Burak Sağlık – İnternet, Extranet,İntranet Kitabının Tümü
BEŞİNCİ BÖLÜM EXTRANET
5.1. Extranetin Tanımı
Ekstranet, bir işletmeyi, kendi tedarikçileri, müşteri ya da ortak hedefleri paylaştığı diğer işletmelerle bağlayan; bunu yaparken de internet teknolojilerini kullanan ve işbirliğine açık bir ağ olarak tanımlanabilir. Diğer şirketlerin de kullanımına açık ya da diğer şirketlerle işbirliğine olanak tanıyan bir intranet olarak da kabul edilebilir.
Internette her ne kadar bilgiler herkese açık olsa da işletmeler için bazı özel bilgiler olabilir. Bayiler, çözüm ortakları, taşeron işletmeler gibi işbirliği halinde olunan firmalarla mutlak surette bilgi alışverişi olacaktır. Eğer bu firma sayısı fazla ise, daha fazla çaba gerektirecektir. Bunun için ekstranet kullanımı gerekmektedir.
Dikkat edilecek olursa yukarıda sözü edilen intranet ve ekstranet kavramları internetin alt sistemi olarak kabul edilebilir. Dolayısıyla bunlar yeni bir teknoloji değil, değişen sadece işleyişi ve adıdır. Ancak bunlar birbirinin tamamlayıcısı olan bilişim teknolojileridir. Günümüzde dünyanın her yerindeki bilgilere anında ulaşmak mümkündür, ne var ki (hemen yanımızdaki, hatta içimizdeki) kurumsal bilgilere ulaşmada sorunlar yaşanmaktadır. Bunun içindir ki bu teknolojilerin kullanımı kurumsal bilgilerin paylaşılması ve örgütsel bilgi birikiminin artırılması açısından gereksinim vardır.
5.2. Extranet Erişimi
Bu konuda, IAS ve Yönlendirme ve Uzaktan Erişim hizmetinin bir extraneti desteklemek üzere nasıl kullanıldığı açıklanmaktadır. Extranet, bir kuruluş intranetinin, iş ortakları ile iletişimi kolaylaştırmak için kullanılan bir uzantısıdır. İş ortaklarına, Internet üzerinden sanal özel ağ (VPN) bağlantısı yoluyla kuruluşun intranetindeki kaynaklara sınırlı erişim sağlar. Bu, iş ilişkisinin hızını ve verimliliğini artırır. Kuruluşun, her biri kuruluş ağı içinde yalnızca belirli bir alt ağa veya adres kümesine erişim gereksinimi olan birçok iş ortağı vardır. Ağ erişim denetimi, belirli bağlantı kategorileri için IP paket filtreleri kullanılarak IP düzeyinde tanımlanır. VPN bağlantılarına uygulanan filtreler, uzaktan erişim ilkeleri kullanılarak belirtilebilir.
Bu konuda aşağıdakileri kullanan bir kuruluş extranetinin normal yapılandırması açıklanıyor:
İki IAS sunucusu.
RADIUS tabanlı kimlik doğrulamasında hataya dayanıklılık sağlamak için iki IAS sunucusu (bir birincil ve bir ikincil) kullanılır. Yalnızca bir RADIUS sunucusu yapılandırılır ve bu kullanılamaz duruma gelirse, VPN kullanıcıları bağlanamaz. İki IAS sunucusu kullanıp, tüm VPN sunucuları (RADIUS istemcileri) birincil ve ikincil IAS sunucuları için yapılandırılarak, RADIUS istemcileri, birincil RADIUS sunucusunun kullanılamaz olduğunu algılayabilir ve otomatik olarak onun yerine ikincil IAS sunucusu çalışabilir.
Active Directory etki alanları.
Active Directory etki alanları, IAS sunucularının kullanıcı kimlik bilgilerini doğrulamak, yetkilendirme ve bağlantı sınırlamalarını değerlendirmek için gereksinim duydukları kullanıcı hesaplarını, parolaları ve içeri arama özelliklerini içerir. IAS kimlik doğrulama ve yetkilendirme yanıtı sürelerini en iyi hale getirmek ve ağ trafiğini en düşük düzeye indirmek için, IAS, etki alanı denetleyicilerine yüklenir.
Özel uzaktan erişim ilkeleri.
Uzaktan erişim ilkeleri, grup üyeliğine göre, farklı iş ortaklarının farklı extranet kaynaklarına nasıl erişebildiğini belirtmek üzere yapılandırılır.
VPN sunucuları.
VPN sunucuları, Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition ve Windows 2000 ile Yönlendirme ve Uzaktan Erişim hizmeti çalıştıran bilgisayarlardan oluşur.
Şekil 17: İş ortakları tarafından extranete VPN tabanlı uzaktan erişim yapılandırması
5.3. Iş Ortakları İçin Extranet
Electronic, Inc. için ağ yöneticisi extranet oluşturmuştur ve bu güvenli hale getirilmiş VPN bağlantılarıyla iş ortaklarının kullanabileceği Electronic Inc. özel ağının bir parçasıdır. Electronic, Inc. extranet Electronic Inc. VPN sunucusuna iliştirilmiş ağdır ve bir dosya sunucusu ve Web sunucusu içerir. Parça dağıtıcıları Tasmanian Traders ve Parnell Aerospace, Electronic, Inc.’nin iş ortaklarıdır ve isteğe bağlı yönlendiriciden yönlendiriciye VPN bağlantıları kullanarak Electronic, Inc. extranet’ine bağlanır. İş ortaklarının yalnızca extranet dosya sunucusuna ve Web sunucusuna eriştiklerinden emin olmak için ek bir erişim ilkesi kullanılır.
Electronic Inc. extranet’indeki dosya sunucusu 172.31.0.10 IP adresi ile yapılandırılır ve Web sunucusu 172.31.0.11 IP adresi ile yapılandırılır. Tasmanian Traders, alt ağ maskesi 255.255.255.0 ile birlikte genel ağ kimliği 131.107.254.0’ı kullanır. Parnell Aerospace, alt ağ maskesi 255.255.255.0 ile birlikte genel ağ kimliği 131.107.250.0’ı kullanır. Extranet Web sunucusunun ve dosya sunucusunun iş ortaklarına ulaştığından emin olmak için, statik yollar 172.31.0.1 ağ geçidi adresi kullanan iş ortaklarının her birinin dosya sunucusunda ve Web sunucusunda yapılandırılır.
Yapılandırmayı basitleştirmek için, VPN bağlantısı tek yönlü kurulan bir bağlantıdır. Bağlantı her zaman iş ortağının yönlendiricisi tarafından başlatılır.
Şekil 18: Iş ortakları için extranet bağlantıları sağlayan Electronic Inc. VPN sunucusu
İş ortaklarını, isteğe bağlı, tek yönlü başlatılan, yönlendiriciden yönlendiriciye VPN bağlantılarını Tasmanian Traders ve Parnell Aerospace’yi VPN sunucusu için genel yapılandırma yapılandırılan ayarlara bağlı olarak Electronic, Inc. extranet’ine bağlamak amacıyla dağıtmak için, aşağıdaki ek ayarlar yapılandırılır.
5.3.1. Etki Alanı Yapılandırması
Tasmanian Traders’e VPN bağlantısı için, aşağıdaki ayarlarla PTR_Tasmanian kullanıcı hesabı oluşturulur:
•Parola: Y8#-vR7?]fI.
•PTR_Tasmanian hesabının çevirme özellikleri için, uzaktan erişim izni Uzaktan Erişim İlkesi aracılığıyla erişimi denetle olarak ayarlanır.
•PTR_Tasmanian hesabının hesap özellikleri için, Parola her zaman geçerli olsun hesap seçeneği etkinleştirilir.
•PTR_Tasmanian hesabı VPN_Partners grubuna eklenir.
Parnell Aerospace’ye VPN bağlantısı için, aşağıdaki ayarlarla PTR_Parnell kullanıcı hesabı oluşturulur:
•Parola: W@8c^4r-;2\.
•PTR_Parnell hesabının çevirme özellikleri için, uzaktan erişim izni Uzaktan Erişim İlkesi aracılığıyla erişimi denetle olarak ayarlanır.
•PTR_Parnell hesabının hesap özellikleri için, Parola her zaman geçerli olsun hesap seçeneği etkinleştirilir.
•PTR_Parnell hesabı VPN_Partners grubuna eklenir.
5.3.2. Yönlendirme Yapılandırması
Trafiğin Tasmanian Traders ve Parnell Aerospace iş ortaklarına geri gönderilmesi için, dosya sunucusundaki ve Web sunucusu bilgisayarlarındaki yönlendirme tablolarına ek yollar eklenir. Her iki bilgisayarda da, Windows Server 2003 komut isteminden aşağıdaki komutlar gönderilir.
• route -p add 131.107.254.0 mask 255.255.255.0 172.31.0.1
• route -p add 131.107.250.0 mask 255.255.255.0 172.31.0.1
5.3.3. Uzaktan Erişim Ilke Yapılandırması
İş ortağı VPN bağlantılarına kimlik doğrulama ve şifreleme ayarları belirlemek için, aşağıdaki uzaktan erişim ilkesi oluşturulur:
• İlke adı: VPN Ortakları
• Koşullar:
• NAS-Bağlantı Noktası-Türü Sanal (VPN) olarak ayarlanır
• Windows-Grupları VPN_Partners olarak ayarlanır
• Aranan İstasyon Kimliği 207.209.68.1 olarak ayarlanır
• İzin Uzaktan erişim izni ver olarak ayarlanır
• Profil ayarları:
• Kimlik doğrulaması sekmesi: Genişletilebilir Kimlik Doğrulaması Protokolü etkinleştirilir ve yüklü bilgisayar sertifikasını (makine sertifikası olarak da bilinir) kullanmak için Akıllı kart veya diğer sertifikalar (TLS) yapılandırılır. Ayrıca, Microsoft Şifreli Kimlik Doğrulama sürüm 2 (MS-CHAP v2) de etkinleştirilir.
• Şifreleme sekmesi: Yalnızca Güçlü ve En güçlü seçenekleri seçilidir.