Ağ Uygulamaları

Hayal@

4.3. Sistem
Bu arada size, sistemimizin altyapısını tanıtayım:
Pentium 133MHz, 32MB SDRam bellek, 1080MB ve 425MB boyutlu iki sabit disk, disket sürücü, CD-Rom sürücü ve siyah-beyaz bir ekran. ışletim sistemi olarak RedHat 6.2 yüklü. Toplama bir makina. Adı, "merkez". Bu makinede Hylafax, sendmail, squid ve IP maskeleme çalışıyor. Hizmet verdiği kullanıcı sayısı yaklaşık 10. (Bu kişiler, aynı mekanı başkalarıyla paylaşan bir firmanın elemanları.) Merkez'in de üzerinde yer aldığı ağda 2 tane de Novell Sunucu var. Toplam kullanıcı sayısı 30'u buluyor. Novell Sunucular 128MB ve 256MB'lık belleği olan, sunucu-tipi Compaq makinalarda çalışıyorlar. Kullanıcı makinalarının hepsinde Windows yüklü; birkaçı Windows 95, kalanı ise Windows 98. 2 tane 24'lük HUB'ımız var. Erişim hızımız 10 Mbit/sn.

Merkez'in ilk işlevi, kullanıcıları aynı telefon hattı üzerinden Internet'e eriştirmekti. İlk kurduğumda, Slackware'i tercih etmiştim. Versiyonu 3.5'ti. Dial-on-demand özelliği de olan, elektrik kesilmelerinde bile problem yaratmayan çok güzel bir sistemdi. Hiçbir şikayetimiz yoktu.

Sonra, bu makinayı faks sunucu olarak da kullanmayı önerdim.

Hylafax'ı derleme aşamalarında bazı sorunlar çıkınca, hazır rpm dosyalarını kullanabilmek için RedHat'e geçmek zorunda kaldım. önce versiyon 6.0'ı, sonra 6.2'yi yükledim. (İtiraf etmeliyim ki, önceki sistemimizin güvenilirliğine hiçbir zaman erişemedik.)

Kullanıcıların IP numaraları, 192.168.1.x olarak tanımlı. Merkez'in IP numarası ise 192.168.1.254. IP maskeleme ve squid devrede.


4.4. İkinci Ethernet Kartının Tanıtılması
Hemen söyliyeyim ki, aynı tip Ethernet kartlarının birlikte kullanımı sorun yaratıyor. Bunu bizzat ben de yaşadım. Kablonet elemanlarının ağ kullanımı konusunda ilk söyledikleri de bu oluyor: Aynı tip ethernet kartı kullanmayın!
Ben, pek çok şeye, denemeden inanmam. Yine öyle oldu. NE2000 tipi, farklı IRQ ve adrese ayarlanmış pek çok kartla deneme yaptım. Elbette olmadı! Sadece zaman yitirmiş oldum.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742

Belge taramaları sırasında bulduğum bir e-postada ise, PCI NE2000 kartlarının birlikte kullanımı için, /etc/conf.modules dosyasının içinde alttaki satırların bulunmasının yeterli olduğu söyleniyor:

alias eth0 ne2k-pci
alias eth1 ne2k-pci


(Bkz. http://linux.umbc.edu/lug-mailing-li.../msg00664.html)
Elimde sadece 1 adet PCI kart olduğu için kendim deneyemedim. Ancak, mantıklı görünüyor.

Benim yaptığım, zaten merkez'de kullanmakta olduğum eski tip NE2000 kartının yanına, PCI tipi NE2000 kartını takmak oldu.

PCI aygıtlar, sistem tarafından kolaylıkla tanınan aygıtlardır. Bunların özelliklerini:

cat /proc/pci


komutuyla kolayca görebilirsiniz. Merkez'in /proc/pci dosyasının içeriği aşağıda:
PCI devices found:
Bus 0, device 0, function 0:
Host bridge: Intel 82437 (rev 2).
Medium devsel. Master Capable. Latency=64.
Bus 0, device 7, function 0:
ISA bridge: Intel 82371FB PIIX ISA (rev 2).
Medium devsel. Fast back-to-back capable. Master Capable. No bursts.
Bus 0, device 14, function 0:
Ethernet controller: Surecom NE-34PCI LAN (rev 1).
Medium devsel. Fast back-to-back capable. IRQ 11.
I/O at 0xff80 [0xff81].


Hiç olmazsa 2. kart olarak, PCI NE2000 Ethernet kartı kullanmanızı öneririm. Hiç uğraştırmıyor. Ayrıca, Redhat'in netconf komutunu da denemelisiniz.

Bildiğiniz gibi, Kablonet üzerinden bilgi alırken DHCP protokolünü kullanmak gerekiyor. Eğer netconf komutunu kullanırsanız:

Client tasks -> Basic host information seçeneği altında 2., 3., hatta 5. ethernet kartını bile tanımlamanız olası. İkinci kartı tanıtmak için, sadece Enabled ve Dhcp seçeneklerini işaretleyip, Net device olarak da eth1 yazmanız yeterli oluyor.

Hayal@

4.5. Yapılandırma Dosyaları
Ethernet kartlarınızın tanımlama bilgileri, /etc/sysconfig/network-scripts dizini altındaki ifcfg-eth? dosyalarının içinde bulunuyor. Dilerseniz bu dosyaları kendiniz de düzenleyebilirsiniz.
Merkez'in ethernet tanımlama bilgileri aşağıda:

/etc/sysconfig/network-scripts/ifcfg-eth0 dosyası:

DEVICE="eth0"
IPADDR="192.168.1.254"
NETMASK="255.255.255.0"
NETWORK=192.168.1.0
BROADCAST=192.168.1.255
ONBOOT="yes"
BOOTPROTO="none"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"


/etc/sysconfig/network-scripts/ifcfg-eth1 dosyası:

DEVICE="eth1"
IPADDR=""
NETMASK=""
ONBOOT="yes"
BOOTPROTO="dhcp"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"


Bunların yanında bir önemli dosyamız daha var: /etc/sysconfig/network. Onun içeriği de şöyle:

NETWORKING="yes"
FORWARD_IPV4="true"
HOSTNAME="merkez.erdeniz.gen"
DOMAINNAME="erdeniz.gen"
GATEWAY="192.168.1.254"
GATEWAYDEV="eth0"


Yukarıdaki parametrelerin hepsi de önemli, ancak, GATEWAY ve GATEWAYDEV değerlerine özellikle dikkat etmekte yarar var.

4.6. Kontrol
Buraya kadar yaptıklarımız, kablo üzerinden bilgi akışını başlatmak için yeterli. Yine de bir püf noktası var: Bilgisayarınız açık ve yukarıdaki tanımlamalarınız tamamlanmış durumdayken, kablo modemi bir kez daha resetlemek (elektrik kablosunu çıkarıp, yeniden takarak) yararlı olabilir. Modemin üzerinde herhangi bir reset-tuşu olmadığına göre, belki de gereksiz bir işlem bu, ama, ne olur ne olmaz!
Peki, sistemin ethernet kartını tanıyıp tanımadığını nasıl anlayacağız?

Sistem açılışı sırasında lo, eth0 ve eth1 satırlarının [OK]'lenmesiyle,


ifconfig komutuyla
Merkez'in ifconfig komutuna verdiği yanıt şöyle:

eth0 Link encap:Ethernet HWaddr 00:80:AD:16:3B:A6
inet addr:192.168.1.254 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:615 errors:0 dropped:0 overruns:0 frame:0
TX packets:855 errors:0 dropped:0 overruns:0 carrier:0
collisions:9 txqueuelen:100
Interrupt:5 Base address:0x320

eth1 Link encap:Ethernet HWaddr 00:00:21:50:50:3D
inet addr:212.174.111.180 Bcast:212.174.111.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:3540 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:11 Base address:0xff80

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:269 errors:0 dropped:0 overruns:0 frame:0
TX packets:269 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0


Ayrıntılarına girmiyorum, ancak, sizin de sisteminizden benzer bir yanıt almanız gerekiyor.



Modemin çalışıp-çalışmadığını anlama yöntemleri değişebilir elbet. Bizim kullandığımızda en üstteki 3 led sürekli yanıyor, en alttaki Activity led'i ise bilgi akışına bağlı olarak düzensiz aralıklarla yanıp sönüyor.

Ayrıca, tcpdump -i eth1 komutunu kullanabilirsiniz. Böylece, veri akışı olup olmadığını anlamanız mümkün.

Ben, daha etkin bir yöntem olarak, cold isimli bir program kullanıyorum. Bir tür koklayıcı (sniffer). Kullanımı çok basit. Konsolda kullanıyorsunuz. cold ve tgz kelimelerini birlikte aratarak, internette kolayca bulabilirsiniz.Aşağıdaki parametrelerle, ikinci ethernet kartını sınamanızı sağlıyor:

cold --interface eth1

Hayal@

4.7. IP Maskeleme
Gelelim işin, paylaştırma kısmına. Bu kez küçük bir betik hazırlayacağız. Adı, kablo.sh ve /etc/rc.d dizinine yerleştirilecek:
echo "1" > /proc/sys/net/ipv4/ip_forward

/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_quake

/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i eth1 -j MASQ


Eğer paket yönlendirme konusunda ayrıntıya girmek isterseniz, IPCHAINS-HOWTO ve IP-Masquerade-HOWTO belgelerini okumalısınız.

kablo.sh betiğini çalıştırılabilir hale getirmeyi unutmayalım (# chmod +x kablo.sh).

Son olarak ta /etc/rc.d/rc.local dosyasının sonuna, aşağıdaki satırı ekleyelim. Böylece bilgisayarımız yeniden açıldığında, bilgi akışı ve paylaşım işlemleri kendiliğinden başlayabilecektir:

/etc/rc.d/kablo.sh


Benim yaptığım gibi, internete daha önceden de çıkabilen bir sistem üzerinde çalışıyorsanız /etc/resolv.conf dosyanızda herhangi bir değişiklik yapmanıza gerek yoktur.

Yine de örnek olarak, merkez'in /etc/resolv.conf dosyasını veriyorum. Dikkat ederseniz, nameserver adreslerinin her biri bir başka (ISP) Servis Sağlayıcı'ya aittir. Böylece, bazan hızı düşürse de, bir ISP'deki arıza yüzünden internete erişememe riskini oldukça azaltıyor.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742


search ixir.com.tr
nameserver 213.186.155.15
nameserver 195.174.219.10
nameserver 212.64.200.32


Böylece sunucu tarafındaki tüm işlemler tamamlanmış oldu.


4.7.1. İstemci Tarafı
İstemci tarafı için söyleyeceğim fazla bir şey yok. Yeter ki ethernet kartının TCP/IP protokolünde gateway adresi doğru tanımlansın (örneğin merkez için gateway: 192.168.1.254).
Eğer squid kullanılıyorsa, web tarayıcı programına bu bilgilerin de verilmesi gerekli.(Yine merkez için: Proxy address: 192.168.1.254, Port: 3128)

4.8. Sonuç
Yukarıda anlatmaya çalıştığım ayrıntıların uygulamaya konması, Kablonet'in çalışması hariç, sadece yarım saatimi aldı; araştırma tarafı ise, tam 2 haftamı!
Sonuç: buna değiyor! Ev kullanıcısı için biraz pahalı bir çözüm olsa da, işyerleri için, leased line bağlantıları yoksa, kesinlikle öneririm.

Hayal@

İçindekiler
5.1. Giriş
5.2. GPRS Nedir?
5.3. PPP Ayarları
5.4. Betiklerin Ayarlanması
5.5. Sonuç
5.6. Kaynakça
5.7. Yasal Açıklamalar
5.7.1. Telif Hakkı ve Lisans
5.7.2. Feragatname

5.1. Giriş
İtiraf etmeliyim ki beni 3 gün uğraştırmasına rağmen bu iş çok kolay. Bu fikre varmamı 3. günün sonunda telefonu kapatıp açarak denemem sağladı. Evet Linux'de GPRS hakikaten kolay.

Ama önce size kendi sistemimden bahsedeyim. Sistemimde 2.4.18 çekirdeğiyle çalışan Slackware Linux 8.1 mevcut. pppd sürümü 2.4.1.

GPRS'li telefon olarak Motorola Timeport 260 kullanıyorum. Ve bağlantıyı sağlamak için de RS232 kablosu gerekiyor. Eğer PC'nizde (veya laptop) IR (Infrared) mevcut ise bu kabloya ihtiyacınız yok. Ama bilgisayarımda IR mevcut olmadığı için ben RS232 kablosu ile bağlantıyı anlatacağım. Ama kızılötesi ile de bağlantının pek farklı olmadığını biliyorum.

5.2. GPRS Nedir?
GPRS, bir çok şebekenin kullanıcılarının veri uygulamalarına erişim sağlayabilmek için kullanmak durumunda olduğu verimli bir teknolojidir. GPRS, son kullanıcının mobil veri iletişimini, 'devamlı sanal bağlantı' durumunu ekonomik hale getirerek ve veri alımını ve gönderimini bugünkünden çok daha yüksek hızda mümkün kılarak önemli ölçüde geliştirir. GPRS, sadece bugünkü GSM teknolojisinin sunmakta olduğu veri hizmetlerine eşlik etmekle kalmaz, yarının 3. nesil hücresel ağları için planlanmakta olan veri iletişim yetilerini de şebekelere sağlar. GPRS, mobil iletişim teknolojisinde halen kullanılan devre anahtarlamalı (circuit-switched) yani kullanıcıya tahsis edilen bir tek hat üzerinden sürekli bağlantı yerine paket anahtarlamalı (packet switched), aynı hattı birden çok kullanıcının paylaştığı bir teknolojidir.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742

GPRS teknolojisi, kullanıcıya yüksek erişim hızının yanı sıra, bağlantı süresine göre değil gerçekleştirilen veri alışverişi miktarı özerinden tarifelendirilen ucuz iletişim olanağı sağlamakta ve böylelikle "sürekli bağlantıda, sürekli gerçek zamanda" (always connected/always online) anlayışını sunmaktadır.

GPRS teknolojisini kullanabilmek için mobil şebeke ve servis sağlayıcı altyapısına GPRS donanım ve yazılımları entegre etmek ve GPRS uyumlu mobil telefonlar gereklidir.

Teorik olarak GPRS teknolojisi 171.2 kilobit/saniye (bkz. http://www.gsmworld.com/technology/gprs/intro.shtml) hızda hizmet verebilir.Ama gerek GSM operatörlerinin alt yapısı gerekse doğal koşullar bunu pek mümkün kılmaz. GPRS şu anda 56 K hızında bağlantı sunabilmektedir. Eminim ki zamanla bu da artacaktır

5.3. PPP Ayarları
Bu kadar önbilgi yeterli sanırım. Şimdi Linux'unuzun PPP (Point-to-Point Protocol) kullanabiliyor olduğundan emin olun. Bunu anlamak için açılısta çekirdek mesajlarına bakabilirsiniz. Eğer çok hızlı geçiyorsa şunu deneyin.

$ dmesg | grep PPP

sonra;

PPP generic driver version 2.4.1
PPP BSD Compression module registered
PPP Deflate Compression module registered
PPP BSD Compression module registered
PPP Deflate Compression module registered

gibi bir sonuç alıyorsanız TAMAM demektir. Ya da;

$ /sbin/lsmod

komutunu verin. Çünkü PPP çekirdeğinize modül olarak eklenmiş olabilir.

Module Size Used by Tainted: P
ppp_async 6144 1 (autoclean)
ppp_generic 14428 3 (autoclean) [ppp_async]
slhc 4272 0 (autoclean) [ppp_generic]

gibi bir cevap almanız güzel bir şeydir

Eğer gelen sonuçlarda hiçbir şey yok ise çekirdeğinize PPP desteğini eklemeniz gerekir. Ama neredeyse tüm Linux dağıtımları PPP'yi destekler halde gelir.

Hayal@

5.4. Betiklerin Ayarlanması
Öncelikle telefonunuzu açın ve RS232 kablosunu hem telefona hem PC'nize takın. (COM1 veya COM2)

Bağlanırken kullanacağınız betikleri hazır olarak http://gate.polarhome.com/~experienc....tr.ppp.tar.gz adresinden temin edebilirsiniz.

Şimdi o dosyayı indirin. Benim favorim wget;

$ wget http://gate.polarhome.com/~experienc....tr.ppp.tar.gz
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742

sonra :

$ su

# mv gprs.tr.ppp.tar.gz /etc
# cd /etc

Aşağıdaki isteğe bağlı bir komut. Önceki PPP ayarlarınızı tamamen silmek için.

# rm -rf ppp/

Yani bir üst satırdaki komut şart değil. Güzel gözükmesi için devam edin;

# tar -zxvf gprs.tr.ppp.tar.gz

Şimdi betikler /etc/ppp altında yerleşti. Bunları isterseniz kontrol edin. Türkiye'de genelde GPRS bağlantıları için parola ve kullanıcı adı gerekmiyor ama operatörünüz öyle bir şeyden söz ederse bunu kendiniz /etc/ppp altında PAP dosyalarında belirtmelisiniz.

Şimdi /etc/resolv.conf dosyasını düzenleyin. (favori düzenleyicim: pico)

Ona şu satırları ekleyin;

nameserver 212.156.4.4
nameserver 212.156.4.20

Bilgi: TTNET DNS adreslerini yazıyoruz, çünkü onlar daha hızlı. Ama siz isterseniz kendi operatörünüzün DNS'lerini de yazabilirsiniz. (Örnek: Turkcell 212.252.119.3 ve 212.252.119.4)

Şimdi bağlanmaya hazırsınız. Bağlanma komutunu verin (root olmaya dikkat)

# pppd call gprs-moto

Artık bağlantınız var! ifconfig ppp0 veya route -n komutlarıyla test edebilirsiniz.

Başka bir konsol açıp (ALT+F2) devam edin...

5.5. Sonuç
Bir sorun oldugunda e-posta atmaktan çekinmeyin. <experience~email.com> (Aradaki işareti @ yapmayı unutmayın.)

SON NOT

Yukarıdaki paketin içindekiler tümden bana ait değildir. Kaynakçada adresini verdim. Sonra benim başıma gelip de vay efendim bu çalıntı filan vs. deyip beni çıldırtmayın. Baştan söylüyoruz...!

5.6. Kaynakça

* http://www.motorola.com.tr/gprsnedir.asp
* http://www.gsmworld.com/technology/gprs/index.shtml
* http://dvtl.pisem.net/gprs_moto.html

5.7. Yasal Açıklamalar

5.7.1. Telif Hakkı ve Lisans
Bu belgenin, Linux ve GPRS 0.1 sürümünün telif hakkı © 2002 Fatih Yılmaz'a aittir. Bu belgeyi, Free Software Foundation tarafından yayınlanmış bulunan GNU Özgür Belgeleme Lisansının 1.1 ya da daha sonraki sürümünün koşullarına bağlı kalarak kopyalayabilir, dağıtabilir ve/veya değiştirebilirsiniz. Bu Lisansın bir kopyasını http://www.gnu.org/copyleft/fdl.html adresinde bulabilirsiniz.

Linux, Linus Torvalds adına kayıtlı bir ticarî isimdir.

5.7.2. Feragatname
Bu belgedeki bilgilerin kullanımından doğacak sorumluluklar, ve olası zararlardan belge yazarı sorumlu tutulamaz. Bu belgedeki bilgileri uygulama sorumluluğu uygulayan aittir.

Tüm telif hakları aksi özellikle belirtilmediği sürece sahibine aittir. Belge içinde geçen herhangi bir terim bir ticarî isim yada kuruma itibar kazandırma olarak algılanmamalıdır. Bir ürün ya da markanın kullanılmış olması ona onay verildiği anlamında görülmemelidir.

Hayal@

İçindekiler
8.1. Giriş
8.1.1. Güvenlik Duvarı (Firewall) Nedir?
8.2. Güvenlik Duvarı Kavramları
8.2.1. Tabya (Bastion Host)
8.2.2. Ağ Adres Çevrimi (NAT), Maskeleme
8.2.3. Paket Filtreleme
8.2.4. Dinamik (Stateful) Filtreleme
8.2.4.1. Bazı Internet Servislerinin İç Ağdan Verilmesi
8.2.5. Vekil (Proxy)
8.2.5.1. Vekillerin Başka Kullanımları
8.3. Güvenlik Duvarı - Satın Almak, Kendiniz Yapmak?
8.3.1. Satın Almak
8.3.2. Kendiniz Yapmak
8.3.2.1. Neden Kendi Güvenlik Duvarımızı Kurduk?
8.3.2.2. Kullanılan Donanım
8.3.2.3. İşletim Sistemi ve Kurulum
8.3.2.4. Servislerin Kapatılması
8.3.2.5. Gereksiz Paketlerin Kaldırılması
8.3.2.6. Güncellemeleri Uyguladık
8.3.2.7. Modem Kartımızı Sisteme Tanıttık
8.3.2.8. PPP Ayarlarının Yapılması
8.3.2.9. Güvenlik Duvarını Oluşturma Yazılımı: Fwbuilder
8.4. Web Vekili (Squid)
8.4.1. Squid Kurulumu
8.4.2. Ayarlar
8.4.3. Squid Kurulumunda ikinci adım: SquidGuard
8.5. DNS Sunucusu
8.6. Sistemi Yeniden Başlattık
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742
8.7. Sonuç
A. squid.conf dosyası
B. filter.conf dosyası
C. squidGuard.cgi dosyası
D. perde.xml dosyası
E. iptables betiği

6.1. Giriş
Her şirkette bir gün Internet'e bağlantı ve bunun getireceği yararlar gündeme getirilir. Fakat Internet bağlantısı, Bilgi İşlem açısından bazı sorunları beraberinde getirmektedir.

* Dışarıdan içeriye yapılacak saldırılar.
* İçeriden yetkisiz kişilerin dışarıya bilgi göndermesi.
* Internet'de "tehlikeli alanlarda" dolaşma sonucunda sisteme virüs bulaşması.
* Internet'de özellikle vakit kaybettirici bazı sitelere ulaşımın şirket içerisinde, çalışma saatlerinde yapılması.
* Yetkisiz kullanıcıların Internet'de gezinmesi.

Günün sonunda, %100 güvenlik ve kontrol yoktur. Fakat güvenlik ve kontrolü, kolaylıkla bertaraf edilebilir halden çıkarmak mümkündür.

6.1.1. Güvenlik Duvarı (Firewall) Nedir?
Bütününe güvenlik duvarı dediğimiz servisler aslında bir kaç alt kavramdan oluşmaktadır: Tabya (Bastion Host), Ağ Adres Çevrimi (NAT), Maskeleme, Paket Filtreleme, Vekil (Proxy). Bütün güvenlik duvarları (ticari olanlar ve olmayanlar), bu uygulamaların hepsini veya bir kısmını uygularlar.

Hayal@

6.2. Güvenlik Duvarı Kavramları

6.2.1. Tabya (Bastion Host)
İdealde, ağınızdaki güvenlik, ağ seviyesinde ve ağdaki her bir makinada uygulanır. Pratikte ise, bu ya yapılamamakta, ya da ihtiyaç duyulan kimi protokollerin güvenlikten yoksun olduğu bilinse dahi kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir ağla, dış dünya arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Dolayısıyla içerideki ağa girmek isteyen her kötü niyetli dış saldırı, önce özel olarak korumalı tasarlanmış güvenlik duvarı makinasını bertaraf etmek zorundadır. Bu makinaya "kale", "nöbetçi kale" anlamına gelen tabya[30] (bastion host) da denir. Tabyamız, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (Internet). Tabya iki özelliğe sahiptir:

* Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
* İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.

Şekil 6.1. İç ağ ile dış ağ arasında güvenlik duvarı



* Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
* İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.

Şekil 6.2. İç ağ ile dış ağ arasında güvenlik duvarı



6.2.2. Ağ Adres Çevrimi (NAT), Maskeleme
Günümüzde iç ağların hemen hepsi tahsisli olmayan IP numaraları (10.0.0.0, 192.168.0.0 vs.) kullanmaktadır. Bu IP numaraları Internet üzerindeki yönlendiriciler (router) tarafından bilinmez. Dolayısıyla bu ağlardan Internet'deki herhangi bir makinaya bir erişim olduğu zaman Internet'deki makina bu ağa nasıl geri döneceğini bilmez ve pratikte iletişim yapılamaz. Güvenlik duvarı ise, dinamik veya statik olarak Internet'de bilinen ve kendisine yönlendirme yapılabilen bir IP numarasına sahiptir. İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'den gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP IP Maskelemesi (Masquerade) veya Ağ Adres Çevrimi (NAT - Network Address Translation) denir.

NAT yapıldığı zaman, oluşan trafiğin Internet'den görüldüğü hali, Internet'de bulunan tek bir makinanın (tabyamız) bazı Internet alışverişleri yaptığıdır. Internet'e, bu makinanın arkasındaki ağın büyüklüğü, bu ağdaki makinaların cinsi, sayısı, ağın yapısı vs. hakkında herhangi bir bilgi gitmez. Dolayısıyla NAT, yalnızca tahsissiz ağlardan Internet'e erişimi sağlamakla kalmaz, ağınızdaki makinalar hakkında bilgi edinilmesini (ve dolayısıyla size karşı yapılabilecek saldırıları) zorlaştırır.

6.2.3. Paket Filtreleme
Yukarıda bahsedilen önlemler (güvenlik duvarının tek fiziksel bağlantı olması, NAT uygulanması) ağınıza belli bir miktar güvenlik sağlar, fakat esas güvenlik, paket filtreleme yöntemlerinden gelir. Bu yöntemler, güvenlik duvarından geçen her IP paketine bakılması ve ancak belli şartlara uyarsa geçişine izin verilmesi şeklinde uygulanır.

Örneğin:

* İç ağınızdan kimsenin Internet'de ICQ kullanmasını istemiyorsunuz.
* Dışarıdan içeriye hiç kimsenin telnet yapabilmesini istemiyorsunuz.

Bu hedefleri gerçekleştirmek için paket filtreleme yöntemleri kullanacaksınız. Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı (dışarıya çıkışa izin ver, fakat içeriye girişe izin verme) olarak uygulanabilir.

Paket filtrelemede özellikle yapmanız gereken minimum, dışarıdan gelip de kaynağını içerisi gibi gösteren (IP spoofing - IP aldatmacası) paketleri ve devam etmekte olan bir trafiğin parçası imiş gibi gelen paketleri (IP fragments) filtrelemek ve bunların geçişine izin vermemektir. Çoğu saldırı, bu şekilde başlar.

Bu minimumu sağladıktan sonra, dışarıdan içeriye yapılmasına izin verdiğiniz erişimleri (telnet yapsınlar mı?, ping yapabilsinler mi?) ve içeriden dışarıya yapılmasına izin verdiğiniz erişimleri (kullanıcılarınız dışarıya telnet yapabilsin mi? Web'e erişsinler mi? ICQ yapabilsinler mi?) belirlemeniz ve güvenlik duvarı üzerindeki filtre protokollerinizi buna göre oluşturmanız gerekir.

6.2.4. Dinamik (Stateful) Filtreleme
Eskiden filtreleme yöntemleri ağırlıklı olarak statikti -- yani genel olarak ağınıza ICQ paketlerinin girmesine izin verip vermeme kararı söz konusu idi. 2.4 Çekirdeği ve bizim aşağıda örneğini verdiğimiz iptables uygulaması ile birlikte dinamik filtreleme Linux üzerinde kullanılabilir hale geldi. Aradaki fark, paketin sırf protokolüne bakarak karar vermek yerine, güvenlik duvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi ve çift yönlü paket geçişlerine buna göre karar vermesidir. Yani bir telnet bağlantısında her iki taraftan da paketler gelir ve gider. Fakat dinamik filtreleme ile, bir telnet bağlantısı iç ağınızdan başlatılmışsa izin verir, başlangıç istemi dış ağdan gelmişse reddedebilirsiniz. Dinamik filtreleme özelliği olmayan güvenlik duvarlarını kullanmanızı önermiyoruz. 2.4 çekirdeği ve iptables uygulaması olan her Linux üzerinde dinamik filtreleme yapabilirsiniz. iptables kullanımı hakkında daha ayrıntılı bilgiyi Iptables'ın Basit Kullanımı belgesinde bulabilirsiniz.

6.2.4.1. Bazı Internet Servislerinin İç Ağdan Verilmesi
Ağınızda Internet'den erişimi olması gereken web, posta gibi sunucular bulunabilir. Bu sunuculara erişimi iki yoldan vermeniz mümkündür:

* Silahsızlandırılmış bölge uygulaması (DMZ - Demilitarized Zone)
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742
* İç ağınızda bu servislere doğrudan filtreleme yaparak.

Silahsızlandırılmış bölge (DMZ - DeMilitarized Zone)
DMZ, güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir. Güvenlik duvarına üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinaların buraya konulması ile oluşturulur. Örneğin DMZ'deki makinalara NAT uygulanmayabilir, tahsisli IP numaralarına sahip olabilirler. Güvenlik duvarı, telnet, ssh gibi kimi protokollerin buraya erişimini filtreleyerek DMZ bölgesindeki makinalara güvenlik sağlar. Dikkat edilecek nokta, DMZ'de bulunan makinaların daha fazla erişime (ve dolayısıyla saldırıya) açık olmasıdır. Buradaki makinalar dikkatli kurulmalı, güvenliğe aykırı protokoller vs. burada yer almamalıdır.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742

Şekil 6.3. Silahsızlandırılmış bölge (DMZ)



Doğrudan Filtreleme
DMZ oluşturmak için ek ekipman ve IP numarası gerekir. Güvenlik duvarında üçüncü bir ağ birimi, ayrı bir switch, daha fazla adette tahsisli IP numarası, ve iç ağınızda başka herhangi bir görev görmeyecek olan sunucu makinalar gerekir. Eldeki imkanlar buna yetişmeyebilir. Böyle durumlarda, güvenlik duvarınızdaki filtreleme politikasını değiştirerek iç ağınızdaki kimi makinalara dışarıdan sınırlı erişim imkanı verebilirsiniz. Örneğin güvenlik duvarınız ağınızın genelinde dışarıdan gelen SMTP (posta) protokolünü filtrelerken, sadece posta sunucunuza dışarıdan SMTP protokolü erişimini verebilir. NAT ile birleştirileceğinden, bu dışarıdan bakıldığı zaman sanki güvenlik duvarınız posta sunuculuğu yapıyormuş izlenimini verir.

6.2.5. Vekil (Proxy)
Proxy'nin kelime anlamı vekil'dir. Yukarıdaki yöntemlerin hepsi, belli kurallara bağlı olarak Internet'deki bir makina ile iç ağdaki bir makina arasında doğrudan alışverişe izin verir. Vekil uygulamaları ise, bu doğrudan alışverişin arasına girer. Dolayısıyla protokol bazlı herhangi bir saldırı, vekil sunucuya yönelik gerçekleşir, iç ağdaki makinayı etkilemez. Örneğin bir http (web) vekili, iç ağdan dışarıya giden bütün web isteklerini toplar. Bu istekleri kendisi yapar, gelen sonuçları iç ağa dağıtır. Örneğin eğer web protokolü yolu ile istemci makinanın bazı bilgilerinin alınması veya bir saldırı yapılması söz konusu olur ise, bundan etkilenen sadece web vekili makina olur, iç ağda web erişiminde bulunan her makina değil.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=21742

Güvenlik amacı ile proxy kullanımı, uygulama temelli güvenlik duvarı (application level firewall) olarak adlandırılır.

6.2.5.1. Vekillerin Başka Kullanımları

* Güvenlik amaçlı - yukarıda bahsedilmiştir.
* İzin amaçlı - İç ağınızdan bazı servislere kimin erişebileceğini belirlemekte, izin politikası uygulamakta kullanılırlar.
* Performans amaçlı - Pek çok istemci aynı istekte bulunuyorsa, bunların bir defaya indirgenmesini sağlayarak hem sunucu makinanın üzerindeki yükü, hem de kullanılan bağlantı yükünü hafifletirler.

Vekil sunucular, en fazla kullanılan örneği olan Web Vekili (Squid) üzerinde daha ayrıntılı olarak aşağıda anlatılmıştır.


[30] Tabya, sözlük anlamı olarak, "ayrı olarak yapılmış ve silahlarla güçlendirilmiş istihkam"dır. Güvenlik duvarının kurulacağı makina için bu terimin uygun olacağını düşündüm. Bu tabya şüphesiz, caydırıcı silahlarla teçhiz edilmiş olacak :-)

halisyalcinkaya

Hayal çok teşekkür ediyorum. şu sıralar zaten squid kurup denemeler yapıyorum. bakalım bakalım p3-800 bir makinede çift ethernet kartıyla ne kadar başarı sağlayabileceğim.