Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Özkan KIRIK EnderUNIX Yazılım Geliştirme Takımı Dönem Lideri – Yazılım Geliştiricisi FreeBSD IPFireWall.

Benzer bir sunumlar


... konulu sunumlar: "Özkan KIRIK EnderUNIX Yazılım Geliştirme Takımı Dönem Lideri – Yazılım Geliştiricisi FreeBSD IPFireWall."— Sunum transkripti:

1 Özkan KIRIK EnderUNIX Yazılım Geliştirme Takımı Dönem Lideri – Yazılım Geliştiricisi FreeBSD IPFireWall Ve netUstad Yazılımı

2 Güvenlik Duvarı (Firewall) Nedir? Bir sistemin özel kısımlarını, genel kullanıma açık kısımlarından ayırt eden, kullanıcıların kendilerine tanınan haklardan daha fazlasını almalarını engelleyen ve belirlenen güvenlik politikalarını uygulayan yapılardır.

3 Güvenlik Duvarının Ağ Üzerindeki Yeri Güvenlik Duvarı, Internet ile yerel ağ arasındaki tek geçiş noktası olmalıdır. FireWall İnternet Yerel Ağ Filtrelenmiş Veri Filtrelenmemiş Veri

4 IPFireWall’un Özellikleri Statik Paket Filtreleme Statik Paket Filtreleme Statefull Paket Filtreleme Statefull Paket Filtreleme Layer II, Layer III Seviyelerinde Kural Yazabilme Layer II, Layer III Seviyelerinde Kural Yazabilme Paket Trafiği Düzenleme (Bant Genişliği ve Queue) Paket Trafiği Düzenleme (Bant Genişliği ve Queue) IPSTEALTH Paket İletme IPSTEALTH Paket İletme Lookup Table Lookup Table Kural Takımları (Rule Set) Kural Takımları (Rule Set) Kural dosyaları için PreProcessor desteği Kural dosyaları için PreProcessor desteği Jail’lerin trafiğini yönetebilme Jail’lerin trafiğini yönetebilme Arayüzler için Antispoof desteği Arayüzler için Antispoof desteği

5 IPFireWall’u Aktif Hale Getirmek IPFirewall’u kullanabilmek için 2 farkı yöntem: Çekirdeğe statik olarak ekleyebiliriz Çekirdeğe statik olarak ekleyebiliriz Çekirdek modülü olarak yükleyebiliriz Çekirdek modülü olarak yükleyebiliriz

6 IPFireWall’u Çekirdeğe Statik Olarak Eklemek Çekirdek konfigürasyon dosyasına optionsIPFIREWALL # Firewall Aktif optionsIPFIREWALL_VERBOSE # Log Tutma (syslogd) optionsIPFIREWALL_FORWARD # Paket İletme (FreeBSD 5.x ve sonrasında kaldırıldı) optionsIPDIVERT # Port Yönlendirme optionsDUMMYNET # Bant genişliği ve Trafik Düzenleme optionsIPSTEALTH # Traceroute araçlarından gizlenme Parametrelerini ekleyip, çekirdeği tekrar derlemeliyiz.

7 IPFireWall’u Modül Olarak Yüklemek Eğer sunucunuzun başında iseniz Eğer sunucunuzun başında iseniz # kldload ipfw komutu ile ipfw modülünü yükleyebilirsiniz. komutu ile ipfw modülünü yükleyebilirsiniz. Ancak standart kural “tüm paketleri engelle” Ancak standart kural “tüm paketleri engelle” olduğu için tüm ağ bağlantılarınız kesilecektir. olduğu için tüm ağ bağlantılarınız kesilecektir. Eğer sunucunuza ağ üzerinde bağlı iseniz Eğer sunucunuza ağ üzerinde bağlı iseniz # kldload ipfw && \ ipfw add allow all from any to any ipfw add allow all from any to any komutu ile ağ bağlantılarınız kesilmeden ipfw modülünü yükleyebilirsiniz. komutu ile ağ bağlantılarınız kesilmeden ipfw modülünü yükleyebilirsiniz.

8 IPFireWall Kullanımı IPFireWall’un söz dizimi: ipfw add [rule_no] [set set_no] [log] ipfw add [rule_no] [set set_no] [log] ipfw {list|show} [rule_no | range] ipfw set [disable set_no] [enable set_no] ipfw table table_no {add|delete|list} ipfw table table_no {add|delete|list} ipfw {pipe | queue} number config config-options ipfw [–p preproc [preproc-flags]] filename Örnekler: ipfw add 10 set 1 allow log tcp from any to any 22 ipfw show ipfw set disable 1 ipfw table 1 add ipfw pipe 1 config bw 100Kbit/s ipfw –p cpp /etc/ipfw.rules

9 IPFireWall Kural İşlemleri (Actions) Paketlere uygulanabilecek başlıca işlemler, allow | accept | pass | permit allow | accept | pass | permit deny | drop deny | drop divert port divert port forward | fwd ipaddr[,port] forward | fwd ipaddr[,port] pipe, queue pipe, queue reset reset skipto number skipto number unreach code unreach code

10 IPFireWall ve Network Address Translation (natd) IPFireWall, nat işlemini doğrudan kendisi yapmıyor. Bu nedenle bu işi yapabilecek bir yazılım (natd) kullanıyor. natd, kullanıcı tarafında bir deamon olarak hizmet veriyor. ipfw ile nat işlemine tabii tutmak istediğimiz paketleri belirleyip divert işlemine tabii tutarak nat daemon’a göndeririz. natd, gelen pakete gerekli işlemleri uyguladıktan sonra paketi firewall’a gönderir. ipfw natd NATyapılacakPaket ( divert ) NAT yapılmış paket ( allow, pipe )

11 IPFireWall ve Network Address Translation (natd) Yapılması gereken düzenlemeler; /etc/rc.conf dosyası /etc/rc.conf dosyasınatd_enable=“YES” natd_flags=“-f /etc/natd.conf” /etc/natd.conf dosyası /etc/natd.conf dosyası same_ports yes redirect_address redirect_address redirect_port : redirect_port : alias_address alias_address ipfw kuralları ipfw kuralları ipfw add divert natd all from any to any ipfw add divert natd all from any to any

12 IPFireWall ile Trafik Düzenleme Statik Bant Genişliği Düzenleme: Statik Bant Genişliği Düzenleme: ipfw pipe 1 config bw 256Kbit/s ipfw pipe 2 config bw 64Kbit/s ipfw add pipe 1 all from any to /24 in ipfw add pipe 2 all from /24 to any out

13 IPFireWall ile Trafik Düzenleme Dinamik Bant Genişliği Düzenleme: Belirli bir hızı düzenli paylaştırma, Belirli bir hızı düzenli paylaştırma, ipfw pipe 3 config bw 2Mbit/s ipfw queue 1 config weight 5 pipe 3 ipfw queue 2 config weight 2 pipe 3 ipfw queue 3 config weight 1 pipe 3 ipfw add queue 1 all from to any keep-state ipfw add queue 2 all from to any keep-state ipfw add queue 3 all from /24 to any keep-state

14 IPFireWall ile Trafik Düzenleme Dinamik Bant Genişliği Düzenleme: Tüm kullanıcıların hızını sabit değerle sınırlama, ipfw pipe 4 config bw 56Kbit/s mask src-ip 0xffffff ipfw pipe 5 config bw 56Kbit/s mask dst-ip 0xffffff ipfw add pipe 4 all from /24 to any ipfw add pipe 5 all from any to /24

15 netUstad – Network Üstadı Ağ Yönetimini Kolaylaştırmak Ağ Yönetimini Kolaylaştırmak Kullanıcıdan kaynaklanabilecek yazım hatalarını en aza indirgemek Kullanıcıdan kaynaklanabilecek yazım hatalarını en aza indirgemek Ağ servislerini birarada yönetmek Ağ servislerini birarada yönetmek IBM Linux Başarı Ödülleri 2004 Finalisti olan netUstad; Amacıyla geliştirilmiş ve geliştirilmeye devam eden bir yazılımdır. Proje Sayfası: Özkan KIRIK EnderUNIX Yazılım Geliştirme Takımı Dönem Lideri – Yazılım Geliştiricisi

16 netUstad – Network Üstadı FreeBSD ve Linux Platformlarında Çalışabilir FreeBSD ve Linux Platformlarında Çalışabilir Kendi HTTP/HTTPS Sunucusunu Barındırıyor Kendi HTTP/HTTPS Sunucusunu Barındırıyor FreeBSD’de ipfw ve natd Yönetimi FreeBSD’de ipfw ve natd Yönetimi Linux’ta iptables Yönetimi Linux’ta iptables Yönetimi Routing Tablosu Yönetimi Routing Tablosu Yönetimi Ağ Arayüzleri Yönetimi Ağ Arayüzleri Yönetimi Kullanıcı Arayüzü için SSL desteği Kullanıcı Arayüzü için SSL desteği Çoklu Dil Desteği (NLS – Gettext) Çoklu Dil Desteği (NLS – Gettext) netUstad’ın Özellikleri;

17

18

19

20

21

22 EnderUNIX Yazılım Geliştirme Takımı Yazılım geliştirme konusunda dünyaca kabul görmüş yerli bilgi ve yerli ürün üretmek misyonuyla kurulmuştur. Türkiye’de kurulan ilk açık kod yazılım geliştirme takımıdır. Kurulduğu günden beri aktif olarak proje ve bilgi üreten ve üretmeye devam eden bir oluşumdur. İç tüzüğü ve çalışma prensipleri tanımlanmış yarı sanal yarı gerçek bir organizasyondur. Şu ana kadar tüm dünyada kullanılan, değişik işletim sistemlerine port edilen 12 adet yazılım çıkarmıştır.

23 EnderUNIX Yazılım Geliştirme Takımı Organizasyon Yapısı Çekirdek Takım: Çekirdek Takım: İsmail YENİGÜL İsmail YENİGÜL Murat BALABAN Murat BALABAN Ömer Faruk ŞEN Ömer Faruk ŞEN Barış ŞİMŞEK Barış ŞİMŞEK ÇekirdekTakım Yazılım Geliştirme Takımı Destekleyenler Kullanıcılar Kullanıcılar Yazılım Geliştirme Takımı Yazılım Geliştirme Takımı Halil DEMİREZEN Halil DEMİREZEN Atılım BOY Atılım BOY Necati Ersen ŞİŞECİ Necati Ersen ŞİŞECİ Özkan KIRIK Özkan KIRIK Destekleyenler Destekleyenler Özgür ÖZDEMİRCİLİ Özgür ÖZDEMİRCİLİ Huzeyfe ÖNAL Huzeyfe ÖNAL Marmara Üniversitesi Marmara Üniversitesi 9 Eylül Üniversitesi 9 Eylül Üniversitesi

24 EnderUNIX Yazılım Geliştirme Takımı Projelerimiz Isoqlog: Sendmail, qmail, postfix ve exim destekleyen Mail Sunucu log analiz programı. Isoqlog: Sendmail, qmail, postfix ve exim destekleyen Mail Sunucu log analiz programı. Vpwd2SQL: /etc/[shadow|master.passwd] dosyalarını vpopmail kullanıcılarına dönüştürür Vpwd2SQL: /etc/[shadow|master.passwd] dosyalarını vpopmail kullanıcılarına dönüştürür QLDAPAdmin: qmail kullanıcılarının bilgilerinin tutulduğu LDAP dizinlerini yönetim uygulamasıdır QLDAPAdmin: qmail kullanıcılarının bilgilerinin tutulduğu LDAP dizinlerini yönetim uygulamasıdır spamGuard: Sendmail, postfix ve qmail destekleyen spam önleyici uygulama spamGuard: Sendmail, postfix ve qmail destekleyen spam önleyici uygulama Aget: Multithreaded download programı Aget: Multithreaded download programı Hafiye: POSIX uyumlu, kişiselleştirilebilir bir TCP/IP ağ paket dinleyicisi Hafiye: POSIX uyumlu, kişiselleştirilebilir bir TCP/IP ağ paket dinleyicisi

25 EnderUNIX Yazılım Geliştirme Takımı Projelerimiz Knowlan: ARP protokolü bazlı, yerel ağdaki bilgisayarların IP ve network kartı ARP bilgisini listeler. Knowlan: ARP protokolü bazlı, yerel ağdaki bilgisayarların IP ve network kartı ARP bilgisini listeler. Zabit: Zabit, qmail için yazılmış bir içerik ve eklenti filtreleyicidir. Zabit: Zabit, qmail için yazılmış bir içerik ve eklenti filtreleyicidir. netUstad: Network servislerini kolayca webden yönetebilmek için bir arabirim netUstad: Network servislerini kolayca webden yönetebilmek için bir arabirim qSheff: qmail Antivirüs & İçerik Filitreleme Aracı Program qSheff: qmail Antivirüs & İçerik Filitreleme Aracı Program VoIPong: Voice Over IP Sniffer VoIPong: Voice Over IP Sniffer CheckDNS: DNS Sunucu analizi yapan ve raporu HTML olarak üreten bir program. CheckDNS: DNS Sunucu analizi yapan ve raporu HTML olarak üreten bir program.

26 -- Teşekkürler -- Özkan KIRIK EnderUNIX Yazılım Geliştirme Takımı Dönem Lideri – Yazılım Geliştiricisi Sorular


"Özkan KIRIK EnderUNIX Yazılım Geliştirme Takımı Dönem Lideri – Yazılım Geliştiricisi FreeBSD IPFireWall." indir ppt

Benzer bir sunumlar


Google Reklamları