLAT, Code Integrity servisleri ile birlikte yapılandırdığınız zaman Kernel Modu korumaktadır.

Hyper-V Hypervisor

Hyper-V Özelliklerinden bu kadar bahsettik ama yanlış anlaşılmasın, Device Guard teknolojisi Hyper-V sunucusu ile birlikte kullanılan bir teknoloji değildir. Device Guard teknolojisi Hyper-V Hypervisor servislerini kullanmaktadır. Sanal Platformlarda ve fiziksel platformlarda kullanılabilmektedir.

Generation 2 Virtual Machine

Device Guard temel işletim sistemi gereksinimi Windows 10 Enterprise, Windows 10 Education, Windows 2016 Server ve Windows Enterprise IoT işletim sistemleridir.

Device Guard Donanım bazlı yapılandırıldığı zaman Virtualization-Based Securityözelliklerinden yararlanabileceğiz. VBS ile birlikte Windows 10 un yüklenmiş olduğu bilgisayar üzerinde UEFI firmware version kontrolü, UEFI Secure Boot özelliğinin kontrolü Secure firmware update işlemlerinin kontrolü, HVCI compatible drivers kontrolü gibi birçok güvenlik avantajlarından yararlanabileceğiz.

Device Guard requirements for baseline protections adresinde her bir versiyon ile birlikte ürünün gelişimini ve güncel versiyon ile birlikte neler kazanıldığını, Device Guard uyumlu bir sunucu/Bilgisayar üzerinde yapılandırıldığı zaman hangi özelliklerini kullanabileceğimizin bilgilerine ulaşabilirsiniz.

Device Guard teknolojisini, yönetmiş olduğumuz organizasyona yaygınlaştırmadan önce kurumumuzun kullanmış olduğu bütün uygulamaları analiz etmemiz gerekmektedir. Device Guard Mimarisi makalemiz içinde bahsettiğimiz gibi Code Integrity Politikaları içinde olmayan hiçbir yazılım biz imzalamadığımız sürece çalışmayacaktır. Yanlış bir planlama sonrasında kendimize çok fazla iş yükü getirebilir,  ihtiyaç duyulacak bir yazılımın çalışmamasını neden olabiliriz.

Her projede olduğu gibi Device Guard teknolojisini sağlıklı kullanabilmek için iyi bir plan yapmak gerekmektedir. Bu makalemiz içinde kurumumuz için yeni CodeIntegrity Policy lerini oluşturacağız ve kullanacak olduğumuz komut seti Windows 10 ile birlikte geliştirilen New-CIPolicy Power Shell komutlarıdır. Policy i oluşturmadan önce Golden imajımızı incelemek ve temel gereksinimlerini kontrol etmemiz gerekmektedir.

Get-WmiObject

Device Guard projesinde oluşturacak olduğumuz Golden imajın önemi çok büyüktür. Golden bilgisayarımızın imajını almadan önce kurumumuz içinde kullanılmakta olan bütün uygulamaları bu golden bilgisayar üzerine yüklememiz gerekmektedir.  Golden imaj organizasyon seviyesinde alınması ileride oluşabilecek iş yüklerinin önüne geçecektir. Departman bazlı golden imaj zorunluluğu bulunmamaktadır.

SCCM veya benzeri bir yönetim aracı ile organizasyonumuz içinde kullanılan bütün uygulamaların listesini almak ve sonrasında bu uygulamaların her birisini golden imajımıza yükleme işlemi projenin başlangıcı olacaktır.

Yüklemiş olduğunuz uygulamaları Get-WmiObject -Class Win32_Product komutu ile listeleyerek doğrulayabilmekteyiz.

Hatırlatmakta fayda görüyorum golden imaj üzerine yüklemediğiniz hiçbir uygulamaya Device Guard güvenlik çözümü uygulandıktan sonra güvenilmeyecektir. Kısaca CodeIntegrity Policy içinde imzalanmamış bir yazılım olarak kalacaktır.

Generation 2

Golden imajın domainde olmaması ve sıfırdan kurulmuş bir işletim sistemi olması ve son güncelleştirmelere sahip olması önerilmektedir. Eğer Golden imajı bir sanal sistem üzerinde oluşturacaksanız bu sunucu sanallaştırma teknolojisinin Hyper-V olması gerekmektedir ve sanal sunucunun versiyonunun Generation2 olması gerekmektedir.

Get-HotFix

Get-Hotfix | Sort-object InstalledOn -Descending | Select -First 3 komutu ile golden imajımıza yüklenmiş olan en son güncelleştirmeleri kontrol etmemiz önerilmektedir.

windows10

Golden imajımızın Enterprise sürümünde ve en az 1607 versiyonuna sahip olması gerekmektedir. Winver komutu ile golden imajımızın sürümünü kontrol etmekteyiz.

Device Guard Virtualization Based Security

Systeminfo bilgilerini kontrol ettiğimiz zaman Device Guard Virtulization based security yapılandırmasının yapılmadığını görebilmekteyiz.

Golden imajımızı alacak olduğumuz bilgisayarımız üzerinde bütün kontrolleri yaptıktan sonra aşağıdaki komutlar ile golden imajımızı almaya başlıyoruz.

ConvertFrom-CIPolicy

$s1 = (gwmi -List Win32_ShadowCopy).Create(“c:\”,”ClientAccessible”)
$s2 = gwmi win32_shadowcopy |? {$_.id -eq $s1.ShadowID}
$d = $s2.deviceObject + “\”
Cmd /C mklink /d c:\scpy “$d”
New-CIPolicy -l PcaCertificate -f C:\Policy1.xml –s C:\scpy -Userpes
Set-RuleOption –option 3 –FilePath C:\Policy1.xml
ConvertFrom-CIPolicy C:\Policy1.xml C:\Policy1.bin
cp C:\Policy1.bin c:\Windows\System32\CodeIntegrity\SIPolicy.p7b

Code Integrity

Çalıştırmış olduğumuz komutlar golden bilgisayarımız üzerinde c:\scpy klasörü altına bir imaj almış durumda. Bu imaj golden bilgisayarımız üzerinde yüklü bulunan bütün uygulamaların ve işletim sisteminin bilgilerini kapsamaktadır.

SIPolicy.p7b

İşlemleri sırası ile gerçekleştirdiğimiz zaman Policy1.xml dosyasını Policy1.bin dosyasına çevirdik ve bin dosyasını ise SIPolicy.p7b dosyasına dönüştürdük. Oluşturmuş olduğumuz p7b dosyası c:\Windows\System32\CodeIntegrity yolu altında barınmaktadır.

Deploy Code Integrity Policy

Computer Configuration\Administrative template\System\Device Guard\Deploy Code Integrity Policy politikasını aktif duruma getiriyoruz ve oluşturmuş olduğumuz sertifikanın yolunu gösteriyoruz.

Audit Mode

Golden bilgisayarımız üzerinde system bilgilerini kontrol ettiğimiz zaman Device Guard User Mode Code Integrity yapılandırmasının Audit mode olarak çalıştığını görebilmekteyiz. Bu mode izlemek için kullanılmaktadır ve Device Guard herhangi bir eylem gerçekleştirmez.

Device Guard ı Audit Mode olarak yapılandırdığımız zaman kullanıcılarımız kullanmış oldukları bilgisayar üzerinde istedikleri gibi uygulama yükleyebilmektedirler.

Örnek senaryomuz içinde son kullanıcımız bilgisayarı üzerine WordViewerSkus uygulamasını yüklemeye çalışıyor ve kullanıcımız engellenmiyor, başarılı bir şekilde işlemini tamamlayabiliyor. Olay günlükleri içine herhangi bir olay günlüğü düşmemesinin nedeni Golden imajımız içinde Office Word Viewer kurulum dosyasının bulunmuş olması ve Golden imaj üzerine yüklenip, Code Integrety policy si tarafından imzalanmış olmasından kaynaklıdır.

Aynı bilgisayarımız üzerinde başka bir yazılımı yüklemeye çalışıyoruz. Bu yazılımda zararsız, 7zip uygulaması. Device Guard politikasını uygulamış olduğumuz bilgisayarımız üzerine 7zip uygulamasını yükleyebiliyoruz.

Code Integrety Audit Mode

Kullanıcımız, her iki uygulamayı bilgisayarı üzerine yükleyebildi fakat imzalanmayan 7zip uygulaması yüklenirken daha doğrusu ilk çalıştırıldığında Code Integrety olay günlüklerinde 3076 olay günlüğü oluştu. Yapılandırmamız Audit Mode olduğu için Device Guard bir eylem yapmayacak sadece olay günlüğü oluşturacaktır.

Windows Server 2016 RTM olarak hızlı bir şekilde IT dünyasına giriş yaptı. Birçok profesyonel IT blog yazarı Windows Server 2016 ile birlikte yeni makalelerini sıralamaya başladılar. Portalımız üzerinde bu konuda daha önce çokça kaynak yayımlandı. Ancak RTM olması ile birlikte makaleler yeniden hızlındı. Bu makalemizde Windows Server 2016 WSUS rolünü ele alıyor olacağız. Makalemiz iki bölümden oluşacak ilk makalemizde temel kurulum adımlarını ele alırken, ikinci makalemizde WSUS yapılandırması, konsol üzerine kullanıcıları toplamak ve update çekmesini sağlamak noktasında olacak.

WSUS açıklama olarak Windows Server Update Services anlamına gelmektedir. WSUS gereksinimi yapımızdaki sistemleri kendi ortamımızda konumlandıracağımız sunucu üzerinden güncelleme noktasında bize kolaylıklar sağlamaktadır. Bu kolaylıkları ele alacak olursak, Sistemlerimizin güncellenmesini merkezi bir noktadan yönetmek, raporlamak, network ve internet trafiğinde meydana gelecek darboğazların önüne geçmek olarak sıralanabilir.

Aşağıdaki şeklimize bakacak olursak, güncellemelerimizi yapımız içinde bir sunucu üzerinde toplayıp, bu güncellemelerimizi yine yapımıza dağıtabilmekteyiz. Bu bize yukarıdaki paragraftaki saydığımız kolaylıkları sağlamaktadır.

Sözü fazla uzatmadan adımlarımıza başlayalım. Öncelikle rolümüzü kurma adımına başlayalım.

Server Manager üzerine girerek işlemlerimize başlayalım. Bu işlemi resmimizde yer alan 2 Add roles and features linkine tıklayarak yapabileceğimiz gibi, Managebutonuna tıkladığımızda açılan Add Roles and Featuresmenüsünden de yapabiliriz. Add Roles and Features‘e tıklayalım.

Açılan ekranda sihirbaz ile yapabileceklerimiz noktasında bilgi verilmektedir. Next ile bir sonraki ekranımıza ilerleyelim.

Açılan ekranımızda iki seçeneğimiz yer almaktadır. Bunlardan birincisi olan;

Role-based or feature-based insallation : Rol ve Özellik bazında ekleme kurulum yapma imkanı verir. Windows Server 2016 içerisinde sahip olduğumuz sürüme göre, içerisinde bulunan ve ihtiyacımız olan rol ve özellikleri buradan ekleyip kaldırabilmekteyiz.

Remote Desktop Services installation: Eski zamanlarda Terminal Servis olarak anılan ve şimdi RDS (Remote Desktop Services) uzak masaüstü yapılandırmasını hızlı ve standart olarak buradan yapabilmekteyiz. Bu nedenle biz RDS kurulum ve yapılandırması yapmayacağımız için Role-based or feature-based insallation seçimini yaparak Next ile ilerliyoruz.

Windows Server 2008 ve 2012 ile birlikte sunucu kümesi oluşturarak bu küme üzerine toplu olarak ve farklı bir sunucu üzerinden Rol ve Özellik ekleme ve kaldırma işlemleri yapabilir duruma geldik. Tabi bu işlem Windows Server 2012 üzerinden doğrudan yapılabilirken Windows Server 2008’e bazı özellikler katmamız gerekiyordu. Bizim ortamımızda tek bir sunucumuz olduğundan ve bu sunucumuza Active Directory rolünü kuracak olduğumuzdan Adı, ip adresi ve versiyon bilgisi sunulan sunucumuzu seçerek Next ile ilerliyoruz.

Karşımıza gelen ekrandan biz Windows Server Update Services rolünü kuracağımız için bu rolü seçelim.

WSUS rolünün çalışabilmesi için gerekli olan özellik listesi karşımıza geldi. Bu özelliklerin otomatik olarak rol ile birlikte kurulabilmesi için Add Features butonuna tıklayalım.

Bu özellikler üstteki ekranımıza ek olarak aşağıdaki özellikleri kapsamaktadır.

Bu özelliklerimizi gördükten sonraNext ile sonraki adıma ilerleyelim.

IIS rolü üzerinde yapılandırılacak olan özellikler yine bize gösterilmektedir. Next ile bir sonraki adıma ilerleyelim.

WSUS yapılandırma öncesi bize kısa bilgiler sunulmaktadır. Bu ekranımızda Next butonuna tıklayarak bir sonraki adıma ilerleyelim.

WSUS kurulumu sırasında kullanılacak olan veri tabanı noktasında seçim yapmamız gerekmektedir. Sadece WSUS Servicesözelliğini kurarsak farklı bir WSUS sunucu ile bağlantı sağlayabiliriz. WSUS Services+WID Connectivity bileşenlerini aynı anda kurarsak sistemimize WSUS ve dahili veri tabanı kurulacaktır. WID Connectivity ile aynı anda SQL Server Connectivity özelliği aynı anda kurulamamaktadır. SQL Server Connectivity ortamda bir SQL sunucu var ise WSUS veri tabanımızı burada yapılandırma imkanını bize sunmaktadır. Biz ekranımızdaki gibi seçimimizi yaparak Nextile bir sonraki adıma ilerleyelim.

Bu ekranımızda biz dahili veri tabanını seçtiğimiz için bizden WSUS veri tabanının tutulacağı alanın belirtilmesi istenmektedir. Bu işlem için en az 6 GB NTFS formatında bir disk alanı istenmektedir. Tabi bizim seçeceğimiz güncellenecek ürün sayısı, dil çeşitli, güncelleme bileşenleri düşünülerek iyi hesap kitap yapıp ona göre bir alan belirlememizde yarar var. Ortalama bir kurum 50GB ile 200 GB arasında bir alan tahsis ederse amacına ulaşacaktır. Günümüzdeki teknolojiler ile disk genişletmek pek sorun olmadığından ileride bir darboğaz olması durumunda bu tabi ki aşılacaktır. Ben D: diskim üzerinde WSUS-DATABASEşeklinde bir yol belirliyorum. Next ile bir sonraki adıma ilerleyebiliriz.

Bu ekranımızda Windows Server 2016 WSUS rolünün kurulumundan sonra eğer gerekir ise, yeniden başlatma işleminin otomatik gerçekleşmesi için Restart the destination server automatically if required seçimini yapıyoruz.

Bu sorumuza YES ile yanıt veriyoruz.

Artık kurulum adımlarına başlayabiliriz. Installile kurulumu başlatalım.

Kurulum işlemi başladı.

Kurulum işlemi tamamlandı. Launch Post-installation task seçeneği ile yapılandırmanın tamamlanmasını sağlayalım. Bu aradaClose ile bu ekranımızdan çıkabiliriz.

Server managerüzerinden kontrol ettiğimizde WSUS için yapılandırma arka planda devam etmekte.

D: Diskimiz üzerindeki WSUS-DATABASE alanı içerisinde WSUS ile ilgili olan konteynerler oluşmaya başladı.

Server manager üzerindeki işlem tamamlandı.

Start menümüzde Windows Server Update Services kısa yolumuz oluştu. Kısa yolumuzu tıklayarak konsolumuzu açalım.

WSUS konsolumuzu ilk kez açtığımız için bizi bir sihirbaz karşılamakta. Bu sihirbazı bir kereye mahsus yapılandıralım. İlk aşamada sihirbazın yapacağı noktasında bilgi sunulmakta Next ile sonraki adıma ilerleyelim.

Bu ekranımızda ürün geliştirme nokrasında Microsoft ile bağlantı sağlama noktasında bilgi sunulmaktadır. Biz bu ekranda seçim yapmadan Nextile sonraki adıma ilerliyoruz.

Bu adımda senkronizasyon işleminin Microsoft update sistemiyle mi yapımızdaki farklı bir WSUS sunucuyla mı bağlantı yapılacağı noktasında seçim yapmamız gerekmektedir. Biz ortamımızdaki farklı bir WSUS sunucu ile senkronizasyon kurmayacağımız için, ekrandaki gibi varsayılan seçim ile Next butonuna tıklayarak bir sonraki adıma ilerliyoruz.

Ortamımızda bir Proxy varsa firewall tarafında Microsoft sunucularına erişim noktasında sorun yaşamamak adına burada Proxy bilgilerini girmemiz gerekmekte. Bizim ortamımızda bir Proxy olmadığından Next ile sonraki adıma ilerliyoruz.

Bu ekranımızda WSUS sunucumuzun Microsoft sistemleri ile iletişim kurması için Start Connecting butonuna tıklayalım.

Senkronizasyon işlemimiz 5-15 dakika arasında sürecektir. Bu süreyi bekleyerek senkronizasyon işleminin tamamlanmasını sağlayalım ve Next ile sonraki adıma ilerleyelim.

Bu ekranımızda içeride dağıtım yapacağımız güncellemelere göre dil seçimi yapmamız gerekmektedir. WSUS ile çok sayıda sisteme güncelleme dağıtma imkanımız var. Microsoft firmasının tüm sistemlerine güncelleme dağıtabiliyoruz desek abartmış olmayız. Bu nedenle dağıtım yapacağımız ürünlerin dil çeşitliliklerini hesaba katarak seçim yapalım ki veri tabanımız fazla büyümesin. Ben Windows update client sistemleri update dağıtacağım için ve sadece Türkçe işletim sistemlerine sahip olduğum için sadece Turkish seçimini yapıyorum. Bu seçimimizden sonra Next ile sonraki adıma geçelim.

Bu ekranımızda güncelleme dağıtacağımız sistemleri seçmemiz gerekmektedir. Ben yapımda Windows 10 işletim sistemine güncelleme dağıtacağım için Windows 10 seçimini yapıp Nextile ilerliyorum.

Bu ekranımızda dağıtacağımız güncelleme çeşitlerini seçmemiz gerekmektedir. Aşağıdaki seçimler varsayılan seçimler olup geriye kalan seçimler genelde WSUS üzerinden pek dağıtılmazlar. Veri tabanı boyutumuz devasa boyutlara ulaşabilir. Son yıllardaki sistemleri düşünürsek eskiye nazaran ayda bir minik güncellemeler yerine ayda birkaç defa yayımlanan büyük boyutlu güncellemeleri içermektedir. Windows 10 ile GB seviyelerinde güncelleme paketlerini gördük diyebiliriz. Aşağıdaki ayarlar ile bir sonraki adım için Next ile ilerliyoruz.

Bu ekranımızda WSUS sunucumuz ile Microsoft sistemi arasındaki senkronizasyon metodunu seçiyoruz. Bu işlemi manuel yapmayacağımız ve network internet trafiğine yük bindirmeyeceğimiz için otomatik olarak seçip gece vaktinde sistemlerin boş olduğu zamana planlama yaparak Next ile sonraki adıma ilerliyoruz.

Başlangıç senkronizasyonu seçili durumdayken Finishile adımlarımızı tamamlayalım.

Sonunda konsolumuz geldi.

Konsolumuzda şu anda hiçbir veri olmadığından grafik ekranlarımız bir anlam ifade etmiyor. WSUS üzerindeki yapılandırmamız tamamlandığından DASHBOARD ekranı anlam ifade ede duruma gelecektir.

Bu makalemizi burada noktalayıp sonraki makalemizde Active Directory, Group Policy ve Konsol üzerindeki geriye kalan işlemlerimiz tamamlayacağız.

Bir sonraki makalemizde görüşmek dileğiyle.

İlk makalemizde Windows Server 2016 Kurulum işlemimizi yapmıştık. Bu makalemizde ise Wsus yapılandırmamızı gerçekleştireceğiz. Sözü fazla uzatmadan adımlarımıza başlayalım.

Konsol üzerinde düzenli bir yapı kurmak adına işletim sistemleri arasında bir düzenleme yapmanız takip ve düzen açısından iyi olacaktır. Bu nedenle update dağıtacağımız sistemleri gruplar şeklinde ayıralım. All Computeröğesi üzerinde sağ tıklayarak Add Computer Group…’a tıklayalım.

İlk aşamada ben Windows10 işletim sistemine update dağıtımı yapacağım için, Windows 10 işletim sistemlerinin güncellemesini alacak olan kullanıcıları toplamak adına Windows10 isminde bir grup oluşturuyorum. Grubumuza bir isim verip Addbutonuna tıklayalım.

Bu aşamadan sonra örnek olması açısından Server 2016 sunucularımız için bir grup oluşturma adına All Computeröğesi üzerinde sağ tıklayarak Add Computer Group…’a tıklayalım.

Grubumuza bir isim verip Addbutonuna tıklayalım.

Gruplarımızı tanımadık. Makalemizin ilk kısmındaki ekranları hatırlayacak olursak Microsoft firmasının neredeyse tüm sistemlerini Wsus üzerinden güncelleyeceğimizi söylemiştik. Bu nedenle catalog üzerinde bizi çok sayıda güncelleme karşılayacaktır. Gerek dağıtım sırasında gerekse bir yanlışlık yapmamamız açısından sadece dağıtımını yapacak olduğumuz update kataloglarını gruplamamızda yarar var.

Bu nedenle makalemize konu olan Windows 10 işletim sistemlerine güncelleme dağıtmak için, Windows 10 işletim sistemlerini kapsayan bir view filtresi oluşturalım. Updatesmenüsüne sağ tıkladıktan sonra açılan menüden New Update View…’e tıklayalım.

Açılan ekranımızdaki sihirbaz üzerinde filtreleme kriterimizi seçmemiz istenmektedir. Burada update türlerine, işletim sistemi türlerine gruplara zaman periyoduna ve wsus güncellemelerine göre filtreleme yapabiliriz. Biz Windows 10 işletim sistemine göre filtreleme yapacağımız için Updates are for a spesific productseçimini yapalım.

Bir üst ekranımızda bunulan Any Product linkine tıkladıktan sonra filtre oluşturacağımız işletim sistemini seçelim ve OK butonuna tıklayalım.

Filtremize bir isim verip OK ile işlemimizi tamamlayalım.

Aşağıdaki ekranımıza bakacak olursanız Windows 10 filtremiz, Windows 10 ve Server 2016 grubumuz oluşmuş durumda. Şimdi Windows 10 işletim sistemine ait güncellemeleri ortaya çıkartalım. Tabi bu güncellemelerin çıkması için senkronizasyon işleminin tamamlanması ve dolayısı ile biraz zaman ve sabır lazım. Wsus yaklaşık olarak bir iki gün içerisinde tamamen oturan bir roldür. Yapılandırır ve beklemeye başlarsınız.1 numaralı adımda Filtremize tıkladığımızda ve2 numaralı adımda Unapprovedve Any seçimlerini yapıp Refreshbutonuna tıkladığımızda onaylanmamış Windows 10 güncellemelerimiz karşımıza çıkacaktır.

Ortam hazır, updateler dağıtılmak üzere hazır. Şimdi artık kullanıcılarımıza Wsus üzerinden update yapmaları için ayarlar yamamız gerekmekte. Bu ayarları merkezi olarak rahatça dağıtmak için GPO kullanacağız. Öncelikle Active Directory Users and Computer konsolunu açalım.

Yine burada düzenli bir yapı oluşturmamızda yarar var. Bu nedenle update ayarlarını dağıtacak olduğumuz Computerleri bir OU altında toplayalım. Konsol ağacının üstünde sağ tıklayarak NewàOrganizatiın Unit menüsüne tıklayalım.

OU için bir isim verip OKile bu adımı bitirelim.

Computers kabı altında bir adet Windows 10 işletim sistemine sahip Computer öğemiz var.Wsus GPO ayarları computer bazında uygulanabilir olduğundan bu computer öğemizi yeni oluşturduğumuz Windows-10 OU’muza taşıyalım.

Computer öğesi üzerinde sağ tıklayarak çıkan menüden Move…menüsüne tıklayalım. Bu işlemi bu şekilde yapabildiğimiz gibi Mouse ile sürükle bırak yaparak yapmamız mümkün.

Move işleminin yapılacağı alanı yani yeni oluşturduğumuz Windows-10 OU kabını gösterip OK ile taşıma işini tamamlayalım.

Computer öğemiz bizim belirlediğimiz Windows-10 OU kabına taşınmış durumda.

Şimdi Windows-10 Ou kabında bulunan computer öğelerimize update sunucu ayarlarımızı basmamız gerekmekte. Bu nedenle Group Policy Managment konsolunu açalım. Windows-10 OU kabımıza sağ tıklayarak Create GPO in this domain, and Link it here... menüsüne tıklayalım.

Oluşturacak olduğumu GPO için bir isim belirleyip OK butonuna tıklayalım.

GPO öğemiz oluştu.

Bu aşamada GPO ayalarımızı yapabiliriz. GPO öğesine sağ tıklayıp Editkısmına tıklayalım.

Açılan ekranımızda Computer ConfigurationàAdministrative TemplatesàWindows Companents altında yer alan Windows Update kabına gelelim. Burada çok sayıda policy ayarı bizi karşılamaktadır. Tabi bunlardan hangileri sizlere lazım olur ise ona göre ayar yapmanız gerekmektedir. Bize temel olarak 2 policy ayarı yetecektir. Bir tanesinden sistemlerimizin güncelleme ve raporlama yapacağı adresi belirtirken diğerinde güncelleme sunucusunu denetleme sıklığı ayarını yapacağız.

İlk olarak sistemlerimizin otomatik güncelleme ayarını yapmak için Configure Automatic Updates objesi üzerinde çift tıklayalım.

Öncelikle Enabled ile kuralımızı aktif edelim. İkinci adımda 4-Auto download and Schedule the installseçimini yapalım. Burada 5 opsiyon var ancak bizim için ideal seçim 4 olacaktır. Bu seçim ile otomatik olarak Wsus üzerinden indir ancak kurmak için zamanlamayı kullan demiş oluruz. Zamanlama müdahale etmemeniz durumunda resmimize göre 03:00 olacaktır. Bunu yapınıza göre planlamanız mümkün. Bu ayarımızı yapıp OK butonu ile tamamlayalım.

Şimdi ikinci kuralımızı yapılandıralım. Bu kuralımızda update ve raporlama sunucumuzu belirleyeceğiz. Bu nedenle Specify intranet Microsoft update service location objesine tıklayalım.

Öncelikle kuralımızı Enabled ile aktif edelim Set the intranet update service for detection updates: seçimi ile update sunucu adresimizi belirleyelim. Bizim sunucu adresimiz http://192.168.2.100:8530şeklinde. Varsayılan ayarlara müdahale etmediyseniz 8530 portunu eklemelisiniz. Normalde rol kurulduğunda wsus üzerinde bu port otomatik olarak açılır ancak sizin ortamınızda farklı firewall yapınız varsa bu porta izin vermelisiniz. Set the intranet statistics server: kısmında ise raporlama sunucumuzu belirlememiz gerekir. Biz güncelleme ve raporlamayı aynı sunucu üzerinde yapacağımız için adresimizi http://192.168.2.100:8530  şeklinde belirliyoruz.

Bu ayarlardan sonra artık ayarlarımızı kullanıcılarımıza atamamız gerekmekte. Windows-10 kabı içerisinde yer alan RIZAS computer öğesine sahip olan kullanıcı bilgisayarımızda Gpupdate/ force komutu ile gpo ayarlarını hızlıca alalım. Bunu yapmamış olmamız durumunda kullanıcı yeniden login olduğunda veya belirlenen GPO çekme süresinde bu ayarı alır.

Evet ayarlarımızı yaptık. Şimdi kullanıcımıza dönelim1 numaralı alanda güncelleme ekranımızı açtığımızda güncelleme olmadığı bilgisi verilmekte. 2 numaralı alanda ise “Microsoft Update güncelleştirmesini çevrimiçi denetleyin.” seçeneği yer almakta. Normalde bu seçenek çıkmaz. Wsus kullanan sistemlerde bu seçenek çıkar. Nedeni ise Wsus haricinde bize istememiz durumunda manuel olarak Microsoft sunucuları üzerinden güncelleme yapma imkanı vermesidir.

Biz ayarları aldık ama bazı durumlarda sorun yaşanabilir. Ayarları alıp almadığımızı tam olarak anlamak için Rsop.mscöğesini yönetici olacak çalıştıralım. Rsop.msc alınan gpo ayarlarını gösteren bir araçtır.

Gerekli olan ayarları almış durumdayız. 2 adet kural uygulamıştık bu kurallar Windows Update kabı altında kullanıcımıza yansımış durumda.

Bu ayarları alan kullanıcı Wsus üzerinden güncelleme talebinde bulunması halinde Unassigned Computer grubu altına dolayısı ile All Computer grubu altına gelecektir. All Computer seçiminden sonra Refeshbutonuna tıklayalım.

Şu anda kullanıcımıza ait sistem Wsus konsoluna düştü. Sarı dikkat işareti ile güncel olmadığı görünmekte.

Wsus ayarını alan sistemler ilk olarak Unassigned Computer grubuna düşer. Burada düzenli bir yapıyı sağlamak istediğimizi makalemizin başında belirtmiştik. Bu nedenle bu kullanıcı öğesi üzerinde sağ tıklayarak Change Membership... linkini tıklayalım.

İki adet grup tanımlaması yapmıştık. Windows10 olan grubumuzu seçerek OK butonuna tıklayalım.

Şu anda sistemimiz gerekli grup altında yerini aldı.

Makale başında bir filtre oluşturmuştuk. Filtremize tıkladıktan sonra ikinci adımda Unapproved ve Any seçimini yapalım. Bu onaylanmamış tüm güncellemeleri getir anlamına gelmektedir. Refreshbutonumuza tıkladığımızda dağıtılmamış Windows 10 işletim sistemine ait olan güncellemeler karşımıza gelmekte.

Güncellemelerimiz üzerinde sağ tıklatıp Approve… linkine tıklayalım.

Karşımıza güncellemelerin hangi gruba yapılacağını belirleyeceğimiz ekran gelmekte. Biz Windows 10 grubu altındaki sistemlerimize Windows 10 güncellemelerimizi dağıtacağımız için Windows10 grubuna tıklıyor ve sonrasında Approved for Install yapıyoruz.

Güncellemelerimiz başarı ile dağıtım için hazırlandı.Closeile ekranımızdan çıkalım.

Güncellemeler şu an Mcirosoft üzerinden download edilip dağıtıma hazırlanıyor.

Belirli zaman sonrasında kullanıcımızın ayarlı olan 03:00 saatini beklemeden Güncelleştirmeleri denetlebutonuna tıklayarak işlemi manuel yapalım.

Şu anda sistemimiz inen güncelleştirmeleri buldu. İndirip yükleme aşamasına geçti.

Bu güncelleştirmelerimiz yüklendikten sonra durum güncelleştirme geçmişine aşağıdaki gibi yansıyacaktır.

Tüm güncellemeler indirilip kurulduğunda ise sistem tamamen güncel hale gelecektir. Bu kısmında fazla acele etmeden birkaç gün Wsus’un kendine gelmesini beklememizde yarar var.

Tüm güncellemelere yüklendikten sonra konsol üzerinde sistemlerimiz yeşil check işaretine sahip olacaktır. Buraya kadar olan işlemlerde biz manuel müdahale etmemiş olsak, kullanıcı önce zamanı geldiğinde GPO ayarını alacak, Sonrasında zamanı gelince Wsus üzerinden güncellemeleri denetleyecektir. Bundan sonraki adımda yine otomatik güncelleme dağıtma imkanımız var ama ben güncellemelerin Approve edilme kısmının manuel olarak yapılmasından yanayım. Ayrıca güncellemeleri birkaç gün geriden yüklerseniz yararlı olabilir. Bazen güncellemelerde sorun olup geri çekme gibi durumlar yaşanabiliyor.

Gerekli güncellemeler sağlandıktan sonra konsol üzerinde bilgisayar sayımız ve güncelleme durumlarına göre grafiklerimiz şekillenecektir. 

Yeşil: Tüm güncellemeler alınmış her şey yolunda anlamına gelir.

Sarı: Yüklenecek eksik güncellemeler var demektir.

Kırmızı: Yüklemeler sırasında bazı güncellemelerin hata verdiği anlamını ifade eder.

Genel olarak konsol üzerinde yapılması gereken adımlarımızı inceledik. Bundan sonraki aşamada ise konsol üzerinde geri kalan menülere kabaca göz gezdirelim.

Synchronizations: Bu kısımda Wsus sunucumuzun Microsoft sunucuları ile olan iletişimlerinin senkronizasyon durumlarının bilgisi verilir.

Options ekranında ilk makalemizde rol kurulumu sonrasında Wsus yapılandırma sihirbazında yaptığımız ayarları değiştirme ve görme imkanına sahip durumdayız. Burada ek olarak E-Mail Notifications kısmını inceleyelim.

Burada mail gönderici ve alıcı adreslerini belirleyerek günlük senkronizasyon ve update durumları ile ilgili olarak mail bildirimi almamızı sağlayabiliriz. Yollanacak mail için zaman ve dil seçimi yaparak gelen maili rahat yorumlama imkanına sahibiz.

Tabi yukarıdaki ekranımızda belirttiğimiz adreslerin mail alabilmesi için Bir SMTP tanımlaması yapabiliriz. Ortamınızda bir mail sunucunuz varsa, smtp olarak kullanabileceğiniz bir adres varsa gerekli smtp bilgisini burada tanımlayabilirsiniz.

Genel olarak Wsus konusunda 2 bölümden oluşan makaleler ile bilgi vermeye çalıştım. Ortamda ağımıza bağlı olan domainde olmayan sistemlerimiz var ise bunlara yine Wsus üzerinden güncelleme dağıtma imkanına sahibiz.

Bu işlem için Workgroup olarak çalışan sistemlerimiz üzerinde bulunan local policy özelliğini kullanabiliriz. Bunun için yine local policy aracı olan gpedit.msc aracını kullanmamız gerekir.

Yine aynı ayar konsolumuz gelecektir. Burada yukarıdaki GPO üzerindeki ayarları uygulayarak Workgroup sistemlerin güncelleme almasını sağlayabiliriz.

Yukarıdaki durum haricinde kullanıcılar bazen güncelleme çekmeyebilir veya manuel tetiklememiz yapmamız gerekebilir. Bu durumda aşağıdaki komutu kullanmamız gerekir.

Wuauclt /detectnow

Bazı durumlarda güncelleme alan kullanıcı durumu konsola yansımaz. Alınan güncelleme sayıları veya tüm güncelleme alması durumunda yeşil ikona dönüşüm olmayabilir. Bu durumda aşağıdaki komutu çalıştırmamız gerekir.

Wuauclt /reportnow

Bu makalemizin de sonuna geldik. Bir başka makalemizde buluşmak dileğiyle.

New-Cı Policy uygulamasını oluşturduğumuz zaman Golden imajımız üzerinde yüklü bulunan uygulamalar güvenilir ve bilinir uygulamalar olarak Device Guard politikalarına eklendi ve Device Guard yaygınlaştırma işlemleri tamamlandı. Aradan belirli bir zaman geçti ve bizim imzalamış olduğumuz X yazılımının 1.2.3 versiyonu 1.2.4 olarak güncellendi.

Bu güncelleştirme sonrası Device Guard Politikaları nasıl davranacak. Device Guard, 1.2.3 olarak imzalanmış olduğumuz uygulamaya güvenmeye devam edecek ama güncellenen uygulamanın 1.2.4 versiyonuna güvenmeyecektir. Bizler 1.2.4 uygulaması için ayrı bir policy oluşturmamız gerekmektedir. Device Guard’ a göre güncelleştirme alınan uygulama başka bir yazılımdır.

Bir diğer senaryo, policy i oluşturmuş olduğumuz zaman Y yazılımını golden imaja yüklemeyi unuttuk ve Device Guard deployment işlemini gerçekleştirdik. Bu senaryo içinde aynı eylem geçerli olacak ve Y yazılımı policy içinde güvenilir olarak imzalanmadığı için Device Guard eklemediğimiz, unuttuğumuz her bir yazılıma güvenilmeyecektir.

Yapacak olduğumuz işlem yeni bir Policy daha oluşturup her iki policy  Merge-CIPolicy Power Shell komutlarıyla birleştirmek olacaktır.

Merge-CIPolicy işlemlerini yapabilmek için ben aynı referans makinemi kullanıyorum. Fakat aradan zaman geçti ve mevcut referans makinenize ulaşamıyorsunuz. Problem değil. New-CIPolicy uygulamış olduğumuz makinenin gereksinimlerinde bir tane Windows 10 ENT işletim sistemi kurmamız ve daha önce oluşturmuş olduğumuz Policy’e sahip olmamız yeterlidir.  Policy mizin dönüşüme uğramamış ham hali varsa aynı uygulamaları tekrardan Golden bilgisayarımıza yüklememize gerek bulunmamaktadır. Bu sebepten ötürü Merge işlemlerine başlamadan önce daha önce oluşturmuş olduğumuz Policy’ nin yedeğini almanızı önermekteyim.

Referans bilgisayarımız Audit Mode içinde ve imzalamak istediğimiz uygulamalarımızı yüklüyoruz ve varsa eğer yapılandırmalarını gerçekleştiriyoruz. İmzalanacak olan uygulamanın kurulum dosyası referans bilgisayarımız üzerinde olması gerekmektedir.

Örneğimiz içinde 7-Zip uygulaması Policy miz içinde bulunmamakta. Senaryomuz içinde 7-zip uygulaması için izin vereceğiz. Golden bilgisayarımız Audit mode içindeyken 7-zip uygulamasını kurdum ve kurulum dosyasını ise Downloads pathi altında bıraktım.

New-CIPolicy -Audit -Level Hash -FilePath c:\Policy2.xml -Userpes

Yukarıda çalıştırmış olduğum komutlar sonrası 7-Zip uygulaması imzalandı.

Aşağıdaki komut ile Poliy1 ve Policy2 dosyaları birleştirildi ve yeni oluşturmuş olduğumuz MergePolicy.xml dosyamız içinde yeni imzaladığımız 7zip dosyasının kurulum dosyasının da imzalandığını görebilmekteyiz.

Merge-CIPolicy -PolicyPaths C:\Policy1.xml,c:\Policy2.xml -OutputFilePath c:\MergePolicy.xml

Aşağıdaki komut ile oluşturmuş olduğumuz Merge.xml dosyasını bin formatına çeviriyoruz.

ConvertFrom-CIPolicy C:\MergePolicy.xml C:\MergePolicy.bin

Ve son olarak aşağıdaki komut ile birleştirilmiş olan merge edilmiş policymizi dağıtılacak olan SIPolicy.p7b dosya türüne dönüştürüyoruz.

cp C:\MergePolicy.bin c:\Windows\System32\CodeIntegrity\SIPolicy.p7b

Bu işlemlerden sonra artık 7zip uygulamamızda güvenilir uygulamalar içine dahil edilmiş oldu. Mevcut yeni sertifikamız içinde ilk imzaladığımız uygulamalarımız ve bu makale ile birlikte imzaladığımız 7-zip uygulamamız güvenilir, imzalı uygulamalar içinde.

CodeIntegrity olay günlüklerini sıfırlıyorum ve güvenilen uygulamalarımız olan 7zip (merge policy ile birlikte imzalanan uygulama) ve WordViewerSkus (ilk policy oluşturulduğu zaman imzalanan uygulama) uygulamalarını çalıştırıyorum ve hiçbir olay günlüğü oluşturulmuyor.

İmzalanmayan winrar dosyasını henüz yüklemedim sadece exe dosyasını açtım.

CodeIntegrity Policy sine hemen bir olay günlüğü düştü.

Olay günlüğünün detaylarına baktığım zaman imzalanmayan winrar uygulaması için olay günlüğünün oluştuğunu görebilmekteyiz.

Device Guard teknolojisini Code Integrety politikaları sayesinde birleştirilmiş bir koruma kalkanı oluşturmakta ve korumuş olduğu Windows 10 bilgisayar üzerinde Kernel Mode ve User Mode olmak üzere iki farklı platform üzerinee korumasını gerçekleştirebilmektedir. User mode platformu üzerinde gerçekleştirmiş olduğu koruma özelliklerini Audit Mode makalesi içinde inceledik. Bu makalemiz içinde User Mode içinde Enforced Mode yapılandırmasını ve Kernel Mode yapılandırması için temel gereksinimleri paylaşacağız.

Device Guard teknolojisini Kernel Mode yani işletim sisteminin çekirdeğini ve bunun ötesinde çalışmış olduğu bilgisayarın donanımının sahip olduğu firmware ve ilk açılış bölümü olan boot bölümünü koruyabilmektedir. Bu korumayı gerçekleştirebilmemiz için bir takım donanımsal gereksinimlere ihtiyacımız bulunmaktadır ve PC OEM requirements for Device Guard and Credential Guard makalesi içinde paylaşılmaktadır.

Device Guard requirements for baseline protections inceleyeceğiz.

64-bit CPU.
Device Guard teknolojisi VBS yani vitulization base securty kullanmakta ve Windows Hypervisor un temel gereksinimi olan 64 bit CPU zorunlu koşmaktadır. Günümüz bilgisayarları neredeyse bu gereksinimi karşılamaktadır.

CPU virtualization extensions Plus extended page tables
Virtulization extension özelliği VT-x (Intel) ve AMD-V olarak bilinir ve Second Level Address Translation (SLAT) olarak adlandırılırlar. Bu özellik yapılandırıldığı zaman kazanacak olduğumuz güvenlik daha önce belirttiğimiz gibi Kernel Mode ile İşletim sistemi bir-birlerinden izole esilmiş bir şekilde çalışacaktır ve vaat edilen sıfır gün koruması bu izolasyon ile birlikte sağlanacaktır.

UEFI firmware version 2.3.1.c or higher with UEFI Secure Boot

Device Guard yapılandırılmış olan cihazının ilk açılması sırasında yetkilendirilmiş kodlar ile açılmasını kontrol etmektedir. Bu özellik aktif edildiği zaman Rootkitler i engelleyebilmektedir. Device Guard yeni bir teknoloji ve bu özelliğe sahip atakları engellemek pek mümkün olmadığı veya zor olduğu düşünülebilir.

Özgür ansiklopediden almış olduğumuz bilgiler şunu söylemekte;

“Rootkit’in gerçekte hangi dosyaları değiştirdiği, Kernel’a hangi modülü yüklediği, dosya sisteminin neresinde kayıtlı olduğu, hangi ağ servisiüzerinde dinleme yaparak uygun komutla harekete geçeceğini tespit etmek güçtür.”

Ama artık Windows işletim sistemlerinde mümkün olduğunu görebilmekteyiz. Bu özelliği aktif duruma getirebilmemiz için Hardware Compatibility Specification for Systems for Windows 10, version 1607 makalesi içinde belirtilen donanım gereksinimlerini tamamlamış olmamız gerekmektedir.

Secure firmware update process

UEDI Firmware deki gibi firmware (aygıtın yazılımı zaten) kısıtlı olsa bile bir işletim sistemine sahip ve patch güncelleştirilmesi, yükseltme işlemlerinde aynı UEFI Secure Booy özelliğindeki gibi sistemi Rootkitler den koruyabilmektedir. Donanım gereksinimi UEFI Secure Boot ile aynıdır.

HVCI Compatible Drivers

Hypervisor Code Integrity özelliği ile sürücülerin kod bütünlüğünü sağlamış olabiliyoruz. Kernel mode içinde sadece kod bütünlüğü sağlanmış sürücüler çalışabilecektir. Kernel içinde herhangi bir malware çalışmayacağı gibi koruma bütünlüğünü, direncini arttıracaktır.

Risk altında bulunan potansiyel API lerin listesine Driver compatibility with Device Guard in Windows 10 adresindenöğrenebilirsiniz.

Windows Operating System

Bu özellikleri kullanabileceğimiz işletim sistemleri Windows 10 Enterprise, Windows 10 Education, Windows 2016 Server ve Windows Enterprise IoT sürümleridir.

İsmi ve özellikleri donanımsal gereksinimleri işaret etmiş olsa bile Device Guard teknolojisini sanal platform içinde kullanabilmekteyiz. Sanal platform gereksinimi Hyper-V Platformları için Gen2 sanal makine olması temel şarttır.

Baseline protections başlığı altında paylaşmış olduğumuz seçenekleri Device Guard için geliştirilen Set-RuleOption Power Shell komutları ile aktif ve pasif duruma getirebiliyoruz

Makalenin bundan önceki bölümlerinde yapmış olduğumuz işlemler sadece Audit Mode ile ilgiliydi ve Device Guard sadece olayları izliyor ve olaylara karşı günlük tutuyordur. Bizler artık Enforce Mode ile eylem yapmasını istiyoruz.

Eyleme geçmeden önce oluşturmuş olduğumuz Merge Policy’ sini kontrol ediyoruz. Baseline protections bölümünde bahsettiğimiz ve Set-Ruleoption içinde aktif ve pasif duruma getirebileceğimiz rule seçenekleri xml içinde bulunmakta.

Yukarıdaki komut ile Option 3 siliyoruz. Bir önceki ekran görüntüsüne dikkatli bakarsanız bu option 3 ün Audit mode olduğunu görebileceksiniz ve Enable durumda.

Set-RuleOption –option 3 –FilePath C:\MergePolicy.xml  -delete

Yukarıdaki komut ile oluşturmuş olduğumuz MergePolicy.xml datası içinde option3 siliyoruz yani audit modu ve policy içinde otomatik olarak Enforce mod devreye girmiş olacaktır.

Komut sadece xml içindeki veriyi değiştiriyor. Xml değiştirmemekte. Sonrasında daha önce yaptığımız gibi merge policy dosyasını bin dosya formatina ve bin formatinida yeni sertifika almak üzere komutlarımızı çalıştırıyoruz.

Device Guard uygulanmış bilgisayarlarımız yeni sertifikamızı aldıktan sonra Enforced mod altında çalışacaktır.

CodeIntegrity politikalarımızı sıfırlıyoruz ve testlerimize başlıyoruz.

Bilgisayarımız daha önce imzaladığımız 7zip uygulamasını başarılı bir şekilde yüklerken imzalamadığımız winrar uygulaması için hata verdi ve yükleme yapmamıza müsaade etmedi.

Audit Moda sadece izleme ve olay günlüğüne kayıt alırken Enforce Mode kuralları uyguluyor.

Code Integrety olay günlüklerine baktığımız zaman Event ID 3077 olay günlüğünü görebilmekteyiz.

option 3 parametresini Set-RuleOption –option 3 –FilePath C:\MergePolicy.xml olarak değiştirdiğimiz zaman ve sonrasında tekrardan bin ve sertifikanın baştan oluşturma komutları sonrasında Enfoced Mode türünden Audit Mode geri dönüş yapabilmekteyiz.