Windows Server - NPS Kurallarındaki Kısıtlamalar (Constraints) #3

 

Merhaba. 

Bu konuda, NPS'teki kurallarla ilgili kısıtlamalar (Constraints) ayarlarını inceleyeceğiz.  

Authentication Methods kısmından bağlantı talebinde bulunan client'ların güvenilir bağlantı sağlayabilmeleri adına hangi kimlik doğrulama yöntemlerinden geçmeleri gerektiğini belirleyebilirsiniz. 

EAP Types kısmındaki Add butonu ile Smart card, sertifika, PEAP, EAP-MSCHAP v2 kimlik doğrulamalarını zorunlu hale getirebilirsiniz. 

Less secure authentication methods kısmından kimlik doğrulama işlemi için hangi doğrulama yöntemlerinin kullanılabileceğini belirleyebilirsiniz. Sadece Windows yüklü bilgisayarlar bağlantı yapacaklar ise, MS-CHAP v2 kullanmanız yeterli olacaktır. (Windows 2000 ve üzeri sistemler MS-CHAP v2 desteklemektedir.)

Parola geçerlilik süreleri dolmuş olan kullanıcılarınızın VPN bağlantısı yaptıkları esnada yeni parolalarını belirleyebilmelerini sağlayabilirsiniz. Bunun için user can change password after it has expired chackbox'ını işaretlemeniz gerekiyor. 

Idle Timeout ayarıyla client'larınızın boşta kalma süresini ayarlayabilirsiniz. Böylece hiçbir işlem yapmadan arka planda bekleyen client'larınız olduğunda bunların otomatik olarak belirlenen süre sonunda (dakika) disconnect edilmelerini sağlayabilirsiniz. 

Session Timeout ayarıyla client'larınızın maksimum ne kadar süre (dakika) VPN üzerinden bağlı kalabileceklerini belirleyebilirsiniz. Böylece client'larınızın yanlışlıkla uzun süre bağlı kalmalarını önleyebilirsiniz. 

Called Station ID ayarı geçmişte (Dial-up bağlantıların yapıldığı yıllarda) belirli bir sabit hattan gelen bağlantılara izin vermek için kullanılıyordu. (Bu özellik genellikle Site to Site VPN ile birlikte kullanılabilir.) Günümüzde ise belirli bir WLAN'dan gelen kullanıcıların VPN yapabilmesine izin vermek için kullanılabilir. NAS Port Type (IEEE 802.11)  ile birlikte bir constraint oluşturup kullanabilirsiniz. Bu konuyla alakalı örnek uygulama yapmayı şimdilik planlamıyorum. Burada örnek olarak kapalı bir ağ içerisinde yer alan sistemlerin bulunduğunu düşünün. Örneğin bir üniversitenin iç ağında güvenliği artırmak istiyorsanız, client'larınızın ortamın Wi-Fi ağına bağlandıktan sonra VPN yapabilmelerini sağlayabilirsiniz. Böylece dışarıdaki hiçbir sistem doğrudan VPN bağlantısı yapamazken, fiziksel olarak kurumun içinde yer alan ve kurumun Wi-Fi ağına bağlanmış olan client'lar VPN bağlantısı yapabilir duruma geleceklerdir. Bu şekilde önemli verilerin işlendiği bir ağ içerisinde çalışma yapılıyorsa eğer, fiziksel olarak da güvenliği attırmayı amaçlayabilirsiniz.

Day and time restrictions kısıtlamasıyla birlikle hangi gün ve saat aralıklarında VPN yapılacağını belirleyebilirsiniz. Bu kısıtlamayı Constraints yerine Conditions altında ayarlamanız daha mantıklı olacaktır. 

NAS Port Type kısmından bağlantı talebinde bulunan kullanıcılarınızın NAS'a (Network Access Server'a) hangi tür bağlantıyla erişim sağlayabileceklerini belirleyebilirsiniz. Biz, bu seri boyunca tunnel type olarak VPN'i kullanacağız.