Ağ geçidi farklı İnternet protokollerini kullanan iki İnternet ağının birbiriyle bağlantı kurmasını sağlayan bilgisayardır. Bir ağ geçidi bir İnternet ağından aldığı veriyi yeniden biçimlendirerek uygun İnternet protokolü ile diğer İnternet ağına iletir. TS Gateway (Terminal Services Gateway - Terminal Servisleri Ağ Geçidi) uzak kullanıcıların özel bir ağa veya özel bir ağdaki kaynaklara, İnternet aracılığıyla bağlanmasına olanak sağlayan servistir. Bahsedilen ağ kaynakları; terminal sunucular, "RemoteApp" programları çalıştıran terminal sunucular veya uzak masaüstü bağlantısı etkinleştirilmiş bilgisayarlar olabilir. TS ağ geçidi kullanıcılardan HTTPS (Hyper Text Transfer Protocol Secure -Güvenli Üstün Metin Aktarım Protokolü) protokolü ile aldığı isteği RDP (Remote Desktop Protocol - Uzak Masaüstü Protokolü) protokolü kullanarak bağlantı kurulacak ağ kaynağı ile iletişimi sağlar. İstemci bilgisayar tarafında HTTPS protokolü kullanıldığından güvenli ve şifreli bir bağlantı sağlanmış olur.
Önceki uzak masaüstü bağlantılarında istemciler 3389 numaralı uzak masaüstü bağlantısı portu nedeniyle güvenlik duvarlarını aşmakta sorun yaşamaktaydı. Bağlantı kurulabilmesi için bu portun ilgili cihazlarda açık olması ve güvenlik duvarı üzerinde izin verilmiş olması gerekiyordu. Ancak bu portun açık olması ağ güvenliği için tehlike oluşturmaktadır. TS ağ geçidi veriyi HTTPS protokolü kullanarak SSL (Secure Socket Layer - Güvenli Yuva Katmanı) tünelinden taşımaktadır.
TS ağ geçidi güvenli ve şifreli uzak ağ bağlantısı sağlamakla birlikte, ağ ve sistem yöneticileri için yönetimi kolaylaştıracak ve güvenliği arttıracak yeni özellikler de içermektedir. Bu özelliklerden biri olan TS CAPs (Terminal Services Connection Authorization Policies - Terminal Sunucuları Bağlantı İzinleri Politikaları), ağa uzaktan bağlanma izni olan kullanıcıları belirleme, yetkileri farklı kullanıcı grupları oluşturma, istenilen kullanıcılara farklı kimlik denetimleri uygulama gibi yönetimsel olanaklar sağlar. Diğer özellik olan TS RAPs (Terminal Services Resource Authorization Policies - Terminal Sunucuları Kaynak İzinleri Politikaları) ağ içindeki kaynakların hangilerine uzak kullanıcılar tarafından erişilebileceğine karar verilmesine, uzaktan bağlanılabilicek bilgisayar grupları oluşturulmasına olanak sağlar. Bu politikalar kullanılarak farklı seviyede erişim kontrolleri düzenlenebilir.
TS ağ geçidini doğru bir şekilde kullanabilmek için bazı yetkilere ve sistem özelliklerine sahip olmak gerekir.
- İlk olarak Windows Server 2008 işletim sistemi kurulu bir sunucuya ve kurulumu gerçekleştirebilmek için bu sunucuda yönetici yetkisine sahip olmak gerekir.
- HTTPS protokolü nedeniyle TS ağ geçidi sunucusu için oluşturulmuş bir SSL sertifikasına ihtiyaç vardır. Bu sertifika TLS (Transport Layer Security – Taşıma Katmanı Güvenliği) in doğru şekilde çalışması için gereklidir. TLS İnternet ağları arasındaki iletişim sırasında verileri şifrelemek için kullanılmaktadır. Sertifika oluşturma işlemi tamamlandıktan sonra sertifikanın uygunluğu "Rpcping.exe" kaynak donatı aracı kullanılarak test edilebilir.
- IIS 7.0 Web servislerinin çalışması için gerekli olduğundan, TS ağ geçidi kurulacak sunucuda yüklü olması gerekmektedir. TS ağ geçidinde veri aktarılırken HTTPS protokolü kullanıldığından bu protokol ile Web yayını yapabilmek için IIS gerekmektedir.
- Son olarak ağ politikaları ve erişim servislerinin kurulu olması gerekmektedir. Bu servisler ağ kaynaklarının erişimini yapılandırmak ve gelecek olan isteklere verilecek olan izinlerin ayarlanabilmesi için gerekmektedir.
Avantajları ve Özellikleri
- TS ağ geçidi HTTPS protokolü üzerinden çalışarak güvenli ve şifreli bir bağlantı kurduğundan VPN (Virtual Private Network – Sanal Özel Ağ) kurulumunu gerektirmez. Üstelik VPN bağlantısına göre çok daha hızlıdır.
- TS ağ geçidi geniş kapsamlı güvenlik yapısı sayesinde uzak kullanıcıların yalnızca istenilen kaynaklara ulaşmasını sağlayacak şekilde yapılandırılabilir. Ek olarak yetkilendirme politikaları da ayarlanabilir. Bu sayede hangi kullanıcıların bağlantı kurabileceğine, kullanıcıların hangi kimlik denetimini kullanacağına, hangi bilgisayarların dışarıdan erişilebilir olacağına karar verilebilir.
- TS ağ geçidi sunucuları için ek olarak güvenlik duvarı ayarlarını yapılandırmaya gerek yoktur. RDP protokolü TS ağ geçidinde 443 numaralı port üzerinden SSL (Secure Socket Layer – Güvenli Yuva Katmanı) veya TLS (Transport Layer Security – Taşıma Katmanı Güvenliği) tünelleri aracılığıyla bağlantı kurduğundan, RDP portu olan 3389 numaralı port için herhangi bir güvenlik duvarından izin verme işlemi söz konusu değildir. Bu yapısı sayesinde birden fazla güvenlik duvarı üzerinden uzak bağlantı sağlayabilmektedir.
- TS ağ geçidi sunucuları ve terminal servisleri istemicileri NAP (Network Access Protection - Ağ Erişimi Koruması) teknolojisi kullanılarak yapılandırılabilir. Bu teknoloji güvenlik politikası yaratmak ve iyileştirme sistemi kurmak amacıyla Windows XP SP3, Windows Vista ve Windows Server 2008 işletim sistemlerine eklenmiştir.
- TS ağ geçidinin sunduğu araçlar ile bağlantı durumu, olaylar, sistem kayıtları kolay bir şekilde görüntülenebilir.