AHTAPOT GDYS Kurulum Yönergesi Bu dökümanda, Ahtapot projesi kapsamında geliştirilmiş Güvenlik Duvarı Yönetim Sistemi nin (GDYS) kurulum adımları belirtilmektedir. İçerik Önemli Uyarılar GDYS Çalışma Prensip Şeması GDYS Çalışma Prensibi Açıklamaları
GDYS Sunucu Gereksinimleri GDYS Kurulum Adımları Önemli Uyarılar 1. Bütünleşik yapıya ait GDYS kurulumunun dökümanda belirtilen sıralamaya göre yapılması mecburidir. Bu sıralamanın dışana çıkılması entegrasyonun düzgün gerçekleşmemesine neden olacaktır. 2. Test ortamı amaçlı yapılacak kurulumlarda, BilgiO A.Ş. tarafından sağlanan anahtarlar kullanılacak ise, oluşturulacak makinalardın domain adreslerinin gdys.local olması zaruridir. Aksi durumlarda sistemlerin çalışmasında sorun yaşanabilmektedir. Bu yönerge dökümanından hareketle yapılan kurulum sonrasında, birbirleri ile entegre şekilde çalışan ve Ansible, GitLab, Rsyslog, FWbuilder ve CA ana bileşenlerinden oluşan bir sistem inşa edilmiş olacaktır. GDYS sistemi temel olarak, Merkezi Yönetim Sistemi (MYS) ve Merkezi Sürüm Takibi (GitLab) kullanılarak sunucu kurulum ve ilk yapılandırmalarının gerçekleştirilmesi işlemlerini sağlamakta ve merkez ile bağlantısı bulunan uç güvenlik duvarı birimlerinde, kural girişi gibi güvenlik duvarı yönetim işlerinin bir onay mekanizmasına tabii tutularak merkezi ve kontrollü olarak gerçekleştirilmesi işlemlerini yerine getirmektedir. Ahtapot GDYS Dökümantasyon v1.32
GDYS Çalışma Prensip Şeması Ahtapot GDYS Dökümantasyon v1.33
GDYS Çalışma Prensibi Açıklamaları Yukarıdaki şemada gösterildiği üzere GDYS sisteminin çalışma prensibini tanımlayan işleyiş listesi aşağıdaki gibidir: 1. Firewall kuralı ekleme kaldırma gibi yönetimsel işleri yapacak olan personelin istemci bilgisayarından, üzerinde firewall builder kurulu olan ve GDYS nin ana bileşenlerinden birisi olan Firewall Builder uygulamasının kurulu olduğu sunucuya kısıtlandırılmış SSH anahtar mekanizmasıyla ve SSH x-forwarding ile açılan tünel içerisinden BilgiO A.Ş tarafından gelişitirilmiş olan Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli uygulamasına kontrollü olarak ulaşılır. 2. Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli detaylı olarak AHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi dökümanında anlatıldığı üzere Firewall Builder isimli GUI uygulamasının hangi koşullarda çalıştırılacağını belirleyen ana uygulamadır. Bu uygulama üzerinde Firewall Builder GUI uygulaması çalıştırılır. 3. Firewall Builder arayüzünden, kural ekleme çıkarma gibi ihtiyaç duyulan işlemler yapılır ve standart Firewall Builder işleyişinde olduğu gibi install butonu kullanılarak değişiklikler sisteme yansıtılır. 4. Yukarıdaki adım vasıtası ile Firewall Builder tarafından uç güvenlik duvarlarında yapılması istenen değişiklikler öncelikli olarak güvenlik duvarı rolüne sahip bir test makinası üzerinde söz dizimi bakımından test edilir, herhangi bir hata alınmaması durumunda da yetkili onayına sunulmak üzere, onay mekanizmasının merkezinde bulunan GitLab sunucusu üzerindeki bir git deposuna eklenme talebi (merge request) olarak gönderilir. merge-request şeklinde iletilen değişiklik talepleri yetkili tarafından onaylandıklarında ilgili uç birim güvenlik duvarlarına uygulanmak üzere ansible makinasının erişeceği ana git deposuna aktarılır. 5. Ansible makinası tarafından belirlenen aralıklar ile GitLab a bağlantı kurarak değişiklik olup olmadığını kontrol edilir. Değişiklik olması durumda değişiklikleri ve hangi uç birim güvenlik duvarlarına uygulanacağı bilgisini alarak, otomatize edilmiş bir şekilde uç sistemlerde uygulanması sağlanır. Bu şekilde Firewall Builder arayüzünden yapılan değişiklikler ilgili uç birim güvenlik duvarlarında öncesinde onaydan geçerek devreye Ahtapot GDYS Dökümantasyon v1.34
alınır. Değişiklik talepleri onaydan geçememeleri durumunda, reddedilir ve uç birim güvenlik duvarlarında devreye alınmaksızın yok sayılır. Ahtapot GDYS Dökümantasyon v1.35
GDYS Sunucu Gereksinimleri Sunucu Rolü RAM CPU Disk Network Ahtapot Ansible 8 GB 4 x 2.0GHz 200G 1 x 1Gbit/sec Ahtapot GitLab 8 GB 4 x 2.0GHz 100G 1 x 1Gbit/sec Ahtapot CA 2 GB 1 x 2.0GHz 100G 1 x 1Gbit/sec Ahtapot FWBuilder 8 GB 4 x 2.0GHz 100G 1 x 1Gbit/sec Ahtapot FWtest 1 GB 1 x 2.0GHz 70G 1 x 1Gbit/sec GDYS Ayrı Kurulum Adımları 1. GDYS yapısına ait ana bileşenleri oluşturmak amacı ile AHTAPOT Pardus Temel ISO Kurulumu dökümanı kullanılarak GDYS Sunucu Gereksinimleri nde belirtilmiş olan CA, Ansible, GitLab, FirewallBuilder ve Uç Birim Test Sunucusu ihtiyaçlarını karşılayan toplamda sekiz adet olmak üzere, Ansible,GitLab ve FirewallBuilder sunucularından yedeklilik için ikişer adet kurulur. 2. AHTAPOT CA Kurulumu dökümanı takip edilerek, proje dahilindeki kullanıcıların açık anahtarlarını oluşturmak için kullanılacak CA sunucusu oluşturulur. 3. AHTAPOT Ansible Kurulumu dökümanı takip edilerek, proje kapsamında kullanılacak Merkezi Yönetim Sistemi sunucusu oluşturulur. 4. AHTAPOT GitLab Kurulumu dökümanı takip edilerek, proje kapsamında kullanılacak Onay Mekanizması ve Merkezi Sürüm Takip Sistemini barındıracak sunucu oluşturulur. Ahtapot GDYS Dökümantasyon v1.36
5. AHTAPOT FirewallBuilder Kurulumu dökümanı takip edilerek, Firewall Builder arayüzü ve bu arayüzün onay mekanizması ile bağlantısını sağlayan Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli nin kurulduğu sunucu oluşturulur. 6. AHTAPOT Rsyslog Kurulumu dökümanı takip edilerek, tüm sunucuların loglarını göndereceği rsyslog mimarisi kurulur. 7. AHTAPOT Merkezi Yönetim Otoritesi dökümanı takip edilerek, ISO ile birlikte gelen anahtarlar, kurum tarafından oluşturulan güvenli anahtarlar ile değiştirilir. 8. FirewallBuilder arayüzü ile oluşturulan kuralları söz dizimi bakımdan test etmek için kullanılacak Uç Birim Test Sunucusu AHTAPOT Güvenlik Duvarı Kurulumu dökümanı takip edilerek kurulur. Yukarıdaki adımların tamamlanması ile, uç birim olarak kullanılacak sunucuların kurulum ve yönetimi yapılabilir sistem ayağa kalkmış olacaktır. Bu aşamadan sonra kurulmak istenen her uç birim için, GDYS Sunucu Gereksinimleri başlığı altında bulunun uç birim gerekliliklerini karşılayan sunucu üzerine AHTAPOT Pardus Temel ISO Kurulumu dökümanı takip edilerek, Yalın Pardus işletim sistemi kurulur. Ardından AHTAPOT Güvenlik Duvarı Kurulumu dökümanı takip edilerek sunucuya güvenlik duvarı rolü yüklenir. GDYS MYS ile Kurulum Adımları 1. GDYS yapısına ait ana bileşenleri oluşturmak amacı ile AHTAPOT Pardus Temel ISO Kurulumu dökümanı kullanılarak GDYS Sunucu Gereksinimleri nde belirtilmiş olan CA, Ansible, GitLab, FirewallBuilder ve Uç Birim Test Sunucusu ihtiyaçlarını karşılayan toplamda sekiz adet olmak üzere, Ansible,GitLab ve FirewallBuilder sunucularından yedeklilik için ikişer adet kurulur. 2. AHTAPOT CA Kurulumu dökümanı takip edilerek, proje dahilindeki kullanıcıların açık anahtarlarını oluşturmak için kullanılacak CA sunucusu oluşturulur. Ahtapot GDYS Dökümantasyon v1.37
3. AHTAPOT Merkezi Yönetim Sistemi ile Kurulum Yapılması dökümanı takip edilerek, proje kapsamında kullanılacak Merkezi Yönetim Sistemine ait tüm sunucular Ansible yönetiminde uzaktan kurulur. 4. AHTAPOT Merkezi Yönetim Otoritesi dökümanı takip edilerek, ISO ile birlikte gelen anahtarlar, kurum tarafından oluşturulan güvenli anahtarlar ile değiştirilir. Yukarıdaki adımların tamamlanması ile, uç birim olarak kullanılacak sunucuların kurulum ve yönetimi yapılabilir sistem ayağa kalkmış olacaktır. Bu aşamadan sonra kurulmak istenen her uç birim için, GDYS Sunucu Gereksinimleri başlığı altında bulunun uç birim gerekliliklerini karşılayan sunucu üzerine AHTAPOT Pardus Temel ISO Kurulumu dökümanı takip edilerek, Yalın Pardus işletim sistemi kurulur. Ardından AHTAPOT Güvenlik Duvarı Kurulumu dökümanı takip edilerek sunucuya güvenlik duvarı rolü yüklenir. Ahtapot bileşenlerinin kurulumu tamamlandıktan sonra AHTAPOT Güvenlik Duvarı Yönetim Sistemi Entegrasyonu dökümanı takip edilerek, sistem kullanıma hazır hale getirilir. Ahtapot GDYS Dökümantasyon v1.38