Juniper Networks SSG-5 Firewall Kurulum ve ScreenOS

 

Bu makalemde Juniper Firewall kurulumu ve  işletim sistemi olan ScreenOS un genel özelliklerini anlatacağım.

Juniper Networks, Nisan 16 2004 yılında Netscreen’ i 4 Milyar $’ a satın aldı. Juniper Networks önceleri  router lara odaklanmıştı. Netscreen’ i satın alarak güvenlik ürünlerine ait ürün kapsamını genişletmeye başlamış oldu. Juniper Firewall lar piyasadaki pasta diliminde büyük bir pay almış durumda. Piyasada Netscreen ve SSG serisi firewall ları çok duymuşunuzdur. SSG serileri yeni platformlardır ve ScreenOS ‘ un yeni versiyon upgrade lerini destekler. Netscreen serisi, ScreenOS 5.4 platformunu destekler.

Donanımsal Firewall lar ile yazılımsal Firewallar arasındaki en büyük fark, donanımsal cihazlar stabil çalışır ve down olması daha zordur. Yazılımsal Firewallar ise esnek bir yapıya sahiptir ve add-on larla özellikleri artırılabilir fakat down olma oranları, donanımsal ürünlere göre daha yüksektir.

 

 

Platform/ScreenOS

JTAC Recommended ScreenOS by Platform

NS-5200/5400
Management Board 1
Interface Cards: 8G & 24FE

5.4.0

NS-5200/5400
Management Board 2
Interface Cards: 8G & 24FE

5.4.0

NS-5200/5400
Management Board 2
Interface Cards: 8G2 & 2XGE

6.0.0

ISG-1000

6.0.0

ISG-2000

6.0.0

ISG-1000 /W Security Modules

6.0.0

ISG-2000 /W Security Modules

6.0.0

SSG-5

6.0.0

SSG-20

6.0.0

SSG-140

6.0.0

SSG-520

6.0.0

SSG-550

6.0.0

SSG-520M

6.0.0

SSG-550M

6.0.0

NS-500

5.4.0

5GT & HSC

5.4.0

5GT-DSLW

5.4.0

5GT-WLAN/ADSL

5.4.0

NS-25/50

5.4.0

NS-204/208

5.4.0

 

Juniper Networks’ ün önerilen ScreenOS Platformlarını görüyorsunuz. Şu anda SSG için 6.0 platformu öneriliyor. 6.0 ‘ın en güncel sürümü : 6.0.0r6  (R : Release). Release kavramında R5 veya R6 diye kavramlar görürsünüz. Her yeni Release’ de bir önceki sürümün bugları (tümü değil) giderilir ve en son release (Önerilen platform ‘un) kullanılması önemlidir. Platform değiştiğinde ise işletim sistemine ait yenilikler getirilir.  ScreenOS updateleri download için J-Care Core Support for SSG lisansı satın almanız gerekir. 

 

Biz ScreenOS 6.0 Platformda, SSG (Secure Services Gateway) serisini inceleyeceğiz ve bu cihazların özelliklerine değineceğiz.

 

SOHO (Small Office or Home Office) Modelleri :

image001

 

SSG-5 Wireless modeli

SSG-20 Wireless modeli

Juniper’ ın giriş seviyisindeki modelleridir. Önerilen maksimum kullanıcı sayısı 50-70 tir. 128 ve 256 Mb ram seçenekli olan modellerini görürsünüz. 256 mb ram, DI ve Web Filtering için gereklidir sonradan Ram upgrade i yapılabiliyor.  SSG-20 Üzerinde 2 modül görüyorsunuz, ADSK 2/2+ ve V.92 modülü.

Orta ve Büyük Ölçekli Firmalar için olan Modeller:

 

SSG-140 Ön Panel

SSG-140 Arka Panel

 

SSG 320M ve 350 Modelleri

SSG-520

SSG-550

 

 

 

SSG serisi cihazlara inceledik.  Benim kullandığım SSG-5 ta, Wireless özelliği var. 1 ISDN Portu, Konsol Portu ve 7  adet port mevcut. Cihazda ek olarak USB portu var. Bu port sayesinde ScreenOS updatleri çakmak mümkün. Cihazın Web ara yüzünden updateler yapılabiliyor fakat downgrade yapılması isteniliyorsa komut koşturulması gerek. Bunun içinde TFTP server kurup, komut koşturuyoruz fakat usb portu sayesinde TFTP server kurmadan downgrade yapılabiliyor. Bunun için ScreenOS upgrade/downgrade in usb memory ye atamanız yeterli. Daha sonra “get file” komutu ile usb deki dosyaları listeleyebiliyoruz ve gerekli komut koşturulduktan upgrade/downgrade işlemi gerçekleştirebiliyoruz.    Bizim asıl odaklanacağımız nokta işletim sistem olan ScreenOS, cihazların donanımsal yapılarına değinmeyeceğim.

 

 

Lisanslama :

Content Filtering özelliğini katmak için lisans satın almanız gerekir. Bunları bundle (WF, AV, DI) olarak temin edebilir veya ayrı paketler halinde satın alabilirsiniz.

Web Filtering : Lisansı ile kategori bazlı bloklamalar yapabilirsiniz. Surf Control veya Websense database lerine sorgu atarak bloklama yapar.

Anti-Virus : Bu lisans ile Gateway’ de  paketleri tarattırıp network’ e virüsler ulaşmadan bloklatabilirsiniz.

Anti-Spam: Dns black listlerine sorgu atarak spam kontrolünü sağlar. Free black list ekleyerek spam performansı artırmak mümkündür.

Deep Inspection : Signature bazlı bloklama yapar. Bu lisansı satın aldığınızda signature lar periyodik olarak update olur.

J-Care Core Support for SSG : ScreenOS upgrade leri indirmeniz için gerekli lisanslamadır. 

Extended License for SSG-5/20 : Bu lisans ile SSG-5/20 serisi Firewall ların, sessions, VPN tunnels,

VLAN sayılarını artırabiliyoruz ve bu cihazlar High Availability (HA) özelliği kazandırabiliyoruz.

 

Content Filtering özelliklerine sonraki makalelerimde detaylı değineceğim.

 

Bir Juniper Firewall, 3 opsiyonda yönetilebilir.

 

1.      Command-Line Interface (CLI)  : Komut koşturularak

 

Her satıcı/üretici kendi işletim sistemini geliştirir ve kendi komutlarını kullanır. Bir çok kullanıcı komut koşturmayı sıkıcı bulur  fakat birçok Network işletim sistemi gibi ScreenOS ta da WebUI üzerinden cihazın tüm fonksiyonlarından yararlanamıyoruz. Bu sebepten dolayı komutlar vazgeçilmez bir hale alıyor.  Cisco ‘nun IOS ‘ u aksine ScreenOS ta tek bir mode bulunur ve yetkiler kullanıcı bazlıdır.

Komut desteği prokolleri :

Telnet ve SSH (v1 ve v2) destekler. Aralarındaki farkları özetlemek gerekirse:

Telnet : Hızlıdır fakat güvenli bir bağlantı olanağı sağlamaz.

SSH (Secure Shell) : Telnet e göre yavaştır fakat güvenli bir bağlantı olanağı sunar. Koşturulan komutlar bir sertifika yardımı ile encrypt edilir.

 

ScreenOS Temel Komutlar :

 

Get : Genelde bilgi amaçlı kullanılır ve durum ve değer bilgilerini verir. (Routing Table, Interface durumu, policy ler gibi) Örnek : IOS taki “Show” komutu

 

? işareti ile kullanılabilecek komutlar listelenir. Tab tuşu da komutu tamamlar.

 

Ethernet 0/0 için bilgiler.

 

Set/Unset :  Set komutu, firewall üzerinde konfigürasyon için kullandığımız komuttur. Unset ile konfigürasyon kaldırılır

Save: Komut koşturduktan sonra eğer save edilmez ise cihaz reboot olduğunda eski konfigürasyon geçerli olur. Save edilerek konfigürasyon flash memory sine yazılır. Save in diğer sağladığı bir opsiyon ise, konfigürasyonu TFTP server yardımı ile .txt dosyasına yazılabilir olmasıdır.

Clear : Genelde troubleshooting lerde kullanılır.  Logları temizlendikten sonra troubleshooting yapılır

Exec: Root admin lerin koşturabileceği bir komuttur. Genelde periyodik updatelerin, manüel olarak tetiklenmesinde kullanılır. Çok sık kullanılan bir komut değildir.

Delete : Genelde flash te bulunan bilgileri silmekte kullanılır.

 

 

 

2.      Web User Interface (WebUI) :

Grafik web ara yüzüdür.  HTTP ve HTTPS protokollerinin Destekler.

 

 

 

3.      Netscreen Security Manager (NSM) :

 

Birden fazla cihazı yönetmek için (Firewall, IDP vs )yazılmış bir programdır.Tüm cihazları merkezi bir yerden yönetebilir ve raporlar alabilirsiniz. Lisans, cihaz başına satın alınır. Tüm Juniper Firewall cihazlarının  aktivitesini takip etmek için kullanışlı bir çözümdür.

 

 

 

 

 

Kurulum :

 

Cihaz’ı ilk kez kurulum yapılacağı zaman bir wizard ile karşılaşırsınız. Varsayılanda ethernet 0/0 Untrust zone,  ethernet 0/1 DMZ ve ethernet 0/2-0/6 trust zone dadır. 192.168.1.1/24 ip bloğunda ve Kullanıcı adı ve şifre :netscreen olarak gelir.   İlk opsiyonu seçerseniz bir wizard ile karşılaşırsınız. Biz wizard ile kurulum yapmayacağız ve wizard ı skip ediyoruz.

 

Logon olduktan sonra karşınıza welcome screen çıkar. Buradan Interface list e gelip, trust interface e ip atayacağız.

 

Interface list ekranı. ethernet  0/2 – 0/6 aralığı Trust Zone a atandığını görüyorsunuz. Trust Zone bizim, LAN temsil eder. Edit leyip interface te ip değişikliği yapacağım.

Ip adresini 192.168.1.253/24 bloğu olarak değiştiriyorum. Burada Manage IP seçeneğini görürsünüz. Interface a atanan ip ile management için atacağımız ip farklı olabilir. Management Services ta, hangi opsiyonlar ile yöneteceğimizi seçeriz. Ben SSL, Web UI, SSH ve ping özelliklerini açtım.

 

Daha sonra default password ü değiştiriyorum.

 

 

 

Permitted IP adresleri güvenlik ayarlarını yani hangi ip adresinin management yapacağını belirleriz.

 

 

Benim network’ ümde DHCP Server olduğu için, Juniper ‘ın DHCP özelliğini kapatıyorum. Juniper üzerinde DHCP server auto-probe mode olarak konfigüre edildi ise  ve ortamda bir DHCP server mevcut ise, cihaz ip dağıtmaz. Auto-Probe mode da, cihaz ilk önce dhcp discover paketi yollar ve eğer ortamdaki bir dhcp server var ise pakete yanıt gelir ve ip dağıtmaz. Eğer Discover paketine yanıt gelmez ise,  DHCP server aktif olur.  Not: Eğer ortamda bir DHCP server var ise loglara,  DHCP server set to OFF on bgroup0 (another server found on 192.168.1.1)  düşer.

 

 

Cihazın saat ayarları yaptığımız bölümdür. Sync Clock With Client diyoruz ve cihazı client ile senkronize ediyoruz. Daha sonra bir NTP server ile periyodik olarak senkronize edilmesi önerilir.

 

 

Cihazın Dns ayarları olarak Turk Telekom ‘un dns server larını yazdım. Eğer dns ayarları ve saat ayarları yapılmaz ise cihazı register ederken problem yaşarsınız. Host Name kısmında, cihaza isim verdim bu sizin belirleyebileceğiniz her hangi bir isim olabilir.

 

Alınan cihazın register edilmesi gerekir. Register edilmeyen bir cihaz, Content filtering için trial key leri update edemez. Ayrıca lisans satın alınması isteniliyorsa mutlaka cihaz register edilmiş olmalıdır. Bir diğer dev avantaj, register edilmeyen bir cihaz için Juniper dan destek alamazsınız.

http://www.juniper.net/customers/support/   Buradan yeni bir kullanıcı oluşturup cihazın seri numarası ile register ediyoruz.

 

Daha sonra Trial key leri ve lisans satın aldı iseniz, keyler düşecektir.

Sırada Bridge Mode a aldığımız ve Ethernet 0/0 da olan Adsl Modem’ in PPPoE ayarlarında var. PPPoE Instance kısımına bir isim veriyoruz daha sonra ISP den alınan kullanıcı adı ve şifreyi girdikten sonra ok ile tamamlayıp profil i oluşturmuş oluyoruz. Daha sonra untrust interface üzerinde “ Obtain Using IP over PPPoE” den, oluşturduğumuz profili seçiyoruz ScreenOS, 4 adete kadar multi-gateway destekler. Yani 4 adet WAN hattını çalıştırabilirsiniz. ECMP ile load balance yapılabilir ve routing kuralları oluşturularak trafik kontrol edilebilir. Örnek:  Source Based Routing ile, 192.168.1.11/32 Ethernet 0/0 dan çıksın veya PBR ile Smtp trafiği Ethernet 0/1 den çıksın gibi kurallar yazabilirsiniz.

 

 

 

 

PPPoE Bağlantısının başarılı olduğunu görüyorsunuz.

Genelde çoğu firewall ilk kurulumda deny kuralı içerir bu kural ScreenOS için de geçerlidir fakat SOHO modellerinde varsayılanda permit kuralı vardır ve internete çıkılmak için extra bir kural yazmak gerekmez. Bu kuralı edit leyerek modifiye edebilirsiniz. SSG-5/20  cihazlar 200 adet policy destekler. Policy lerde deny logları göremezsiniz. Bunun içinde yazılan permit kuralının altına aynı kuraldan bir deny kuralı yazılır ve buraya deny olan istekler düşer. Spesifik bir deny kuralı istenmiyorsa en alta any any deny kuralı yazmanız yeterli olacaktır.

 

Burada cihaz üzerindeki Routing Table u görüyorsunuz. Buradaki  table interface lerden update olur ve silinmez fakat ancak interface üzerinden ip kaldırlırsa güncellenir. Bu routing table a yeni routing kuralları yazabiliyoruz.  SSG-5/20 3 adet Virtual gRouter destekler. VR ile sanal router lar oluşturuz. ScreenOS, BGP, OSPF ve RIP routing protokollerini destekler ayrıca gelişmiş routing özelliklerine sahiptir.

Cihazın varsayılan port ayarlarını yaptığımız yerdir. Http den gelen istekleri, Https e gönderebilir veya yapınıza göre varsayılan portları değiştirebilirsiniz. 

 

ScreenOS ‘ un logları çok karışıktır. Bunun için NSM kullanılıp veya bir Syslog server kullanılıp loglama yapılabilir. NSM daha verimli bir çözümdür fakat ücretli olduğu için maliyetlidir.

Juniper Firewall kurulumunu ve ScreenOS hakkında giriş sevisinde bilgiler vermeye çalıştım. Daha sonraki makalelerimde cihazda, vpn ler oluşturacağız, transparent mode da çalıştıracağız, 802.1x özelliklerine vs vs değineceğim.  Bir sonraki Juniper makalesinde görüşmek üzere.

 

Murat GÜÇLÜ

Exit mobile version