computerhealthcare

در تنظيمات Group Policy در ويندوز سرور گزينه اي به نام Loopback Processing وجود دارد كه بسيار مشاهده مي شود مفهوم اين مسئله به درستي بيان نمي شود. در حقيقت تنها راه اينكه به درستي مفهوم اين موضوع درك شود استفاده از يك سناريو است. اكثر كارشناسان و حتي برخي از مدرسين زمانيكه نام Loopback Processing را مي شنوند تنها چيزي كه عنوان مي كنند و اكثرا بدون تحقيق و كار عملي مي باشد اين است كه بصورت پيشفرض Policy هاي User Configuration بر روي Computer Configuration در اصطلاح Override مي كند يا اولويت دارد.

مفهوم Loopback Processing در Group Policy


در صورتيكه اين Policy را فعال كنيد عكس اين عمل صورت مي گيرد و Policy هاي Computer Configuration بر روي User Configuration اولويت پيدا مي كند ، در جاهايي از آن استفاده مي كنيم كه معمولا سرورها يا كامپيوترهاي كيوسك يا لابراتوار وجود دارد و ما مي خواهيم كه يك كاربر زمانيكه وارد يكي از اين سيستم ها مي شود فارق از اينكه عضو كدام گروه مديريتي است Policy هاي Computer ها به آن اعمال شود. تا اينجا مشكلي نيست اما ابهام در اينجا پيش مي آيد كه مگر Policy هاي Computer Configuration و User Configuration يكسان هستند كه در صورت بروز تداخل در بين اين دو برتري براي يكي قائل شويم ؟ با نگاه كرده به Policy هاي قسمت Computer Configuration و User Configuration در Group Policy متوجه مي شويد كه اين دو نوع Policy تداخل چنداني با هم ندارند و Policy هاي متفاوتي دارند . اينجاست كه درك مفهوم Loopback Processing كمي مبهم مي شود.

همانطور كه عنوان كردم بهترين راهكار براي درك موضوع Loopback Processing استفاده از يك سناريو است . فرض كنيد در يك سازمان قرار داريد كه ساختار اكتيودايركتوري آن داراي دو عدد Organizational Unit به نام هاي ITPRO-Servers و ITPRO-Users مي باشد.

ITPRO-Servers
ITPRO-Users


در Organizational Unit به نام ITPRO-Servers كامپيوترها يا Computer Account هاي ما قرار دارند و در Organizational Unit به نام ITPRO-Users كاربران يا User Account هاي ما قرار دارند. فرض كنيد كه براي ITPRO-Servers شما يك GPO درست كرده ايد و آن را به اين OU لينك كرده ايد ، طبيعي است كه تنظيمات زير براي اين OU وجود خواهد داشت :

Computer Configuration
User Configuration


براي ITPRO-Users هم به همين شكل يك GPO ايجاد كرده ايد كه به اين OU لينك داده شده است و Policy هاي زير هم طبيعي است كه براي اين OU نيز وجود خواهد داشت :

Computer Configuration
User Configuration


نكته مهم در اينجاست ، اگر كاربري كه در ITPRO-Users قرار دارد وارد يكي از سرورهايي شود كه در ITPRO-Servers قرار دارد آنوقت چه اتفاقي خواهد افتاد ؟ در اينجا در هنگام ورود كاربر 2 نوع Policy وجود دارد كه مي تواند اعمال شود كه به ترتيب موارد زير هستند :

Computer Configuration مربوط به GPO اي كه به ITPRO-Servers لينك داده شده است
User Configuration مربوط به GPO اي كه به ITPRO-Users لينك داده شده است.


بنابراين در اين حالت كاربر مورد نظر ما در هر جايي كه وارد اين سرورها شود در نهايت تنظيمات مربوط به Policy هاي كاربري به او اعمال خواهد شد كه در ITPRO-Users اعمال شده است و در هنگام ورود به سيستم اين تنظيمات بر روي ساير تنظيمات User Configuration اي كه وجود دارد اولويت خواهد داشت. اين تنظيمات پيشفرض است. شما مي خواهيد كه اگر كاربر مورد نظر شما بر روي سرورهاي موجود در ITPRO-Servers وارد شد تنظيمات User Configuration اي به وي اعمال شود كه در اين OU قرار دارد. بنابراين اينجا همان لحظه اي است كه به سراغ يك Policy به نام User Group Policy Loopback Processing Mode مي رويم. زمانيكه شما اين Policy را فعال مي كنيد مي توانيد دو امكان مختلف به نام هاي Replace و Merge را انتخاب كنيد. در ادامه با توجه به سناريو موجود اين دو مورد را توضيح خواهيم دارد.

حالت Replace Mode
زمانيكه شما User Group Policy Loopback Processing Mode را در حالت Replace Mode قرار مي دهيد و اين Policy را به ITPRO-Servers لينك مي كنيد ، ببينيد وضعيت اعمال شدن Policy ها به چه شكلي خواهد بود :

Computer Configuration مربوط به GPO اي كه به ITPRO-Servers لينك داده شده است
User Configuration مربوط به GPO اي كه به ITPRO-Servers لينك داده شده است .


توجه كنيد كه در اين حالت هيچيك از Policy هاي مربوط به ITPRO-Users به كاربران اعمال نخواهد شد.

حالت Merge Mode
زمانيكه شما User Group Policy Loopback Processing Mode را در حالت Merge Mode قرار مي دهيد و اين Policy را به ITPRO-Servers لينك مي كنيد ، ببينيد وضعيت اعمال شدن Policy ها به چه شكلي خواهد بود :

Computer Configuration مربوط به GPO اي كه به ITPRO-Servers لينك داده شده است
User Configuration مربوط به GPO اي كه به ITPRO-Servers لينك داده شده است .
و User Configuration مربوط به GPO اي كه به ITPRO-Users لينك داده شده است.


نكته در اينجاست كه در صورتيكه در اين ميان تداخلي وجود داشته باشد Policy هاي ITPRO-Servers بر روي Policy هاي ITPRO-Users اولويت خواهند داشت و آنها اجرا مي شوند. به دليل اينكه GPO كامپيوترها زودتر از GPO كاربرها پردازش مي شود اگر تداخلي باشد تنظيمات كامپيوترها اولويت پيدا خواهند كرد. اما چرا اين تنظيمات مي تواند اينقدر مهم باشد ، اين Policy را زماني مي توانيد استفاده كنيد كه در شبكه دامين شما كاربراني وجود دارند كه پوشه هاي خودشان را توسط Group Policy به حالت Redirect در آورده اند اما شما نمي خواهيد اين Redirect شدن زماني رخ دهيد كه كاربر با استفاده از Remote Desktop Services به سيستم ها وارد وي شود. در اين حالت شما اين Policy را با استفاده از حالت Replace Mode بر روي GPO اي تنظيم مي كنيد كه به OU اي اشاره مي كند كه Computer Account هاي مربوط به سرورهاي Remote Desktop Services در آن قرار دارد. در اين حالت زماني كه كاربر به اين سرورها Remote وارد شود Redirect شدن فولدرها انجام نخواهد شد. ITPRO باشيد.

هدف اصلي استفاده از پروتكل IPSec محافظت از محتويات و صحت ترافيك شبكه با استفاده از رمزنگاري است. اما زمانيكه شما نياز داريد كه دسترسي به يك سري منابع را محدود كنيد ، بلافاصله به فكر پياده سازي كنترل هاي دسترسي يا Access Control List ها و يا استفاده از VLAN مي افتيد . البته كه اين گزينه ها از موارد اصلي در محدود كردن دسترسي و كنترل دسترسي به منابع هستند اما توجه كنيد كه ACL ها در لايه هفتم از مدل OSI فعاليت مي كنند و همين مي تواند باعث بروز مشكلات امنيتي و ريسك هاي امنيتي بزرگي باشد. در محيط واقعي شما مي توانيد با استفاده از پروتكل IPSec يك سري سرور يا كامپيوتر و يا حتي Domain را به گونه اي ايزوله كنيد كه فقط ارتباطات مجاز بتواند با آنها برقرار شود و در نتيجه منابع شما محافظت مي شوند. در واقع قبلا استفاده از IPSec به اين شكل كه براي ايزوله سازي سرورها مورد استفاده قرار بگيرد ،وجود نداشت. قابليت جديدي به نام IPSec-Based Connection Security Rue در ويندوز سرور 2008 و ويندوز سون و ويستا با هماهنگي كه با فايروال جديدي ويندوز به نام Windows Firewall With Advanced Security ايجاد كرد و با تركيب شدن با Group Policy باعث شد يك ابزار بسيار خوب براي ايزوله سازي سرورها فراهم شود. در ابتداي اين مقاله ابتدا مروري بر مفاهيم و گذشته ايزوله سازي سرورها مي پردازيم و سپس فرآيند انجام تنظيمات آن را با هم انجام خواهيم داد.

ايزوله سازي سرورها يا Server Isolation چيست ؟

با استفاده از قابليت ايزوله سازي دامين و سرور شما قادر خواهيد بود كه فقط به كامپيوترها و ارتباط هايي اجازه برقراري ارتباط با سرورهاي خود را بدهيد كه عضو دامين شما هستند و ارتباط آنها امن و رمزنگاري شده است ، كامپيوترهايي كه عضو دامين هستند صرفا مي توانند با سرور ايزوله شده ارتباط برقرار كنند و ساير كامپيوترهايي كه عضو نيستند فقط تحت شرايط خاصي مي توانند با سرور مورد نظر ارتباط برقرار كنند. براي مثال شما مي توانيد با استفاده از يك Policy به يك سرور SQL بگوييد كه صرفا با كامپيوترهايي ارتباط برقرار كند كه عضو گروه خاصي هستند و يا اينكه داراي Certificate خاصي هستند. وقتي سرورهاي خود را با اين روش ايزوله مي كنيد ديگر نيازي به انجام تنظيمات اضافي در شبكه و يا استفاده از نرم افزارهاي جانبي شبكه نمي باشد. هر چيزي كه شما بخواهيد در سيستم عامل شما وجود دارد. سرورهاي و Domain هايي كه با اين روش ايزوله مي شوند ، زمانيكه طراحي هاي شبكه عوض شوند و يا تنظيمات نگهداري شبكه تغيير كند و يا اينكه به محل ديگري در شبكه منتقل شوند يا به دستگاه خاصي در شبكه متصل شوند ، تنظيمات مربوط به ايزوله سازي بدون مشكل خاصي به كار خود ادامه خواهند داد و مشكلي در آنها به وجود نخواهد آمد. به دليل اينكه ايزوله سازي سرور ها در سطح سيستم عامل انجام مي شود هيچ تداخلي در ساير سطوح امنيتي شبكه شما ايجاد نخواهد كرد.

در ويندوز سرور 2003 قابليت ايزوله سازي سرورها با استفاده از يك Policy به نام Access this computer from network در تنظيمات Group Policy قابل پياده سازي بود اما اين قابليت داراي يك سري محدوديت ها بود. در اين Policy شما فقط مي توانستيد به Computer ها و User ها قابليت دسترسي به يك سيستم خاص را بدهيد، شما در اين حالت نمي توانستيد بگوييد كه روش احراز هويت يا Authentication Method به چه شكل باشد. همچنين در اين قابليت ، امكان اين بود كه شما يك پروتكل احراز هويت مثال NTLM V2 را براي استفاده توسط Group Policy اجبار كنيد اما امكان اجبار كردن براي استفاده از Kerberos و يا درخواست Certificate براي احراز هويت ممكن نبود. در ويندوز سرور 200 و ويندوزهاي ويستا و سون ، قابليت هاي جديدي به سيستم عامل اضافه شده كه بتوانند با استفاده از امكاني به نام Windows Firewall With Advanced Security عمليات ايزوله سازي سرورها را انجام دهند. علاوه بر اينكه اين ابزار قابليت انجام تنظيمات پيشرفته فايروال را به شما مي دهد ، امكان ايجاد Connection Security Rules يا قوانين امنيتي ارتباط را هم براي شما فراهم كرده است. اين قوانين يا Rule ها براي عمليات ايزوله سازي سرورها بسيار كاربردي هستند. همچنين ايزوله سازي به وسيله استفاده از IPSec هم در اين قابليت هماهنگي بسيار زيادي با فعاليت هاي فايروال ويندوز پيدا كرده است.

درخواست كردن ( Requesting ) يا نيازداشتن ( Requiring ) ؟

اولين وظيفه شما اين است كه تعيين كنيد كه كدام ميزبان يا Host را مي خواهيد ايزوله كنيد ، سپس سطح ايزوله سازي كه مي خواهيد پياده سازي كنيد را تعيين مي كنيد. در برخي موارد ايزوله سازي سرورها براي تمامي ميزبان هايي كه در شبكه Domain قرار دارند انجام مي شود كه به نوعي معادل ايزوله سازي Domain محسوب مي شود. به هر حال شما معمولا تعداد معدودي از سرورها يا كلاينت ها را كه مي خواهيد از درجه امنيتي بالاتري برخوردار باشند ايزوله سازي مي كنيد. بنابراين در ابتدا ما يك سرور را به تنهايي ايزوله سازي مي كنيم ، توجه كنيد كه مقاله ما در هر سه سيستم عامل ويندوز سون و ويستا و سرور 2008 قابل استفاده مي باشد بنابراين ما سيستم عامل خاصي را مد نظر قرار نمي دهيم.

استفاده از IPsec در ويندوز سرور 2008

شما مي توانيد كنسول Windows Firewall with Advanced Security را از داخل Control Panel و قسمت Administrative Tools پيدا كنيد و يا در قسمت Run در منوي Start كلمه Firewall.cpl را وارد كنيد. بعد از اينكه كنسول را باز كرديد بر روي نود Connection Security Rules راست كليك كنيد و گزينه New Rule را انتخاب كنيد. با اينكار ويزارد New Connection Security Rule باز خواهد شد كه چندين انتخاب را به شما نمايش مي دهد. اولين گزينه كه Isolation يا ايزوله سازي است را انتخاب كنيد.ساير امكانات موجود به شما اجازه ايجاد exemption rule را مي دهد كه در اين حالت شما مي توانيد سرورها يا سيستم هايي را براي برقراري ارتباط با سيستم خودتان بدون نياز به هرگونه احراز هويت استثناء كنيد، ساير گزينه ها به شما اجازه ايجاد ساختار احراز هويت بين چندين كامپيوتر خاص ( بين يك سرور و سرور ديگر ) ، اجبار كردن احراز هويت و استفاده از Tunneling Mode ( براي ارتباطات Site to Site) يا ايجاد يك Rule دلخواه را مي دهند.

استفاده از IPsec در ويندوز سرور 2008


بعد از اينكه گزينه Isolation را انتخاب كرديد بر روي Next كليك كنيد ، در اينجا شما بايستي شما بين چندين نيازمندي احراز هويتي يا authentication requirement موارد مورد نظر خود را انتخاب كنيد. معمولا انتخاب شما در اين لحظه بين گزنه requesting و requiring خواهد بود. اگر شما گزينه Requesting را انتخاب كنيد ، احراز هويت يا authentication براي ترافيك هاي ورودي ( inbound ) و خروجي ( outbound) يا هر دو مورد درخواست مي شود اما اجبار نمي شود. اگر يكي از طرفين قابليت احراز هويت را نداشته باشند ، ترافيك در حالت عادي ادامه پيدا مي كند. اگر گزينه Require را انتخاب كنيد ، سيستم عامل احراز هويت را براي ترافيك اجبار مي كند و اگر يكي از طرفين نتواند به درستي احراز هويت را انجام دهد ، ارتباط برقرار نخواهد شد و قطع مي شود. بسته به سطح نيازمندي امنيتي ، شما مي توانيد براي ترافيك خروجي يا Outbound خود حالت Request و براي ترافيك ورودي يا Inbound حالت Require را انتخاب كنيد. در اين حالت تمامي ارتباطاتي كه از بيرون مي خواهد با سيستم شما برقرار شود حتما بايستي احراز هويت شوند و بدون اينكار ارتباط قطع خواهد شد. با اين روش سيستم شما ايزوله مي شود و از طرفي ارتباطات خروجي شما هم تا حد ممكن احراز هويت مي شوند. بالاترين سطح امنيتي در اين است كه براي هر دو نوع ترافيك Inbound و Outbound گزينه Require را انتخاب كنيم.

اولين گزينه كه Request authentication for inbound and outbound connections مي باشد احراز هويت براي ترافيك ورودي و خروجي را حالتي اختياري مي داند و روش مناسبي براي ايزوله كرده سيستم نمي باشد. دومين گزينه كه Require authentication for inbound connections and request authentication for outbound connections است سطح امنيتي بهتري را به شما ارائه مي دهد با توجه به اينكه ترافيك هاي ورودي محدود شده اند ، اما همچنان ترافيك خروجي اگر داراي احراز هويت هم نباشد براحتي قابل انجام است. در سناريوي ما گزينه دوم بهترين گزينه محسوب مي شود و ما نيز آن را انتخاب كرده و بر روي Next كليك مي كنيم.

انجام تنظيمات احراز هويت يا Authentication

بعد از انجام مراحل بالا شما بايستي يك روش احراز هويت يا Authentication Method را پيكربندي كنيد.در اين گام شما مي توانيد احراز هويت از طريق پروتكل Kerberos را براي يك user ، يك Computer و يا هر دو اجبار كنيد ، در همين قسمت شما مي توانيد احراز هويت توسط certificate را انتخاب كنيد و يا اصلا يك روش دلخواه احراز هويت پياده سازي كنيد. به هر حال بايستي توجه كنيد كه اين روش هاي احراز هويت براي استفاده از IPsec اجباري است . اگر نرم افزارهايي از روش هاي ديگر احراز هويت مثل NTLM استفاده كنند ، احراز هويت در لايه كاربردي يا Application انجام مي شود اما با استفاده از IPsec احراز هويت در لايه شبكه يا Network انجام مي شود. اگر شما گزينه پيشفرض را انتخاب كنيد ، احراز هويت به همان روشي انجام خواهد شد كه در تب Properties مربوط به كنسول Windows Firewall with Advanced Security Properties در تنظيمات IPsec انجام شده است. براي دسترسي به اين موارد بر روي كامپيوتر خود در قسمت Windows Firewall with Advanced Security Properties راست كليك كنيد و Properties را انتخاب كنيد. از تب IPsec Settings شما مي توانيد گزينه Customize را انتخاب كرده و مقادير پيشفرض در هنگام ايجاد Connection Security Rules را انتخاب كنيد.

استفاده از IPsec در ويندوز سرور 2008


(Computer and User ( using Kerberos V5 : اگر شما گزينه دوم از Authentication Method ها كه( Computer and User (using Kerberos V5, مي باشد را انتخاب كنيد ف هر ارتباطي كه به يك هاست ايزوله شده برقرار مي شود مي بايست با استفاده از پروتكل Kerberos احراز هويت شود. اگر هر دوي Computer ها و User ها عضو دامين هستند ، احراز هويت بصورت خودكار انجام مي شود و كاربر در اين فرآيند دخالتي نخواهد داشت. اين روش پياده سازي احراز هويت ضمن اينكه درجه امنيتي مناسبي دارد ، براي پياده سازي نيز جزو راحت ترين موارد مي باشد ، بنابراين در اكثر سناريوهاي سازماني استفاده از چنين روشي براي ايزوله سازي پيشنهاد مي شود.


(Computer ( using Kerberos V5: اگر گزينه( Computer (using Kerberos V5 را انتخاب كنيد ، احراز هويت فقط براي Computer ها انجام خواهد شد. به زبان ديگر اگر Computer اي كه قصد برقراري ارتباط با سرور هاست را دارد عضو دامين باشد ديگر نيازي نيست كه كاربر آن احراز هويت شود .


Computer Certificate : اين گزينه صرفا به كامپيوترهايي اجازه برقراري ارتباط با سيستم هاست ايزوله شده را مي دهد كه آن كامپيوتر از يك Certification Authority معتبر كه هاست نيز به آن اعتماد داد Certificate دريافت كرده باشد ، در غير اينصورت به ارتباط اجازه برقراري نخواهد داد. اين روش امني ترين روش و البته كمي مشكل براي پياده سازي مي باشد.


Health Certificates : نزديك دكمه Customize IPsec Settings در انتهاي تصوير يك چك باكس جالب وجود دارد كه به آن Accept Only Health Certificates گفته مي شود ، اين چك باكس يك سطح امنيتي علاوه بر سازمان به ارتباط شما مي دهد. اگر IPsec با تركيب سرويس NAP راه اندازي شده باشد ، صرفا به ارتباطاتي اجازه برقراري مي دهد كه توسط سرويس Health Registration Authority سرويس NAP تاييد شده و داراي Certificate آن باشند.


Advanced : در پايين صفحه شما گزينه اي به نام Advanced را مشاهده مي كنيد كه به شما اجازه مي دهد كه بتوانيد روش هاي احراز هويت متعددي را انتخاب كنيد كه در فازهاي مختلف انجام شدن فرآيند احراز هويت IPsec مورد استفاده قرار بگيرند. با انتخاب گزينه customize مي توانيد تك تك تنظيمات احراز هويت در هر مرحله را پيكربندي كنيد ، اين گزينه معمولا به دليل پيچيدگي هاي زيادي كه دارد مورد استفاده قرار نمي گيرد.

اولين روش احراز هويت در زماني رخ مي دهد كه اصلي ترين قسمت فرآيند IPsec در حال انجام است. در اين فاز دو كامپيوتر با يكديگر يك كانال امن و احراز هويت شده را با استفاده از فرآيند هاي احراز هويت و الگوريتم انتقال كليد Diffie-Hellamn با يكديگر برقرار مي كنند. با استفاده از روش احراز هويت دوم ، شما چگونگي احراز هويت كاربري كه به كامپيوترهاي مورد نظر وارد مي شود را تعيين مي كنيد. انتخاب هاي موجود در اين قسمت Kerberos V5 ، User Certificate ها و Computer Health Certificate ها هستند. استفاده از هر دو روش اول و دوم كاملا اختياري است اما براي ايجاد يك محيط امن ، شما حداقل بايستي احراز هويت را با استفاده از روش اول داشته باشيد. براي اينكه به سناريوي موجود در مقاله خود ادامه دهيم در اينجا شما Computer and User ( using Kerberos V5) را انتخاب كرده و بر روي Next كليك كنيد.

Network Profile چيست ؟

در ادامه ويزارد از شما سئوال مي شود كه اين Rule بر روي كداميك از Network Profile هاي موجود اعمال مي شود. انتخاب هاي شما در اينجا Domain ، Private و Public هستند كه بصورت پيشفرض هر سه انتخاب شده اند.به هر حال شما بايستي با توجه به شرايط محيطي كه در آن هستيد اين موارد را به درستي انتخاب كنيد. براي مثال اگر هدف شما ايزوله كرده Laptop است بنابراين هدف اصلي شما شبكه هاي Public است. Domain Network Profile به شبكه اي اشاره مي كند كه به Domain Controller هاي شما دسترسي دارد و به شما اجازه برقراري ارتباط با اكتيو دايركتوري را مي دهد.Private Network Profile معمولا به شبكه هاي خانگي اشاره مي كند كه حريم شخصي و خصوصي آنها محدود بوده و افراد زيادي به آن دسترسي ندارند. Public Network Profile به شبكه هايي اطلاق مي شود كه كاربر بعد از برقراري ارتباط با آنها ، شبكه مورد نظر را به عنوان Public انتخاب مي كند ، معمولا اين شبكه ها در هتل ها و محل هايي هستند كه داراي ريسك بالايي از نظر امنيتي هستند. در فرودگاه ها معمولا Hot Spot ها را به عنوان Public در نظر مي گيريم.

استفاده از IPsec در ويندوز سرور 2008


در برخي موارد پيش مي آيد كه شما مي خواهيد تيك قسمت Private را برداريد. براي مثال اگر شما مي خواهيد يك Connection Security Rule براي Laptop خود ايجاد كنيد به احتمال زياد شما مي خواهيد در سيستم خود را در محيط هاي Public و Domain ايزوله كنيد ، اما مي خواهيد همچنان به شبكه شخصي خود دسترسي داشته باشيد ، البته براي بدست آوردن نهايت امنيت ممكن در اين روش شما بايستي هر سه گزينه را انتخاب كنيد. قدم نهايي در انتهاي اين ويزارد انتخاب يك اسم براي Rule مورد نظر است ، پيشنهاد مي كنيم كه يك اسم با محتوا براي اينكار استفاده كنيد ، بعد از اينكه بر روي گزينه Finish كليك كرديد ، Rule بصورت خودكار ايجاد شده و به ليست Rule هاي موجود شما اضافه مي شود.

پياده سازي Inbound Rule هاي فايروال

اگر مي خواهيد تمهيدات امنيتي بيشتري براي ارتباطات و ايزوله كردن Host خود ايجاد كنيد ، مي توانيد با استفاده از Inbound Rule هاي فايروال لايه هاي امنيتي بيشتري به Host خود اضافه كنيد. براي مثال شما مي توانيد با استفاده از اين Rule ها شماره پورت ها و آدرس هاي IP مجاز براي برقراري ارتباط با Host خود را مشخص كنيد.البته شما مي توانيد اينكار را با استفاده از خود IPsec هم انجام دهيد. تمامي اين تنظيمات امنيتي را شما مي توانيد از طريق كنسول Windows Firewall with Advanced Security براحتي انجام دهيد.

وارد كنسول مورد نظر شويد و بر روي نود Inbound Rule راست كليك كنيد و گزينه New Rule را انتخاب كنيد ، صفحه New Inbound Rule Wizard براي شما باز خواهد شد. گزينه Port را انتخاب كنيد و Next را كليك كنيد ، از بين TCP و UDP يكي را انتخاب كنيد و محدوده پورت هايي را كه مي خواهيد باز باشند را مشخص كنيد . براي مثال اگر فقط مي خواهيد ترافيك پورت 80 بتواند به Host شما ورود كند كافيست عدد 80 و 443 را انتخاب كنيد. بر روي Next كليك كنيد ، در صفحه بعدي گزينه Allow Connection را انتخاب كنيد. اينكار باعث مي شود كه اين Rule با Connection Security Rule اي كه قبلا در مرحله قبلي ايجاد كرديم هماهنگي داشته باشد. در اين حالت ارتباط شما تنها در صورتي از طريق پورت 80 برقرار مي شود كه بتواند موارد احراز هويتي كه برايش تعيين شده است را رعايت كند. براي اينكه ترافيك شما رمزنگاري شود مي توانيد گزينه Require the connections to be encrypted را انتخاب كنيد. بر روي Next كليك كنيد ، در اينجا شما مي توانيد Computer ها و User هايي كه عضو دامين هستند را براي اعمال شدن Rule مورد نظر انتخاب كنيد. در نهايت Network Profile و اسم Rule مورد نظر را انتخاب مي كنيد. براي اينكه بتوانيد اطلاعات بيشتري در خصوص ايجاد Rule ها در فايروال ويندوز بدست بياوريد مي توانيد به دو مقاله زير از مهندس تقي زاده و مهندس عچرش مراجعه كنيد :

چطور در فايروال ويندوز قوانين فايروال جديد (Firewall Rules) بسازيم ؟
تفاوت Windows Firewall و Windows Firewall With Advanced Security


پيكربندي Exemptions ( معاف كردن )

برخي اوقات پيش مي آيد كه شما مي خواهيد برخي از Computer ها ، Group ها يا محدوده اي از آدرس هاي IP مرتبط با Computer ها را از احراز هويت شدن در Connection Security Rule ها معاف كنيد . براي مثال شما براي برقراري ارتباط سيستم ايزوله شده قبل از احراز هويت ساير ارتباطات با سرورهاي مهم مانند Domain Controller ها و DHCP سرورها و CA ها مي توانيد يك معافيت يا Exemption تعريف كنيد تا ديگر نيازي به احراز هويت اين كامپيوترها نباشد.

نكته بسيار بسيار مهم

زمانيكه ايزوله سازي را انجام مي دهيد بسيار مراقب باشيد كه سرورهاي زيرساختي شما از قبيل CA ، DC ، DHCP ، DNS و ساير سرويس هاي زيرساختي تحت تاثير قرار نگيرند. اين سرورها نبايد محدوديتي براي ارتباطات Inbound و Outbound از طريق IPsec داشته باشند و در حقيقت نيازي هم به اين كار ندارند. اگر قصد داريد براي اين سرورها نيز ايزوله سازي انجام دهيد بايستي توجه كنيد كه بسيار بسيار مراقب تنظيماتي باشيد كه انجام مي دهيد ، تنظيمات بايستي به گونه اي انجام شود كه به Computer هايي كه احراز هويت نشده اند نيز اجازه برقراري ارتباط و دسترسي پيدا كردن به سرويس ها را بدهند. Member Server ها و Workstation ها نيز بايستي به گونه اي پيكربندي شوند كه حداكثر حالت Request را براي اين سرورها در Rule ها داشته باشند ، در چنين مواردي استفاده از Exception يا معاف كردن بسيار پيشنهاد مي شود.

براي پيكربندي exemption از قسمت connection Security Rules گزينه New Inbound Rule Wizard را مجددا باز كنيد ، سپس بر روي گزينه Authentication Exemption كليك كنيد و Next را بزنيد. در صفحه بعدي مي توانيد با استفاده از گزينه Add كامپيوترها ، محدوده هاي آدرس IP يا كامپيوتر خاصي را انتخاب كنيد كه ديگر براي اين موارد احراز هويت يا Authentication انجام نخواهد شد. زمانيكه تصميم خود را گرفتيد بر روي Next كليك كنيد و Network Profile اي كه Rule مورد نظر بايستي بر روي آن اعمال شود را انتخاب كرده ، نام Rule را تعيين و بر روي Finish كليك كنيد.

استفاده از Group Policy

مناسبترين راه براي فعال سازي ايزوله سازي سرورها بر روي چندين كامپيوتر در شبكه استفاده از قابليت هاي Group Policy است. توجه كنيد كه مواردي كه هم اكنون در خصوص Group Policy براي استفاده مطرح مي شود صرفا در domain هايي موجود است كه از سرورهاي ويندوز سرور 2008 و بعد از آن استفاده مي كنند ، در ويندوز سرور 2003 چنين قابليتي توسط Group Policy قابل پياده سازي نبود. به هر حال اگر همچنان از ويندوز سرور 2003 استفاده مي كنيد ، مي توانيد از IPsec Policy Options استفاده كنيد. قبل از اينكه يك Group Policy Object يا GPO ايجاد كرده و آن را لينك كنيد ، بايستي سرورها يا Host هايي را كه مي خواهيد ايزوله كنيد يا تنظيمات مشابهي دارند را در يك Organizational Unit مشخص قرار دهيد.

بعد از اينكه ساختار OU هاي خود را ايجاد كرديد و سرورها را بر همان اساس در درون OU ها قرار داديد ، كنسول Group Policy Management يا GPMC را باز كنيد. يك GPO جديد ايجاد كنيد ، بر روي آن راست كليك كنيد و گزينه Edit را انتخاب كنيد. به قسمت Computer Configuration برويد و Windows Settings , Security Settings , Windows Firewall With Advanced Security را باز كنيد. در اين قسمت شما دقيقا همان رابط كاربري را مشاهده خواهيد كرد كه در كامپيوتر Local خود مشاهده مي كنيد. بر روي connection Security Rules كليك كرده و New Inbound Rule Wizard را انتخاب كنيد و با توجه به نياز خودتان موارد مورد نياز را مشابه آنچه قبلا توضيح داده شد پياده سازي كنيد.

بعد از اينكه كار شما تمام شد و يك Connection Security Rule در GPO ايجاد كرديد. اگر بر روي Rule مورد نظر راست كليك كنيد و گزينه Properties را انتخاب كنيد و به تب Computers برويد ، شما مي توانيد Endpoint ها يا Computer هايي كه Rule به آنها اعمال مي شود را انتخاب كنيد .شما مي توانيد يك يا چندين كامپيوتر را براي اعمال Policy مورد نظر انتخاب كنيد. شما مي توانيد در اينجا يك آدرس IP خاص يا چندين آدرس IP يا يك Subnet را براي اعمال شدن Rule مشخص كنيد. توجه كنيد كه Connection Security Rule ها به ارتباطاتي اعمال مي شوند كه بين هر كامپيوتر در endpoint 1 و هر كامپيوتري در endpoint 2 برقرار مي شود. بعد از اينكه تمامي موارد مورد نياز را پيكربندي كرديد ، مي توانيد GPO مورد نظر را به OU اي كه سرورهاي مورد نظر براي ايزوله سازي در آن قرار گرفته اند لينك كنيد.

نتيجه گيري

ايزوله سازي سرورها يك سطح امنيتي و كنترل دسترسي است كه مكمل تكنولوژي هاي امنيتي مانند آنتي ويروس ، فايروال و سيستم هاي تشخيص و جلوگيري از نفوذ مي باشد.اين قابليت به شما اجازه مي دهد كه بتوانيد از طريق Group Policy تنظيمات مربوط به ايجاد ، توزيع و مديريت متمركز Connection Security Rule ها را براي ايزوله سازي سرورها استفاده كنيد. اين نوع راهكار امنيتي از بهترين موارد امنيتي مي باشد كه دردسرهاي چنداني در شبكه ايجاد نمي كند و در عين حال كاربران شبكه چندان متوجه اعمال چنين پارامتر امنيتي نخواهند شد. اميدوار هستم كه اين مقاله مورد توجه شما دوستان قرار بگيرد. ITPro باشيد.