Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

4. Linux ve Özgür Yazılım Şenliği Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulanması Kerem ERZURUMLU

Benzer bir sunumlar


... konulu sunumlar: "4. Linux ve Özgür Yazılım Şenliği Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulanması Kerem ERZURUMLU"— Sunum transkripti:

1 4. Linux ve Özgür Yazılım Şenliği Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulanması Kerem ERZURUMLU Hacettepe Üniversitesi Bilgisayar Bilimleri Mühendisliği

2 4. Linux ve Özgür Yazılım Şenliği Sunumun Amacı •Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü’nde (HUBMB) oluşturulan geniş içerikli güvenlik duvarı sistemini tanıtmak,

3 4. Linux ve Özgür Yazılım Şenliği İçerik •Gereksinim •Güvenlik Duvarı Seçenekleri •Neden Açık Kaynak •Donanım •Geçiş Süreci •Sürüm 1: Yönlendirici Anahtar •Sürüm 2: Sürüm1 + Güvenlik Duvarı •Sürüm 3: Sürüm2 + Yönetim Arayüzü •Sürüm 4: Sürüm3 + Saldırı Tespit Sistemi + Sığa Takip •Sürüm 5: Sürüm4 + VLAN Eklentileri •Performans Analizi •Yapılacaklar •Sonuç

4 4. Linux ve Özgür Yazılım Şenliği Gereksinim •HUBMB –Yerel ağ 10Mbps HUB temelli, –Bir sistem odası yok, –Yapısal kablolama yok, –3 kat ve 4 koridora dağılmış –BİDB ile bütünleşik bir yapı, – arası öğrenci korsanlıkları, •Düzenlemeler için proje tanımlandı –Mevcut aksaklıkları giderecek, –Ağ üzerinde kontrol “bizde” olacak,

5 4. Linux ve Özgür Yazılım Şenliği Analiz •Mevcut problemler incelendi, •Kablolama büyük oranda yenilendi, •Korsanlıklar incelendi –Tüm olaylar sniffing temelli,

6 4. Linux ve Özgür Yazılım Şenliği Analiz Sonucu •Aktif cihazların –Anahtar (switch) ile değiştirilmesi, –100Mbps arabirimlere sahip olması, –Omurganın 1Gbps hızında olması •Güvenlik duvarı şart –Seçenekler •Köprülenmiş Güvenlik Duvarı •Yönlendirilmiş Güvenlik Duvarı

7 4. Linux ve Özgür Yazılım Şenliği Güvenlik Duvarı Seçenekleri •CheckPoint –En bilinen isim, herkesin ilk aklına gelen •i-Bekçi –Yerli malı, yurdun malı, –Eski bir bölüm mezunu üretiyor, •Açık Kaynak Güvenlik Duvarı –Kontrol “bizde”

8 4. Linux ve Özgür Yazılım Şenliği Neden Açık Kaynak? •En önemli neden maliyet •Yoğun ısrar 

9 4. Linux ve Özgür Yazılım Şenliği Donanım •Eş sunuculardan biri adandı •Dell PowerEdge 2650 –Çift Xeon 2.4 GHz MP işlemci –6 Gb bellek –5 adet 73 Gb SCSI disk –2 adet on-board 1 Gbps ethernet –2 adet quad gigabit ethernet kartı •Sunucu fazlası ile büyük geldi 

10 4. Linux ve Özgür Yazılım Şenliği Geçiş Süreci •Düz bir yapıdan, yönlendirilen yapıya geçiş söz konusu. •2 hafta süresince, sniffer MAC adreslerini topladı, •DHCP sunucusu kuruldu ve aktif hale getirildi, •Böylece geçiş kullanıcılara saydam. •IP bloğu 8 farklı bölüme bölündü.

11 4. Linux ve Özgür Yazılım Şenliği IP Blokları /28Sunucular /28Diğer /27Ağ Laboratuvarı /26Akademik /27Yazılım Laboratuvarı /27Veritabanı Laboratuvarı /27Boş /27Boş

12 4. Linux ve Özgür Yazılım Şenliği Sürüm 1 •Akademik blok problem oldu –Tüm akademisyenler aynı katta/koridorda değil, –Anahtarlayan köprü gerekli, –3 arabirim köprü olarak tanımlandı. •Güvenlik duvarı devreye alınmadan yanlızca 3. katman anahtar gibi çalıştırıldı.

13 4. Linux ve Özgür Yazılım Şenliği Sürüm 1

14 4. Linux ve Özgür Yazılım Şenliği Sürüm 2 •Güvenlik duvarı çekirdeği günlenerek 2.6.2’ye geçildi. –iptables destekli •İlk kural “netbios” protokolü hariç herşeye izin ver.

15 4. Linux ve Özgür Yazılım Şenliği Sürüm 3 •Metin tabanlı yönetim problem. •Arayüz arayışları “fwbuilder” ile son buldu. •Grafik arabirim aracılığı ile kural üretmek ve uzaktan yönetmek mümkün.

16 4. Linux ve Özgür Yazılım Şenliği Sürüm 3

17 4. Linux ve Özgür Yazılım Şenliği Sürüm 4 •Güvenlik için tek başına güvenlik duvarı yeterli değil, •Özellikle worm ve virüs koruması için IDS gerekli. •Aynı zamanda kim ne kadar hat kullanmış izlemek gerek  •IDS çözümü: Snort + MySQL + ACID •Sığa Takip: ntop

18 4. Linux ve Özgür Yazılım Şenliği IDS •Snort kullanıldı, •Alarm vertabanının düzenli olarak günlenmesi sağlandı. •Normalde yanlızca tek arabirim dinler, •Bizde br0, eth0, eth4, eth5, eth6, eth7, eth8, eth9’u dinleyecek şekilde ayarlandı •Alarmları MySQL veritabanına ekledi. •Alarmları takip için web tabanlı ACID tercih edildi. –ACID her index.php çağrıldığında “alert cache”i üzerinde işlem yapıyor, –Bu da günün ilk çağırısında çok vakit alıyor. •Çözüm: Crontab aracılığı ile 5 dakikada bir index.php dosyası istendi

19 4. Linux ve Özgür Yazılım Şenliği IDS

20 4. Linux ve Özgür Yazılım Şenliği IDS

21 4. Linux ve Özgür Yazılım Şenliği Sığa Takip •Ntop ayarlaması en zor bileşen oldu •İstediğimiz biçimde çalışmasını sağlamak vakit aldı. •Parametreler –--interface eth0,eth1,br0,eth5...eth9 –-m /24, –--no-promiscuous –-o –-t 1 –-M

22 4. Linux ve Özgür Yazılım Şenliği Sığa Takip

23 4. Linux ve Özgür Yazılım Şenliği Sığa Takip

24 4. Linux ve Özgür Yazılım Şenliği Sığa Takip

25 4. Linux ve Özgür Yazılım Şenliği Sığa Takip

26 4. Linux ve Özgür Yazılım Şenliği Sığa Takip

27 4. Linux ve Özgür Yazılım Şenliği Sürüm 5 •İstekler bitmez! •Akademisyenler dersliklere gittiklerinde dizüstü bilgisayarları internete çıkamıyor, ayar gerektiriyor. •Çözüm VLAN uygulaması –Güvenlik Duvarından önce bir anahtar koyarak VLAN’ları taşınabilir, –Güvenlik Duvarı VLAN’lardan anlayabilir –Tabiki zor olanı tercih ettik 

28 4. Linux ve Özgür Yazılım Şenliği Sürüm 5 •Cisco cihazları dinamik VLAN destekli, •VMPS sunucusu aracılığı ile VLAN yönetilebiliyor, •Linux çekirdeği 802.1q destekli derlendi. •Fakat çalışmadı. Nedeni Jumbo ethernet paket gereksinimi •Linux çekirdeğinde ufak bir modifikasyon 

29 4. Linux ve Özgür Yazılım Şenliği Sürüm 5 •Anahtarlardaki ayarlar; –vmps server nms.cs.hacettepe.edu.tr primary –Ethernet Arabirimleri •switchport access vlan dynamic –Gigabit Arabirimler •switchport mode trunk

30 4. Linux ve Özgür Yazılım Şenliği Sürüm 5 •VMPS Ayar Dosyası –vmps fallback STRANGER –vmps-mac-addrs –! For Network Laboratory –address 0002.E331.AF9F vlan-name NETLAB –address 0002.E331.AF6B vlan-name NETLAB –address 0002.E331.B126 vlan-name NETLAB –! For Academic Stuff –address B1.C551 vlan-name ACADEMICS –address F74.ACF3 vlan-name ACADEMICS •Mutlu son (mu acaba?)

31 4. Linux ve Özgür Yazılım Şenliği Öğrenci Dizüstü Bilgisayarları •Öğrencilerimiz artık “zengin”, •Dizüstü bilgisayarları ile internete bağlanabilmek istiyorlar, •Bunlar Tanımlı olmayan MAC adresleri; –VMPS sunucusu öntanımlı VLAN atıyor, –DHCP sunucusu /24 bloğundan IP veriyor •Güvenlik Duvarı bu bloğu NAT işlemine tabi tutuyor.

32 4. Linux ve Özgür Yazılım Şenliği Performans Analizi •Tüm servisler çalışırken –İşlemci •Uptime ile görülen yük 0.7’yi geçmedi. –Bellek •Kullanılan bellek 1Gb’yi geçmedi. –Kesilme sayısı •Ağın en yoğun olduğu anlarda: < 5000 •Dolayısı ile çok daha düşük bir donanım ile de aynı işin yapılabilmesi mümkün.

33 4. Linux ve Özgür Yazılım Şenliği Yapılacaklar •Şu an VMPS ve DHCP kendi ayar dosyalarını kullanıyor, •Bölümde bir envanter yazılımı yazılmak üzere –Yazılım tamamlandığında DHCP ve VMPS bu veritabanı temelli çalışmalı •CA sunucusu –Ödev teslim vb sistemler için bölüm içi sertifika sunucusu •OpenCA – Testleri tamamlandı 

34 4. Linux ve Özgür Yazılım Şenliği Yapılacaklar •VPN –Evden bağlanan akademisyenler / öğrenciler için •FreeSWAN – Yönetim amaçlı kullanılıyor. OpenCA’nın devreye girmesi ile birlikte çalışacak.

35 4. Linux ve Özgür Yazılım Şenliği Sonuç •Açık Kaynaklı yazılımları kullanarak –Maliyet düşürüldü •Sunucunun maliyeti 4500$ –Etkili ve başarılı performans •2002’den bu yana bölümde –Internet üzerinden bulaşan virüs olmadı. –Korsanlık olmadı. •Dezavantaj? –Dağıtık yönetim mümkün değil 

36 4. Linux ve Özgür Yazılım Şenliği Kaynak URL’ler •http://www.netfilter.org •http://www.tldp.org/HOWTO/Bridge+Firewall.ht ml •http://bridge.sourceforge.net •http://www.fwbuilder.org •http://www.snort.org •http://acidlab.sourceforge.net •http://www.ntop.org •http://www.openca.org •http://www.freeswan.org •http://sourceforge.net/projects/vmps

37 4. Linux ve Özgür Yazılım Şenliği Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulaması Seminer Sonu Katılımcılılarımıza teşekkür ederiz Kerem ERZURUMLU


"4. Linux ve Özgür Yazılım Şenliği Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulanması Kerem ERZURUMLU" indir ppt

Benzer bir sunumlar


Google Reklamları