Firewall - Log Server

Tracedy · 1 07-02-2012, 14:10:07

Merhaba arkadaşlar, şirketime;
"Firewall, URL Filtreleme, Proxy Loglama ihtiyaçlarını karşılayan. Üzerinden geçen trafiği yöneten ayrıca kanuna uygun imzalayarak log tutan" bir sistem kurdurmayı istiyorum.

Bunun için fiyat teklifi verebilecek olan varsa ö.m'la ulaşabilirse bana sevinirim. Onun dışında konuyla ilgili bilgisi olan arkadaşlarda fikirlerini, önerilerini konu altına yorum atabilirse çok sevinirim.

İyi çalışmalar herkese.

Orhankvn · 2 07-02-2012, 16:23:53

Eğer kurulumu yapamaz iseniz , orhankvn@hotmail.com msn adresim eklersen yardımcı olurum ücreti mukabilinde.

Pfsense işinizi görecektir fazlası ile.

Sistem güvenliği ve kullanıcıların kontrol altında tutulması için piyasada bir çok firewall ve benzeri gerek donanımsal gerekse yazılımsal olarak bir çok ürün bulunmaktadır. Sizlere anlatacağım Pfsense ‘de BSD tabanlı yazılımsal bir firewall’dur. Ürünün msn yada program yasklama,web içerik filtreleme,kullanıcı kısıtlama ve vpn gibi çok kullanışlı özellikleri bulunmaktadır.Ürün hakkında ilk olarak anlatmak istediğim ise Pfsense kurulumu hakkında sizlere bilgi vermek olacak.Pfsense unix ailesinden olan ve hatta bu ailenin atası olarak bilinen FreeBSD tabanlı bir frewall olarak bu ailenin saglamlığını ve güvenirligini taşımaktadır.BSD *Berkeley Sofware Distribution* kelimesinin kısaltılmaıdır.

Pfsense kurulum için gereken cd iso imajını http://www.pfsense.org/mirror.php?section=downloads adresinden indirebilirsiniz.

Özellikleri:

Pfsense birçok firewall gibi geniş özelliklere sahiptir.

Web konsolu ile yönetim kolaylığı
Dos tabanlı arabirimi ile kurtarma konsolu

§ *** Network ip adress atama

§ Password sıfırlama

§ Default ayarları geri yükleme

§ System restart

Wireless Access Point (PRISM-II/2.5 kartlar ile access point, BSS/IBSS ile Cisco içerikli diger kartlar)
Paket filtreleme

§ Block/pass rules

§ Log tutma

NAT(Network Address Translation) =İç ağdaki bilgisayarları kendi üzerinden dış dünyaya çıkarır.

PAT (Port Address Translation) =Dış ağdan iç ağa bağlanırken port değişimini sağlar.

Wan interface için PPPoE ve PPTP desteği
IPsec Baglantı Desteği :Bu özellik site to site bağlantı ,open source firewalls ve en yaygın firewall çözümleri (cisco,juniper,etc.) ile kullanılır.
PPTP VPN (RADIUS server desteği ile )
Static route
DHCP server
Caching DNS yönlendirme
DynDNS client
SNMP agent (Simple Network Management Protocol)
Traffic shaper (inernet band trafiği yönetimi)
Firmware upgrade
Backup and Restore
host/network aliase

System Gereksinimleri:

Minumum system gereksinimi olarak önerilen Pentium II işlemci ve en az 128 MB Ram gerekmekte ve kurulum yapılacak makine üzerinde iki ethernet kart bulunması gerekmektedir.

Gerekli bilgileride verdikten sonra artık kuruluma geçebiliriz.
http://mirror.optus.net/pub/pfSense/...SE-i386.iso.gz

Yukarıda verdigim linkten iso imajını indirip CD ‘ye yazdıktan sonra kurulum için makinemizi cd’den boot ediyoruz.

İlk olarak Pfsense hoş geldiniz ekranı ile karşılaşıyoruz.

Sistemimizde bulunan iki interface ve mac adresleri ‘’Valid interface are:’’ başlıgı altında görülüyor. Pfsense’nin vlan destegide bulunmaktadır. Vlan aynı network üzerinde bulunan *** kullanıcılarını birbirlerinden ayırmak için kullanılır. VLAN kurulumu istegi sorusuna ‘’n’’ diyerek devam ediyoruz.

İnterface’lerin isimleri yukarıda’da görüldüğü gibi ‘’le0 ve le1’’

Enter the *** interface name sorusuna le0 olarak cevap veriyoruz ve böylelikle *** interface’yi set etmiş oluyoruz.

Enter the WAN interface sorusuna le1 yanıtıylada WAN interface’yi set ediyoruz.

Bu ekranı da enter ile geçiyoruz.

Görüldügü gibi le0 ***

le1 WAN

olarak görülmekte ve bu ayarların bu şekilde kaydedilmesi için ‘’y’’ diyerek devam ediyoruz.

Kurulum tamamlandı ve artık yukarıdada görüldügü gibi pfsense cd room üzerinden çalısmaya başladı.

Sistemin ilk ayarlarını yapmak için menüden istediğimiz herhangi birisini seçebiliriz. *** interface’ye ip atayabilir, password resetleyebilir, sistemi restart edebilir yada kapatabiliriz veya default ayarları geri yükleyebiliriz. Pfsense şu anda cd room üzerinden çalışmakta ve istersek menüde görünen ‘’99’’nolu seçenek ile HDD ‘ye kurabiliriz.

Pfsense’nin cd room üzerinden çalışmasını istemiyorsak ( en sağlıklısı hdd üzerinde çalışmasıdır)

Enter an option kısmına 99 yazıyoruz ve enter ile devam ediyoruz.

Karşımıza çıkan ilk ekran klavye ve çözünürlük ayarlarını degiştirmek için, default olarak ‘ Q klavye ‘ olarak gelir.

Accep these Settings ile devam ediyoruz.

Install Pfsense seçeneğiyle kurulumu başlatıyoruz.

Bu ekranda pfsense için kurulum yapılacak hdd’yi seçiyoruz. Sistemde şu anda tek hdd bulunmakta ve seçerek devam ediyoruz.

Bu aşamada ise kurulum yapılacak diskin formatlanıp formatlanmayacagını seçiyoruz. Format seçenegi ile diski yeniden biçimlendirebilirsiniz. Format’a gerek duymadığım için -Skip this step- seçeneği ile devam ediyorum.

Format ekranından sonra karşımıza diskimizi bölümlere ayırabilecegimiz kısım geliyor. Partition Disk seçeneği ile diskimizi bölebiliriz.

Kurulumda bize disk’in 128MB swap alanı olarak ayıracağını ve geri kalan kısmın ise kök disk olarak kullanılıcağı hakkında bilgi veriyor. Tabiki istersek bu alanı kendimize göre değiştirebiliriz. Default gelen ayarlarla devam etmek için ‘’Accept and Create’’ seçeneği ile devam ediyorum.

Pfsense için kullanılıcak olan çekirdek şeklini seçeceğimiz ekran, ’’özel bir donanıma gömülü bir kurulum yapılacaksa ‘’no vga console,keyboard’’ yada pfsense’yi geliştirmeyi düşünüyorsanız ‘’includes GBD ,etc’’ seçenegini seçebilirsiniz.

System’in ‘’ad0’’ diskinden boot olacağını kabul ediyor ve yüklemeye devam ediyoruz.

Kurulum başarılı bir şekilde bitiyor ve sistem reboot ekranı ile yeniden başladıgında Pfsense hdd üzerinde çalışmaya başlayacaktır. Sistem restart olduktan sonra cd’yi çıkarıyorum ve makinenin hdd’den boot olmasını sağlıyorum.

Sistem reboot olduktan sonra *** ip adresini belirlemek için ‘’2’’ seçeneği ile devam ediyorum.

*** interface için bir ip giriyorum. Ethernete verdigim ip daha sonra pfsense için web arayüzeyine ulaşmak için kullanacağım adres olacak.

Subnet mask belirlediğimiz kısım 255.255.255.0 olarak belirlemek için 24 yazarak devam ediyorum.

*** interface üzerinden DHCP etkinleştirmek için ‘’y’’ ile devam ediyorum. Sistemde ip dağıtan bir DHCP mevcut ise bu seçenegi ‘’n’’ ile geçebilirsiniz.

DHCP address range

Dağıtılacak ip bloğunu belirliyoruz.

İp bloğunun sonunda belirledikten sonra artık dos arayüzeyindeki ilk ayarlarımız bitmiş oluyor. Artık yapmamız gereken tarayıcımızın adress satırına

http://10.10.10.5 yazmak ve pfsense web arayüzeyine erişmek.

PfSesnse web arabirimi için ön tanımlı kullanıcı adı admin ve ön tanımlı parola

pfsense şeklindedir.

Pfsense ilk web görünümü karşımızda ve bize name,versiyon,cpu,disk ve hafıza kullanımı gibi bilgileri veriyor.

Bilgisayar adı, domain, birinci DNS ve ikinci DNS ayarlarının yapılacagı kısım. Kendimiz için uygun olan ayarları girerek Next ile devam ediyoruz.

Server date and time zone seçileceği kısım Europe / İstanbul seçerek devam ediyorum.

WAN interface için ip belirlemesi yapabileceğimiz kısımda ip adresi ,subnetmask ve gateway yazarak devam ediyoruz.Dilersek selected type kısmından DHCP,PPoE,PPTP ve BigPond seçeneklerinide kullanabiliriz.Bigpond:Avustralya’da internet baglantısı elde etmek için bir kalp atışı sistemi kullanan (ISP) internet servis sağlayıcısıdır.

*** interface ‘yi yeniden yapılandırabilecegimiz kısım geliyor dilersek ip’yi tekrar yapılandırabiliriz.

Güvenlik için default gelen şifreyi degiştirmemiz için ayarlar kısmında şifre degiştirme ekranıda otomatik olarak karşımıza geliyor.

Şifre değişim işleminden sonra pfsense reload olacak ve yeni şifreyle sisteme giriş yapmamız istenecek ve böylece pfsense kurulum ve ilk ayarlar kısmı tamamlanmış olacaktır.

Kaynak : http://www.cozumpark.com/blogs/gvenl...k-ayarlar.aspx

Pfsense Squid ve SquidGuard Paketlerinin Kurulması

Makalemizin bu kısmında sizlere web filtreleme, kullanıcı bazlı kısıtlama yapabileceğimiz squid ve squidguard paketlerinin kurulumu ve yapılandırması hakkında bilgi vereceğim. Makale serimizin önceki bölümlerinde Pfsense hakkında yeteri kadar açıklama ve ön bilgi verdiğim için lafı fazla uzatmadan konun anlatımına geçmek istiyorum. İlk yapmamız gereken web filtreleme için kullanacağımız squid (Proxy Server) Kurulumunu gerçekleştirmek.”Squid paketi kurulmadan Squidguard kurulamıyor.”

System Packages kısmından Squid paketini buluyorum ve sağ kısımda yer alan “+” butonuna tıklayarak kurulumun gerçekleşmesinin sağlıyorum.

Not: Bende squid ve squidguard paketleri gözükmemesinin sebebi kurulu olmasıdır.

Sisteminiz üzerinde hangi paketlerin kurulu olduğunu görmek isterseniz.SystemàPackagesàInstalled Packages Kısmına gelerek Kurulu paketleri görebilir dilerseniz yine buradan istemediğiniz paketleri kaldırabilirsiniz.Uninstall için paketin sağ kısmında bulunan ‘ x ‘ basmanız yeterli olacaktır.

Squid kurulumdan sonra 2. paketimiz olan Squidguard paketinide aynı şekilde kuruyoruz.

Not:Gerekli paketler kurulduktan sonra sayfayı refresh etmeden son kurdugunuz paketi menüde göremezsiniz.

Kurulan paketler Services menüsü altında Squid ‘Proxy Server’ ve Squidguard ‘Proxy Filter’ Olarak görünmektedir.

İlk olarak Proxy Fitler yapılandırmasını yapmak istiyorum.Proxy fitler kısmında filtreleme yapacağımız domain,url ,extension yada dosya uzantısı ‘.exe,iso,rar,zip vs.’ belirtebileceğimiz kısım olarak tanımlayabiliriz.Dilersek kendimiz tek tek bu filtrelemeleri yazabilir, dilersekte hazır bir filtreleme paketini sistemimiz üzerine dahil edebiliriz.

Blacklist url kısmında görüldüğü gibi http://www.shallalist.de/Downloads/shallalist.tar.gz adresini ekleyerek buradaki hazır paketi net üzerinden sistemimize ekliyoruz.Makaleyi hazır kurulu sistem üzerinde yazdığım için servis kısmı bende Start olarak gözükmektedir.Upload Url linkine tıkladığınızda Servis Stop olacak ve yaklaşık 3-5 dk içerisinde paket kurulumu bitecektir.Paket yükleme işlemi bittikten sonra Servis Stop olarak gözükmektedir. Servisin Stop durumda gelmesinin sebebi eğer ilk olarak Proxy Server yapılandırmasını yaptıysanız ve sonra Proxy Fitler için paket yükleyip Apply butonuna basarsanız bütün trafik kesilir.

Not: Squidguard kurulduktan sonra bütün trafiği kesmektedir.(Bu sözü Genelde hep İsa server Kurulumlarından Hatırlıyoruz.) Fakat durum Isa serverdaki gibi ilk kurulumda değil Proxy Server yapılandırıldıktan sonra Proxy Fitler ile senkronize çalışır ve Proxy Filter ‘ın default kuralı all traffic deny olarak gelir.

Default kuralda görüldüğü gibi ‘Default Access(all) Deny’ olarak gelmektedir.

Makalemizin ilerleyen serisinde bu paketlere ekleme yapıcaz ve kullanıcı bazlı kurallar oluşturabileceğiz.

Son olarak Proxy Server için yapılandırma adımlarını inceleyelim.

Proxy Server General kısmında ayarlarımı yapmaya başlıyorum.

1. Proxy Interface = Proxy olarak dinlenecek Interface soruluyor. İçerideki kullanıcıları denetleyeceğim için *** Interfaceyi işaretliyorum.

2. Alluser on Interface = Eger buradaki kutuyu işaretlersem *** Interface üzerinde bulunan bütün kullanıcılarımı seçmiş oluyorum.Böylelikle Access Control Tabında kullanıcı seçmeme gerek kalmayacak.

3. Transparent Proxy = Bu özelliği kullanmanız yararlı olabilir.Eger aktif hale getirirseniz kullanıcılarınız internet Explorer ‘daki yerel ağ ayarlarına herhangi bir Proxy girmek zorunda kalmazsınız.Bu işlem otomatik olarak kullanıcıların outbound http/80 olarak Proxy atamasını gerçekleştiriliyor.

4. Enabled Logging = 5651 yasasına göre log tutma zorunluluğunuzun olduğunu biliyorsunuz.

5. Log Store Directory = Bu kısımda log dosyasının yolunu ‘/var/squid/log’ şeklinde belirtiyoruz.

6. Proxy Port = Pfsense Transparent 80 porta gelen istekleri squid ‘in çalıştığı port olan 3128 yönlendirecektir.(redirection).

Bu ayarlar Proxy Server yapılandırması için yeterlidir. Bir sonraki makalemizde Proxy Fitler kullanarak ACL (Kullanıcı Bazlı Filtreleme) oluşturma ve kişisel filtre oluşturarak istediğimiz sitelere yasak yada allow vererek web yada içerik filtreleme konularını hep birlikte inceleyeceğiz.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder