NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI



Benzer belgeler
IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Web Servis-Web Sitesi Bağlantısı

İşletme ve Devreye Alma Planı Yerel Okul Sunucusu Uygulama Yazılımları Prototipi TRscaler Technology Solutions

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

3G Modem İstasyonu Kullanma Kılavuzu V:1.0 Model: 433R

EKLER EK 12UY0106-5/A4-1:

Başlık: Windows Sistem Yöneticisi Yardımcısı

Ufuk Üniversitesi Kütüphanesi Kütüphane Kaynaklarına Erişim Bilgileri

SQUİD PROXY İLE GERÇEK ZAMANLI WEB TRAFİK KONTROLÜ

Güvenlik Mühendisliği

Sistem Nasıl Çalışıyor: Araç İzleme ve Filo Yönetim Sistemi

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Kampüs Ağlarında Köprü-Güvenlik Duvarı (Bridge Firewall) ve Transparent Proxy

Coslat Monitor (Raporcu)

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

FIRAT ÜNİVERSİTESİ ENFORMATİK LABORATUVARLARI OTOMASYONU

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

FABREKA YAZILIM ELEKTRONİK DANIŞMANLIK TİC. LTD. ŞTİ.

FIRAT ÜNİVERSİTESİ WEB TABANLI KÜTÜPHANE OTOMASYONU

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, kabuk ve diğer temel kavramlar) Bir işletim sisteminin yazılım tasarımında ele alınması gereken iki önemli konu

Firewall Log Server. Kurulum Kılavuzu

Cyberoam Single Sing On İle

Kurumsal Güvenlik ve Web Filtreleme

Ubuntu Terminal Server Ve Uzak Masaüstü Sunucusu

Pac Dosyası İle Proxy Kullanmak

Kurumsal Güvenlik ve Web Filtreleme

Bilgi ve iletişim teknolojileri

Computer and Network Security Cemalettin Kaya Güz Dönemi

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Xpeech VoIP Gateway Konfigurasyon Ayarları

MOODLE UZAKTAN ÖĞRETİM SİSTEMİ

WiFi RS232 Converter Sayfa 1 / 12. WiFi RS232 Converter. Teknik Döküman

SATIŞ DESTEK DOKÜMANI

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

1.PROGRAMLAMAYA GİRİŞ

NP311. Genel. Uygulanışı. Datasheet NP311 device (terminal) server uygulaması

Packet tracer arayüzü yukarıdaki şekilden de görüldüğü gibi üç ana araç çubuğundan oluşmaktadır.

Kuruluma başlamadan önce gerekli tüm bileşenlerin mevcut olup olmadığını kontrol edin. Pakette şunlar bulunmalıdır:

SATIŞ DESTEK DOKÜMANI

INHAND ROUTER LAR İÇİN PORT YÖNLENDİRME KILAVUZU

YRD. DOÇ. DR. AGÂH TUĞRUL KORUCU

WiFi Relay Sayfa 1 / 11. WiFi Relay. Teknik Döküman

EC-485. Ethernet RS485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

YEMEKHANE TAKİP SİSTEMİ

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

b r o a d b a n d r o u t e r 4 p o r t s 1 0 / m b p s

Berqnet Sürüm Notları Sürüm 4.1.0

TFP-1221 ANALOG ADRESLİ YANGIN ALARM PANELİ, 1 LOOP, NETWORK EDİLEBİLİR, 72 BÖLGE GÖSTERGELİ

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

Kets DocPlace LOGO Entegrasyonu

Erişim Noktası Ayarları

ACR-Net 100 Kullanım Kılavuzu

Script. Statik Sayfa. Dinamik Sayfa. Dinamik Web Sitelerinin Avantajları. İçerik Yönetim Sistemi. PHP Nedir? Avantajları.

SENSPLORER SPX. Neden SENSPLORER SPX KRİTİK NOKTALARIN GÜVENİLİR TAKİPÇİSİ

Başlangıç; Sayfa 1. Sanal pos tanımlandığında üye numarası admin kullanıcı adı parolası ile Garanti Bankasından tarafınıza iletilecektir.

Iptables. Deniz Özibrişim. Eylül, 2012

Bazı Cisco Router Modelleri: Cisco 1720 Router

Başlangıç; Sayfa 1. Sanal pos tanımlandığında üye numarası admin kullanıcı adı parolası ile Garanti Bankasından tarafınıza iletilecektir.

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

Qsign Manager. Digital Signage Software Hızlı Başlangıç Kılavuzu

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi

Linux Dosya ve Dizin Yapısı

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

Fırat Üniversitesi Personel Otomasyonu

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

FIRAT ÜNİVERSİTESİ PERSONEL OTOMASYONU

BİLGİ NOTU. SpeedTouch 585 Kablosuz ADSL Router

BioAffix Ones Technology nin tescilli markasıdır.

Linux Sunucuları için Güvenlik İpuçları. Korhan Gürler, Burç Yıldırım

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.6372.UM.TR.D00REV

CAEeda TM GENEL TANITIM. EDA Tasarım Analiz Mühendislik

27 Kasım Ekran 1: ETA:SQL Yazılım Güncelleme Uygulaması

Bu kılavuzda DS Manager ile, NP311 Serial to Ethernet dönüştürücünün kurulum ve konfigürasyonuna ilişkin pratik bilgiler bulunmaktadır.

BİLGİ NOTU. SpeedTouch 580. Kablosuz ADSL Modem

7/24 destek hattı AirTouch. Üç yıl garanti. Üç yıl garanti. YM.AP.4410.UM.TR.D01REV

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

OMNET Ağ Benzetim Yazılımı (Network Simulation Framework) BİL 372 Bilgisayar Ağları. GYTE - Bilgisayar Mühendisliği Bölümü

Bitirme Ödevi Sunumu PLATFORM BAĞIMSIZ BENZETİM PROGRAMI. Danışman : Yrd.Doç.Dr. D Feza BUZLUCA Gökhan Akın ŞEKER

HUAWEI Cihazlara Erişim Yöntemleri

AntiKor Güvenlik Sunucumu nereye yerleştirmeliyim?

FTP ve Güvenlik Duvarları

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

Ders Tanıtım Sunumu. Internet Programming II. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı. 26 Şub Öğr. Gör.

Bilgi ve Olay Yönetim Sistemi

Yeni Nesil Ağ Güvenliği

THE RAINBOW SCADA D-500

İŞLETİM SİSTEMLERİ. (Operating Systems)

Güvenli Doküman Senkronizasyonu

MCR02-AE Ethernet Temassız Kart Okuyucu

MODBUS GATEWAY KONFİGÜRASYON YAZILIMI

TELTONİKA ROUTER LARDA HABERLEŞME SÜREKLİLİĞİNİ SAĞLAYAN UYGULAMALAR

İNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1

Linux Kurulumu (Sürüm 1.52) İçindekiler

Transkript:

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI Gürkan KARABATAK Fırat Üni. Enformatik Bölümü gkarabatak@firat.edu.tr Yrd.Doç.Dr Hasan H.BALIK Fırat Üni. Mühendislik Fakültesi balik@firat.edu.tr ÖZET Günümüzde ağ sistemlerinde en yaygın olarak kullanılan açık kaynak kodlu firewall alt sistemi olan Linux-Netfilter, kabuk programlama ve php script dili kullanılarak donanımsal bir firewall tasarlanması amaçlanmıştır. Bu firewall tamamen web uzerinden yonetilebilecek bir yapıdadır ve istenildiği zaman seri port üzerinden konsol bağlantısı yapılarakda kullanılabilmektedir. Bu sayede kullanıcı firewall'u tamamen gorsel web arabirimini ve kolayliklarini kullanarak hızlı, etkin ve kolay bir sekilde sistemine kurup yonetebilecektir. GİRİŞ Günümüz teknolojisinin hızla geliştiği bu günlerde bilgisayar ağları ve internet alanındaki uygulamalar hızla artmaktadır. Bununla birlikte bu ağlardaki uygulamalar ve kullanıcıların güvenliği ise önemli bir sorun teşkil etmektedir. Bu sorun günümüzde çeşitli güvenlik duvarı (firewall) yazılım ve donanım araçlarıyla çözülmeye çalışılmaktadır. Buradaki düşünce, hem kullanıcılara bilgisayarları başından erişebilecekleri hizmetler sunabilmek hem de bu hizmetlerin kesintisiz olmasını sağlamak ve hizmeti aksatıp suistimal edebilecek herhangi bir kötü emelli erişime karşı önlemler alabilmektir. Bu nedenle bu araçların kullanımı bilgisayar ağları ve internet üzerindeki uygulamalarla doğru orantılı olarak artmaktadır. Bu araçların bu denli önemli olmasından dolayı bu araçların kurulumu ve kullanılması ağ ortamına, kullanıcı sayısına ve verilen hizmetlere göre değişip zorlaşabilmektedir. Çünkü en ufak bir aksama tüm kullanıcıları ve verilen hizmeti büyük ölçüde etkileyecektir. Örneğin bir bankanın Internet üzerinden sunacağı hizmetin kesintiye uğraması hem banka hem de kullanıcılar üzerinde büyük etkiler oluşturacaktır.

Yapılan bu sistem sayesinde kullanıcı linux konsolu kullanmadan sistemi yönetebilecektir ve yapabileceği tüm işlemleri web üzerinden erişerek yapabilecektir. Web erişiminin kesintiye uğraması durumunda ise konsol portu üzerinden seri bağlantı yaparak sistemi yönetebilecektir. 1. Oluşturulacak Sistemin Yapısı: Firewall sisteminde Genel Ayarlar, Firewall Ayarları, Routing Ayarları ve Bağlantı Takibi kısımları bulunmaktadır. Genel Ayarlar kısmında bulunan Interface ayarları kısmı ile tüm interfacelere IP adresleri atanabilir ve var olan IP adresleri degistirilebilir. Şifreleme kısmında Web sayfasına erişim için kullanıcı adı ve şifre atanabilir ve Reset kısmından ise Sistem resetleme işlemi yapılabilir. Firewall Ayarları kısmında Netfilter altsistemi için gerekli kural ve politika işlemleri yapılır. Zincirler için politikalar belirlenip istenilen Iptables kuralları eklenip, kaldırılıp, değiştirilebilir veya listelenerek basit ve hızlı bir şekilde yer değiştirilebilir. Routing ayarları kısmında Network için gerekli yönlendirme işlemleri yapılabilir. Bu yönlendirme işlemleri network veya host bazında olabilir ve Ağgeçidi işlemleri yapılabilir. Bağlantı Takibi kısmında ise port ve IP bazlı olarak bağlantı takibi yapılabilir. Firewall üzerinden gerektiğinde seri port kullanılarak seri bağlantı yapılabilir. Bu sayede web erişimi kesilse bile firewall seri bağlantı yoluyla linux konsolu üzerinden yapılandırılabilir. Sistem herhangi bir Linux dağıtımı ve bilgisayar donanımı üzerine yapılandırılabilir. Sistem Linux-Netfilter-Iptables firewall sistemi, Kabuk programlama, Apache Web sunucusu ve PHP script dili kullanılarak tasarlanmıştır. 2. Linux İşletim Sistemindeki Gerçekleştirmeler: Bu aşamada yapılan işlemler şu şekildedir. İlk aşamada Linux işletim sistemi kurulup güvenlik duvarı haline getirilebilmesi için üzerinde ne gibi değişiklikler yapıldığı tespit edildikten sonra web sunucu üzerinde gerekli işlemler yapılmıştır. Bu aşamada Web sunucunun Linux işletim sistemi üzerinde gerektiğinde tam yetkili olarak komutlar çalıştırılabilmesi sağlanmıştır. Yine aynı şekilde gerekli yapılandırma dosyaları da ayarlanmıştır.

3. Web Arabiriminin Tasarlanması: Güvenlik duvarının tamamen donanımsal bir yapı olmasından dolayı web arabirimi Oldukça büyük bir önem arz etmektedir. a) Genel Ayarlar Modülü: İlk olarak güvenlik duvarının web yönetim kısmındaki bu modül tasarlanmıştır. Bu modülde Güvenlik duvarına web üzerinden bağlanıldıktan sonra. İnterface Ayarları, Şifreleme ve Reset kısımları oluşturulmuştur. İnterface ayarları için PHP script dili ile Linux üzerinde kabuk programlama yapılmış ve gerekli komutlar kullanılarak web yönetim konsolu üzerinden güvenlik duvarı interfacelerine müdahale edilebilmesi sağlanmıştır. Web üzerinden tüm interfaceler otomatik olarak görüntülenip gerekli ip adresleri değişimlerinin yapılabilmesi sağlanmıştır. Şifreleme kısmında web yönetim konsolu için kullanılan Apache web sunucu üzerinde ayarlar yapılarak web sayfasının istenildiğinde kullanıcı adı ve şifre verilerek güvenlik sorgulaması yapılması sağlanmıştır. Web sunucu dosyalarının bulunduğu dizinlerde gerekli dosyalar oluşturulması ve Apache konfigürasyon dosyalarında gerekli değişikliklerin yapılabilmesi için gerekli PHP kodları yazılarak işletim sistemi üzerinde bash kabuğu ile gerekli komutların çalıştırılabilmesi sağlanmıştır. Şifreleme işleminin iptalinde de yapılan işlemlerin geri alınması için gerekli kodlar yazılmıştır. Reset kısmında ise sistemi yönetim konsolu üzerinden resetleyebilmek için gerekli kodlamalar yapılmıştır. Aynı şekilde resetleme işleminden sonra sistemin doğru şekilde açılabilmesi için düzenlemeler yapılması sağlanmıştır.

Şekil 3.1: Firewall Web Yönetim Ekranı Genel Görünümü Şekil 3.2: Firewall Genel Ayarlar Ekranı İnterface Bölümü Görünümü

b) Firewall Ayarları Modülü: Bu kısım tamamen web üzerinden Linux işletim sistemine erişip güvenlik duvarı kurallarının oluşturulması sağlanmıştır. Web üzerinden yapılan tanımlamalarla Netfilter güvenlik duvarı alt sisteminin Iptables kural seti oluşturma yapısı kullanılarak bu kuralların sisteme uygulanmasını sağlayacak Dinamik HTML,PHP ve Kabuk program kodları yazılmıştır. Bu kısımda güvenlik duvarında kullanılabilecek tüm yapılandırma işlemleri (NAT,MASQ,ACCEPT,DROP) için tanımlamalar yapılmıştır. Bu sayede tüm kurallar görülebilir, değiştirilebilir ve silinebilir hale getirilmiştir. Kuralların sıralandırılmasının kolay bir şekilde yapılması sağlanmıştır. Şekil 3.3: Firewall Ayarları Modülü Kural Listeleme Ekranı c) Routing Ayarları Modülü: Bu modül tamamen yönlendiricilerin yaptığı işlemleri yapabilecek kabiliyette tanımlanmıştır. Bunun için Linux kernelindeki yönlendirme yapısı kullanılmıştır. Bu sayede güvenlik duvarı ağ üzerinde yönlendirme işlemleri yapabilecek ve yönlendirici yerine kullanılabilecek hale getirilmiştir. Tüm güvenlik duvarlarında yönlendirme yapısı bulunmak zorundadır. Paket filtreleme işlemleri istenilen paketlerin yönlendirilmesi ve istenmeyenlerin engellenmesi mantığı ile çalışmaktadır.

Şekil 3.4: Routing Ayarları Modülü Kural Listeleme Ekranı d) Bağlantı Takibi Modülü: Bu kısım ise güvenlik duvarının kullanıldığı durumlarda gerekli bağlantı takibi işlemlerinin yapılması sağlanmıştır. Bunun için gerekli düzenli ifade yapıları kullanılıp bağlantı aşamasında port bazlı ve IP bazlı kontrollerin yapılması sağlanmıştır. Bu işlem İşletim sisteminde yönlendirme aşamasında kullanılan contrack (Bağlantı takibi) yapısı kullanılmıştır. Bu yapı WEB'e aktarılarak kullanıcı tarafından gözetlenmesi sağlanmıştır.

Şekil 3.5: Bağlantı Takibi Modülü IP Adresli Takip 4. Konsol Port Bağlantı Modülü: Bu kısım web yönetim arabiriminden tamamen bağımsızdır. Web yönetim kısmında sorun olduğunda veya TCP bağlantısının yapılamadığı durumlarda işletim sistemine ve güvenlik duvarına Seri port ve null modem kablosu kullanılarak bağlantı yapılabilmektedir. Bu sayede her durumda kullanıcının sisteme müdahale edebilmesi sağlanmıştır. Gerekli yapılandırmalar yukarıda anlatılan ilk yapılandırma dosyası içine yerleştirilmiş ve ilk kurulum esnasında gerekli değişikliklerin sistem üzerinde yapılabilmesi sağlanmıştır.

KAYNAKLAR: 1. Evi Nemeth, Linux Administration Handbook, Prentice Hall, Upper Saddle River Nj USA. 2. M.D. Bauer, Building Secure Servers with Linux, O'Reilly & Associates, London UK 3. K.G.Beauchamp & G.-S. Poo, Computer Communications, International Thomson Computer Press, Boston USA 4. Murat Yıldırımoğlu, TCP/IP, internetin evrensel dili, Pusula Yayıncılık Ltd. Şti. İstanbul TURKEY 5. Dr.Rifat Çölkesen & Doç.Dr.Bülent Örencik, Bilgisayar Haberleşmesi ve Ağ Teknolojileri, Papata Yayıncılık, İstanbul TURKEY 6. Dr.Rifat Çölkesen, Network, TCP/IP, UNIX el kitabı, Papatya Yayıncılık, İstanbul TURKEY

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim