Asıl konumuza giriş yapmadan önce HTML5 teknolojisine ufak bir girizgah yapalım.
HTML5, web siteleri oluşturmak için kullanılan hiper-metin işaretleme dilinin son sürümüdür. Önceki sürümleri ile aynı özellikleri sunmakla birlikte daha bir çok yeni özellikleri beraberinde getirmektedir. Bunlardan bazılarını sıralayacak olursak:
- Detaylı işleme modelleri içerir.
- Standart yazım dilini ilerletir, geliştirir ve rasyonalize eder.
- Kompleks web uygulamaları için API’ler sunar.
- Çok platformlu mobil uygulamalar için potansiyel adaydır.
- Üçüncü parti yazılımlara ve eklentilere ihtiyaç duymadan multimedya ve grafik görüntüleri oynatabilir.
Gelmiş olan bu yeni özellikler sayesinde artık hedef sistemlere HTML5 ile bağlantı yapmak mümkün hale gelmiştir.
Birçok kuruluş, güvenlik gereksinimleri veya regülasyonlar nedeniyle son kullanıcı makinalarından RDP istemcisini (protokol/port) engellemektedir. Bu sebeptendir ki uzak sistemlere bağlantıların güvenli yolu HTML5 ile yapılmaktadır. Bağlantılar Web Tarayıcısı üzerinden yapılacağından herhangi bir RDP istemcisi ya da üçüncü parti yazılıma ihtiyaç duyulmaz. Bu sayede işletim sistemi farkı gözetmeksizin masaüstü ve hatta mobil cihazlarla da hedef sistemlere bağlantı sağlamak mümkündür.
Avantajları:
- Tüm tarayıcılar için birleşik deneyim sağlar.
- İşletim sistemi bağımsızdır.
- Tarayıcısı olan her akıllı cihaz ile bağlantı yapabilme desteği sunar.
- Eklentiye ihtiyaç duymaz. (Adobe Flash Player vs)
- Öncesinden uygulama kurulumu ve yapılandırmasına ihtiyac yoktur.
- Mimariyi basitleştirir, RD Ağ geçidi ihtiyacını ortadan kaldırır.
- Harici kullanıcılar için kullanım kolaylığı sağlar.
- SSL-VPN konusu masada olduğunda kolaylık sağlar.
Dezavantajları:
- Bağlantı Web Browser üzerinden sağlandığından dosya transferinde direkt olarak kopyala / yapıştır yapılamamaktadır.
- Yine aynı şekilde Clipboard direkt olarak desteklenmemektedir.
Her iki madde için de CyberArk dolaylı yoldan çözüm yolu sağlamaktadır.
İşte tam da bu noktada CyberArk, bize ayrıcalıklı hesaplar ile izole şekilde hedef sistemlere HTML5 vasıtasıyla bağlanmamıza olanak sağlıyor. Aşina olduğumuz CyberArk PSM bağlantılarında olduğu gibi HTML5 GW üzerinden sistemlere bağlantı sağladığımızda da oturum kayıt altına alınıyor ve kullanmış olduğumuz komut ya da çalıştırmış olduğumuz process’lerin de ayrıca kaydı plain text olarak tutuluyor.
CyberArk ekosisteminde bulunan RDP, ActiveX ve HTML 5 teknolojilerini aşağdaki tabloda inceleyebiliriz:
| Method | Açıklama |
| RDP Dosyası | – Windows veya Mac ortamında CyberArk PVWA ara yüzünden bağlantı sağlanırken kullanılabilir. – Bu yöntem, kullanıcıdan bir RDP dosyası indirmesi istenir ve bağlantıyı kurmak için indirilen bu dosyayı açması gerekir. – *.rdp uzantılı dosyayı açabilmesi için kullanıcı cihazında RDP istemcisi bulunmalıdır. – İstemciden PSM sunucusuna / sunucularına 3389 RDP kuralının tanımlı olması gerekmektedir. |
| ActiveX | – Sadece IE tarayıcısı üzerinden bağlanırken, Windows RDP ActiveX ile kullanılabilir. – CyberArk PVWA v10 ara yüzünde desteklenmez. |
| HTML5 | – Windows, Mac veya Unix / Linux masaüstlerinden, akıllı telefon ya da tabletler ile PVWA ara yüz üzerinden bağlanırken kullanılabilir. – PSM üzerinden uzak bir makineyle bağlantı kurmak için yalnızca bir web tarayıcısına ihtiyacınız vardır. |
(Tablo 1.1)
Aşağıdaki diagramda görüleceği üzere kullanıcı, CyberArk PVWA (Password Vault Web Access) arayüzünden ayrıcalıklı hesaba bağlan butonuna tıkladıktan sonra istek HTML5 GW’ine WebSocket (port 443) üzerinden yönlendirilmekte ve sonrasında HTML5 GW bu isteği RDP protokolü ile CyberArk PSM (Privileged Session Manager) sunucusuna iletmektedir. PSM, ilgili hesabın hassas bilgilerini (şifre) kasadan aldıktan sonra hedef sunucuda oturum açmaktadır. Aslında bilindik bağlantı prosedüründen farklı olarak PSM sunucusunun önüne HTML5 Gateway konumlandırmış olduk.
HTML5 Gateway (Apache Tomcat & Apache Guacamole bileşenlerinden oluşmaktadır.)
CyberArk HTML5 DEMO:
CyberArk PVWA arayüzüne giriş yaptıktan sonra bağlantı kurmak için kullanacağımız ayrıcalıklı hesabımızı seçip connect düğmesine basıyoruz.
Karşımıza gelen bu ekranda,
- AllowSelectHTML5 seçeneği açık ise hedef sisteme
HTML5 ile bağlantı sağlanacaktır. Eğer kapalı duruma alınırsa daha önceden
aşina olduğumuz RDP istemcisi ile hedef sisteme erişilecektir. Bu seçenek
kullanıcıya bırakılabileceği gibi bağlantı metodu CyberArk Admin tarafından da
belirlenebilir.
- Remote Machine bağlantı yapılacak hedef sistemin IP ya da Hostname’i girilmelidir.
- Connect tuşuna basarak sisteme bağlantı sağlanır.
Bağlantı kurulurken ekranın sağ alt köşesinde oturumun kayıt altına alındığı ile ilgili bilgi 5 saniye gözükecek ve kullanıcı bilgilendirilecektir. Bu varsayılan değerdir istendiğinde değiştirilebilir.
CyberArk HTML5 Gateway ile web tarayıcımız üzerinden bağlantımızı gerçekleştirdik.
Yapılan bağlantı yukarıda da bahsettiğim üzere kayıt altına alınmış, çalıştırmış olduğum process’lerin bir dökümü ise sol kısımda listenmiştir.
Bilindiği üzere Web Tarayıcısı üzerinden yapılan bağlantılarda, Kopyala / Yapıştır ile dosya transferi yapılamayacağından, CyberArk bu sorunu aşağıdaki şekilde çözüme kavuşturmuş.
- Dosya transferi
- Clipboard (Pano Kontrol)
(Alt + Ctrl + Shit Tuş kombinasyonu ile)
HTML5 Gateway sunucu isterleri eş zamanlı kullanıcı sayısına göre değişiklik göstermektedir. Konu hakkında CyberArk’ın yayınlamış olduğu tablo aşağıdaki gibidir:
| Küçük ve Orta Ölçekli Uygulama (1-50 eşzamanlı RDP / SSH oturumu) | Orta ve Büyük Ölçekli Uygulama (51-100 eşzamanlı RDP / SSH oturumu) | Çok Büyük Ölçekli Uygulama (101-200 eşzamanlı RDP / SSH oturumu) |
| 2 core processors (Intel)4 GB RAM | 4 core processors (Intel)8 GB RAM | 8 core processors (Intel)16GB RAM |
(Tablo 1.2)
Kurulum ve yapılandırma için [email protected] mail adresi üzerinden bizimle iletişime geçebilirsiniz.
Kaynaklar:
Serdar Kurt