OPNET IT Guru- Güvenlik Duvarı ve Sanal Özel Ağ (Firewalls and Virtual Private Network, VPN) Amaç: Bu laboratuvar uygulamasının amacı, Internet gibi kamuya açık paylaşımlı ağların güvenliğinde Güvenlik Duvarı ve Sanal Özel Ağ ların rolünü incelemektir. Genel Bakış: Bilgisayar ağları tipik olarak birçok uygulama tarafından değişik amaçlar için kullanılan paylaşımlı kaynaklardır. Bazı zamanlarda kullanıcılar, diğer kullanıcıların görmemesini istedikleri veri alış-verişleri yapmak isteyebilirler. Güvenlik duvarı (firewall) bir internet sitesi ile ağ arasına yerleşmiş, özel yazılıma sahip bir yönlendiricidir. Yönlendirici olduğu için ağları birbirine bağlayıp paket iletir. Bunun yanı sıra yönlendirdiği paketlere filtre uygular. Güvenlik duvarı, sistem yöneticilerinin merkezi bir alana güvenlik prosedürlerini uygulamasını sağlarlar. Filtre-tabanlı güvenlik duvarları, güvenlik duvarları arasında bilinen en basit ve en yaygın modeldir. Temel olarak, iletecekleri ve iletmeyecekleri paket karakteristiklerini içeren bir adres tablosuna sahiptirler. Sanal Özel Ağ, Internet üzerinden yerel ağlara kontrollü bağlanmayı sağlayan bir sistemdir. Yerel ağdan fiziksel olarak uzaktaki bir düğümü sanal bir IP tüneli üzerinden ağa bağlar. Tünelin başındaki yönlendirici sanal hattan bir paket göndermek isterse paketi, bir IP datagramı içerisine alır ve yollar. Bu iletişimde kaynak IP, tünelin başındaki yönlendiricinin IP si olurken hedef IP ise tünelin sonundaki yönlendiricinin IP sidir. Bu laboratuvar uygulamasında, değişik önceliklere sahip sunucuların Internete bağlandığı bir ağ kurulacaktır. Deneyin sonunda, değişik önceliklere göre Internet erişimi yapan birimlerin güvenliğinin sağlanmasında Güvenlik Duvarı ve Sanal Özel Ağların rolü görülecektir. Yöntem: OPNET IT Guru yu başlatınız. File New seçiniz Project OK seçiniz Projeyi aşağıdaki gibi isimlendiriniz <belirleyici_bir_isim>_vpn Senaryo adı: NoFirewall Başlangıç sihirbazı açıldıktan sonra kapatmak için Quit e tıklayınız. Arka planı kaldırmak için: View Background Set Border Map NONE ı 1
Ağı yaratma ve Yapılandırma Ağı hazırlama: Nesne paletini açınız. Nesne paletindeki düşey menüden internet_toolbox ı Application Config, Profile Config, ip32_cloud, ppp_server, 3 adet ethernet4_slip8_gtwy, 2 adet ppp_wkstn nesnelerini aşağıdaki şekle göre çalışma alanınıza ekleyiniz. o ppp_server and ppp_wkstn nesneleri, seçilen bir veri hızında Seri Hat Internet Protokolü sunan nesnelerdir. Seri İletişim (Serial Communication), sinyallerin (veriler) tek bir kanal veya hat üzerinden iletilmesini olanaklı kılar. Nesneleri aşağıda görüldüğü üzere adlandırıp PPP DS1 hattı kullanarak birbirlerine bağlayınız. PPP DS1 hatları, IP ile çalışan iki düğümü birbirine 1.544 Mbps hızla bağlar. Projenizi kaydediniz. Düğümleri Yapılandırma Applications düğümüne sağ-klik yapınız Edit Attributes Application Definitions özelliğine Default değerini veriniz. Profiles düğümüne sağ-klik yapınız Edit Attributes Profile Configuration özelliğine Sample Profiles değerini veriniz. Server düğümüne sağ-klik yapınız Edit Attributes Application: Supported Services özelliğine All değerini veriniz. Sales A düğümüne sağ-klik yapınız Select Similar Nodes u seçiniz (Sales A ve B nin her ikisinin de seçili olduğundan emin olunuz) o o Sales A düğümüne sağ-klik yapınız Edit Attributes Apply Changes to Selected Objects seçili hale getiriniz. Application: Supported Profiles rows değerini 1 e ayarlayınız row 0 ı genişletiniz Profile Name = Sales Person olarak ayarlayınız. 2
Projenizi kaydediniz. İstatistikleri Alma Çalışma alanındaki herhangi bir yere sağ-klik yapıp Choose Individual Statistics menüsünü ChooseResults iletişim kutusundan aşağıdaki istatistikleri seçiniz a. Global Statistics DB Query Response Time (sec). b. Global Statistics HTTP Page Response Time (seconds). Sales A düğümüne sağ-klik yapıp Choose Individual Statistics menüsünü ChooseResults iletişim kutusundan aşağıdaki istatistikleri seçiniz a. Client DB Traffic Received (bytes/sec). b. Client Http Traffic Received (bytes/sec). Sales B düğümüne sağ-klik yapıp Choose Individual Statistics menüsünü ChooseResults iletişim kutusundan aşağıdaki istatistikleri seçiniz a. Client DB Traffic Received (bytes/sec). b. Client Http Traffic Received (bytes/sec). OK e tıklayınız ve projenizi kaydediniz. Firewall Senaryosu Şimdiye kadar yaratılan ağda sadece Satış Personeli (Sales Person) profili yapılandırılmıştır. Bu profil sunucudan Veritabanı erişimi (Database Access), E-Posta (Email) ve Web Erişimi (Web Browsing) uygulamalarını çalıştırmaktadır. Sunucudaki veritabanını dış erişimlerden korumak istediğimizi varsayalım: Scenarios Duplicate Scenario Yeni senaryonun adını Firewall olarak belirleyiniz. OK e basıp kapatınız. Router C düğümüne sağ-klik yapınız Edit Attributes model özelliğine ethernet2_slip8_firewall değerini veriniz. Proxy Server Information özelliğini genişletiniz row 1 i genişletiniz Proxy Server Deployed özelliğine No değerini veriniz. OK e tıklayınız ve projenizi kaydediniz. 3
Proxy Server Information güvenlik duvarı üzerindeki proxy sunucuları tanımlayan bir tablodur. Her satır bir uygulamayı temsil eder. Proxy Server Deployed özelliği ile bu uygulamaya izin verilip verilmeyeceğine karar verilir. Firewall senaryosunda Veritabanı uygulamasına izin verilmemektedir. Yeni senaryonun görünümü aşağıdaki gibi olmalıdır. Firewall_VPN Senaryosu Firewall senaryosunda sunucudaki veritabanlarını dışarıdan gelen erişimlere karşı koruduk. Bu senaryoda sadece Sales A sitesindeki kullanıcıların veritabanına erişmesine izin vereceğiz. Güvenlik duvarı, veritabanı ile ilgili tüm trafikleri kaynağına bakmaksızın engellediği için Sanal Özel Ağ (VPN) kurmamız gerekmektedir. Sales A den gelen veritabanı isteklerine yönelik bir sanal tünel kullanılacaktır. Güvenlik duvarı da Sales A tarafından gönderilen paketleri filtrelemeyecektir. Çünkü tünelin içindeki IP paketleri bir IP datagramı içinde gönderilecektir. Firewall senaryosu içindeyken Scenarios Duplicate Scenario Yeni senaryonun adını Firewall_VPN olarak belirleyiniz. OK e basıp kapatınız. Router C ile Server arasındaki hattı kaldırınız. 4
Nesne paletini açınız. Nesne paletindeki düşey menüden internet_toolbox ı o ethernet4_slip8_gtwy ve IP VPN Config nesnelerini çalışma alanına şekildeki gibi ekleyiniz. o IP VPN Config nesnesini VPN olarak isimlendiriniz. o Yeni yönlendiriciyi Router D olarak isimlendiriniz. o Yeni yönlendiriciyi PPP DS1 hattı kullanarak şekildeki gibi bağlayınız. Nesne paletini kapatınız. VPN i Yapılandırma VPN düğümüne sağ-klik yapınız Edit Attributes VPN Configuration ı genişletiniz rows 1 row 0 ı genişletiniz. Tunnel Source Name özelliğine Router A, Tunnel Destination Name özelliğine Router D yazınız. Remote Client List i genişletiniz. rows 1 row 0 ı genişletiniz. Client Node Name özelliğine Sales A yazınız. OK e tıklayınız ve projenizi kaydediniz. Simülasyonu Çalıştırma Üç senaryoyu da aynı anda çalıştırmak için: Scenarios menüsünden Manage Scenarios u Results sütunundaki değerleri collect ya da recollect olarak ayarlayınız. Süreyi 1 hours (saat) a ayarlayınız. OK e tıklayarak simülasyonları çalıştırınız. Projeyi kaydediniz. 5
Sonuçları Görüntüleme Results menüsünden Compare Results ı Sales A menüsünü genişletiniz. Client DB menüsünü genişletiniz. Traffic Received istatistiğini Gelen menünün sağ tarafındaki As Is değeri time_average olarak değiştiriniz. Show butonuna tıklayınız. Aynı grafiği Sales B için de elde ediniz. 6
Traffic Received trafiğini Client Http menüsünden Sales A ve Sales B için elde ediniz. Sorular 1. Elde edilen grafiklerden veritabanı erişimi açısından Güvenlik Duvarı ve Sanal Özel Ağ (VPN) ın ağlara etkisini açıklayıp yorumlayınız. 2. Sales A ve B için alınan http grafiği ile veritabanı grafiklerini karşılaştırıp yorumlayınız. 3. Güvenlik Duvarı ve Sanal Özel Ağ (VPN) ın etkisini page response time (sayfa cevap zamanı) üzerinden karşılaştırıp yorumlayınız. 7