Network arşivleri - ÇözümPark

Bu yazıda sistem yöneticilerinin büyük sorunlarından birkaçına cevap bulmaya çalışacağız. Temel amacı LAN yapılarında en yüksek fiziki güvenliği sağlamak olan bu yazı aynı zamanda bir kaç sorununa da çözüm yolu sunmaktadır.

Hedeflerimizi şu şekilde belirledik;

1. Uygun maliyet,

2. LAN yapısında 802.1x PEAP yapısı ile kolay kurulabilir Switch Port ve WIFI güvenliği sağlamak,

3. Kuruluş personelinin, şirkete ait diğer ofislerde bulunması durumlarında kablolu veya kablosuz bağlantıları kolay ve güvenli bir şekilde sağlaması,

4. Kuruluşa bir personel başladığında bu personelin yapıya kolayca adapte edilebilmesi veya ayrılan personelin sistemden kolayca çıkartılabilmesi ve sistem kaynaklarının kapatılması.

5. 5651 Sayılı yasa gereğince gerekli olan kayıtların asıl kişiyi doğrulayacak şekilde toplanabilir hale getirilmesi.

Hedeflerimizden yola çıkarsak, hedef bazında bir kullanıcının kablolu, kablosuz yapılarda tanımlanması gerekmektedir. Bu işlem için bir çok farklı yol olsa da ya çok zahmetli ya da yönetmesi zordur. Örnek olarak bu işlemleri MAC access listeleri oluşturarak yapabiliriz fakat her cihaza bunları girmek her değişiklikte yeniden konfigürasyon yapmak zordur. Kaldı ki çoklu ofis yapısında çalışıyorsanız bu daha ayrı bir problem. Kablolu yapılar için MAC bazlı VLAN yapmak AP ler için merkezi kontrolcü ile WiFi şifresini her seferinde değiştirmek ayrı bir çözüm. Bu yazıda temel amaç tek bir noktada yapılacak bir ayar ve tutulacak tek kaynak ile bu işlemi çözmektir.

Yapıda cihazlar arasında kullanılacak olan haberleşme protokolü RADIUS olup, kullanıcıların kendisini sisteme tanıtması için PEAP yapısı kullanılacaktır. Bu yapıda karmaşayı önlemek sürekli devirdaime dönüşen sertifika işi yerine kullanıcıları sisteme sertifika yerine kullanıcı adı ve şifresi ile tanıtması sağlanarak self servis bir yapı ile bir kullanıcı kaynağından tüm işlemler yürütülecektir. Bu yapının tamamında DrayTek markasına ait cihazlar kullanılacaktır. RADIUS sunucu olarak DrayTek router cihazları kullanılacaktır. Bu nedenle herhangi bir dış kaynağa ya da sunucuya ihtiyaç olmayacaktır.

Resim 1

Resim1 de görülen yapıda iki lokasyon bulunmaktadır. Burada şube lokasyonu istenildiği kadar arttırılabilir. Merkez yapıda DrayTek 2860 modeli RADIUS sunucu ve kullanıcı veritabanı olarak görev yapmaktadır. Ayrıca VPN ile gelen tüm uç noktalar için gerekli görülürse HTTP/HTTPS Proxy olarak işlem yaparak internet çıkışlarında kullanıcı adı doğrulaması yapmasını da sağlayabilir. Switch yapısında DrayTek G2260 modeli kullanılmıştır. Bu model bir çok güvenlik ve sistem özelliği yanında 802.1x yapısında PEAP ile çalışabilmesinden dolayı seçilmiştir. AP olarak kullanılan model DrayTek AP902 modelidir, fakat herhangi bir AP modeli kullanılabilir tüm modeller 802.1x PEAP desteği ve radius sunucu desteği sumaktadır. Yapıda kullanılan DrayTek 2860 modeli istenilirse AP ve Switch yapıları için merkezi kontrol cihazı olarak da çalışabilir, fakat bu anlatımda verilmemiştir.

Resim 2

Bu yapı için öncelikli olarak Resim2‘de görüldüğü gibi DrayTek 2860 modelini Applications >> RADIUS/TACACS+ menüsünden "Internal RADIUS" seçilmeli ve "Enable" seçilerek sistem aktif edilmelidir. "Shared Screed" kısmında sorgu yapacak cihazların sorgu yapabilmesi için gerekli şifre girilerek "RADIUS Client Access List" kısmında DrayTek 2860 modeline Radius sorgusu yapacak olan cihazların network ya da IP adresleri girilmelidir. Unutulmaması gereken kısım yapının PEAP çalışacağıdır ve bu nedenle "Support 802.1X Method" kesinlikle aktif edilmelidir. Bundan sonraki işlem kullanıcılarımızı "User Management >> User Profile" kısmında oluşturarak sisteme eklemektir.

Resim3

Örneğimizde kablolu yapıları desteklemek için kullanacağımız DrayTek G2260 Layer2 Gigabit Managemenet switchin ethernet portlarında RADIUS ile 802.1x yapabilmesi için öncelikle RADIUS sunucu tanımları yapılmalıdır. Security >> AAA >> General Setup başlığından "IP Address/Hostname" başlığından "Enable" seçilerek RADIUS sunucu olarak kullanmakta olduğumuz "192.168.1.1" DrayTek Router IP adresi girilmelidir. DrayTek 2860 Router cihazında "Shared Secret" kısmına girilmiş olan şifre bu kısımda "Secret" kısmına girilmelidir.

Resim 4

Artık switch cihazımız RADIUS sunucu adresini bildiğine göre yapılması gereken "Security" sekmesi altında "NAS" kısmından "General Setup" bölümünde "Mode" kısmını "Enable" yaparak sistemin çalışmaya başlamasını sağlamaktır.

Bu kısımda 802.1x kullanmasını istediğimiz portlarda "Single 802.1x" seçmeliyiz ve "Apply" buttonuna basarak sistemi aktif duruma getirmeliyiz.

Unutulmaması gereken kısım bu işlem yapıldığında porta bağlı olan cihazın da 802.1x ayarları yapılmış olmalıdır ve 802.1x yapamayacak cihazların portları "Force Authorized" olarak seçilmelidir, DrayTek 2860 cihazına yapılmış olan uplink bağlantısının bağlı olduğu port ve AP cihazlarının bağlı olduğu portlarda "Force Authorized" şeklinde bırakılmalıdır. Ağınızda 802.1x PEAP desteği olmayan cihazlar var onların bağlı olduğu portlarda bu şekilde bırakılmalıdır.

Resim5

DrayTek AP cihazları birden fazla SSID desteklemektedir, istediğiniz SSID yi bu sisteme dahil etmek için "Wireless LAN >> Security Settings " kısmından "Mode" kısmını "Mixed(WPA+WPA2)/802.1x “ olarak seçiniz "Set up RADIUS Server if 802.1x is enabled" kısmında "RADIUSServer" linkine tıklayınız.

Resim 6

Resim6’da örnekteki gibi açılan pencerede "IP Address" kısmına RADIUS sunucu olarak yapılandırdığımız DrayTek 2860 cihazının IP adresini giriniz "Shared Secret" kısmına DrayTek 2860 modelinde sorgu yapacak cihazlar için yazdığımız "Shared Secret" keyiniz bu kısma yazınız ve "OK" buttonuna basınız.

Bu işlemden sonra bu SSID ye bağlanacak kullanıcılar bir WIFI keyi yerine kullanıcı adı ve şifresi kullanacaktır. Bunu desteklemeyen bir cihazınız ya da cihaz gurubunuz var ise ikinci bir SSID açarak güçlü bir parola ve MAC address erişim listesi ilede onları WIFI ağına dahil edebilirsiniz.

DrayTek cihazları ile artık 802.1x ayar kısmını tamamladık, bu kısımdan sonra DrayTek G2260 Switch cihazında "Single 802.1x" olarak seçtiğimiz portlar üzerinden kablolu cihazlar ve AP810 cihazında RADIUS doğrulaması seçilen SSID yayınlarına bağlananlar 802.1x PEAP üzerinden kullanıcı adı ve şifresi ile doğrulama yapabilirler.

Bu kısımdan sonra Windows işletim sistemlerinde yapılması gereken bazı işlemler var özellikler kablolu ağlar için "dot3sv" servisi aktif edilmeli ve başlangıç da başlayacak şekilde ayarlanmalıdır.

Resim 7

Resim7üzerinde görüldüğü gibi bu servisi başlatın ve açılış davranışı olarak otomatik seçin. Bu şekilde kablolu yapılar için 802.1x sistemini kullanmaya başlayabiliriz. Wireless yapıları için sistem bu şekilde hazır gelsede "WlanSvc" servisininde başlamış ve açılış davranışı olarak otomatik başlangıç seçili olduğuna emin olmalısınız.

Winres 1

Winres 2

Servis işlemlerini yaparak sistemi yeniden başlattıktan sonra ethernet ayarlarında özellikler kısmını tıkladığınızda "Networking" başlığının yanında "Authentication" başlığınında çıktığını görebilirsiniz. "Authentication" başlığını resimde görüldüğü gibi ayarlayın. Bu kısım 802.1x ayarlarının yapılacağı bölümdür işlemler için sırası ile alttaki işlemler yapılmalıdır.

Winres 3

Winres2‘de settings kısmını tıklayarak "Protected EAP Properties" başlığına ulaşın ve Winres3‘de görüldüğü gibi ayarlayarak onaylayın. Biz yapıda herhangi bir sertifika kullanmayacağı sistemi güvelikli ama olabildiğinice kolay kullanılabilir ve self servis yapmaya ve ileriye dönük sertifika üretme takip etme işlemlerinden kurtarmak istiyoruz bu nedenle sertifika kontrollerini kapatıyoruz.

Winres 3-2

Winres 3-2-1

Winres3 kısmında ayarlarımızı yaptıktan sonra OK tuşunu tıklayarak tekrar Winres2 kısmına dönelim ve "Additional Settings" kısmını seçerek Winres3-2 de görüldüğü gibi sistemi ayarlayalım. Bu kısımdan sonra yapmamız gereken sadece kullanıcı adı ve şifresini girerek sistemi çalışır hale getirmek olacaktır. Kullanıcı adı ve şifresini girmek için "Replace Credentials" kısmını tıklayarak Winres3-2-1‘de görüldüğü gibi "User name" ve "Password" yazan kısımlara DrayTek 2860 kullanıcı veri tabanında oluşturduğumuz kullanıcı adı ve şifresini girelim bu kısımdan sonra cihaz yapacağı DHCP broadcasti ile DrayTek cihazından IP adresi alarak ağa dahil olacaktır kablolu ve kablosuz yapılar için ayarlar aynı şekildedir.

Bir başka makalede buluşmak dileğiyle.

Roaming kelime anlamı olarak aslında dolaşım, gezinme anlamına gelmektedir ve Roaming ile elde edilmek istenen herhangi bir istemcinin farklı operatörler ya da aynı operatöre ait olan erişim noktaları arasında serbest dolaşımının tanımlanmasıdır. Bunu şu şekilde düşünebilirsiniz firmanıza ait olan tüm ofislerde firmanızda kablosuz erişim izni olan kullanıcıların tüm AP cihazlarına bağlanabilmesi ve ofis fark etmeksizin herhangi bir AP üzerinden ağa erişebilmesi şeklinde düşünebilirsiniz. Bu kısımda iki kıstas var; ilk kıstasımız kullanıcı kablosuz ağa bağlanırken bağlanacağı tüm AP cihazları aynı şifreyi kullanmalıdır halbuki bu güvenlik anlamında pek olumlu sonuçlar doğurmayacak bir durumdur. Bunu düzeltmenin en basit yolu ise AP cihazlarında standart Wifi Şifre yöntemi yerine 802.1x ile beraber şifre yerine SSID bağımsız tüm AP lerin bir Radius ya da benzeri bir kullanıcı veritabanından kullanıcı adı şifresi doğrulaması yapmasıdır. Bu kısımla ilgili çok ayrıntıya girmeyeceğim ayrıntılı anlatımı " http://www.cozumpark.com/blogs/network/archive/2016/12/04/kablolu-veya-kablosuz-aglarda-802-1x-ile-merkezi-guvenligin-saglanmasi.aspx " bulabilirsiniz. İkinci kıstas ise AP cihazlarının SSID ile bizim wifi aramalarında gördüğümüz SSID adının yayınlaması birde BSSID ile MAC bazında bir alt yayın yapmasıdır. Bu kısımda sorun bazı Wifi cihazlarının SSID ve BSSID yi beraber kullanarak güvenlik sağlamaya çalışmasıdır. Bu normalde olumlu bir sonuç olsa da bir cihazdan diğerine geçişte soruna neden olacaktır ve tekrar tekrar doğrulama ya da SSID tanımlamasına gerek duymasına neden olacaktır. Şu an Roaming nedir ve genel sorunları ve bağlantı çözümleri nedir biliyoruz. Peki Roaming aslında bir istemcinin A cihazından B cihazına kesintisiz geçmesi değil ise bugün piyasada satılan Romain yapan AP cihazları tam olarak ne yapıyorlar ?

Client Roaming denen sistem aslında bugün AP cihazlarının bir özelliği gibi satılsa da bu özellik AP cihazlarının bir özelliği değil bağlanan cihazların bir özelliğidir! Evet, roaming için fazladan ödediğiniz paralar biraz boşa gidiyor. Bir üst paragrafta Roaming sorunlarından bahsederken BSSID ile ilgili bazı bilgiler vermiştim, şimdi bu özelliği temel alarak bir istemcinin nasıl A AP cihazından B AP cihazına geçişleri ayarlayabildiğine bakalım. Windows ve Linux (dağıtıma göre değişebilir) ya da birçok mobil işletim sisteminde BSSID kısmı kullanıcının inisiyatifine bırakılmıştır ki bu şu anlama geliyor, istemci AP ile sadece SSID bazında anlaşacaktır ve MAC adresini önemsemeyecektir. Bu durumda istemci aynı SSID ve aynı Şifre ile yayın yapan tüm AP cihazlarına bağlanabilir duruma gelir ki bu güzel ama güvensiz bir durumdur. Güvensizlik kısmı şu şekilde; ben sizin AP cihazınızla aynı yayını yapan bir cihaz kullanarak sisteminizin şifresini elde edebilirim; burada kıstas bağlanacak kullanıcının BSSID kontrol etmediği için aynı isimde bulunan SSID cihazına bağlanabileceğidir. Bu durumda en güçlü yayın yapan cihaz öncelik kazanacaktır ve size hizmet eden AP cihazının yayınından daha güçlü bir yayın yaparsam bu durumda hizmet eden AP yerine benim AP cihazıma bağlanırsınız ve gönderdiğiniz şifre doğal olarak benim elime geçer ve ağınıza sızabilirim. Güvenlik ile ilgili kısmı geçersek AP cihazı ile sadece SSID bazında konuşmak istemcilere doğal bir romaing desteği sunmaktadır, yani burada romaing yapan cihaz AP cihazı değil sizin bilgisayarınız ya da cep telefonunuzdur.

Şu an için aslında roaming denen şeyin ne olduğu ve bize satılan romaing sistemlerinin aslında AP cihazları tarafından değil bizim istemcilerimiz tarafından yapıldığını biliyoruz, peki AP cihazları bu durumlar için bize ne gibi getiriler sağlıyor ki biz AP cihazlarına fazladan para ödüyoruz. Bir istemci A AP sinden B AP sine geçebilmek için A AP cihazından tamamen kopmayı bekler yani kendisi daha güçlü bir SSID yayını var ben ona geçeyim gibi bir işlem yapmaz bu durumda bir AP cihazının en iyi hizmet alanı içinde kalan -70 dBm değeri geçildiğinde bir istemcinin diğer AP cihazına bağlanması beklenir fakat bu maalesef gerçekleşmez bu nedenle yavaşlık sorunları yada paket kayıpları meydana gelir.

Threshold Based Handover Area

Bu durumda istemcinin A AP cihazı ile B AP cihazının kesişim noktasında A AP cihazından kopması gerekir, işte tam bu durumda AP cihazları devreye girerler DrayTek gibi markalara ait AP cihazları istenilen Threshold değerlerinde bir istemciyi kendi servis alanından kopartarak serbest bırakır. Bu durumda istemci otomatik olarak en güçlü sinyale geçecektir. Bu işlemin adına "Threshold based handover" denir bu alana ise "Threshold Based Handover Area" denir. Bu alanın hesaplanması için "Xirrus Wi-Fi Inspector" gibi yazılımlar kullanabileceği gibi istenilirse AP cihazından kullanıcının bulunduğu noktadaki bağlantı sinyalide takip edilebilir.

Xirrus Wi-Fi Inspector

"Threshold Based Handover Area" hesabı yapılırken dikkat edilmesi gereken ikinci AP yerleşiminde kesişim alanında A AP cihazı -70 dBm değerinde iken B AP cihazı minimum -69 dBm değerinde olmalıdır bu durumda A AP cihazı kendisine bağlı olan istemcinin bağlantısını kopardığı anda istemci otomatik olarak B AP cihazına bağlanabilecektir. Bu işlem yapıldığında AP cihazlarının bir diğer getirisi olan birbirleri ile anlaşma işlemide yapılacaktır, bu işlem AP cihazlarının istemci için karar vermesi aşamasıdır. Aynı alan içinde istemci birden fazla AP kapsama alanı içinde ise en iyi sinyal gücünde olan AP istemciyi otomatik olarak kabul edecektir.

DrayTek AP 902

DrayTek cihazları romaing yapısı için birkaç farklı yol sunmaktadır. Bunları cihazların Wireless LAN (2.4GHz) >> Roaming / Wireless LAN (5GHz) >> Roaming menülerine girerek bulabilirsiniz. Bu menüde sunulan çözümler farklı senaryolar içindir.

Minimum Basic Rate bu sistem yine bir threshold sistemidir ve yapılmak istenen istemcinin belirlenecek Mbps seviyesinin altına düştüğünde otomatik olarak bağlı bulunduğu AP cihazından kopartılması işlemidir. Her ne kadar verimli bir yapı olsada RSSI olmadan kullanımını tavsiye etmeyiz. Bunun nedeni bazı enerji yönetimli cihazların WIFI kısmı kullanılmadığında gücünü otomatik olarak düşürmesidir, bu durumda doğal olarak aktarım hızıda düşecektir ve AP cihazı bunu yanlış anlayacak aslında çok yakında olan bir cihazın ve normal şartlarda verimli olan bağlantısını kesebilir.

Minimum RSSI sistemi çok daha kullanışlı bir sistemdir. Size iki seçenek sunar. "Strictly Minimum RSSI" değeri bir kullanıcının dBm değerinin belirtilen eşik değerinin altına düşmesi durumunda bağlantısının kopartılmasıdır. Bu sistemin uygun şekilde çalışması için altyapı işlemlerini yapan teknik ekibin "Threshold Based Handover Area" alanını iyi belirlemesi gerekir. Diğer bir seçenek ise kurulması ve kontrol edilmesi daha kolay olan "Minimum RSSI with Adjacent AP RSSI over" sistemidir ve "Threshold Based Handover Area" alanı belirlenirken daha esnek davranılabilir. "Minimum RSSI with Adjacent AP RSSI over" sistemi belirtilen minimum dBm değeri içinde istemciyi otomatik olarak sistemden atacak ve bir diğer AP cihazına bağlanmasına olanak sağlayacaktır. Ayrıca belirlenecek ikinci eşşik değeri ise aynı kapsama alanı içinde belirlenen minimum dBm değeri için ikinci eşik değeri ile toplamı kadar ya da daha fazla değerde bir AP yayını var ise otomatik geçiş sağlayacaktır. Bunun matematiksel karşılığı "Minimum RSSI" + "Adjacent AP RSSI over" şeklindedir, fakat bu yapıda SSID sağlayan AP cihazları DrayTek marka olmalıdır. Çünkü AP cihazları karşılıklı konuşarak istemci hakkında karar verecektir. "Minimum RSSI with Adjacent AP RSSI over" bu sistemde bir istemcinin "Threshold Based Handover Area" içinde olduğunu düşünün A AP cihazının yayın gücü bu alanda -70 dBm dir ve hizmet hala stabildir. Fakat B AP cihazının yayın gücü -65 dBm değerindedir bu durumda istemci B AP sine bağlansa daha iyi bir hizmet alabilir durumdadır. İşte bu kısımda AP cihazları kendi aralarında konuşarak bu istemciyi A AP sinden kopartıp otomatik olarak B AP sine bağlanması sağlanacaktır.

DrayTek cihazları aynı zamanda gerçek roaming için gerekli olan yapıyı da destekler, Fast Roaming olarak geçen bu sistem yazının başında anlattığımız serbest dolaşım sistemini tanımlar ve bir istemcinin bir AP den diğerine geçişte tekrar doğrulama ihtiyacı duymamasını sağlar. Temel mantık 802.1x sunucu üzerinde doğrulama yapmış istemcinin sisteme bağlı olan tüm AP cihazlarında hızlı doğrulama yaparak sisteme dahil olmasını sağlar. Bu sistemde bulunana doğrulama yapısı IEEE 802.11i de tanımlandığı şekildedir "https://en.wikipedia.org/wiki/IEEE_802.11i-2004".

Makalemin ilk bölümünde hp830 Access controller üzerinde kullanıcı işlemleri, loglama, Tarih ve saat kısmındaki ayarlar, File Management yedekleme, geri yükleme, Default Settings yapılandırmalarını yapmıştık. Bu bölüm aşağıdaki link üzerinden ulaşabilirsiniz.

Link

Bu bölümde ise asıl cihazın kullanım amacının ne olduğunu cihaz üzerinde vlan nasıl oluşur, access point nasıl bağlanır, cihaz access pointleri nasıl görür, SSID nasıl yayılır bu konulara bakacağız.

*Öncelikle cihaz üzerinde vlan nasıl oluşturulur bakalım.

Cihaz fiziksel olarak üzerinde hem controller hem de switch barındırmaktadır. Portların hepsi hem switch tarafında hem de controller tarafında vlan 1 üzerinde Access şeklinde gelir.

Farklılık yaratmak için vlan yapısını CLI konsoldan oluşturacağım.

Telnet 192.168.0.101 diyerek controllara bağlanıyoruz.

Yukarıda görüldüğü üzere cihaza CLI bağlanarak vlan 250 oluşturuldu daha sonra vlan’a isim verelim

Yukarıda görüldüğü üzere vlan’a isim verdik daha sonra description bilgisi verdik.

Şimdide vlan’a ip adresi verelim

Yukarıda görüldüğü üzere vlan’a ip adresini de verdik.

Cihaz üzerinde vlan oluşturma işlemlerini yukarıdaki gibi yapmanız mümkündür.

*Cihaza access point nasıl bağlanır ona bakalım

Ben cihaz olarak HP 830 UNF serisini kullanacağım Access point olarakta MSM 430 serisi kullanacağım.

Yukarıdaki gibi Access point ile controller direk bağlanabilir yakın kablolamalarda bu şekilde bağlantı şekilleri kullanılabilir.

Yukarıda görüldüğü üzere 1 adet 5406 omurga switch 1 adet kenar switch olan ortamda access point kenar switch’e bağlıdır kenar switch de omurga switch’e bağlıdır access controller da omurga switch üzerinde bağlıdır öncelikle hepsi aynı vlan ’da bağlıyken ki şeklini inceleyeceğiz.

Yukarıda görüldüğü gibi birde direk omurga switch üzerine bağlı olma durumu da vardır bu bağlantı şekilleri değişebilir bağlantı şekli ne kadar değişirse değişsin mantık değişmez.

Anlatacağım senaryo controller ve access point ’in aynı vlan üzerinde olması şeklinde olacak.

Daha sonraki bölümlerde farklı vlanlarda ve TTVPN arkasındaki access pointleri 1 merkez üzerinden yönetilmesini anlatıyor olacağım.

Öncelikle Access controller’ un access point’i görmesi için access point ‘in ip adresi almış olması gerekmektedir.

Controller vlan 1 ip adresi 172.16.100.17/24 olsun durum böyleyken access point de bu vlan da bağlı olacağı için bu network den ip adresi almak zorundadır ki access controller ile konuşabilsinler.

Ben şekilde 2 de bulunan senaryo üzerinden anlatacağım

Öncelikle omurga switch üzerinde wifi yayını yapmak için 1 adet vlan oluşturuyorum.

Yukarıda görüldüğü üzere omurga switch üzerinde 1 adet vlan 1000 şekilden vlan oluşturdum.

Aynı Vlan access controller üzerinde de oluşturulur. Aslında gerek yok ama olması gerektiği gibi yapmak gerekirse vlan oluşturulmalıdır.

Yukarıda görüldüğü üzere kontroller üzerinde de vlan oluşturuldu.

Şimdi controller üzerinden omurga switch’e gidecek olan kablo için takılı olduğu portları vlan 1000 için access olarak belirlememiz gerekecek

Yukarıda görüldüğü üzere 3. portu vlan 1000 için access yaptık.

Bu durumda controller dan 3. Porta takılı olan kablo omurga switch’e takılacak.

Omurga switch üzerinde de controller üzerinden gelen portu takmak için herhangi bir portu access olarak atıyoruz.

21.port vlan 1000 için access duruma geldi access controller üzerinden gelen port omurga üzerinde B21 nolu porta takılmalıdır.

Aynı vlan oluşturma işlemi kenar switch üzerinde de yapılıp access olarak belirtilen porta access point takılmalıdır.

Omurga switch ile kenar switch tagged, trunk, Access, untagged olarak sizin istediğiniz üzerine dilediğiniz gibi haberleşebilir. Bu kısımda bir zorunluluk yoktur kendi network yapınıza göre şekillendirmeniz mümkündür.

Ben omurga switch ile kenar switch’in tagged, trunk olarak haberleştireceğim.

Yukarıda görüldüğü üzere omurga switch den kenar switch’e giden portu tagged ile taşınmasını sağladık

Şimdi ise gelen vlan 1000 trafiğini kenar switch üzerinde vlan 1000 olarak karşılamam gerekecek.

Yukarda görüldüğü üzere kenar switch üzerinde omurgadan 28 nolu porta gelen trafiği vlan 1000 içeriye alması için karşılama yaptık.

Bundan sonra access point ’in takılı olduğu portu access, untagged olarak ayarlamamız gerekecek

Yukarıda görüldüğü gibi a1 nolu portumuza access point takılı olduğu için untagged yaptık. Bu farklı yapılandırma doğrultunda tagged olarakta yapılabilir. Diğer bölümlerde bunu da göreceğiz…

Buraya kadar yaptığımız işlemler network yapısını oluşturmaktı ve oluşturduk.

Sırada access point ‘in ip adresi alıp controller tarafından yönetilmesi kaldı.

Cihaz ip alacağı için ortamda dhcp sunucu bulunmak zorundadır bunun için şiddet ile size Microsoft DHCP sunucu kullanmanızı öneriyorum. Access pointler sadece yerel de ise belki sorun yaratmaz ama farklı lokasyonlar da bulunan access pointleri controller a göstermeniz için Microsoft dhcp şart olacak.

Öncelikle dhcp sunucusunda scope(Kapsam) oluşturmalıyız. Controller ip adresi 172.16.100.17 olarak vermiştik bu durumda ip alan kullanıcıların ağ geçidi ne olacak ben omurga switch üzerinde vlan 1000 e ip verip ağ geçişi olarak da omurga switch’in ip adresini dağıtacağım.

Önce omurga switch de vlan 1000 e 172.16.100.1 ip adresini verelim.

İp adresimizi verdik ve hangi DHCP sunucusundan ip alacağını belirtmemiz gerek bunun için ip helper adresi yazacağız

Şimdi DHCP sunucu tarafında scope(kapsam) oluşturalım

Yukarıda görüldüğü üzere dhcp sunucumuzu açtık.

İpv4 yazan kısma sağ tıklayarak Yeni kapsam diyerek devam ediyoruz.

İleri diyerek devam ediyoruz.

Bu kısımda scope(kapsam) a isim veriyoruz. İleri diyerek devam ediyoruz.

Karşımıza gelen ekranda ip adresinin başlangıç ve bitiş ip adresini sormaktadır.

Ben 172.16.100.20 den 100 e kadar dağıtmasını için ayarladım. İleri diyerek devam ediyoruz.

Yukarıdaki kısımda dağıtılmaması gereken aralık varsa bu kısma yazıyoruz şimdilik bu alan ile pek işimiz yok. İleri diyerek devam ediyoruz.

Yukarıda dağıtılacak olan ip adresinin süresini sormakta bu kısmı uzun tutmanızda fayda var 8 gün olarakta kalabilir.

İlgili seçeneği işaretleyerek iler diyoruz.

Bu kısımda hangi ağ geçidine ip dağıtacağını sormakta yani hangi vlan a dağıtacağını soruyor diyebiliriz. Biz vlan 1000 e ip dağıtacağız ve ip olarak 172.16.100.1 yazacağız. İleri diyerek devam ediyoruz.

Yukarıda görüldüğü üzere bizden etki alanı ve dns istemekte buraları kendinize göre doldurabilirsiniz.

Bu ekrandan sonra ileri diyoruz daha sonra bizden wıns sunucusu soracak o kısımda ileri dedikten sonra scope(kapsam)oluşturma işlemimiz bitmiş olacaktır.

Artık DHCP sunucumuz hazır şu anki beklentimiz access point ‘in bu scope(kapsam)üzerinden ip almasıdır.

Network ve dhcp tarafında işimizi bitirmiş olduk artık Controller tarafına geçiyoruz.

Cihazımızın 2 şekilde access point bulma özelliği vardır 1.Auto AP 2.Manuel Seri No ile genelde access point sayısı yüksek olan yerler Auto AP kullanır sayısı az olan yerler genelde Manuel kullandıklarını gördüm.

Ben bu kısımda Auto AP kullanacağım

Aşağıda görüldüğü üzere AP sekmesinde Auto AP Kısmını açıyoruz ve Auto AP ve Auto Persistent kısımlarını Enable olarak seçiyoruz. Alt kısımdan Apply diyerek artık access pointlerin cihaz üzerine gelmesini bekliyoruz.

Cihazlar access controller üzerinde görünene kadar bizde bu arada SSID işlemlerine bakalım.

SSID işlemleri Wireless Service altında Access Servis sekmesinden yapılmaktadır.

Yukarıdaki ekran da görüldüğü üzere daha önce oluşturulmuş olan SSID var biz Add diyerek yeni bir SSID oluşturacağız.

Add dedikten sonra karşımıza yukarıdaki gibi ekran gelmekte bu kısımda oluşturacağımız SSID adını sormakta Wireless Servis Tye kısımda SSID yayınına şifre verip vermeyeceğimizi sormakta clear seçili ise şifresiz anlamına gelmektedir.

Yukarıda ben SSID olarak test yazdım ve Apply dedim karşıma yukarıdaki gibi ekran geldi.

Yukarıdaki ekranda Vlan 1000 yazarak hangi vlan üzerinde access olacağını seçiyorum ve Apply diyerek uyguluyoruz.

Görüldüğü üzere test yayınımız geldi ama şuanda yayın aktif değil aktif etmemiz gerekmektedir.

Test yayını seçerek alt kısımdan Enable diyoruz. Bu işlemden sonra SSID aktif oluyor ama halen yayın yapmayacaktır çünkü herhangi bir access point ile eşleştirme yapmadık.

Yukarıda görüldüğü üzere yayınımız Enable oldu bu işlemden sonra access point ‘in cihaz üzerinde gelip gelmediğini kontrol edelim

Summary bölümünün altında bulunan AP sekmesini açıyoruz.

AP Connection Record bölümünden cihazın geldiğini görmekteyiz status olarakta Run durum da gözükmektedir bu network be dhcp tarafında bir problem olmadığı anlamına gelmektedir.

Wireless bölümünden Access servis sekmesi üzerinden test SSID üzerine geliyoruz operation kısımındaki sarı renkli simge üzerine gelerek Bind işlemi yapacağız .

Simgeye bastıktan sonra karşımıza aşağıdaki gibi ekran gelecek

Yukarıda görüldüğü gibi yayın yapacak olan access point gözükmekte ve Binding State Kısımında Unbinding olarak gözükmekte bunun binding şeklinde olması gerekmektedir.

Bunun içinde access point’i seçerek alt kısımda bulunan bind seçeneğine tıklıyoruz.

Bind edilmiş hali aşağıdaki gibidir

İlgili access point için test SSID sini sinyalize etmesi için ayarları yaptık ama şuanda sistem halen test SSID yayınlamayacaktır sebebi cihazın üzerinde bulunan 2,4 ve 5 Ghz raido kartlarını açmamız gerekmektedir.

Görüldüğü gibi Raido menüsünü açıyoruz

2,4 ve 5 Ghz da yayın yapan kartlarımız aşağıda görüldüğü üzere kapalı olduğu görülmektedir.

Bu cihazı seçerek alt kısımda bulunan Enable butonuna basınız kartlar aktif olduktan 5 ya da 7 sn. sonra sinyal yayımına başlayacaklardır.

Artık ortamda bulunan test SSID ile ip adresi alıp networke erişmeniz mümkün olacaktır.

Bu makalemiz burada sona ermiştir.

3.Bölümde SSID şifre koyma mac authentication, Radius sunucu ile 8021x yapılandırması ve local forwarding den bahsedeceğiz.

Merhabalar daha önceki makalelerde HP 830 Access controller cihazının basit kurulumu, daha sonra networkte nasıl yapılandırılması gerektiği access point ile access controller arasındaki bağlantı nasıl olmalı SSID oluşturma ve access point üzerindeki radio kartlarının nasıl açılacağı konusunda bilgi vermiştik.

Bölüm1

Bölüm2

Bu bölümde ise oluşturulan SSID için şifre verme işlemi ve ilgili SSID ile bağlanmak isteyen kullanıcılara mac authentication(Mac Doğrulama işlemleri) ayrıca domain ortamında Radius sunucu ekleme 802.1x authentication ve local forwarding konularına bakacağız.

Şifreli SSID oluşturma

Daha önce cihazımıza vermiş olduğumuz 172.16.100.17 ip adresi ile web üzerinden cihazımıza bağlanıyoruz.

Bağlantımızı yaptıktan sonra aşağıdaki gibi menüleri takip ederek daha Wireless Service menüsü altında bulunan Access service açıyoruz daha önce oluşturduğumuz SSID’ler aşağıda görüldüğü üzere 3 adet SSID oluşturmuştuk.

Aşağıdaki ekranda Add diyerek yeni SSID oluşturacağız.

Karşımıza aşağıdaki gibi ekran gelmektedir bu kısımda Wireless Servive Type yazan kısmı değiştirmemiz gerekmekte şuanki şekli ile bırakırsak şifre koyma işlemi başaramayız.

Bu kısmı aşağıdaki gibi crypto olarak değiştiriyoruz.

Daha sonra SSID ismini vereceğiz

Apply dedikten sonra karşımıza aşağıdaki gibi ekran gelmektedir.

Yukardaki ekranda en alt kısımda bulunan Security setup yazan kısma tıklıyoruz. Karşımıza aşağıdaki gibi ekran gelmektedir.

Aşağıdaki ekranda Authentication Type yazan kısmı SharedKey olarak değiştiriyoruz.

Daha sonra aşağıdaki Provide Key Automatically yazan bölümü ben WEP40 seçiyorum

WEP40 olarak seçtikten sonra bize şifre uzunluğu ve karmaşıklığını sormaktadır.

Ben alphanumeric olarak seçiyorum 5 karakter sayı ve harflerden oluşmalıdır.

WEP Key yazan kısmı wifi için vereceğim şifreyi yazıyoruz.

Şifremizi yazıp tamamladıktan sonra Apply butonuna basıyoruz.

Yukarda görüldüğü üzere yaptığımız yapılandırma doğrultusunda SSID ayarları oluşturulmaktadır.

Aşağıda görüldüğü üzere oluşturduğumuz SSID için web Key şifresi vermiş durumdayız.

Şifreli SSID oluşturma işlemi bu kadar.

Şimdi ise SSID’ye bağlanırken Mac adresi sorgulaması yaparak sadece sizin belirleyecek olduğunuz mac adreslerinin bağlanmasını sağlaya bilirsiniz.

Bunu şifreli ya da şifresiz SSID üzerinde yapabilirsiniz.

Ben bu işleme yukarıda oluşturmuş olduğumuz SSID üzerinden devam edeceğim sonuçta web şifresi olan aynı zamanda mac kontrolü yapan bir SSID oluşturmuş olacağız.

Oluşturmuş olduğumuz test1 SSID için editleme işlemi yapacağız.

Yukarıda görüldüğü üzere Security Setup sekmesini açıyoruz.

Security sekmesinin alt Kısmında bulunan Port Security sekmesini açıyoruz.

Port set kutucuğunu işaretliyoruz.

Port mode kısmında Mac-authentication sekmesini seçiyoruz. Mac-authentication sekmesini sektikten hemen sonra bir alt menü daha açılmaktadır. Açılan menü aşağıdaki gibidir

Yukarıda bizden hangi domaini kullanacağımız sormaktadır cihaz üzerinde Default olarak gelen System domaini seçiyorum ben siz farklı domainde oluşturabilirsiniz.

Domain seçildikten sonra Apply diyoruz

Ve yukardaki ekranda görüldüğü üzere cihaz yapılan yapılandırma uygulanıyor.

Servis Type kısmında Mac-authentication /Web görülmekte yani SSID’ye hem şife verdik hem de Mac-authentication şartı koymuş olduk.

Şifre kısmı tamam ama mac tarafı için son bir ayarımız kaldı bağlanması için verecek olduğunuz mac adresini cihaz üzerine yazmanız gerekmektedir.

Yukarıdaki ekranda görüldüğü üzere test1 SSID sini seçerek Mac-authentication sekmesine tıklıyoruz karşımıza aşağıdaki gibi ekran açılacaktır.

Bu kısımda mac yazma formatı yukarıdaki gibi olacak olup ilgili mac adresini yazarak add sekmesine basıyoruz ekleme işlemi tamamlandıktan sonra eklemiş olduğumuz mac adresine sahip cihaz test1 SSID si ile bağlanabilir.

Artık bağlanabilir duruma geldik bundan sonra cihazıma Radius sunucu tanımlaması yapacağız.

Cihazımıza Radius severi CLI kısmından da eklememiz mümkün ama şimdiye kadar web üzerinden geldik ama artık CLI da kullanarak devam etmek istiyorum.

Radius ve 802.1x için ilk gereken şart controller üzerinde domain uygulamaktır. Ama cihaz üzerinde Default olarak System şeklinde bir domain gelmiş olup ben bu domain adını kullanmak istiyorum.

Bundan sonra öncelikle cihazıma bir Radius sunucu eklemeliyiz bunu ben CLI üzerinden yapacağım

Yukarıdaki komutları cihaz üzerinde yürütüyoruz. Radius sunucu ip adresimiz ve yedek Radius sunucumuz varsa ip adresinizi yazıyoruz.

Aşağıda görüldüğü üzere CLI üzerinden yaptığımız işlem web ara yüzüne yansımış durumda

Daha sonra aşağıdaki komutları çalıştırıyoruz.

Domainimiz var Radius sunucumuz var sırada domain ortamını Radius ile konuşturup sorguların Radius sunucu a gitmesi için ayar yapacağız bunu da yine CLI üzerinden

Yukarıda bulunan komutları uyguladığımız zaman AAA kısmında değişlikler olduğunu görmekteyiz.

Bu kısımda işlemler bu kadar artık SSID tarafına gecelim.

Daha önce web üzerinden SSID oluşturma işlemine bakmıştık şimdi ise CLI üzerinden SSID oluşturulalım.

Yukarıdaki komutlar yazılırsa 8021xwifi adında bir SSID oluşur. Ama yayın yapmaya başlamaz sebebi servisi bind etmediğimizden kaynaklanmaktadır.

Aşağıda görüldüğü gibi SSID yayını başlamış durumdadır.

Daha önceki makaleler de bind nasıl edilir anlatmıştık bind ettikten sonra yayın başlayacaktır.

Yukarıda görüldüğü üzere yayın başlamıştır. Bağlan dediğimiz anda

Karşımıza yukarıdaki gibi ekran gelmektedir bu kısımda bizde domainde bulunan kullanıcı adı ve şifremiz sorulmaktadır.

Domaine ait kullanıcı adı ve şifremiz doğru yazdığımız zaman networke erişim sağlamış olacağız.

Bu sayede network güvenliği sağlanabilir.

Şimdiki konumuz Local forwarding bu servis ne işe yaramaktadır kısaca bilgi verecek olursak bu servis genelde uzak lokasyonlar da kullanılmakla beraber vpn arkasında da bir hayli kullanılmaktadır. Konuyu açacak olursak normal şartlarda Access controller access point’i bir tünel kurarak çalıştırmaktadır buda ne alama geliyor trafiğin sürekli kontroller üzerinden geçmesi anlamına gelmektedir. Bu durum uzak lokasyonlar için trafiğin merkeze gelip geri dönmesine sebep olmaktadır

Örneğin;

1 merkez olsun merkeze bağlı 100km ilerde bir lokaysan olsun arada TTVPN bağlantısı olsun iki lokasyon bir biri ile layer 3 seviyesinde routing ile haberleşsin lokasyon da bağlı olan bir access point merkezden yönetiliyor olsun hal böyle iken lokasyondaki adam hemen yanı başında bulunan yazıcıdan çıktı almak istese wifi den bağlı olduğu için trafik tünel aracılığı ile merkeze gelip merkezden tekrar lokasyona gidecektir buda sıkıntılı bir durum olacaktır.

Aşağıdaki şekilde görüldüğü üzere yazıcıdan çıktı almak için izlenen yol aşağıdaki gibidir local forwarding işlemi uygulanmadan önceki hali budur.

Local forwarding yapılandırması aşağıdaki gibi yapılabilir. Access Service içindeki wifi802 SSID’nin içine girerek Advanced Setup kısmından Forwarding Mode bölümünde Default olarak görüldüğü üzere Remote Forwarding yazmaktadır.

Remote forwarding yazan kısım aşağıdaki gibi local forwarding olarak değiştirilmelidir.

Local Forwarding Vlan yazan kısma ise Vlan ID yazıyoruz bu ne anlama geliyor yani bağlı bulunduğu vlan anlamına gelmektedir.

Durum böyle iken yazıcıdan çıktı alma işlemi görüldüğü üzere local içeresinde merkeze uğramadan devam etmektedir. Olması gereken de budur. Farklı yapılarda farklı senaryolar uygulanması mümkündür. Access point ortamda bulunan DHCP sunucu üzerinden ip dağıtmakta olup merkeze sadece yönetim ve authentication için bağlıdır.

Makalemizin sonuna gelmiş bulunmaktayız umarım yararlı olmuştur.

Cyberoam UTM cihazı üzerinde İpsec Vpn, SSL vpn, L2tp Cisco Vpn Client çeşitlerini anlatmaya çalışacağım öncelikle VPN kelimesinin açılımına bakacak olursak Virtual Private Network şeklindedir. Özel Sanal network olarakta bilinir. Amaç olarak uzak networklerin birbiri ile haberleşmesi için kullanılır.

Öncelikle İpsec Vpn ile başlayalım;

İpsec vpn en az iki veya daha fazla cihaz arasında yapılmaktadır. Genelde site to site olarak bilinir buda device to device anlamına gelir. Bu kısımda size device to device olan kısmını anlatacağım yani iki cihaz arasında VPN yapıp cihaz arkasındaki clientlar’ın birbirleri ile haberleşmesini sağlayacağız.

Cyberoam cihazında olduğu gibi tüm cihazlarda İpsec VPN’ in çalışma felsefesi aynıdır.

Cyberoam cihazında İpsec vpn yapmak için herhangi bir lisansa sahip olmanıza gerek yoktur.

VPN ile ulaşılacak olan networkün cyberoam üzerinde route yazılı olmaması gerekmektedir.

VPN yapılandırmasına başlayabiliriz…

Cyberoam cihazının ara yüzüne bağlanarak VPN Menüsünün alt kısmında bulunan İpsec sekmesine tıklıyoruz. Karşımıza aşağıdaki gibi ekran gelmektedir.

Wizard butonuna basarak devam ediyoruz.

Öncelikle VPN için bir isim veriyoruz gerekirse açıklamada yazabiliriz.

Start diyerek devam ediyoruz.

Yukarıda policy olarak ben Default seçiyorum action olarak Respond Only seçiyoruz.

Yukarıda bizden Preshared Key istemektedir burası güvenlik sebebi ile karşılıklı olarak aynı şifreler yazılması gerekmektedir. Next diyerek devam ediyoruz

Yukardaki ekranda bize VPN yapılacak olan merkezin WAN yani internet ip adresini sormaktadır hemen altında bulunan Local subnet de vpn üzerinden gelen trafiğin hangi network ile haberleşmesi gerekiyorsa o networku tanımlıyoruz. Güvenlik amaçlı olarak alt kısımda bulunan local ID yazan kısmı konfigüre edilse de olur edilmese Next diyerek devam ediyoruz.

Yukardaki ekranda vpn için bize gelecek olan ip adresi sorulmakta ben şimdilik * yaparak nereden gelirse gelsin kabul edilecek şeklinde yapıyorum hemen altında bulunan Romote Subnet ise bize trafiğin hangi network üzerinden geleceğini sormaktadır. Next diyerek devam ediyoruz.

Yukarıdaki ekranda User Authentication yapıp yapmayacağımızı sormaktadır bu kısmı Disabled olarak seçerek devam ediyoruz.

Next diyerek devam ediyoruz.

Aşağıda görüldüğü üzere yaptığımız yapılandırmaların özetini göstermekte Finish diyerek devam ediyoruz.

Finish dedikten sonra ipsec vpn menüsü aşağıdaki gibidir vpn yapılandırması yapıldı görüldüğü üzere type olarak remote access görünmekte biz bunu site to site olarak değiştirelim.

Yapılandırmayı aşağıdaki gibi değişiyoruz.

Remote yazan kısma vpn yapılacak olan yerin WAN ip adresi yazılması iyi olacaktır ya da * şeklinde kalabilir.

Active yazan kısmından VPN bağlantımızı başlatıyoruz. Connection görüldüğü üzere kırmız olarak bağlanmadığını göstermekte sebebi bağlanılacak olan cihazın vpn yapılandırmasının yapılmamasıdır.

Diğer cihazıma geçiyoruz.

Start diyerek devam ediyoruz.

Yukarıda Policy yazan kısma DefaultBranchOffice olarak seçiyoruz. Action tipi yine Respond Only şeklinde olmalıdır.

Preshared Key yazan kısma diğer cihaz üzerine yazmış olduğumuz şifrenin aynısını buraya da yazıyoruz.

Next diyerek devam ediyoruz.

Yukarıda vpn trafiğinin hangi WAN bağlantısı üzerinden çalışacağını seçiyoruz daha sonra trafik hangi local network ile haberleşecek onu seçiyoruz.

Bu kısımda remote VPN Server yazan kısma bağlanacak oldu Site’n ip adresi yazılmalıdır

Remote subnet yazan kısma karşı taraftaki bağlanacak olan local network yazılır

Aşağıdaki ekranda User Authentication kullanıp kullanmayacağımızı sormakta bu kısma Disabled diyerek geçiyoruz.

Next diyerek devam ediyoruz.

Aşağıdaki ekranda yapılan yapılandırmanın özeti verilmekte finish diyerek kurulumu tamamlıyoruz.

Kurulum tamamlandıktan sonra aşağıdaki ekrandaki gibi VPN yapılacak olan ip adresi yazılmalıdır connetion type olarakta site to site seçilmelidir.

Bu işlemler sonunda vpn bağlantısının sağlandığı gördük

Bağlantı sağlandıktan sonra firewall kısmında kural yazılması gerekmektedir.

VPN-TO-LAN kural ekranı aşağıdaki gibi olup network host kısmını ben any olarak seçtim sizler ilgili networkleri yazabilirsiniz.

LAN-TO-VPN kural ekranı aşağıdaki gibi olup network host kısmını ben any olarak seçtim sizler ilgili networkleri yazabilirsiniz.

Yazmış olduğumuz kuralların aynısı diğer cihazımda da yazmamız gerekmektedir. Gereken kurallar yazıldıktan sonra client tarafında herhangi bir işlem yapmadan artık 2 lokasyon bir biri ile haberleşeceklerdir.

SSL VPN

Cyberoam da SSL vpn yapmak için lisansa ihtiyaç yoktur cihazın ücretsiz sağlamış olduğu bir servistir.

Cyberoam cihazında SSL vpn portu Default olarak 8443 olarak gelmektedir bunu dilediğiniz gibi değiştirebilirsiniz.

Ekran görüntüsü aşağıdaki gibidir.

SSL vpn ekranına aşağıdaki menüleri takip ederek ulaşabilirsiniz.

Konfigürasyon ekranı aşağıdaki gibidir

Protokol olarak TCP seçilmelidir SSL sunucu Certificate olarak Appliance Certificate olarak seçilmelidir.

SSL Client Certificate olarakta yine Appliance Certificate olarak seçilmelidir.

İp Lease Range yazan kısma SSL vpn ile bağlanan kullanıcıların alacakları ip aralığını belirtmektedir.

Subnet Mask yazan kısma ise kullanıcıların alacakları subnet seçilmelidir.

Primary DNS ve Secondary DNS yazan kısımda bağlanacak olan kullanıcıların alacakları DNS adresleri yazılmalıdır.

Web Access kısmı Default olarak aşağıdaki gibidir.

SSL VPN yapılandırmasının önemli yerlerden biriside Policy kısmıdır yeni bir policy yazacağız.

Add dedikten sonra karşımıza aşağıdaki gibi ekran gelmektedir bu ekranda policy yazıyor olacağız

Öncelikle isim veriyoruz daha sonra kullanacak olduğumuz modu seçiyoruz ben bu kısımda Tunnel Access kullanacağım; Tunnel Access de kendi içerisin de Split tunnel ve Full Tunnel olmak üzere ikiye ayrılır.

Vpn den gelen trafik ile sadece belirli ip veya ip adreslerine erişeceğim için Split Tunnel olarak kullanacağım eğer internete de vpn yaptığım bölgeden çıkmak istersem full tunnel kullanmak zorundayım.

Son adım olarak Portal bölümü kaldı bu bölümden VPN kullanıcıları cihaza bağlanıp yapılandırma dosyasını almak istedikleri zaman karşılarına gelecek olan ekran tasarısı bulunmaktadır.

SSL VPN’ nin cihaz tarafında ki yapılandırması bu kadar şimdi ise SSL vpn yapacak olan kullanıcıya yetki verelim.

Yukarıda görüldüğü üzere policy kısmından Add Policy Members diyerek kullanıcı seçelim.

Görüldüğü üzere bazı kullanıcılarda VPN açık ve bazılarında kapalı durumdadır dilediğiniz kullanıcıyı bu kısımdan ekleyerek vpn yetkisi vermeniz mümkündür.

Sırada bilgisayarımıza SSL-VPN client yazılımı kurmak kaldı.

http://download.cyberoam.com/solution/optionals/i18n/CrSSL_v1.3.0.9.exe

Yukarıdaki link kullanarak bu doysa indirile bilir.

İndirilen dosya açıldığı zaman karşımıza setup ekranı gelecektir Install diyerek devam ediyoruz.

Kurulum tamamlandıktan sonra ekranın sağ alt köşesinde kurduğumuz client yazılımının geldiğini görüyoruz.

Sırada VPN portal sayfasına bağlanıp vpn için yapılmış olan yapılandırmayı indirip kurmuş olduğumuz yazılıma import edeceğiz.

Web tarayıcısına şeklinde yazarak portala bağlanıyoruz local ip kısmına public ip adresinizi de yazabilirsiniz.

Karşımıza yukarıdaki gibi ekran gelmektedir bu kısma vpn yetkisi vermiş olduğumuz kullanıcının kullanıcı adı ve şifresini yazarak Login oluyoruz.

Bu kısımda Windows için yapılandırma dosyasını indireceğiz.

Dosyamızı indirdik artık portla ile işimiz kalmadı.

İndirmiş olduğumuz dosyayı vpn client yazılımına import edeceğiz. Aşağıdaki ekranda İmport Configuration menüsüne tıklıyoruz.

Daha sonra indirdiğimiz winrar dosyasını winrardan çıkarmadan hedef olarak gösterip import diyoruz.

Yükleme işleminden sonra import işleminin başarılı olduğuna dair onay mesajı gelmektedir.

Artık aşağıdaki ekranda görüldüğü üzere kullanıcı adımızı ve şifremizi yazarak bağlantı yapabiliriz.

Son olarak cyberoam cihazı üzerinden bağlanan kullanıcıyı görüntülüyoruz.

L2TP VPN

L2TP vpn yapılandırma ekranı aşağıdaki gibidir. Öncelikle servis Enable edilir bağlanan kullanıcıların hangi ip adresi alacaklarını belirliyoruz.

Hemen alt kısımda bulunan DNS seçeneklerini seçiyoruz bu kısımda vpn yapacak olan kullanıcın hangi dns adresini alacağı belirtilmektedir. Apply diyerek uyguluyoruz

Bu kısımdan sonra vpn yapacak olan kullanıcı add Member yazan kısımdan eklenir. Aşağıdaki ekranda kullanıcılar eklenebilir.

Cisco VPN Client

Bu kısımda Cisco Vpn Client yapılandırmasına bakacağız bu kısımda daha çok İphone telefon ile VPN yaparken kullanılmaktır.

*Yukarıda öncelikle VPN servisini Enable ediyoruz.

*Daha sonra hangi wan bağlantısı kullanacağımızı seçiyoruz.

*Daha sonra güvenlik amaçlı key yazıyoruz.

*Daha sonra vpn yapılacak olan kullanıcı seçilir.

*İsim vererek bağlanacak olan kullanıcıların hangi ip adresini alacakları yapılandırılır.

*Daha sonrada alacakları dns adresi belirlenir.

Cyberoam cihazında yapacak pek bir şey kalmıyor artık client tarafına geçiyoruz.

Mobile taradın da cyberoam cihazının ip adresini yazarak cyberoam ara yüzüne giriyoruz.

Açılan ekranda öncelikle My Account seçiyoruz

Daha sonra vpn yapacak olan kullanıcın kullanıcı adı ve şifresini yazarak login diyoruz.

Karşımıza aşağıdaki gibi ekran gelmektedir.

Aşağıdaki ekranda görünün menüleri takip ediyoruz.

Ekranda görüldüğü üzere Install diyerek devam ediyoruz.

Daha sonra bize cihaza Install etmemizi istemekte.

Install dedikten sonra artık telefonumuza vpn ayarları yapılıyor bu ayarları telefon üzerindeki vpn sekmesinin altında görebiliriz.

Bu makalemizde cyberoam cihazında kullanılan VPN çeşitlerini anlattık bunlar İpsec vpn, SSL vpn, P2TP Vpn, Cisco VPN Client şeklindedir umarım yararlı olmuştur .

Firewall (Ateş Duvarı) olarak anılan network cihazları temel olarak çalışmakta oldukları OSI katmanına göre bir kaynaktan bir hedefe yapılan bağlantıları limitleme yapan sistemlerdir. Gerçek hayatta örnek vermek gerekirse trafik polisleri en iyi örnek olacaktır, fakat Firewall sistemleride yıllar içinde kendilerini güncellemiştir. En baz sistemler stateless olarak geçen firewallardır, güncell ve kullanımda olanlar is stateful firewall sistemleridir, bunun bir üstü ise application bazlı firewall sistemleridir.

RESIM 1 (Firewall Stateless)

Resim 1 de görülen polis memuru stateless olarak tanımlanan firewall sistemlerine en iyi örnektir, amacı sadece trafiği düzenlemektir ve hiçbir şekilde trafik içindeki araçlar ile uğraşmaz. Bu memur için trafiğin durumu, yoğunluğu, araçların tipi, rengi yada kapasitesi herhangi bir önem taşımaz onun için öneli olan trafiğe yön vermek ve durdurulması gereken şeritleri durdurmaktır gerisi ile ilgilenmez. Firewall kuralı olarak tabir edildiğinde "x" kaynağından gelen "y" hedefine giden şeklinde bir tarifin kesilmesi yada izin verilmesi durumu söz konusudur. Basitce "192.168.1.10" IP adresinden "33.33.33.33" IP adresine giden herhangi bir durumdaki paket şeklinde tabir edilebilir, aynı firewall tipi PORT bazında çalışma yapabilse de aslında portun içeriğini kontrol edemez. Bu firewall sistemleri günümüzde kullanışsız ve ihtiyaçları kesinlikle karşılamayan bir yapıdır fakat bir çok basit modem üzerinde ev kullanıcısı ihtiyaçlarını karşılamak için kullanılır.

RESIM 2 (SPI Firewall Stateful)

Resim 2 de görülen Polis memuru stateful sistemine örnek verilebilir. Bu memur tipi bir aracın "x" noktasından "y" noktasına gidişinde aracın her bilgisi ile kendisine verilen emir düzeyinde ilgilenir. Örnek olarak vermek gerekirse Ankara'dan Afyon'a gitmekte olan araçlarda 06VHS** plakalı araç kontrol edilmeli kontrol zamanında aynı yolu kullanacak olan Cumhurbaşkanına ise transit yol açılmalıdır gibi bir işlem yapabilir. Çalışma katman aralığına göre MAC adresi yada IP adresleri trafiğin yönüne göre hedef yada kaynak olarak verilebilir. Kural olarak örnek vermek gerekirse "00-50-56-C0-00-08" MAC adresi dışında kalan "33.33.33.33" IP adresine "HTTP" servisi kullanarak yeni bağlantı isteklerine 12:00 - 13:00 arasında izin ver fakat içerikte "silah" kelimesi geçerse izin verme şeklinde bir kural tanımlanabilir. Bunu uygun örnek vermek gerekirse "00-50-56-C0-00-08" MAC adresi Cumhurbaşkanını temsil eder ve hangi araçta olduğu fark etmez, eğer araçta Cumhurbaşkanı var ise koşulsuz geçiş hakkına sahiptir, "33.33.33.33" ise Afyon Karahisar ilimizdir yani hedeftir ve özel olarak Ankara, Afyon arası yol için tanımlanmış bir kuraldır diğer şehir bağlantılarını kapsamaz, "HTTP" ise karayolunu tabir eder yani bu yolculuk karayolundan yapılıyor ise bu kural geçerlidir ve uçak ile seyahat eden insanları etkilemez ayrıca vermiş olduğumuz 12:00 - 13:00 zaman aralığı ile bu zaman aralığını kapsayacak şekilde ayarlama yapmışızdır. " yeni bağlantı" kelimesi de önemli bir kıstastır ve stateful firewall sisteminin önemli özelliklerindendir, bu kelime anlam olarak şunu tabir eder araç bu saatlerin dışında karayoluna giriş yapmış ise bu aracı takip etme aynı şey bu saatler dışında giriş yapmış tüm araçları durdur olarak da tabir edilebilir ve son olarak "silah" kelimesi ise bu seyahat halindeki araçların içinde her ne durumda olursa olsun silah bulunuyorsa kesinlikle durdur demektir. SPI Firewall sistemleri oldukça yetenekli cihazlardır ve düşük donanım ihtiyacı nedeni ile oldukça uygun maliyetlere sahiptirler ve çok düşük donanımlarda çok yüksek kullanıcı sayısını ve bağlantıyı destekleyebilirler.

RESIM 3 ( UTM )

Resim 3 de görülen polis memuru ise UTM (Unified Threat Management / Birleşik Tehdit Yönetimi) sistemlerine iyi bir örnektir. UTM sistemleri adından anlaşılacağı gibi birçok özelliği kendi içinde birleştirmiş toplam çözümler sunmaya çalışan yapılardır. İçinde barındırdığı SPI Firewall sistemleri ile paketin tüm geçiş şartlarını sağlaması durumunda AntiVirüs/AntiSpam/IPS/IDS sistemlerince handle edilir yani işlenir, içerikte risk içeren durum var ise bunu gideceği yere teslim etmez ve bağlantıyı keser yada içeriği değiştirerek zararlı kısmı alarak paketi teslim eder bu tamamen sistem yöneticisinin yazdığı kurallar ve iletişim sistemi ile alakalıdır. Örnek olarak Mail bağlantısında SPAM içeriği olan bir mail işleme sokularak başlık kısmı değiştirilerek kullanıcıya teslim edilebilirken bu HTTP üzerinden download edilen bir dosya için geçerli değildir, bunun nedeni dosyada ki zararlı kısımlar silindiğinde dosya bütünlüğünün bozulacağıdır. Bir diğer örnek ise; IPS sistemi WEB Sunucunuzu ziyaret eden bir kullanıcının istemli yada istemsiz olarak yaptığı saldırı olarak değerlendirilebilecek bir durumda sitenin tamamı kullanıcıya kapatabilir basitçe eski tip bir explorer kullanması ve TLS yerine SSL V* kullanması bile buna örnek gösterilebilir. UTM cihazları üzerinde çalıştırdıkları servislerin ihtiyaç duyduğu yüksek işlemci gücü, ön ve kalıcı hafıza ihtiyaçları nedeni ile donanım maliyetleri yüksektir ayrıca hizmete sunulan her servis sürekli geliştirilmekte olan bir databases sisteminden güncelleme gerektirir buda üretici firma için maliyettir ve genelde lisans bedelleri olarak son kullanıcıya yansıtılır ve bunlarda ciddi ücretlerdir, güncellenmeyen bir sistem ise sadece SPI Firewall özellikleri ile genel olarak devam edebilir elbette üretici firma kendisine özel cihazın lisansız çalışmasını durdurabilecek bir yapıda kurmuş olabilir.

Hangi firewall tipinde olursa olsun sistem iki yolla yürümektedir, birinci yöntem Firewall ve SPI Firewall sistemlerinde ki yapıdır ve paketin uygun şartları sağlaması durumunda kabulüdür buda WEB sunucunuza normal yollarla HTTP isteği yapan kullanıcıların sunucuya erişimine izin verileceği anlamı taşır. Saldırgan bunu sunucunuzu overflow (taşma / hizmet verememe) durumuna sokması için kullanabilir. Basitçe bir inbound NAPT (network adress port translation / virtual server / NAT) yaptım ve cihazımın WAN tarafında bulunan X Public IP adresine gelen ve hedefi 80 ( HTTP ) portu olan istekleri yerel ağımda ki Y IP sine forvarding (Source IP Adresi değiştirilmeden) ile iletmesini istedim, sonuçta ana kıstasım http://x:80 isteği yapan kullanıcının http://y:80 ulaştırılması ve herhangi bir ek kıstasım yok ve gelen istekler aynı anda sunucuya iletilir buda sorunsuz olması gereken bir kısım fakat aynı anda bir milyon istek gelirse hizmeti veren WEB Sunucu (örnek Apache/IIS/LightHTTP) doğal olarak overflov olacaktır. Yazılımsal olarak overflow olmasa bile donanımsal olarak sunucu cevap veremez duruma da getirilebilir, tamamen bu iş için ayırdığımız donanım kıstasına bağlıdır. UTM tarafında bu iş daha farklı yürüyecektir, UTM bu paketi öncelikle kabul edecek sonra servislerden geçirecektir ve uygunsa sunucuya iletecektir normal bir istek şeklinde ise iletimde sorun olmaz bu SPI Firewall sistemindeki sunucuya iletilir ve sunucunun yazılımsal yada donanımsal olarak overflow olmasına neden olur, eğer yapılan bu işlem IPS tarafındaki bir imza ile uyuşursa UTM bu isteği sunucuya iletmeden kesecektir, tabi bu durumda şuda olayda geçerlidir UTM donanım ve yazılımı bu kadar yoğun isteği kaldırabilir olmalıdır ki buda maliyettir.

Hem Firewall hemde UTM cihazlarında doğal olarak DDOS atakları için korumalar var ve anlık paket sayım mekanizması ile eşik değeri aşıldığında trafiği kesebiliyor. Düşük işlemcili cihazlar bunu genel, yüksek işlemcili cihazlar ise bunu kaynak adresi yada hedef bazında ayırarak yapabiliyor bu sayede belli bir zaman aralığında belli bir paket sayısına ulaşıldığında trafik sunucuya gönderilmeyerek sunucunun overflow olması önlenebiliyor. Her iki durumda da cihaz paketleri handle ettiği için donanım kaynağı ve donanımı süren yazılımın bu işi yapabilecek kapasitede olması gerekiyor. Ayrıca atak yapan insanlar yada yazdıkları programlar hiç de aptal değiller ve DDOS mekanizmalarını atlatabilmek için threshold (eşik) değerini test ediyorlar, DDOS sistemlerinde bir black list olmadığı için eşşik değerindeki paket sayısı aşılmadığı sürecede bu isteklere çevap veriyorlar.

Şuana kadar bahsettiğimiz sistemlerde istekleri ya izin veriyor yada direk kesiyor yada UTM servisleri ile kontrol edip duruma göre işlem yapıyorduk yada DDOS tarafında eşik değerleri ile ayarlama yaparak sistemlerimizi korumaya çalışıyorduk, fakat hepsinde ana sorun paketlerin sisteme kabul edilmesi, işlenmesi ve bu nedenle sürekli olarak donanım ihtiyacının artması idi. Donanım ihtiyacının artması ise doru orantılı olarak maliyeti arttıracaktır ayrıca DDOS sistemleri çok güçlü bir donanım ve bunu idare edebilecek bir yazılım sisteminde çalışmıyorsa kendisi başlı başına bir sorun haline geliyor çünkü hizmeti komple kesiyor, kaynak bazlı çalışanlar dahi kaynaklar geographic (coğrafi / ülkesel) ya da IP aralığına özel ayarlandığı için hizmete atak tekbir IP adresinden gelsede içinde bulunduğu IP aralığının hepsi yada bulunduğu ülkenin hepsine kesiliyor ve verilmek istenen servis ya verilemiyor yada servis kalitesi etkileniyor. Bu durumda bize servis kalitesini hep en üst seviyede tutacak ayrıca sürekliliğini etkilemeyecek bir yapı lazım. Servis sürekliliği için öncelikle paketleri güvenlik cihazlarının servislerin haricinde işlemeye başlamalıyız bu nedenle eşik değerimiz aşıldığında bu paketler DDOS sistemine sürekli olarak gönderilmemelidir ki servisin count sayısı düşsün ve hizmeti tekrar aktifleştirsin, ayrıca bir IP adresinden dolayı bir IP bloku / Bir IP aralığı / Bir ülkenin tüm bağlantısı kesilerek servis sürekliliği etkilenmesin. Bazı yeni sistemler DDOS yapısından bağımsız özel bir eşik değerine sahip oluyorlar ve bu eşik değerinin aşıldığı durumlarda gönderici adresinin paketleri direk olarak drop ediliyor bu şekilde hiçbir servis gereksiz yere meşgul olmuyor ayrıca bu sistem /32 yani host bazında yapıldığı ve host bazında bir black list (kara liste) tutulduğu için bir IP bloku / Bir IP aralığı / Bir ülkenin etkilenmesinin önüne geçiliyor ve genel olarak sistem black list olarak adlandırılıyor.

RESIM 4 (Threshold Based SPI Firewall Stateful)

Resim 4 yapılan işlem suçlunun tutuklanmasıdır bu resim konumuz olan black list sistemini iyi bir şekilde açıklamaktadır çünkü tutuklama bir soyutlama işlemidir ki Black list sistemide tam olarak bunu yapmaktadır ve atak yapan IP adresini tamamen soyutlamaktadır ve bu şekilde düşük uygun donanımla oldukça yüksek trafiklere cevap verebilen uygun maliyetli bir yapı kurmak olası olmaktadır. DrayTek gibi uygun maliyetli ve uygun donanımlı SPI Firewall sistemleri artık standart DDOS ve SPI Firewall sisteminin yanında Firewall sistemlerini Threshold bazlı yapılara çevirmektedir. Bu yapılar Firewall kurallarına entegre çalıştığı için is kara liste sistemi içerden dışarı yada dışarıdan içeri MAC/IP/IP Aralığı / IP Bloku / Ülke / Kullanıcı Adı na göre özelleştirilebilir, kapsar şekilde ayarlanabilir ayrıca bu kapsama içinde sadece işlemi yapan kullanıcının etkilenmesi sağlanabilir. Bu sistemler sayesinde servis sürekliliği ve servis kalitesi sürekliliği sağlanabilir.

RESIM 5

Resim 5 yapılan işlem DrayTek 3900 modelinde örnek bir Black List uygulanmış Firewall kuralıdır. Bu kuralın yaptığı işlem; Öncelikli olarak Action olarak herhangi bir drop işlemi uygulamaz ve default olarak bağlantıya izin verir, Limit Packets değerinde belirtildiği üzere bağlantı limiti 10001 değerine ulaştığında eğer Limit Penalty aktif değilse önceki bağlantılar sonlana kadar yeni bağlantıya izin vermez fakat seçili ise 10001 adet bağlantıyı oluşturan IP adresini Black Liste atar ve Block Time kısmında belirtilen süre boyunca ondan gelen tüm paketleri herhangi bir kurala ya da sisteme iletmeden direk olarak drop eder ki drop etmek önemlidir çünkü karşı tarafada bir bildirim yapmaz bu şekilde cihaz bant genişliğinide kullanmaz ki paketi BLOCK yada DROP edebilme özelliği SPI Firewall özelliğidir. Limit Mode kısmı ise bu limitlemenin herkes için mi yoksa sadece bir kişi içinmi olacağını bildirir eğer share seçilirse bu kural WAN1 den herhangi bir LAN üstündeki IP gidişlerdeki her kaynağı bloklar, eğer Each seçilirse sistem sadece 10001 adet bağlantı yapan kaynağı durduracaktır. Ayrıca bu kuralın bir özelliğide cihazın SPI Firewall içermesinden dolayı sadece yeni bağlantılara bunu uygulayacak olmasıdır yani ESTABLISHED yada RELATED bağlantılara müdahale etmez. İstenilirse bu kural Object bölümünden MAC Adresi (sadece lan to wan) /IP Adresi / IP bloku / Bir IP aralığı / Ülkesel / Servis tipi / Kullanıcı Adı / Zaman Aralığı şeklin dede özelleştirilebilir. Sistem SPI Firewall olduğu için eğer Firewall object kısmında Advanced Setting kısmında "Clear Session When Secheduler on" seçilirse ve bu kurala zaman aralığı uygulanırsa aktif olmadığı süredeki bağlantıları otomatik olarak temizler ve tüm istemcileri yeni bağlantıya zorlar. Bu sistem hacker guruplarının yapacağı ataklarda şaşırtma olarakta kullanılabilir; yapılması gereken farklı Limit Packet değerlerinde ki kuralların farklı zamanlarda çalıştırılarak bu zaman aralıklarında saldırı yapanların kara listeye alınması ve uzun vade bu kısımda tutulması ayrıca bu taktikle atak yapan ve threshold değerlerimizi öğrenmeye çalışan hacker larıda şaşırtabiliriz. Ciddi alamda uğraşılan bir sistem var ise bu durumda işi ülkesel olarak özelleştirip sürekli hizmet verdiğimiz ülkelere daha esnek limitler tanımlayarak geri kalanına daha ağır kurallar uygulayabilir bu şekilde asıl hedef kitlemize sunduğumuz hizmetlerimizin etkilenmesini de önleriz bu şekilde hizmet kalitemizi sürekli sabit tutabiliriz.

Tüm bu bilginin ardından görülen şudur ki artık SPI Firewall sistemleri de ek güvelik önlemleri olmada sistemlerimizi koruyamaz duruma gelmektedir.

ERTAN ERBEK - Üretim Proje ve ARGE Müdürü – Simet Teknoloji

RUIJIE Network, Türkiye pazarına yeni girmeye çalışan ve adını yavaş yavaş duymaya başlayacağımız bir ürün. Bir etkinlikte karşılaşınca merak edip biraz araştırdım ve Network konusunda çok eski oldukları, bu alanda birçok patente de sahip olduklarını görünce açıkcası şaşırdım. Etkinlikte incelemek için bir demo ürün istemiştim ve ürünler elime ulaşınca deneyimlerimi sizinlede paylaşmaya karar verdim.

Demo için gelen ürünler, 1 adet WS6008 controller ve 2 adet AP 520 kablosuz ağ datıcısıydı. Ürünlerin teknik özelliklerine üreticinin web sayfasından da ulaşabileceğiniz için doğrudan kurulum adımlarına başlıyorum.

Ürünleri hem CLI hemde Web arayüzünü kullanarak konfigurasyon yapabiliyorsunuz. Komut satırlarını her ne kadar Cisco cihazına benzetsemde ben sadece Web arabirimine bağlanabilmek için aşğıdaki komutları konsol arayüzünü kullanarak çalıştırıyorum

configure terminal
enable service web-server
vlan 1
interface vlan 1
ip address 10.10.30.5 255.255.255.0
exit
webmaster level 0 username admin password admin
ip route 0.0.0.0 0.0.0.0 10.10.30.1

Sonrasında internet tarayıcısı kullanarak controller’a bağlanıyorum ve ilk aşama olarak saat tarih ve dns ayarlarını yapıyorum.

Sonra cihazın versiyonun öğrenerek eğer yeni bir versiyon var ise update işlemi yapıyoruz. Controller üzerinde bulunan WebCLi menüsünü ayrıca sevdim.

Güncel firmware dosyasını http://ruijienetworks.com/service/download.aspx sayfasından indiriyoruz ve System – Upgrade – Local Upgarade menüsünden güncelleştirme işlemini tamamlıyoruz.

Bundan sonraki aşamalar her firmanın topolojisine göre değişiklik gösterebilir. Size fikir verebilmesi için benim network topolojim şekildeki gibidir.

Topolojide yer alan networkleri AC üzerinde tanımlamak için Advanced – Vlan menüsüne girerek oluşturuyoruz.

Varsayılan olarak Access port olarak gelen portumuzu, Vlan tanımlama sonrası Trunk Port olarak değiştiriyoruz.

Ortamımızı hazırladığımıza göre Quick Settings linkine tıklıyoruz ve Topolojimize uygun sihirbazın çalışmasını sağlıyoruz.

CAPWAP için bir tünel IP adresi ve kullanılacak VLAN ID ‘sini seçiyoruz. AP konfigurasyonları için kullanılacak VLAN numarasını yazıyoruz. Bizim topolojimizde bu VLAN 60. Eğer ortamda bir DHCP sunucunuz mevcut ise bu DHCP ayarını yapmadan geçebilirsiniz. Bu adımı ben atlıyorum.

Yayın yapacak olan Wlan detaylarını giriyoruz.

Bu Wlan için kullanılacak Vlan bilgisini giriyoruz, DHCP kısmını yine boş bırakıyorum ve Finish ile konfigurasyonu bitiriyorum.

Bu adımdan sonra Telnet ile AP ‘lerimize bağlanıyoruz ve Tunnel IP adresine ulaşabilecek route bilgisini giriyoruz.

Varsayılan olarak Telnet şifresi : ruijie, Enable şifresi apdebug ‘dır.

DHCP sunucum üzerinde Option 138 seçeneğini bu scope için yayınlamaya başlıyorum.

Bu adımdan sonra AP menüsü altında artık cihazlarımıza ulaşabileceğiz.

Artık diğer VLAN ‘larımız için Wlan yapabiliriz. Wifi / Wlan menüsü üzerinde artı tuşuna basarak işlemlerimize başlıyoruz.

Wlan için isim ve Şifre belirliyoruz. Eğer istersek Advanced menüsünden, bu AP ‘e bağlanacak kişi sayısı, yayın yapma saatleri gibi ayarları değiştirebiliriz.

Vlan bilgimizi girerek Finish ile işlemlerimizi bitiriyoruz.

Artık wirelesslerimize bilgisayar yardımıyla bağlanabiliriz.

Access Pointlerimize bağlanan kullanıcıları ve oluşan trafik ile ilgili kısa bilgiler artık giriş ekranımıza akmaya başlayacaktır.

Eğer kullanıcı başına oluşan trafiği görmek istersek Detail menüsüne tıklamak yeterlidir.

History menüsünden ise Saatlik olarak geçmişe yönelik kayıtlara ulaşabiliriz.

Controller security menüsünde Blacklist – Whilelist, Access Listler gibi çeşitli güvenlik özelliklerini aktif edebiliyoruz.

Network ortamını izleyerek olası problemleri WIS sunucularına aktaran modülü Optimization menüsünden aktif edebilirsiniz.

Elimden geldiğince sizlere Ruijie Network AP ve AC ürünlerini tanıttım. Cihazların kullanımı basit ve kullanışlı. Fakat ürünleri henüz bir haftadır test ettiğim için, eğer performanslarını merak ediyorsanız yorum kısmından sorularınızı lütfen belirtiniz.

Faydalı olması dileğimle.

Bu sıralar doğru tercih yapabilmek adına yoğun olarak Access Point ürünleri üzerinde demolar yapıyorum. Şubat ayı konuğumuz ise Ruckus Unleashed Serisi kablosuz ağ dağıtıcıları oldu. Kablosuz ağ pazarında önemli bir paya sahip Ruckus, geçen yılki Brocade birleşmesinden dolayı adını şüphesiz biraz daha söz ettirir hale geldi.

Biz bu yazımızda Ruckus’un controller gerektirmeden merkezi olarak yönetilebilen Unleashed serisinden R500 ürününü inceleyeceğiz. Eğer yapınız, maksimum 25 Access Point ve 512 kullanıcıyla sınırlıysa, bu ürün ailesinden ilk dağıtıcı, tıpkı bir controller gibi çalışarak kablosuz ağınızı merkezi olarak yönetmenize imkan sağlamaktadır. Bu sayede controller için bütçe ayırmadan, kablosuz ağ dağıtımının yanında, kullanıcı erişim denetimleri, misafir ağı ve hotspot uygulamaları, Port ve Uygulama denetimi gibi bir çok özelliği kullanabiliriz.

Ürünü çalıştırdığımızda kablosuz ağ adlarından “Configure.Me” olanı seçerek bağlanıyoruz.

İnternet tarayıcımıza https://192.168.101.1 yazarak konfigurasyon sayfamızı açıyoruz ve “Create New Unleashed Network” seçeneğiniz seçiyoruz.

Master rolünün yüklenmesi için biraz bekliyoruz.

Kablosuz ağ domaini için isim ve lokasyon bilgisini giriyoruz.

IP yapılandırılmasını yapıyoruz.

Dağıtım yapılacak ilk Wireless Ağını burada oluşturuyoruz. Yazımızın devamında farklı Wlan oluşturmayı göreceğiz.

Admin hesabı için kullanıcı adı ve şifre belirliyoruz.

Özet bilgilere kısaca bir göz atıp Finish butonuna basarak işlemi başlatıyoruz.

Kurulum işleminin bitmesi için ortalama beş dakika bekliyoruz.

Kurulum sonrası kullanıcı adı ve şifre ile portala bağlanabiliriz.

Son derece sade ve kullanışlı bir karşılama ekranı bize sunuluyor. Menuleri sırasıyla incelemeye başlayalım.

Wifi-Networks menüsünde yayında olan kablosuz ağlarımızın detayına ulaşıyoruz.

Eğer yeni bir Wlan oluşturmak istersek Create butonuna basmamız yeterli. Sonrasın sihirbaz bize gerekli adımları sunmaktadır.

Clients menüsü, Access Pointlerimize bağlı olan kullanıcılar hakkında bize bilgi vermektedir. Eğer istersek buradan kullanıcıları yasaklayabiliriz.

Details butonuna tıkladığımızda ise kullanıcı hakkında daha ayrıntılı bilgilere ulaşabiliriz.

Access Point menüsünde ise kullanımda olan dağıtıcılar hakkında detaylı bilgiye ulaşabilirsiniz.

İlgil Access Point üzerinde çift tıklarsanız, cihaz üzerindeki ayarlara ulaşabilirsiniz.

Admin Services menüsü ise son derece kapsamlı ayarları bünyesinde barındırmaktadır. Bunlardan benim dikkatimi çekenlerden kısaca bahsedersek, Access Control menüsü Layer2 – Layer 3 seviyesinde erişim kısıtlamaları yapmamızı sağlıyor.

Applicaton Control menüsü, Access Pointler üzerinden geçen uygulamaların ve portların detayını belirtmektedir. Burada da bazı kısıtlamalar, allow ve deny listler uygulayabiliyoruz. Ne gerek var zaten firewall ve Switchler üzerinde bu kısıtları yapıyoruz diyebilirsiniz ama henüz havada bu kısıtları yapabilmek daha güzel J

Trafiğe bakılırsa sanırım kullanıcılarımızdan bazıları BMW almaya niyetleniyor :p

WPS menüsünde kablosuz ağları hedefleyen kötü niyetli uygulama veya kişilere yönelik basit IDS – IPS özelliklerini aktif edebiliyoruz.

AAA menüsünde ise kimlik doğrulama hizmetini entegre edebiliyoruz. Active Directory özelliğinin olması son derece güzel.

Ruckus Unleashed kurulum ve konfigurasyonu temel olarak bunları içeriyor. Hotspot – Guest Network ve Active Directory entegrasyonu ile kablosuz ağa bağlanma konularını içeren bir sonraki makalemizde görüşmek üzere.

Faydalı olması dileğimle....

AĞ, iki yada daha çok cihazın/nesnenin iletişim halinde olduğu yapılara verilen genel bir isimdir. AĞ içerisinde iletişimde bulunan cihazlar bir çok farklı amaçla birbirleri ile iletişime geçebilirler; WEB sunucusu olarak hizmet veren bir cihaz diğer cihazlara HTTP/HTTPS hizmeti sunarken, dosya sunucusu olarak hizmet veren bir cihaz diğer cihazlara CIFS/NFS/ISCSI vb.. sistemlerle hizmet verebilir. Verilen hizmet ve hizmeti alan arasında gerçekleşen data alışverişinde, alış veriş süresi ise bant genişliği ile doğru orantılıdır bu durumda A cihazı ile B cihazının hizmet verme ve alma işlemi için kullandığı iletişim alt yapısının hızı doğru orantılı olarak hizmetin ne kadar sürede alınabildiğini de etkiler.

AĞ, yapılarında cihazlar birbirleri ile fiziki adresleri MAC üzerinden konuşabilse de aslında iletişim mantıksal adresleri olan IP ile gerçekleşir. Aynı broadcast içinde olan cihazlar birbirleri ile haberleşirken herhangi bir yönlendiriciye ihtiyaç duymazlar örnek olması açısından 192.168.0.0/24 IP ağında çalışan 192.168.1.2 ve 192.168.1.3 IP adresleri birbirleri ile direk olarak haberleşebilirler. Eğer ağımız büyük yada farklı amaçlarla birden fazla IP subnetine ayrılmış ise bu durumda bir yönlendiriciye ihtiyacımız olacaktır. Örnek olması açısından 192.168.0.0/24 IP Subnetinde bulunan 192.168.0.10 IP adresli cihaz 192.168.1.0/24 IP Subntindeki 192.168.1.10 nolu IP adresli cihaz ile iletişime geçebilmek için bir yönlendirici ihtiyacı duyar. Burada bunun bir VLAN yada ayrılmış iki ayrı ağda olmasının hiçbir farkı yoktur temel olan trafik hangi cihazın üzerinden geçiyorsa yada takip ettiği yoldaki en yavaş cihaz hangisi ise buradaki en yavaş cihazının toplam iletim hızı kadar hızlı olacaktır.

RESIM 1

RESIM 1 dosyasında örnek olarak üç ayrı AĞ yapısı vardır, bunlardan ;

A yapısı aynı broadcast içinde bulunan iki ayrı cihazın birbirleri ile olan iletişimi göstermekte, bu yapıda 192.168.1.10 ve 192.168.1.11 IP adresli cihazlar birbirleri ile haberleşirken herhangi bir yönlendiriciye ihtiyaç duymazlar, grafikte görüldüğü gibi iletişim direk olarak switch üzerinden gerçekleşir ve switch üzerindeki uplink kapasitesi ne ise birbirleri ile ola iletişim ve veri transfer hızlarıda bu orandadır.

B yapısı iki farklı broadcast içindeki iki ayrı cihazın birbirleri ile olan haberleşmesini göstermektedir. Bu kısımda 192.168.2.0/24 IP subnetinde olan 192.168.2.10 IP adresli cihaz 192.168.3.0/24 IP subnetindeki 192.168.3.10 IP adresli cihazla bir yönlendirici aracılığı ile konuşmaktadır. Bu kısımda kullanılan yönlendirici ise bir router cihazı değil switch cihazıdır, switch kıstası ise burada önemlidir switch üzerinde ister bir VLAN yapısına ister bir port yapısına bu IP subnetini atamış olalım cihazların iletişimleri switch portu üzerindeki iletişim hızı kadardır. Büyük yapılarda bu önemli bir kıstastır eğer ağ lar arası trafik router cihazında sonlandırılmak yerine switch üzerinde sonlandırılırsa bu iletişimi hızını arttıracaktır. Bu yapıda switch portlarımızın 1 gigabit hızında olduğunu farz edersek 192.168.2.10 IP Adresli cihazın 192.168.3.10 IP adresli cihazlar veri alım ve gönderim hızı 1 Gigabit olacaktır. Elbette burada unutulmaması gereken switchin portu başka bir switch ile çoğaltılırsa bant genişliği portun toplam hızı / istemci sayısı kadar olacaktır bu nedenle uplink işlemleri için 10 Giga portlar kullanmak daha makul sonuçlar verecektir. Eğer yapınız 50 kullanıcıdan az ve daha yönetilebilir tek merkezli kontrol yapısı istiyorsanız RESIM1 de bulunan C yapısı daha uygundur.

C yapısı iki farklı broadcast içindeki iki ayrı cihazın birbirleri ile olan haberleşmesini göstermektedir. Bu kısımda 192.168.200.0/24 IP subnetinde olan 192.168.200.10 IP adresli cihaz 192.168.100.0/24 IP subnetindeki 192.168.100.10 IP adresli cihazla bir yönlendirici aracılığı ile konuşmaktadır. Bu yapımızda switch Layer2 VLAN yapısı ile portlarını ayırmış, Layer3 sonlandırma ve yönlendirme için router cihazına göndermiştir bu durumda farklı IP subnetlerindeki cihazların birbirleri ile olan iletişim trafikleri çıkabileceği maksimum değer Router portunun toplam bant genişliği kadardır. Bu yapıda switch ve router portlarımızın 1 giga olduğunu farz edersek iki cihazın aynı anda birbirlerine veri transferi yaptığını durumda birbirleri ile olan iletişim hızı 512Mbit hızında olacaktır. Cihaz sayısı arttıkça bant genişliği portun toplam hızı / istemci sayısı kadar olacaktır ve buradaki en büyük problem kaynakları pahalı olan router cihazımızın kaynaklarını bu iş için meşgul etmiş olacağız. Bu yapı 50 kullanıcıya kadar olan ofisler için güvenli, uygulaması kolay ve yönetmesi basit bir yapıdır fakat yüksek veri transferine ihtiyaç duyan 50 kişi üzeri olan yapılarda Layer3 sonlandırma yapabilen switchler ve RESIM1 de bulunan B yapısı daha uygun olacaktır.

Örnek yapılandırma için kuracağım yapıda bir adet DrayTek 3200 cihazını WAN GW olarak yapılandıracağım, Linksys LGS528P cihazını Layer3 sonlandırma için kullanıp DHCP sunucu olarak ise bir adet Synology DS3615XS kullanacağım.

RESIM 2

Bu yapıda Layer3 sonlandırma DrayTek tarafında değil Linksys switch tarafından yapılacaktır, bu nedenle öncelikli olarak DrayTek cihazına kendisine istekte bulunacak bu ağ lara nasıl gideceğini tanımlamamız gerekmektedir, bunun için "LAN >> Static Route Setup" menüsüne giderek herhangi bir index numarasına alttaki gibi giriş yapalım.

Eğer switch üzerinde sonlandıracağınız subnet sayısı fazla ise bu durumda süper subnetinde yapabilirsiniz. Mesala 192.168.3.0/24 subnetinden başlayarak 192.168.40.0/24 subnetine kadar olan aralığın hepsini switch üzerinde sonlandırmayı planlıyor iseniz "Destination IP Address" kısmına 192.168.0.0 ve "Subnet Mask" kısmınada 255.255.0.0 girebilirsiniz, bu kısımda dikkat edilmesi gereken Draytek cihazı ile başka lokasyonlara VPN yapıyorsanız yada WAN tarafında bir MPLS yapısına bağlı iseniz bu bağlantıların hiçbirisinde 192.168.0.0/16 tarafından kapsanan bir IP Subneti olmamalıdır. Eğer işlemleri doğru yaptı iseniz DrayTek Routing tablosu " Diagnostics >> View Routing Table " kısmından girdiğinizde alttaki gibi olmalıdır.

Bu işlemden sonra DrayTek cihazı artık kendisine 192.168.100.0/24 ve 192.168.200.0/24 subnetinden bir istek geldiğinde nereye dönmesi yada paketleri nereye forvard etmesi gerektiğini bilecektir. Yapınızda Linksys dışında başka bir cihaz kullanıyor iseniz ve RIP desteği var ise DrayTek cihazında RIP aktif ettiğinizde switche eklenen IP subnetleri için kendisi otomatik olarak gerekli routlarıda yazabilir.

Bu yapımızda Linksys üzerinde sonlandırdığımız Layer3 ağlarımız için DHCP sunucu olarak Synology cihazını kullanacağız. Bu yapıda Synology yerine Windows yada Linux bir DHCP sunucuda kullanılabilir fakat Synology kullanmamızın nedeni donanım olarak uygun maliyetli olması ve DHCP kısmında multi subnet DHCP dağıtımı ve Zaman Sunucu, SIP Sunucu ve daha bir çok sunucu bilgisini DHCP istemcilerine kolayca gönderebilmesi ayrıca bir boot sunucunuz var ise PXE boot içinde kullanılabilir olması. Synology cihazında multi subnet DHCP yapılandırması hali hazırda Synology cihazının tek tıkla kur mantığı ilede doğru orantılı olarak çok kolay. Yapılması gereken Denetim Masası >> DHCP Sunucu ( Temel modda görünüyorsa, Denetim masasını gelişmiş oda alınız ) kısmından DHCP sunucu olarak hizmet vereceğiniz ethernet kartını seçip DHCP sunucu için IP Scope ayarlarınızı yapmak.

Synology cihazı 121 adet DHCP code desteğini hazır olarak sunmaktadır, bu bilgileri direk olarak istemcilerinize göndererek ön yapılandırma gerekmeksizin bir çok cihazınıza ağda verdiğiniz yada ortak kullanımda kullandığınız sunucu bilgilerini iletebilirsiniz.

Yapımızda artık DrayTek ile bir internet çıkışımız, Synology cihazı ilede gelişmiş bir DHCP sunucumuz bulunmaktadır. Şimdi hazırlamamız gereken ağda bulunan istemcilerimizle fiziki bağlantıyı kuracağımız ve Layer3 sonlandırmayı yapacağımız Linksys Switch modelinin yapılandırmasına. Linksys Switch ailesi fabrika ayarlarında DHCP den IP alacak şekilde ayarlanmıştır, DHCP sunucunuzda Belkin firmasına ait olan " B4-75-0E " ile başlayan MAC adresi switch cihazınıza aittir. Eğer bir DHCP sunucunuz yok yada daha yapılandırmadı iseniz cihazın fabrika erişim IP adresi 192.168.1.252 şeklindedir. Cihazın ara yüzüne erişince sırası ile alttaki ayarlamaları yapacağız.

Cihazın WEB ara yüzüne eriştiğinizde öncelikli olarak "Maintenance" menüsünden "System Mode" sekmesini "L3 Mode" çekerek reboot ettiriniz. Bu şekilde cihazın çalışma seviyesini Layer3 seviyesine çıkartmış olacağız.

Cihaz tekrar başladıktan sonra cihazın DHCP den aldığı yada Default IP adresini değiştirmek için "Configuration >> IP Interface >> IPv4 >> IP Interfaces" kısmında "VLAN 1" kısmını seçerek edit tuşuna basıp IP Address Type kısmını Static IP address kısmını bu anlatıma göre "192.168.1.2" ya da sizin yapınıza göre belirlediğiniz IP adresini yazalım Bu sayfada ayrıca "IPv4 Routing" başlığı seçilmiş ve "Apply" tuşuna basılmış olmalıdır. Cihazda IPv4 sekmesinde DHCP den IP almamış ise Default route girilmelidir.

Şimdi yapımızda kullanacağımız Layer2 VLAN ları oluşturmak için "Configuration >> VLAN Management >> VLANs" kısmına gidelim ve ihtiyacımız olan VLAN ları "Add" tşuna basarak oluşturalım. Bu yapıyı VLAN sız olarak fiziki portlara IP ataması usulü ilede yapabiliriz fakat eğer bu switch uplink görevi görecek ise ve alttaki switchlerimize birden fazla IP subneti göndereceksek bunu VLAN ile yapmalıyız.

Örnek yapıda kullanacağım sistem için biz portlara Host yada yönetilemez switch bağlayacağız bu nedenle portların "Untag / Access" olarak çalışması gerekmektedir, siz başka bir VLAN switch aktaracaksanız portlarınız bu VLAN yapıları için "Tagged" çalışmalıdır bizim yapımız için ise Untag olarak çalışacağından "Configuration >> VLAN Management >> VLAN Memberships" kısmından VLAN 100 için VLAN ID kısmından 100 nolu VLAN seçip GE10 portunu Untagged olarak seçelim ve aynı işlemi VLAN 200 ve GE11 için tekrarlayalım.

Artık mantıksal VLAN yapılarımızı kurduğumuza ve bunları fiziki portlara atadığımıza göre, mantıksal IP Adreslerimizi bu mantıksal VLAN lara aktarabiliriz. "Configuration >> IP Interface >> IPv4 >> IP Interfaces" kısmına giderek "Add" tuşuna basalım

Bu arayüze vereceğimiz IP adresi bu port üzerinden ağa dahil olacak olan tüm cihazlar için AĞ geçidi olarak kullanılacaktır bu nedenle "1" nolu IP adresini vermenizi tavsiye ederim.

Sistemiz şu an için bu portlara bağlanacak herhangi bir cihazı internete çıkartabilecek durumdadır, elbette DHCP sunucu olmadan sadece statik IP tanımladığımız kullanıcılarımız internete çıkabilirler. Bizim yapımızda DHCP sunucu olarak Synology cihazı yapılandırılmıştı, şimdi Linksys Switch cihazımıza kedisine gelen istekleri Synology cihazına iletmesini söylemek için " Configuration >> IP Interface >> DHCP >> DHCP Relay & Snooping " menüsüne girerek " DHCP Relay" özelliğini "Enable" edip "Apply" tuşuna basalım ve "Add" tuşuna basarak DHCP Sunucu görevi üstlenecek Synology cihazımızın IP adresini girelim. Cihaza istenilirse birden fazla Relay DHCP sunucu IP adresi girilebilir bu şekilde her Port / VLAN için yada farklı Port / VLAN yapıları için farklı yada aynı sunucu kullanılabilir.

Bu işlemden sonra tek yapmamız gereken hangi Port / VLAN yapıları üzerinden DHCP isteklerini DHCP sunucuya göndermesi gerektiğini switch cihazımıza söylemek olacaktır. Bunun için " Configuration >> IP Interface >> DHCP >> DHCP Interface " menüsüne girerek DHCP servisini çalıştırıp dinamik IP dağıtımı yapmak istediğimiz ara yüzü seçip bu ara yüz üzerinde DHCP Relay özelliğini aktif etmek olacaktır.

Umarım faydalı olmuştur. Bir sonraki makalemizde görüşmek üzere

Uzun yıllar Palo alto ve Draytek modemler kullanmış birisi olmama rağmen iki cihaz arasındaki Site-To-Site VPN yapılandırmasında ciddi anlamda zorlandım. Bütün ayarlar her iki markanın teknik dokümanlarında anlatılan ve olması gerektiği gibi gözükse de aşağıdaki problemler ile karşılaştım,

Tunel trafiği time out hataları yüzünden sürekli kopuyordu.

Paloalto tarafında Tunel başarılı şekilde oluşturulmuş gözüksede, Draytek Connection Manager üzerinde görülmüyordu.

Karşılıklı olarak Tunel trafiği kuruldu gözüksede üzerinden veri geçişi olmuyordu.

Cihazlar üzerinde hatalar ile ilgili dump bilgilerinde sadece session time out hatası ortaya çıkıyordu.

Sonrasında, konuyla ilgili arkadaşlarımdan yardım istesem de tanıdıklarımın hiçbiri iki cihaz arasında bu yapılandırmayı yapmadıklarını belirttiler. Bende hiç üşenmeyerek problemin kaynağı olabileceğini düşündüğüm ve 250 ‘den fazla olasılığın olduğunu bile bile IPSEC güvenlik methodlarını karşılıklı olarak tek tek denemeye kadar verdim ve birkaç denemeden sonra stabil bir bağlantı elde edebildim. Böylelikle bir teknik makale kendiliğinden çıkıverdi J

Kısa bir bilgiden sonra yapılandırmya önce Draytek tarafından başlıyoruz. Bunun için draytek Vigor yönetimine giriyoruz ve VPN - Remote Access - LAN to LAN menüsünden İlk adım olarak VPN için kullanılacak WAN arayüzünü burada belirliyoruz.

İkinci adım olarak "IPsec Tunnel" seçeneğini seçiyoruz ve Paloalto üzerindeki Wan arayüzüne ait Public IP adresini giriyoruz. Pre-shared Key alanından anahtarımızı belirliyoruz ve bu anahtarı Paloalto üzerinede girmek için unutmuyoruz.

IPsec Securiy Method tipini High(ESP) seçerek Faz1 ve Faz2 için değerlerimizi aşağıdaki gibi belirliyoruz.

TCP/IP bölümlerine Local ve Uzak lokasyonumuzun LAN ip bilgilerini giriyoruz. Eğer uzak lokasyonumuzda birden fazla subnet’e sahipsek More düğmesine basarak onlarıda girmeyi unutmuyoruz.

Artık Paloalto trafındaki ayarlara geçebiliriz. Öncelikle bir Tünel arayüzü yaratmak için Network – Interface ve Tunel menüsüne giriyoruz. Comment bölümüne açıklama yazarak, hataları, kurallarını daha iyi analiz etmek ve yapılandırmak için yeni bir zone oluşturuyoruz.

Faz1 yapılandırması için aynı ekrandaki IKE Crypto menüsne giriyoruz ve Draytek üzerinde yapmış olduğumuz ayarların aynısı burada yapıyoruz.

Faz2 yapılandırması için aynı ekrandaki IPSEC Crypto menüsne giriyoruz ve Draytek üzerinde yapmış olduğumuz ayarların aynısı burada yapıyoruz.

Sıra geldi Tunel için Gateway oluşturmaya. Bu adımda iki cihazımızın sahip olduğu Wan IP adreslerini ve Paylaşım anahtarını giriyoruz.

Hemen sonrasında Advanced Options menüsünden Değişim tipini Main olarak seçiyoruz ve Faz1 için oluşturmuş olduğumuz profili kaydediyoruz.

Sıra geldi Tunelimizi oluşturmaya. Aslında bu adımda gerekli olan tüm ayarlarımızı yukarıdaki 3 adımda oluşturduğumuz için sadece seçeneklerden gerekli profilleri seçiyoruz.

Proxy ID’s bölümünden iki lokasyon arasındaki networklerin eşleştirmesini yapıyoruz.

Virtual Routerımız tunel arayüzünü ekliyoruz.

Uzak lokasyona gidecek olan trafiği Statik Route yöntemi ile tünelimize yönlendiriyoruz.

Sıra geldi son adım olan karşılıklı olarak iki lokasyon arasında güvenlik kuralı oluşturmaya. Burada önce Any – Any – Allow yapılandırması yapıp tünelimizin sorunsuz biçimde oluşmasını gözlemliyoruz. Sonrasında gerekli güvenlik sıkılaştırmasını yaparak iki lokasyon arasında iletişimi sağlıyoruz.

İşlemlerin sonunda karşılıklı olarak Tunel trafiğini kontrol ediyoruz.

Faydalı olması dileğimle.

Bu makalemizde çalıştığımız sektörde bulunduğumuz konuma göre sık sık veya ara sıra lazım olan pasif cihazlara firmware veya işletim sistemi kurulumunu ele alacağız. TFTP genel olarak pek kullanılmaz cihaz ayakta ise genelde grafik ara yüzden güncelleme, yedekleme, restore ve yüklemeler yapılır. TFTP ile imaj ve firmware yüklemeleri genelde router, switch ve firewall cihazlarına yapılır. Biz makalemizde test olarak FortiAnalyzer cihazına firmware yüklemesi yapacağız. Öncelikle TFTP nedir ona değinelim.

TFTP (Trivial File Transfer Protocol) 1980 yılında kullanılmaya başlanan ve FTP’nin temel fonksiyonlarının kullanılabildiği dosya transfer protokolüdür. Microsoft Windows NT 3.51 ile TFTP Server desteği vermeyi bıraktı fakat Cisco ile yakından ilgilenen her IT Çalışanı bilir ki TFTP Server image yükleme, PIX password resetleme ve backup & restore işlemleri için kullanılan çok önemli bir servisidir. TFTP Protokolünü 3. Party yazılımlar ile kullanabilirsiniz. Bu amaçla birçok program geliştirilmiştir siz alışkanlık kazandığınız veya kullanımı kolay olan bir yazılımı kullanabilirsiniz.

Ben bu işlemlerde TFTP64 programını kullanacağım. Programı aşağıdaki link üzerinden indirebilirsiniz.

http://tftpd32.jounin.net/tftpd32_download.html

İndirip programımızı çalıştırıyoruz.

Programımız açıldığında kullanılacak olan interface seçimini yapıyoruz. Biz işletim sistemi çöken ama ayakta olan bir FortiAnalyzer 200D cihazına işletim sistemi yüklemesi yapacağımız için ben FortiAnalyzer 200D cihazına bağlı olan Ethernet bacağım olan 192.168.1.150 seçimini yapıyorum.

Ethernet seçiminden sonra cihazımıza yüklenecek olan imajı internet sayfasından indirip Browse butonu ile gösterelim.

TFTP ayarlarımız tamamlandıktan sonra artık FortiAnalyzer 200D cihazımıza putty ile bağlanalım. Bu cihazımızın işletim sistemi uçmuş durumda ve buna rağmen cihazımız ayakta. Cihazımızı açalım. Bağlantıyı sağlayalım. Cihaz için menüye girebilmek adına bir tuşa basmamız gerekmekte. Cihaz arayüzü geldikten sonra bir tuşa basarak menünün gelmesini sağlayalım.

Gelen menüde farklı seçimler sunulmakta. Ben tercih olarak cihaz içerisinde önemli verilerim olmadığından format atıp temiz olarak kurulum yapma niyetindeyim bu nedenle F tuşuna basıyorum.

Cihazdaki dataların silineceği noktasında karşımıza gelen soruyu Y ile geçiyoruz. Cihazımız başarı ile fortmatlanıyor.

Bu aşamadan sonra artık cihazımıza firmware yükleme sırası geldi. Menüden açıklamalara bakacak olursak G tuşuna basarak TFTP üzerinden firmware yükleme imkânımız var. G tuşuna basalım.

Bizden TFTP sunucu adresi istenmekte. Yukarıda hatırlayacak olursanız TFTP için bilgisayarımızın 192.168.1.150 bacağını seçmiştik. Bu nedenle 192.168.1.150 adresini girelim.

Şimdide bağlantı sağlayacak olan TFTP protokolü için bir ip belirlememiz istenmekte. Bu nedenle bizde bağlantının sorunsuz sağlanması için 192.168.1.X bloğundan bir ip vermek durumundayız. TFTP severimize bağlantı sağlayabilmek için Putty ile bağlandığımız cihaza 192.168.1.160 ip adresini veriyorum.

Şimdi bizden yüklenecek olan imajın ismi istenmekte. TFTP serverimizde Browse ile gösterdiğimiz imajlardan hangisini yükleyeceksek onun ismini kopyalayıp bu ekranımıza yapıştırabiliriz. Bu işlemi de tamamlayıp Enter ile onaylıyoruz.

Firmware kopyalama işlemi başladı.

Firmware kopyama işleminden sonra imaj doğrulama işlemi tamamlandı. İmaj daha sonra kurulmak üzere açıldı. Bize imajın nasıl konumlanması gerektiği noktasında bir soru geldi. Biz cihazı fortmatladığımız ve default imaj olarak başlatacağımız imaj olacağından D tuşuna basalım.

İmaj default imaj olarak yapılandırılmaya başlandı.

İşlem devam ediyor.

İşlem şu anda tamamlandı.

Cihazımız yeniden başlatılıyor.

Cihazımız başladı ve FortiAnalyzer login ekranı geldi.

Bu durumda cihazımız hazır duruma geldi ve gui ortamdan bağlantı sağlayabiliriz.

Evet cihazımıza erişim sağladık. Burada TFTP programının temel kullanım mantığını ele aldık. Cihazdan cihaza TFTP üzerinden imaj yükleme, yedekleme gibi işlemler farklılık gösterebilir.

Bir başka makalede görüşmek dileğiyle.

GÜVENLİK, Türk Dil Kurumunun tanımlamasına göre " Toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumu, emniyet " anlamına gelmektedir. Bunu mesleki olarak tercüme edersek; elektronik haberleşmenin kesintisiz, özgürce, bireysel şekilde yapılabilir olmasıdır. Güvelik biraz da yağmur yağsın ama ıslanmayım demek gibidir :).

Güvenlikte unutulmaması gereken kısım, bir iletişim kanalı açılmış ise bu iletişim kanalının kötü niyetli kişiler tarafından amacının dışında kullanılabileceğidir. Yani açık bir kapınız var ve bu kapıdan herkesin geçmesini ve sunduklarınızı görmesini istiyorsunuz fakat bunun sizin koyduğunuz kural ve çerçeveler doğrultusunda olmasını istiyorsunuz, o zaman güvenlik her şeyin kapatılması ve aslında sunmamız gereken ortak çalışma alanının çalışılamaz duruma getirilmesi değil, kontrollü bir şekilde iletişimin sağlanmasıdır. Güvenlik kesinlikle bir sunucunun ağ bağlantısının kopartılıp, yerin yüz metre altında beton bir odaya gömülerek kimsenin erişmeyeceği bir duruma getirmek değildir.

İşim ve çalıştığım sektör itibari ile ben bir elektronik iletişim uzmanıyım ve temel olarak ETHERNET ağları üzerin uzmanlaşmış durumdayım. İş bir AĞ kurmak ve bu ağda iletişim sağlamak ise kablolu ve kablosuz olmak üzere bu işten anlarım ve zaten bu işten parada kazanıyorum yani profesyonel mesleğimde budur. Doğal olarak iletişim ve iletişim güvenliği de benim işim. OSI katmanının ilk dört katmanında çalışırım ve Layer 1 den Layer 4 kadar olan kısmı bilirim. Kendimden neden bahsettim konusuna gelirsek, hangi sosyal ağa erişsem yada hangi portalda bir kaç makale okusam genelde güvenlikçi arkadaşların yerel ağda hiçbir güvenlik önlemi alınmamış sistemi hack lediğini görüyorum yada örneklediğini, sonrasında ise UTM tavsiyelerinde bulunduğunu. Görülen o ki bizim sektörde güvenlik biraz yanlış anlaşılıyor ya da güvenlikçi arkadaşlar her sistemi sanal makinelere kurdukları birebir çalışma ve full erişim imkanları bulunan sistemler gibi düşünüyorlar. Halbuki durum hiç böyle değil, üstüne de internetten sizi o anlatılan yollarla değil genelde sistemlerinize direk erişebilecek yapılar üzerinden hack lerler. Anlatılan ve yazılan makalelerde gösterilen sistem genelde evin içine kırmızı elbiseli olan herkesi al deyip sonra evin içinde hiçbir güvenlik almamak gibidir, hangi kırmızılının ne tür bir plan peşinde olduğunu bilemeyiz. Günün sonunda sorun yaşamanızın nedeni internet bağlantınız değil yerel ağdaki güvensiz yapınızdır.

RESIM 2 göreceğiniz gibi istemci ile sunucu arasında oluşturulmuş bir HTTPS/SSH/SMTPS/POPS vb.. herhangi bir güvenli bağlantıda, artık bağlantının içindeki tüm data dinlenemez ve yorumlanamaz hale gelir. Günün sonunda "41 42 43 31 32 33 (ABC123 )" verisi istemci ve sunucu arasında ki şifreli tünelden " 0d 0a 41 41 42 42 43 43 31 31 32 32 33 33" şeklinde akacaktır ve aradaki güvenlik cihazlarınız bu veriyi anlamlandırmaz hale gelecektir, doğal olarak kontrol edilemez bir duruma gelir ve her türlü istismar ada açık olur. Bu durumlarda onlarca para yatırdığınız UTM cihazları tamamen işlevsiz kalırlar ve trafiğin tekrar şifresize döndüğü istemci tarafından bir enpoint güvenlik yazılımınız yok ise kırmızılı adamlar istediği gibi durumu istismar edebilirler.

Güvenlik tek başına bir sistem yada tek bir cihazın haledebileceği bir yapı değildir, güvenlik bir bütün halinde çalışan kontrol sistemlerinin toplamına denir. Bu sadece sisteminize aldığınız birkaç cihazın yapabileceği bir şeyde değildir. RESIM1 de " 1 INTRNET GÜVELİĞİ" kısmında Router ve Internet arasında bulunan bölge sizin tarafınızda kesinlikle korunamaz ! Bu kısım servis sağlayıcıya ait bir bölümdür ve trafik akışı servis sağlayıcı tarafından kontrol edilmelidir. Mesela 100 Mbit hattınızda servis sağlayıcı 200 Mbit lik bir isteği size göndermeye çalışırsa yada bu trafiğe izin verirse doğal olarak hattınız sature olacaktır. Bu durumda router cihazınızın kaç milyon session kaldırdığı yada ne kadar trafik işlediğinin hiçbir önemi kalmaz, çünkü sorun cihazınızın kaldıramayacağı bir trafiğin olması değil hattınızın kaldıramayacağı bir trafiğin servis sağlayıcı tarafından size iletilmeye çalışmasıdır. Bu trafik sonlana yada ISP bu trafiğin saldırı olduğunu anlayıp kendi omurgasında trafiği sonlandırana kadar sisteminiz çalışmaz duruma gelecektir. Bu durum aynen dört şeritli bir yola sekiz aracı yan yana sığdırmaya çalışmaya benzer. Router/Firewall/UTM cihazları sadece ISP tarafından satürasyon sorunları oluşturmamış trafikleri kontrol etmekte işe yarayacaktır, yani süzülmüş trafiği kontrol ederler. Güvenlik arz talep döngüsünde arzın yapıldığı sisteme, talepçilerin sadece talep etmeleri gereken ve arz edilmiş kısma erişmelerini sağlamaktır. Talepçi, talep etmemesi gereken sistem dışında diğer bir sisteme erişebilir durumda olmamalıdır, diğer türlü neyi talep edeceğini bilemeyiz. Bu durumda yerel ağınız mutlaka ama mutlaka sunucu+kullanıcı, sunucu+kullanıcı+misafir, sunucu+kullanıcı+misafir+guest ( guest i özellikle kullandım, maksadım misafir ağını değil istememiz dışında ağa erişmiş kişiler ) şeklinde ayrılmış, bu kısımların birbirleri ile olan iletişimleri arz edilen sistem bağbında kısıtlanmış olmalıdır. Bu işin mantıksal kısmı ve benim işimin dışında kalıyor, sunucu her ne arz diyorsa bu arzın oluşturulmasında çalışan arkadaşların gerekli güvenlik önlemlerini alması gerekliliktir. Ayrıca arz edilen sistemi arz eden ara sunucu yazılım katmanı ve üzerinde koşmakta olduğu işletim sistemi güvenliği içinde ayrıca bir son nokta güvenlik yazılımı mutlaka bulunmalı, birden fazla sistem barındıran bir çiftlik ise mutlaka son kullanıcı insiyatifinde bir güvenlik sistemi yerine merkezi yönetim barındıran bir sisteme geçilmelidir. Güvenliğin ilk tanımında belirttiğim gibi; güvenlik tek sistem değildir ve tek kişinin yönetebileceği bir sistem hiç değildir, güvenlik kollektif bir topluluk yapısının tamamına verilen isimdir. Güvenlik için kollektif kelimesi önemlidir, her bir birim bir diğeri ile doğru şekilde çalışmalı ve iletişimde olmalıdır, aksi durumda birisinin açığı diğerini doğrudan etkiler. Şu ana kadar güvenlik kelimesinin mantıksal kısmında bahsettik, bu işin birde fiziki tanımlaması vardır. Fiziki kısım ise kabloludan->kabloluya, kabloludan->kablosuza, kablosuzdan->kabloluya ve hiç önemsemediğimiz kablosuzdan->kablosuza kısımlarını içermektedir. Kablolu yapılar genelde insanların fiziki olarak direk erişemeyecekleri kanal sistemleri içerisinde bulunurlar tabi bu etkilenemez yada hack yapılamaz oldukları anlamına gelmez ! Sadece örnek olması açısından; kaçınız bugüne kadar apartmanınızın önünde çalışma yapan telefon ekibine nereden geldiklerini sordunuz, yada krone kutusunda çalışma yapan arkadaşa ne yaptığını ve iş emrini sordunuz ? Sonuç itibari ile her yapı ele geçirilebilir durumdadır fakat kablosuzda iş biraz daha vahimdir, fakat bu kablosuz bağlantı gibi mükemmel bir yapıyı kullanmayacağımız anlamına da gelmez.

Peki iletişim güvenliği nasıl sağlanmalıdır ? Yazıda daha önce verdiğim sunucu örneğine ithafen, tüm iletişimi kesmek oldukça iyi bir güvenlik sağlayacaktır fakat iletişimi kesmek aynı zamanda arz edilmek istenen şeyin arz edilemeyeceğini de gösterir, o zaman biz iletişimi kestiğimizde bir arz yapmıyor isek aslında iletişimi keserek güvenli bir çalışma alanında oluşturmuyoruz demektir. Peki hem yağmur yağmasını, hem yağmurun altında dolanmayı hemde ıslanmamayı nasıl başaracağız ? Yağmurun altında dolanıp ıslanmamak olmaz arkadaşlar, fakat kontrol edilebilir olduğu sürece ve bize zarar vermediği sürece ıslanmak bizi etkilemez. Basitçe üstünüze su geçirmez bir yağmurluk giyin :) tüm sorunu çözecektir. Peki bizim işimizde yağmurluk nedir neye karşılık gelir ?

Bizim işte yağmurluk; çok çeşitli cihazlarla ve markayla sağlanabilir. RESIM 4 üzerinde genel olarak yağmurlukların sahip olması gereken genel özelliklerden bahsettim, bu bahiste geçen özellikler farklı şekillerde birbirleri haberleştirilebilir yada birbirlerine entegre edilebilir, ayrıca bu özelliklere farklı güvenlik+iletişim uzmanları kendi alanları ile ilgili olarak ek güvenlik önlemleri ve ön tespit sistemleri de ekleyebilirler. Örnek olması açısından LAN segmentinde verdiğim L2/L3/L4 ACL ve Dynamic VLAN özelliği kontrol edilemeyen tüm network cihazları için gerekli bir husustur. Mesela bir AĞ yazıcısına ağdaki cihazlar sadece gerekli IP, RAW ve LPR portları dışında erişmemelidir aynı şekilde yazıcıda ağa bu portlar dışında erişmemeli ve DNS/NTP vb.. gibi sistemleri yerelde kullanmalıdır ve işi dışındaki sistemleri genel yapıdan izole etmelidir. IP kamera,parmak okuyucu sistemler de buna kezadır. Çözümpark gibi portallarda arama yaparsanız bu yapılar ile alakalı kabloludan->kabloluya, kablosuzdan->kabloluya, kabloludan->kablosuza bir çok farklı güvenlik cihazı ve sistemi bulabilirsiniz. Benim bu yazıda dikkat çekmek istediğim kısım ise kablosuzdan->kablosuza yapılar ! Genel olarak hepimizin dikkatinden kaçan bir noktadır kablosuzdan->kablosuza olan yapılar, nedeni ise AP cihazlarının genel olarak switch olarak kabul edilmemesidir. AP cihazlarında güvenliğin genelde data ağa indirildikten sonra switch üzerinde alınması planlanır, halbuki sorun AP cihazının üzerinde gerçekleşmektedir. Örnek olması açısından aynı switch üzerindeki iki kullanıcı vlan yapıları ile ayrılmamış ise birbirleri ile rahatça konuşabilirler ve birisinde olan sorun diğerini efekte edebilir bu durum Wifi Ağı içinde birebir geçerlidir ve AP cihazının davranışıda aslında bir switch cihazı ile aynıdır. AP cihazı aslında switch özelliği barındıran bir yapıdır ve kesinlikle bir switch üzerinde olan güvenlik sistemlerine de sahip olmalıdır ve bu güvelik önemleri direk olarak AP cihazı üzerinde alınabilmelidir. AP üzerinde alınmamış bir BROADCAST önlemi, AP üzerinde bağlı bir kullanıcının tüm kullanıcılarınızı ağdan düşürmesine olanak sağlayabilir, neden önemlidir ? Çok uğraşmadan wireles şifrenizi bulmak istiyorum; yapmak gereken en basit durum sizinle aynı SSID de daha güçlü bir yayın yapıp kullanıcılarınızı Wifi ağından kopartıp istemcilerin benim yaptığım aynı adlı şifresiz SSID yayına bağlanmasını sağlamak, internete çıkışta ise WPA şifreniz yanlış lütfen düzeltin sayfasını sunmak olacaktır :) Bir yada daha fazla kullanıcınız kesin oltaya takılacaktır :). Bu örnek durumu düzeltebilmek için AP cihazlarınızda ROGUE AP sistemi olmalı, Broadcast kontrol sistemi olmalı, enpoint security yazılımızda ise SSID bağımsız Wifi ile bağlanabileceğim BSSID listesi oluşturulabilmelidir, diğer türlü şifreniz bende :). Forumlarda en çok karşılaştığım olaylardan biriside DHCP problemi, bir çok kullanıcı ağında izinsiz DHCP sunucu olduğundan şikayet etmektedir ki bunu switch üzerinde önlemek çok kolaydır ama aynı sorunu AP üzerinde düzeltmek ise oldukça zordur ve wifi den wifi ye olan bağlantılarda düzeltilmezse yapı güvenliği hariç istemcilerimize güvenli bir yapı sunamayız doğal olarak ağımızda birçok bilgiyi kendi üzerinde barındıran istemcilerimizin güvenliğinide başkalarının ellerine bırakabiliriz. Aslında durumu düzeltmek kolay, switch üzerindeki bir özelliğin AP ye taşınması yeterli yada benzer özellikler mesela; DHCP Snooping, MAC Spoof, IP Spoof, DHCP Relay, GW Security gibi özellikler AP cihazlarına taşınırsa bu, bu tür bir çok sorunu da düzeltecektir.

Günün sonunda baktığınızda güvenlik, tüm sistemlerin bir bütün halde çalışmasını ve doğru lokasyonda doğru sistemin kullanılarak çok makul fiyatlara edinilebilecek bir sistemdir. Yanlış cihazlara yaptığınız yanlış yatırımların yükleri aslında edinilmesi gereken diğer güvenlik gereksinimlerinin ödeneğini tüketebilir, yatırımlarda öncelik her zaman endpoint security tarafında olmalıdır ve kesinlikle ama kesinlikle merkezi yönetimi olmalıdır ki siz son kullanıcıya müdahil olabilin ve onun açık oluşturmasına izin vermeyin. İletişim ayrıca bir husustur ve kesinlikle güvenlik kelimsinin geçtiği bir yapıda yönetebilir switch yoksa boşa kürek çekiyorsunuz demektir, sistemin en zayıf ve savunmasız noktası olan AP cihazları çok önemlidir mümkün olduğunca makul fiyatlı ve çok özellikli AP yatırımı yapılmalıdır ucuz cihazlar size çok ciddi maliyetler çıkartabilir.

Bu bölümde HP 830 Series PoE+ Unified Wired-WLAN Switch (HP830 Access Controller) cihazının Controller tarafındaki Basit ayarlarını cihazın kurulumu, kullanıcı işlemleri, loglama, Tarih ve saat Kısımındaki ayarlar, File Management yedekleme, geri yükleme, Default Settings konfigürasyonlarını yapıyor olacağız.

Aşağıdaki yönergeleri izleyerek cihazınızı kurmanız mümkün olacaktır.

Öncelikle HP 830 cihazına varsayılan ayarlarında web ara yüzü ile bağlanmanız mümkündür.

CLI(Konsol) bölümünden giriş yapılarak kullanıcı adı ve şifre vererek ve ilgili servisleri aktif ederek te yapabiliriz ama varsayılan ayarlarında konfigüre edilmiş olarak geldiği için aslında buna gerek yoktur.

HP830 Cihazımıza konsol bağlantısı yapıyoruz. Ve Aşağıdaki komutları giriyoruz

Yukarıda yapmış olduğumuz işlemde cihaza kullanıcı adı ve şifre verdik ve cihazın kullanmak istediğimiz servislerini aktif ettik.

Artık cihazımıza http üzerinden bağlana biliriz.Hp830 cihazı fabrika çıkışlı olarak üzerinde 192.168.0.101 ip adresi ile gelir.

Cihaza bağlanmak için aşağıdaki network düzeni alınmalıdır ya da PC direk cihazın herhangi bir portuna bağlanabilir.

İp yapılandırmanızı cihaza bağlanacak şekilde yapmalısınız.

Bu işlemeler tamamlandıktan sonra cihaza bağlanabilir duruma gelmiş bulunmaktayız. Google Chrome 2.0.174.0, Microsoft Internet Explorer 6,0 SP2, Mozilla Firefox 3,0 bu tarayıcılar ile problemsiz bir şekilde bağlanmanız mümkündür. Bağlantı için varsayılan bilgiler aşağıdaki gibidir.

Username: admin

Password: admin

Default IP address 192.168.0.100/24 192.168.0.101/24

Tarayıcıyahttp://192.168.0.101 ip adresini yazdığımız zaman karşımıza aşağıda görüldüğü üzere karşılama ekranı gelecektir bu ekrana Username yazan kısma admin Password yazan kısma admin yazarak ve alt kısımda bulunan güvenlik kodunu doldurarak Login butonuna basıyoruz.

Login dedikten sonra karşımıza aşağıdaki gördüğümüz gibi kontroller ara yüzü gelmektedir. Bu kısımda görüldüğü üzere device info menüsünden cihazın ip adresi interface durumlara vb. bilgiler bulunmaktadır.

Bundan sonraki adımda artık cihazı wizard edeceğiz yani kuracağız.

Bu işlem Quick Start Menüsü üzerinden yapılacak bu bölüme giderek yapılandırma sihirbazına gideceğiz

Bu alanda karşımıza aşağıdaki gibi ekran geliyor olacak

Bu kısma Next diyerek geçiyoruz

Next dedikten sonra karşımıza gelen ekranda Sysname cihaza vermek istediğiniz isim ,Syslocation Cihazın lokasyon bilgileri ,Syscontact bölümüne de ilgili teknik personel yazılabilir.Next diyerek devam ediyoruz.

Next dedikten sonra karşımıza aşağıdaki ekran geliyor. Bu kısımda cihaza vereceğimiz ip adresini belirliyoruz İpv4 ya da İpv6 şeklinde siz sistemde hangisini kullanıyorsanız onu konfigüre edebilirsiniz. İp adresini statik ve dinamik olarak siz seçebilirsiniz. Bu kısımda daha sonra oluşturacağınız vlan’lar içinde ip adresi verebilirsiniz. Next direyerek devam ediyoruz.

Next dedikten sonra karşımıza aşağıdaki gibi ekran gelecek bu ekranda yapmış olduğumuz yapılandırmanın özeti bulunmaktadır bu kısımdan yaptığımız yapılandırmayı inceleyerek bir yanlış olmadığını düşünüyorsanız Finish diye bilirsiniz.

Finish dedikten sonra cihazınız reboot olacak ve yeni yapmış olduğunuz ayarlar ile açılmaya başlayacak cihazın açılması 3 ile 5 dakika arasında sürmektedir.

Cihaz açıldıktan sonra cihaza yeni verdiğiniz ip adresi ile bağlanınız. Bağlandıktan sonra yapılması gereken ilk işlem saat ve tarih ayarlarıdır.

Device > System Time menüsünden Yukarıdaki ekrandan Tarih ve saat ayarlarını kolay bir şekilde yapabilirsiniz.

Veya cihaza Bir NTP sunucu da tanımlamanız mümkün

Gereken NTP sunucu bilgilerini girdikten sonra Apply deyip uygulayabilirsiniz.

Bu işlemlerden sonra Default user olan admin kullanıcısını değiştirmek için ya da yeni bir kullanıcı oluşturmak isteyebilirsiniz.

Cihaz üzerinde 4 çeşit farklı user tipi bulunmaktadır. Bunlar Visitor, Monitör, Konfigüre, Management şeklindedir.

Bu işlemleri de Device > Users> Create tabından yapabilirsiniz.

Bu kısımdan yeni bir kullanıcı oluşturulmaktadır Access Level Kısımından da kullanıcının hangi yetkiye sahip olacağı seçilebilir. Apply seçeneği ile kayıt edilmelidir.

Bir diğer önemli konuda cihaz loğlarıdır bu logları bir syslog sunucusuna almanızı kesinlik öneriyorum.

Log bölümüze Device > Syslog bölümünden bağlanmanız mümkün ekran aşağıdaki gibidir.

Tarih ve Saat’in doğru olması bu kısımda almış olduğunuz loğların doğru zaman zarfında olduğunu bilmeniz için çok önemlidir.

Bu kısımda cihaz kendi üzerine log almaktadır ama belirli bir süre boyunca bunun için bu logları bir syslog sunucusuna göndermeniz geriye dönük raporlar ve yaşanan sıkıntıların loğlarını okumak karşılaştırma yapmak için önemlidir.

Eğer bir syslog sunucusu eklemek istersek

Device > Syslog> Loghost menülerini kullanarak Syslog sunucusunun ip adresini yazınız.

Cihazımız şuanda çalışmaya hazır durumdadır. Öncelikle bu yaptığımızda ayarları kaydetmemiz gerekmektedir.

Device > Configuration

Menüleri kullanarak

İlgili menüde Save Current Settings butonunu kullanarak ayarlarımızı kaydedebiliriz.

Ayarlar kaydedildikten sonra yedek almanız önerilir.

Yedek almak içinde aynı menü üzerinden Backup menüsüne tıklatıp Yukarıdaki ekran doğrultusunda Backup diyerek yedeğinizi alabilirsiniz

Aldığınız yedek ten geri dönmek için de Restore menüsüne giderek aldığınız yedeği geri yüklemeniz mümkünüdür.

Aynı menü üzerinde Bulunan Device > Configuration>Initialize menüsünü kullanarak cihazı fabrika ayarlarına geri çevirebilirsiniz.

Bu işlemlerin sonucunda cihaz üzerinde bir takım config dosyaları oluşur log,xml,cfg,diag bu dosyaları direk bilgisayarınıza yedekmiş gibi indirebilirsiniz.

Device > File Management menüleri takip ederseniz karşınıza aşağıdaki ekranın bir benzeri gelecektir.

İstediğiniz dosyayı Download diyerek indirmeniz mümkündür. Bu dosyaları yedek olarakta kullanabilirsiniz.

Merhaba, bu makalemde sizlere Ubiquiti Power Beam 5AC GEN2 cihazın kurulumunu anlatmaya çalışacağım. Yeni adrese taşınılan ofisimiz için radyolink olarak hizmet verebilmek adına bu cihazı tercih ettik. Taşınılan yerde altyapı olarak ADSL desteği mevcut ancak hem ihtiyacımızı karşılamıyor hem de port olmadığından abonelik başlatamıyoruz. Farklı bir çözüm olarak gerekli araştırmaları yaptıktan sonra çatıdan çatıya kuşbakışı yaklaşık 300 Metrelik bir mesafe de kullanılmak üzere satın aldığımız cihazlar ile uzun vadede maliyet, kullanılabilirlik ve sürdürülebilirlik adına şirketimizde bulunan Metro Ethernet hizmetimizden faydalandırıyor olacağım. Bu cihazlar ile birlikte kendi bünyemizde kullandığımız IP Santral, Misafir Hotspot gibi networkleri ise sorunsuz kullanabiliyor olacağım.

Ürün Tanımı;

*Ürün tanımı https://www.ubnt.com/airmax/powerbeam-ac-gen2/ sitesinden Alıntıdır.

Kurulum işlemleri için https://192.168.1.20 IP adresi üzerinden cihazın arayüzüne erişim sağlıyorum. İlk kullanıcı adı ve şifre “ubnt” dir. Cihaz güncellemelerini https://www.ubnt.com/download/airmax-ac/powerbeam-ac-gen2 linki üzerinden indirmiş olduğum firmware dosyası ile manuel yapılandırıyorum. Cihazı restart edip tekrar IP adresinden erişim sağlamaya çalışıyorum ve karşımıza gelen ekranda,

“Ülke ve Dil” ayarlarını yapılandırıp ilerliyorum.

(Türkiye olarak seçim yaptığınızda kablosuz olarak kullanacağınız kanal genişliği 10Mhz veya 20Mhz olacağından cihazlar arası bağlantı hızı maksimum 141Mbps görmektedir. Bu nedenle Ülke ayarını Arjantin olarak ayarlıyorum)

Açılan ekranda kullanıcı adı ve şifre oluşturmamı istiyor. Gerekli bilgileri doldurup kaydediyorum.

Cihaz arayüzü karşımıza geldi. Sol taraftaki “Çark (Ayarlar)” butonunu klikliyorum.

Açılan ekranda cihazlarımızın birbirini görebilmesi için “Access Point PtP” modunu seçip “GULSOYS” diye tanımlayabileceğim bir kablosuz yayın adı giriyorum. “Kanal Genişliği 80Mhz” seçip, alt bölümden Güvenlik ayarlarını yapılandırıp şifre belirliyorum ve sonrasında ayarları kaydediyorum.

Ayarları kaydetme esnasında sayfanın sağ üst köşesinde çıkan uyarıya “Disable Management Radio” butonunu klikleyip devam ediyorum.

(Bu işlem cihazların Güvenli olmayan ağ üzerinden bağlantı sağlayıp ayarlarını yapılandırma yapmamıza olanak tanıyor. Güvenlik zafiyeti oluşturmamak için devre dışı bırakıyorum.)

Daha Sonra “Ağ” bölümüne gelip, kendi networkümden bir IP ile statik olarak gerekli bilgileri girip ayarları kaydediyorum. Daha sonraki kontrollerde ya da konfigürasyon değişikliklerinde bu IP üzerinden cihaz ara yüzüne erişim sağlamamıza olanak tanıyacaktır.

“Servisler” bölümüne gelip SSH Server portunu “2222” olarak değiştiriyorum. “NTP İstemcisini” aktif edip NTP sunucusuna ise “ntp.ulakbim.gov.tr” adresini yazıp ayarları kaydediyorum.

”Sistem” bölümüne gelip cihaz adı ve saat dilimini seçip ayarları kaydediyorum.

Bu işlemler neticesinde İnternetimizi yayınlayacak olan cihazımızın kurulumunu tamamladık şimdi diğer cihazımızın ayarlarını tamamlayalım.

Diğer cihazımızda da anlatmış olduğumuz konfigürasyonla aynı işlemleri bu cihaz içinde yapıp lokal IP den arayüze ulaşıyorum. Oluşturmuş olduğum kullanıcı adı ve şifre bilgilerini girerek oturum açıyorum.

Ana sayfadaki bölümde de görebileceğiniz gibi herhangi bir yere bağlantı görünmemektedir. Yayın yapan cihazımıza bağlanabilmek için sol taraftan “çark (ayarlar)” butonunu klikliyorum.

Açılan ekranda “Station PtP” modunu seçiyorum. Default olarak “ubnt” ağı görünmektedir. Ben kendi oluşturmuş olduğum ağı bulabilmek için “seçiniz” butonunu klikliyorum.

Gelen ekranda etrafımda yayın yapan kablosuz cihazları görüntüleyebiliyorum. Sayfanın en altına inip oluşturmuş olduğum “GULSOYS” adında ki ağımı klikleyip “AP’ye Kilitlen” seçeneğini seçiyorum.

AP’ye kilitlendikten sonra MAC adresi ile haberleşme sağlanıyor olup başka cihazlar ile haberleşmeyecektir. Oluşturmuş olduğumuz kablosuz şifremizin girişini yapıp ayarları kaydediyorum.

İşlemler tamamlandı. (Kısa süre içerisinde cihazlar arası bağlantı tamamlanmaktadır)

Cihazlar arası internet bağlantı hızını ekran görüntüsünde görebilirsiniz. Her iki cihaz içinde ayrı ayrı görüntülenmektedir.

Umarım faydalı olmuştur. Bir başka makalede görüşmek üzere.

Hedeflerimizi şu şekilde belirledik;

1. Uygun maliyet,

2. LAN yapısında 802.1x PEAP yapısı ile kolay kurulabilir Switch Port ve WIFI güvenliği sağlamak,

3. Kuruluş personelinin, şirkete ait diğer ofislerde bulunması durumlarında kablolu veya kablosuz bağlantıları kolay ve güvenli bir şekilde sağlaması,

4. Kuruluşa bir personel başladığında bu personelin yapıya kolayca adapte edilebilmesi veya ayrılan personelin sistemden kolayca çıkartılabilmesi ve sistem kaynaklarının kapatılması.

5. 5651 Sayılı yasa gereğince gerekli olan kayıtların asıl kişiyi doğrulayacak şekilde toplanabilir hale getirilmesi.

Resim 1

Resim 2

Bu yapı için öncelikli olarak Resim2‘de görüldüğü gibi DrayTek 2860 modelini Applications >> RADIUS/TACACS+ menüsünden “Internal RADIUS” seçilmeli ve “Enable” seçilerek sistem aktif edilmelidir. “Shared Screed” kısmında sorgu yapacak cihazların sorgu yapabilmesi için gerekli şifre girilerek “RADIUS Client Access List” kısmında DrayTek 2860 modeline Radius sorgusu yapacak olan cihazların network ya da IP adresleri girilmelidir. Unutulmaması gereken kısım yapının PEAP çalışacağıdır ve bu nedenle “Support 802.1X Method” kesinlikle aktif edilmelidir. Bundan sonraki işlem kullanıcılarımızı “User Management >> User Profile” kısmında oluşturarak sisteme eklemektir.

Resim3

Örneğimizde kablolu yapıları desteklemek için kullanacağımız DrayTek G2260 Layer2 Gigabit Managemenet switchin ethernet portlarında RADIUS ile 802.1x yapabilmesi için öncelikle RADIUS sunucu tanımları yapılmalıdır. Security >> AAA >> General Setup başlığından “IP Address/Hostname” başlığından “Enable” seçilerek RADIUS sunucu olarak kullanmakta olduğumuz “192.168.1.1” DrayTek Router IP adresi girilmelidir. DrayTek 2860 Router cihazında “Shared Secret” kısmına girilmiş olan şifre bu kısımda “Secret” kısmına girilmelidir.

Resim 4

Artık switch cihazımız RADIUS sunucu adresini bildiğine göre yapılması gereken “Security” sekmesi altında “NAS” kısmından “General Setup” bölümünde “Mode” kısmını “Enable” yaparak sistemin çalışmaya başlamasını sağlamaktır.

Bu kısımda 802.1x kullanmasını istediğimiz portlarda “Single 802.1x” seçmeliyiz ve “Apply” buttonuna basarak sistemi aktif duruma getirmeliyiz.

Unutulmaması gereken kısım bu işlem yapıldığında porta bağlı olan cihazın da 802.1x ayarları yapılmış olmalıdır ve 802.1x yapamayacak cihazların portları “Force Authorized” olarak seçilmelidir, DrayTek 2860 cihazına yapılmış olan uplink bağlantısının bağlı olduğu port ve AP cihazlarının bağlı olduğu portlarda “Force Authorized” şeklinde bırakılmalıdır. Ağınızda 802.1x PEAP desteği olmayan cihazlar var onların bağlı olduğu portlarda bu şekilde bırakılmalıdır.

Resim5

DrayTek AP cihazları birden fazla SSID desteklemektedir, istediğiniz SSID yi bu sisteme dahil etmek için “Wireless LAN >> Security Settings ” kısmından “Mode” kısmını “Mixed(WPA+WPA2)/802.1x “ olarak seçiniz “Set up RADIUS Server if 802.1x is enabled” kısmında “RADIUS Server” linkine tıklayınız.

Resim 6

Resim6’da örnekteki gibi açılan pencerede “IP Address” kısmına RADIUS sunucu olarak yapılandırdığımız DrayTek 2860 cihazının IP adresini giriniz “Shared Secret” kısmına DrayTek 2860 modelinde sorgu yapacak cihazlar için yazdığımız “Shared Secret” keyiniz bu kısma yazınız ve “OK” buttonuna basınız.

DrayTek cihazları ile artık 802.1x ayar kısmını tamamladık, bu kısımdan sonra DrayTek G2260 Switch cihazında “Single 802.1x” olarak seçtiğimiz portlar üzerinden kablolu cihazlar ve AP810 cihazında RADIUS doğrulaması seçilen SSID yayınlarına bağlananlar 802.1x PEAP üzerinden kullanıcı adı ve şifresi ile doğrulama yapabilirler.

Bu kısımdan sonra Windows işletim sistemlerinde yapılması gereken bazı işlemler var özellikler kablolu ağlar için “dot3sv” servisi aktif edilmeli ve başlangıç da başlayacak şekilde ayarlanmalıdır.

Resim 7

Resim7 üzerinde görüldüğü gibi bu servisi başlatın ve açılış davranışı olarak otomatik seçin. Bu şekilde kablolu yapılar için 802.1x sistemini kullanmaya başlayabiliriz. Wireless yapıları için sistem bu şekilde hazır gelsede “WlanSvc” servisininde başlamış ve açılış davranışı olarak otomatik başlangıç seçili olduğuna emin olmalısınız.

Winres 1

Winres 2

Servis işlemlerini yaparak sistemi yeniden başlattıktan sonra ethernet ayarlarında özellikler kısmını tıkladığınızda “Networking” başlığının yanında “Authentication” başlığınında çıktığını görebilirsiniz. “Authentication” başlığını resimde görüldüğü gibi ayarlayın. Bu kısım 802.1x ayarlarının yapılacağı bölümdür işlemler için sırası ile alttaki işlemler yapılmalıdır.

Winres 3

Winres2‘de settings kısmını tıklayarak “Protected EAP Properties” başlığına ulaşın ve Winres3‘de görüldüğü gibi ayarlayarak onaylayın. Biz yapıda herhangi bir sertifika kullanmayacağı sistemi güvelikli ama olabildiğinice kolay kullanılabilir ve self servis yapmaya ve ileriye dönük sertifika üretme takip etme işlemlerinden kurtarmak istiyoruz bu nedenle sertifika kontrollerini kapatıyoruz.

Winres 3-2

Winres 3-2-1

Winres3 kısmında ayarlarımızı yaptıktan sonra OK tuşunu tıklayarak tekrar Winres2 kısmına dönelim ve “Additional Settings” kısmını seçerek Winres3-2 de görüldüğü gibi sistemi ayarlayalım. Bu kısımdan sonra yapmamız gereken sadece kullanıcı adı ve şifresini girerek sistemi çalışır hale getirmek olacaktır. Kullanıcı adı ve şifresini girmek için “Replace Credentials” kısmını tıklayarak Winres3-2-1‘de görüldüğü gibi “User name” ve “Password” yazan kısımlara DrayTek 2860 kullanıcı veri tabanında oluşturduğumuz kullanıcı adı ve şifresini girelim bu kısımdan sonra cihaz yapacağı DHCP broadcasti ile DrayTek cihazından IP adresi alarak ağa dahil olacaktır kablolu ve kablosuz yapılar için ayarlar aynı şekildedir.

Bir başka makalede buluşmak dileğiyle.

The post Kablolu veya Kablosuz Ağlarda 802.1x ile Merkezi Güvenliğin Sağlanması appeared first on ÇözümPark.

Roaming kelime anlamı olarak aslında dolaşım, gezinme anlamına gelmektedir ve Roaming ile elde edilmek istenen herhangi bir istemcinin farklı operatörler ya da aynı operatöre ait olan erişim noktaları arasında serbest dolaşımının tanımlanmasıdır. Bunu şu şekilde düşünebilirsiniz firmanıza ait olan tüm ofislerde firmanızda kablosuz erişim izni olan kullanıcıların tüm AP cihazlarına bağlanabilmesi ve ofis fark etmeksizin herhangi bir AP üzerinden ağa erişebilmesi şeklinde düşünebilirsiniz. Bu kısımda iki kıstas var; ilk kıstasımız kullanıcı kablosuz ağa bağlanırken bağlanacağı tüm AP cihazları aynı şifreyi kullanmalıdır halbuki bu güvenlik anlamında pek olumlu sonuçlar doğurmayacak bir durumdur. Bunu düzeltmenin en basit yolu ise AP cihazlarında standart Wifi Şifre yöntemi yerine 802.1x ile beraber şifre yerine SSID bağımsız tüm AP lerin bir Radius ya da benzeri bir kullanıcı veritabanından kullanıcı adı şifresi doğrulaması yapmasıdır. Bu kısımla ilgili çok ayrıntıya girmeyeceğim ayrıntılı anlatımı ” http://www.cozumpark.com/blogs/network/archive/2016/12/04/kablolu-veya-kablosuz-aglarda-802-1x-ile-merkezi-guvenligin-saglanmasi.aspx ” bulabilirsiniz. İkinci kıstas ise AP cihazlarının SSID ile bizim wifi aramalarında gördüğümüz SSID adının yayınlaması birde BSSID ile MAC bazında bir alt yayın yapmasıdır. Bu kısımda sorun bazı Wifi cihazlarının SSID ve BSSID yi beraber kullanarak güvenlik sağlamaya çalışmasıdır. Bu normalde olumlu bir sonuç olsa da bir cihazdan diğerine geçişte soruna neden olacaktır ve tekrar tekrar doğrulama ya da SSID tanımlamasına gerek duymasına neden olacaktır. Şu an Roaming nedir ve genel sorunları ve bağlantı çözümleri nedir biliyoruz. Peki Roaming aslında bir istemcinin A cihazından B cihazına kesintisiz geçmesi değil ise bugün piyasada satılan Romain yapan AP cihazları tam olarak ne yapıyorlar ?

Threshold Based Handover Area

Bu durumda istemcinin A AP cihazı ile B AP cihazının kesişim noktasında A AP cihazından kopması gerekir, işte tam bu durumda AP cihazları devreye girerler DrayTek gibi markalara ait AP cihazları istenilen Threshold değerlerinde bir istemciyi kendi servis alanından kopartarak serbest bırakır. Bu durumda istemci otomatik olarak en güçlü sinyale geçecektir. Bu işlemin adına “Threshold based handover” denir bu alana ise “Threshold Based Handover Area” denir. Bu alanın hesaplanması için “Xirrus Wi-Fi Inspector” gibi yazılımlar kullanabileceği gibi istenilirse AP cihazından kullanıcının bulunduğu noktadaki bağlantı sinyalide takip edilebilir.

Xirrus Wi-Fi Inspector

“Threshold Based Handover Area” hesabı yapılırken dikkat edilmesi gereken ikinci AP yerleşiminde kesişim alanında A AP cihazı -70 dBm değerinde iken B AP cihazı minimum -69 dBm değerinde olmalıdır bu durumda A AP cihazı kendisine bağlı olan istemcinin bağlantısını kopardığı anda istemci otomatik olarak B AP cihazına bağlanabilecektir. Bu işlem yapıldığında AP cihazlarının bir diğer getirisi olan birbirleri ile anlaşma işlemide yapılacaktır, bu işlem AP cihazlarının istemci için karar vermesi aşamasıdır. Aynı alan içinde istemci birden fazla AP kapsama alanı içinde ise en iyi sinyal gücünde olan AP istemciyi otomatik olarak kabul edecektir.

DrayTek AP 902

Minimum RSSI sistemi çok daha kullanışlı bir sistemdir. Size iki seçenek sunar. “Strictly Minimum RSSI” değeri bir kullanıcının dBm değerinin belirtilen eşik değerinin altına düşmesi durumunda bağlantısının kopartılmasıdır. Bu sistemin uygun şekilde çalışması için altyapı işlemlerini yapan teknik ekibin “Threshold Based Handover Area” alanını iyi belirlemesi gerekir. Diğer bir seçenek ise kurulması ve kontrol edilmesi daha kolay olan “Minimum RSSI with Adjacent AP RSSI over” sistemidir ve “Threshold Based Handover Area” alanı belirlenirken daha esnek davranılabilir. “Minimum RSSI with Adjacent AP RSSI over” sistemi belirtilen minimum dBm değeri içinde istemciyi otomatik olarak sistemden atacak ve bir diğer AP cihazına bağlanmasına olanak sağlayacaktır. Ayrıca belirlenecek ikinci eşşik değeri ise aynı kapsama alanı içinde belirlenen minimum dBm değeri için ikinci eşik değeri ile toplamı kadar ya da daha fazla değerde bir AP yayını var ise otomatik geçiş sağlayacaktır. Bunun matematiksel karşılığı “Minimum RSSI” + “Adjacent AP RSSI over” şeklindedir, fakat bu yapıda SSID sağlayan AP cihazları DrayTek marka olmalıdır. Çünkü AP cihazları karşılıklı konuşarak istemci hakkında karar verecektir. “Minimum RSSI with Adjacent AP RSSI over” bu sistemde bir istemcinin “Threshold Based Handover Area” içinde olduğunu düşünün A AP cihazının yayın gücü bu alanda -70 dBm dir ve hizmet hala stabildir. Fakat B AP cihazının yayın gücü -65 dBm değerindedir bu durumda istemci B AP sine bağlansa daha iyi bir hizmet alabilir durumdadır. İşte bu kısımda AP cihazları kendi aralarında konuşarak bu istemciyi A AP sinden kopartıp otomatik olarak B AP sine bağlanması sağlanacaktır.

The post Kablosuz Ağlarda Roaming Uygulaması appeared first on ÇözümPark.

RESIM 1 (Firewall Stateless)

Resim 1 de görülen polis memuru stateless olarak tanımlanan firewall sistemlerine en iyi örnektir, amacı sadece trafiği düzenlemektir ve hiçbir şekilde trafik içindeki araçlar ile uğraşmaz. Bu memur için trafiğin durumu, yoğunluğu, araçların tipi, rengi yada kapasitesi herhangi bir önem taşımaz onun için öneli olan trafiğe yön vermek ve durdurulması gereken şeritleri durdurmaktır gerisi ile ilgilenmez. Firewall kuralı olarak tabir edildiğinde “x” kaynağından gelen “y” hedefine giden şeklinde bir tarifin kesilmesi yada izin verilmesi durumu söz konusudur. Basitce “192.168.1.10” IP adresinden “33.33.33.33” IP adresine giden herhangi bir durumdaki paket şeklinde tabir edilebilir, aynı firewall tipi PORT bazında çalışma yapabilse de aslında portun içeriğini kontrol edemez. Bu firewall sistemleri günümüzde kullanışsız ve ihtiyaçları kesinlikle karşılamayan bir yapıdır fakat bir çok basit modem üzerinde ev kullanıcısı ihtiyaçlarını karşılamak için kullanılır.

RESIM 2 (SPI Firewall Stateful)

Resim 2 de görülen Polis memuru stateful sistemine örnek verilebilir. Bu memur tipi bir aracın “x” noktasından “y” noktasına gidişinde aracın her bilgisi ile kendisine verilen emir düzeyinde ilgilenir. Örnek olarak vermek gerekirse Ankara’dan Afyon’a gitmekte olan araçlarda 06VHS** plakalı araç kontrol edilmeli kontrol zamanında aynı yolu kullanacak olan Cumhurbaşkanına ise transit yol açılmalıdır gibi bir işlem yapabilir. Çalışma katman aralığına göre MAC adresi yada IP adresleri trafiğin yönüne göre hedef yada kaynak olarak verilebilir. Kural olarak örnek vermek gerekirse “00-50-56-C0-00-08” MAC adresi dışında kalan “33.33.33.33” IP adresine “HTTP” servisi kullanarak yeni bağlantı isteklerine 12:00 – 13:00 arasında izin ver fakat içerikte “silah” kelimesi geçerse izin verme şeklinde bir kural tanımlanabilir. Bunu uygun örnek vermek gerekirse “00-50-56-C0-00-08” MAC adresi Cumhurbaşkanını temsil eder ve hangi araçta olduğu fark etmez, eğer araçta Cumhurbaşkanı var ise koşulsuz geçiş hakkına sahiptir, “33.33.33.33” ise Afyon Karahisar ilimizdir yani hedeftir ve özel olarak Ankara, Afyon arası yol için tanımlanmış bir kuraldır diğer şehir bağlantılarını kapsamaz, “HTTP” ise karayolunu tabir eder yani bu yolculuk karayolundan yapılıyor ise bu kural geçerlidir ve uçak ile seyahat eden insanları etkilemez ayrıca vermiş olduğumuz 12:00 – 13:00 zaman aralığı ile bu zaman aralığını kapsayacak şekilde ayarlama yapmışızdır. ” yeni bağlantı” kelimesi de önemli bir kıstastır ve stateful firewall sisteminin önemli özelliklerindendir, bu kelime anlam olarak şunu tabir eder araç bu saatlerin dışında karayoluna giriş yapmış ise bu aracı takip etme aynı şey bu saatler dışında giriş yapmış tüm araçları durdur olarak da tabir edilebilir ve son olarak “silah” kelimesi ise bu seyahat halindeki araçların içinde her ne durumda olursa olsun silah bulunuyorsa kesinlikle durdur demektir. SPI Firewall sistemleri oldukça yetenekli cihazlardır ve düşük donanım ihtiyacı nedeni ile oldukça uygun maliyetlere sahiptirler ve çok düşük donanımlarda çok yüksek kullanıcı sayısını ve bağlantıyı destekleyebilirler.

RESIM 3 ( UTM )

RESIM 4 (Threshold Based SPI Firewall Stateful)

RESIM 5

Resim 5 yapılan işlem DrayTek 3900 modelinde örnek bir Black List uygulanmış Firewall kuralıdır. Bu kuralın yaptığı işlem; Öncelikli olarak Action olarak herhangi bir drop işlemi uygulamaz ve default olarak bağlantıya izin verir, Limit Packets değerinde belirtildiği üzere bağlantı limiti 10001 değerine ulaştığında eğer Limit Penalty aktif değilse önceki bağlantılar sonlana kadar yeni bağlantıya izin vermez fakat seçili ise 10001 adet bağlantıyı oluşturan IP adresini Black Liste atar ve Block Time kısmında belirtilen süre boyunca ondan gelen tüm paketleri herhangi bir kurala ya da sisteme iletmeden direk olarak drop eder ki drop etmek önemlidir çünkü karşı tarafada bir bildirim yapmaz bu şekilde cihaz bant genişliğinide kullanmaz ki paketi BLOCK yada DROP edebilme özelliği SPI Firewall özelliğidir. Limit Mode kısmı ise bu limitlemenin herkes için mi yoksa sadece bir kişi içinmi olacağını bildirir eğer share seçilirse bu kural WAN1 den herhangi bir LAN üstündeki IP gidişlerdeki her kaynağı bloklar, eğer Each seçilirse sistem sadece 10001 adet bağlantı yapan kaynağı durduracaktır. Ayrıca bu kuralın bir özelliğide cihazın SPI Firewall içermesinden dolayı sadece yeni bağlantılara bunu uygulayacak olmasıdır yani ESTABLISHED yada RELATED bağlantılara müdahale etmez. İstenilirse bu kural Object bölümünden MAC Adresi (sadece lan to wan) /IP Adresi / IP bloku / Bir IP aralığı / Ülkesel / Servis tipi / Kullanıcı Adı / Zaman Aralığı şeklin dede özelleştirilebilir. Sistem SPI Firewall olduğu için eğer Firewall object kısmında Advanced Setting kısmında “Clear Session When Secheduler on” seçilirse ve bu kurala zaman aralığı uygulanırsa aktif olmadığı süredeki bağlantıları otomatik olarak temizler ve tüm istemcileri yeni bağlantıya zorlar. Bu sistem hacker guruplarının yapacağı ataklarda şaşırtma olarakta kullanılabilir; yapılması gereken farklı Limit Packet değerlerinde ki kuralların farklı zamanlarda çalıştırılarak bu zaman aralıklarında saldırı yapanların kara listeye alınması ve uzun vade bu kısımda tutulması ayrıca bu taktikle atak yapan ve threshold değerlerimizi öğrenmeye çalışan hacker larıda şaşırtabiliriz. Ciddi alamda uğraşılan bir sistem var ise bu durumda işi ülkesel olarak özelleştirip sürekli hizmet verdiğimiz ülkelere daha esnek limitler tanımlayarak geri kalanına daha ağır kurallar uygulayabilir bu şekilde asıl hedef kitlemize sunduğumuz hizmetlerimizin etkilenmesini de önleriz bu şekilde hizmet kalitemizi sürekli sabit tutabiliriz.

Tüm bu bilginin ardından görülen şudur ki artık SPI Firewall sistemleri de ek güvelik önlemleri olmada sistemlerimizi koruyamaz duruma gelmektedir.

ERTAN ERBEK – Üretim Proje ve ARGE Müdürü – Simet Teknoloji

The post Threshold Based SPI Firewall Sistemleri appeared first on ÇözümPark.

configure terminal
enable service web-server
vlan 1
interface vlan 1
ip address 10.10.30.5 255.255.255.0
exit
webmaster level 0 username admin password admin
ip route 0.0.0.0 0.0.0.0 10.10.30.1

Sonrasında internet tarayıcısı kullanarak controller’a bağlanıyorum ve ilk aşama olarak saat tarih ve dns ayarlarını yapıyorum.

Sonra cihazın versiyonun öğrenerek eğer yeni bir versiyon var ise update işlemi yapıyoruz. Controller üzerinde bulunan WebCLi menüsünü ayrıca sevdim.

Güncel firmware dosyasını http://ruijienetworks.com/service/download.aspx sayfasından indiriyoruz ve System – Upgrade – Local Upgarade menüsünden güncelleştirme işlemini tamamlıyoruz.

Bundan sonraki aşamalar her firmanın topolojisine göre değişiklik gösterebilir. Size fikir verebilmesi için benim network topolojim şekildeki gibidir.

Topolojide yer alan networkleri AC üzerinde tanımlamak için Advanced – Vlan menüsüne girerek oluşturuyoruz.

Varsayılan olarak Access port olarak gelen portumuzu, Vlan tanımlama sonrası Trunk Port olarak değiştiriyoruz.

Ortamımızı hazırladığımıza göre Quick Settings linkine tıklıyoruz ve Topolojimize uygun sihirbazın çalışmasını sağlıyoruz.

Yayın yapacak olan Wlan detaylarını giriyoruz.

Bu Wlan için kullanılacak Vlan bilgisini giriyoruz, DHCP kısmını yine boş bırakıyorum ve Finish ile konfigurasyonu bitiriyorum.

Bu adımdan sonra Telnet ile AP ‘lerimize bağlanıyoruz ve Tunnel IP adresine ulaşabilecek route bilgisini giriyoruz.

Varsayılan olarak Telnet şifresi : ruijie, Enable şifresi apdebug ‘dır.

DHCP sunucum üzerinde Option 138 seçeneğini bu scope için yayınlamaya başlıyorum.

Bu adımdan sonra AP menüsü altında artık cihazlarımıza ulaşabileceğiz.

Artık diğer VLAN ‘larımız için Wlan yapabiliriz. Wifi / Wlan menüsü üzerinde artı tuşuna basarak işlemlerimize başlıyoruz.

Wlan için isim ve Şifre belirliyoruz. Eğer istersek Advanced menüsünden, bu AP ‘e bağlanacak kişi sayısı, yayın yapma saatleri gibi ayarları değiştirebiliriz.

Vlan bilgimizi girerek Finish ile işlemlerimizi bitiriyoruz.

Artık wirelesslerimize bilgisayar yardımıyla bağlanabiliriz.

Access Pointlerimize bağlanan kullanıcıları ve oluşan trafik ile ilgili kısa bilgiler artık giriş ekranımıza akmaya başlayacaktır.

Eğer kullanıcı başına oluşan trafiği görmek istersek Detail menüsüne tıklamak yeterlidir.

History menüsünden ise Saatlik olarak geçmişe yönelik kayıtlara ulaşabiliriz.

Controller security menüsünde Blacklist – Whilelist, Access Listler gibi çeşitli güvenlik özelliklerini aktif edebiliyoruz.

Network ortamını izleyerek olası problemleri WIS sunucularına aktaran modülü Optimization menüsünden aktif edebilirsiniz.

Faydalı olması dileğimle.

The post RUIJIE Network Wireless Controller ve Access Point Yapilandirilmasi appeared first on ÇözümPark.

Ürünü çalıştırdığımızda kablosuz ağ adlarından “Configure.Me” olanı seçerek bağlanıyoruz.

İnternet tarayıcımıza https://192.168.101.1 yazarak konfigurasyon sayfamızı açıyoruz ve “Create New Unleashed Network” seçeneğiniz seçiyoruz.

Master rolünün yüklenmesi için biraz bekliyoruz.

Kablosuz ağ domaini için isim ve lokasyon bilgisini giriyoruz.

IP yapılandırılmasını yapıyoruz.

Dağıtım yapılacak ilk Wireless Ağını burada oluşturuyoruz. Yazımızın devamında farklı Wlan oluşturmayı göreceğiz.

Admin hesabı için kullanıcı adı ve şifre belirliyoruz.

Özet bilgilere kısaca bir göz atıp Finish butonuna basarak işlemi başlatıyoruz.

Kurulum işleminin bitmesi için ortalama beş dakika bekliyoruz.

Kurulum sonrası kullanıcı adı ve şifre ile portala bağlanabiliriz.

Son derece sade ve kullanışlı bir karşılama ekranı bize sunuluyor. Menuleri sırasıyla incelemeye başlayalım.

Wifi-Networks menüsünde yayında olan kablosuz ağlarımızın detayına ulaşıyoruz.

Eğer yeni bir Wlan oluşturmak istersek Create butonuna basmamız yeterli. Sonrasın sihirbaz bize gerekli adımları sunmaktadır.

Clients menüsü, Access Pointlerimize bağlı olan kullanıcılar hakkında bize bilgi vermektedir. Eğer istersek buradan kullanıcıları yasaklayabiliriz.

Details butonuna tıkladığımızda ise kullanıcı hakkında daha ayrıntılı bilgilere ulaşabiliriz.

Access Point menüsünde ise kullanımda olan dağıtıcılar hakkında detaylı bilgiye ulaşabilirsiniz.

İlgil Access Point üzerinde çift tıklarsanız, cihaz üzerindeki ayarlara ulaşabilirsiniz.

Trafiğe bakılırsa sanırım kullanıcılarımızdan bazıları BMW almaya niyetleniyor :p

WPS menüsünde kablosuz ağları hedefleyen kötü niyetli uygulama veya kişilere yönelik basit IDS – IPS özelliklerini aktif edebiliyoruz.

AAA menüsünde ise kimlik doğrulama hizmetini entegre edebiliyoruz. Active Directory özelliğinin olması son derece güzel.

Faydalı olması dileğimle….

The post RUCKUS Unleashed Access Point Yapılandırılması appeared first on ÇözümPark.

RESIM 1

RESIM 1 dosyasında örnek olarak üç ayrı AĞ yapısı vardır, bunlardan ;

RESIM 2

Bu yapıda Layer3 sonlandırma DrayTek tarafında değil Linksys switch tarafından yapılacaktır, bu nedenle öncelikli olarak DrayTek cihazına kendisine istekte bulunacak bu ağ lara nasıl gideceğini tanımlamamız gerekmektedir, bunun için “LAN >> Static Route Setup” menüsüne giderek herhangi bir index numarasına alttaki gibi giriş yapalım.

Eğer switch üzerinde sonlandıracağınız subnet sayısı fazla ise bu durumda süper subnetinde yapabilirsiniz. Mesala 192.168.3.0/24 subnetinden başlayarak 192.168.40.0/24 subnetine kadar olan aralığın hepsini switch üzerinde sonlandırmayı planlıyor iseniz “Destination IP Address” kısmına 192.168.0.0 ve “Subnet Mask” kısmınada 255.255.0.0 girebilirsiniz, bu kısımda dikkat edilmesi gereken Draytek cihazı ile başka lokasyonlara VPN yapıyorsanız yada WAN tarafında bir MPLS yapısına bağlı iseniz bu bağlantıların hiçbirisinde 192.168.0.0/16 tarafından kapsanan bir IP Subneti olmamalıdır. Eğer işlemleri doğru yaptı iseniz DrayTek Routing tablosu ” Diagnostics >> View Routing Table ” kısmından girdiğinizde alttaki gibi olmalıdır.

Yapımızda artık DrayTek ile bir internet çıkışımız, Synology cihazı ilede gelişmiş bir DHCP sunucumuz bulunmaktadır. Şimdi hazırlamamız gereken ağda bulunan istemcilerimizle fiziki bağlantıyı kuracağımız ve Layer3 sonlandırmayı yapacağımız Linksys Switch modelinin yapılandırmasına. Linksys Switch ailesi fabrika ayarlarında DHCP den IP alacak şekilde ayarlanmıştır, DHCP sunucunuzda Belkin firmasına ait olan ” B4-75-0E ” ile başlayan MAC adresi switch cihazınıza aittir. Eğer bir DHCP sunucunuz yok yada daha yapılandırmadı iseniz cihazın fabrika erişim IP adresi 192.168.1.252 şeklindedir. Cihazın ara yüzüne erişince sırası ile alttaki ayarlamaları yapacağız.

Cihazın WEB ara yüzüne eriştiğinizde öncelikli olarak “Maintenance” menüsünden “System Mode” sekmesini “L3 Mode” çekerek reboot ettiriniz. Bu şekilde cihazın çalışma seviyesini Layer3 seviyesine çıkartmış olacağız.

Cihaz tekrar başladıktan sonra cihazın DHCP den aldığı yada Default IP adresini değiştirmek için “Configuration >> IP Interface >> IPv4 >> IP Interfaces” kısmında “VLAN 1” kısmını seçerek edit tuşuna basıp IP Address Type kısmını Static IP address kısmını bu anlatıma göre “192.168.1.2” ya da sizin yapınıza göre belirlediğiniz IP adresini yazalım Bu sayfada ayrıca “IPv4 Routing” başlığı seçilmiş ve “Apply” tuşuna basılmış olmalıdır. Cihazda IPv4 sekmesinde DHCP den IP almamış ise Default route girilmelidir.

Şimdi yapımızda kullanacağımız Layer2 VLAN ları oluşturmak için “Configuration >> VLAN Management >> VLANs” kısmına gidelim ve ihtiyacımız olan VLAN ları “Add” tşuna basarak oluşturalım. Bu yapıyı VLAN sız olarak fiziki portlara IP ataması usulü ilede yapabiliriz fakat eğer bu switch uplink görevi görecek ise ve alttaki switchlerimize birden fazla IP subneti göndereceksek bunu VLAN ile yapmalıyız.

Örnek yapıda kullanacağım sistem için biz portlara Host yada yönetilemez switch bağlayacağız bu nedenle portların “Untag / Access” olarak çalışması gerekmektedir, siz başka bir VLAN switch aktaracaksanız portlarınız bu VLAN yapıları için “Tagged” çalışmalıdır bizim yapımız için ise Untag olarak çalışacağından “Configuration >> VLAN Management >> VLAN Memberships” kısmından VLAN 100 için VLAN ID kısmından 100 nolu VLAN seçip GE10 portunu Untagged olarak seçelim ve aynı işlemi VLAN 200 ve GE11 için tekrarlayalım.

Artık mantıksal VLAN yapılarımızı kurduğumuza ve bunları fiziki portlara atadığımıza göre, mantıksal IP Adreslerimizi bu mantıksal VLAN lara aktarabiliriz. “Configuration >> IP Interface >> IPv4 >> IP Interfaces” kısmına giderek “Add” tuşuna basalım

Bu arayüze vereceğimiz IP adresi bu port üzerinden ağa dahil olacak olan tüm cihazlar için AĞ geçidi olarak kullanılacaktır bu nedenle “1” nolu IP adresini vermenizi tavsiye ederim.

Sistemiz şu an için bu portlara bağlanacak herhangi bir cihazı internete çıkartabilecek durumdadır, elbette DHCP sunucu olmadan sadece statik IP tanımladığımız kullanıcılarımız internete çıkabilirler. Bizim yapımızda DHCP sunucu olarak Synology cihazı yapılandırılmıştı, şimdi Linksys Switch cihazımıza kedisine gelen istekleri Synology cihazına iletmesini söylemek için ” Configuration >> IP Interface >> DHCP >> DHCP Relay & Snooping ” menüsüne girerek ” DHCP Relay” özelliğini “Enable” edip “Apply” tuşuna basalım ve “Add” tuşuna basarak DHCP Sunucu görevi üstlenecek Synology cihazımızın IP adresini girelim. Cihaza istenilirse birden fazla Relay DHCP sunucu IP adresi girilebilir bu şekilde her Port / VLAN için yada farklı Port / VLAN yapıları için farklı yada aynı sunucu kullanılabilir.

Bu işlemden sonra tek yapmamız gereken hangi Port / VLAN yapıları üzerinden DHCP isteklerini DHCP sunucuya göndermesi gerektiğini switch cihazımıza söylemek olacaktır. Bunun için ” Configuration >> IP Interface >> DHCP >> DHCP Interface ” menüsüne girerek DHCP servisini çalıştırıp dinamik IP dağıtımı yapmak istediğimiz ara yüzü seçip bu ara yüz üzerinde DHCP Relay özelliğini aktif etmek olacaktır.

Umarım faydalı olmuştur. Bir sonraki makalemizde görüşmek üzere

The post LAYER 3 Sonlandırma Teknikleri appeared first on ÇözümPark.

Kablolu veya Kablosuz Ağlarda 802.1x ile Merkezi Güvenliğin Sağlanması

Kablosuz Ağlarda Roaming Uygulaması

HP 830 Series PoE+ Unified Wired-WLAN Switch Switching Engine Web-Based Configuration Bölüm2

HP 830 Series PoE+ Unified Wired-WLAN Switch Switching Engine Web-Based Configuration Bölüm3

Cyberoam VPN Kurulumu – IPSec – SSL VPN – L2TP Cisco VPN

Threshold Based SPI Firewall Sistemleri

RUIJIE Network Wireless Controller ve Access Point Yapilandirilmasi

RUCKUS Unleashed Access Point Yapılandırılması

LAYER 3 Sonlandırma Teknikleri

Palo Alto Firewall ile Draytek Modem Arasında Site-to-Site VPN Kurulumu

TFTP Kullanarak Pasif Cihazlara Firmware ve İşletim Sistemi Kurulumu

Güvenlik Mimarileri

HP 830 Series PoE+ Unified Wired-WLAN Switch Switching Engine Web-Based Configuration Bölüm1

Ubiquiti Power Beam 5AC GEN2 Kurulum

Kablolu veya Kablosuz Ağlarda 802.1x ile Merkezi Güvenliğin Sağlanması

Kablosuz Ağlarda Roaming Uygulaması

Threshold Based SPI Firewall Sistemleri

RUIJIE Network Wireless Controller ve Access Point Yapilandirilmasi

RUCKUS Unleashed Access Point Yapılandırılması

LAYER 3 Sonlandırma Teknikleri