Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulanması Kerem ERZURUMLU kerem@linux.org.tr http://www.penguen.net Hacettepe Üniversitesi Bilgisayar Bilimleri Mühendisliği 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sunumun Amacı Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü’nde (HUBMB) oluşturulan geniş içerikli güvenlik duvarı sistemini tanıtmak, 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği İçerik Gereksinim Güvenlik Duvarı Seçenekleri Neden Açık Kaynak Donanım Geçiş Süreci Sürüm 1: Yönlendirici Anahtar Sürüm 2: Sürüm1 + Güvenlik Duvarı Sürüm 3: Sürüm2 + Yönetim Arayüzü Sürüm 4: Sürüm3 + Saldırı Tespit Sistemi + Sığa Takip Sürüm 5: Sürüm4 + VLAN Eklentileri Performans Analizi Yapılacaklar Sonuç 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Gereksinim HUBMB Yerel ağ 10Mbps HUB temelli, Bir sistem odası yok, Yapısal kablolama yok, 3 kat ve 4 koridora dağılmış BİDB ile bütünleşik bir yapı, 1999-2001 arası öğrenci korsanlıkları, Düzenlemeler için proje tanımlandı Mevcut aksaklıkları giderecek, Ağ üzerinde kontrol “bizde” olacak, 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Analiz Mevcut problemler incelendi, Kablolama büyük oranda yenilendi, Korsanlıklar incelendi Tüm olaylar sniffing temelli, 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Analiz Sonucu Aktif cihazların Anahtar (switch) ile değiştirilmesi, 100Mbps arabirimlere sahip olması, Omurganın 1Gbps hızında olması Güvenlik duvarı şart Seçenekler Köprülenmiş Güvenlik Duvarı Yönlendirilmiş Güvenlik Duvarı 4. Linux ve Özgür Yazılım Şenliği
Güvenlik Duvarı Seçenekleri CheckPoint En bilinen isim, herkesin ilk aklına gelen i-Bekçi Yerli malı, yurdun malı, Eski bir bölüm mezunu üretiyor, Açık Kaynak Güvenlik Duvarı Kontrol “bizde” 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Neden Açık Kaynak? En önemli neden maliyet Yoğun ısrar 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Donanım Eş sunuculardan biri adandı Dell PowerEdge 2650 Çift Xeon 2.4 GHz MP işlemci 6 Gb bellek 5 adet 73 Gb SCSI disk 2 adet on-board 1 Gbps ethernet 2 adet quad gigabit ethernet kartı Sunucu fazlası ile büyük geldi 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Geçiş Süreci Düz bir yapıdan, yönlendirilen yapıya geçiş söz konusu. 2 hafta süresince, sniffer MAC adreslerini topladı, DHCP sunucusu kuruldu ve aktif hale getirildi, Böylece geçiş kullanıcılara saydam. IP bloğu 8 farklı bölüme bölündü. 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği IP Blokları 193.140.236.0/28 Sunucular 193.140.236.16/28 Diğer 193.140.236.32/27 Ağ Laboratuvarı 193.140.236.64/26 Akademik 193.140.236.128/27 Yazılım Laboratuvarı 193.140.236.160/27 Veritabanı Laboratuvarı 193.140.236.192/27 Boş 193.140.236.224/27 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 1 Akademik blok problem oldu Tüm akademisyenler aynı katta/koridorda değil, Anahtarlayan köprü gerekli, 3 arabirim köprü olarak tanımlandı. Güvenlik duvarı devreye alınmadan yanlızca 3. katman anahtar gibi çalıştırıldı. 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 1 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 2 Güvenlik duvarı çekirdeği günlenerek 2.6.2’ye geçildi. iptables destekli İlk kural “netbios” protokolü hariç herşeye izin ver. 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 3 Metin tabanlı yönetim problem. Arayüz arayışları “fwbuilder” ile son buldu. Grafik arabirim aracılığı ile kural üretmek ve uzaktan yönetmek mümkün. 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 3 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 4 Güvenlik için tek başına güvenlik duvarı yeterli değil, Özellikle worm ve virüs koruması için IDS gerekli. Aynı zamanda kim ne kadar hat kullanmış izlemek gerek IDS çözümü: Snort + MySQL + ACID Sığa Takip: ntop 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği IDS Snort kullanıldı, Alarm vertabanının düzenli olarak günlenmesi sağlandı. Normalde yanlızca tek arabirim dinler, Bizde br0, eth0, eth4, eth5, eth6, eth7, eth8, eth9’u dinleyecek şekilde ayarlandı Alarmları MySQL veritabanına ekledi. Alarmları takip için web tabanlı ACID tercih edildi. ACID her index.php çağrıldığında “alert cache”i üzerinde işlem yapıyor, Bu da günün ilk çağırısında çok vakit alıyor. Çözüm: Crontab aracılığı ile 5 dakikada bir index.php dosyası istendi 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği IDS 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği IDS 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sığa Takip Ntop ayarlaması en zor bileşen oldu İstediğimiz biçimde çalışmasını sağlamak vakit aldı. Parametreler --interface eth0,eth1,br0,eth5...eth9 -m 193.140.236.0/24,192.168.11.1 --no-promiscuous -o -t 1 -M 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 5 İstekler bitmez! Akademisyenler dersliklere gittiklerinde dizüstü bilgisayarları internete çıkamıyor, ayar gerektiriyor. Çözüm VLAN uygulaması Güvenlik Duvarından önce bir anahtar koyarak VLAN’ları taşınabilir, Güvenlik Duvarı VLAN’lardan anlayabilir Tabiki zor olanı tercih ettik 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 5 Cisco cihazları dinamik VLAN destekli, VMPS sunucusu aracılığı ile VLAN yönetilebiliyor, Linux çekirdeği 802.1q destekli derlendi. Fakat çalışmadı. Nedeni Jumbo ethernet paket gereksinimi Linux çekirdeğinde ufak bir modifikasyon 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 5 Anahtarlardaki ayarlar; vmps server nms.cs.hacettepe.edu.tr primary Ethernet Arabirimleri switchport access vlan dynamic Gigabit Arabirimler switchport mode trunk 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sürüm 5 VMPS Ayar Dosyası vmps fallback STRANGER vmps-mac-addrs ! For Network Laboratory address 0002.E331.AF9F vlan-name NETLAB address 0002.E331.AF6B vlan-name NETLAB address 0002.E331.B126 vlan-name NETLAB ! For Academic Stuff address 0004.75B1.C551 vlan-name ACADEMICS address 0002.3F74.ACF3 vlan-name ACADEMICS Mutlu son (mu acaba?) 4. Linux ve Özgür Yazılım Şenliği
Öğrenci Dizüstü Bilgisayarları Öğrencilerimiz artık “zengin”, Dizüstü bilgisayarları ile internete bağlanabilmek istiyorlar, Bunlar Tanımlı olmayan MAC adresleri; VMPS sunucusu öntanımlı VLAN atıyor, DHCP sunucusu 192.168.58.0/24 bloğundan IP veriyor Güvenlik Duvarı bu bloğu NAT işlemine tabi tutuyor. 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Performans Analizi Tüm servisler çalışırken İşlemci Uptime ile görülen yük 0.7’yi geçmedi. Bellek Kullanılan bellek 1Gb’yi geçmedi. Kesilme sayısı Ağın en yoğun olduğu anlarda: < 5000 Dolayısı ile çok daha düşük bir donanım ile de aynı işin yapılabilmesi mümkün. 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Yapılacaklar Şu an VMPS ve DHCP kendi ayar dosyalarını kullanıyor, Bölümde bir envanter yazılımı yazılmak üzere Yazılım tamamlandığında DHCP ve VMPS bu veritabanı temelli çalışmalı CA sunucusu Ödev teslim vb sistemler için bölüm içi sertifika sunucusu OpenCA – Testleri tamamlandı 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Yapılacaklar VPN Evden bağlanan akademisyenler / öğrenciler için FreeSWAN – Yönetim amaçlı kullanılıyor. OpenCA’nın devreye girmesi ile birlikte çalışacak. 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Sonuç Açık Kaynaklı yazılımları kullanarak Maliyet düşürüldü Sunucunun maliyeti 4500$ Etkili ve başarılı performans 2002’den bu yana bölümde Internet üzerinden bulaşan virüs olmadı. Korsanlık olmadı. Dezavantaj? Dağıtık yönetim mümkün değil 4. Linux ve Özgür Yazılım Şenliği
4. Linux ve Özgür Yazılım Şenliği Kaynak URL’ler http://www.netfilter.org http://www.tldp.org/HOWTO/Bridge+Firewall.html http://bridge.sourceforge.net http://www.fwbuilder.org http://www.snort.org http://acidlab.sourceforge.net http://www.ntop.org http://www.openca.org http://www.freeswan.org http://sourceforge.net/projects/vmps 4. Linux ve Özgür Yazılım Şenliği
Kerem ERZURUMLU kerem@linux.org.tr http://www.penguen.net Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulaması Seminer Sonu Katılımcılılarımıza teşekkür ederiz Kerem ERZURUMLU kerem@linux.org.tr http://www.penguen.net 4. Linux ve Özgür Yazılım Şenliği