Merhaba,
Bu yazımızda, Windows Server 2019 işletim sistemi üzerinde Network Policy Server (NPS) kurulumu gerçekleştirerek, 802.1x ve Dinamik VLAN teknolojileriyle kablolu ve kablosuz ağlarımızın güvenliğini artırmayı hedefliyoruz. Bu kapsamda, Network Policy Server, Certification Authority Server, Unifi Access Point ve Aruba Switch yapılandırmalarını ayrıntılı bir şekilde ele alacağız.
Bu Çalışma Sonrası Neler Elde Edeceğiz?
Kablosuz Ağ Güvenliği:
Kablosuz ağımızda WPA2 Enterprise kimlik doğrulamasını etkinleştirerek, yalnızca yetkilendirilmiş cihazların ağımıza bağlanmasını sağlayacağız. Bu yapı, kullanıcı adı ve şifre paylaşımını ortadan kaldırarak kişisel bilgilerin korunmasına ve güvenlik açıklarının azaltılmasına katkıda bulunacaktır.
Kablolu Ağ Güvenliği:
Kablolu ağda, kullanıcı masalarındaki boş portlara yetkisiz erişimleri engelleyeceğiz. Sadece yetkilendirilmiş cihazların ağa dahil olmasına, IP adresi almasına ve erişim sağlamasına izin verilecek. Böylece fiziksel ağ bağlantılarının güvenliği de artırılmış olacak.
Kuruluma başlamadan önce, oluşturmak istediğimiz yapı ve gereksinimlerden kısaca bahsetmek istiyorum. Topolojimiz; 3 sanal sunucu, 1 erişim noktası (AP) ve 1 anahtar (Switch) ile tamamlanacaktır. Ancak dilerseniz Certification Authority (CA), Network Policy Server (NPS) ve WiFi Controller uygulamalarını aynı sunucuya da kurabilirsiniz. Anlaşılabilirliği artırmak adına bu bileşenleri ayrı sunuculara kurmayı tercih ettim. Bununla birlikte, kaynak tüketimi düşük olduğu için tek bir sunucuda da rahatlıkla çalışabilir.
Kurulum sırasında izleyeceğimiz adımlar ve topolojimiz aşağıdaki gibidir:
Bu adımları takip ederek ağ güvenliğimizi nasıl artırabileceğimizi ve kimlik doğrulama süreçlerini nasıl daha etkin hale getirebileceğimizi göreceğiz.
Active Directory Kurulumu
Active Directory kurulumu için daha önce hazırlamış olduğum rehbere aşağıdaki bağlantıdan ulaşabilirsiniz:
Active Directory Server Kurulumu
Kurulum işlemini tamamladıktan sonra yapmamız gereken birkaç ek yapılandırma bulunmaktadır. Bu adımlardan ilki, bir Security Group oluşturmaktır. Domaine alınan bilgisayar hesapları, bu gruba dahil edilmedikleri sürece doğrulamaya tabi tutulmayacaktır.
Örnek olarak, aşağıda NPS-Computers adında bir Security Group oluşturdum. Siz, ihtiyaçlarınıza uygun bir isim tercih edebilirsiniz.
Daha sonra Group Policy Management uygulamasını kullanarak bir Policy oluşturmalı ve bu policy’yi Computers objelerinin bulunduğu dizine bağlamamız (linklememiz) gerekmektedir. Oluşturduğumuz bu yeni policy objesine sağ tıklayıp Edit seçeneğine tıklayarak gerekli düzenlemeleri yapabiliriz.
Aşağıdaki adımları izleyerek yapılandırmayı gerçekleştirebilirsiniz:
- Computer Configuration → Policies → Windows Settings → Security Settings → System Services
- Wired Auto Config servisini bulun ve Enable yapın.
- Ardından, başlangıç türünü Automatic olarak ayarlayın.
Bu ayar sayesinde, kullanıcı bilgisayarları her açıldığında Wired Auto Config servisi otomatik olarak başlayacak ve 802.1x doğrulama işlemleri sorunsuz bir şekilde gerçekleşecektir.
Certification Authority Server Kurulumu
Certification Authority (CA) Server kurulumu için daha önce hazırlamış olduğum rehbere aşağıdaki bağlantıdan ulaşabilirsiniz. Sonraki adımlarda herhangi bir sorun yaşamamak için CA Server kurulumundaki tüm adımları eksiksiz ve doğru bir şekilde tamamlamanız oldukça önemlidir.
Network Policy Server Kurulumu
Network Policy Server (NPS) kurulumuna başlamadan önce, sunucunun Windows güncellemelerini tamamlayıp domaine dahil etmeniz ve sabit bir IP adresi atamanız gerekmektedir. Bu ön hazırlıkları yaptıktan sonra, Server Manager üzerinden Add Roles and Features sihirbazını çalıştırarak Network Policy and Access Services rolünü yükleyebilirsiniz.
Sonrasındaki adımlar bir değişiklik içermediği için sürekli Next diyerek kurulum işlemini tamamlıyoruz. 🙂
Finish butonuna tıkladıktan sonra, Server Manager üzerindeki Tools menüsünden Network Policy Server uygulamasını açıyoruz. Açılan ekranda, ilk olarak Wi-Fi bağlantısı için bir profil oluşturacağız. Bunun için sol üst menüde yer alan NPS (Local) üzerine tıklıyoruz ve sağdaki menüden RADIUS Server for 802.1X Wireless or Wired Connections seçeneğini seçiyoruz. Daha sonra Configure 802.1X butonuna tıklayarak bir sonraki adıma geçiyoruz.
Wifi Profili Oluşturma
Açılan pencerede karşımıza iki seçenek çıkmaktadır: Secure Wireless Connections ve Secure Wired (Ethernet) Connections. İlk olarak Wi-Fi profilini kuracağımız için Secure Wireless Connections seçeneğini seçerek devam ediyoruz. Name alanında, profil için dilediğiniz bir isim belirleyebilirsiniz; ancak ben varsayılan ismi kullanmayı tercih ediyorum.
Açılan pencerede, RADIUS Client cihazlarımızı tanımlamamız gerekmektedir. Yani, kullanıcıların bağlanacağı cihazları bu alanda belirtmemiz gerekir. Add butonuna tıklayarak mevcut access point cihazlarımı tanımlıyorum.
Add butonuna tıkladıktan sonra açılan pencerede, Access Point için bir isim girmemiz gerekmektedir. Ben AP01 olarak isimlendirdim. Ardından, IP adresini giriyoruz. En altta bulunan shared secret kısmına bir key girmemiz gerekiyor. Bu anahtarı Generate butonuna tıklayarak otomatik olarak oluşturabilirsiniz. Ancak, girilen bu değeri daha sonra tekrar kullanacağımız için bir yere not etmeniz faydalı olacaktır. Tüm AP cihazlarını tanımladıktan sonra, Next butonuna tıklayarak bir sonraki adıma geçiyoruz.
Bir sonraki menüde, EAP Type olarak Microsoft Protected EAP (PEAP) profilini seçiyoruz. Configure butonuna tıkladıktan sonra açılan pencerede, CA server üzerinde üretilen sertifikanın burada seçili olduğunu görmemiz gerekmektedir. Sertifika bilgilerinin doğruluğundan emin olduktan sonra, Next butonuna tıklayarak bir sonraki adıma geçiyoruz.
Specify User Groups bölümünde, domaine oluşturduğumuz NPS-Computers grubunu buraya dahil ediyoruz. Wi-Fi ağına katılmasını istediğimiz tüm bilgisayar hesaplarını bu gruba eklememiz gerekmektedir.
Wifi profilini oluşturmayı tamamladıktan sonra Finish butonuna tıkladıktan sonra sihirbazı kapatıyoruz.
Ethernet Profili Oluşturma
Configure 802.1X sihirbazını tekrar çalıştırıyoruz. Bu sefer Secure Wired (Ethernet) Connections seçeneğini seçtikten sonra, Next butonuna tıklayarak bir sonraki adıma ilerliyoruz.
Açılan pencerede, RADIUS Client cihazı olarak bu sefer kullanıcıların bağlanacağı switch’leri tanımlamamız gerekmektedir. Add butonuna tıklayarak, kullanıcıların bağlı olduğu switch’leri tanımlıyorum.
Yine benzer şekilde, switch için de isim, shared secret ve IP adresini tanımlayarak bu adımı tamamlıyoruz.
EAP Type olarak, daha önce Wi-Fi profilinde oluşturduğumuz gibi, Microsoft: Protected EAP (PEAP) profilini seçerek ilerliyoruz.
Specify User Groups bölümünde, domaine oluşturduğumuz NPS-Computers grubunu buraya dahil ediyoruz.
Wi-Fi profilinden farklı olarak, bu profilde ek olarak Configure Traffic Control adında bir bölüm daha bulunmaktadır. Bu kısımda, kablolu ağ tipi ve VLAN bilgilerini tanımlamamız gerekmektedir.
Configure butonuna tıkladıktan sonra açılan pencerede bulunan maddeleri aşağıdaki gibi düzenlememiz gerekiyor.
Tunnel-Type : Virtual LANs (VLAN)
Tunnel-Medium-Type: 802
Tunnel-Pvt-Group-ID: 20 (Kullanıcıların bulunduğu VLAN ID tanımlanması gerekmektedir.)Maddeleri tamamladıktan sonra OK butonuna tıklayarak bu adımı bitiriyoruz. Ardından, bu adımı da tamamladıktan sonra Finish butonuna tıklayarak Network Policy Server kurulumunu tamamlamış oluyoruz.
Oluşturulan policy’ler daha sonra tekrar düzenlenebilir. Bunun için NPS konsolu açtığınızda, sol tarafta bulunan Policies sekmesinden oluşturduğunuz Wireless ve Wired policy objelerine ulaşabilir ve gerektiğinde tekrar düzenleyebilirsiniz.
Unifi Access Point Controller Yapılandırması
Unifi Controller ile Ubiquiti marka AP cihazlarınızı kontrol edebilir, firmware güncellemelerini yapabilir ve yeni oluşturduğunuz ağları bu uygulama ile AP cihazlarınıza dağıtabilirsiniz. Biz de burada, oluşturduğumuz NPS sunucu ve ağ bilgisini AP cihazlarına nasıl aktaracağımızı inceleyeceğiz.
Admin paneline erişim sağladıktan sonra, sol altta bulunan Settings menüsüne tıklayıp ardından Profiles sekmesine geçiyoruz.
Radius profil için bir isim tanımladıktan sonra RADIUS Auth ve RADIUS Accounting Server olarak NPS Sunucu IP Adresini tanımlıyoruz.
- RADIUS Auth Server:192.168.60.200:1812
- Password/SharedSecret:(NPS Sunucusunda oluşturduğumuz secret key)
- Accounting: Enable
- RADIUS Accounting Server:192.168.60.200:1812
- Password/SharedSecret:(NPS Sunucusunda oluşturduğumuz secret key)
Bilgileri yukarıdaki gibi tanımladıktan sonra Save butonuna tıklayarak yaptığımız değişiklikleri kaydediyoruz.
İkinci olarak ise Networks sekmesine tıklayarak yeni bir network oluşturuyoruz. Burada kullanıcıların AP’ye bağlandıktan sonra dahil olacağı VLAN ve Network bilgilerini kendi yapımıza göre tanımladıktan sonra Save butonuna tıklayarak bir sonraki adıma geçiyoruz.
Wireless Networks sekmesine geldikten sonra Wifi SSID için bir isim giriyoruz.
Security olarak WPA Enterprise seçeneğini seçtikten sonra RADIUS Profile olarak oluşturmuş olduğumuz profili seçiyoruz.
Network kutucuğunda ise yine oluşturmuş olduğumuz Network profilini seçiyoruz.
Tüm değişiklikleri görseldeki gibi tamamladıktan sonra Save butonuna tıklayarak bu adımı da tamamlıyoruz.
Tüm değişiklikleri uyguladıktan sonra mevcut AP cihazları kısa bir süre kesintiye uğrayarak yeniden başlayacak ve bizim oluşturduğumuz ayarları üzerine alacaktır. Oluşturduğumuz SSID wifi ağında gözüktüğünde sadece Domaine dahil olan ve NPS-Computers grubuna dahil olan bilgisayar hesapları ağa dahil olabilecektir.
Aruba Switch Yapılandırması
Bu adımda switch üzerinde girmemiz gereken komutlar aşağıdaki gibidir;
Switch portlarında 1–46 arası tüm portlara untag vlan olarak 30 Vlanını tanımladıktan sonra aşağıdaki komutları girmemiz gerekmektedir.
Wired Auto Config servisi çalışır olduğunda ve NPS-Computers grubuna dahil olan bir kullanıcı bilgisayarı switch portlarından birine dahil olduğunda otomatik olarak networke dahil olacaktır. Farklı bir bilgisayar denediğinizde ise ip alamayacak ve ağa dahil olamayacaktır.
radius-server host 192.168.60.200 key "sharedsecretkey"
radius-server host 192.168.60.200 dyn-authorization
radius-server host 192.168.60.200 time-window 0
radius-server host 192.168.60.200 time-window plus-or-minus-time-window
aaa server-group radius "NPS" host 192.168.60.200
aaa accounting update periodic 1
aaa accounting network start-stop radius server-group "NPS"
aaa authentication port-access eap-radius server-group "NPS"
aaa authentication port-access eap-radius authorized
aaa port-access authenticator 1–46
aaa port-access authenticator 1–46 client-limit 30
aaa port-access authenticator active
Bir makalemizin daha sonuna geldik. İnşallah faydalı olmuştur. Başka bir makalede görüşmek üzere 🙂