Local Server Security

[wmismail]

Terminal server teknolojisi, bilindiği üzere varsayılan ayar olarak TCP/IP 3389 numaralı iletişim protokolü üzerinden çalışmaktadır. Varsayılan ayarlar değiştirilmediği zaman bir güvenlik açığı teşkil etmektedirler. Bunun nedeni ise çok basittir. Varsayılan ayarlar ilk kurulum aşamasında, ilgili protokoller için, yazılımcı firma tarafından uygun görülmüş ve sisteme atanmış, herkesin bilmiş olduğu kullanıma hazır ayarlardır. Değiştirilmesi tavsiye edilen varsayılan ayarlara örnek olarak ADSL modemlerimizin erişim IP numarasını, Şifresini, Router larımızın şifresini örnek verebiliriz. Biz bu ayarları kendi kurum veya güvenlik önlemlerimiz çerçevesinde değiştirmediğimiz sürece, herkesin bilmiş olduğu bir çalışma ortamında bulunmuş olacağız.

Terminal Server Teknolojisinin kullanmış olduğu 3389 numaralı port’unu değiştirerek hizmetimizin daha güvenli olmasını sağlayacağız. Bu işlemleri yapmadan önce terminal server? dan özet olarak bahsetmemiz gerekirse, günümüzde birçok şirket bütçe problemi nedeniyle Terminal Server Teknolojisine ihtiyaç duyarlar.

Zamanla büyüyen bir şirket, sahip olmuş olduğu donanım veya yazılımların, ihtiyaçlarına cevap vermemesi durumunda, işlemlerin yürüyebilmesi için, eski bilgisayarlarını, yazılımlarını güncelleme ihtiyacına mecbur kalırlar. Ve bu şekilde yapılın bir güncelleştirme işlemi, şirket bütçesine aşırı maliyete sebep olmaktadır. Bu bütçe problemini yaşamak istemeyen birçok şirket, mevcut bulunan envanterini değiştirmek yerine Güçlü bir Server alarak, mevcut bulunan eski makinelerini, thin clientlerini (aptal terminal), bu güçlü server’a bağlayarak, Server?ın sahip olmuş olduğu hızı ve performansı bu yavaş olan client’larımızın hizmetine sunarak çözümler bulmaktadırlar.

Mevcut bulunan Server?ımıza, Control Paneli | Ad or Remove Programs | Ad or Remove Windows Components yolunu takip ederek Terminal Server hizmetimizi kuruyoruz.

Terminal server?ımızın kullanıma hazır olduğunu varsayarak, Güvenliğimizi sağlamak için yapılacak olan ilk işlem olan Registry değişikliği için HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTe

rminal ServerWinStationsRDP-Tcp yolunu takip ederek PortNumber anahtarını açıp, istemiş olduğumuz port numarasının decimal değeri olarak değiştirebiliriz.

İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecektir.

Güvenliğimizi sağlamanın haricinde, şirket bünyemizde birden fazla Terminal Server varsa eğer, ilgili Registry anahtarını değiştirme ihtiyacı tekrardan duyarız.

Terminal Serverımızı dışarıya publish (yayınlamak) için güvenlik sebebiyle ISA Server 2004 kullanacağım. ISA server üzerinde Terminal Server?ımızı yayınlamak için Create New Server Publishing Rule umuzu çalıştırıyoruz.

Publish Rule umuza bir isim veriyoruz.

Terminal Serverımızın sahip olduğu İp numarasını yazıyoruz.

Protokol tipi olarak RDP (Terminal Services) Server? ı seçiyorum. Eğer yayınlamak istemiş olduğumuz Terminal Serverımızın Port numarasını güvenlik sebebiyle değiştirmemiş olsaydık Next diyerek işlemimize devam edebilirdik, fakat güvenlik sebebi nedeniyle DEFAULT port numaramızı değiştirmiş olduğumuz için bu bölümde, PORTS bölümü altında gerekli ayarları yapmamız gerekecek.

Değiştirmiş olduğumuz port numaralarını giriyoruz.

Birden fazla Terminal Server yayınlama ihtiyacı duyduğumuz zaman, Resim 3 de yapmış olduğumuz gibi Terminal Serverımıza belirtmiş olduğumuz port numarasını buradan tanımlıyoruz. Biz güvenliğimizi sağlamak için değiştirmiş olduğumuz yeni RDP 3390 port numaramızı tanımlayıp ok diyerek ilgili bölümden çıkıyoruz ve next diyerek ilerliyoruz.

Kuralımızı Finish diyerek bitiriyoruz

Kuralımızı uyguladıktan sonra localde yapacak olduğumuz yapılandırmalarımızı tamamladık. Sıra son aşama olan Client Makinelerimizi yapılandırmaya geldi.

Client makinemizden Terminal Serverımıza bağlanmaya çalışıyoruz.

Client makinemizin üzerinde varsayılan ayar olarak, RDP protokolü TCP/IP 3389 tanımlı olduğu için istek Terminal Serverında 3389 numaralı port’una gitmektedir. Fakat bu port’umuzu Güvenlik sebebiyle değiştirdiğimiz için Terminal Server yapılandırmamızı yapmış olsak bile istek başarısız duruma düşüyor.

Bu problemi aşmak için Başlat | Çalıştır | mstsc ?v Termimal Server İP nosu : atamış olduğumuz port numarası yazmamız bizlere çözüm olacaktır.

Fakat bu şekilde yapmış olduğumuz uygulama, değiştirmiş olduğumuz yeni RDP port numarasını, browser’ımızda göstermekte ve çalışmamızın bir anlam ifade etmediğini bizlere söylemektedir.

Bu problemi de ortadan kaldırmak için, Terminal Serverımızda yapmış olduğumuz Registry değişikliğinin aynısını Client makinemizde yaparak çözüm bulabiliriz. İşlemin geçerli olması için makinemizi yeniden başlatmamız gerekecek.

Makinemiz tekrardan açıldıktan sonra, terminal server ip numarasının sonuna :port numarası yazmamıza gerek kalmadan ve terminal server’a bağlandıktan sonra browser üzerinde port numarasını göstermeden hizmet vermekte ve Terminal Serverımızın güvenliğini sağlamaktadır.