SCCM’de HTTP ya da HTTPS Bağlantıdan Hangisi Tercih Edilmeli? Avantaj ve Dezavantajları?
Merhabalar,
Bu makalede sizlere, SCCM’de yönetilen makineler ile SCCM Site Server ve Role Server’lar arasında kullanılan bağlantı şekillerinden hangisi tercih edilmeli ve avantaj/dezavantajlar nelerdir? bunlardan bahsediyor olacağım.
Öncelikle SCCM ile client veya server makineler yönetilirken, kullanılan 2 bağlantı şekli mevcut.
HTTP ve HTTPS
Özellikle enterprise segmentte bulunan firmaların birçoğunda, bu bağlantı şekilerinden hangisinin kullanılmasının daha güvenli olduğu,bununla birlikte yönetimsel açıdan hangisinin daha kolay olduğu hususunda akıllarda soru işaretleri oluşabiliyor. Ben de konuyu detaylı irdeleyerek sizlerle paylaşmak istedim. Hadi başlayalım:
SCCM, hiyerarşi içerisinde yönetilen cihazlardaki verilerin korunması amacıyla default olarak imzalama ve kriptolama kullanır. İmzalama (signing) ile veriler transfer edilirken imzalanmakta, herhangi bir bozulma olması durumunda devre dışı bırakılmaktadır. Şifreleme (encryption) ise herhangi bir saldırıda verilerin okunabilmesini engellemek amacıyla kullanılmaktadır.
İmzalama için SCCM’in kullandığı birincil hashing algoritma SHA-256, birincil şifreleme algoritması ise 3DES’tir. SCCM bileşenler birbirleriyle iletişim kurduklarında, aradaki bağlantı imzalanır. Şifreleme algoritması da client HTTP bağlantı için ve SCCM database’de tutulan veriler için kullanılır.
SCCM içerisinde windows tabanlı işletim sistemleri için kullanılan kriptolama algoritmaları şu şekiledir:
SHA-2,3DES,AES,RSA Algoritmaları
Yukarıdaki bilgilerden de anlaşılacağı gibi net olarak ifade etmek gerekirse;
SCCM İÇERİSİNDEKİ BİLGİLER İMZANLANMAKTA VE ŞİFRELENMEKTEDİR.
Peki client makineler SCCM ile http veya https konuştuklarında nasıl aksiyonlar alınıyor ona bir bakalım:
SCCM üzerinde, Site’lar ve Site System Role yüklü server’lar ile client makinelerin bağlantısı için 2 şekilde konfigürasyon yapılabilir:
HTTPS Only
HTTPS or HTTP
Not: Eğer client makineler internet üzerinden bağlantı kuracaklar ise o zaman yalnızca HTTPS bağlantı olmak zorunluluğu vardır.
Client bağlantı için HTTPS kullanıldığında, makineler ile sunucu arasındaki authentication (doğrulama) için PKI sertifika kullanılması gereklidir. Bunun için on-prem’deki CA sunucu üzerinde client makineler için bir sertifika template oluşturularak Group Policy üzerinden yapılacak policy ayarları ile her client makine kendi PKI sertifikasını alabilir ve SCCM ile connection sağlayabilir. Bu noktada dikkat edilmesi gereken bazı hususlar var. Özellikle client makine sayısının fazla olduğu kurumlarda problemli veya düzgün çalışmayan bir CA ortamı varsa SCCM – client bağlantılarında problemler olacaktır. Açıkçası ben de yapmış olduğum projelerden bazılarında herhangi bir sebepten dolayı CA’den sertifika alamayan makineler ile karşılaştım ve bu sayının fazla olması yönetimsel anlamda gerçekten büyük sorun oluyor. Örnek olarak makinelere geçilmesi gereken bir uygulama veya güncelleştirme olması durumunda, https altyapıdan kaynaklı problemler nedeniyle deployment ile uğraşmanız gerekirken client –server connection’larıyla uğraşıyorken kendinizi bulabilirsiniz.
Client bağlantı için HTTP kullanıldığında ise, authentication için ya varsa PKI sertifika ya da SCCM’in ürettiği self-signed sertifika kullanılmaktadır. Self-signed sertifika her client makine için eşsiz olarak tanımlanmaktadır.Windows Server 2003 haricinde bütün desteklenen işletim sistemleri için self-signed sertifika oluşturulurken SHA-256 algoritması kullanılır ve anahtar uzunluğu ise 2048 bit’tir. Yalnızca Windows Server 2003 için SHA-1 algoritması kullanılır ve anahtar uzunluğu 1024 bit’tir.
Client makineler http üzerinden bağlandıkları zaman, management point ile ya Active Directory Domain Services üzerinden veya Configuration Manager trusted root key üzerinden doğrulanırlar. Yani ilk olarak aslında client makine üzerinde PKI sertifika var mı yok mu kontrolü yapılır. Eğer yoksa da self-signed sertifika üzerinden doğrulama yapılmaktadır. Bu noktada workgroup makineler ve üzerlerinde bulunan self-signed sertifikaların güvenliği akla gelebilir. Bu senaryo içerisinde, workgroup makineler için SCCM üzerindeki Client Approval mekanizması devreye sokulabilir.Böylelikle istenilen makinelerin SCCM ile iletişim kurabilmeleri sağlanabilir.
HTTPS veya HTTP bağlantı SCCM’de birlikte kullanılabilmektedir. Client makineler, Management Point’ler ile eğer PKI sertifikaları var ise https , eğer yoksa self-signed sertifikalar yardımı ile http bağlantı kurarak, ortamda HTTP ve HTTPS bağlantı için konfigüre edilmiş Management Pointler de olması koşulu ile authentication yapabilirler.
Sonuç olarak, sizlere artılarıyla eksileriyle HTTP ve HTTPS bağlantı tiplerinin detaylarını aktarmaya çalıştım. Bana soracak olursanız da SCCM’de uygulama, güncelleme, işletim sistemi dağıtımı gibi gizli olması gerekmeyen verilerin SSL üzerinde taşınması kurumsal ağ gibi kapalı ortamlarda gerekli değil. Özellikle server’larda SCCM ile yönetiliyorsa, HTTPS ve HTTP bağlantı tipleri birlikte kullanılabilir.