‘Networking ve Güvenlik’ Kategorisi için Arşiv

« Newer Entries
h1

Subnetting…

Aralık 4, 2008

Merhaba,

Subnetting yazdım ama subnetting anlatmaya niyetim yok, çünkü subnetting tahtada anlatılır. : )

Onun yerine şundan bahsedeyim. Malum subnetting anlatırken, adım adım gitmek lazım, önce /16′yı /24′e nasıl çekeceğimizi öğrenmemiz lazım.

Sonra da “/24′lü network’leri daha ufak parçalara nasıl böleceğiz hocam?” diyenlere “bilmiyoruz, bir ara verelim belki buluruz..” demek ve 15 dk ara vermek lazım : )

Sonra da asıl subnetting olan /25, /26, /27 diye devam etmek, örneklemeler yapmak, sınıfı ayık tutmak ve VLSM anlatmak lazım.

Evet, bu konu çok zevkli ve bu hakikaten herkesçe “zor” addedilen aşırı ünlü (overrated) konuyu anlatmak da çok zevkli. Subnetting konusuna düşmanlık besleyenler, kin güdenler gördüm ben : ) Tabii ki bu konuyu anlayan birinin gözleri, dünyanın en güzel gözleri oluyor : ) Çünkü pırıl pırıl parlıyor.

Bu konu için güzel bir kısa film çekilmiş. Önceleri bu konu ile uğraşanlar gülümseyerek seyredeceklerdir. Filmde, bu filmi öğrencilere seyrettirip film sonunda bir quiz yapabilmek için, bilerek bazı ufak hatalar yapılmış.

Buyrunuz, bahsettiğim film:

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , , | » yorum bırak;

h1

Cisco PIX Firewall Nasıl Çalışır?

Aralık 2, 2008

Merhaba,

Yakın zamanda bir Cisco PIX Firewall ile uğraştım, kenarından köşesinden de olsa. Hazır bunun üzerinde uğraşmış iken, şu cihazın temel çalışma mantığından biraz bahsedeyim istedim.

Aslında bahsedecek olduğum “Firewall nasıl çalışır” kısmı, sadece PIX’in nasıl çalıştığını değil temel anlamda tüm firewall’ların nasıl çalıştığını anlatacak.

Kurduğumuz network’leri korumak için firewall’lar kullanıyoruz. Bu firewall’lar sayesinde, iç network’umuz ile dış network arasında bir ayrım yapmış oluyoruz. Bilindiği üzere, iç network “sakınmamız gereken, kıymetli makinalarımızın olduğu network”, dış network ise “Internet veya iç network’e erişmesini istemediğimi network” demek. Bu iki bölgeyi birbirinden ayırmak için bir firewall kullanmalıyız. Bu sayede, daha az güvenli olan network’ten daha çok güvenli olan network’e erişim sağlanmayacak. Ama tersi geçerli olacak. Yani çok güvenli network’teki bir makina, daha az güvenli bir bölgedeki makinaya istediği gibi erişebilecek.

Burada dikkat etmemiz gereken nokta şu: Örnek olarak, biz iç network dahilindeyiz ve dış network’e ulaşmaya çalışıyoruz. Bunu yapmamız mümkün, biz dış ortamdaki herhangi bir makinaya bağlanabiliriz ama o makina bize bağlanamaz. Ancak burada özellikle vurgulamak istediğim nokta, “connection-bağlantı”. Biz iç network’ten dışarıya doğru bir bağlantı açtığımız zaman, o bağlantıyı içeriden biz başlattığımız için, o bağlantıya gelecek cevapların iç network’e gelmesi mümkün. Ama dışarıdaki bir makinanın, “durup dururken” iç network’teki bir makinaya veri göndermesi mümkün değil.

İşte temel manada, Cisco PIX veya diğer firewall’lar böyle çalışıyorlar. İç network’ten dışarıya bağlanmak isteyenlerin listesini tutuyorlar ve bu bağlantı isteklerine karşılık gelecek verilerin içeri girmesine izin verirken, durup dururken dışarıdan içeriye girmeye çalışan paketlere izin vermiyorlar.

Sonuçta, firewall, dışarı çıkmak isteyen iç network’teki bir bilgisayar için, dışarı çıkış anında bir connection slot yaratıyor. Buna xlate deniyor. Bu xlate bilgisi, firewall tarafından akılda tutularak, bu bağlantıya dönen cevaplara izin veriliyor fakat bu xlate tablosunda varolmayan paketlere izin verilmiyor.

Cisco PIX’lerde, tüm bu mekanizmanın temelinde ASA algoritması yatıyor. PIX cihazlar ASA algoritması sayesinde bahsettiğim “connection list” işlemini yürütüyor. Diğer firewall’larda da temel mantık bu şekilde. Diğer anti-virus, anti-spam, content filtering vs işlemleri, bu mekanizmanın üzerine bindirilmiş diğer ek özellikler.

Şimdi şu soruya geçelim. Yukarıda, az güvenli bölgeden ve çok güvenli bölgeden bahsettik. Kural olarak, çok güvenlik bölge az güvenli bölgeye istediği gibi bağlantı başlatabiliyor ve cevabını alabiliyorken (yani sağlıklı bir biçimde haberleşebiliyorken) az güvenli bölge çok güvenli bölgeye hiç bağlantı başlatamıyordu (ama oradan başlatılan isteklere cevap dönebiliyordu) Peki sadece iki adet mi güvenlik bölgesi var. Sadece az ve çok diye iki adet mi? Hayır. Çok sayıda güvenlik bölgesi oluşturup, bunlara değişik güvenlik seviyeleri verebiliriz. Peki bu nasıl olacak?

Çok güvenli diye kastettiğimiz iç network’un güvenlik seviyesi 100 olsun. Güvensiz olarak addettiğimiz dış network’un güvenlik seviyesi ise 0 olsun. Biz “50” güvenlik seviyesine sahip bir bölge yaratabiliriz. Bu bölge tam olarak “iki arada bir derede” olacak. Tahmin edileceği üzere, bu bölge, “50” güvenlik seviyesine sahip olduğu için, güvenlik seviyesi 0 olan dış network’e istediği gibi gidecek ancak “100” güvenlik seviyesine sahip iç network’e bağlantı kuramayacak.

Şimdilik, temelde “Cisco PIX Adaptive Security Algorithm”i anlatmış olduğum bu yazı bitiyor. Daha sonra Cisco PIX veya Cisco ASA cihazlarda adres dönüşümü işlemlerini anlatacağım.

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , , , , , , | » yorum bırak;

h1

ZyXEL USG 200 WAN Backup Hakkında…

Kasım 27, 2008

Önceki yazımda, ZyXEL USG serisi cihazlar için dökümante edilmemiş bazı özelliklerden bahsetmiştim. Biraz lab çalışması ile, ZyXEL USG 200 cihazının WAN interface’ler arasındaki yol seçimini cihazın nasıl yapacağını keşfetmiş oldum..

Şöyle ki:

Cihaz en uygun WAN çıkışı seçimini interface’lerin metric değerlerine göre yapıyor. Bu bilgi kenarda dursun. Diğer yandan Policy Route ile ilgili trafiği istenen interface’den çıkarmak için gerekli yönlendirmeyi yapıyor. Ek olarak connection check özelliği sayesinde, belirli ip adresine ping atamayan interface atıl duruma geliyor ve otomatik olarak yedeğine geçiliyor.

Hepsi uygun yol seçimi ile alakalı değil mi? Ama ciddi bir karışıklık durumu var, çünkü hangi mekanizmanın söylediği hangi sıra ile dikkate alınacak?

Keşfettiğim şekli ile cihazın routing esnasında uyguladığı seçim mantığı şu şekilde çalışıyor:

1-Policy Route ile söylenen kurala göre işlem yapılır. Policy Route’ta hangi trafik hangi interface’den çıkarılacaksa bu belirtilmektedir. Fakat PR mekanizmasında, çıkış interface’i olarak “auto” seçmek mümkündür. Bu durumda diğer mekanizma devreye girecektir.

2-Policy Route’ta çıkış interface’i olarak “auto” seçildiğinde, çıkış interface’i otomatik olarak seçilir (boşa sallamış olduk bu cümleyi ama neyse..) Çıkış interface’inin otomatik olarak seçilmesi demek, metric değerlerine bakılarak en düşük metric değere sahip interface’in seçilmesi demektir.

Bu bilgilerle birlikte söyleyebiliriz ki, Policy Route

Diğer yandan, “Connectivity Check” işlemi nasıl çalışacak?

“Connectivity Check” yok ise, PR mekanizması otomatik olarak, herhangi bir şekilde link’i kopan veya default gateway’i ile haberleşmeyi kaybeden interface’i routing tablosundan çıkarmakta ve metric değerine göre bir sonraki daha iyi interface üzerinden routing denemektedir. Fakat bu mekanizma, düşen bir interface tekrar geri geldiğinde bu interface’i tekrar canlandıramamaktadır.

Eğer “Connectivity Check” var ise durum şu özetle şekilde gelişir:

-PR uygun interface’i seçer ve paketleri yollar.

-PR’in seçtiği ve Connectivity Check seçeneği aktif olan interface down olduğunda veya belirli bir ip adresi ile haberleşmeyi kaybettiğinde, PR, “auto” özelliği gereği bir sonraki sıradaki interface’i seçecek ve paketleri oradan yollamaya başlayacaktır.

-İlgili interface geri geldiğinde, Connectivity Check bunu farkeder ve en iyi interface’in tekrar paketlerin gönderildiği interface olmasını sağlar.

Bu arada, WAN interface’leri üzerinde bu oynamaları yaparken bu interface’lerin WAN TRUNK’tan çıkartılmış olması gerekmekte.

Buraya kadar tüm mekanizmayı anlattım. Ancak metric değerlerinin nasıl seçileceği, sanırım bu yazının en çok karıştırılabilecek noktası olabilir. O konu ile ilgili bir örnek verelim.

WAN1: Internet, WAN2: Corporate Leased Line, WAN3: Corporate Leased Line VPN Yedek olsun. İsimlerden de belli olduğu gibi WAN2′nin yedeği WAN3. Default Internet trafiği ise zaten WAN1′den çıkıp gidiyor. Bu durumda PR kuralları şu şekilde olmalıdır:

LAN to Corporate Network -> Auto

LAN to Any -> WAN1

PR mekanizması, kuralları yukarıdan aşağı doğru işlediği için önce üst kural uygulanacak ve uygun interface seçilecek (Bu noktada WAN2 seçilmeli) O interface fail ettiği zaman bir sonraki interface seçilecek. (Bu noktada da WAN3 seçilmeli)

Buna göre metric değerleri, WAN1:3, WAN2:1 ve WAN3:2 şeklinde olmalıdır.

Tabii bu cihazların, yabancıların çok sevdiği bir deyim ile “in conjunction with” kullanılıp birbirinin davranışını etkileyen tonla özelliği var ve bunların birbirleri ile çakışacak şekilde konfigürasyonun neler doğuracağı konusunda da çokça dökümante edilmemiş özellik mevcut. Bu yüzden çoğu şeyi tahmin etmek veya deneyip görmek gerekiyor. Detaylı bilgi için mail adresimden bana ulaşabilirsiniz.

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , , , , , , , | » yorum bırak;

h1

ZyXEL ZyWALL USG Serisi Firewall’lar

Kasım 25, 2008

ZyXEL uzun zamandır, ZyWALL serisini geliştirmekteydi. Önce, bu ZyWALL denen firewall’lara UTM denilen bir özellik eklediler. UTM yani “Unified Threat Management” konsepti sayesinde, firewall’lara IDP, ADP, Anti-virus, Anti-spam, Content Filtering vs şeklinde filtrelemeler yapma özellikleri eklediler.

Aslında ZyWALL 70 denilen firewall ile ZyWALL 70 UTM denilen firewall arasında herhangi bir donanım farkı yok. Tek fark üzerindeki yazılım. Yani ZyWALL 70′e sahipseniz, ftp.zyxel.com’dan ücretsiz UTM firmware’i indirebilir ve cihazınızı UTM modeline dönüştürebilirsiniz. Böylelikle, tek bir kutudan birçok içerik filtreleme sistemine kavuşabilirsiniz.

Asıl konuya gelelim. Şimdi bir de USG serisi Firewall’lar çıktı. Bunlar ZyWALL 100 USG, 200 USG ve 1000 USG olarak gidiyor. Detayları fazla. Ama sonuçta şu söylenebilir ki, bunlar farklı. Yapısal olarak farklı ve üzerlerinde çalışan işletim sistemleri de farklı.

Neyi farklı bu USG’lerin? Bunların üzerinde klasik ZyNOS yok, onun yerine bu cihazlar, çatlayana kadar ortalığı araştırmama rağmen, mimarisi hakkında herhangi bir bilgiye ulaşamadığım, linux tabanlı olduğunu tahmin ettğim ZLD adında bir işletim sistemi içeriyor. Bu yapı ZyNOS’a göre çok daha fazla özellik barındırmasına ve korkunç esneklik sunmasına rağmen ilk kullanımlarda bana sanki biraz kırılgan gibi geldi. Bakalım, gelişecek ve göreceğiz.

Fakat ZyXEL ZyWALL USG serisi firewall’larda dökümantasyon eksikliği var maalesef. Cihazı “aktif” olarak kurcaladığınız zaman iki dakika sonra çakılabiliyorsunuz. Aktif olarak kurcalamaktan kastettiğim, cihazın menülerini incelerken, “ee burda şunu şöyle yaparsam nasıl davranır bu alet?” diye sormak. Çok değil, birazcık detay soru sorduğunuz anda, kendinizi, bu sorunun cevabını araştırırken buluyorsunuz. Ama maalesef, yok. 900 sayfalık user guide’i var cihazın, ama inanılmaz basit bir anlatımla, konuları çok yüzeysel anlatan bir user guide.

Bu USG adındaki familyanın gerçek çalışma mekanizmasını ve davranış şekillerini keşfetmek için maalesef tek şans laboratuar ortamı. Çünkü hakikaten “”Şuradan şu policy route’i yazar, static olarak şu route’i girersem ve “connectivity check”i enable edersem, acaba bağlantı koparsa cihaz ne yapar?”" şeklinde bir sorunuz varsa, bu sorunun cevabına mümkün değil user guide ile ulaşamıyorsunuz. User guide diyor ki, bağlantı kontrol özelliği sayesinde cihaz bağlantının olup olmadığını kontrol eder, bağlantı yoksa oradan veri yollamaz. Bunu ben de biliyorum.

İyice çözülüp ne menem aletler olduğu, huyları ve davranış biçimleri iyice anlaşıldıktan sonra şahane işler becerebilecek ucuz ve performanslı cihazlar bunlar.

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , , , , | » yorum bırak;

« Newer Entries
Takip Et

Get every new post delivered to your Inbox.