Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulanması

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları ve İnternet
Advertisements

Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği
İNTERNET HABERLEŞME ARAÇLARI
SİSTEM YÖNETİMİ KOORDİNATÖRÜ
BBY 302 Bilgi Teknolojisi ve Yönetimi
METRO ETHERNET INTERNET Metro Ethernet ile alınabilecek servisler
IP ADRESLEME / YÖNLENDİRME
Bilgisayar Ağlarına Giriş
Filezilla Client & Server
Kerem ERZURUMLU Linux Sunucu Dünyası Kerem ERZURUMLU
İNTERNET.
İNTERNET VE İLETİŞİM.
Ağ Donanımları Cihazlar
Temel Linux Sunucusu Kurulumu
Bilgisayar Ağlarına Giriş
Örnek Kampüs Uygulamaları ODTÜ Ulaknet Sistem Yönetim Konferansı - Güvenlik.
Proje yönetiminde başarının yeni formülü. Daha başarılı projeler Daha ekonomik çözümler Daha özelleşmiş hizmetler için… Neden ?
Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.
DOVECOT İLE IMAP VE POP3 SERVER KURULUMU
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
İnternet ve e-posta Yönetimi
Bölüm 1 Ağlar ve Verİ İletİşİmİ
UZAKTAN EGİTİMDE SİSTEM ODASI TASARIMI VE İŞLETİLMESİ
2. HUB nedir? Swich nedir? Farkları nedir?
ALT AĞLAR.
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
BİLGİSAYAR AĞLARI.
DHCP SUNUCUSU KURULUMU VE YÖNETİMİ
İnternet Teknolojisi Temel Kavramlar
Sistem ve Ağ Yönetiminde Parola Yönetim Zorlukları
Açık Ders Malzemelerinde (ADM) Teknik Alt Yapı R. Orçun Madran
Bilgisayar Ağları Emre ÜNSAL Dokuz Eylül Üniversitesi
Dengeli İkili Ağaç Kerem ERZURUMLU Hacettepe Üniversitesi Bilgisayar Bilimleri Mühendisliği.
NAT: Network Address Translation (Ağ Adres Dönüşümü)
BİLGİSAYAR AĞLARINA GİRİŞ
METU-CC ODTÜ AntiVirüs Sistemi ODTÜ Bilgi İşlem Daire Başkanlığı İbrahim ÇALIŞIR 3 Ekim 2003.
Proje Konuları.
BİLGİSAYAR AĞLARINA GİRİŞ
Ağ Nedir IP Adresi DNS Sunucu
Türkiye’deki Üniversitelerde İnternet Tabanlı Akademik Kayıt ve Not Takip Sistemleri (IANTS) Y.Doç.Dr.Ender Özcan Yeditepe Üniversitesi.
İnternet Teknolojisi Temel Kavramlar
Erman Yukselturk1 PHP NEDİR? Scripting / Progralama dilidir (C’ye benzer) C ++ ortamında geliştirilmiştir Bedava / Açık Kod Hızlı, açık, dengeli (stable),
Chapter 5. Ağ Protokolleri
Anahtarlama Cihazları ile Laboratuvarların Internet Bağlantısının Etkin Kullanımı Fatih Ertam Akademik Bilişim 2013 Akdeniz Üniversitesi.
CensorNet Linux Internet Güvenlik Duvarı ve Kayıt Tutma Semineri
BTÖ 306 Bilgisayar Ağlarına Giriş Dr. Şirin Karadeniz Çelebi Uluyol.
Ağ Bağlantı Cihazları.
İKMAP İnternet 1 Ders Notu
TCP/IP Sorun Çözme ve Ağ Komutları
Bilgi ve İletişim Teknolojisi
AĞ DONANIMLARI Marmara BÖTE, 2012 – Osman Ay.
Ağlar ve Veri İletişimi
Chapter 3. Ağ Donanımları
V3.5 Gokhan AKIN ’ Cisco Catalyst 1900 – 2900XL – için Temel Konfigürasyon Dökümanı Gökhan AKIN – V3.5 – 2010 Istanbul Teknik Universitesi.
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
KIRKLARELİ ÜNİVERSİTESİ
Temel Ağ Cihazları.
Ağ Donanımları Ağ Nedir ? Ağ Donanımları Bridge Hub Switch Router
SUNUM KONU BAŞLIKLARI->
Çomar neyi çözecek? ● Ayarlama arayüzleri görev tabanlı olmalı ● Gündelik işler için komut satırı gerekmemeli ● Belgeleri yalnızca programcılar okuyor.
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
Bilgi İşlem Organizasyonu
Dünyanın bilgisine açılan pencere...
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
PROXY SERVER YASİN ÇAKIR
Mevlüt ARSLAN¹ İrfan ATABA޹ Ali ERİŞEN²
Dünyanın bilgisine açılan pencere...
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
I-BEKCI SİSTEMİNİN KAMPUS ORTAMINDA KULLANIMI
Sunum transkripti:

Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulanması Kerem ERZURUMLU kerem@linux.org.tr http://www.penguen.net Hacettepe Üniversitesi Bilgisayar Bilimleri Mühendisliği 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sunumun Amacı Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü’nde (HUBMB) oluşturulan geniş içerikli güvenlik duvarı sistemini tanıtmak, 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği İçerik Gereksinim Güvenlik Duvarı Seçenekleri Neden Açık Kaynak Donanım Geçiş Süreci Sürüm 1: Yönlendirici Anahtar Sürüm 2: Sürüm1 + Güvenlik Duvarı Sürüm 3: Sürüm2 + Yönetim Arayüzü Sürüm 4: Sürüm3 + Saldırı Tespit Sistemi + Sığa Takip Sürüm 5: Sürüm4 + VLAN Eklentileri Performans Analizi Yapılacaklar Sonuç 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Gereksinim HUBMB Yerel ağ 10Mbps HUB temelli, Bir sistem odası yok, Yapısal kablolama yok, 3 kat ve 4 koridora dağılmış BİDB ile bütünleşik bir yapı, 1999-2001 arası öğrenci korsanlıkları, Düzenlemeler için proje tanımlandı Mevcut aksaklıkları giderecek, Ağ üzerinde kontrol “bizde” olacak, 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Analiz Mevcut problemler incelendi, Kablolama büyük oranda yenilendi, Korsanlıklar incelendi Tüm olaylar sniffing temelli, 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Analiz Sonucu Aktif cihazların Anahtar (switch) ile değiştirilmesi, 100Mbps arabirimlere sahip olması, Omurganın 1Gbps hızında olması Güvenlik duvarı şart Seçenekler Köprülenmiş Güvenlik Duvarı Yönlendirilmiş Güvenlik Duvarı 4. Linux ve Özgür Yazılım Şenliği

Güvenlik Duvarı Seçenekleri CheckPoint En bilinen isim, herkesin ilk aklına gelen i-Bekçi Yerli malı, yurdun malı, Eski bir bölüm mezunu üretiyor, Açık Kaynak Güvenlik Duvarı Kontrol “bizde” 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Neden Açık Kaynak? En önemli neden maliyet Yoğun ısrar  4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Donanım Eş sunuculardan biri adandı Dell PowerEdge 2650 Çift Xeon 2.4 GHz MP işlemci 6 Gb bellek 5 adet 73 Gb SCSI disk 2 adet on-board 1 Gbps ethernet 2 adet quad gigabit ethernet kartı Sunucu fazlası ile büyük geldi  4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Geçiş Süreci Düz bir yapıdan, yönlendirilen yapıya geçiş söz konusu. 2 hafta süresince, sniffer MAC adreslerini topladı, DHCP sunucusu kuruldu ve aktif hale getirildi, Böylece geçiş kullanıcılara saydam. IP bloğu 8 farklı bölüme bölündü. 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği IP Blokları 193.140.236.0/28 Sunucular 193.140.236.16/28 Diğer 193.140.236.32/27 Ağ Laboratuvarı 193.140.236.64/26 Akademik 193.140.236.128/27 Yazılım Laboratuvarı 193.140.236.160/27 Veritabanı Laboratuvarı 193.140.236.192/27 Boş 193.140.236.224/27 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 1 Akademik blok problem oldu Tüm akademisyenler aynı katta/koridorda değil, Anahtarlayan köprü gerekli, 3 arabirim köprü olarak tanımlandı. Güvenlik duvarı devreye alınmadan yanlızca 3. katman anahtar gibi çalıştırıldı. 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 1 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 2 Güvenlik duvarı çekirdeği günlenerek 2.6.2’ye geçildi. iptables destekli İlk kural “netbios” protokolü hariç herşeye izin ver. 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 3 Metin tabanlı yönetim problem. Arayüz arayışları “fwbuilder” ile son buldu. Grafik arabirim aracılığı ile kural üretmek ve uzaktan yönetmek mümkün. 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 3 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 4 Güvenlik için tek başına güvenlik duvarı yeterli değil, Özellikle worm ve virüs koruması için IDS gerekli. Aynı zamanda kim ne kadar hat kullanmış izlemek gerek  IDS çözümü: Snort + MySQL + ACID Sığa Takip: ntop 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği IDS Snort kullanıldı, Alarm vertabanının düzenli olarak günlenmesi sağlandı. Normalde yanlızca tek arabirim dinler, Bizde br0, eth0, eth4, eth5, eth6, eth7, eth8, eth9’u dinleyecek şekilde ayarlandı Alarmları MySQL veritabanına ekledi. Alarmları takip için web tabanlı ACID tercih edildi. ACID her index.php çağrıldığında “alert cache”i üzerinde işlem yapıyor, Bu da günün ilk çağırısında çok vakit alıyor. Çözüm: Crontab aracılığı ile 5 dakikada bir index.php dosyası istendi 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği IDS 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği IDS 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sığa Takip Ntop ayarlaması en zor bileşen oldu İstediğimiz biçimde çalışmasını sağlamak vakit aldı. Parametreler --interface eth0,eth1,br0,eth5...eth9 -m 193.140.236.0/24,192.168.11.1 --no-promiscuous -o -t 1 -M 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sığa Takip 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 5 İstekler bitmez! Akademisyenler dersliklere gittiklerinde dizüstü bilgisayarları internete çıkamıyor, ayar gerektiriyor. Çözüm VLAN uygulaması Güvenlik Duvarından önce bir anahtar koyarak VLAN’ları taşınabilir, Güvenlik Duvarı VLAN’lardan anlayabilir Tabiki zor olanı tercih ettik  4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 5 Cisco cihazları dinamik VLAN destekli, VMPS sunucusu aracılığı ile VLAN yönetilebiliyor, Linux çekirdeği 802.1q destekli derlendi. Fakat çalışmadı. Nedeni Jumbo ethernet paket gereksinimi Linux çekirdeğinde ufak bir modifikasyon  4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 5 Anahtarlardaki ayarlar; vmps server nms.cs.hacettepe.edu.tr primary Ethernet Arabirimleri switchport access vlan dynamic Gigabit Arabirimler switchport mode trunk 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sürüm 5 VMPS Ayar Dosyası vmps fallback STRANGER vmps-mac-addrs ! For Network Laboratory address 0002.E331.AF9F vlan-name NETLAB address 0002.E331.AF6B vlan-name NETLAB address 0002.E331.B126 vlan-name NETLAB ! For Academic Stuff address 0004.75B1.C551 vlan-name ACADEMICS address 0002.3F74.ACF3 vlan-name ACADEMICS Mutlu son (mu acaba?) 4. Linux ve Özgür Yazılım Şenliği

Öğrenci Dizüstü Bilgisayarları Öğrencilerimiz artık “zengin”, Dizüstü bilgisayarları ile internete bağlanabilmek istiyorlar, Bunlar Tanımlı olmayan MAC adresleri; VMPS sunucusu öntanımlı VLAN atıyor, DHCP sunucusu 192.168.58.0/24 bloğundan IP veriyor Güvenlik Duvarı bu bloğu NAT işlemine tabi tutuyor. 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Performans Analizi Tüm servisler çalışırken İşlemci Uptime ile görülen yük 0.7’yi geçmedi. Bellek Kullanılan bellek 1Gb’yi geçmedi. Kesilme sayısı Ağın en yoğun olduğu anlarda: < 5000 Dolayısı ile çok daha düşük bir donanım ile de aynı işin yapılabilmesi mümkün. 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Yapılacaklar Şu an VMPS ve DHCP kendi ayar dosyalarını kullanıyor, Bölümde bir envanter yazılımı yazılmak üzere Yazılım tamamlandığında DHCP ve VMPS bu veritabanı temelli çalışmalı CA sunucusu Ödev teslim vb sistemler için bölüm içi sertifika sunucusu OpenCA – Testleri tamamlandı  4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Yapılacaklar VPN Evden bağlanan akademisyenler / öğrenciler için FreeSWAN – Yönetim amaçlı kullanılıyor. OpenCA’nın devreye girmesi ile birlikte çalışacak. 4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Sonuç Açık Kaynaklı yazılımları kullanarak Maliyet düşürüldü Sunucunun maliyeti 4500$ Etkili ve başarılı performans 2002’den bu yana bölümde Internet üzerinden bulaşan virüs olmadı. Korsanlık olmadı. Dezavantaj? Dağıtık yönetim mümkün değil  4. Linux ve Özgür Yazılım Şenliği

4. Linux ve Özgür Yazılım Şenliği Kaynak URL’ler http://www.netfilter.org http://www.tldp.org/HOWTO/Bridge+Firewall.html http://bridge.sourceforge.net http://www.fwbuilder.org http://www.snort.org http://acidlab.sourceforge.net http://www.ntop.org http://www.openca.org http://www.freeswan.org http://sourceforge.net/projects/vmps 4. Linux ve Özgür Yazılım Şenliği

Kerem ERZURUMLU kerem@linux.org.tr http://www.penguen.net Açık Kaynak Güvenlik Duvarı Gerçekleştirimi ve Uygulaması Seminer Sonu Katılımcılılarımıza teşekkür ederiz Kerem ERZURUMLU kerem@linux.org.tr http://www.penguen.net 4. Linux ve Özgür Yazılım Şenliği