URL Filtering Çözümü Olarak TMG Ürününün İncelenmesi -III

20
Şubat
2011
URL Filtering Çözümü Olarak TMG Ürününün İncelenmesi -III

TMG ile yapınıza uygun URL Filtering politikalarını kolayca uygulayabilmeniz mümkündür ancak TMG’nin dilinden iyi anlarsanız bu işlerinizi daha da kolay kılacaktır. Umarım bu makale,  TMG ile aranızda tercüman vazifesi görerek onun dilinden daha iyi anlamanızı sağlar.

İnternet erişimlerini kontrol altında tutabilmek için, işlevi, ister bloklamak(deny) isterse de izin(permit) vermek olsun, tüm web erişim kurallarında, illa ki  kaynak, hedef, kullanıcılar ve tabi ki protokol tanımları yapılmak zorundadır. Bu tanımlardan birini diğerinden önemli görmek mümkün değildir; fakat sizi hedeflediğiniz işlevin yerine gelmemesi noktasında en çok sıkıntıya sokan ve uğraştıran tanım, hedef bilgisinin oluşturulduğu aşamadır. Hedef tanımlarında size bahsedeceğim yöntemleri uygularsanız sorununuz kalmayacaktır.


Şöylece malum olmalı ki; herhangi bir deny ya da permit kuralında, To kısmında, hem Category Set’ler hem de URL Set’ler bir arada bulunmamalı. Category Set’ler için bir kural, URL Set’ler için de ayrı bir kural oluşturmalısınız. Tavsiye edilen de budur.


Oluşturacağınız URL Set’ler için örnekler vererek yolculuğumuza devam edelim.
Kullanıcılarımızın erişmesinde sakınca görmediğimiz adresler için bir beyaz liste hazırlamak istemiş olalım. Bunun için yeni bir URL Set oluşturarak konfigürasyona başlayalım.


   



Listemizi oluşturacak adreslerden bir tanesi www.destekyeri.com olsun.

Bu adrese erişimin hiç bir şekilde kısıtlanmaması için tanımı *.destekyeri.com/* şeklinde yapmalıyız.
Bu şekilde yapılan bir tanımlama % 99 sorunsuz çalışmanıza olanak sağlayacaktır.  % 99 dedim çünkü -örneğimiz üzerinden devam edecek olursak- bir süre sonra size gelen bir şikayetin konusunu http://www.destekyeri.com/guvenlik.gbt adresine erişimde problem yaşandığı bilgisi oluşturabilir.
İşte bu durum canınızı sıkmasın; bu durumu, TMG’nin tanımlayacağınız bir adrese daha ihtiyacı var şeklinde yorumlamalısınız. Bu tanımı da http://www.destekyeri.com/*  şeklinde oluşturmalısınız.





 


Dediğim gibi, tanımlayacağınız adreslerin % 99’u için *.destekyeri.com/* şeklinde bir tanım yeterli olacaktır. Sorun yaşadığınız durumlarda da  http://www.destekyeri.com/*  şeklinde bir tanım daha ekleyerek sorununuzu çözebilirsiniz. Erişimle ilgili bir daha da şikayet gelmeyecektir.

İkinci bir örnekle devam edelim. Listemize,  sertifika yüklü ve https üzerinden yayınlanmış bir siteyi eklemek isteyelim. Adresimiz https://webmail.Semerkand.com.tr olsun. Beyaz_Liste’ye *.webmail.Semerkand.com.tr/* yazdığınızda hedefinize ulaşamamış olursunuz. Bu durum, sertifikalı sitelere özeldir ve çözüm için iki farklı adres yazma alternatifiniz bulunmaktadır. Alternatifleriniz, webmail.Semerkand.com.tr:443 ya da https://webmail.Semerkand.com.tr şeklindedir.



 

Yine sertifika yüklü ve https üzerinden yayınlanmış siteler,  TMG ile gelen HTTPS Inspection özelliği sayesinde bloklanabilirler. Bu durumda da bloklanan adresler içerisinden erişimine izin verilecekleri HTTPS Inspection penceresinde Destination Exception alanına eklemelisiniz.  Ayrıca bu adresler bir de Beyaz_Liste’ye eklenmek zorundadırlar.


Örneğimiz https://www.Mostar.com.tr olsun ve bu adrese yapılmak istenen erişimler, HTTPS Inspection’a takılmış ve adresin sertifikası da aşağıdaki şekildeki gibi olsun.




Bu adres için, Exception eklerken, dikkat edilmesi gereken husus, TMG’nin, browse edilen FQDN den ziyade, web server sertifikasının “Issued To” alanına baktığını bilmektir.

HTTPS Inspection penceresinde, Exception alanında tanımlanması gereken adres *.mostar.com.tr şeklinde olacaktır. İlgili satırın sonunda ‘/’ ya da ‘*’ bulunmamalıdır.



Bu tanımı yapmak için de bir Domain Name Set oluşturulup ilgili tanımlar bu set içerisine yazılmalıdır.

 

Bu şekilde ilgili erişim yine gerçekleşmeyecektir. Beyaz_Liste’ye https://www.Mostar.com.tr adresi için tanımlama yapılmalıdır. Bu tanımlama da ya https://www.Mostar.com.tr/* ya da www.Mostar.com.tr:443  şeklinde olmalıdır.



   

Sıra geldi kategori bazlı filtrelemeler tanımladığınız halde yetkilendirmelerin tutarlı çalışmadığı durumlarda yapmanız gereken tanımlamalara. Bu konuyu ya örnekler üzerinden inceleyelim.

Kural diziliminde, üst tarafta bloklanan hedefler kategorisinde Streaming Media kategorisi tanımlanmış olsun. Bu kuralın altında ki başka bir kuralda da, erişim sağlanabilecek hedefler kategorisinde de News kategorisi tanımlamış olsun.



 



Bu şekilde, üstteki kuraldan dolayı bir video paylaşım sitesi erişimi bloklanırken, alttaki kural sebebiyle de haber sitesilerine erişimler sağlanıyor olmalıdır. Ancak sorun şu ki, haber sitelerinin hemen hemen hepsi binlerce video içermekte ve bu durumda TMG’den beklentiniz haber siteleri açılsın fakat sitede bulunan videolar izlenemesin olmaktadır. Bu durumda da çözüm için izin kuralının üstüne bir deny kuralı daha ekleyerek, Content Types sekmesini aşağıdaki şekilde gösterildiği gibi düzenlemelisiniz.



  

Bu kural sizi hedefinize yaklaştıracaktır. Ama yine de bazı haber sitelerinin videolarına erişimi bloklamak için manuel tanımlar yapmanız gerekmektedir. Örneğin www.haberturk.com için http://video.haberturk.com/*  adresini yasaklı erişimler adresine eklemelisiniz. Ya da www.sabah.com.tr adresi için http://www.sabah.com.tr/multimedya/video/* adresini yine aynı yasaklı URL listesine eklemelisiniz. Bu adreslerin tespiti için de TMG’nin güçlü loglama fonksiyonunu kullanabilirsiniz.

 

 

Hoşçakalın.

 

MAKALEYE YORUM YAZ

İsminiz
E-posta adresiniz
Yorumunuz
Doğrulama kodu ?

Copyright © 2006 - 2013  DESTEKYERI.COM

Embedded by  ® SANALOG Tüm Hakları Saklıdır . Yayınlanan yazıların izin alınmadan kopyalanması ve kullanılması  5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur. Makalelerin "alıntı" olduğunu belirterek yayınlayabilir ve kaynağı belirtmeniz önemlidir !!!