Yazılarım

PfSense Nedir ?


Merhaba ,

Bu yazımda ağ güvenliği kavramlarından birtanesi olan Firewall’dan  (Güvenlik Duvarı) bahsedeceğim.Güvenlik duvarının tüm internet kullanıcıları açısından sahip olduğu önemini sizlere anlatacağım ve incelemesini yaptığım bir Firewall dağıtımı hakkında bildiklerimi anlatacağım.

Firewall (Güvenlik Duvarı) Nedir ?

Firewall isminde de görüldüğü üzere bir duvardır.

Evet;

Günümüzde herşeyi içerisinde barındıran internet ile biz kullanıcılar arasında bir duvardır ve güvenliği sağlamak amaçlıdır.İnternet üzerinden bizim cihazımıza gelebilme ihtimali olan tüm kötü amaçlı saldırıları durdurmayla görevli olan,bizimle iletişime geçecek olan diğer ağ cihazlarıyla bağlantımızı bizim daha önceden belirlediğimiz kurallar doğrultusunda yöneten yazılımlar veya cihazlara Firewall denir.

 

Üstteki görselde Firewall ağ üzerinde yapmış olduğu görev anlatılmaktadır.Yeşil olarak gösterilen bitler zararsız olan datalardır ve iç ağ sistemine ulaşmasına izin verilmektedir.Fakat kırmızıyla renklendirilen bitler ağ sistem yöneticisi tarafından zararlı veya uygunsuz olarak belirlenmiş ve iç ağa girmesi yasaklanan datalardır.Yani kötücül içerikler,virüsler,saldırılar,trojanlar vs.bulunduran yazılımlar ve uygulamalar olabilicek içeriklerdir.

Günümüzde internet erişimi üzerinden işlerini yürüten şirketler ,devlet veya özel kurumlar hatta kafeler,restauranlar kısaca internet kullanıcısının bulunduğu her kuruluş ve işletme kullanıcıları ayrıca kendisini varsa sunucularını koruyabilmek için Firewall kullanmaktadır.Keza kullanmalıdırda !

 

İkinci eklemiş olduğum görselimizde güvenlik duvarının işlevini daha net görebiliriz.Firewalllar internet ile kullanıcı arasında bir filtredir,süzgeçtir diyebiliriz.İnternet doğrudan firewall’a gelir filtrelenir geçmesine izin verilen uygun görülen içerikler süzgeçten geçirilerek bizlere gösterilir.Ağ kapsamında bakacak olursak güvenlik duvarları kendilerine gelen ve zararlı olduklarını tespit ettikleri ağ paketlerini DROP eder.Yani hiçbir şekilde geçirmezler tamamen engellerler.Ve paketi gönderen IP sahibine hiçbir cevap döndürmezler.

(Sızma Testlerinde bu durumdan faydalanabiliriz.)

Toparlayacak olursak;

Firewall internet kullanımlarında kullanıcıya gelebilecek olan virüslere,kötü amaçlı yazılımlara,istenmeyen reklam vs. yayınlara karşı bir filtreleme yaparak internete erişimimizi güvenli hale getiren sistemdir.

PfSense Nedir ?

PfSense , bir Firewall (Güvenlik Duvarı) dağıtımıdır ve FreeBSD Tabanlıdır.Ücretsiz bir yazılımdır geliştirmeye açıktır yani açık kaynak kodlarına sahiptir.Sistem düşük sistem gereksinimlerine sahiptir. 1 GB disk ve 128 MB bellek ile bu dağıtımı rahatlıkla kullanabilirsiniz.

Kurulumunu gerçekteştirdikten sonra yapılandırma işlemleri, geliştiricileri tarafından hazırlanmış olan Web Arayüzü üzerinden yapılmaktadır.Güçlü ve esnek bir güvenlik duvarı ve yönlendirici platformu olmasına ek olarak, uzun bir özellik listesine ve paket sistemine sahip olması epey avantaj sağlamaktadır.Bu paket sistemi işletim sistemine kolay genişleme esnekliği vermesinin yanısıra dağıtımda güvenlik açıkları oluşmasını da engellemektedir.

PfSense yayınladığı günden bu zamana 1 Milyondan fazla indirilme sayısına sahiptir ve tek pc’den oluşan küçük ağlarda; binlerce ağ cihazına sahip büyük işletmelerde, üniversitelerde ve diğer organizasyonlarda sayısız kurulumla kendini kanıtlamıştır.

Peki PfSense ile Neler Yapabiliriz ?
  • Cihazlarımızı internet bağlantısı üzerinden gelebilecek saldıralara karşı koruyabiliriz.
  • Ağınızdaki kullanıcıların erişebilecekleri sayfaları kısıtlayabilirsiniz.
  • Kullanıcılarınızın ziyaret ettikleri sayfaları detaylı tarih damgasıyla kayıt altına alabilirsiniz.(Log kaydı)
  • Süreli kısıtlamalar yapabiliriz
  • Birtakım uygulamaları engelleyebiliriz.
  • Kategoriler belirleyerek kısıtlama yapabiliriz.(Örneğin; Oyun siteleri,Forumlar,download siteleri,pornografik içerikli siteler vb.)
  • Kullanıcılarda kategorilere ayrılarak kısıtlamalar yapılabilir.(Örneğin; Öğrenciler,öğretmenler,personel,muhasebe vb.)
  • Kullanıcılara belirlenen Kullanıcı Adı ve Parola bilgileri ile internet erişimlerine izin verilebilir.Böylece Wifi ağınızın parola koruması olmasa dahi internete kimse erişemez.
Kullanımı

PfSense’i VMware Workstation yada VirtualBox sanal makineleri üzerinde live olarak çalıştırabilir veya kurulum yaptıktan sonra web arayüzünden rahatlıkla denemeler yapabilirsiniz.

Sistem Gereksinimleri
  1. İşlemci: 100 Mhz Pentium
  2. Bellek: 128 MB
  3. Disk: 1 GB
  4. PfSense ISO İmajı
Teknik Özellikleri Nelerdir ?

Güvenlik Duvarı
• Kaynak veya Hedef IP, Protokol, kaynak veya hedef porta(UDP/TCP trafiği için) göre filtreleme.
• Kural tabanlı olarak bağlantıları kısıtlayabilme.
• İşletim sistemine göre paketlerin geçişine izin verebilme veya engelleme.
• Her kural için kayıt tutma ya da tutmama.
• Her kural için politika tabanlı yönlendirme .(Özellikle yük dengeleme, failover, çoklu geniş ağ bağlantısı yönetimi)
• IP, ağ veya portların Alias sistemi kullanılarak gruplanabilmesi.
• Transparan 2. katmanda güvenlik duvarı uygulayabilme.
• Paket normalleştirme .(Normalization)

Durum (State) Tablosu
• Ayarlanabilir durum tablo boyutu. Varsayılan durum tablo boyutu 10000 durumdur, ancak bu istenilen şekilde, ihtiyaca göre değiştirilebilir.
Her kural için
• İstemci Bağlantı sayısı kısıtlanabilir
• Hedef sunucuya yapılacak bağlantı sayısı kısıtlanabilir
• Saniyede açılabilecek bağlantı sayısı kısıtlanabilir
• Durum zaman aşımı değerleri ayarlanabilir.
• Durum çeşidi ayarlanabilir (keep state, modulate state, synproxy)
• Durum tablosu optimizasyonu
• Normal : Varsayılan algoritma
• Yüksek gecikme(High Latency) : Uydu bağlantıları gibi yüksek gecikmeye sahip linklerde kullanılabilir, durum tablolarının normalden daha uzun süre tutulmasını sağlar.
• Agresif(Aggressive) : Bağlantıların daha kısa zamanda sonlandırılmasını sağlar
• Tutucu (Conservative) : Legal bağlantıların daha uzun süreli hafızada tutulmasını sağlamaya çalışır.

Adres Dönüşümü (NAT)
• Port yönlendirme, port aralıkları ve birden fazla IP kullanılarak.
• Birebir Adres Dönüşümü (Bi-nat) IP’ler ve ağlar için
• Adres Dönüşümü Yansıtma : Yerel ağdaki cihazların yerel ip adresine sahip sunuculara dış IP adreslerinden ulaşabilmelerini sağlar.

Yük Dengeleme (Load Balancing)
• Dışarı yönde yük dengeleme : Birden fazla geniş alan ağ bağlantısının yerel ağlara kullandırılmasını ve hata denetimi yapılarak sorun hatlardan çıkışın engellenmesini sağlar.
• İçeri yönde yük dengeleme : Birden fazla sunucunun aynı servisi tek bir sunucu gibi vermesini sağlar. Ping paketlerine yanıt vermeyen sunucular otomatik olarak servis havuzundan çıkartılacaktır.
VPN PfSense, vpn için üç seçenek sunmaktadır. IPSec, OpenVPN, PPTP.

Raporlama ve İzleme (Reporting and Monitoring)
RRD Grafikleri : RRD grafikleri geriye dönük olarak, aşağıdaki bilgileri sağlar
• CPU kullanımı
• Toplam throughput
• Güvenlik duvarı durum tablosu (state table)
• Her arabirim için ayrı ayrı throughput değerleri
• Her arabirim için ayrı ayrı saniyede geçen trafik miktarı (Per second rates)
• Geniş alan ağ arabiriminden (WAN) ağ geçitlerine ping erişim süreleri
• Trafik şekillendirmesi (traffic shaping) yapılan sistemlerde kuyruk grafikleri
• Gerçek Zamanlı Bilgilendirme
• SVG grafikleri gerçek zamanlı olarak arabirimler üzerinden geçen trafiği görüntülemektedir.

Dinamik DNS 

Dinamik DNS servisi aşağıdaki sağlayıcılar kullanılarak dinamik IP adreslerinize dns servisi hizmeti sağlanmasına olanak verir.
• DynDNS
• DHS
• DyNS
• easyDNS
• No-IP
• ODS.org
• ZoneEdit

Kontrollü Hizmet Portalı (Captive Portal)
Captive Portal hizmeti, ağ hizmeti alınabilmesi için kullanıcıların yetkilendirilmesini veya bir sayfaya tıklayarak geçiş yapmasını sağlayan bir hizmettir. Bu hizmet özellikle kablosuz kamuya açık alanlarda kullanılabildiği gibi, kurumsal ağlarda kablosuz ağlara ekstra bir güvenlik katmanı sağlanması için kullanılabilmektedir. Captive Portal hizmetiyle aşağıdaki ayarlamalar yapılabilmektedir.

• Bir istemci ip adresinden açılabilecek toplam bağlantı sayısı (Maximum concurrent connections) sınırlanabilir.
• Idle timeout : Belli bir zamandan fazla süredir işlem yapmayan istemcilerin bağlantıları kesilir.
• Hard timeout : Tanımlanmış bir zaman sonra tüm istemcilerin bağlantıları kesilir. – Logon Pop-up penceresi : Bağlantı açıldıktan sonra bir log-off penceresinin gösterilebilir.
• URL Yönlendirme : Yetkilendirme başarıyla yapıldıktan sonra kullanıcılar tanımlanmış olan belli bir url adresine yönlendirilebilir.
• Yetkilendirme seçenekleri : Üç adet seçenek mevcuttur.
• Yetkilendirme yok : Kullanıcı sadece portal sayfasına tıklar ve gerekli bilgileri doldurur.
• Yerel kullanıcı yönetimi : Kullanıcılar için PfSense üzerinde yerel bir kullanıcı veritabanı kullanılır.
• Radius yetkilendirmesi : Kurumsal ağlarda ve Servis sağlayıcılarda genellikle tercih edilen bir yetkilendirme şeklidir. Microsoft Active Directory veya farklı Radius sunucularından kullanıcıların doğrulanmasını sağlayabilmektedir.
• HTTP veya HTTPS : Kullanıcı yetkilendirmesi http veya https portal sayfası üzerinden yapılabilmektedir.
• Dosya Yöneticisi : Portal sayfasına farklı sayfalar ve/veya resimler yüklenebilmesi sağlanabilir.

Bandwidthd
Bandwidthd ağların trafiklerini takip ederek, bunların html grafiklerini oluşturur. Grafikleri IP bazlı olarak hazırlanmaktadır ve ön tanımlı olarak 2 günlük, 8 günlük, 40 günlük ve 400 günlük periyotlarla gösterilmektedir. Buna ek olarak, her ip adresinin kullanımı 3.3 dakikalık, 10 dakikalık, 1 saatlik ve 12 saatlik cdf formatında veya bir veritabanında tutulabilmektedir.

SquidGuard
• Squid’le birlikte kullanılan bir karaliste uygulamalı url yönlendiricisidir.
• SquidGuard ile istenilmeyen sitelere erişim yapılması engellenir ve trafik bir url’ye yönlendirilir..
Geriye dönük kayıt tutulabilir..
• Hazır ve internetten otomatik güncellenen kara liste sayesinde sadece engellenmesi istenilen kategoriler (porno, kumar,şiddet vs.) belirtilir ve bunlar otomatik olarak engellenir..
• Sitelere IP adresleri ile erişilmesi engellenebilir.

Siproxd

• Siproxd SIP protokolü için bir vekil (proxy)/maskeleme(masquerading) sunucusudur. Özel IP(Private IP) ağlarında yer alan SIP istemcilerinin kayıt işlemlerinin(registration) ele alınmasını ve SIP mesaj başlıklarının Adres Dönüşümü (NAT) arkasından bağlantı kurulabilmesi için uygun şekilde yeniden yazılmasını sağlar.

DNS Sunucusu

• PfSense kendi üzerinde dns sunucusu tutulmasını ve bunların servisinin verilmesini sağlamaktadır.

Dhcp Sunucusu ve Dhcp Aktarımı (Relay) 

• PfSense dhcp sunucusu veya dhcp isteklerini aktracak bir sunucu şeklinde ayarlanabilmektedir.

Lightsquid 

• LightSquid squid tarafından üretilen url kayıtlarının bir html sayfası şeklinde ve IP/Host/URL tabanlı olarak görüntülenebilmesini sağlar.

Freeradius

• Freeradius özgür ve açık kaynak kodlu bir radius yazılımıdır. PfSense üzerinde radius uygulanabilmesini sağlar.

 

PfSense Nedir ?” üzerine 3 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir