Archive for the ‘ Firewall ’ Category

OpenBSD PF Firewall Redundancy, Carp ve Pfsync ile

Ön Söz

Firewall’lar ağ sınır güvenliğinin vazgeçilmezi ve en kritik seviyede çalışan sistemlerden biridir.Firewall donanımsal veya yazılımsal bir sorun yaşattığında, yerel ağı dünyaya bağlayan nokta kesilir, bu durumda iş yükü ve kazanç için düşünmek istemediğimiz tüm kabus senaryoları bir bir işlemeye başlar. Bu yazıda iki OpenBSD PF firewall arasında cluster yapısı ve failover anlatılmıştır.Bir firewall kapanınca, anında diğerinin devreye girmesi senaryosu ile pratikte nasıl yapıldığını bu belgede bulabilirsiniz.

Belgenin yeni sürümlerine http://www.cehturkiye.com/openbsd-pf-firewall-Redundancy-carp-pfsync.pdf adresinden ulaşabilirsiniz.
Belge Ozan UÇAR tarafından yazılmıştır ve yazarın ismine sadık kalmak kaydı ile belge izin alınmaksızın her şekilde paylaşılabilir ve dağıtılabilir.

Gereksinimler
Bu belgede kullanılan işletim sistemleri OpenBSD 4.7 , diğer *BSD istemlerde pf aktif edilerek aynı mantıkla carp işlemi yapılabilinir.

OpenBSD CARP Network Şeması

Dikkat: Aşağıdaki bilgileri kendi sisteminize ve ağ yapınıza göre düzenleyiniz aksi taktirde bire bir yaptığınız ayarlar çalışmayabilir.

OpenBSD PF Master

# uname -a
OpenBSD master.cehturkiye.com 4.7 GENERIC#558 i386
# cat /etc/mygate
192.168.5.254
# cat /etc/myname
master.cehturkiye.com

OpenBSD Master Ağ Arabirimleri

lan:em0
wan:em1
pfsync:em2

Ağ Ayarlarını Yapılandırmak

# cat /etc/hostname.em0
inet 10.0.0.55 255.255.255.0 NONE
# cat /etc/hostname.em1
inet 192.168.5.55 255.255.255.0
# cat /etc/hostname.em2
inet 172.16.16.55 255.255.255.0 NONE
# cat /etc/hostname.pfsync0
up syncdev em2

Devamını okuyun

Etiketler: , , , , , , , , , , , , , , ,
2010
08/22
YAZAR
ozan
DİZİN
BSD
Firewall
Görsel Anlatımlar
TAGS












Yorum yazın

m0n0wall 1.31 yayınlandı

m0n0wall Firewallm0n0wall , FreeBSD tabanlı gelişmiş bir güvenlik duvarı.Manuel Kasper tarafından, m0n0wall 1.31 sürümünü yayımlandı.

Bu sürümdeki yeniliklerin/değişikliklerin hızlı bir özeti;

  • various IPv6 improvements (in DNS forwarder, DHCPv6, AYIYA, etc.)
  • bridge “disable spoof check” option (for non-m0n0wall DHCP and multicast)
  • fans/temperature monitoring on status page for supported platforms (unfortunately Soekris/PC Engines not included
  • fix for OpenSSL session renegotiation vulnerability (-> HTTPS webGUI)
  • patch to DHCP server daemon to reduce lease file growth

Download ve Changelog | m0n0wall website

Etiketler: , ,
2010
03/13
YAZAR
ozan
DİZİN
Firewall
TAGS

Yorum yazın

Bridge FreeBSD PF ve Transparent Squid

Bridge FreeBSD PF ve Transparent Squid

FreeBSD  işletim sistemini bridge modda yapılandırıp üzerinde PF (packet filter) ile transparent squid kullanımı anlatılmıştır.

Nasıl Çalışır
FreeBSD PF fiziksel olarak gateway ile istemciler arasına yerleştirilir, mevcut network yapısı ve istemcilerin ağ ayarları değiştirilmeden  (proxy, gateway vs.) layer 2 seviyesinde filtreleme yapılır.İstemciler bilinmeyenlerin çıkış noktası olarak yine gateway’lerini görürler ve internete çıkmak için tüm paketleri gateway’lerine iletirler fakat gateway’lerine paketler ulaşmadan bridge modda çalışan PF ve Squid bunları işlenen kural listesine göre süzüp ardından trafiği olduğu gibi (nat vs. yapmadan) gateway’e iletir.Bridge modda FreeBSD tıpkı bir switch gibi çalışır …

Böylelikle görünmez modda PF ve Squid çalıştırmış oluyoruz.

İstenilen Network Yapısı

FreeBSD  bridge yapılandırması

Ağ kartlarının “fxp0” ve “fxp1” olduğu düşünülmüştür.

# ifconfig bridge create
bridge0
# ifconfig bridge0
bridge0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 96:3d:4b:f1:79:7a
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 0 ifcost 0 port 0

# ifconfig bridge0 addm fxp0 addm fxp1 up
# ifconfig fxp0 up
# ifconfig fxp1 up

Ayarların açılışta geçerli olması için /etc/rc.conf dosyasına aşağıdaki satırlar eklenir;

cloned_interfaces="bridge0"
ifconfig_bridge0="addm fxp0 addm fxp1 up"
ifconfig_fxp0="up"
ifconfig_fxp1="up"

Bridge interface için ip ataması yapılmak isteniliyorsa;
ifconfig bridge0 inet 192.168.0.1/24

PF (Packet Filter) ile istemcilerden gelen ve hedef port 80 olan isteklerin squid’e yönlendirilmesi 

PF aktif edilmesi ;

kldload pf.ko
/etc/rc.conf;
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Servisin başlatılması
#/etc/rc.d/pf start 

Kural dosyası
# touch /etc/pf.conf
İstemcilerden gelen herhangi bir hedefin 80. Portuna giden istekler squid e yönlendirilir
pf.conf ;
int_if=”vr0″
ext_if=”fxp0″
rdr on $int_if inet proto tcp from $lan to any port { 80 443 } -> 127.0.0.1 port 3128
pass in quick on $int_if route-to lo0 inet proto tcp from $lan to 127.0.0.1 port 3128 keep state

Not:  $lan = yerel network aralığınız. Örnek : 192.168.5.0/24

Squid Kurulumu;
-Port ağacından kurulumu ;
# cd /usr/ports/www/squid && make install clean

Not: squid port ağacından kurarken PF desteğini aktif etmenizde fayda var.

- Depodan kurulumu
# pkg_add  –rv ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/Latest/squid.tbz

Transparent olarak çalışması için squid.conf dosyasına eklenecek satır ;
http_port 127.0.0.1:3128 transparent

Eğer herşey yolunda gittiyse squid.conf dosyasına aşağıdaki gibi bir kural tanımlayıp test edebilirsiniz ;

acl yasakli dstdomain .yahoo.com
http_access deny yasakli

Daha fazla bilgi;
Bridge: http://www.freebsd.org/doc/handbook/network-bridging.html
Pf ve Squid : http://www.benzedrine.cx/transquid.html

Etiketler: , , , , , ,
2010
02/03
YAZAR
ozan
DİZİN
Firewall
Güvenlik
Püf Noktalar
TAGS



1 yorum

ISA SERVER – Kaçak Giriş Tespit ve Engelle Sistemi (IDS/IPS)

Isa server 2006, kaçak giriş tespit ve saldırı engelleme sistemleri arasında bulunan bir Microsoft çözümüdür.

Isa Server 2006 Firewall,İçerik Filtreleme ve Cache özelliği yanı sıra  kaçak giriş tespit ve saldırı engelleme  özelliği de bulunmakta.Bu özelliği ile bulunduğu networkü saldırılara karşı korumaktadır.

IDS, Firwall ve Honeypotlar” başlıklı makalemde Kaçak Giriş Tespit ve Saldırı Engelleme Sistemleri (Intrusion Detection and Intrusion Prevention Systems) hakkında detaylı bilgi bulabilirsiniz.

ISA Server 2006 nın bu özelliğini, port scanning, ip spoof ve syn flood saldırıları yaparak kücük bir test yaptım.
Üzülerek söylemeliyim ki, her IDS/IPS sistemi gibi ISA Server’da saldırıları tespit etmede ve engellemede pek başarılı sayılmaz.
ID sistemleri atlatmanın bariz yolları günümüzde kısmen gerçeli olmakta, saldırılar maskelenerek sistemler atlatılabilmektedir ;
-Birçok nasit IDS imza tespiti ile çalışır.
-Saldırı scriptlerinin imzaları veritabanında kayıtlıdır bunun la saldırıyı karşılaştırır, script
üzerinde ufak değişiklik IDS ten geçmesine sebep olur.
-IDS leri geçme imza benzeşmesini uyumsuz hale getirmekle olur.
-Örnek olarak bazı pop3 serverlar uzun şifre girmek gibi bufer overflow saldırılarına karşı zayıftırlar , Script üzerinde basit değişiklikle bu saldırı maskelenebilir.Parçalanmış paketlerle IDS atlatılabilir.

Diğer saldırı, kaçak giriş denemeleri ve ISA Server’ı atlatmanın yollarını FORUM sayfamızda paylaşıp tartışıcaz.
Videoyu bilgisayarınıza indirmek için ;
http://www.4shared.com/file/102238546/1019f494/ISAServer2006-IDSIPS.html

Tam ekran izlemek için ;
http://www.cehturkiye.com/IsaServer2006/ISAServer2006-IDSIPS/ISAServer2006-IDSIPS.html

Saygılarımla…

Etiketler: , , , , , , ,
2009
04/28
YAZAR
ozan
DİZİN
Firewall
Görsel Anlatımlar
Güvenlik
Püf Noktalar
TAGS



Yorum yazın