ODTÜ Network ve Güvenliği Yönetimi



Benzer belgeler
Ağ Topolojisi ve Ağ Yazılımları

EGE Üniversitesi Network (Ağ) Altyapısı

Özgür Yazılım Çözümleri Ağ Yönlendirici Cihazı ODTÜ. metu.edu.tr

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

OLTA Sistemi. Kenan KOÇ Çağlar GÜLÇEHRE TÜBİTAK ULAKBİM

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

EKLER EK 12UY0106-5/A4-1:

ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI

İNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Kablosuz Yerel Alan Ağlarda Güvenlik Uygulaması

Ağ Trafik ve Forensik Analizi

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

Evrak Tarih ve Sayısı: 30/06/

Özgür ve Açık Kaynak Kodlu Yazılımlar Kullanılarak Merkezi Servisler Nasıl Verilebilir?

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

T.Ü. BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ. Revizyon No: 0 Tarihi: - TRAKYA ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

BİLGİ İŞLEM DAİRE BAŞKANLIĞI 2014 FAALİYET RAPORU

T.C. TARIM ve KÖYİŞLERİ BAKANLIĞI BİLGİ VE İLETİŞİM SİSTEMLERİ KULLANIMININ DÜZENLENMESİNE İLİŞKİN YÖNERGE BİRİNCİ BÖLÜM GENEL HÜKÜMLER

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Elektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

Gökhan Eryol TÜBİTAK-ULAKBİM Neşe KAPTAN KOÇ TÜBİTAK-ULAKBİM

Kurumsal Güvenlik ve Web Filtreleme

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

BİLGİ İŞLEM DAİRE BAŞKANLIĞI FAALİYET RAPORU

Kurumsal Güvenlik ve Web Filtreleme

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Sanal IPv6 Balküpü Ağı Altyapısı: KOVAN. Yavuz Gökırmak, Onur Bektaş, Murat Soysal, Serdar Yiğit

SAÜ.NET. Kampüs İçi Kablosuz Ağ ve Merkezi Kimlik Doğrulama İşlemleri SAKARYA ÜNİVERSİTESİ 1/ 22. Bilgi İşlem Dairesi Başkanlığı

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar.

BioAffix Ones Technology nin tescilli markasıdır.

T.C. ÇORLU BELEDİYE BAŞKANLIĞI Bilgi İşlem Müdürlüğü

PLC (Programlanabilir Kontrol Cihazı) TABANLI SİSTEMLERİN İNTERNET ÜZERİNDEN İZLENMESİ

Güvenlik Mühendisliği

BATMAN ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

HAKKARİ ÜNİVERSİTESİ Bilgi İşlem Daire Başkanlığı Hizmet Envanteri Tablosu Hizmetin Sunum Sürecinde. Hizmetin Dayanağı Mevzuatın Adı

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Kampüs Ağ Yönetimi. Ar. Gör. Enis Karaarslan Ege Ü. Kampüs Network Yöneticisi. Ege Üniversitesi BİTAM Kampüs Network Yönetim Grubu

Bilgi Güvenliği Eğitim/Öğretimi

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

BÖLÜM 7. Telekomünikasyon, İnternet ve, Kablosuz Teknoloji. Doç. Dr. Serkan ADA

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

BAŞVURUDA İSTENİLEN BELGELER

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

HotelTV. HotelTV Kurulum Öngereksinimleri REV A0.2 D Ekim

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

KIRGIZİSTAN-TÜRKİYE MANAS ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI

BILGİSAYAR AĞLARI. Hakan GÖKMEN tarafından hazırlanmıştır.

Web Tasarımının Temelleri

Virtual Router Redundancy Protocol (VRRP)

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

GİRİŞ : ETHERNET. - Varsayılanda hiçbir önceliklendirme ya da servis garantisi sunulmaz.

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

CELAL BAYAR ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA ÜNİVERSİTE DIŞINDAN ERİŞİM

Linux İşletim Sistemi Tanıtımı

TL-WPS510U PRINT SERVER KURULUM DÖKÜMANI

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

INTERNET PROGRAMCILIĞI. Kişisel Bağlantı. Neler Öğreneceğiz? Bağlantı Türleri. Gereksinimler. Modem

ODTÜ KÜTÜPHANESİ YENİ WEB SAYFASININ TASARIMI VE KULLANILABİLİRLİK ÇALIŞMASI

T.C. İSTANBUL ÜNİVERSİTESİ REKTÖRLÜĞÜ Bilgi İşlem Daire Başkanlığı 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU

Coslat Monitor (Raporcu)

Güç Parmaklarınızın Ucunda

ODTÜ Kütüphanesi Yeni Web Sayfasının Tasarımı ve Kullanılabilirlik Çalışması

Ulak-CSIRT PC Yönlendirici ve Güvenlik Merkezi

İÇİNDEKİLER Ön söz... İçindekiler...

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

T.C. ADIYAMAN-GÖLBAŞI KAYMAKAMLIĞI İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ. Sayı : E Konu: İnternet ve Bilgi Güvenliği.

Web Uygulama Güvenliği Kontrol Listesi 2010

Dell PowerConnect 3500 serisi anahtarlar

BİLGİ İŞLEM HİZMETLERİ PROSEDÜRÜ

BİLGİ İŞLEM DAİRE BAŞKANLIĞI BİLGİ İŞLEM HİZMETLERİ PROSEDÜRÜ

GELİŞMİŞ AĞ İZLEME KUBBE KAMERASI KURULUM KILAVUZU

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ

Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM

Ufuk Üniversitesi Kütüphanesi Kütüphane Kaynaklarına Erişim Bilgileri

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

2- Eski ve yeni sunucu odaları

İzmir Ekonomi Üniversitesi Kampüs Ağı Yenileme Sürecindeki Çalışmalar ve Dinamik VLAN Yapısına Geçiş

eduroam Türkiye katılım başvurunuz işleme alınmıştır.

Transkript:

ODTÜ Network ve Güvenliği Yönetimi Gökhan Eryol ODTÜ Bilgi İşlem Daire Başkanlığı eryol@metu.edu.tr İbrahim Çalışır ODTÜ Bilgi İşlem Daire Başkanlığı icalisir@metu.edu.tr ÖZET Üniversite bilişim kaynaklarını verimli olarak kullanılmasının ve bu kaynakların güvenliğinin sağlanmasının önemi üniversite bilgi işlem merkezlerince kavranmış durumdadır. Bu konuda ağ yönetiminin önemli kritik görevi yadsınamaz. Bu makalede ODTÜ Bilgi İşlem Daire Başkanlığı Ağ Grubunun acil durum çözümleri arasında bulunan ağ cihazlarının hızlı ve güvenli kurulumu, ağ cihazlarını yönetimi amacıyla hazırlanan otomasyon sistemi, sorun olması durumunda zaman kaybetmeden belirlenmesi amacıyla kurulmuş olan ağ izleme sistemi, ağ kaynaklarına erişimde sadece yetkili kullanıcılara izin verilmesini sağlayan kullanıcı yetkilendirme sistemi ve ağ üzerinden ya da doğrudan ağa yapılan saldırıların ve istenmeyen trafiğin belirlenmesi amacıyla kurulan saldırı tespit sistemi konularından sistem yapıları, kullanılan açık kaynak kodlu yazılımlar ve konuya yaklaşımı üç ayrı oturumda bahsedilecektir. ABSTRACT Anahtar Kelimeler: Açık Kaynak Kodlu Sistemler, İstenmeyen Trafik: Spam, Virus, P2P, Ulusal, Kurumsal ve Kampus Ağlar, İnternet Servislerinin Çalıştırılması, Ağ ve Sistem Yönetimi, Otomasyon Sistemleri 1. GİRİŞ Üniversite bilişim kaynaklarını verimli olarak kullanılmasının ve bu kaynakların güvenliğinin sağlanmasının önemi üniversite bilgi işlem merkezlerince kavranmış durumdadır. Bu konuda ağ yönetiminin önemli kritik görevi yadsınamaz. Makalenin ilk bölümünde ODTÜ ağı hakkında genel bilgi ve yönetim araçlarından, ikinci bölmünde ağ yönetimi ve olmazsa olmazları; veri toplama, işleme, analiz ve işlem örneklerinden ve üçüncü bölümünde saldırı tespit sistemi, güvenlik duvarı uygulamaları ve ağ yetkilendirme çalışmalarıdan bahsedilmektedir. 2. ODTÜ Ağ Yönetimi 1 : Kampus Ağı ve Ağ Güvenliği Yönetimi METU-NET ağının planlanması sırasında, fiziksel topoloji ve mantıksal topoloji yıldız mimarisinde düşünülmüştür. Ağın bileşenleri, bölüm/birimlerde kullanılmak üzere 95 adet Cisco 3750, merkezi omurga anahtarı olarak Alcatel 8800, ve toplam 21452 m. (yaklaşık 21.5 km) single mode fiber optik kablodan oluşmaktadır. Fiziksel topolojide, her birimin herhangi bir aktif cihaz üzerinden geçmeden, doğrudan merkeze kadar gelmesi, ve merkez omurga anahtarlama cihazı üzerinden bağlantı sağlaması planlanmıştır. Bu amaçla her birime merkeze kadar adanmış en az bir çift atanabilecek şekilde single mode fiber optik kablolama tasarlanmıştır. Mantıksal topoloji ise, tüm kenar anahtarların ve merkezi omurga anahtarının IEEE 802.1q protokolü üzerinden, sanal yerel alan ağları (vlan) kullanarak birbirlerine bağlanması üzerine kurulmuştur. Toplam 51 uç yıldız topoloji ile merkezi omurgaya bağlanmakta, toplam 146 vlan IEEE802.1q protokolu ile yönlendirilmektedir. Bu yapıda merkezi omurga anahtarının görevi, kenar anahtarlar arasında 802.1q vlanlarının anahtarlanması olup, vlan yönlendirmeleri kenar anahtarlarda yapılmaktadır. Bu sayede, herhangi bir birim içerisinde, başka bir birimin ağına bağlanan uçlar tanımlanabilmekte, yaygın yerel alan ağları oluşturulmaktadır. Ayrıca, ağ servislerinin verilebilmesi için 6 adet PC sunucu kullanılmaktadır. ODTÜ ağı kullanıcı sayısı son 5 senede %300 artmıştır. Bu artış sonucunda şu anda ağ bağlantısı yapabilir durumda yaklaşık 32000 kullanıcı bulunmaktadır. Bu kullanıcıların büyük bir çoğunluğunu ODTÜ öğrencileri oluşturmaktadır. Kullanıcı sayısındaki artış sadece rakamsal bir değer olarak algılanamaz. Bu artış ağın kullanım yapısını değiştirmiştir. Daha önceki yıllarda gözlemlenen geceleri düşen ağ trafiği artık gözlemlenmemektedir. Kullanıcılarımız yurtlardan ve lojmanlardan da Internet hizmetinden faydalanmakta ve kullanım saatleri genelde akşam saatlerinden sonra olmaktadır. Ek olarak ODTÜ ağını kullanan servislerde de değişim söz konusudur. Bunlardan birincisi, birimlerin eposta ya da web servisleri gibi genel servisleri kendi sunucularında da vermek istemeleridir. Bunun sonucu olarak ODTÜ ağında servis veren makina sayısında artış olmuştur. İkinci olarak, web sayfası gezmenin ya da epostaları okumanın dışında aynı zamanda yayın yapmak (TV ya da ders), telefon konuşması aktarmak gibi, daha önceki senelerde pek gözlemlenmeyen yeni trafik çeşitleri ağ üzerinde varlık göstermeye başlamıştır. Bu servisler, yerleşke dışarısına doğru olan trafiğin artmasına sebep olmuş olup, her servisin kesintisiz hizmet vermesi beklenmektedir.

Ağ cihazlarının yönetimi özel olarak ayrılmış bir sanal ağ üzerinden yapılmaktadır. Bu özel ağ üzerinden cihazların birbirleriyle olan trafikleri sağlanmaktadır. Ayrıca, ağ yönetim cihazlarının kurulumu ya da kurulum sonrasında yapılandırılması gerektiğinde gereken değişiklikler uzaktan yapılabilmektedir. Cihazların yapılandırma dosyaları aynı sanal ağa dahil bulunan sunucuda da bulunmakta ve gerekli görülmesi durumunda bu yapılandırma dosyaları cihazlara kopyalanarak cihazın üzerinde çalışan ve güvenli bir yapılandırma dosyası olması sağlanmaktadır. Cihazların işletim sistemi yüklemeleri de gerekli testler yapıldıktan sonra cihazlara uzaktan erişerek yüklenebilmektedir. Ağ istemcilerinin yönetimi amacıyla, bahsedilen yönetim ağı üzerinde çalışan bir sistem çalıştırılmaktadır. Bu sistemde, merkezi ağ yönetim sunucusu üzerinden tüm ağ cihazlarına betikler aracılığıyla ulaşılması sağlanmış, böylece cihazlara girilmesi ihtiyacı duyulan komutların arka planda otomatik olarak ilgili cihazlara gönderilmesi sağlanmıştır. Hazırlanan web tabanlı bir arayüz aracılığıyla, operatörün uygun gördüğü istemcinin erişimini engellemesi, istenilenin erişim engellemesinin kaldırılması sağlanmış olup, ayrıca saldırı tespit sistemlerinden gelen veriler doğrultusunda kapatılması gereken istemcilerin otomatik olarak kapatılabilmesi sağlanmıştır. Bu sistemin işleyişi ve yapısı Network Yönetimi Veri Toplama, işleme, analiz ve işlem örnekleri başlıklı makalede anlatılacaktır. Yurt odalarında yeralan ağ altyapısının yönetimi amacıyla, yurtta kalan öğrenciler Internet bağlantısı için bağlantı sağlayacak kartın MAC adresini yurt müdürüne bildirmeleri ve kullanım politikasını imzalamaları gerekmektedir. Bu makalenin içeriği daha teknik yapıda olduğundan kullanım politikasından bahsedilmeyecektir. Yurt müdürü ilgili MAC adresinin web sayfası yardımı ile onaylanacak kayıtlar arasına eklemektedir. Her gün 17:30'da kayıtlar onaylanmakta ve ilgili cihazlara mac-ip eşlemesi gönderilmektedir. Bu uygulamanın şu anda zorlandığı nokta kullanıcılarımız MAC adreslerini değiştirebilmekte ve başkalarının IP-MAC eşlemesini kullanabilmektedir. Bu neden bu yönteme yakın gelecekte kullanıcı kodu parola onaylamalı bağlantı sistemini de eklemeyi planlamaktayız. Bu değişiklik ile birlikte lojmanlara da aynı yetkilendirme sistemi uygulanacaktır. alanı oluşturulacak bölgeler belirlenmiştir. 2006 yılı içerisinde hazırlanan altyapı kullanılarak yeni kapsama alanlarının oluşturulmasına başlanılmış olup, Şubat ayı sonu itibariyle yeni erişim noktalarının hizmete geçmiş olması planlanmaktadır. Halen kullanıcı yetkilendirmesi amacıyla MAC bazlı kimlik doğrulama sistemi kullanılmaktadır. Kullanıcılar MAC adreslerini BİDB'ye gelerek kullanım politikasını imzaladıktan sonra beyan etmektedir. Söz konusu MAC adresi radius sunucusunda users dosyasına yazılmaktadır. Ayrıca, önerilen sistemler arasına eklenebilecek bir başka yöntem, radius programının veritabanı ile konuşturulmasıdır. Böylece bilgiler text dosyasından değil, veri tabanından okunmakta, kullanıcı aramak veya müdahale etmek için gerekli sorgular hızlıca yapılabilmektedir. Bu uygulamanın şu anda zorlandığı nokta kullanıcılarımız MAC adreslerini değiştirebilmekte ve başkalarının IP-MAC eşlemesini kullanabilmektedir. Bu nedenle yetkilendirme yönetimi olarak, mevcut yapıya ek olarak kullanıcı kodu şifre ikilisinin de kontrol edileceği sistem devreye alınacaktır. ODTÜ kampüs dışı bağlantıları, ODTÜ kampüs dışı bağlantıları 100 Mbps Ulaknet Ethernet, 34 Mbps TT- NET ATM PVC, 155 Mbps TR-Net peering, 34 Mbps Ulaknet DXX hatları üzerinden sağlanmıştır. Ayrıca, ODTÜ Kuzey Kıbrıs Kampüs bağlantısı 16 Mbps ATM PVC üzerinden sağlanmıştır. 34 Mbps TT-NET ATM PVC bağlantısı Ulaknet hattına yedek olması amacı ile devreye alınmıştır. 155 Mbps hızında ATM bağlantısı üzerinden TR-NET'den servis alan şirketler ile (TR-NET, İş Bankası vb.), ODTÜ arasındaki trafiğin akışı sağlanmıştır. Varolan hatlar üzerindeki oratalama trafik değerleri aşağıdaki tabloda mevcuttur. ODTÜ yerleşkesinde kablosuz ağ altyapısında 3 bina içi ve 3 bina dışı olmak üzere toplam 6 erişim noktası bulunmaktadır. 2004 yılında 515 olan kayıtlı kullanıcı sayısının 2005 yılı sonunda 2213 e ulaşması kablosuz ağ kullanımına ilginin gelecekte daha da artacağını göstermiştir. Bu bağlamda kablosuz iletişim ağını genişletmek üzere 2005 yılı içerinde planlama çalışmalarına başlanmış ve öncelikli olarak kapsama

Yerleşke Dışı Ortalama Anlık Trafik ODTÜ ye Gelen ODTÜ den Giden (Kbps) (Kbps) 2004 2005 2004 2005 TTNET - 2724-290 COMS 618-421 AT ULAK 34816 38809 43520 32972 NET ULAK - 1839-2358 NET DXX TRNET 1201 1570 1305 1402 Peering Toplam Trafik 36635 44942 45246 37022 Bu tablodan da görülebileceği gibi, ODTÜ yerleşke dışı trafiği, gelen trafik yönünde %18.4 artış göstermiştir. Ancak, giden trafik ise 2005 yılında bir önceki yıla göre, %18.7'lik bir gerileme göstermiştir. Giden trafiğin önemli bir bölümünü sunuculardan yapılan kampüs dışı servisler doldurmaktadır. Yerleşke dışında yeralan kullanıcılarımızın, kampüs hizmetlerinden faydalanabilmesi amacıyla kurulmuş olan çevirmeli ağ servisi iki ayrı hattan oluşmaktadır: Dijital ve analog. Dijital bağlantı, 8222li hatların özelliği olarak, sadece İç Anadolu Bölgesi'nden aranabilmekte, analog hat ise, şehirlerarası görüşmeye açık her telefondan yapılabilmektedir. Toplam 1504 kullanıcı 2005 senesi içersinde çevirmeli modem hatlarını kullanmıştır. 370 farklı kullanıcı analog modem hatlarından, 1267 farklı kullanıcı digital hatlardan çevirmeli ağ servis almıştır. Günlük ortalama bağlantı sayısı, 505'i dijital olmak üzere, 545 kullanıcıdır. 3. ODTÜ Ağ Yönetimi 2 : Network Yönetimi - Veri Toplama, işleme, analiz ve işlem örnekleri ODTÜ ağının yönetimi, izlenmesi, işletilebilmesi için açık kaynak kodlu yazılımların yanında ODTÜ ağ grubu tarafından yazılan betikler kullanılmaktadır. Veri toplama: Ağda akan trafiğin verisini, ODTÜ ağı ile dışarısı arasıdaki iletişim köprü makinesinin üzerindeki betiklerle ve net-flow verileri ile toplanmaktadır. Bunlara ek olarak ağ cihazlarına SNMP verileri toplanmaktadır. İlgili veriler ihtiyaç duyulması durumunda veritabanına, yeri geldiğinde dosyalara yazılmaktadır. Veri İşleme: Değişik yöntemlerle toplanan veriler, bu verileri işleyebilecek açık kaynak kodlu yazılımlarla ve betiklerle işlenmektedir. Net-flow verileri açık kaynak kodlu flow-tools yazılımı ile işlenebilmekte ve analiz edilebilir hale getirilebilmektedir. SNMP ile ve betikler yolu ile alınmış veriler eşik değerleri ile karşılaştırılabilmesi için yine betikler yardımı ile işlenmektedir. Veri Analiz: İşlenmiş veriler anomili analizi yapmak için yerine göre normal, en düşük, en yüksek gibi değerlerle karşılaştırılmaktadır. Arayüzü olan mrtg, snips, flowtools gibi açık kaynak kodlu yazılımlar kullanıldığı durumlarda web üzerinden gerekli veriler üzerinde sorunlu kısımlar görüntülenebilmektedir. Bu yazılımlar da komut satırından da veri analizi yapma kapasitesine sahiptir. Bu sayede anormallik durumunda otomatik işlem yapılmasına olanak sağlamaktadır. Analiz sonrası işlem: Eşik değerlerini aşması durumunda snips gibi izleme programları sorunlu olan cihazı web sitesinde görüntülenmektedir. Olmayan IP adreslerine gönderilen paketler belirli bir sayıyı aşması durumda güvenlik ekibine otomatik eposta gönderilmektedir. Bunların yanı sıra bazı işlemler de elle yapılmaktadır. Internet erişiminin kısıtlaması gibi işlemler kara alma gereksinimi nedeniyle elle yapılmaktadır. Her ne kadar elle yapılıyor olarak söylense de bu tür işlemler de otomasyon sistemi sayesinde web üzerinden girilen IP adresi, veritabanı üzerinden MAC adresi ve o IP bloğundan sorumlu insanin eposta adresi bulunduktan sonra ilgili ağ cihazına MAC kısıtlaması yapılması ve sorumlu kişiye konu hakkında eposta gönderilmesi şeklinde bir dizi arka planda yürüyen betikle yapılmaktadır. Örnekler: Arp Sayfaları: ODTÜ ağında MAC adresi ve IP bilgilerine hızlı ulaşabilmek için hazırlamış olduğumuz otomasyon sistemi sayesinde yerleşke genelinde hangi IP adresini hangi MAC adresinin kullanmakta olduğunu ve daha önce ilgili IP adresini kullanan MAC adresleri verilerine ulaşılabilmektedir. Vlan Yönetimi: 100'ü aşkın vlan yönetmek kolay bir iş değil. Bu nedenle hangi vlan'ın hangi IP bloğuna ve o IP bloğunun hangi birimi temsil ettiği, sorun olduğunda iletişime geçilecek birimin sorumlusu gibi verilerin sağlıklı tutulması ve bu verilerden faydalanmak işleri kolaylaştırmaktadır.

Omurga Anahtarları Bilgi Sayfaları: 50'yi aşkın anahtar cihazlarda yapılan değişikler gün içinde çalışan betiklerle, IP blokları, vlan gibi bilgileri alınarak veritabanı işlenmektedir. IP blokları üzerinde yapılması gerek işlemler otomasyon sistemi sayesinden bu veriler ışığında yapılmaktadır. Flow Grafikleri: ODTÜ ağında bulunan yerel ağlardan hangi protokol kullanılarak, hangi portlardan ne yoğunlukta ODTÜ dışına bağlantı kurulduğunun incelenmesi ve gerekli durumlarda görsel malzeme üretilerek zaman içinde trafiğin durumunun grafiklenmesi sağlanmaktadır. Örnek vermek gerekirse; http portundan yurtlar bölgesinden 2 gün içinde ne yoğunlukta trafik yaratıldığı gibi veri analizleri de yapılabilmektedir. MRTG Grafikleri: ODTÜ ağında buluna yönelendirme işlememi yapana anahtar cihazlar ile ana yönlendirici arasındaki ve ODTÜ ağı ile dışarısı arasındanki trafiği izlemeye yarmakta ve grafik olarak görsel malzeme üretilmesini sağlamaktadır. Bu sayede cihazlar üzerindeki hangi portan ne yoğunlukta trafik geldiğini izleme olanağı doğmaktadır. Trafik izlemesi yapıldığında ODTÜ gibi servis çeşitliliği olan üniversitelerde de gözlemlenebileceği gibi dışarı doğru olan trafik içeri doğru olan trafik ile başa baş hatta bazı durumlarda daha fazla olabilmektedir. 4. ODTÜ Ağ Yönetimi 3 - ODTÜ Saldırı Tespit Sistemi, Güvenlik Duvarı Uygulamaları ve Network Yetkilendirme Çalışmaları Güvenlik yaklaşımlarından öncül önlem almanın önemi bilinmektedir. Bu nedenle makalede ODTÜ ağında kullanmakta olduğumuz öncül tedbirler ve izleme yöntemlerinde bahsedilecektir. ODTÜ ağını yönetmek için Ağ grubu açık kaynak kodlu yazılımları tercih etmektedir. Bunların arasından ağı gözlemlemeye yarayan mrtg ve snips, ağdaki bağlantıları izlemeye yarayan flow ve snort, kullanıcılı doğrulamaya yarayan radius gibi yazılımlar bulunmaktadır. Saldırı Tespit Sistemi: Saldırı tespit sistemi ağa giren ve ağdan çıkan trafik izlenmekte, paketler olası saldırı imzaları ile karşılaştırılmakta, yoğun trafik yaratan kaynak IP adresileri belirlenmekte, kullanılmayan IP adreslerine giden trafik yönlendirilip paketleri incelenmektedir. Belirtilen işler birden çok program yardımı ve ağda bazı ayarlamalara ile yapılmaktadır. Snort: Açık kaynak kodlu olarak geliştirilen ağ izleme yazılımları arasından kendisini kanıtlamış bir yazılımdır. Snort yazılımı ODTÜ'nün dış bağlantısı ile anayönlendirici cihazı arasında aktif olarak köprü görevi görecek şekilde yerleştirilmiş olan IBM x236 server bilgisayar üzerinde çalışmaktadır. Yıl boyunca günlük ortalaması alındığında, anlık 37.8 Mb/s dışarı doğru, ve anlık 31.2 Mb/s da içeri doğru akan trafik izlenmektedir. En yüksek değer olarak yaklaşık 100Mb/s trafik gözlemlenmiştir. Gözlemlenen trafikten imzaları olası saldırıya benzeyenler kayıtlara alınmaktadır. Bu kayıtlarda tehditin türüne bağlı olarak s olası yaratacağı soruna, sıklığına ve bir kaç kriter göz önüne alınarak önlem alınmaktadır. Flow: Cisco cihazları net-flow verilerini üzerinde açık kaynak kodlu yazılım olan flow-tools'un kurulu olan bilgisayara göndermektedirler. Bu veriler hangi IP adresinden hangi IP adresine hangi protokolle bağlantı yapıldığı gibi veriller bulunmaktadır. Akan trafiğin büyüklüğüne, paket sayısına göre veriler işlenebilmekte ve yoğun trafik yaratan bilgisayarla ayrıştırılabilmektedir. BlackHole: ODTÜ içinden bir IP adresinden kaynaklı olmayan ya da kullanılmayan IP bloklarına doğru olan trafik karadelik makinemize yönlendirilmekte ve bu makina ilgili bağlatı isteği sayısı belirlli bir sayıyı aştığı durumda bu durumu virüs olarak ya da sorun olarak algılayarak güvenlik grubuna sorunlu IP adresini ve sorunu belirten eposta göndermektedir. MRTG: Anlatmaya gerek var mi? Trafiği izlemek istiyorsanız çok kullanışlı bir araç. Güvenlik Duvarı: Güvenlik duvarı uygulaması olarak açık kaynak kodlu iptables yazılımı kullanılmaktadır. Sunucu bilgisayar bulunmaması gerek ağlara bağlantı isteği paketlerinin gitmemesi sağlanmaktadır. Bunun yanı sıra ODTÜ dışında ODTÜ'ye doğru yoğun trafik yaratan IP adresleri de ağın güvenliği için bu noktada engellenmektedir. Ağ yetkilendirme sistemi: Ağ yetkilendirme sistemi olarak şu anda MAC bazlı doğrulama yöntemini kullanılmaktadır. Yurt odaları ağında ve kablosuz ağda bu sistemden faydalanılmaktadır. Yurtlar bölgesinde doğrudan anahtar cihazlar üzerinde MAC-IP eşlemesi yapılarak, kablosuz ağda radius şemsiyesi kullanılarak kullanıcılı doğrulama yapılmaktadır. Ancak kullanıcılarımızın MAC adresi değiştirebiliyor olması bu kullanıcı doğrulama sisteminin geliştirilmesi gerekliliğini ortaya koymuştur. Yetkilendirme için BİDB tarafından ODTÜ ile ilişikli olduğu sürece geçerli olacak şekilde kullanıcılara verilen kullanıcı

kodu ve parola ikilisini tüm sisteme eklemlemeyi planlamaktayız. Trafik şekillendirme: ODTÜ ağı kullanılarak verilen servisler için kritik olduğu zaman dilimlerinde trafik şekillendirmesi yapılmaktadır. Örnek vermek gerekirse ders kayıdı sırasında kullanıcılarımızın sunucularımıza erişimi konusunda belli kısıtlamalar ve izinler verilmektedir. QoS: ODTÜ ağı için trafik önceliklendirmesi belirlenerek, kritik zamanlarda uygulanmaktadır. Özellikle kampüs dışı trafiğin satüre olduğu durumlarda faydalı olan bu uygulamada, VoIP, web, dns, mail trafikleri uygulamaların gerçek zaman ihtiyaçlarına göre sıralandırılmaktadır. Web Önbellekleme Servisi: ODTÜ ağı içinden ulaşılabilen IP kontrolü sonrasından ulaşılabilen kaynaklara ODTÜ kullanıcılarının ODTÜ dışından da erişebilmesi için web proxy servisini kullanıcı kodu parola doğrulama sistemi ile vermekteyiz. 5. SONUÇLAR Yerleşke ağı yönetmi ve güvenliğinin sağlanması için ağ hakkında genel bilgiye sahip olunmasının önemi ve buna bağlı ihtayaçların belirlenmesinin önemi, ağ yönetiminin olmazsa olmazları; veri toplama, işleme, analizin kritkliği ve bunların yanı sıra saldırı tespit sistemi, güvenlik duvarı uygulamaları ve ağ yetkilendirme çalışmaları ODTÜ ağı özelinde açık kaynak kodlu yazılımların işlevselliği belirtilerek anlatıldı.

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim