IPFire Gelişmiş İnternet Vekil Sunucusu

ersan Güvenlik, Ipfire Yorum Yok

3.1 GELİŞMİŞ İNTERNET VEKİL SUNUCUSU

Bu bölümde daha derinlemesine “Ağ -> Web Vekil Sunucusu -> Gelişmiş Web Vekil Sunucusu” grubunun altında bulunan “Kimlik doğrulama yöntemi” alanı incelenecektir.

Bu bölümde işlenecek konular:

  • Yerel Vekil Sunucu Kimlik Doğrulaması
  • identd Kimlik Doğrulama
  • LDAP Kimlik Doğrulaması
  • Windows NT4 Alan Adı Kimlik Doğrulaması
  • Windows Aktif Dizin Adı Kimlik Doğrulama
  • RADIUS Kimlik Doğrulaması
  • Sınıf Uzantıları
  • Özel Hata Mesajları
  • Vekil Sunucu Kullanmaya Zorlama

3.1.1 Yerel Vekil Sunucu Kimlik Doğrulaması

Yerel kullanıcı kimlik doğrulaması küçük ofis veya ev ofis ortamları için tercih edilen bir çözümdür. Kullanıcıların internet sitelerine girebilmeleri için geçerli bir kullanıcı adı ve parolasını girip kimliklerini doğrulamaları gerekir. Kullanıcı yönetimi IPFire Vekil Sunucusu üzerinde bulunur. Kullanıcılar üç grupta kategorize edilebilir:

  • Genişletilmiş
  • Standart
  • Pasif

Bu kimlik doğrulama yöntemi ile harici kimlik doğrulama sunucularına gerek kalmadan yerel kullanıcı hesaplarını yönetmenizi sağlar.

“Yerel” kimlik doğrulama yöntemi “Şeffaf” yöntemde çalışmayacaktır. Bunun için “Genel Ayarlar” grubundaki “Şeffaf” seçenekleri seçili olmamalıdır. Şeffaf yöntem iptal edildiğinde proxy ayarlarının yapılmış olması gerekir. İstemcilerin kullanıdığı bütün tarayıcılarda bu ayarların yapılmış olması gerekir. Aksi takdirde burada yapılan işlemlerin bir anlamı olmayacaktır.

Yerel kimlik doğrulamada tüm istemcilerin internet tarayıcılarına Yeşil ağın IP adresi ve “Ağ -> Web Vekil Sunucusu -> Genel Ayarlar” alanındaki “Vekil sunucu bağlantı noktası” numarası tanımlanmalıdır. Eğer bir istemcinin internet tarayıcısında bu tanımlanmzsa veya iptal edilirse o istemci vekil sunucu üzerinden değil direk olarak internete çıkış yapacaktır.

3.1.1.1 Genel kimlik doğrulama ayarları

Kimlik doğrulama işlemlerinin sayısı:

Arkaplanda dinlenecek işlemlerin sayısıdır. Varsayılan değeri 5’dir. Eğer kimlik doğrulama işlemi çok uzun sürüyorsa veya Windows tümleşik kimlik doğrulaması açık kimlikleri geriye düşürüyorsa bu değer artırılmalıdır.

TTL kimlik doğrulama önbelleği (dakika)

Kimlik bilgilerinin tek tek her oturum için önbellekte ne kadar dakika tutulacağının belirtildiği alandır. Buradaki süre sona erdiğinde kullanıcı kimlik bilgilerini yeniden girmek zorundadır. Varsayılan değer 60 dakika olarak ayarlanmıştır. En az 1 dakika olabilir. Kullanıcı oturum içinde Vekil Sunucusu için yeni bir istek gönderdiğinde TTL herzaman sıfırlanır.

TTL (Time to Live): Bir tcp paketinin 2 ağ arasında kaç süre boyunca transfer edilmeye çalışılacağını gösteren birim.

Not: Kullanıcı yeni bir oturum açarsa TTL başka bir oturumda süresi dolmamış olsa bile kimlik bilgileri herzaman girilmelidir.

Kullanıcı başına Ip adres sınırı

Kaynak IP sayısı bir kullanıcı aynı anda kaydedilebilir. IP adresi Kimlik doğrulaması önbellek TTL’de tanımlanan süre sonra ortaya çıkacaktır.

Not: Yerel kimlik denetimi ve kullanıcı çalışıyorsa ve ayrıca “Genişletilmiş” gurubunun bir üyesiyse bunun bir etkisi yoktur.

TTL kullanıcı/IP önbelleği

Her kullanıcı ve kullanılan IP adresi arasındaki ilişkinin ne kadar süre önbellekte tutulacağı zamanın dakika cinsinden süresidir. Varsayılan değer sıfırdır yani devre dışıdır.

Kullanıcı başına eşzamanlı IP adresleri için sıfırdan büyük bir değer girilmesi makul olacaktır.

Sınırsız kaynak adresleri için kimlik doğrulaması iste

Varsayılan olarak kimlik doğrulama, sınırsız IP adresleri için bile gereklidir. Bu adresler için kimlik doğrulaması yapılmasını istemiyorsanız çek işaretini kaldırın.

Kimlik doğrulama uyarısı

Buraya girilecek olan metin kimlik doğrulamada istenecektir. Varsayılan değer “IPFire Proxy Server”’ olarak görünür.

Kimlik doğrulaması olmayan hedefler

Kimlik doğrulaması olmadan ulaşılabilir hedeflerin bir listesinin girildiği alandır. Buraya girilen adreslere kullanıcı girmek isterse herhangi bir kimlik doğrulaması istemeden giriş yapılacaktır. Yalnız burada tanımlanan sitelere girildikten sonra bu site içerisinden başka sitelere olan bağlantılara tıklandığında yine kimlik doğrulaması istenecektir.

Not: Burada listelenen herhangi bir alanda hedef DNS etki alanı değil Windows NT kaynak etki alanları vardır.

Örnekler:

Tüm etki alanları ve alt etki alanları:

*.ersanyildirim.com

*.google.com

Tek etki alanı:

www.ersanyildirim.com

www.google.com

IP adresleri:

81.169.145.75

74.125.39.103

URL

www.ersanyildirim.com/download

www.google.com/images

Not: Herhangi bir sırayla bu hedef türlerinin tümünü girebilirsiniz.

Windows Update için örnekler.

Kimlik doğrulaması olmadan Windows Update erişimine izin verilecek liste:

*.download.microsoft.com

*.windowsupdate.com

windowsupdate.microsoft.com
, ,

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.