Seyit ÖZGÜR

E-ticaret’in bu kadar yaygınlaştığı internet ortamında güvenlik önlemlerine yapılan yatırımların ve gerekliliklerin takibin gerektiği ortamdan alıkoyamıyoruz kendimizi. SSL sertifikalarıyla müşteri ve firma arasındaki yapılan işlemler şifrelenmiş olsa dahi, halen bankalara,alış-veriş sitelerine internet üzerinden hacking saldırılarından dolayı firmaların uğradığı zararlar ortada. Türkiye’de bankacılık ve ticaret sektöründeki firmaları biraz incelediğim zaman halen hemen hemen hepsinin(bazıları hariç) EV SSL kullanmadığını görüyorum. Peki Neden ? Sadece müşteri ve firma arasındaki şifrelenmenin yetmediğini Phishing ataklarında müşterilerinin maruz kaldığını biliyoruz. Size birkaç örnekleme ile göstermek istiyorum.

Yukarıdaki gördüğünüz SSL sertifikası üzerinde işleten kısmına baktığınız zaman bilgilerini göremiyorum sadece SSL kullanmakta,ben bu örneği verirken Türk sitelerini örnekleyerek göstermek istemiyorum ama işlem yaptığınız sitelere girip bakabilirsiniz birkaç banka harici hemen hemen hepsi sadece SSL sertifika kullanmakta

Peki birde EV SSL sertifika kullanan sitemizi ziyaret edelim.

Yukarıdaki gördüğümüz örnekte işleten(firma ismi belirgin) kısmında sertifikanın içerisinde belirtilmiş aynı zamanda şifreleme olarakda ilk örnekteki 128bit şifreleme kullanırken ikinci örnekteki firmamız 168bit şifreleme ile müşterilerine hizmet veriyor. Şunu unutmayalımki güvenli olarak gördüğümüz SSL sertifikalarındaki sitelere erişirken mutlaka sitenin ismini kendimiz tuşlayarak girelim historyden, copy paste yaparak veya herhangi bir linkten siteyi browse etmeyelim.

Not : Resimdeki ilgili firmaların güvenlikleri ile hiçbir alakalı bir durum olmayıp sadece SSL ve EV SSL arasındaki farkları belirtmek için kullanılmıştır. Resimdeki sitelerin güvenli olup olmadıklarıyla ilgili bir anlatım söz konusu olmamakla birlikte sadece Green Bar Technology diye adlandırılan (EV SSL) ve SSL sertifikaları ile ilgili bilgilendirme amacı ile yayınlanmıştır.

1996 yılında Dial-up 9600 bps modemle USA telefon numarasını arayıp saniyelere sayarak BBC ‘den bilgiler almayı denerken, o yıldan bu yıla ne kadarda yol katetmişiz demekten alamıyorum kendimi. Gelelim bu günümüze ve ADSL’e.. Nerdeyse hepimizin evinde ADSL vardır. Acaba telekomun verdiği 1mbit/sn gibi hızların ne kadar doğru olduğunu test etmek aklınıza geldi mi ? Telekom zaten yaptığı sözlemede bu hızın garantiliğini sağlamıyor, fakat uzun yıllardır bu işe gönül vermiş olan  Maximillean arkadaşım kafasına taktı ve bu işin sonucunu merak ediyor.. sizde bizim gibi merak ediyorsanız biraz daha beklemeniz gerekicek. Şayet biz 1mb/sn lik ADSL hızını test ettik. 1mb/sn lik ADSL hattı aldığınızda üzerinden alabileceğiniz aylık maximum veri 331 gb.. bakalım arkadaşımın yaptığı test sonucunda kaç gb alabildik.. Aşağıdaki görmüş olduğunuz gibi 1 ay sonucunda alabildiğimiz beri 246 gb, arkadaşımın bunun için inanın elinden geleni yaptı ve 246 gb download yapabildi :).

Bu ay 4mb/sn hattını yükseltti ve 1 TB download savaşı veriyor.. açıkcası ben çok merak ediyorum.. sizde merak ediyorsanız haziran ayı sonunu bekleminiz gerekicek…

Türkiye’deki internet yüksek data hızlarında pahalı oluşu ve her noktada yüksek hız olmayışından dolayı kurumlar 2 veya daha fazla ADSL hattını çektirip bunların üzerinden interneti yönetmeye sürüklüyor. Hatta ADSL hatlarının E-mail trafiği için uygun olmadığından dolayı ADSL ve kurumsal hata sahip olma gibi durumlar ortaya çıkıyor.Bu tip senoryalarda çektirdiğimiz hatları tam anlamıyla kullanım amacı önemli boyutlara ulaşıyor. 2 veya daha fazla ADSL hattı çektirip bunların birini aktiv ve diğerleri pasif tutmak diğer hatlara ödenen ücretleri akıp gitmesi ve internet hızını artıramamız boyutuna ulaşmakta. Bu gibi durumlar Policy base Routing kullanıp hatlarımızdan istediğimiz gibi faydalanmaktayız. Sizlere Juniper üzerinde Policy base Routing nasıl yapılır açıklayacağım. Anlatıma geçmeden önce policy base routing ne amaçla kullanılır basitçe aktaracağım. Kullandığımız internet trafiğini tek gateway kullanarak örneğin HTTP trafiğimizi bir hattan çıkartıp E-mail (smtp ve pop3) trafiğimizi diğer hattan çıkartabiliriz.

Juniper üzerindeki konfigurasyonu,

Yukarıda gördüğümüz gibi Juniper WebUI’den Network>Routing>PBR>Extended ACL sekmesine geliyoruz.

Fig.1

Senaryomuza gore 2 farklı networkumuz var ve bu iki network farklı lokasyonlarda fakat 2 networkde elimizdeki firewall üzerinden internete çıkıyor uzaktaki network firewallımıza Point to Point ile geliyor.Bunlar için bir Extended access list sonrasında internete yönlendireceğimiz HTTP , DNS için ayrı bir hat ve Pop3,SMTP için farklı bir hattımız mevcut. Bunları 3 farklı kategoride düşünelim ve bunlara ID olarak 10,20,30 vereceğiz. ID 10 için verdiğimiz bölüme bir rule yazıyorum ve 192.168.10.0/24 den 192.168.16.0/24 şeklinde yazıyorum. Sonrasında ID 20 ye geçiyorum ve networklerim için HTTP,DNS rule’ları oluşturuyorum. ID 30 da ise networklerim için Pop3 ve SMTP protokolu için rule yazıyorum.

Fig.2 - Network > Routing > PBR > Match Group List

Figure 1 de oluşturduğum kurallar için Match group belirlemek zorundayım ve sırasıyla Match group olarak Borusan(e-mail trafiğimi yönlendireceğim hat) veriyorum ve bu match group Fig.1’de yazdığım ID 30 u kullansın diyorum, sonrasında ise ADSL groupu(http,DNS I yönlendireceğim trafik) belirliyorum bunada Fig.1’deki ID 20 yi kullanması için 20 olarak tanımlıyorum. En sonra olarak uzaktaki internetini yönettiğim network için bir match group oluşturup ID olarak 10’u belirtiyorum.

Fig.3 - Network > Routing > PBR > Action Group List

Fig.1 de access listimi belirleyip, Fig.2 dede bunları birer gruba atadım, şimdi ise bu atadığım gruplar için action grup oluşturacağım bu action gruplarında ise bu grupları hangi hattımı kullanacığımı belirtiyorum. ADSL grubum için action grup olarak toadsl ismini veriyorum ve firewallım üzerindeki ADSL gateway IP’mi belirtiyorum, uzak noktadaki networkum için Point to Point kullandığım hattını gateway belirtiyorum. Son olarakta Pop3,SMTP trafiğini yönlendirceğim borusan hattımın gatewayini tanımlıyorum.

Fig.4 - Network > Routing > PBR > Policy List

Kısaca yaptıklarımıza değinirsek, Access listler oluşturdum ve bu acces listleri grupları atadım, bu grupları ise hangi gateway kullanacığını belirttim. Şimdide adımımızda ise bunlar için bir policy yazacağım. Policy ismine s-traffic veriyorum ve sırasıyla 1,2,3 adet grupu Adsl olan action olarak toadsl uygulasın şeklinde policyimi belirliyorum.

Fig.5 - Network > Routing > PBR > Policy Binding

En son yapmamız gereken ise bu oluştuğurduğum policy’yi kullanacağım Zone üzerine atamak, Trust zone’nunda uygulayacağım için Policy name N/A olan sekmeye basıp s-traffic ü atıyorum. Artık networkumden Pop3,SMTP çıkıcak olan kullanıcılarım Borusan internet hattımı, DNS,HTTP çıkıcak olan kullanıcılar ADSL hattımı ve karşıki networkume gidicek olan kullanıcılar ise Point to Point hattımı kullanıcaklardı.

         SSL-VPN bildiğimiz IPSEC VPN haricinde bize çok daha fazla esneklik kolay kullanım ve çözüm geliştirmede yeni projeler aklımıza getiriyor. Özellikle mobilite kullanıcılara hitap eden, merkez bayii ilişkilerinde güvenlik anlamında bize yeni boyutlar açıyor. Merkezi yönetimi ile kurulan projelerde merkezden yönetimi güçlendiriyor uç noktalardaki sorunları minimize edip troubleshooting özelliği sayesinde son kullanıcıya kolay kullanım sağlıyor. Herhangi bir noktadan bir browser kullanarak güvenli bir şekilde merkezimizdeki uygulamaları çalıştırabilir, VPN yapabilir,SSH/Telnet açabilir, yada sadece outlooktan maillerimizi çekebiliriz. Juniper SSL-VPN bu konuda performanslı ve aynı zamanda Dünya piyasasında bu pastadan büyük bir pay alıyor. Gelecek konumda size kısaca Juniper SSL-VPN’i tanıtmak istiyorum anlatılacak konuşulacak büyük ve uzun bir konu, size aşağıda Client tarafında bağlandığımızdaki ilk ekranımızı sunuyorum. Gelecek yazılarımda Juniper SSL-VPN nedir ? Neler yapabilir ? Avantajları ve dezavantajlarından bahsedeceğim.

            Gün geçtikçe artan ev internet kullanıcılarının sayısı, bununla doğru orantıda artan kurumsal internet kullanıcısı sayısı ve Amerika askeri dairesinin nükleer savaş sırasında telefon hatlarımız giderse ne yaparız. Mutlaka bir çözüm diyerek TCP/IP nin  bu düşünceyle ortaya çıkması ve bunun üzerinde çok hızlı şekilde kimsenin tahmin edemediğinden hızlı büyüyüp akıp giden internetimiz. Çok söze gerek yok J Bu sistemde kurulmuş bir internette ne kadar güvende olduğumuzu herkez bilir. Paketlerin istenildiği gibi okunması evinde bir PC si olanın hertürlü bilgiyi ele geçirebilmesi için elinden geleni yapması ve istediğini başarması. Bizi nasıl korunuruzz bilgilerimize izinsiz nasıl kimseyi sokmayız düşüncesinin ön plana çıkması ve bununla başlayıp giden güvenlik sektörü. Güvenlik diyince akla ilk once dış güvenliğimiz geliyor. Yani kurumumuzun hiç tanımazdığımız dışardaki insanlara karşı korumak her ne kadar saldıraların %73 ü iç networkten gelsede herkezin öncelik tuttuğu dış güvenliktir. 

    Karşımıza dünya pazarının büyük bir payını elinde tutan bir kuruluşun. CheckPoint NGX-R61 Firewall-1 olarak adlandırılmakta. Checkpointi her ne kadar ufak donanım kutuları gün geçtikçe artmakta ise ve CheckPoint Türkiye müdürümüz seminerlerde her ne kadar donanım bizim işimiz değil. Biz işin yazılım kısmına focuslandık güvenlik bizim işimiz desede. Ben infonetin geçen hafta İstanbul’da verdiği seminerinde bulundum. Checkpointin UTM-1 diye adlandırdığı yeni donanımsal ürünleri Türkiye’de 3 ürün ailesi ile piyasayı girdi bile, bunun devamının geleceği CheckPoint 2007 ortalarında yeni UTM lerle piyasada olacağının duyurusunuda yaptı. Herneyse Checkpoint yeni strajelerini ürete dursun biz burada CheckPoint NGX-R61 Firewall-1i adım adım nasıl kurulduğunu anlatıyoruz. Herkese şimdiden kolay gelsin.

Read the rest of this entry »

Nihayet Juniper SSG 20 elime gecti ve test etme sansi buldum. Ilk olarak cok begendigimi soliyebilirim. Cihaz KOBI lere dusunulmus cok basarili UTM lerden biri. All in one cihazlardan cok fazla birsey bekliyemeyiz ama 50-100 kullanici arasinda guvenlik & Anti-Virus & Anti-Spam cozumu dusunuyorsaniz. Bu cihaz fiyat performans bakimindan cok uygun bir cihaz oldugunu soliyebilirim. Uzerinde 2 adet genisleme yuvasi mevcut T1,E1,ISDN,ADSL+2 etc.. sonlandirabilirsiniz.Lafi uzaktmadan cihazin teknik bilgilerini aktarmakistiyorum size.

5×10/100 Eth interface

2x Expansion slot

WAN Interface Options : V.92, T1, E1, ISDN BRI S/T, ADSL 2+ Annex A, ADSL 2+ Annex B

Maximum Throughput : 160 Mbps FW,90 Mbps IMIX FW,40 Mbps VPNMaximum Sessions : 4000

Maximum VPN tunnels : 25

8 ayri Zone ve 3 ayri virtual routers yaratabilme sansina sahibiz. Interface lerine istedigim gibi atiyabiliriz cok esnek bir secim imkani sunulmus.Atak sezme ve durdurma, Anti-Adware,Anti-Keylogger,Anti-Spyware,Anti-Spam.Anti-Virus icin Karspersky kosuyor ustunde, Anti-Spam icin ise Symantec,URL filtreleme konusunda basarili oldugunu soliyemem fakat Websense veya SurfControl ile entegre calisabilen bir cihaz.

Default olarak 256mb ram ile geliyor. 200 adet kural(Policy) yazabiliyoruz.Bu cihaz en onemli ozelliklerinden biriside Layer2 katmaninda transparan mode da calisabiliyor.

Networkunuzda herhangi bir ayar yapmadan konumlandirabiliriz. Checkpoint in Safe@Office i buna rakip der isek Juniper bu konuda Checkpointin onune geciyor.

Juniper Network önümüzdeki zamanlarda Routerleri için kullandığı JunOS ve Firewall’da kullandığı ScreenOS’i birleştirme kararı aldı. Bekliyoruz…