Access Control List Nedir?

 

Merhaba arkadaşlar, bu makalede Networkler arası iletişimi gerçekleştiren Cisco Router’lar üzerinde Access Control List’leri kullanarak paket filtreleme (erişim yasaklama veya sınırlandırma) işlemlerinin ne anlam ifade ettiğini ve nasıl yapıldığına dair bilgiler edineceksiniz.

Gün geçtikçe gelişen network teknolojileri insan hayatına büyük ölçüde kolaylıklar sağlamakta ve gerçekten işe yarar çözümler üretmeye devam etmektedir. Meydana çıkan bu neticeler doğrultusunda gerek maliyet, gerek kullanım kolaylıkları gibi etkenlerin baskınlık gösterdiği ürünleri veya teknolojileri mevcut yapımıza implemente ederek altyapımızı genişletmekteyiz. Network dünyasında gerçekleşen bu hızlı adımların arkasında unutulmaması gereken şüphesiz güvenlik tehlikelerine karşı alınması gereken önlemlerdir. Büyüyen ve yenileşen network mimarisini tanımak ve yönetimini kontrol altına almak IT yöneticilerinin sorumlukları arasındadır. Networkler arası iletişimin kontrol altına alınması, ideal network ortamının yaratılması, gereksiz ve güvenlik açığı olan protokollerin filtrelenmesi konusunda Firewall çözümlerine ihtiyaç duyarız. Sektörde yazılımsal veya donanımsal olarak geniş bir yelpazeye sahip olan firewall ürünlerini kullanarak bu tür işlemleri yapabileceğimiz gibi mevcut topolojimiz içerisinde var olan ve farklı networkler arasında iletişimi sağlamayı esas alan Cisco Router’larımızın basic firewall özelliğini kullanarak’ta yapabilmekteyiz. Topoloji içerisinde yer alan mevcut Router’lar üzerinde erişim listeleri ile paket filtreleme işlemlerini yaparak güvenlik seviyesini arttırabilir ve standart filtrelemeler için ek maliyeti ortadan kaldırabilmekteyiz.

 Resim-1 Örnek Network Topolojisi

 

Access Control List Nedir?

Farklı networkler arasında iletişim kurmamızı sağlayan Router (yönlendirici) üzerine gelen ya da giden iletişim trafiğini kaynak ip bazında ya da port bazında filtreleme yapabilmemizi sağlayan kontrol mekanizmasıdır. ACL’ler kaynak ip’ye göre filtreleme yapabilmekle beraber gelişmiş listeleri kullanarak hedef ip, port numarası protokol bazında filtreleme işlemleri yapabilmekteyiz. Access Control List’ler çeşitlerine göre L3 Network katmanındaki sadece source ip bazında ya da kaynak ip ve hedef ip ile birlikte iletişim protokolleri ve bu protokollerin port numaraları bazında kontrol yapılmasını sağlar. Yazımızın ilerleyen bölümlerinde Access List çeşitlerine ve uygulamalarına değineceğiz.

Not: Access Control List uygulaması için Cisco Router’ların kullandığı IOS (Interconnectting Operating System) sürüm 12.3 ve üzeri olmalıdır. IOS 12.3 öncesi versiyonlarda Access List’ler notepad vb. bir text editör üzerinde hazırlandıktan sonra konfigürasyon yapılabilir.

Cisco Router’lar üzerinde yapılandırabileceğimiz ACL’ler  temel olarak 3’e ayrılır.

Access List Çeşitleri

• Standart Access List
• Extended Access List
• Named Access List

 

• Standart Access List Nedir?

Router üzerine gelen paketlerin kaynak ip adresine bakılarak engelleme işleminin yapılmasıdır. İzin verme ya da yasaklama aksiyonu tüm protokol kümesini kapsar. Örneğin 192.168.100.0 /24 networkünden gelen paketlerin source ipsine bakılarak aksiyon “Permit”  ise tam erişim sağlanır “Deny” ise paket drop edilir. Standart Acess List Router üzerinde;

Router(config)# access-list {access list number} {deny – permit} {source ip adress} {wildcard mask}

Parametleri ile oluşturulabilir. Verdiğimiz örneği incelemek gerekirse;

Access list numarası : 1 – 99 veya 1300 – 1999 arasında bir numara seçilmelidir.

Deny: Yasaklamak için kullanılması gereken aksiyonu belirtmektedir.

Permit: İzin vermek için kullanılması gereken aksiyonu belirtmektedir.

Source ip: Belirlenen aksiyonun uygukanacağı kaynak ip adresidir.

Wildcard Mask: Kaynak IP adresine ait subnet maskesinin tam tersi olarak yazılması gereken değerdir. Makalemin devamında bu konuyu örnekler ile inceleyeceğiz.

 Resim-2 Standart Access List çalışma yapısı

 

Standart Access Listlerin çalışma yapısını inceleyecek olursak gelen ya da giden paketin IP Header’ına bakarak filtreleme yaptığını görmekteyiz. Bu çalışma yapısından dolayı access control listemizi source ip’yi kullanarak filtreleme yapabilmekteyiz. Bu çalışma yapısından dolayı Standart Access Control List’leri hedef’e en yakın olan yere (interface üzerine) uygulamalıyız.

Konuyu bir örnek ile açıklamak gerekirse;

• 192.168.1.10 ipsine sahip bilgisayarın dışarıya çıkışı yasaklansın.
• 192.168.1.20 ipsine sahip bilgisayarın dışarıya çıkışı yasaklansın.
• Bu kriterlerin dışında kalan trafik devam etsin.

Router(config)# access-list 1 deny 192.168.1.10 0.0.0.0

Router(config)# access-list 1 deny 192.168.1.20 0.0.0.0

Router(config)# access-list 1 permit any

Oluşturduğumuz ACL’i topolojimizin uygun yerine uyguladıktan sonra işlem tamamlanacaktır. Kullanılan komutlardan da anlaşılacağı üzere Standart ACL sadece source ip bazında filtreleme yapabilmemizi sağlamaktadır.

 

• Extended Access List Nedir ?

Router üzerine gelen ip paketlerinin hem kaynak hemde hedef ip adresleri kontrol edilir. Örneğin ACL içerinde yazan kaynak ip adresinden hedefe giden Http 80, telnet 23, FTP 20 veya 21 gibi protokollerin yasaklanıp geriye kalan protokoller ile erişimin devam etmesi sağlanabilir. Yani tüm ip trafiğinin değil de belirlenen protokollerin yasaklanması sağlanır. Detaylı bir şekilde paket filtrelemesi sağlayan Extended ACL Router üzerinde;

Router(config)# access-list {Access List Number} {Deny – Permit} {Protocol} {Source IP Address} {Destination IP Adress} {Wildcard Mask} {eq – lt – gt – neq} Port Number

Parametleri ile oluşturulabilir. ACL’nin içerdiği elementlerin karşılıkları aşağıdaki gibidir;

Access list numarası : 1 – 99 veya 1300 – 1999 arasında bir numara seçilmelidir.

Deny: Yasaklamak için kullanılması gereken aksiyonu belirtmektedir.

Permit: İzin vermek için kullanılması gereken aksiyonu belirtmektedir.

Source IP: Kaynak ip adresi.

Destination IP: Hedef IP adresi

Wildcard Mask: Kaynak IP adresine ait subnet maskesinin tam tersi olarak yazılması gereken değerdir. Makalemin devamında bu konuyu örnekler ile inceleyeceğiz.

eq (equal): Eşittir.

lt (less than): Küçüktür.

gt (greater than): Büyüktür.

neq (not equal): Eşit degildir.

Port Number: Port Numarası.

  Resim-3 Extended Access List çalışma yapısı

 

Resim-3 üzerinde Extended Access List’lerin daha gelişmiş bir şekilde filtreleme yaptığı görülmektedir. Extended Access Listlerin çalışma yapısı ile filtreleme işleminin Layer3 Network Katmanında yer alan Hedef ip adresi ile  Kaynak ip adresi beraberinde Layer4 Transport Katmanında yer alan protokol ve port numaralarına göre yapılabilmesini mümkün kılmıştır. Bu çalışma yapısından dolayı Extended Access List’ler kaynağa en yakın yere uygulanır. Kaynağa yakın olması sayesinde yasaklanacak paketin gereksiz yere kadar hedefe gitmemesini sağlar, böylelikle wide area linklerin üzerine gereksiz bir paketin gitmesi engellenmiş (badwith üzerine gereksiz yük binmemiş)olur, gereksiz paket dışarı çıkmadan drop edilir.  Extended Access List’leri numaralandırma ve isimlendirme metotları ile iki farklı şekilde oluşturabiliriz.

Bir örnek ile detaylandırmak gerekirse,

• 172.168.1.222 ip’sine sahip bilgisayarın 192.168.1.53 ip adresini kullanmakta olan bilgisayara 23 (telnet) numaralı porttan erişimi yasaklansın.
• 172.16.1.11 ipsini kullanmakta olan bilgisayar ise 192.168.1.0 /24 networküne erişim gerçekleştiremesin.
• 172.16.1.34 ipsini kullanmakta olan bilgisayar 192.168.1.46 ipsini kullanan bilgisayara 25 numaralı portu kullanan SMTP protokolü üzerinden erişemesin.
• Yukarıdaki kısıtlamaların dışında kalan trafik devam etsin.

 

Router(config)# access-list 110 deny tcp 172.16.1.222 0.0.0.0 host 192.168.1.53 eq 23

Router(config)# access-list 110 deny tcp host 172.16.1.11 192.168.1.0 0.0.0.255

Router(config)# access-list 110 deny tcp host 172.16.1.34 host 192.168.1.46 eq 25

Router(config)# access-list 110 permit ip any any

Oluşturduğumuz ACL’i topolojimizin uygun yerine uyguladıktan sonra işlem tamamlanacaktır. Ayrıca ACL içerisinde 192.168.1.53 bilgisayarını Wildcard Mask yerine host komutunu kullanarak ta tarif etmiş olduk. ACL içerisinde Wildcard Mask kullanılmak isternirse bir host adresi örneğin 192.168.1.53 0.0.0.0 şeklinde tanımlanabilmektedir.

 Resim-4 Access Control List Numara Aralıkları

  

CNAP slaytlarından alınan bu tablo standart ve extended access list oluşturulurken kullanılabilecek numara aralığını açıklamaktadır.

Numaralı Standart Erişim Kontrol Listelerini 1 – 99’a ve 1300 – 1999 aralığında oluşturabiliriz.

Numaralı Extended Erişim Kontrol listelerini ise 100 – 199 ve 2000 – 2699 aralığında oluşturabiliriz.

Ayrıca Extended List’ler numaralardan bağımsız olarak isim standartında da oluşturabiliriz.

• Named Access List Nedir?

Named ACL’ler Standart ve Extended olarak oluşturulabilir. Konfigürasyon esnasında bazı farklılıklar göstermektedir. Named ACL’ler (extended) ile de protocol, source ve destination bazlı filtreleme yapılabilir. Farklarından bahsetmek gerekirse, Named Access List kullanarak access-list numarası yerine daha kolay akılda kalacak şekilde isimler belirlenerek listeler yaratılabilir. Named ACL’yi diğerlerinden ayıran bir özelliği içerisinde yazılan ve kriterleri belirleyen satırların  ayrı ayrı olarak silinebilmesi özelliği ile yaratılan ACL’yi tamamen silmeden içeriğini değiştirebilmemizi sağlamaktadır. Named ACL’nin faydalarına değinmek gerekirse;

• Şirket politikaları gereğince değişmesi gereken bir kriter meydana geldiğinde,
• Hatalı bir satır girişi yapıldığında ve bu satırın düzeltilmesi istenildiğinde ACL’yi silmeden satır değişimi yapabilmemizi sağlayacaktır.
• Oluşturulan ACL’nin akılda kalıcı bir şekilde isimlendirilerek sistemli çalışmaya izin vermesi ve müdahale söz konusu olduğunda doğru ACL üzerinde işlem yapılabilmesini sağlyarak karışıklığı ortadan kaldıracaktır.

 

Named ACL komutlarına yer vermek gerekirse Standard Named ACL oluşturmak için;

Router(config)# ip access-list standard CenkMete

Router(config-ext-nacl)# deny tcp host 192.168.1.10 66.249.91.99 0.0.0.0 eq 80

Extended olarak oluşturmak için;

Router(config)# ip access-list extended Mete

Router(config-ext-nacl)# deny tcp host 192.168.1.10

Şeklinde oluşturup uygun interface ile ilişkilendirildikten sonra konfigürasyonu tamamlanmış olacaktır.

Access List Yazarken;

• ACL yazarken her satırın bir kriteri belirlediğine dolayısı ile satır sıralamalarına dikkat edilmelidir.
• ACL’nin değişmesi gerektiğinde bir text editör kullanılarak düzenlendikten sonra yeninden uygulanması gerekir.
• ACL uygulandıktan sonra “implicit all deny” kuralı bütün trafiği yok edecektir. Bu kural göz önünde bulundurulmazsa erişim sorunlarına yol açacaktır.
• ACL oluşturuktan sonra ilgili interface uygulanmalıdır aksi takdirde çalışmayacaktır.
• Her interface’in inbound veya outbound yönüne sadece bir tane ACL uygulanabilir. Uygulanacak yöne doğru bir şekilde seçilmelidir. Aksi takdirde ACL çalışmayacaktır.

 

Wildcard Mask Kavramı

  Resim-5 Wildcard Mask

 

Wildcard Mask, IPv4 networkler’inde mevcut kullandığımız Subnet Mask’ın tam tersinde ifade edilimesidir. Wildcard Mask Cisco Routerlar’ımız üzerinde OSPF gibi gelişmiş bir routing protocol koştururken, makalemizin konusu olan Access list yazarken ve bir çok yerde karşımıza çıkmaktadır. Bu sebepten dolayı Wildcard Maske’ın nasıl hesaplandığını bilmemiz gerekecektir. WM kavramının sizlerde de yer edinmesi için subnet mask’lar ile kıyaslama işlemine geçebiliriz.

Wildcard Mask’a örnek olarak;

 Resim-6 Wildcard Mask Örneği 1

 

Resim-6′ daki örneği incelemek gerekirse Subnet Maskta Host bitlerimizi “0” ile ifade ederken Wildcard Mask yazımında Host bitlerimizi “1” ile ifade ediyoruz. Network Bitlerini oluşturan 255 (11111111) toplamını veren Octet’ler wildcard yazılımında  0 (00000000) sayısı ile belirtilmiştir. Daha basit ve akılda kalıcı  bir yöntemide bir örnek ile incelemek gerekirse ;

 Resim-7 Wildcard Mask  Örneği 2

 

Resim-8 Wildcard Mask  Örneği 3

 

Resim 7’deki subnet maskımızda  ki 255 olan octet’lerin binary sistemde 11111111 olduğunu, wildcard yazımında ise tam tersi olarak 00000000 olduğunu görmekteyiz. Son octet’te yer alan 128 sayısını binary olarak yazıp çevirmek yerine bir octet’in alabileceği en büyük değer olan 255 sayısından çıkarmak daha hızlı ve pratik yoldan sonuca ulaşmamıza yardımcı olacaktır. Access Control List’leri ve Wildcard Mask tanımlarına değindikten sonra, nihayet uygulamalara geçebiliriz.

Access List Uygulamaları

                                                                                                                            

Standart Access List Uygulaması 1

 

 Resim-9 Standart Access List Uygulaması 1

 

Resim-9 üzerindeki örnek topoloji üzerinde;

• Fatih Local Area Network’te bulunan 192.168.1.0 /24 networkündeki Client1’in dışarya olan bütün erişimi kısıtlansın.
• Fatih Local Area Network’te bulunan 192.168.1.0 /24 networkündeki Client1’in dışarya olan bütün erişimi kısıtlansın.
• Bu kriterler dışında kalan trafik devam etsin.

 Resim-10 Router üzerinde ACL’nin yazıldığı ekran görüntüsü

 

Standart Access List Uygulaması 2

 Resim-11 Standart Access List Uygulaması 2

 

Resim-11 üzerindeki örnek topoloji üzerinde;

• Town Center Segmentindeki computer’ların Fatih Local Area Network’üne olan erişimini izole etmek için gereken işlemleri yapalım.
• Diğer networklerden gelen trafik devam etsin.

Resim-12 Router üzerinde ACL’nin yazıldığı ekran görüntüsü

 

Standart Access List Uygulaması 3

 Resim-13 Standart Access List Uygulaması 3

 

Resim-13 üzerindeki örnek topoloji üzerinde;

• Lan segment 1′ de  bulunan HostA makinesinin internet ve diğer lan segmentler ile haberleşmesi yasaklansın. Bu kriter dışında kalan trafik olduğu gibi devam etsin.
• Ayrıca diğer lan segmentinde bulunan Com2 makinesinin de internete çıkışını yasaklayalım.

  Resim-14 Router üzerinde ACL’nin yazıldığı ekran görüntüsü

 

Extended Access List Uygulaması 1

 

 Resim-15 Extended Access List Uygulaması 1

 

 Resim-15 üzerindeki örnek topoloji üzerinde;

• Fatih Local Area Networkte bulunan Client1’in karşı Local Area Networke FTP protokolü üzerinden erişimi yasaklansın.
• Client2 makinesinin karşı network ile SMTP protokolü üzerinden haberleşmesi yasaklansın.
• Bu kriterlerin dışında kalan trafik devam etsin.

 Resim-16 Router üzerinde ACL’nin yazıldığı ekran görüntüsü

 

 Extended Access List Uygulaması 2

Resim-17   Extended Access List Uygulaması 2

 

 Resim-17 üzerindeki örnek topoloji üzerinde;

• Client1 karşı networke FTP protokolü üzerinden gidemesin.
• Client 1 fileserver’a erişemesin.
• Client 2 sadece ping protolü ile erişebilsin diğer istekleri kısıtlı kalsın.
• Bu kriterlerin dışında kalan trafik devam etsin

 Resim-18 Router üzerinde ACL’nin yazıldığı ekran görüntüsü

 

Named Access List Uygulaması 1                                                                                                                   

 Resim-19 Named Access List Uygulaması 1

 

 Resim-19 üzerindeki örnek topoloji üzerinde;

• Fatih Local Area Networkten Town Center Local Area Network’üne giden ICMP paketleri yasaklansın.
• Fatih Local Area Networkten Town Center Local Area Network’üne giden FTP paketleri yasaklansın.
• Client1 bilgisayarı karşı Town Center Networküne HTTP  protokolü üzerinden gidemesin.
• Belirtilen kriterlerin dışında kalan trafik olduğu gibi devam etsin.

 

 Resim-20 Router üzerinde ACL’nin yazıldığı ekran görüntüsü

 

 Named Access List Uygulaması 2

 

 Resim-21 Named Access List Uygulaması 2

 

Resim-21 üzerindeki örnek topoloji üzerinde;

• Client 1 ve Client2 hostları 192.168.2.0 networküne ping atabilsin
• 192.168.1.0 networkü karşı networkteki dns server hizmetinden yararlanabilsin
• 192.168.1.0 networkü karşı networkteki file server hizmetinden yararlanabilsin.
• 192.168.1.0 networkü karşı networke remote desktop protocol ile bağlanabilsin.

 Resim-22 Router üzerinde ACL’nin yazıldığı ekran görüntüsü

  

 

 Değerli arkadaşlar Access List makale dizisinin sonunda AccessList’lerin ne olduğuna, nasıl çalıştıklarına, örnek topolojiler üzerinde nasıl uygulandıklarına ve Wildcard Mask’lar ile Subnet Mask’lar ile kıyaslanarak kullanımına dair bilgiler edindiniz.

Başka bir makale dizisinde görüşmek üzere.

Teşekkürler.

 

 Kaynak:

CCNA Self Study Exam Certification Guide

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

Cenk Ali METE

IBM Turk | BilgeAdam IT Academy | System&Network Trainer

 Active Directory Kurulum ve Kontrol İşlemleri

 

Merhaba arkadaşlar. Bu makalemde Windows Server 2003 üzerinde Active Directory kurulumu ile Windows Server kategorisine giriş yapacağım.

Active Directory Kurulumu için gereksinimleri listeleyecek olursak;

 

·     Active Directory kurulumu Yönetimsel bir işlemdir. Bu işlemin gerçekleştirilebilmesi için local admin yetkisine sahip bir user accountu ile session açılmış olunmalıdır.

·     Kurulum için en önemli gereksimlerden bir tanesi de Statik ip adresidir.

·     Active Directory kurulacak alan üzerinde en az 250MB NTFS alan olmalıdır.

·     Network Interface Card.

·     Active Directory DNS Server’a ihtiyaç duymaktadır. Forest bilgilerini tutacak olan dns server kurulum sırasında yüklenebilir.

·     Active Directory kurulumunu desteleyecek server işletim sistemi gereklidir. Windows Server 2003 ailesinde Web edition dışındaki sürümlerin üzerine Active Directory kurabilmekteyiz.

Read the rest of this entry »

Exchange Server Rolleri

 

Exchange Server 2007  gelişmiş özellikleri ile karşımıza çıkmaktadır. Bu yazıda oldukça gelişmiş seviyede özellikler sunan Exchange Ailesinin en yeni ürünü olan 2007 sürümünün kısaca rollerine değineceğim. Exchange Server 2007 kurulumunda yüklenecek rol ihtiyaca göre seçilmelidir. İlgilenenler hatırlayacaktır ki Exchange Server 2003′de Front End ve Back End olarak 2 rol kullanmaktaydık. Bu rolleri tanımlamak gerekirse Front End Rolü RPC over HTTP veya RPC over HTTPS ile yapılandırıldığında clientları karşılayan rol olarak çalışmakta, Back End Rolü de mailbox yapılarını barındıran exchange server 2003 rolüdür. Exchange Server 2007 ‘de Bu uygulama sadece ismini Outlook Anywhere olarak değiştirdi. Exchange 2007′ye ait 5 tane rolden herbiri tek başına yapılandırılabilir ve diğer exchange server’lar arasında ilişkilendirilmede kullanılabilir. Exchange Server 2007′ye ait 5 tane rol vardır;

• Mailbox Server Role
• Client Access Server Role
• Hub Transport Server Role
• Edge Transport Server Role
• Unified Messaging Role

EDGE TRANSPORT SERVER Role dışındaki varolan tüm roller tekbir exchange server üzerine kurulabilir. Buna ek olarak Exchange Server 2007′nin Advance kurulumu sayesinde her bir rol tek başınada çalışabilir. Ana başlıklarda inceleyecek olursak;

• Client Access Server Role:

Active Directory üyesi olması zorunludur. Exchange 2003′te ki Front End mantığı Exchange Server 2007′de kendisini Client Access Server Role ismine bırakmıştır. MAPI, OWA, Exchange ActiveSync, POP3, IMAP4 ve Outlook Anywhere protokollerini destekler ve bu protokollerin herhangi birisi ile istek yapan kullnıcıyı karşılar. Bütn istemciler Client Access Server’a bağlanır ve Client Acess Server bu isteği Mailbox Server’a iletir. Bu sayede istemcilerin isteklerine cevap verilir. Hub Transport Role, Mailbox Server Role ve Unfied Messaging Role ile beraber kurulabilmekle beraber tek başınada kurulabilir. Kurulması zorunludur.

 

• Hub Transport Role:

Active Directory üyesi olması zorunludur. Mesaj dağıtımını yapmakla yükümlü olan roldür. Mailbox Server Role ve Client Access Server Role gibi kurulması zorunludur. Defaultta internal üzerinde mesaj dağıtımı yapar fakat gereken ayarlar yapıldığında internet üzerinden mail akışınıda sağlayabilir. Gönderilen mail ister internalda ister external da olsun Hub Transport Server üzerinden geçer. Receive connectorleri kullanarak gelen maili yerine ulaştırır. Send connectorleri  kullanarak internete veya başka bir active directory site’ına yollanan mailleri ulaştırır. Edge Transport Server bulunmayan organizasyonlarda Antivirüs ve Antispam işlevlerini yapabilir. Mailbox Server Role, Client Access Server Role ve  Unfied Messaging Role ile beraber kurulabilmekle beraber tek başınada kurulabilir. Kurulması zorunludur.

• Unified Messaging Role:

Active Directory üyesi olması zorunludur. Aynı mailbox içerisinde posta, fax ve sesli maillerin saklamasını sağlar. Ek olarak telefon ile posta kutusundaki sesli  maillerin dinlemesini mümkün kılar. Gelen mesajlara kullanıcı yerine kayıtlı bir mesaj yoluyla cevap verebilir. Bu uygulamalar için voice gateway veya IPX telefon santrali gerekmektedir. Kurulumu zorunlu değildir. Mailbox Server Role, Hub Transport Role ve Client Access Server ile beraber çalışabilir.

• Edge Transport Role:

Exchange Server’ın internete bakan penceresidir. Yapılandırıldığında internet üzerindeki SMTP’lere gönderilen mailleri teslim etmek ile yükümlüdür. İnternet ortamından gelen mailleri kabul ederek hedefe ulaşması için Hub Transporta yönlendirir. SMTP güvenliği açısından önemli bir misyonu üstlenen Edge Transport Rolü Active Directory üyesi olmamalıdır. Active Directory Application Mode (ADAM) yapısını kullanmalıdır. Edge Transport üzerine gelen mesajlar zorunlu kılınan koşullar varsa filtreleme işlemi yapılır, mesaj koşulları sağlıyorsa kabul edilir eğer sağlamıyorsa red edilir. Client Access Role, Hub Transport, Mailbox Server Role ve Unfied Messaging Role’lerinden hiç biri ile aynı makina üzerinde beraber çalışamaz. Zaten Edge Transport dışındaki rollerin Active Directory’e join olan makine üzerinde olmasıda bu durumun diğer bir sağlamasıdır. İnternete mail gönderirken suffix değişimini mümkün kılar. Alıcı ve gönderici bilgisine göre filtrelemeler yaparak security level’ının artmasını sağlar.  

• Mailbox Server Role:  

Active Directory üyesi olması ve kurulması zorunludur. Exchange Server üzerinde en fazla çalışan roldür. Exchange 2003′te ki Back End görevini üstlenecek şekilde çalışır. User accountlarına ait mailboxları ve public folderların tutulduğu database’i açar ve yönetir. Bir Exhange 2007 Server üzerinde 50 tane Storage Group oluşturabilir. Mailbox Server Role’ün güvenlik açısından internal networkte tutulması önerilir. Çok sıklıkla kullanılan Outlook programını internet üzerinden bir istemciymiş gibi kullanılması için Outlook Anywhere yapısını ayağa kaldırmak gerekir. Ortama CA server kurularak RPC over HTTPS ile security level’ini arttırmak mümkündür. Mailbox Server Rolü verimliliği arttırmak için bize 3 seçenek sunar. Hub Transport, Client Access Server Role ve Unfied Messaging Role ile beraber kurulabilmekle beraber tek başınada kurulabilir. Kurulması zorunludur.

Ayrıca Exchange Server 2007 ile birlikte Mailbox Server Role mimarisinde database disaster senaryolarından kısaca bahsetmek gerekirse;

 LCR (Local Continuous Replication): Exchange Server 2007 ile gelen özelliktir. Exchange Server 2003 ailesinde bulunmamaktadır. Aynı sunucu üzerindeki Storage Group’un bir kopyasını yine aynı sunucu üzerindeki farklı bir fiziksel hard disk drive üzerine oluşturma stratejisidir. LCR olarak yapılandırılan storage group içerisinde maximum bir veritabanı olabilir. Dosya sisteminin NTFS olması zorunludur.

CCR (Clustered Contiuous Replication):  Exchange Server 2007 ile gelen özelliktir. Exchange Server üzerinde var olan storage group’un bir kopyasını farklı bir exchange server üzerinde oluşturarak kendi aralarında log senkronizasyonu yapma mantığıdır. Bir Storage Group’un kopyası iki Exchange Server üzerinden tutulduğundan dolayı  büyük ölçüde hata toleransı sağlamaktadır. Mail trafiği ikinci Exchange Server 2007 maliyetinden kaçmayacak kadar önem taşıyan büyük ölçekli yapılarda kullanılır.

SCC (Single Copy Cluster) : Ortak bir depolama kaynağını paylaşan sunucular ile oluşturulan cluster modelidir. Ortak depolama kaynağı SAN yada NAS olabilir. (Windows Unified Data Storage Server ile virtual olarak SAN ortamını yapılandırmayı ve bu uygulamayıda sizlerle paylaşmayı düşünüyorum)

Genel olarak yeni rollere değindik. Yeni makaleler ile Exchange 2007 serüvenine devam edeceğiz.

Exchange Server 2007 Kurulumu

 

Exchange Server 2007 Kurulum Gereksinimleri

  Ø  Minimum  1GB RAM

  Ø  Minimum 1,5 GB Free Disk Speace

  Ø  Active Directory

  Ø  Internet Information Store ” IIS – World Wide Web – Enable network COM+ acess” servislerini Mailbox Server Rolü için kurmak gerekir. Ayrıca Client Access Server Role’ unun ihtiyaçlarından biri olan IIS içerisindeki ASP.NET kurulmalıdır. 

 

    Ø  Windows .NET Framework 2.0 + fix eklentisi

   Ø  Microsoft Management Console 3.0

    Ø  Microsoft Windows PowerShell 1.0

 

 

  Read the rest of this entry »

Routing Nedir? Genel Bakış

Routing farklı networklerin birbirleri ile haberleşmesini sağlamak için uygulanan fiziksel altyapıdır. Routing işlemlerini router (yönlendirici) dediğimiz cihazlar ile gerçekleştirmekteyiz. Router’lar iletmek üzere aldıkları paketlerin hangi ip networkünden geldiğini ve hangi network’e gideceğini belirler. Buradaki en can alıcı nokta, hedef networke gidilecek yolun bilinmesi ve seçilmesidir.  Yani router’lar hedefe giden yolu biliyorsa paketi iletecektir ki bu bilgilerede Routing table’ları sayesinde ulaşmaktadırlar. Roting table’larıda static yada dynamic olarak oluşturabiliriz. Bu yazımda static routing işlemine değineceğim.

 

Static Routing

Routerların aldıkları paketleri hedef networke taşımak üzere kullanılacak olan yol bilgisini manuel olarak oluşturma işlemidir. Static Routing küçük networkleri haberleştirmek için oldukça iyi bir çözümdür. Fakat topoloji büyüdükçe Static Routing işlemi IT yöneticilerinin zamanlarını çalmakla beraber hata yapma olasılığınıda arttırır.

Cisco Device’lar üzerinde ;

 Router(config)#ip route (destination network id) (SubnetMask) (Next Hop) (metric)

 komutu ile routing table’a static olarak route eklenebilir. Komutu inceleyecek olursak Global Configuration mode üzerindeyken “ip route hedef network hedef networkün subnet mask’ı yazılır. Next Hope ise hedef networke yollanacak paketin ilk olarak üzerinden geçeceği router’ın ip adresidir. Metric routerların yol seçiminde önceliği belirleyen Administrative Distance değeridir. Static Routing varsayılan Administrative Distance değerini “1″ olarak kabul eder. Bu sayede router uzak networke paket yollarken gideceği yol bilgisi Routing table’ına yerleşmiş olacaktır.

  Read the rest of this entry »