Forum

Proxy Server Ü...
 
Bildirimler
Hepsini Temizle

Proxy Server Üzerine Koruma Amaçlı Ne Tavsiye Edersiniz(IPTABLES,SNORT...)

19 Yazılar
7 Üyeler
0 Reactions
1,124 Görüntüleme
(@mucahit)
Gönderiler: 17
Eminent Member
Konu başlatıcı
 

Herkese Merhaba,

Kullanıcılarımızı Debian 5.01 Linux işletim sistemi üzerinden internet'e çıkarıyoruz.Windows NT kullanıcılarımızı Samba (Versiyon 3.25) ve winbind ile çözüp
Squid Proxy(Versiyon 2.7)  kullanaraktan ve Dansguardian(Versiyon 2.9.9.4) ile içerik filtrelemesi yapıp internet'e çıkarıyoruz.
Fakat üzerinde herhangi bir paket filtreleme programı(IPTABLES) veya Intrusion Detection tarzı (SNORT) veya Intrusion Prevention yok. Neyi kurmayı tavsiye edersiniz. Hem IpTables hemde Snort beraber çalışırmı , mantıklımıdır?

İlgilenenlere Teşekkürler.

 

 
Gönderildi : 09/02/2010 17:57

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

Merhaba;

 

öncelikle iki kavramı ayırt etmek gerek diye düşünüyorum. IPTables ve Snort farklı alanlara hizmet eden yapılardır. Biri standart anlamda firewall özelliği olan bir yapı (IPTables) diğer ise görevi IDS/IPS olan bir yapı (Snort)...bu yapılar birbirini destekler nitelikte olup kavramsal olarak farklı görevleri vardır. aynı anda ikisini kullanabilirsin. 

Linux'tan ziyade BSD tarafında Pf kullanabilirsin. Çünkü bazen IPTables yeterli kalmayabiliyor ve çatlayabiliyor. Pf IPTables'a nazaran daha komplike ve daha sağlam bir yapısı vardır. BSD sistemler üzerinde bu yapıların kurulumlarına bakabilirsiniz.

 
Gönderildi : 09/02/2010 20:16

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Ömer yorum +1

 
Gönderildi : 09/02/2010 20:40

(@mucahit)
Gönderiler: 17
Eminent Member
Konu başlatıcı
 

Hem sizin hemde Ömer bey' e cevabınız için teşekkür ederim. Fakat yukarıda bahsettiğim yapının aynısını orada yapabilirmiyim?

Şöyleki proxy server kuracağım ve ayrıca Windows NT deki user gruplarına haklar vereceğim.Bunun yanında Dansguardian  kurup üzerine Blacklist i ekliyeceğim bir yapı kurulabilirmi?.

Birde bunları yapmak Debian daki kadar kolay olurmu?

 

 
Gönderildi : 10/02/2010 12:58

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

Merhaba;

dağıtımlara çok takılıp kalmaman gerek diye düşünüyorum.zira mantık ortak olduğu için çok fazla farklılık arz etmeyecektir. bana sorarsan BSD sistemlere kurulumlarını yap derim. bir başkası ubuntu'tu söyler, diğeri debian der. söylemiş olduğun sistemleri debian üzerine kurmada bir sıkıntı yaşamazsın. ayrıca bunların hepsini yani IPTables, Snort, Squid,Dansguardian sistemlerini entegre bir şekilde kurup sisteminde kullanabilirsin. bunlar birbirinin rakibi değil tamamyalan sistemlerdir. 

Debian paket deposunda bunlar zaten mevcuttur. paketleri güncelleyip kurulumu kısa sürede tamamlayabilirsin. ancak bunların hepsini tek bir donanım üzerine kurmamanı tavsiye ederim. çünkü ileride trafik,user,data,vs. arttığı zaman sıkıntı oluşturabilir.

 

 
Gönderildi : 10/02/2010 13:16

(@mucahit)
Gönderiler: 17
Eminent Member
Konu başlatıcı
 

Tekrar Merhaba Ömer bey,

Samba,Squid ve Dansguardian bir serverda    , İptables ve Snort  diğer serverda gibi mi?

Ayrıca Samba,Squid ve Dansguardian Debian üzerindeyken, sizin tavsiye ettiğiniz PF ve SNORT bir BSD üzerinde olabilirmi?

Eğer böyle bir şey olursa PF ve SNORT için yaklaşık 80-90 kullanıcı için nasıl bir donanıma ihtiyaç duyulabilir.

 
Gönderildi : 10/02/2010 15:23

(@OnurVARGUN)
Gönderiler: 157
Estimable Member
 

Pf ve snort u kuracağınız makineyi Pfsense ( Frebsd tabanlıdır ) kurarak çözebilirsiniz.

Pfsense üzerinde güçlü bir firewall ve paketler üzerinde snort bulunmaktadır.

Alternatif olarak düşünebilirsiniz.

Dansguardian ı debian üzerine kurarsınız Pfsense üzerinede squid ve squidguard kurarsınız ,

debian daki dansguardian a squid olarak Pfsense i gösterirsiniz.

Tek dikkat etmeniz gereken debian üzerin e dansguardian kurarken proxy e client adresleri nasıl aktarıcağınız olur.

 
Gönderildi : 10/02/2010 15:28

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

Onur beye katılıyorum. Pfsense i düşünebilirsin. ve ayrıca çok fazla bir donanıma ihtiyacın olmaz. cpu ve ram kuvveti yeter.(diskte önemli tabi:))..hem komplike bir çözüm sağlamış olursunuz hem de sağlam bir yapı kurma imkanınızda olmuş olur. Pfsense i kolay olarak indirip kurma imkanınız var. FreeBSD gömülü olarak geldiği için doğal olarak avantajlarını da görmüş olursunuz.

ama illa linux tarafından çıkmayacağım diyorsanız o zaman bence sambayı ayırıp squid ve dansı bir makineye iptables ve snortu diğer makineye kurup stabiliteyi sağlama adına iyi bir planlama yapmış olursunuz. böylece tek bir yere kurulmuş olan sistemlerde ki handikapı bir nebze ortadan kaldırmış olursunuz.

donanım kısmına gelecek olursak eğer sonuçta kullanacağınız dağıtımla paralel olacağı için dağıtımın yükü önemli burada. squid ve dansguardian tarafında depolama ve hız ön planda olacağı için (cacheleme ve isteklere cevap verme adına) ona göre bir donanım kullanabilirsiniz. normal bir pc ile de bunu halledebileceğinizi düşünüyorum (eğer yapınız çok dağıtık ve kullanıcıları çok fazla değilse tabi) .diğer tarafta güvenlik adına yapılar olduğu için donanımı biraz daha güçlü tutmakta fayda var. özellikle DOS ve DDoS saldırılarına karşı durması açısında donanımın bir aşamaya kadar dayanması gerek. şimdi burada noktasal olarak şu şu donanımlar olmadı diye telaffuz etmek pek doğru olmaz sanırım. bunu ortaya çıkarmak için yapının ve ihtyaçların,sistem ve network durumunun iyi bilinmesi gerekir.

 

 
Gönderildi : 10/02/2010 15:42

(@mucahit)
Gönderiler: 17
Eminent Member
Konu başlatıcı
 

                        192.168.5.0
                              |
                              |
                              |
192.168.4.0------------R-------------  192.168.6.0-------   LINUX PC ----------192.168.2.1-INTERNET HATTI
                              |
                              |
                              |
                     192.168.3.0

Çok kötü bir resim oldu ama , anlatmak istediğimi belki anlatabilirim.Yukarıdaki yapı bizim network yapımız diyebiliriz.Bir tane Rooter üç tane ayrı subnet'i olan Local Area Network ler ve sonra 192.168.6.0 bacağından Linux makinaya çıkış. Çift ethernetli makinanın bir bacağı (192.168.6.5) iç network e bakıyor.Diğer bacağıda (192.168.2.2) dış dünyaya yani internet'e bakıyor.

Samba -Winbind ,Squid,Dansguardian(Samba-winbind,squid 'i birbirinden ayıramıyorum çünki Windows NT kullanıcı ve gruplarını bu sayede alıyorum.Başka yolunu bulamadım.)

Diğer makina biz ona FIREWALL makina diyelim. O da DEBIAN ve üzerinde IPTABLES,SNORT(Veya Freebsd-Pfsense)  Firewall makinayı nereye ne şekilde koymalıyım.Mevcut sistem dahilinde en iyi korunma yapım ne şekilde olmalı.Çok Teşekkürler.

 

 

 
Gönderildi : 10/02/2010 17:52

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

sanırım böyle birşey açık olarak...ya da değilse bile ben böyle anladım...:)

 

 
Gönderildi : 10/02/2010 19:20

(@mucahit)
Gönderiler: 17
Eminent Member
Konu başlatıcı
 

(Bende resim koymayı denedim ama beceremedim, kusura bakmayın) Evet yapı çizdiğiniz gibi.Birde şunu öğrenebilirmiyim.

Proxy nin iç   bacağı > 192.168.6.5  iç teki network'e bakıyor.

Proxy nin dış bacağı > ne olmalı

Firewall ın iç   bacağı > ne olmalı

Firewall ın dış bacağı > ne olmalı( Herhalde ADSL modem network 'ünden bir adres olmalı-192.168.2.7 gibi)

Benim burada merak ettiğim Proxy nin dış bacağı ile Firewall'ın iç bacağı arasında farklı bir subnet mi olmalı?

Atıyorum

Proxy nin iç   bacağı > 192.168.6.5/255.255.255.0  iç teki network'e balıyor.>>Gateway ne olacak(sanırım boş olacak)

Proxy nin dış bacağı > 192.168.19.4/255.255.255.248>>Gateway ne olacak

Firewall ın iç   bacağı > 192.168.19.6/255.255.255.248>>Gateway ne olacak

Firewall ın dış bacağı > 192.168.2.7/255.255.255.0 (ADSL 'in network'ü 192.168.2.0 olduğundan)>>Gateway 192.168.2.1  çünki ADSL modemin ip si 192.168.2.1
Ayrıca proxy'nin dış bacağı adsl modem adresinden olmadığından direk internet'e çıkamıyacak. O yüzden Firewall üzerindemi bir şey yapılacak(Nat lama işlemi gibi). Yoksa Proxy server üzerinde mi bir şey yapılcak.

 Yardımlarınız için çok teşekkür ederim.

 

 
Gönderildi : 10/02/2010 20:15

(@OnurVARGUN)
Gönderiler: 157
Estimable Member
 

Burda eklemek istediğim bir şey var ,

Linux makinayı firewall olarak kullanmayacaksınız ,

tek ethernetle çalıştırsanız , Clietlardan proxy ayarlarını yaparsınız Linux üzerindeki proxy i gösterirsiniz.

Firewall üzerinden diğer makinelerin net e çıkışını yasaklasınız sadece gerekli portlar için

linux makinaya izin verirsiniz. ( ki pfsense güvenlik duvarı üzerinde kural oluşturur ken bu  kural ı hangi işletim sistemi  türüne göre uygulayabileceğinide seçebiliyorsunuz.Kullanıcıar IP yi değiştirse bilse pfsense in dhcp server ı üzerinde IP-Mac eşleşmesi haricindeki makinaların Net e çıkışlarının engelleyen bir özellik var )

Modemi de bridge moda alırsanız. Adsl Bilgilerini Pfsense in wan bacağına girersiniz bence daha performanslı ve masrafsız olur.   

( Alternatif Bir fikir  )

 
Gönderildi : 10/02/2010 20:41

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

eğer proxyi tek ethernet ile sadece proxy ve url filtering olarak kullanacaksanız iç dış bacak olayına girmenize gerek yok. tek bacak ile ağa bağlayıp firewall üzerinden bu makineye yönlendirme yapacaksın ve diyeceksin ki " kullanıcılar sadece bu makine üzerinden internete çıksın.yani bu makine üzerinden gelen istekleri internete çıkar." bu makine üzerindeki kurallar neticesinde internete çıkışlar olacaktır. böylelikle iç-dış bacak karmaşasına girmemiş olursun. tavsiyem odur ki squid-dansguardian ile firewall ve snortu ayrı makinelere kurup konumlandırman.

gateway olarakta routerlara yönlendirme yaparsın. eğer routerlarda konfigürasyon yapmayı biliyorsan ve yapabiliyorsan onlar üzerinde de çeşitli kurallar yazıp iş yükünü hafifletebilirsin (bantgenişliği sınırlandırma,yönlendirme kuralları,bloklama, vs..) ama bu biraz daha karıştıracağı için proxy tarafında ayarlamalarını yaparsın ve firewall un arkasına koyarsın. tüm çıkışlarıda ona yönlendirdin mi o zaman kontrol sağlanmış olur. direk çıkış istekleri firewall tarafından bloklanacağı için proxyi mecburen kullanmak durumunda kalacaklar. 

 
Gönderildi : 11/02/2010 01:59

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Arkadaşlar benim biraz kafam karıştı. Bu router'ın markası nedir?  Neler yapacağımız madde madde yazsak? Öbür türlü çok karışıyor. Ne dersiniz?

 

 
Gönderildi : 11/02/2010 17:20

(@fatihakkus)
Gönderiler: 372
Honorable Member
 

Selam Arkadaşım Arkadaşlar bazı tavsiyelerde bulunmuş zaten.Ama benim söyleyeceğim client sayına göre hareket etmen.yani 100 e yakın clientın var ise tek pc den bozma makine ile hem proxy hemde firewall görevi gördürebilirsin.Ama ondan fazla clientın var ise proxy ile firewalı ayırabilirsin.Yine qos için söylemek istediğim zaten linux üzerinde tc(trafik Control) ile yapabiliyorsun.network kartların gigabit ethernet ise problemin olmaz.Ve yine trafik kontrolü firewall üzerinde yaparsın.trafik kontrolü proxy ile firewalı ayırıp yapıyorsan  proxy üzerinde yapmanı tavsiye etmem.Daha doğrusu çok fazla işe yaramaz.İyi çalışmalar.

 
Gönderildi : 12/02/2010 13:09

(@barisinceisci)
Gönderiler: 110
Estimable Member
 

Merhabalar,

Benimde bir önerim olacak, Endian'ı deneyebilirsiniz.  70 User'da 1 hafta boyunca test ettim herhangi bir sıkıntı ile karşılaşmadım. Web'den yönetim özelliği güzel kullanışlı.

 

- Dansguardian icin komut satırından biraz ayarlama yapmak gerekiyor 

 
Gönderildi : 18/02/2010 03:34

(@mucahit)
Gönderiler: 17
Eminent Member
Konu başlatıcı
 

Yardımcı olan herkese çok teşekkür ederim. Şu an için tek debian üzerinde squid, samba, dansguardian ve iptables şeklinde devam etmeyi düşünüyoruz.Belki makina yavaş kalırsa Firewall kısmını ayrı bir makinaya yüklemeyi düşünülecek.

Tekrar çok teşekkürler.

 

 
Gönderildi : 19/02/2010 20:29

(@OsmanB.)
Gönderiler: 16
Eminent Member
 

Bende benzer yapıda Endian 2.2 (suankı stable versıyonu) tavsiye ederım. Yada untagle kurabılırsın.

 
Gönderildi : 22/02/2010 16:44

(@OsmanB.)
Gönderiler: 16
Eminent Member
 

Bende benzer yapıda Endian 2.2 (suankı stable versıyonu) tavsiye ederım.
Yada untagle kurabılırsın.

 
Gönderildi : 22/02/2010 16:44

Paylaş: