Skype Business’a Erişimi Engellemek

Merhabalar,

Bugün basit ama ihtiyacınız olduğunda çok önemli olabilecek bir bilgiyi paylaşmak istiyorum. SonicWALL, Cyberoam vb. UTM güvenlik duvarlarında Application Control üzerinden Skype’ı engelleyebiliyorsunuz ama en yazık ki Skype Business’ı engelleyemiyorsunuz. En azından App Control üzerinden yapılamıyor. Biraz googleladıktan sonra anladım ki bunun için -en azından şimdilik- özel bir imza ya da içerik eklenerek engelleme yöntemi geliştirilmemiş. Bu nedenle Skype Business’ı engellemek için farklı bir yöntem kullanmamız gerekiyor. Yöntem oldukça basit: Skype Business’ın kullanılmasını istemediğiniz ip adreslerinin http://www.lync.com a erişimini kapatıyoruz. Bunu Content Filter (CF) tarafında yapabiliriz. Eğer CF lisansı yoksa ya da CF için özel bir modül kullanmıyorsanız, lync.com yapılan istekleri access rule tarafında bir kural yazarak engelleyebilirsiniz.

Peki Skype Business ile Lync’in ne ilgisi var? Skype ile Microsoft Lync birleşmeden önce Microsoft Skype yerine iş ve okul müşterileri için Lync ürününü sunuyordu. Birleşme gerçekleştikten sonra Lync gitti ve Skype Business geldi ama Skype Business halen bazı içeriklere lync.com üzerinden eriştiği için engellememize olanak sağlıyor.

Peki Skype Business neden bizim için bu kadar önemli olabilir? Sorumlu olduğunuz ortamda özel bir nedenden dolayı bir süre tüm uzaktan erişimleri kapatmak isteyebilirsiniz ve bunu özellikle Application Control vb. ürünler kullanarak yapabilirsiniz ama eğer içeride Skype Business varsa, Skype Business üzerinden uzaktan yardım ya da ekran paylaşımı yoluyla uzaktan erişim sağlanabilir. Bu yüzden önemli olabilir.

Bu bilginin İngilizce içerik paylaşılan ortamlarda da bulunmaması sebebiyle üç satır da Türkçe bilmeyen arkadaşlar paylaşayım:

If do you want to block Syke Business, you may use Content Filter or access rule. If you will add http://www.lync.com to forbidden domain or create an access rule and deny access to lync.com, Skype Business will be blocked. Why we are choosing this way to block? Because UTM firewalls as like Sonicwall, Cyberoam etc. does not provide signature for Skype Business yet. You may block Skype or another IM application on your Application Control but Skype Business will does not affect that rule. Skype Business uses different signature this is why you should block access to lync.com.

You may ask what is the connection between Skype Business and lync.com. Skype Business is new Lync application by Microsoft and Skype Business still using lync.com.

Sonicwall – Mikrotik Site to Site IPSec VPN

Merhabalar,

İnternette SonicWALL ve Mikrotik arasında IPSec VPN kurulumu konusunda ciddi bir bilgi kirliliği olmasından ve doğru bilgilere kolayca ulaşılamamasından dolayı ekran görüntüleriyle olayı anlatmak istiyorum.

*Değişikliklere başlamadan önce configuration yedeği almayı unutmayınız.

Öncelikle SonicWALL ile başlıyoruz: Network -> Address Object kısmından birisi Mikrotik, diğeri SonicWALL olmak üzere iki tane network nesnesi oluşturuyoruz:

Mikrotik için:
Sonicwall Mikrotik Address Object, VPN

SonicWALL için:
Sonicwall Mikrotik Address Object, LAN Network

Sonrasında VPN -> Settings kısmına geçiyoruz ve yeni bir VPN policy oluşturuyoruz. Karşılaşacağınız ekranın tüm sekmeleri sırasıyla aşağıda:

General sekmesi:

Sonicwall Mikrotik IPSec VPN General Tab

Sonicwall Mikrotik IPSec VPN General Tab

Network sekmesi:

Sonicwall Mikrotik IPSec VPN Network Tab

Sonicwall Mikrotik IPSec VPN Network Tab

Proposals sekmesi:

Sonicwall Mikrotik IPSec VPN Proposals Types, Groups, Tab

Sonicwall Mikrotik IPSec VPN Proposals Types, Groups, Tab

Advanced sekmesi:

Sonicwall Mikrotik IPSec VPN Advenced Tab

Sonicwall Mikrotik IPSec VPN Advenced Tab

Tüm bunları ekran görüntülerinde olduğu gibi yaptıktan sonra geçiyoruz Mikrotik tarafına.

*Değişikliklere başlamadan önce configuration yedeği almayı unutmayınız.

Mikrotik’e Winbox ile bağlandıktan sonra IP -> Firewall -> NAT sekmesine geliyoruz. Buradan yeni bir NAT ekliyoruz:

Sonicwall Mikrotik IPSec VPN Firewall Srcnat Action

Sonicwall Mikrotik IPSec VPN Firewall Srcnat Action

NAT’ı ekran görüntüsündeki şekilde yaptıktan sonra NAT kuralları arasında (eğer bu adres gruplarını etkileyebilecek başka bir NAT yoksa listede en üst sıraya taşıyınız)

NAT ile işimiz bitikten sonra IP -> IPSec -> Policies’e geliyoruz ve yeni bir policy ekliyoruz. Ekran görüntüsü:

Sonicwall Mikrotik IPSec VPN IPSEC Policy

General bölümündeki alanları doldurdaktan sonra action bölümüne geçiyoruz:

Sonicwall Mikrotik IPSec VPN IPSEC Policy Action Tab
*Tunnel kutucuğunu işaretlemeyi unutmayınız.

IPSec Policy tarafını da halledikten sonra Peers sekmesine geçiyoruz. Burada yeni bir Peer oluşturuyoruz:

Sonicwall Mikrotik IPSec VPN New Peer, hash algorithm
*Kırmıcı kutuculukla işaretlediğim alanlara dikkat ediniz.

Peer ile işimiz bittiğine göre Proposals kısmındaki default proposal ayarlarına geçebiliriz. Proposal sekmesine geçip ‘default’ isimli profili aşağıdaki şekilde güncelliyoruz:

Sonicwall Mikrotik IPSec VPN IPSEC proposal Window SHA1, 3DES

Sonicwall Mikrotik IPSec VPN IPSEC proposal Window SHA1, 3DES

Bu da tamam olduğuna göre gönül rahatlığıyla VPNin tadını çıkarabilirsiniz.

NOT: Ekran görüntüleri hem SonicWALL hem de Mikrotik için halihazırda bir yapılandırma olduğu ve internet bağlantısının sağlıklı bir şekilde kurulu olduğu senaryosu üzerine anlatılmıştır. İki güvenlik duvarı için de WAN ip adreslerinin sabit olması gerekiyor.

Eğer bir sorunuz olursa ve bildiğim bir konuysa elimden geldiğince yardımcı olmaya çalışırım.

Umarım faydalı bir yazı olur.
mehmet

%d blogcu bunu beğendi: