Windows Server işletim sisteminindeki RDP (Remote Desktop Protocol)  servisi, Internet ortamında en çok Brute Force atak alan protokollerin başında geliyor. Zayıf parolalar, güvenlik yüzeyinin kısıtlanmaması ve konfigürasyon zayıflıklarından da bir çok atak başarılı olabiliyor. Hal böyle olunca sunucunuzu haberiniz olmadan başka kullanıcılarla, zararlı yazılımlarla paylaşabiliyorsunuz.

Bu makalese RDP protokolünü VPN servisi arkasına alarak Internet ortamından izole edeceğiz ve işletim sisteminin güvenlik yüzeyini azaltmış olacağız.

Windows Server 2012 R2 üzerinde VPN Servisini Kurmak

Öncelikle VPN sunucumuzu ayağa kaldıralım. Bunun için Windows Server üzerine “Remote Access” rolü altındaki Direct Access VPN özelliğini aktif hale getireceğiz. Bunun için PowerShell üzerinden aşağıdaki komutu çalıştırmanız yeterli.

Install-WindowsFeature DirectAccess-VPN, RSAT-RemoteAccess, RSAT-RemoteAccess-Mgmt, RSAT-RemoteAccess-PowerShell

Artık VPN ve yönetebileceğimiz arayüzler sunucu üzerine yüklendi. Yönetim için Routing and Remote Access’i kullanacağız. Biz daha çok komut isteminden ilerleyeceğiz. Bu işlemleri yapabileceğiniz arayüze

Başlat > Çalıştır > rrasmgmt.msc

komutu ile ulaşabilirsiniz.

randra

Kurulumlar tamamlandıktan sonra öncelikle RAS’ı aktif etmemiz gerekir. Aşağıdaki komut ile aktif hale getirin.

netsh ras set conf ENABLED

Ras aktif fakat Routing and Remote Service Windows lokal servislerinde Disabled olarak kaydedildiğinden çalıştırmak için auto ya almamız gerekiyor. Aşağıdaki komut auto olarak değiştiriyor.

sc config RemoteAccess start=auto

Servisi auto’ya aldıktan sonra başlatmamız için aşağıdaki komutu çalışırın.

net start RemoteAccess

Artık bize gerekli olan servisler kurulu ve çalışır vaziyete geldi.

VPN Konfigürasyonu

VPN servisine bağlandığınızda size bir IP adresi tahsis ediliyor. Bu tahsis edilen IP aralığını belirlememiz gerekiyor. Aşağıdaki iki komutu VPN servisine bağlanan kullanıcıların 10.0.0.0 ve 10.0.0.20 arasında bir IP adresi alabileceğini belirtir.

netsh ras ip add range from=10.0.0.0 to=10.0.0.20
netsh ras ip set addrassign POOL

Buradaki örnekde 21 IP var yani VPN servisini 21 istemci bağlanabilir anlamına gelir bu. İstemci sayınıza göre arttırmak size kalmış.

local_Property_rara

VPN’e bağlanan ve belirlediğimiz hazundan IP alan istemcilerin sunucunun uzak masaüstüne erişebilmesi  için  sunucuya bu havuzdan bir IP atamak gerekiyor.

Bu senaryoda 10.0.0.50 IP’sini sunucunun ethernet katına ekliyoruz. Çift ethernet kullandığınız senaryolarda ise (Local ve Public) Local interface’e VPN IP Adres aralığında belirlediğiniz ağ’dan IP’yi sunucuya atayabilirsiniz.

Bu işlemlerden sonra VPN servisine istemcilerin (client) ulaşabilmesi için Windows Firewall’ında aşağıdaki portlara izin vermek gerekiyor.

Sunucu Üzerindeki Firewall Kuralları

Bu yapıda kesinlike Windows’un varsayılan olarak aktif gelen Firewall’ı kapatmamanız gerekir. VPN servisinin dış dünya ile haberleşebilmesi için Firewall’a aşağıdaki kuralları girmemiz gerekiyor.

netsh advfirewall firewall add rule name="VPN Servisi TCP Allow" dir=in action=allow protocol=tcp localport=1723,1701,500
netsh advfirewall firewall add rule name="VPN Servisi UDP Allow" dir=in action=allow protocol=udp localport=500
netsh advfirewall firewall add rule name="VPN Servisi GRE Allow" dir=in action=allow protocol=47

wfmsc_01

Bu ayarlardan sonra VPN servisine Internet üzerinden herhangi bir istemci kimlik doğrulayabilir ve oturum açabilir hale gelecektir.

Windows 8 Üzerinden VPN Servisine Bağlanmak

VPN servisimize gerekli ayarlamaları yaptıktan sonra Windows 8 işletim sistemi üzerinden bağlanmak için yeni bir ağ bağlantısı ayarlanması gerekiyor. Bu işlemi arayüzden kolayca yapabileceğiniz gibi aşağıdaki komut ile de yapabilirsiniz.

Add-VpnConnection -Name "VPN MaestroPanel" -ServerAddress vpn.maestropanel.net -RememberCredential

* -ServerAddress parametresini kendi sunucunuzun host ismi veya IP adresini girmelisiniz.

vpn_connection_02

 VPN Üzerinden Uzak Masaüstüne Bağlanmak

Windows üzerinden VPN servisimize bağlandıktan sonra direkt Uzak Masaüstü programımızı çalıştırıp 10.0.0.50’ye bağlandığımızda artık VPN servisi üzerinden local ağdaymış gibi güvenli bir şekilde Uzak Masaüstü yapabiliyor duruma gelirsiniz.

mstsc /v 10.0.0.50

Bonus

3389 olan RDP portunuzu mutlaka değiştirmenizi tavsiye ederiz. RDP Portunuzu değiştirmek için aşağıdaki yönergeyi uygulayabilirsiniz. Aşağıdaki senaryo RDP portunuzu 3389’dan 5589’a değiştirir. Değişikliklerin aktif olması için sunucuyu yeniden başlatmanız gerekmektedir.

1. Başlat > Çalıştır > Regedit komutunu verikten sonra aşağıdaki anahtara erişin.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

2. PortNumber değerini 5589 yapın.
5586 TCP portuna erişmek için Firewall’da izin vermek gerekiyor. Aşağıdaki komutu çalıştırın.

netsh advfirewall firewall add rule name="Yeni RDP Portu Izni" dir=in action=allow protocol=tcp localport=5589

3. Sunucuyu Restart edin.

Yeni Port ile uzak masaüstü bağlantısı gerçekleştirmek için aşağıdaki komutu kullanabilirsiniz.

mstsc /v 10.0.0.50:5589

Yazar