LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ



Benzer belgeler
Kampüs Ağlarında Köprü-Güvenlik Duvarı (Bridge Firewall) ve Transparent Proxy

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

FreeBSD Üzerinde VLAN Kullanımı

FreeBSD Üzerinde VLAN Kullanımı

Linux Çekirdeği 2.6 ve Güvenlik. Fatih Özavcı IT Security Consultant.

Data Link Katmanı olarak adlandırılır. Fiziksel adresleme bu katmanda yapılır.

Iptables. Deniz Özibrişim. Eylül, 2012

Quedra L MON Log Yönetim ve Güvenli Kayıt Yazılımı

YRD. DOÇ. DR. AGÂH TUĞRUL KORUCU

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Açık Kod VPN Çözümleri: OpenVPN. Huzeyfe ÖNAL

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

Kurumsal Güvenlik ve Web Filtreleme

Sun Solaris Jumpstart Sistemi

WiFi RS232 Converter Sayfa 1 / 12. WiFi RS232 Converter. Teknik Döküman

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi

Kurumsal Güvenlik ve Web Filtreleme

SquidGuard Kurulumu. Öncelikle gerekli paket temin edilmelidir. adresinden temin edilebilir. Basitçe kurulumu ;

Web Servis-Web Sitesi Bağlantısı

UBNT. UniFi mfi Ububntu. Ubuntu İşletim Sistemi ve UniFi/mFi Yazılımlarının Kurulumu

Apache üzerinden Red Hat 5 yüklenmesi

Veri Tabanı Yönetim Sistemleri Bölüm - 02

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

İşletme ve Devreye Alma Planı Yerel Okul Sunucusu Uygulama Yazılımları Prototipi TRscaler Technology Solutions

Bu bölüm V- Ray License Server lisans sunucusu uygulamasının kurulumundan

EKLER EK 12UY0106-5/A4-1:

TCPDump Kullanımı. Afşin Taşkıran. Tcpdump, Unix/Linux benzeri sistemler için vazgeçilmez paket yakalama ve analiz aracıdır.

03/03/2015. OSI ve cihazlar. Ağ Donanımları Cihazlar YİNELEYİCİ (REPEATER) YİNELEYİCİ (REPEATER) Yineleyici REPEATER

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

BIND ile DNS Sunucu Kurulumu

SERNET ET485CAS x2 RS485/RS422 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

MCR02-AE Ethernet Temassız Kart Okuyucu

AKINSOFT. Eofis NetworkAdmin. AKINSOFT EOfis NetworkAdmin Kurulumu Bilgi Notu. Doküman Versiyon : Tarih : Copyright 2008 AKINSOFT

22/03/2016. OSI and Equipment. Networking Hardware YİNELEYİCİ (REPEATER) YİNELEYİCİ (REPEATER) Yineleyici. Hub

BİLGİ NOTU. SpeedTouch 585 Kablosuz ADSL Router

AHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli

Berqnet Sürüm Notları Sürüm 4.1.0

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

Yeni Nesil Ağ Güvenliği

EFe Event Management System

Debian GNU/Linux'da BootSplash & Grub Temalarının Kurulumu

Bridge Mod Modem ve Firewall Ayarları

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 1

Doğru Adaptor soket kutuplaması.

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

TÜRKİYE CUMHURİYETİ ORMAN GENEL MÜDÜRLÜĞÜ DASDIFFUSION DEPARTMENTAL EDITION 1. FAZ İSTEMCİ PC KURULUM KILAVUZU

CISCO AĞLARDA YÖNLENDĐRME

Linux Terminal Sunucusu. Afşin Taşkıran

3CX Phonesystem Türkçe Anonsları Windows ve Linux İşletim Sistemlerinde Aktif Etme

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

Özgür Yazılım Çözümleri Ağ Yönlendirici Cihazı ODTÜ. metu.edu.tr

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 5. Yönlendiricilerde İşlem İzleme ve Hata Ayıklama

TEMEL NETWORK CİHAZLARI

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

BİLGİ NOTU. SpeedTouch 546v6 ADSL Router

Bağlantı Kılavuzu. Desteklenen işletim sistemleri. Yazıcı yükleme. Bağlantı Kılavuzu

SERVİS MENÜSÜ KULLANIM REHBERİ

Ünite-3 Bilgisayar Yazılımı.

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 7

-D delete : Zinciri silmek için kullanılan komut; Silme işlemi için ya zincir numarası belirtilir ya da kuralın kendisi.

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, kabuk ve diğer temel kavramlar) Bir işletim sisteminin yazılım tasarımında ele alınması gereken iki önemli konu

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

Yönlendiriciler ve Yönlendirme Temelleri

OpenBSD Pf ve Squid ile Transparent Proxy Kurulumu.!!Bu yazıda OpenBSD 3.7 işletim sistemi kullanılmıştır.

Hızlı Başlangıç Kılavuzu

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Checkpoint SSL-VPN Kurulum Prosedürü. Checkpoint Endpoint VPN Client

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Squid i Follow X-Forwarded-For headers Yaması İle Patchlemek

Mikro Ayarları. Mikro Programının kurulu olduğu veritabanı ve web servisi için bağlantı ayarlarının yapıldığı menüdür.

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

Linux işletim sistemlerinde dosya hiyerarşisinde en üstte bulunan dizindir. Diğer bütün dizinler kök dizinin altında bulunur.

Temel Linux Eğitimi 1., 2. ve 3. Bölümler

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

Fedora Core Ağ Ayarları

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

Uzaktan Kurulum Kılavuzu

SAMURAİ FRAMEWORK İLE HACKİNG-1 (FOOTPRINTING)

Bilgi ve İletişim Teknolojileri (JFM 102) Ders 7. LINUX OS (Sistem Yapısı) BİLGİ & İLETİŞİM TEKNOLOJİLERİ. LINUX Yapısı

Bilindik engelleme yöntemlerinin dışında olan, kurumsal web filitreleri nasıl aşılır?

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

USB 2.0 DAN HDMI A VİDEO ADAPTÖRÜ. Hızlı Kurulum Kılavuzu DA-70851

KARADENİZ TEKNİK ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUARI. Wireshark ile Ağ Paket Analizi

Yrd. Doç. Dr. A. Burak İNNER

EC-100. Ethernet RS232/422/485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

LINUX TA İNTERNET PAYLAŞIMI

EMG Ethernet Modbus Gateway Kullanım Kılavuzu

TÜRKİYE CUMHURİYETİ ORMAN GENEL MÜDÜRLÜĞÜ DASDIFFUSION DEPARTMENTAL EDITION 1. FAZ TARAMA PC KURULUM KILAVUZU

AĞ İŞLETMENİ PROGRAMINA İLİŞKİN AÇIKLAMALAR

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

ZyXEL P-660HN-F1Z Modem ve VLAN Gerekliliği

Bilgisayar Yazılımları

Transkript:

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

Belge Hakkında Bu belge GNU Free Documentation Licence ı ile kaynak gösterilmek ve önceden yazarından izin alınmak kaydıyla yeniden yayınlanabilir. Belge içerisinde Linux, iptables, ebtables gibi tescilli markaların isimlerinden söz edilmektedir. Belgedeki eksik, yanlış ya da geliştirilmesi gerektiğini düşündüğünüz yerleri lütfen yazarına e- posta ile bildiriniz. Bu belgenin en güncel haline, http://www.enderunix.org/docs/linuxbridgemode.pdf adresinden ulaşabilirsiniz. Sürüm numarası: 1.0 Belgenin İlk Oluşturulma Tarihi: 06.02.2007 Belgenin Son Güncellenme Tarihi: 12.02.2007 Tüm hakları Afşin Taşkıran a aittir. YAZAR HAKKINDA Afşin TAŞKIRAN EnderUnix Yazılım Geliştirme Takımı ~ Türkiye Çekirdek Takım Üyesi afsin ~ enderunix.org http://www.enderunix.org/afsin

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır. Şekil: Standart Güvenlik Duvarı Yapısı Ağ geçidi olarak çalışan güvenlik duvarlarının farklı ağ katmanlarında IP adresi olması gerektiğinden ağ geçidinin gizliliği soz konusu olamaz. Varolan bir ağ yapısına güvenlik duvarı konumlandırılmak istendiğinde ağ katmanlarının ayrılması ve en az iki ağ katmanı oluşturulması gerekir. Adres yönlendirme gerekmeyen ağlarda güvenlik duvarının ilgili ağ arayüzünde IP adresi olmadan çalıştırılabilmesi, bu gibi güvenlik ve yapılandırma problemlerine çözüm getirmektedir. Güvenlik duvarının bu şekilde çalıştırılmasına köprü modu da ( bridge mode ) denmektedir.ayrıca köprü modunda çalıştırılırken kullanıcılara hissettirmeden trafik kontrolu yapılabilmektedir. Layer 7 paket filtreleme ve IDS/IPS sistemler için ideal yapıdır. Güvenlik duvarının köprü modunda çalışabilmesi için mac adresleri kullanılmaktadır. Bundan dolayı çalışma seviyesi Layer-2 dir. Şekil: Köprü modunda çalışan güvenlik duvarı

Linux sistemin köprü modunda çalıştırılabilmesi için bridge (bridge.sf.net) projesi kullanılmaktadır. Standart linux çekirdeğinde bridge desteği bulunmadığından çekirdeğe bu desteğin verilmesi gerekir. Köprü Modunda Çalışırken MAC Adresleri Ethernet çalışan yapılar ağ içerisinde haberleşme yaparken mac adreslerini kullanmaktadır. Yukarıdaki yapıda güvenlik duvarı L-2 modunda çalıştığından normal şartlarda ağ arayüzleri arasında mac adreslerinin geçişi söz konusu olmaz. Bu durumda Sunuculardan biri yönlendiri cihaza ulaşmak istediğinde mac adresi bilinemediğinden ulaşamayacaktır. Güvenlik duvarında bu gibi problemleri engelleme amacıyla arp proxy denen yapılar kullanılmaktadır. Arp proxy sayesinde ağ arayüzleri birbirlerine gelen arp adreslerini karşılıklı olarak anons ederler. Şekil: Köprü modunda çalışan güvenlik duvarında proxy arp Yukarıdaki örneğimizden de görüldüğü gibi yönlendirici cihaz 10.10.10.67 IP li sunucuya erişmek istediğinde mac adresini soracak güvenlik duvarından dönüş olacaktır. Aynı şekilde sunucu sistem de yönlendirici cihaza erişmek istediğinde güvenlik duvarı tarafından mac adresi duyurulacaktır. Her iki durumda da paketlerin güvenlik duvarına gelmesi sağlanır. Linux un Köprü Modunda Çalıştırılması Linux çekirdeğininizin bulunduğu dizine uygun bridge yamasını http://ebtables.sourceforge.net/ adresinden indirin. EnderFW # cd /usr/src/linux EnderFW # wget bridge_brnf.tar.gz EnderFW # patch -p1 < bridge_surumnumarasi.patch

EnderFW # make menuconfig Çekirdek konfigurasyonunuzda BRIDGE_NETFILTER ve IP_NF_ARPTABLES (modül olarak eklenebilir) parametreleri aktif hale getirilmelidir. Daha sonra standart çekirdek derleme işlemleri yapılmalı ve derlediğiniz bridge desteği verilmiş çekirdek ile sistem açılmalıdır. Linux çekirdeğine bridge desteği verdikten sonra bridge-utils isimli köprü modunda kullanacağımız yazılımlar kurulmalıdır. EnderFW # cd /usr/local/src EnderFW # wget http://.../bridge-utils-1.2.tar.gz EnderFW # tar zxvf bridge-utils-1.2.tar.gz EnderFW # cd bridge-utils-1.2 EnderFW # make EnderFW # make install Bu aşamaya kadar sorunsuz kurulumları gerçekleştirdiyseniz herşey hazır demektir. EnderFW # brctl Öncelikle L2 seviyesinde sistemimizi çalıştıracağımızdan Linux sistemde proxy arp ın aktif olmaı gerekir. EnderFW # echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp EnderFW # echo 1 > /proc/sys/net/ipv4/conf/eth2/proxy_arp eth1 ve eth2 köprü modunda çalışacak olan ağ arayüzleridir. IP yönlendirmeyi de aktif hale getirmelisiniz. EnderFW # sysctl -w net.ipv4.ip_forward=1 Güvenlik duvarınızı köprü modunda çalıştırmak için asıl yapılandırmanızı bridge yazılımı ile yapabilirsiniz. Köprüde kullanacağınız ağ arayüzlerinin IP adresleri olmamalıdır. EnderFW # ifconfig eth1 0.0.0.0 EnderFW # ifconfig eth2 0.0.0.0 Köprü modunda bir ağ arayüzü oluşturmak için; EnderFW # brctl addbr br0 Bu komut ile br0 isimli bir köprü oluşturulmuştur. Fiziksel ağ arayüzlerinizi bu köprüye dahil etmeniz gerekir. EnderFW # brctl addif br0 eth1 EnderFW # brctl addif br0 eth2

br0 köprüsünü çalışır duruma getirmek için aşağıdaki komutu kullanabilirsiniz. EnderFW # ifconfig br0 up Sisteminizi köprü moduna geçirdikten sonra IPTables ve ebtables ile detaylı paket filtreleme işlemleri yapabilrsiniz. Ebtables Kullanımı ebtables, üst seviye filtreleme işlemlerinin yapılabildiği bir yazılımdır. 2. katmanda (Layer 2) filtreleme yapar. Temel IP filtrelemeyi ve iptables ile birlikte köprü (bridge) modda tam filtrelemeyi sağlar. Ana Özellikleri: Ethernet filtreleme MAC adres filtreleme Basit IP başlığı filtreleme ARP Başlığı filtreleme 802.1Q VLAN filtreleme Giriş çıkış bazında arayüz filtreleme Ebtables in Kurulumu: http://ebtables.sourceforge.net adresinden ebtables in son sürümünü bilgisayarınıza indirin. Daha sonra; EnderFW # tar zxvf ebtables-v2.0.8-rc3.tar.gz EnderFW # cd ebtables-v2.0.8-rc3 EnderFW # make EnderFW # make install Eğer init betiklerinizin yeri /etc/rc.d/init.d değilse ebtables i kurulum aşamasında INITDIR parametresiyle birlikte derlemelisiniz. Örneğin init dizininiz /etc/init.d ise; EnderFW # make install INITDIR=/etc/init.d/ olmalıdır. Konsolda ebtables V komutunu verdiğinizde sürüm bilgilerini ekrana yazıyorsa ebtables başarıyla kuruldu demektir. ebtables Örnekleri ebtables ile çok kullanışlı kurallar oluşturabilirsiniz. Aşağıdaki örnekte özel bir mac adresi için sadece IPV4 sınıfı IP kullanımına izin verilmiş, diğer türler yasaklanmıştır. ebtables -A FORWARD -s 00:11:22:33:44:55 -p IPV4 -j ACCEPT

ebtables -A FORWARD -s 00:11:22:33:44:55 -j DROP ebtables ile mac adres NAT işlemleri yapabileceğimizi belirtmiştik.hedefi 00:11:22:33:44:55 olan paketlerin hedef adresini 54:44:33:22:11:00 olarak değiştirmek için aşağıdaki örneği kullanabilirsiniz. ebtables -t nat -A PREROUTING -d 00:11:22:33:44:55 -i eth0 \ -j dnat --to-destination 54:44:33:22:11:00 Kaynaklar: [1] http://www.faqs.org/docs/linux-howto/bridge-stp-howto.html [2] http://www.spenneberg.com/talks/linux-kongress2002/ralf-spenneberg.bridgewall.pdf [3] http://lists.netfilter.org [4] http://linux-net.osdl.org/index.php/bridge [5] http://ebtables.sourceforge.net

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim