Üç gün üç gece, aptal yazılım istemcisiz seçeneklerle SSL VPN'yi deniyorum. Kendini konumlandıran Hypersocket'in ne kadar harika bir seçenek olduğunu öğreniyorum.

Ale, Sourceforge'daki açıklamayı okurken önermeye tıklayın ki KURUCU tarayıcıdan erişim sağlandığında hesaba girmesin. Yani tse SSL VPN eşit bir ek üzerinde çalışıyor, ancak ne yazık ki, robot için Java motorunu kullanan ve akıllı bir widget ile yükleyen müşterisi temelinde gün başlatıldı. Ancak görünen basitlikle, şarap tıklayarak çalışmaz ve bağlantıyı kurmak için kurcalamanız gerekir, çünkü müşterinin ana sorunu, şarabın VPN sunucusunun 443 numaralı bağlantı noktasında kırılmasıdır, çünkü zor olabilir. Altyapının ortasında, yöneticiler tüm hafta sonlarını kesmek için paranoyaklaşıyor.

Sourceforge'da tanıtılacak mevcut ücretsiz sürüm 1.1'deki şarap ve ticari sürüm 2.0.5, 30 gün boyunca tamamen işlevsel bir denemede site dışından verilecektir. Tedarik zincirinin ilk ekseni bana tam olarak açık değil, sitedeki fiyat skalalarını bilmiyorum. Böylece, ürününüzden hemen etkilenmemeniz için, zaten her şeyi sabitlediyseniz ve prize taktıysanız, pis koku kıpırdayabilir.

Kuruluma başlamadan önce bir büfe olmanız gerekiyor, çünkü bilemedim, ancak sürüm 1.1, varsayılan kurulumda yaklaşık 450Mb'dir, bu yüzden neden Deshman's vpsk'de 200 ruble olduğumu çözemedim. sunucuları sürekli değiştirmek, hadi. 1Gb bellek ile bölgede her şey stabil ve tek bir genişleme olmadan yaşıyordu. Başka bir sürüm 600Mb RAM'e sahiptir.

Basitçe söylemek gerekirse, Oracle Java'nın standart danslarına saygı duymayın. , Gerekli tüm yolları, başka bir şey varsa, 2015 yılında ücretsiz bir sunucu önereceğiz:
# Wget https://sourceforge.net/projects/hypersocket-vpn/files/1.1.0-2269/hypersocket-vpn-gpl-linux-1.1.0-2269.rpm/download

veya site dışında Regal ve onlardan hypersocket-one-linux-2.0.5-3110.rpm alın

Neden paketi kuruyoruz?
# Rpm -i hypersocket-one-linux-2.0.5-3110.rpm

Bir şey olursa, paketin bir sonraki sürümünü başlatırız
hizmet hipersoket başlangıcı
ve https: // IP: 443'e giriş admin: admin ile bağlanın

bir arkadaş için
hipersoket-tek-konsol
veya https: // IP: 443 adresi için indirmeden önce web kurulumunu tamamlayacağım, sistem şifrelerini ayarlayacağım ve lisans dosyasını besleyeceğim

İçeri girip başka bir şeye erişebilirsen. Bence başka bir versiyon, ilk önce spritnish ve yabancı olarak düşünülür.

Danimarka VPN Sunucusu, daha önce de söylediğim gibi, özellikle uymuyorum, çünkü müşterinin varlığını uzak coristuvach tarafında aktarıyor, ancak her türlü eklenti özelliğini satın alabilirseniz, içindeki dosyalara erişebilirsiniz. yaku vngom, ftp birlikte, NFS birimleri, HTTP dosyaları ve diğerleri aracılığıyla sanal dosya sistemi; uzak web sunucusu için web sayfası yayıncısı; PIN kodlarından tek kullanımlık şifrelere kadar her türlü güvenlik özelliğini satın alıyorum; m'yazi, AS400, Google Business, LDAP aracılığıyla koristuvachami yönetimi.

Danimarka'da iki tür Koristuvalnicky VPN vardır:
SSL VPNі IPSec VPN ve onlardan gelen cildin kendi avantajları ve dezavantajları olabilir.

SSL VPN'in ana avantajı, uygulama kolaylığıdır: tüm tarayıcılar SSL'yi destekler, tüm ISS'ler geçer ve SSL'yi araya eklemez.
SSL VPN üzerinden her türlü erişim, kelimenin tam anlamıyla herhangi bir tarayıcıda ve herhangi bir platformda yapılabilir.

IPSec VPN, daha güvenli bir protokol olarak kabul edilir.

SSL ve TLS

Teknik literatürde daha sıklıkla SSL ve TLS'yi anlayabilirsiniz.

Protokolü ihlal etmek kriptografik protokoller Verilerin İnternet üzerinden güvenli bir şekilde iletilmesini sağlamak (e-posta, web'de gezinme, anlık mesajlaşma).
Protokoller gizlilik, bütünlük, kimlik doğrulama hizmetleri sağlar.
SSL ve TLS eşit şartlarda çalışır oturum katmanı OSI modelleri veya daha fazlası.
Protokoller galip gelebilir ortak anahtar altyapısı (PKI) yanı sıra bire bir simetrik anahtarların kimlik doğrulaması ve iletimi için sertifikalar.
Aynı şekilde, verileri şifrelemek için IPSec, muzaffer simetrik anahtarları kötü kokutur.

Tarayıcılara en güvenli aktarımlar, SSL veya TLS aracılığıyla yapılır.
SSL'nin arkasında Netscape tarafından geliştirilmiştir.
TLS, bir standart olduğu kadar SSL'nin daha da geliştirilmiş halidir. İnternet Mühendisliği Görev Gücü (IETF).
Örneğin, TLS 1.0, SSL3.0'ı temel alır.
SSL veya TLS'nin nasıl yenileceği, tarayıcıların kendileri tarafından bozulur: kısa TLS, SSL'ye de değiştirilebilir.

Bu sıralamada, SSL teriminin SSL veya TLS için kullanılabileceğini anlamak önemlidir.
Örneğin, Cisco SSL VPN, TLS'yi gerçekten yener.

SSL işlemleri

Ayrıca, güvenlik gerektiren çoğu çevrimiçi hizmette SSL kazanır.
İstemci, SSL kullanan banka sunucusuna bağlandığında ne olduğuna daha yakından bakalım:

• İstemci, sunucuya bağlantıyı inci IP adresi ve 443 numaralı bağlantı noktasında başlatır. Kural olarak, istemcinin IP'si ve bağlantı noktası 1023'ten düşüktür.
• Muzaffer bir standart TCP bağlantı süreci vardır. üç taraflı anlaşma
• İstemci bir SSL bağlantısı talep eder ve sunucu, intikam alınacak olan dijital sertifikasıyla yanıt verir. Genel anahtar hangi sunucu.
• Sertifikayı geri çeken müşteri, bekaretten suçludur: başka hiçbir sertifikaya güvenme.
  PKI mekanizmalarının çalışmaya başladığı yer burasıdır.
  Dijital bir sertifika CA tarafından imzalanmışsa, hangi istemcinin güvendiği + sertifikanın geçerli olduğu tarih + sertifikanın seri numarası listede yer almıyorsa sertifika iptal listesi (CRL)- müşteri sertifikaya güvenebilir ve kazanabilir Genel anahtar hangi sertifika.
• İstemci simetrik anahtar oluşturur paylaşılan sır, istemci ve sunucu arasındaki veri şifrelemesi için muzaffer olacak. İstemcinin şifrelemesine izin ver paylaşılan sır zaferlerden Genel anahtar ve sunucuyu aktarın.
• sunucu Özel anahtar, Simetrik anahtarın deşifre edilmesi paylaşılan sır.
• Rahatsız olan taraflar artık biliyor paylaşılan sır ve SSL Oturumunu şifreleyebilir.

Tipi SSL VPN

SSL VPN iki türe ayrılabilir:

• İstemcisiz SSL VPN- olarak da adlandırılır Web VPN'i. İstemci kurulumuyla ilgilenmez. Fırsat zincire vurulmuş.
• Tam Cisco AnyConnect Güvenli Mobilite İstemcisi SSL VPN İstemcisi- şirket ağına tam erişim sağlayan, istemciye yazılımın yüklenmesine izin veren tam SSL istemcisi

SSL VPN'i kurun

1. Anyconnect PKG dosyasını kopyalayın.
   aklımız anyconnect-win-3.1.08009-k9.pkg
2. pkg dosyasına atıfta bulunur ve Webvpn Anyconnect hizmetini içerir.
   

   webvpn anyconnect görüntü disk0: /anyconnect-win-3.1.08009-k9.pkg 1 dıştan etkinleştir2 anyconnect etkinleştir

3. SSL WebVPN trafiğini devre dışı bırak (muaf) dış arayüz ACL. ACL'ye izin kuralını eklememiz veya şu komutu kullanmamız gerekiyor:
   

   msk-asa-01 (yapılandırma) # sysopt bağlantı izni-vpn

4. Netlik için 80'den 443'e yönlendirebiliriz:
   

   http yönlendirme dışında2 80

5. çözünür IP adresi havuzu. Tsi adresleri uzaktaki coristuvachalar tarafından görülebilir.
   

   ip yerel havuz vpnpool_pool 192.168.93.10-192.168.93.254 maske 255.255.255.0

6. yaratıldı NAT muafiyeti arasındaki trafik için LAN ağı vpnpool'u birleştiriyorum. Bu arada, şifreli bağlantıların parçaları NAT'tan geçmekten suçlu değildir. NAT'ı kurmak için ASA zamanlarında Danimarka tığ işi gereklidir.
   nesne ağı vpnpool_obj

   nesne ağı vpnpool_obj alt ağı 192.168.92.0 255.255.255.0 nesne grubu ağı RFC1918_objg ağ nesnesi 192.168.0.0 255.255.0.0 RFC1918_objg RFC1918_objg hedef statik vpnpool_obj vpnpool_obj no-proxy-arp rota araması

7. Bölünmüş Tünel ACL'sini oluşturuyoruz, VPN üzerinden bağlandığında corystuvac'ların internette bir saat sörf yapabilmesine izin vermek için ayar verilir. Bu yapılandırma olmadan, tüm trafik tünele sarılır.
   

   erişim listesi split-tunnel_acl standart izin 192.168.10.0 255.255.255.0

   Bu kurulum, yalnızca RFC1918 ile aynı alandaki trafiği tünelleyecektir.

8. yaratıldı Grup ilkesi.
   Bir Grup İlkesi parçası oluşturabilir ve dış görünümde DNS sunucu adresleri, bölünmüş tünelleme ayarları, varsayılan etki alanı, protokol (SSL veya IPSec) vb. gibi öznitelikleri ayarlayabiliriz.

   grup ilkesi anyconnect_gp dahili grup ilkesi anyconnect_gp öznitelikleri dns-sunucu değeri 192.168.10.5 vpn-tünel-protokolü ssl-istemci ssl-istemcisiz bölünmüş-tünel-ilke tüneli belirtilen bölünmüş-tünel-ağ listesi değeri split-tunnel_acl webvpn anyconnect keep-installer kurulu anyconnect dpd-interval istemcisi 20 anyconnect sor yok varsayılan anyconnect

9. çözünür Tünel Grubu.
   ASDM arayüzündeki Tünel Grubuna Bağlantı Profili denir.
   Tünel Grubu, yalnızca Grup İlkesi oluşturduklarımızı ve IP adres havuzu ile paylaştıklarımızı dahil etmekten sorumludur.
   Bu tür birkaç grup oluşturabiliriz ve giriş yaparken kendimiz için gerekli özelliklere sahip Tünel Grubunu seçebiliriz: Grup İlkesi + adres havuzu için parametreleri bırak

   tünel grubu vpn-users_tg türü uzaktan erişim tünel grubu vpn-users_tg genel öznitelikler adres havuzu vpnpool_pool default-group-policy anyconnect_gp tünel grubu vpn-users_tg webvpn-attributes grup takma adı vpn_users-alias webvpn tünel grubunu etkinleştirir liste etkinleştir

   Komutun geri kalanı, adli tabiplerin tünel grubunu kendileri için seçmelerine izin verir.
   Koristuvachiv için "vpn_users-alias" adlarına bakmak için bir grup verilecektir.

Anyconnect zaten sipariş edilebilir, - bir yönetici hesabıyla giriş yapabilirsiniz.

SSL VPN İzleme

• ASDM: İzleme > VPN > VPN İstatistikleri > Oturumlar
• 3 CLI:
  

  vpn# uauth'u göster Mevcut En Çok Görülen Kimliği Doğrulanmış Kullanıcılar 1 + 1 Authen Devam Ediyor 0 0 uzaktan erişim VPN kullanıcısı "vpn_video_user1", 192.168.92.25, kimliği doğrulanmış erişim listesi # ACSACL # -IP-video_dacl-54ddc357 (*)

  vpn# erişim listesini göster erişim listesi önbelleğe alınmış ACL günlük akışları: toplam 0, reddedildi 0 (reddetme-akış-maks 4096) uyarı aralığı 300 erişim listesi split-tunnel_acl; 1 eleman; ad karma: 0xb6fb0e erişim listesi split-tunnel_acl satır 1 standart izin 192.168.10.0 255.255.255.0 (hitcnt = 0) 0x13482529 erişim listesi # ACSACL # -IP-video_dacl-54ddc357; 1 eleman; ad karması: 0x6c7d7b7f (dinamik) erişim listesi # ACSACL # -IP-video_dacl-54ddc357 satır 1 genişletilmiş izin ip any4 ana bilgisayarı 192.168.10.45 (hitcnt = 0) 0x4ce5deb8

  Kime iftira attığını merak ediyoruz

  vpn-sessiond özetini göster

  vpn-sessiond anyconnect'i göster

  VPN'li Wikiniti kullanıcısı:

  vpn-sessiondb oturum kapatma adı langemakj

VPN'ler hayatımıza ciddi anlamda girdi ve sanırım uzun süredir. Bu teknoloji, ofislerin tek bir kuruluşta birleştirilmesi veya bir sağlayıcı aracılığıyla İnternet'e erişirken evde olduğu gibi mobil çalışanların dahili bilgilerine erişim sağlamak için kuruluşlarda olduğu gibi muzafferdir. Obov'yazkovo yöneticileri için cildin, bu teknolojiyi internete erişimi olan bilgisayar bilgisayarının cildi gibi VPN kurulumuyla meşgul olduğu güvenle söylenebilir.

Aslında aynı zamanda IPSec VPN teknolojisi de büyük ölçüde genişletildi. Onun hakkında hem teknik hem de analitik olarak birçok farklı makale yazıldı. Ne yazık ki, yabancı şirketlerde zaten popüler olduğu için SSL VPN teknolojisi son zamanlarda ortaya çıktı, ancak Rusya'da henüz çok fazla saygı görmedi. Bu yazımda IPSec VPN'i SSL VPN'den farklı kılan özellikleri ve SSL VPN'in organizasyondaki avantajlarının neler olduğunu anlatmaya çalışacağım.

IPSecVPN

Her şeyden önce VPN'nin en yaygın amacına dikkat etmek istiyoruz - “VPN, güvenilir bağlantıları, düğümleri ve coristuvachiv'i güvenilemeyen açık ağlar üzerinden birleştiren bir teknolojidir” (© Check Point Software Technologies).

Her şeyden önce, güvenilir hub'lar bağlamında IPsec VPN en ekonomik yoldur. Örneğin, uzak ofislerin tek bir kurumsal hatta birleştirilmesi için video hatları döşemek veya kiralamak değil, İnternet üzerinden kazanmak gerekli. Sonuç olarak, tek bir IP alanı oluşturmaya güvenilen sistemler arasında tüneller çalınıyor.

Spivrobitniki IPsec çözümlerine uzaktan erişim düzenlenirken eksen, örneğin kurumsal coristuvachiv'deki dizüstü bilgisayarlar için sınırlı sayıda güvenilir ek bina için seçilir. IPsec VPN'i durdurmak için, BT hizmeti, güvenilir bir ek (uzaktan erişimi güvenli hale getirmek için herhangi bir ihtiyaç için) cilde yüklemek ve yamalamaktan ve bu ekin çalışmasını desteklemekten sorumludur. Bir IPsec çözümü kurarken, bir mobil istemcinin (dizüstü bilgisayar, PDA ve in.) cilt tipi için şirketler-müşteriler, erişim için bir destek ve bir kanal ile bağlamak için “bağlı” değişkenliğini güvenceye almak gerekir. farklı adres çeviri istasyonlarına) orijinal IPsec-istemci yapılandırması gerektirir.

Krim pidtrimki є kіlka daha da önemli problemler:

• Chi, şirkette ve VPN istemcilerinde kazanan tüm güvenilir mobil cihazlar için değildir;
• Erişimin mümkün olduğu farklı alt ağlarda (örneğin, bir kurumsal ortağın veya ortağın ağı), gerekli bağlantı noktaları kapatılabilir ve izinleri için ek hizmetlere ihtiyacınız vardır.

Bu tür sorunlara SSL VPN kullanılması neden olmaz.

SSLVPN - Robotik Koristuvach Algoritması

Diyelim ki tamirhanede yeniden satın aldınız, şirketiniz size bir saatliğine laptop veremedi. İhtiyacınız olan bira:

• Ofiste çalışma saatinizin altında, çalışma sürecini kaçırmazsınız;
• Elektronik posta göndermek ve almak;
• Şirketinizde işlevsel olan herhangi bir iş sisteminden verileri fethedin.

Onarıma geldiğiniz yerde, mümkün olan en kısa sürede parmaklarınızın ucunda, yalnızca http / https protokolü üzerinden İnternete erişimi olan bir bilgisayar var, en kötü durumda - otelinizdeki İnternet kafe.

SSL VPN tüm görevleri başarıyla yener, ayrıca güvenlik seviyesi İnternet kafelerden kritik bilgilerle çalışmak için yeterli olacaktır ...
Aslında, sonraki adımları kazanırsınız:

• Yalnızca Internet Explorer'a (Internet Explorer, FireFox, vb.) ihtiyacınız olacak;
• İnternet tarayıcısında, SSL VPN eklentisinin adresini yazın;
• Kimlik doğrulamanızı isteyen bir Java uygulamasını veya ActiveX bileşenini otomatik olarak indirecek ve çalıştıracaktır;
• Kimlik doğrulamadan sonra aşağıdaki güvenlik politikaları otomatik olarak ayarlanır:
  • shkіdlivy kodunda vykonuetsya yankı (bir kez göründüğünde engellenir);
  • bilgi işlemenin ortası kapalıdır - oturum tamamlandıktan sonra dahili medyadan aktarılan tüm veriler (zaman dosyaları dahil), erişimin reddedildiği bilgisayardan silinir;
  • Ayrıca, oturum sürecinde, zaferler ek koruma ve kontrol ile desteklenir;
• Güvenlik prosedürlerinin başarıyla tamamlanmasından sonra, gerekli tüm mesajlara “ayı ile tek tıklamayla” erişebileceksiniz:
  • Dosyaları sunucuya aktarma imkanı ile dosya sunucularına erişim;
  • Şirketin Web eklentilerine erişim (örneğin, bir dahili portal, Outlook Web Access, vb.);
  • Terminal erişimi (MS, Citrix);
  • Yöneticiler için araçlar (örneğin, ssh konsolu);
  • І, açıkçası, https protokolü üzerinden tam bir VPN olasılığı (VPN istemcisinin ileri kurulumuna ve ayarlarına gerek kalmadan) - yapılandırma, yalnızca kimlik doğrulama verilerinden önce, ofisten aracı olmadan aktarılır.

Bu şekilde, SSL VPN durması yasayı çiğniyor:

• Koristuvachivlerin yönetim ve destek sürecini önemli ölçüde basitleştirmek;
• Güvenilmeyen düğümlerden kritik bilgilere korumalı erişimin organizasyonu;
• Herhangi bir mobil müştemilatta ve ayrıca İnternet erişimi olan herhangi bir bilgisayarda (İnternet kioskları dahil) stosuvannya imkanı (ileriye dönük kurulumlar ve özel yazılımların özelleştirilmesi olmadan).

SSLVPN - hileler ve fırsatlar

Donanım çözümleri, SSL VPN pazarına hakimdir. SSL VPN için kurulum sonrası çözümler arasında - her türlü aktif eskrim çözümü:

• Cisco
• Huawei
• Ardıç
• Nokia
• І vb.

"Alatus" şirketinin fakhivtsy yazılım uygulamaları arasında, bazında çözümlere bakınız. SSL Gezginişirketler 3SP Ltd., Yake vekilin yardımını kesinlikle destekliyor.

Bu yüzden IPSec VPN ve SSL VPN yeteneklerinin denklik tablosunu vermek istiyorum:

Rusya'da SSL VPN

Bugün Rusya'da, SSL VPN teknolojisine dayalı şirketlerde uzaktan erişimi teşvik etmek için çok sayıda proje uygulandı. Ancak daha önce de söylendiği gibi, Rusya'daki bu teknoloji popülerliğini kazanana kadar, bu kararların yetiştiricileri Batılı şirketler arasında üzerlerindeki yüksek sudan bahsederken, o saatte.

Windows Server 2008'in SSL VPN sunucusu olarak kurulmasına ayrılmış bir dizi makalenin ilk bölümünde, Microsoft VPN ve VPN sunucularının geçmişine ilişkin gerçekleri anlattım. Önceki makaleyi önlemlerin bir açıklamasıyla bitirdik, bu nedenle bu ve serinin sonraki bölümlerinde, Vista SP1 istemcileriyle SSTP bağlantısını destekleyen VPN ağ geçidinde kazanacağız.

Her şeyden önce, üzgünüm, www.microsoft.com web sitesinde olduğu gibi Windows Server 2008 için SSTP z'ednan'ın oluşturulmasında çatlamanın varlığını bildiğim için üzgünüm. Bu makalenin, sertifikaların tanınması için kuruluşlarda galip geldiği için gerçekten iyi eğitilmiş bir kişiyi temsil etmediği başıma geldi. Ayrıca ve Microsoft çekirdeğinde bozulmayan bazı sorunlu anlar nedeniyle bu makaleyi yazmaya karar verdim. Yeniliklerden biraz haberdar olmanıza saygı duyuyorum, bu yüzden bu yazıda beni takip edeceksiniz.

En temelden başlayarak tüm detaylara bakmaya cesaret edemiyorum. Bu sunucuya bir etki alanı denetleyicisi kurduğunuzu ve DHCP, DNS ve Sertifika Hizmetleri rollerini etkinleştirdiğinizi düşünün. Sunucu sertifikasının türü Teşebbüsün sorumluluğundadır ve şirketinizde bir CA'nız olabilir. VPN sunucusu, her şeyden önce, adımları izlemeye devam ederek etki alanına bağlanmaktan sorumludur. İlk olarak, Vista istemcisi için SP1 güncelleme paketini yüklemeniz gerekir.

Çözümümüzün çalışması için sonraki prosedürleri izlememiz gerekiyor:

• IIS'yi VPN Sunucusuna yükleyin
• IIS Sertifika İstek Sihirbazını kullanarak VPN sunucusu için bir makine sertifikası isteyin
• RRAS rolünü VPN sunucusuna yükleyin
• RRAS Sunucusunu etkinleştirin ve yogayı VPN ve NAT sunucusu olarak çalışacak şekilde ayarlayın
• CRL yayınlama için NAT sunucusunu kurun
• Çevirmeli bağlantıda bir Kullanıcı Hesabı oluşturun
• CRL dizini için HTTP imzalamaya izin vermek için Sertifika Sunucusunda IIS'yi yapılandırın
• VPN istemcisi için HOSTS dosyasını ayarla
• VPN sunucusuyla iletişim kurmak için PPTP'yi etkinleştirin
• Enterprise CA'dan CA Sertifikası Alın
• İstemciyi SSTP kullanacak ve SSTP yardımı için VPN sunucusuna bağlanacak şekilde ayarlayın

IIS'yi bir VPN Sunucusuna Kurma

Bu prosedürle kendi başımıza neler yapabileceğimizi merak ediyor olabilirsiniz, bu yüzden bir güvenlik cihazına asla bir web sunucusu kurmamanızı tavsiye ederim. Garna'nın yeniliği, bir web sunucusunu bir VPN sunucusuna kaydetmediğimiz gerçeğidir, ona sadece bir günlüğüne ihtiyacımız var. Bunun nedeni, Windows Server 2008 Sertifika Sunucusu'nda yer alan kayıt sitesinin artık bilgisayar sertifikası talep etmeye uygun olmamasıdır. Aslında şarap gerekli değildir. Yine de bir bilgisayar sertifikasını iptal etmek için bir kayıt sitesi kazanamazsanız, her şey şöyle görünecektir, sertifika kaldırılmış ve yüklenmiştir, bu gerçekten doğru değil, sertifika yüklenmemiş.

Bu sorunların üstesinden gelmek için, muzaffer kuruluş CA'nın zaferini hızlandırıyoruz. Enterprise CA'yı kullanırken etkileşimli bir sertifika sunucusuna başvurabilirsiniz. IIS Sertifika İstek Sihirbazını kazanırsanız ve şimdi 'Etki Alanı Sertifikası' olarak adlandırılan etki alanı sertifikasını talep ederseniz, etkileşimli olarak bir bilgisayar sertifikası istemek mümkündür. Yalnızca bir Tarafın bir makineden Enterprise CA ile aynı etki alanına ait olmasını istemesiyle aynı şekilde mümkündür.
VPN sunucusuna IIS Web sunucusu rolünü yüklemek için aşağıdaki adımları izleyin:

1. Windows 2008'i açın sunucu Yöneticisi.
2. Konsolun sol panelinde sekmelere tıklayın roller.

1. Menüdeki Tisnemo Rol ekle sağ panelin sağ tarafından.
2. tütsü uzak tarafta Her şeyden önce.
3. Satırın yanına bir onay işareti koyun Web Sunucusu (IIS) tarafta Sunucu rollerini seçin. tütsü uzak.

1. Yan taraftaki bilgileri okuyabilirsiniz. Web Sunucusu (IIS), Kafan karışıyor. Bir web sunucusu olarak IIS 7 hack'i hakkında temel bilgileri paylaşmaya değer, ancak IIS web sunucusunu bir VPN sunucusunda hacklemeyi seçmiyoruz, bu bilgiler bizim durumumuzda eski değil. tütsü uzak.
2. tarafta Rol Hizmetlerini Seçin birkaç seçenek zaten seçilmiştir. Ancak, kilitleme seçeneklerini kazansanız bile Sertifika Talep Sihirbazı'nı hızlandıramazsınız. En azından sistemi test ettiğimde böyleydi. Sertifika İstek Sihirbazı için hizmet rolü yok, bu yüzden dış görünüm seçeneğinin yanına bir onay işareti koymaya çalıştım Bezpeka, ben, daєtsya, spratsyuvalo. Zrobit kendi içinde aynı ve basın uzak.

1. Yandaki bilgilere bakın Ayar seçiminizi onaylayın ve bas sokmak.
2. basmak kapat tarafta kurulum sonuçları.

IIS Sertifika İstek Sihirbazını kullanarak bir VPN sunucusu için Makine Sertifikası İsteme

Sonraki adım, VPN sunucusu için bir makine sertifikası istemektir. VPN sunucusunun, SSL VPN istemci bilgisayarıyla bir SSL VPN bağlantısı oluşturmak için bir makine sertifikasına ihtiyacı vardır. Sertifikanın başlık adı, VPN istemcisinin bilgisayarla SSL VPN ağ geçidiyle iletişim kurmak için kullanacağı adı belirtmekten sorumludur. Bu, sertifikadaki ad için VPN sunucusunun dış IP adresine izin verecek bir genel DNS kaydı oluşturmanız gerekeceği veya VPN sunucusunun önüne NAT IP adresleri ekleyeceğim, böylece iletmeniz gerektiği anlamına gelir. SSL VPN sunucusuna yapılan çağrı.

Bir SSL VPN sunucusuna makine sertifikası istemek için aşağıdaki adımları izleyin:

1. AT sunucu Yöneticisi, Yangın sekmesi roller sol panelde ve ardından sekmeyi genişletin Web Sunucusu (IIS). Tıklamak .

1. konsolda İnternet Bilgi Hizmetleri (IIS) Yöneticisi, Sol panelde sağ elle nasıl görünecek, sunucu adına tıklayın. Kimin uygulamasının bir sunucusu olacak W2008RC0-VPNGW. simgesine tıklayın sunucu sertifikası IIS konsolunun sağ bölmesinde.

1. Konsolun sağ panelinde, yanda kabartmalı Bir etki alanı için sertifika oluşturun.

1. Yan taraftaki bilgileri girin İsmin gücünün şarkıları. Buradaki en önemli nesne olacak Zagalna im'ya. Bunun uğruna, VPN istemcileri bir VPN sunucusuna bağlanmayı kazanacak. Ayrıca, VPN sunucusunun uygun arayüzünü tanıyabilmeniz için bu ad için genel bir DNS kaydına ihtiyacınız var, yoksa VPN sunucusunun önüne genel bir NAT adresi ekleyeceğim. Kimin poposuna mi vikoristovuemo zagale im'ya sstp.msfirewall.org. Daha sonra, adı hemen tanıyabilmemiz için VPN istemcisinin bilgisayarında bir HOSTS dosyası girişi oluşturacağız. tütsü uzak.

1. Düğme yanda kabartmalı vibrati. diyalog penceresinde Eski sertifikaları seçin, Enterprise CA adına Tisnemo TAMAM. Arka arkaya dost isimleri tanıtıyoruz dostça isim. Kimin kıçında zaferle im'ya SSTP Sertifikası, Schob asalet, SSTP VPN ağ geçidi için scho vykoristovuetsya.

1. tütsü bitiş tarafta Etkileşimli dzherelo sertifikaları.

1. Usta fırlatacak ve sonra bileceğiz. Lütfen bana sertifikanın IIS konsolunda nasıl görüneceğini söylerseniz. Sertifikadaki isme tıklayın ve bölümdeki isme bakın için tanınan, Ve şimdi sertifika için geçerli özel bir anahtarımız var. tütsü TAMAM, İletişim kutusunu kapat sertifika.

Artık sertifikamız olduğuna göre, RRAS Sunucu Rolünü kurabiliriz. Zaten önemli olanlara saygı gösterin sertifika ekle RRAS Sunucu Rolünü yüklemeden önce. Hiçbir şey yapmazsanız, kendi büyük baş ağrılarınızı çekeceksiniz ve sertifikayı SSL VPN istemcisine bağlamak için katlanmış komut satırları rutinini yenmeniz gerekecek.

RRAS Sunucusu Rolünü VPN sunucusuna yükleme

RRAS Sunucu Rolünü yüklemek için aşağıdaki adımlara ihtiyacınız vardır:

1. AT sunucu Yöneticisi, sekmesine tıklayın roller konsolun sol panelinde.
2. Bölüm Küresel roller kuvvete bas Rol ekle.
3. basmak uzak tarafta Her şeyden önce.
4. tarafta Sunucu rollerini seçin satırın yanındaki kutucuğu işaretleyin. basmak uzak.

1. yandaki bilgileri okuyun Erişim ilkeleri ve hizmetleri. Çoğu zaman, Ağ İlkesi Sunucusu (eskiden İnternet Kimlik Doğrulama Sunucusu olarak adlandırılırdı ve esasen bir RADIUS sunucusuydu) ve NAP dahildir, ancak bizim durumumuzda öğeler özelleştirilemez. hücum uzak.
2. tarafta Hizmet rollerini seçin satırın yanına bir onay işareti koyun Yönlendirme ve uzaktan erişim hizmetleri. Sonuç olarak, puanlar seçilecek Uzaktan erişim hizmetleriі yönlendirme. tütsü uzak.

1. tütsü sokmak vikni'de Seçilen kurulumları onaylayın.
2. tütsü kapat tarafta kurulum sonuçları.

VPN ve NAT sunucu kapasitesinde RRAS Server aktivasyonu ve yogo kurulumu

Artık RRAS rolü yüklendiğine göre, Windows'un eski sürümlerinde yaptığımız gibi RRAS hizmetlerini etkinleştirmemiz gerekiyor. VPN sunucu işlevini ve NAT hizmetini etkinleştirmemiz gerekiyor. VPN sunucu bileşeninin etkinleştirilmesiyle her şey netleşti, ancak NAT sunucusunu etkinleştirmek için gerekli olduğunu söyleyebilirsiniz. NAT sunucusunu etkinleştirmenin nedeni, arayan istemcilerin CRL'yi almak için Sertifika Sunucusuna erişimi reddedebilmeleridir. Bir SSTP VPN istemcisi CRL'yi yakalayamazsa, SSTP VPN onu yakalamaz.

CRL'ye erişime izin vermek için VPN sunucusunu bir NAT sunucusu olarak yapılandırmamız ve NAT'ı tersine çeviren CRL'yi yayınlamamız gerekiyor. Kenarlı şirkette, her şey için daha iyi, sertifika sunucusunun önünde örneğin ISA Güvenlik Duvarı gibi güvenlik duvarlarına sahip olacaksınız, böylece CRL'leri güvenlik duvarlarının arkasında yayınlayabilirsiniz. Ancak bu durumda VPN sunucusundaki Windows Güvenlik Duvarı güvenlik duvarı ile aynı olacak tek bir güvenlik duvarı, bu durumda NAT sunucusu olarak bir VPN sunucusu kurmamız gerekiyor.

RRAS hizmetlerini etkinleştirmek için aşağıdaki adımlara tıklayın:

1. AT sunucu Yöneticisi sekmeyi aç roller konsolun sol panelinde. sekmeyi aç İlke ve Erişim Hizmetlerini Birleştirme ve sekmeye tıklayın. Depozitoya sağ tıklayın ve Yönlendirmeyi ve uzaktan erişimi kurun ve etkinleştirin.

1. basmak uzak vikni'de Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazına Hoş Geldiniz.
2. tarafta yapılandırma bir seçenek seç Sanal özel ağlara ve NAT'a erişim ve bas uzak.

1. tarafta VPN bağlantısı bölümde NIC'yi seçin arayüzler, VPN sunucusunun mevcut arayüzünü temsil ediyorum. hadi basalım uzak.

1. tarafta Atanan IP adresi bir seçenek seç otomatik olarak. VPN sunucusunun arkasındaki etki alanı denetleyicisinde yüklü bir DHCP sunucumuz olması için bu seçeneği seçebiliriz. Bir DHCP sunucunuz yoksa, seçeneği belirlemeniz gerekecektir. Adres listesinden, Ardından, VPN istemcilerinin bir VPN ağ geçidi aracılığıyla bir ağa bağlandıklarında kazanabilecekleri adreslerin bir listesini ekleyin. tütsü uzak.

1. tarafta dekilkoh sunucuları için uzaktan erişim yönetimi seçilebilir Hі, vikoristovuvaty yönlendirme ve kimlik doğrulama istekleri için uzaktan erişim. NPS veya RADIUS sunucuları mevcut değilse, bu seçenek vikoristovuєmo'dur. Oscillki VPN sunucusu etki alanının bir üyesidir, etki alanı için ilgili kayıtları doğrulayabilirsiniz. VPN sunucusu bir etki alanına ait değilse, yalnızca VPN sunucusunun yerel bulut kayıtları yenebilir, bu nedenle NPS sunucusunu yenemezsiniz. İleride NPS sunucu kazanımı hakkında bir yazı yazacağım. tütsü uzak.

1. Yandaki ana bilgileri okuyun Yönlendirme ve uzaktan erişim kurulumunun robotik yöneticisinin tamamlanması ve bas bitiş.
2. basmak TAMAM diyalog penceresinde Yönlendirme ve uzaktan erişim, Yake size DHCP ve vymagaє ajanı rozpodіlu DHCP rozpodіl olanlar hakkında bilgi vermek için.
3. Konsolun sol panelindeki sekmeyi açın Yönlendirme ve uzaktan erişim ve ardından sekmelere tıklayın şımartmak. Orta panelde, SSTP için etkinleştirilmiş WAN Miniport'un artık mevcut olduğunu görebilirsiniz.

CRL'leri yayınlamak için bir NAT sunucusu kurma

Daha önce söylediğim gibi, VPN sunucusundaki sunucu sertifikasının sahte olmadığını veya tıklanmadığını doğrulamak için CRL'yi yakalayabilmek SSL VPN istemcisinin hatasıdır. Bu amaçla, CRL dağıtımı ile ilgili HTTP isteklerini Sertifikasyon Sunucusuna göndermek için sertifika sunucusunun önündeki ekleri düzeltmek gerekir.

CRL'yi yakalamak için SSL VPN istemcisinin hangi URL'ye bağlanması gerektiğini nasıl bilebilirim? Bu bilgiler sertifikanın kendisinde bulunur. Tekrar VPN sunucusuna giderseniz ve daha önce yaptığınız gibi IIS konsolundaki sertifikaya çift tıklarsanız bu bilgiyi öğrenebilirsiniz.

Düğmedeki Tisnemo detaylar sertifika üzerinde ve kayıttan önce yeniden yakıldı CRL ile eşleşen noktalar, qiu kaydında Potim tisnemo. Alt panel, bu lekelere erişim için galip gelen protokole bağlı olarak roznіlu'nun farklı noktalarını gösterir. Aşağıdaki küçük kutuda gösterilen sertifika, SSL VPN istemcisine URL aracılığıyla CRL'ye erişim vermemiz gerektiğini gösteriyor:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Çağıran VPN istemcilerinin bu adı IP adresine getirebilmesi veya ekleyebilmesi için bu ad için genel DNS kayıtları oluşturmak da gereklidir; bu, sertifika sunucusunun web sitesine erişmek için ters NAT veya ters proxy'yi kaldıracaktır. . Kimin kıçında aramamız gerekiyor win2008rc0-dc.msfirewall.org VPN sunucusunun orijinal arayüzünde bir IP adresi ile. Bağlantı VPN sunucusunun dış arayüzüne ulaştığında, VPN sunucusu NAT isteğini sertifika sunucusuna iletir.

Güvenlik duvarı uzantıları kullanıyorsanız, örneğin ISA Güvenlik Duvarı, CRL sitelerini güvenli, açık erişimde yayınlayabilirsiniz. sadece tüm siteye değil, CRL'ye. Ancak bu yazımda kendime RRAS NAT gibi basit bir NAT ekleyebilirim.

Kilitleme için CRL sitesinin adını kullanmanın daha az güvenli bir seçenek olabileceği veya İnternet'teki özel bir bilgisayarın parçaları olabileceği unutulmamalıdır. Bir coryistuvacha için benzersiz olması için bir CDP (CRL Dağıtım Noktası) oluşturabilirsiniz, ancak CA'nızın özel adını genel bir DNS kaydında ifşa etmenin güvenli olmayan sonuçlara yol açabileceğini de umursarsınız.

RRAS NAT'ı HTTP isteklerini sertifika sunucusuna yönlendirecek şekilde yapılandırmak için aşağıdaki adımları izleyin:

1. Sol panelde sunucu Yöneticisi sekmeyi aç Yönlendirme ve uzaktan erişim, Ve sonra sekmeyi açın IPv4. sekmesine tıklayın NAT.
2. katkıda bulunanda NAT konsolun orta panelindeki arama arayüzüne sağ tıklayın. Bu uygulamada, modern arayüzün adı Yerel bağlantı. Tıklamak yetki.

1. Diyalog penceresinde, yanındaki kutuyu işaretleyin Web Sunucusu (HTTP). Tse vikliche diyalog vikno düzenleme hizmeti. metin satırında özel adresler dahili önlem için sertifika sunucusunun IP adresini girin. basmak TAMAM.

1. basmak TAMAM diyalog penceresinde Güç Yerel Alan Bağlantısı.

Artık NAT sunucusu çalışır durumda olduğuna göre, odağımızı CA sunucusunu ve SSTP VPN istemcisini kurmaya kaydırabiliriz.

visnovok

Bu makalelerde, bir SSL VPN sunucusu kurma, Windows Server 2008'de ince ayar yapma hakkında konuşmaya devam ettik. Bir VPN sunucusuna IIS kurmayı, bir sunucu sertifikası kurmayı ve kurmayı, bir VPN sunucusunda RRAS ve NAT servislerini kurmayı ve kurmayı inceledik. . Bir sonraki yazıda, nihayet CA sunucusu ve SSTP VPN istemci ayarlarına bakacağız. Cehenneme! Ses.

| Yayınlar listesine

SSL VPN yardımıyla uzaktan ele geçirme erişimi

Boris Borisenko, uzman

TEKNOLOJİ VPN, bir casus yazılımın fiziksel olarak uzak bir noktadan yerel bir kuruluşa güvenli erişimini sağlayan bir zasib olarak geniş bir genişlik kazanmıştır. SSL tabanlı VPN çözümleri, IPsec VPN yardımıyla uzaktan erişim için tamamlayıcı ve alternatif bir teknoloji olarak geliştirildi. Ancak, güvenli kanalların organizasyonunun çok yönlülüğü ve çok yönlülüğü, SSL VPN tarafından harika bir teknoloji ile bağlantıyı kopardı. SSL VPN yoğunlaştırıcıların kendi gelişmiş yetenekleri olabilir (geleneksel VPN cihazlarıyla karşılaştırıldığında). Daha büyük aracı ekranlar, bağlantı noktaları, ağ adresi çevirisi (NAT) ve aracı yönlendirme aracılığıyla İnternet'te Web eklentilerinin yayınlanmasını güvence altına alacak, ancak verilerin zaman içinde kriptografik olarak korunmasını sağlamayacaktır, bu nedenle güvenli eklentiler. IPsec VPN Muhabirleri, yerel bir ağa doğrudan bağlantılara benzer şekilde bir şirket ağına bağlantılar kurabilir. Bununla, VPN sunucusu ve istemci arasında iletilen tüm veriler şifrelenir. Ancak, büyük VPN uzantıları için özel bir istemci programı gereklidir. Bir SSL VPN yoğunlaştırıcısında, tarayıcı uzak tarayıcılara yalnızca dahili web sitelerine değil, aynı zamanda eklentilere ve dosya sunucularına erişmek için kullanılır. SSL VPN sunucularına uzaktan erişim düzenlemek için en iyi çözümlere bir göz atalım.

ZyWALL SSL 10

Bu, SSL şifreleme desteğine sahip sanal bir özel ağ geçididir ve istemci bölümünü öne yüklemeden bir VPN bağlantısı üzerinden bir ölçüye ve eklentilere güvenli uzaktan erişim düzenlemenizi sağlar. Bağlanma, küçük ve orta ölçekli işletmeler için teşvik edilmektedir.

İnternete bağlanmak veya DMZ aktarımları için WAN arayüzü, bir LAN bağlantı noktasına geçiş, bir RS 232 DB9 bağlantı noktası - konsol aracılığıyla kontrol için (bu eklentide daha az olasılık vardır, aynı ZyWALL 1050'de daha düşük). ZyWALL SSL 10, yalnızca dahili güvenlik duvarı veritabanlarına doğrudan erişimi desteklemekle kalmaz, aynı zamanda Microsoft Active Directory, LDAP ve RADIUS ile çalışır. Ek olarak, iki faktörlü kimlik doğrulamayı kullanmak mümkündür (ZyWALL OTP yardımıyla).

Kurumsal ağ kaynaklarına doğrudan erişim, SecuExtender istemcisi kullanılarak uzak bir kaynaktan bilgisayarda oturum açılarak güvence altına alınır. Yöneticilerin izniyle, IPsec yardımı için ağ tünellerini kolayca düzenlemek mümkün olacaktır. Ayrıca yöneticiler, muhabir grupları, bir dizi adres veya diğer ekler için güvenlik ilkelerini yapılandırabilir.

ZyWALL SSL 10, 25 SSL oturumuna kadar artırma olasılığı ile bir saatlik 10 ele geçirme oturumunu destekler. Eklerin kenarlarında, mevcut ağ geçidinin arkasında (Şekil 2) veya yeni bir ağ geçidi olarak (Şekil 3) vicorist yapmak mümkündür. ZyWALL SSL 10'un ilk türü için gelişmiş güvenlik için DMZ bağlantı noktasına bağlanabilirsiniz. Diğeri modeme bağlıdır ve Web sunucusu ZyWALL'a bağlıdır. Web sunucusundan uzaktaki coristuvachev'e giden trafik VPN tünelinden geçer.

Seçenekler arasında TLS protokolünü, şifrelemeyi, sertifikaları - 256-bit AES, IDEA, RSA, hashing - MD5, SHA-1'i seçebilirsiniz. Elektrik fişi (herhangi bir priz ve merez için) için harika bir nozul seçimi yapmak özel bir özelliktir.

Netgear ProSafe SSL VPN Yoğunlaştırıcı SSL312

Ek, kurumsal bir hesapla aynı anda 25'e kadar uzak istemciyi işlemenize olanak tanır. Avantajlardan yararlanılabilen ve doğrudan ek binaya kurulabilen ActiveX bileşenlerinin yardımına güveniyoruz.

Ancak istemci, diğer ActiveX bileşenlerini kurmak için sisteme yönetici ayrıcalıklarıyla erişmekten sorumludur. Ayrıca tarayıcıdaki ayarlar, ActiveX bileşenlerinin kullanımına izin veren ayarlardan kaynaklanmaktadır. Ayrıca bir Windows güncellemesi yüklemeniz gerekebilir. Donanım güvenliği, iki LAN bağlantı noktası ve bir seri bağlantı noktası içerir. Oturum açarken, kimlik doğrulama seçeneği seçilir: Koridorların veritabanı, Windows NT etki alanı, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). Uzaktan erişimle erişildiğinde, sunucu hala hatalıdır, ancak hala kullanılabilir durumdadır ve trafik yönlendirmesi hala hatalıdır.

DRAM belleği hem Netgear SSL312'de hem de ZyWALL SSL 10'da hala mevcut olsa da, Netgear'ın flash belleğinin güvenliği açıkça ihlal edilmiştir (16'ya karşı 128 MB). Net-gear SSL312 işlemcisi de bir ZyWALL programıdır (şifreleme hızlandırıcılı 200'e karşı 266). Netgear SSL312'de ZyWALL, SSL protokolünün 2.0 sürümünü destekler.

Vikoristannya'nın iki çeşidini ekleyebilirim. İki Netgear SSL312 Ethernet bağlantı noktasından ilki yalnızca birini kazanır. Ağ geçidi, HTTPS üzerinden Netgear SSL312'ye erişim sağlamaktan sorumludur. Başka bir seçenek de, SSL trafiğinin arabirim ekranından geçmemesi için Netgear SSL312 Ethernet bağlantı noktasını geçersiz kılmaktır. Eklentinin bir Ethernet portuna kapalı bir IP adresi, diğerine ise dahili ağın kapalı bir IP adresi atanır. Lütfen Netgear SSL312'nin NAT ve MCE işlevlerini bozmadığını veya değiştirmediğini unutmayın.

Uzak yerel saçaktaki eskrim hizmetleriyle çalışmak için iki seçenek sunulur: arka kapı ile uzantı arasına kurulan bir VPN tüneli veya bağlantı noktası iletme (Port Yönlendirme). Kırılmak, kazançlar ve eksiklikler elde etmenin bir yoludur. VPN tüneli, uzak bir yerel ağdan tam bir arama düzenlemenize izin verir, ancak bununla birlikte bir cilt hizmeti için arama yapmanıza izin vermez. Bağlantı noktası iletme yalnızca TCP bağlantılarına izin verir (UDP ve diğer IP protokolleri desteklenmez), dış görünüm programları için kurallar tamamdır.
Netgear SSL312'deki dinamik DNS desteklenmez, bu da kısadır.

SSL VPN Ardıç Ağları Güvenli Erişim 700

SSL VPN yardımının arkasındaki uzaktan erişim çözümü de küçük ve orta ölçekli şirketler için ayrılıyor. Arayüz, bir koristuvach'ın yanı sıra Web tarayıcısındaki kuruluşların yöneticisi gibidir. Uzak bir bilgisayara bir VPN istemcisi kurmak gerekli değildir. İki RJ-45 Ethernet bağlantı noktası ve bir seri bağlantı noktası sağlanır. Juniper SA 700, bilgisayarın uzaklığını otomatik olarak kontrol eder ve kurulan yazılımın sonuçlarına bağlı olarak farklı erişim hakları uygular.

Bina desteği en fazla 25 bir saatlik çalışma coristuvachiv değildir. Kimlik doğrulama ve yetkilendirme için aşağıdaki seçenekler mevcuttur: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, sertifika sunucusu. Eklenti dosya kaynaklarına erişim sağlar Windows / SMB, Unix / NFS, JavaScript, XML, Flash dahil Web eklentileri; Telnet ve SSH protokolleri tarafından desteklenir. Kurumsal e-postaya erişim, SSL protokolü aracılığıyla Juniper SA 700'e güvenli bir şekilde bağlanabilen standart bir posta istemcisi temelinde düzenlenir. Ancak bunun için bir "Çekirdek İstemcisiz Web Erişimi" lisansına ihtiyacınız vardır.

Juniper SA 700, yenisi anti-virüs yazılımı, kişisel MCE ve güvenlik sağlayan diğer programları yüklediği için uzak bir bilgisayarın otomatik taramasını iletir. Oturum için gerekli tüm proxy sunucu ve zaman dosyaları, oturum sona erdikten sonra silinir.