Afşin Taşkıran

Istanbul Bilgi Universitesi’nde duzenlenen Ozgur Yazilim ve Acik Kaynak Gunleri etkinliginde 4 Mart 2007 Pazar gunu saat 15:00 de “Linux Uzerinde Ileri Duzey Guvenlik Duvari Uygulamalari” baslikli bir sunum yapacagim. Sunumda deyinecegim ana basliklardan soz etmek gerekirse;

Kopru modunda Linux
ebtables ile L2 paket filtreleme
Iptables ile paket filtreleme ve NAT işlemleri
Patch-o-matic
L7-filter ile güvenlik duvarı işlemleri
Linux ile trafik kontrolü ve QOS
Cluster yapıda Linux güvenlik duvarı

Ayrica EnderUnix ekibinden Baris Simsek‘in “Acik Kod Voip Cozumleri” ve Huzeyfe Onal‘in da “Ozgur Güvenlik Yazilimlari ile Sinir Güvenligi - Ozgur Yazilimlar Ne Kadar Yeterlidir? ” baslikli sunumlari olacak.

One-time-passwd adi verilen tek kullanimlik sifrelerin kullanimi oldukca artti. Yazilim uygulamarindan guvenlik duvari, sunucu girislerine kadar heryerde tek kullanimlik sifre uygulamasina gecilmeye calisiliyor.

Calisma yapisi olarak tum kimlik dogrulama bir Radius sunucudan gerceklesiyor. Yani sisteminizi ya da uygulamanizi Radius’dan sifre soracak sekilde ayarlamaniz gerekiyor. Kutu urunlerde one-time-passwd kullanimi daha kolay olsa da Linux ve BSD sistemlerde biraz sancili olabiliyor.

Linux sistemlerde Pam yardımı ile Radius sunucusu üzerinden kimlik doğrulama yapabilmek için pam_radius_auth modülünün kurulu olması gerekiyor. Aşağıdaki adresten bu modülü indirebilirsiniz.

http://www.freeradius.org/pam_radius_auth/

Kurulum asamasinda pam kutuphanelerinin yapilandirmasina dikkat etmeniz gerekiyor.

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır.

Ağ geçidi olarak çalışan güvenlik duvarlarının farklı ağ katmanlarında IP adresi olması gerektiğinden ağ geçidinin gizliliği soz konusu olamaz. Varolan bir ağ yapısına güvenlik duvarı konumlandırılmak istendiğinde ağ katmanlarının ayrılması ve en az iki ağ katmanı oluşturulması gerekir. Adres yönlendirme gerekmeyen ağlarda güvenlik duvarının ilgili ağ arayüzünde IP adresi olmadan çalıştırılabilmesi, bu gibi güvenlik ve yapılandırma problemlerine çözüm getirmektedir. Güvenlik duvarının bu şekilde çalıştırılmasına köprü modu da ( bridge mode ) denmektedir.Ayrıca köprü modunda çalıştırılırken kullanıcılara hissettirmeden trafik kontrolu yapılabilmektedir. Layer 7 paket filtreleme ve IDS/IPS sistemler için ideal yapıdır.

Bu belgeye kişisel web adresimden ve EnderUnix belge deposundan erişebilirsiniz.