Etiket Arşivi: 'firewall'

Cisco Router ZPF (Zone Policy Firewall) Yapılandırması

Merhabalar.

Cisco Router’larınızda security lisansınız aktif ise ZPF özelliğinden faydalanabilirsiniz. Bu özellik sayesinde protokol bazlı kısıtlamanın nasıl yapılabileceğini sizlere basitçe anlatmaya çalışacağım.

Örnek senaryomuzda, işlem yapacağımız Routera bağlı olan bilgisayarların, bulundukları OZEL olarak adlandıracağımız ağ alanından, dış ağa yani GENEL olarak adlandıracağımız internet ağına sadece istediğimiz protokollerde işlem yapmasını sağlayacağız. Bu ağdaki PC ler, sadece http, https ve dns protokollerini kullanabilecek ve bu protokollere yanıt alabilecektir. Bu sayede web erişimi dışında her şeyi yasaklamış olacağız.

Lisans kontrolü için “show version” komutunu kullanabilirsiniz. Security lisansınız aktifse işlemlere geçebilirsiniz.

İlk adımda öncelikle zone ların oluşturulması gerekmektedir.

Öncelikle “conf t” komutu ile terminal konfigurasyon bölümüne girelim.

Daha sonra “zone security OZEL” komutunu kullanarak “OZEL” adında bir zone oluşturalım. Buraya istediğiniz farklı bir isim verebilirsiniz.

ardından “exit” ile bir önceki menüye dönelim ve “zone security GENEL” komutu ile “GENEL” adından bir başka zone oluşturalım

Daha sonra sınıf haritası oluşturmamız gerekmektedir. Bunun için,

“class-map type inspect match-any WEB” komutunu kullanıyoruz. Buradaki inspect ve match-any yönergelerini ihtiyacınız doğrultusunda diğer komutları kontrol ederek değiştirebilirsiniz. Ben amacımıza yönelik komutları paylaşıyorum.

Class-map oluşturduktan sonra map içine protokolleri girmemiz gerekiyor. Bunun için kullancağımız komutlar;

“match protocol http”

“match protocol https”

“match protocol dns”

Sınıf haritası oluşturma işlemimiz tamamlandı.

Bir sonraki adımda kural haritası oluşturacağız ve eylemleri tanımlayacağız.

“policy-map type inspect OZEL-TO-GENEL”

Bu komutla OZEL-TO-GENEL adında bir kural haritası oluşturduk. İsmi yine kendiniz düzenleyebilirsiniz. Ardından;

“class type inspect WEB” komutunu kullanarak kural haritasının sınıf tipini belirliyoruz. Burada yazdığımız “WEB” ismi yukarda oluşturduğumuz sınıf haritasının ismidir.

Etkinleştirmek için “inspect” komutunu giriyoruz ve burada işimiz tamamlanıyor.

“exit” komutunu 2 kez kullanarak conf menüsüne geri geliyoruz.

Şimdi sırada zone pair oluşturmamız gerekiyor.

“zone-pair security OZEL-GENEL source OZEL destination GENEL”

Burada girdiğimiz kaynak ve hedef bilgileri yukarda oluşturduğumuz zone ların bilgileridir.

Daha sonra;

“service-policy type inspect OZEL-TO-GENEL” komutunu giriyoruz. Burada belirttiğimiz OZEL-TO-GENEL ismi yukarda oluşturduğumuz kural haritasının ismidir.

Zone ayarları tamamlandığına göre artık bu ayarlarımızı interface lerimize tanımlayabiliriz.

Bizim örneğimizde Router’ımızın özel alana bakan portu gig0/0/0 ve genel yani internet alanına bakan portu ise gig0/0/1 olsun.

Conf altında iken

“interface gig0/0/0”

“zone-member security OZEL”

“interface gig0/0/1”

“zone-member security GENEL”

Bu sayede yapılandırmamızı tamamlamış olduk. Artık testlerinize geçebilirsiniz.

Özel taraftaki PC ‘ ler internet alanına http, https, dns harici hiçbir protokolde işlem gerçekleştiremeyeceklerdir.

Güvenli günler dilerim.

Profesyonel IT Destek Hizmetleri

Merhabalar.

IT alanında kişi ve kurumlara, profesyonel destek vermekteyim.

Özellikle IT çalışanları ve yöneticilerinin, kurumları bünyesinde karşılaştıkları durumlar ile ilgili tarafımdan destek alabileceklerini belirtmek isterim.

Referans olarak, uzun zamandır “Sunucu Optimizasyonları” alanında çalışmalar gerçekleştirdiğim konuma göz atabilirsiniz.

Merhabalar,

Optimizasyon konusunda, Web Serverlar dışında, farklı görev ve amaçlar için oluşturulmuş ister sanal ister fiziksel her türlü sunucular ve sanallaştırma sistemlerikonusunda da tarafımdan destek alabilirsiniz.

Kurumsal firmalar çatısı altında bulunan Domain Controller, File Server, WSUS, SMB Server, WDS Server, DHCP Server, DNS Server, Proxy Server, IIS Server, Backup Server vb. sistemler için de tarafımdan danışmanlık alabilirsiniz.

Ayrıca kurumunuz çatısı altında yaşadığınız her türlü, Windows & Linux problemleriniz için ve Firewall, Router, Switch konfigurasyonlarınız için yine tarafımdan profesyonel destek alabilirsiniz.

Proxy Server kurallarınız, ePO, DLP gibi Domain bazında Antivirüs yönetimi yaptığınız sistemlerle ilgili yaşadığınız sorunlar ile ilgili ve Load Balancing, Bandwith Monitoring konuları ile ilgili de tarafımdan profesyonel destek alabilirsiniz.

Active Directory yönetimi konusunda da her türlü konuda tarafıma ulaşabilirsiniz.

Aynı şekilde var ise mevcutta kullandığınız Bulut Santral, IP Telefon, Voip altyapılarınız ile ilgili de tarafımdan destek alabilirsiniz.

Uzun sözün kısası, sadece bireysel değil, kurumsal anlamda yaşadığınız her türlü IT & Network & Veri Merkezi Yönetim, Yönetilebilir Router & Switching, Firewall konfigürasyon ihtiyaçlarınız için tarafımdan profesyonel teknik destek ve danışmanlık hizmeti alabilirsiniz.

Uzaktan çözümlere ek olarak, Türkiye genelinde yerinde çalışmalar da gerçekleştirmekteyim.

İyi çalışmalar dilerim.

LinkedIN : https://www.linkedin.com/in/cihan-culha/

Saldırı Durumu Çalışması

Merhabalar.

Geçen gece, geçenlerde optimizasyon yaptığım site sahibi, sitesinin misafir sayfalarının gayet hızlı açıldığını ama kullanıcı girişi yapan kullanıcılar için sitenin yavaşladığını belirtti. Mesajı alır almaz normal bir durum olmadığını anladım.

Siteye giren ip adreslerine baktığımızda büyük miktarda Hindistan ve Amerika IP’si olduğunu görünce saldırıyı anlamak zor olmadı. Siteye yaklaşık anlı 1500 istek vardı.

Durum benim için gayet iyiydi zira yaptığım optimizasyonlar olmasa site çoktan çökmüş olmalıydı. Kullanıcının güvenlik çalışması için bütçe ayırmaması neticesinde, sadece web servislerini güçlendirecek birkaç işlem planladım.

Litespeed’i ddos atağına karşı koyacak şekilde yeniden düzenledim. Site SSL limitini aştığı için SSL limitini artırdım. Bağlantı zaman aşım sürelerini yeniden düzenledim. Cloudflare ayarlarını saldırı anında aktif edilecek şekilde tekrar ayarladım ve site sahibine bilgisini verdim.

Çalışmalarıma başladıktan kısa süre sonra sitedeki IP dağılım yoğunluğunda Türkiye tekrar ilk sıraya oturdu ve botlar siteyi rahat bıraktılar. Site sahibi ise gayet masumane şekliyle, bana kim neden saldırır ki diyordu. Sorunun cevabı basit, meyve veren ağaç taşlanır. İnternet üzerinden web siteleri ve reklam gelirleri ile para kazanan biriyseniz, sektörünüz ne olursa olsun, bir başkasının kazanmak istediği parayı kazanıyorsunuz demektir. Biraz siteniz büyüyüp geliriniz arttığı anda hedef olursunuz. Hem attack hem de anti-seo şeklinde saldırılara maruz kalırsınız.

Müşterime bu işlemler de yetersiz kalırsa tarafımdan güvenlik çalışması alması gerektiğini belirttim.  Bu çalışmada sunucuya firewall kurulup özel olarak tarafımca konfigure edilir ve saldırıların nefesi büyük ölçüde kesilir. Yine keza güvenlik yatırımı yapmak isteyen kişiler cloudflare gibi DNS hizmeti veren sitelerden ücretli firewall hizmeti satın alabilirler. Bu gibi hizmetleri veren başka firmalar da mevcuttur. Tabi önemle belirteyim ki, bu tarz aracı siteler, IP adresinizi gizli tutmayı başarmış olduğunuz durumlarda iş görecektir. Size saldıran sizin gibi değil de, benim gibi biriyse, yine benim gibi birinden destek almaktan başka şansınız kalmamış demektir. Ya da çok param var senle uğraşamam diyip, donanımsal firewall hizmeti satın alabilirsiniz.

Not: Donanımsal firewall da konfigurasyona bağımlıdır, kimden aldığınız değil kime konfigure ettireceğinize dikkat edin. Sonuçta onun konfigurasyonu için yine kapımı çalabilirsiniz beklerim :)

 




ankara escort izmir escort antalya escort eskişehir escort escort ankara