Mesajlar Etiketlendi ‘security’

h1

Yeni CCNA Sertifikaları

Aralık 25, 2008

Networking dünyasının, “sertifikasyon” tarafı ile uğraşanlar veya görevleri dahilindeki sorumlulukları gereği uğraşmak zorunda kalanlar Cisco sertifikalarını iyi bilirler. Bu sertifikalar, en çok Routing&Switching alanında bilinir ve CCNA, CCNP, CCIE diye gider.

Diğer yandan Cisco’nun sertifikaları arasında, sadece Routing&Switching değil, diğer alanlarda da önemli sertifikalar, önemli uzmanlaşma yolları vardır. Bunlar “Voice”, “Security” ve “Wireless” alanlarıdır.

Şimdiye kadar, Routing&Switching’de (kısaca R&S diyebiliriz) uzmanlaşmak isteyen kişiler, CCNA sertifikasına sahip olduktan sonra CCNP sertifikası için gerekli BSCI, BCMSN, ISCW ve ONT eğitimlerini alıyor ve bu eğitimlerin sınavlarına giriyorlardı. Security alanında uzmanlaşmak isteyenler ise CCNA sonrası Security yolunu takip ediyor ve CCSP oluyorlardı. Voice için de yine CCNA sonrası CCVP olmak gerekli idi. Bu noktada şöyle bir noksanlık mevcut idi. CCSP veya CCSP olmak isteyen kişiler, sonuçta her şeyin R&S temelli olduğundan hareketle, genel bir CCNA eğitimini almak durumunda idi. Daha sonra ilgili uzmanlık yollarına devam ediliyordu. Tabii takdir edersiniz ki CCNA sonrası (yani Routing ve Switching tabanlı temel CCNA eğitimi) sonrası R&S yoluna devam etmek çok daha çekici ve kolay geliyordu. Bu noktada insanların CCSP’ye veya CCVP’ye gitmesi için herhangi bir motiv yoktu. O yüzden, herkes R&S’e yüklenirken, SP ve VP tarafında iş gücü açığı mevcut oluyordu.

Cisco bunu çözmek için CCNA Level sertifikaları da uzmanlık alanları anlamında böldü. Artık CCNA var (ki bu aslında CCNA R&S oluyor), CCNA Security var, CCNA Voice var ve tabii CCNA Wireless var.

Artık CCSP olmak isteyen bir kişi, CCNA Security aldıktan ve işini temel manada epey kolaylaştırdıktan sonra CCSP yoluna “daha kolay ve zahmetsiz” devam edebiliyor.

Peki CCNA’in uzmanlık tabanlı çeşitlerinde neler var ve konu anlatımları nasıl?

Networking camiasındaki bilgi alışverişlerinde, -diğer birçok bilgi alışveriş ortamında olduğu gibi- iki tip bilgi paylaşımı mevcuttur. Birincisi, networking cihazları ile ilgili spesifik ve değersiz bilgiler, diğerleri ise konunun neden öyle olduğunu anlatan, tabiri caiz ise biraz daha “felsefik” bilgiler. Yani elimizdeki bir firewall’in, dışarıdan gelecek ping ataklarını engelleyebilmesi için, bilmemne ekranındaki bir özelliği check etmemiz gerekliliği, bahsettiğim birinci tipteki bilgiye giriyor. Diğer yandan, o firewall üzerinde neden o özelliği kullanmamız gerektiğ, o özelliği kullanmazsak ne olacağı ve firewall’in içinde neler çevirip o özelliğin o şekilde çalışmasını sağladığı ile ilgili bilgiler ise ikinci tip bilgiler oluyorlar. Tabii ki birinci tip bilgiler değersiz ve her zaman rahatça ulaşılabilen tipte bilgiler olmakla beraber, ikinci tipte bilgiler son derece kıymetli.

Bu “iki tipte bilgi” hadisesini neden anlattım? Çoğunlukla uzmanlaşma yolu dahilindeki, misal, güvenlik eğitimlerinin kitaplarında, bu iki tip bilgi de vardır ve kimi zaman birbirine karışmış durumdadır. İşin mantık yanını öğrenmek isteyen, “nasıl çalışıyor yahu bu?” sorusunu cevaplamaya çalışıp, merak ettikleri teknolojinin nasıl çalıştığını öğrendikten sonra kitaba “iyi de neden?” sorusunu sormak isteyen aktif okuma meraklısı öğrenciler, çoğu zaman kendilerini bilmemne özelliğinin nasıl enable edileceğini anlatan yazılarla karşı karşıya bulurlar. Aktif okuma yaparken, bu iki farklı konu tipini birbirinden iyice ayırmak ve bu iki farklı konu tipine kesinlikle ve kesinlikle iki ayrı “yaklaşım” geliştirmek gereklidir.

İşin mantık kısmı için az enerji harcayıp, hangi menüde hangi özellik olduğunu “ezberlemeye” çalışan kişiler, uzaktan bakıldığında bilgili görünüp, maksimum kahve-sigaranın tüketildiği ve uçsuz bucaksız bir sorunun çözülmeye çalışıldığı sistem odası ortamlarındaki mantık yürütme sekanslarında maalesef çok fena çuvallamaktadırlar. Diğer yandan, işin mantığını bilen fakat konfigürasyon kısmı için fazla emek harcamamış kişiler ise, “evet bunu şöyle yapmamız lazım, çünkü..” diye devam eden cümleler kurarak yapılacak hamlenin mantığını sağlamca oturttuktan sonra, maalesef “ee bunun komutu neydi yahu?” diyen kişiler olmaktadırlar. O yüzden, herhangi bir uzmanlık alanı dahilindeki konuları çalışıyor iken, anlatılan konuları iyi ayrıştırmak ve doğru konulara doğru enerji harcamak “verimlilik” anlamında önemlidir. Bu iki tipte konuya da önem verilmeli ve asıl güç, diğer tarafı çok güçsüz bırakmamak kaydı ile, işin “mantık” tarafına verilmelidir. Ben eğitimlerimde, bu “iki tipte bilgi” hadisesi hakkında “ustalık bilgisi ve tornavida” şeklinde bir analoji yaparım. Birini edinmek güçtür, diğerini edinmek kolaydır. Ama kolay olan ortada yokken diğer “kudretli” olan işe yaramaz.

Biraz konudan saptık mı? Hani CCNA Security falan diyorduk. Yok, aslında fazla sapmadık, hemen bağlayayım. Önceden CCNA eğitimi sonrası, CCSP’ye devam eden security meraklısı arkadaşlar, CCSP derslerinde, yukarıda anlattığım iki değişik tipte bilgi ile boğuşuyorlardı. Bir yanda konfigürasyon, bir yanda mantık. Tabii hangisine ne kadar enerji harcayacaklarını bilemeyip, kimi zaman mantığa az, kimi zaman da konfigürasyona az zaman ayırıyorlardı. Artık, CCNA Security isimli yeni sertifikasyon sayesinde bu karmaşaya gerek kalmadı. CCNA Security’nin içeriği, gayet elekten geçirilmiş bir şekilde, neredeyse %100 oranında işin “mantık” kısmını anlatıyor. Bu sertifikasyon sonrasında CCSP’ye devam edecek kişiler yine mantık+konfigürasyon konuları ile karşılaşmakla beraber, artık ikisinin de daha rahat üstesinden gelebiliyorlar.

Tabii bu yazıda ben, özel ilgi alanım Security olduğu için CCNA Security + CCSP yolunu örnek olarak kullandım. Aynı mantık CCNA Wireless ve yakında sunulacak “Wireless Professional” sertifikasyonu için ve tabii ki CCNA Voice + CCVP için de geçerli. Orada da CCNA sertifikasyonunda işin mantık tarafı anlatılıyor.

Velhasıl; Security, Voice, Wireless gibi konularda ilerlemek isteyen ama tonla döküman arasında boğulmak istemeyen, hangi tip bilgiye ne kadar enerji harcayacağını kestiremeyen arkadaşların -ve tabii aslında verimlilik anlamında networking eğitimleri alan tüm kişilerin- özelleştirilmiş ve süzülmüş, sadece “mantık” içeren harikulade CCNA içeriklerini okumasını tavsiye ederim.

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , , , , , | » yorum bırak;

h1

Cisco PIX Firewall Nasıl Çalışır?

Aralık 2, 2008

Merhaba,

Yakın zamanda bir Cisco PIX Firewall ile uğraştım, kenarından köşesinden de olsa. Hazır bunun üzerinde uğraşmış iken, şu cihazın temel çalışma mantığından biraz bahsedeyim istedim.

Aslında bahsedecek olduğum “Firewall nasıl çalışır” kısmı, sadece PIX’in nasıl çalıştığını değil temel anlamda tüm firewall’ların nasıl çalıştığını anlatacak.

Kurduğumuz network’leri korumak için firewall’lar kullanıyoruz. Bu firewall’lar sayesinde, iç network’umuz ile dış network arasında bir ayrım yapmış oluyoruz. Bilindiği üzere, iç network “sakınmamız gereken, kıymetli makinalarımızın olduğu network”, dış network ise “Internet veya iç network’e erişmesini istemediğimi network” demek. Bu iki bölgeyi birbirinden ayırmak için bir firewall kullanmalıyız. Bu sayede, daha az güvenli olan network’ten daha çok güvenli olan network’e erişim sağlanmayacak. Ama tersi geçerli olacak. Yani çok güvenli network’teki bir makina, daha az güvenli bir bölgedeki makinaya istediği gibi erişebilecek.

Burada dikkat etmemiz gereken nokta şu: Örnek olarak, biz iç network dahilindeyiz ve dış network’e ulaşmaya çalışıyoruz. Bunu yapmamız mümkün, biz dış ortamdaki herhangi bir makinaya bağlanabiliriz ama o makina bize bağlanamaz. Ancak burada özellikle vurgulamak istediğim nokta, “connection-bağlantı”. Biz iç network’ten dışarıya doğru bir bağlantı açtığımız zaman, o bağlantıyı içeriden biz başlattığımız için, o bağlantıya gelecek cevapların iç network’e gelmesi mümkün. Ama dışarıdaki bir makinanın, “durup dururken” iç network’teki bir makinaya veri göndermesi mümkün değil.

İşte temel manada, Cisco PIX veya diğer firewall’lar böyle çalışıyorlar. İç network’ten dışarıya bağlanmak isteyenlerin listesini tutuyorlar ve bu bağlantı isteklerine karşılık gelecek verilerin içeri girmesine izin verirken, durup dururken dışarıdan içeriye girmeye çalışan paketlere izin vermiyorlar.

Sonuçta, firewall, dışarı çıkmak isteyen iç network’teki bir bilgisayar için, dışarı çıkış anında bir connection slot yaratıyor. Buna xlate deniyor. Bu xlate bilgisi, firewall tarafından akılda tutularak, bu bağlantıya dönen cevaplara izin veriliyor fakat bu xlate tablosunda varolmayan paketlere izin verilmiyor.

Cisco PIX’lerde, tüm bu mekanizmanın temelinde ASA algoritması yatıyor. PIX cihazlar ASA algoritması sayesinde bahsettiğim “connection list” işlemini yürütüyor. Diğer firewall’larda da temel mantık bu şekilde. Diğer anti-virus, anti-spam, content filtering vs işlemleri, bu mekanizmanın üzerine bindirilmiş diğer ek özellikler.

Şimdi şu soruya geçelim. Yukarıda, az güvenli bölgeden ve çok güvenli bölgeden bahsettik. Kural olarak, çok güvenlik bölge az güvenli bölgeye istediği gibi bağlantı başlatabiliyor ve cevabını alabiliyorken (yani sağlıklı bir biçimde haberleşebiliyorken) az güvenli bölge çok güvenli bölgeye hiç bağlantı başlatamıyordu (ama oradan başlatılan isteklere cevap dönebiliyordu) Peki sadece iki adet mi güvenlik bölgesi var. Sadece az ve çok diye iki adet mi? Hayır. Çok sayıda güvenlik bölgesi oluşturup, bunlara değişik güvenlik seviyeleri verebiliriz. Peki bu nasıl olacak?

Çok güvenli diye kastettiğimiz iç network’un güvenlik seviyesi 100 olsun. Güvensiz olarak addettiğimiz dış network’un güvenlik seviyesi ise 0 olsun. Biz “50” güvenlik seviyesine sahip bir bölge yaratabiliriz. Bu bölge tam olarak “iki arada bir derede” olacak. Tahmin edileceği üzere, bu bölge, “50” güvenlik seviyesine sahip olduğu için, güvenlik seviyesi 0 olan dış network’e istediği gibi gidecek ancak “100” güvenlik seviyesine sahip iç network’e bağlantı kuramayacak.

Şimdilik, temelde “Cisco PIX Adaptive Security Algorithm”i anlatmış olduğum bu yazı bitiyor. Daha sonra Cisco PIX veya Cisco ASA cihazlarda adres dönüşümü işlemlerini anlatacağım.

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , , , , , , | » yorum bırak;

h1

ZyXEL USG 200 WAN Backup Hakkında…

Kasım 27, 2008

Önceki yazımda, ZyXEL USG serisi cihazlar için dökümante edilmemiş bazı özelliklerden bahsetmiştim. Biraz lab çalışması ile, ZyXEL USG 200 cihazının WAN interface’ler arasındaki yol seçimini cihazın nasıl yapacağını keşfetmiş oldum..

Şöyle ki:

Cihaz en uygun WAN çıkışı seçimini interface’lerin metric değerlerine göre yapıyor. Bu bilgi kenarda dursun. Diğer yandan Policy Route ile ilgili trafiği istenen interface’den çıkarmak için gerekli yönlendirmeyi yapıyor. Ek olarak connection check özelliği sayesinde, belirli ip adresine ping atamayan interface atıl duruma geliyor ve otomatik olarak yedeğine geçiliyor.

Hepsi uygun yol seçimi ile alakalı değil mi? Ama ciddi bir karışıklık durumu var, çünkü hangi mekanizmanın söylediği hangi sıra ile dikkate alınacak?

Keşfettiğim şekli ile cihazın routing esnasında uyguladığı seçim mantığı şu şekilde çalışıyor:

1-Policy Route ile söylenen kurala göre işlem yapılır. Policy Route’ta hangi trafik hangi interface’den çıkarılacaksa bu belirtilmektedir. Fakat PR mekanizmasında, çıkış interface’i olarak “auto” seçmek mümkündür. Bu durumda diğer mekanizma devreye girecektir.

2-Policy Route’ta çıkış interface’i olarak “auto” seçildiğinde, çıkış interface’i otomatik olarak seçilir (boşa sallamış olduk bu cümleyi ama neyse..) Çıkış interface’inin otomatik olarak seçilmesi demek, metric değerlerine bakılarak en düşük metric değere sahip interface’in seçilmesi demektir.

Bu bilgilerle birlikte söyleyebiliriz ki, Policy Route

Diğer yandan, “Connectivity Check” işlemi nasıl çalışacak?

“Connectivity Check” yok ise, PR mekanizması otomatik olarak, herhangi bir şekilde link’i kopan veya default gateway’i ile haberleşmeyi kaybeden interface’i routing tablosundan çıkarmakta ve metric değerine göre bir sonraki daha iyi interface üzerinden routing denemektedir. Fakat bu mekanizma, düşen bir interface tekrar geri geldiğinde bu interface’i tekrar canlandıramamaktadır.

Eğer “Connectivity Check” var ise durum şu özetle şekilde gelişir:

-PR uygun interface’i seçer ve paketleri yollar.

-PR’in seçtiği ve Connectivity Check seçeneği aktif olan interface down olduğunda veya belirli bir ip adresi ile haberleşmeyi kaybettiğinde, PR, “auto” özelliği gereği bir sonraki sıradaki interface’i seçecek ve paketleri oradan yollamaya başlayacaktır.

-İlgili interface geri geldiğinde, Connectivity Check bunu farkeder ve en iyi interface’in tekrar paketlerin gönderildiği interface olmasını sağlar.

Bu arada, WAN interface’leri üzerinde bu oynamaları yaparken bu interface’lerin WAN TRUNK’tan çıkartılmış olması gerekmekte.

Buraya kadar tüm mekanizmayı anlattım. Ancak metric değerlerinin nasıl seçileceği, sanırım bu yazının en çok karıştırılabilecek noktası olabilir. O konu ile ilgili bir örnek verelim.

WAN1: Internet, WAN2: Corporate Leased Line, WAN3: Corporate Leased Line VPN Yedek olsun. İsimlerden de belli olduğu gibi WAN2′nin yedeği WAN3. Default Internet trafiği ise zaten WAN1′den çıkıp gidiyor. Bu durumda PR kuralları şu şekilde olmalıdır:

LAN to Corporate Network -> Auto

LAN to Any -> WAN1

PR mekanizması, kuralları yukarıdan aşağı doğru işlediği için önce üst kural uygulanacak ve uygun interface seçilecek (Bu noktada WAN2 seçilmeli) O interface fail ettiği zaman bir sonraki interface seçilecek. (Bu noktada da WAN3 seçilmeli)

Buna göre metric değerleri, WAN1:3, WAN2:1 ve WAN3:2 şeklinde olmalıdır.

Tabii bu cihazların, yabancıların çok sevdiği bir deyim ile “in conjunction with” kullanılıp birbirinin davranışını etkileyen tonla özelliği var ve bunların birbirleri ile çakışacak şekilde konfigürasyonun neler doğuracağı konusunda da çokça dökümante edilmemiş özellik mevcut. Bu yüzden çoğu şeyi tahmin etmek veya deneyip görmek gerekiyor. Detaylı bilgi için mail adresimden bana ulaşabilirsiniz.

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , , , , , , , | » yorum bırak;

h1

Hoşgeldiniz.

Kasım 24, 2008

Merhaba, Blog’uma Hoşgeldiniz.

İsmim Oğuzhan Eren. Yandaki linklerden son yazılara ulaşabilirsiniz. Benimle ilgili bilgiler için ise “Hakkımda” sayfasına bakabilirsiniz.

Yazılarla alakalı herhangi bir soru ve/veya ekleme için bana mail atabilirsiniz.

Oğuzhan Eren

oguzhan.eren@gmail.com

Aruba Certified Mobility Professional

Cisco Certified Network Professional

Certified Cisco Systems Instructor #31096

Diger kategorisinde yayınlandı | Etiketler , , , , , , | » yorum bırak;

Takip Et

Get every new post delivered to your Inbox.