Günümüzde gelişen ve artan internet hizmetleri bizi sevindirdiği gibi artan tehdit ve riskleriylede göz korkutma derecesine gelmiştir. Artık çok masumane girilen internet sitelerindeki script ve denetimler sayesinde kullanılan makinalar 1-2 ay sonra çöp tenekesi gibi artık ve zararlı malwarelerle dolmaktadır. Zyxel firması bu istekelere cevap olarak sürdüğü firewall serisinden Zywall 5 UTM sizlerle paylaşmayı düşünüyorum. Kurulumu ve ayarları oldukça basit ve keyiflidir..
Yapacaklarımız Şunlardır:
1: Sistemdeki Pc leri Zywall üzerinden internete çıkartmak
2: Idp ile Msn deki dosya transferini engellemek
3: Raporlama
4: Bünyemizdeki Terminal Server,Webserver ve Ftp yi dış dünyaya açmak
İlk olarak ip bloklarımızı gözden geçirelim..
Local Ağ : 192.168.0.xxx /255.255.255.0
Adsl Modem : 192.168.0.101 /255.255.255.0
Zywall : 192.168.0.100 /255.255.255.0
Webserver +Ftp+ RDP : 192.168.0.17 /255.255.255.0
Sistemdeki Pc leri Zywall üzerinden internete çıkartmak
İlk olarak adsl modemimizi Bridge moda almanız gerekmektedir. Bunun için adsl modemin web arayüzünden girip ppoe ayarlarını yaptığımız yerde Bridge modu seçmemiz lazım. Bunu yaptıktan sonra adsl modemin LAN dan çıkan cat5 kablo, zywall 5 cihazında WAN girişine takılır. Ve zywall 5 teki 4 adet LAN portundanda swich e giriş yapılır…
Ve geçer pc mizin başına açarız bir Explorer ve adres hanesine Zywall local ipsini yazar ve bağlanırız.. Network – Wan – Wan1 bölümünden çalışma biçimini PPP over Ethernet seçerek , İsp den aldığım kullanıcı adını ve şifresini girdikten sonra “Apply” diyerek kaydediyoruz. Bu işlemle İp numarasını adsl modem değilde zywallın almasını sağlamış bulunduk. Ve bunun kontrollerini yapmak için “home” penceresine gidiyoruz..
Evet , Firewalımız telekomdan ip numarası almış. Ve şu andan itibaren client pc ler internete çıkabilecek durumdadır. Cihaz ilk ayarlarında dışarıdan tamamen kapalı, ama içerden dışarı açık halde gelir, ve IDP, ANTİVİRÜS,CONTENT FILTER lar ayarlanmamıştır ve off durumundadır..
Idp ile Msn deki dosya transferini engellemek
Şimdi sıra geldi Msn kuralımıza istegimiz şu güvenlik amacı(Virüs, Trojan vs.) ile msnden dosya kabul edilemesin veya dosya gönderilemesin.veya istersek direk Msn i de kapatabiliriz… Menuden Security-IDP gelerek IDP yi Enable durumuna getiririz. Ve yukarıdaki listede bu kalkanın hangi yönlerde geçerli olacağını listeden seçeriz.
Ve devamında Signature kısmından Attack Type olarak IM (Instant Messenger) seçeriz…ve aşağıda açılan listeden bize uygun olanlarını seçebiliriz…biz sadece 1 tanesini seçeceğiz…
Yukardaki resimdeki gibi CHAT MSN 8.0 File Transfer Active olarak seçilir ve Actiondada “Drop Paket” durumuna getirilirse artık şirket içinde msnden dosya transferi durdurulmuş olur.. orda msn 8.0 yazdığına aldanmamak lazım ben live msn kullanıyorum ve sonuç başarılı …
Bu şekildeki kısımda yukardaki işlem yapıldığı takdirde de şirket içindeki msnler açılamayacaktır.
Raporlama
Bu kısımda da girilen web site raporları yer almaktadır. Hit şeklindeki bu raporlar girilen web site sayısından ,en çok kullanan kullanıcıya kadar ve en çok kullanılan porta kadar detaylı ama bir o kadarda sade bir toplist çıkartmaktadır.
“REPORTS” Bu kısımda da sistemin IDP kalkanının neler yaptığının raporu yer almaktadır. Görüldüğü üzere bir çok script ve zararlı paketi engellemiş bulunuyor. Ve bunların listesini makine ipsine veya olayın adına göre hit şeklinde raporluyor.
LOGS bölümünde ise 2 bölüm bulunmaktadır. Birincisi “View Log” bu kısımda girilen web sitelerinin anlık logları tutulmaktadır. Loglar web site adresi ve o siteye giriş yapan local ip numarası şeklinde bir açıklamayla birlikte geliyor…
Ve istenirse bu loglar mail olarak sistem yöneticisine gönderiliyor otomatik olarak…ve böylece sisteme her zaman giriş yapmadan kurulan o sistemin hata ve loglarını alabiliyoruz.
Bünyemizdeki Terminal Server,Webserver ve Ftp yi dış dünyaya açmak
Menuden Security – Firewall seçeneğinden Rule Summary seçilir ve Paket Direction olarak dışarıdan içeri yani WAN1 to LAN seçilir..
ve akabinde “insert” tıklanarak dışardan içeri port açmış oluruz.Eğer istenirse Edit Destination Address bölümünde sadece girmesi gereken sabit ip adresleri yazılırsa Vpn kadar olmasa bile en az onun kadar güvenli ve ondan daha hızlı bir terminal bağlantılarını sağlamış oluruz. Görüldüğü üzere 3389 portu listede var idi ve ben seçerek Sağ tarafa ekledim ve en alttaki “Apply” tuşuylada kaydettim…Eğer eklemek istediğiniz servis veya port listede bulunmuyorsa Yukarıdaki Resimde “Edit Services” bölümündeki (see Service) bölününden yeni servisler ekleyebilirsiniz.
Ve diğer bana lazım olan servislerin port numaralarınıda açalım..Web Server için 80 TCP, Ftp için 21 TCP şimdi bu portları içeriye meşhur nat yoluyla yönlendirelim.
Menude ADVANCED bölümündeki NAT kısmından “Port Forwarding” bölümü seçilirerek. Resimdeki gibi gereken servisleri içerdeki local ipime yönlendirdim…ve başarılı bir şekilde dışardan web serverima + Ftp serverime ve Terminal serverime ulaşmış bulunuyorum..
Yukarda elimden ve dilimden geldiği kadarıyla anlatmaya çalıştığım cihazın daha bir çok özellikleri bulunmaktadır. Arzu ederseniz onları da başka bir yazıda anlatmak isterim..
Esenlikle;
Doğan ERGEZER
dogan@ergezer.com