Hakan UZUNER » Cozumpark.Com

KONU : Sonıcwall kanal yapısına dahil olup girip satış/destek/promosyon /ürün takip ve  gelişmeleri takip etmek amacıyla PARTNER’ların  mysonicwall.com sitesi üzerinden  bir account(hesap) oluşturma işlemi.

İLGİ : GOLD/SILVER/APPROVED Partnerların tümü

1.ACCOUNT ALINIŞI ;

- www.mysonicwall.com sitesinden Channel Partners bölümüne giriniz

- Register to become a Partner bölümüne tıklayınız.

2. FORMUN DOLDURULUŞU

-Account Information : Buraya mysonicwall.com üzerinden yapacağınız takipler için siteye girerken belirleyeceğiniz isim ve şifre’yi tanımlayacaksınız..

2. Contact Information : Buradaki bilgiler, Sonicwallun sizi tanımlayacağı bilgilerdir.Buradaki bilgilerin hepsini doğru girmeye çalışınız.Özellikle e-mail bilgisi ile sonicwall size dönüşler yapacaktır.Bu bilginin kesin doğru olması gerekmektedir.Aksi taktirde sonicwall’un size geri dönüş bilgisini onaylayamazsınız ve hesap açılamaz.

3. Company Information : Buradaki bilgiler, şirketinizle ilgili verilerdir.Burada “Reseller Certification For State” bölümünü ülke distributorünüz’le kararlaştırmış olduğunuz pozisyonunuzla ilgili olarak (GOLD/SILVER/APPROVED) doldurunuz.

4.İletişim Tercihlerinde ,yaşamış olduğunuz ülkenin saat alanını seçiniz ve tüm

İşlemi ”Summit” onaylayınız.

Bu işlemden sonra SonicWALL sizin vermiş olduğunuz e-mail hesabına dönüş yapacaktır.Bu hesapda www.mysonicwall.com “kullanıcı adı” , “Subscription Code” ve “kontor linki “mevcuttur. Eğer kullanıcı adı ve şifrenizle mysonicwall.com dan girecek seniz “Subscription Code” bir kez girmeniz gerekecektir.Eğer kontrol linki ile girerseniz Subscription Code otomatik olarak algılanacak bir daha sorulmayacaktır.

Onaylandıktan sonra ,bu hesapla ve belirlemiş olduğunuz şifre ile giriş yapabilirsiniz.

AMAÇ : İç ağda bulunan Web(http), Ftp ve Mail sunucusuna internet ortamından erişimin yapılışı.

CİHAZ : SONICWALL PRO 3060-EnhancedOS Firmware Version: SonicOS Enhanced 3.2.0.3

DİAGRAM :

SONICWALL PRO3060 Konfigurasyonu

Ağ Ayarları

1.WAN ve LAN IP sinin ayarlanması :
LAN = 10.0.0.1, 255.255.255.0

WAN = 192.168.0.101, 255.255.255.0

2.İç Ağ’da yönlendirilme yapılacak olan server oluşturulur.Bunun için ;

Network à Address Objects Sayfasından Add… butonuna basınız.
LAN = 10.0.0.1, 255.255.255.0

WAN = 192.168.0.101, 255.255.255.0

3. Firewall à Services bölümünden istenen portlar belirli bir grup oluşturulup onun içine koyulur.
Bu port gurubun adı : Ozel-Port-Grup olsun.Burada, fazladan koyulan Ping,Ftp…opsiyoneldir.

4.Web üzerinden gelen isteğin WAN portuna erişimi için Firewall à Access Rules bölümden erişim hakkı verilmesi gerekmektedir. Bunun için WAN to LAN erişimi sağlanmalıdır.

5.Dışardan gelen isteklerin, hangi IP adresine NAT yapılacağını belirlemek için Network à NAT Policies bölümünden.İlgili NAT işlemi yapılır.

6.Uzaktan cihazın yönetimini yapabilmek için WAN portuna erişimin açılması gereklidir. Network à Interfaces bölünden, WAN bölünden HTTPS’in açılması gereklidir.

KONU : SONICWALL APPLICATION FIREWALL’DA belirli uzantıya sahip dosyaları engellenme

SONICWALL SonicOS Enhanced 4.0.0.0

Aşağıdaki senaryo iç networkdeki kullanıcların Port 80 üzerinden belirli dosya uzantılarının download’unun engellenmesinin nasıl yapıldığını göstermektedir.

1.APPLICATION FIREWALL/Address Objects bölümünden ,Obje aşağıdaki gibi oluşturulur ve uzantısı kesilecek olan dosyaların isimleri girilir.

2.Kural aşağıdaki gibidir.

3.POLICY SETTINGS ;

Buradak Direction yönünün WAN’dan LAN’ a olduğuna dikkat ediniz.Yani “OUTGOING”

3.GLOBAL SETTINGS

4.ACTIONS

5.MESAJ SAYFASI

AMAÇ : Belirli kullanıcı gruplarına dahil olan kullanıcıların internete çıkış esnasında kendi grupları için yasaklanmış olan URL sitelere gitmelerinin engellenmesi.

Cihaz : SonicWALL PRO 4060 ENHANCEDOS.ENHANCED OS çalışan herhangi bir sistemde uygulanabilir.

AÇIKLAMA : Bu uygulamada 3 Farklı Grubumuz Mevcuttur.GRUB-A, GRUB-B, GRUB-C .
Bu 3 gruba 3 farklı IP Range atayıp oluşturulacak kullanıcı grublarına atama yaparak kontrollü internet erişimi sağlanacaktır.

DİAGRAM :

 

GRUP TANIMLARI

Grup İsmi

Yasaklanacak Kategori

IP Range-GRUPX-LAN

Kullanıcı

Şifre

GRUPCFS-A

4. Pornography, 6. Adult/Mature Content,42. Gay and Les.

192.168.100.10-50

usera

123

GRUPCFS-B

11. Gambling,22. Games

192.168.100.51-100

userb

abc

GRUPCFS-C

1. Violence/Hate/Racism,28. Hacking/Proxy Avoidance

192.168.100.101-150

userc

xyz

Örnek Siteler

GRUPCFS-A

www.playboy.com,www.humanbomb.org,www.gay.com

GRUPCFS-B

www.casino.com,www.games.com

GRUPCFS-C

www.rotten.com, www.2600.com

Sonicwall PRO 4060 Ayaraları

1. Network / Interfaces bölümünden ilgili in terface IP leri verilir.

1. Cihaz Register edildikten sonra Security Services/Configure/Policy bölümünden ilgili Gruplar oluşturulur.

Önemli Not : Mevcut olarak bulunan Default Policy’de bütün categoriler BLOK’LANIR.

1. GRUPCFS-A,GRUPCFS-B ve GRUPCFS-C yukarıdaki tabloda olduğu gibi oluşturulur.

GRUPCFS-A örneği aşağıda verilmiştir.

Bütün tanımlamalar bitince Gruplama aşağıdaki gibi olmalıdır.

1. CFS GRUP tanımlamaları bittikten sonra KULLANICI GRUP tanımlamarı oluşturulur.

Kullanıcı Grubu

Kullanıcı Adı

Şifre

GRUPUSER-A

usera

123

GRUPUSER-B

userb

abc

GRUPUSER-C

userc

xyz

Kullanıcı Gruplarının oluşturulması için USERS/LOCAL USERS bölümden Add yapıp kullanıcılar tek tek eklenir.(LDAP yada RADIUS için kullanıcı oluşturmaya gerek yoktur.Sorgulama için doğrudan database gönderilir.)

Kullanıcılar aşağıdaki gibi oluşturulur.

1. Users/Local Groups bölümünden USER GRUPLAR oluşturulur.

- Bu oluşturlan kullanıcılar Kullanıcı Gruplarına atanır.

Son basamak olarak, ilgili USERS GRUBUNA ilgili CFS grubu atanır.

Örnekte GRUPUSER-A ‘a GRUPCFS-A ilişkilendirilmiştir.

Olması gereken son tablo aşağıdaki gibidir.

BİLGİ : Kullanıcılara internet’e çıkarken soru sorulması amacı ile Users / settings bölümünden ayarlamaları aşağıdaki gibi yapablirsiniz.

Burada eğer cihazın kullanıclara her girişte soru sormaması için “Login session limit” süresini en fazla 9999’a kadar artırabilirsiniz.Bu durumda 6 gün sonra yeniden login ekranı karşınıza gelecektir.Aynı şekilde “Inactivity timeout” değerinide “9999” a yükseltmeniz gerekecektir.

Karşılama sayfasını Users/Setting/Example Template bölümünden istediğiniz şekilde ayarlayabilirsiniz.

1. İlgili IP RANGE ler oluşturulur.Bunları oluşturmak için ;

Bütün gruplar Network/Add bölümünden aşağıdaki gibi oluşturulur.

GRUPA-LAN = 192.168.100.10.50

GRUPB-LAN = 192.168.100.51.100

GRUPC-LAN = 192.168.100.101.150

7.Firewall-Access Rules bölümünden Rule tanımlamaları yapılır.

GRUPUSER-A için yapılan tanımlama aşağıdadır.

Access List’ler aşağıdaki gibi tanımlanmalıdır.

Kullanıcılar internete çıkarken kendilerine kullanıcı adı ve şifresi soracaktır.Bu bilgiler girlince internet erişimi bu kişiler için sağlanır.

Sisteme bağlı olan bilgisayarları Status bölümünden görüntüleyebilirsiniz.

KONU: SONICWALL Continuous Data Protection (Backup & Recovery) cihazlarının kurulumu

Cihaz : SonicWALL CDP 1440i

A.SonicWALL CDP cihazına ulaşım ;

Cihazın default IP adresi : 192.168.168.169 dur.Cihaza browser aracılığı ile bağlanıp istemiş olduğunuz default değerleri değiştirebilirsiniz. Bunu bağlı bulunduğunuz networke uygun olarak istediğiniz gibi değiştirebilirsiniz.Default giriş ismi ve şifresi admin/password dür.

1.http://192.168.168.169 adresini girip Enter’a basınız.Default isim ve şifreyi giriniz.( Şekil-1)

Şekil-1

2.Settings bölümünden ,cihazın IP adresini ve default Gateway adresini değiştirebilirsiniz.Bu değişen ayarların networkünüzle mutabık olmasına dikkat ediniz.Aksi taktirde sonradan yükleyeceğiniz CDP yazılımı ile cihaza ulaşamazsınız.(Şekil-2)

(Şekil-2)

CDP YAZILIMIN YÜKLENMESİ

İlgili yazılım, cihaz www.mysonicwall.com adresine kayıt olduktan sonra “Download Center “ bölümünden indirilir. Setup.exe progamı ile programı çalıştırın.

1.CDP yazılımın setup.exe programı çalıştırılır.Kayıt Yapılacak isim ve şirket ismi tanımlanır.(Şekil-3)

(Şekil-3)

Kurulum tamanlandıktan sonra. AGENT ve YÖNETİM(ENTERPRISE MANAGER) yazılımları ile ayarlamalar yapılır.

AGENT YAZILIM AYARLARI : Yalnızca o sistemdeki ilgili dizinlerin yedeği alınması sağlanır.O makinadaki kişi diğer agentları göremez.
FOLDERS Bölümüne gelerek sağ tuşa basınız.Bilgisayarınızdan yada bağlı bulunduğunuz ağdan,  yedeğinin CDP cihazı üzerinde tutulmasını istediğiniz yerleri seçiniz. (Şekil-4)

(Şekil-4)

Seçmiş olduğunuz dizin ekranda görülecektir.Aktık bu dizin ve bunun altındaki alt dizinlerde yapılan değişiklikler otomatik olarak CDP cihazına -anlık- kayıt edilecektir. (Şekil-5)

(Şekil-5)

Silinmiş olan bir dosyanın geri yüklenmesini istiyorsanız.Öncelikle dosyanın üzerine geliniz ve sağ tuşa basınız burada geri yüklenmesini istediğiniz – Varsa ,aynı dosyanın farklı tarihlerde alınan yedeğe dönüş opsiyonu sunulan - dosya üzerine geliniz ve bunu Restore(Geriyükleme) yapınız.

(Şekil-6)

ÖNEMLİ NOT: Her AGENT yüklü sistem Enterprise tarafından o sistemle ilgili oluşturulan Policy’de tanımlanmış olan Kota kadar yedekleme yapabilir.Farklı kişiler için farklı kotalar oluşturulabilir.

ENTERPRISE MANAGER YAZILIM AYARLARI :

Enterprise yazılmına ancak şifre ile girilebilir.Enterprise yazılımı aracılığı ile bütün Agentlar görünür ve bunlardaki veriler istenildiği gibi yönetilebilir.

Agent ekleme (Bkz.Şekil-6),Agent yüklü bilgisayarlar için Polıcy oluşturma,Policy ler için filitrelerin tanımlanması gibi özellikler bu programla yapılır.

ÖNEMLİ NOT : CDP cihazınızın passwordünü iyi muhafaza ediniz.Kaybedildiğinde yada unutulduğunda www.mysonicwall.com’dan CASE açıp Sonicwall mühendislerinden yardım almanız gerekecektir. Onlar sizden aşağıda gösterilen “Lost Password” tuşuna basmanızı isteyecek ve sistemin üretmiş olduğu şifre SonicWALL sistem mühendisi aracılığı ile www.mysonicwall.com üzerinden size ulaştırılacaktır.

KONU : SONICWALL APPLICATION FIREWALL’da yalnızca belirli Browserlara izin verilmesi

SONICWALL SonicOS Enhanced 4.0

Aşağıdaki senaryoda iç networkdeki kullanıclarının FIREFOX kullanımı yasaklanmıştır.

1.Application Firewall > Application Objects bölümünden yasaklanacak olan Object ismi seçiniz.
Burada Enable Negative Matching işaretlenirse yalnızca FIREFOX’a izin verilir diğerleri bloklanmış    olur.

2. Application Firewall > Actions Kullanıcılar Bloklanmış Browser Kullandıklarında karşılarına çıkması greken mesajın girişini yapınız.

3. Application Firewall / Policies bölümünden ilgili policy ‘yi aşağıdaki gibi giriniz.

4.TEST : Internete FIREFOX program ile çıkılmak istendiğinde aşağıdaki mesaj alınacaktır.

KONU : SONICWALL APPLICATION FIREWALL’DA Active X ClassID lerin bloklanması (MacroMedia Flash,Macromedia Shockwave,MediaPlayer..)
SONICWALL SonicOS Enhanced 4.0.
Aşağıdaki tabloda ClassID leri bulunan MacroMedia,MediaPlayer….vb objelerin bulunduğu sayfalara girişin engellenmesi ve içerisinde bu ID lere sahip olan objelerin engellenmesinin nasıl yapılacağı anlatılmaktadır.

YAPILIŞI :
1.APPLICATION FIREWALL/Address Objects bölümünden ,Obje aşağıdaki gibi oluşturulur ve bloklanması istenilen objenin ID numarası yazılır.Burada birden fazla ID numarasınıda girebilirsiniz.

Application Object bölümü aşağıdaki gibi olacaktır.

2.a APPLICATION FIREWALL/Policies bölümünden politika tanımlanır.Policy Type HTTP Server olmalıdır.Application Object’de ise 1 de oluşturulan Macromedia Flash Object seçilir.Diğer ayarlar aşağıdaki gibidir.

2.b Policies ayarlandıktan sonra aşağıdaki gibi olacaktır.

TEST YAPILMASI

TEST-1 : Kaynak Kodu üzerinden Kesme

SonicWALL burada 2 türlüde Active-X objeleri kesebilmektdir. Bunlardan birisi Kaynak kodu üzerinde ID taraması ile diğeri ise gömülü olarak gelen objelerin görüntülenmesidir.Burada önemli olan neslerde ki ID lerin SonicWALL un destelediği ID olmasıdır.Test yaparken SonicWALL’u ayarladıktan sonra “Logout” ile çıkmayı unutmayınız.

Örnek Site :

http://video.movies.go.com/ sitesine gitmeye çalışınız.SonicWALL sayfa kaynak kodunda bulnan ID den dolayı sizi engelleyecektir.

Kaynak Kodu ID

Karşınıza Sayfa Görüntülünemiyor mesajı gelecektir.

SonicWALL bunu kendi LOG’unda tutacaktır.

SonicWALL LOG:

TEST-2 : Görüntülü Objeyi Kesme

Görüntülü obje yayınlayan aşağıdaki siteye giriniz.

http://beta.izlesene.com..Görüntülerin gelmediğini fakat sayfanın geldiğini göreceksiniz ve sonucu SonicWALL loglayacaktır.

Not : Eğer görüntü almaya devam ediyorsanız Active-X ID numarasını kontrol ediniz.SonicWALL un desteklediği bir uygulama olması gerekmektedir.

KONU : SONICWALL APPLICATION FIREWALL’DA Resim Objesini tanıma ve bunu Bloklama
SONICWALL SonicOS Enhanced 4.0

SonicWALL E.O.4.0 ilginç bir özelliği beraberinde getirmiştir.Şirket içinde bulanan ve gizlilik özelliğine sahip logoların yada resimlerin içeriğini kontrol ederek OBJE TANIMA özelliğini kullanarak resim objesini bloklayabilmektedir.Burada kast edilen dosya uzantısı değil objenin gerçek yapısını analiz ederek bloklamaktır.

Örnek olarak aşağıda bulunan SonicWALL logosunun(Şekil-1) nasıl bloklandığını bir örnek çalışma ile görelim.Bu logoyu bloklayabilen SonicWALL aynı uzantıda yada herhangi bir uzantıdaki resmin geçişini izin vermektedir.

Şekil-1

Burada bir grafik yada resim dosyasını dosyasının hexadecimal (hex) dönüşümünün yapılmasını sağlayan XVI32 gibi bir programa ihtiyacınız olacaktır.Bunu aşağıdaki linkden indiriniz ;

http://www.chmaas.handshake.de/delphi/freeware/xvi32/xvi32.htm

YAPILIŞI :
1.Programı çalıştırın ve resmi bu programla açın.(Şekil-2)

-Ctrl+B Tuşu ile ilk başlangıcı işaretleyin

-50 Hex karakterden sonra yine Ctrl+B tuşları ile son karakter arasını işaretleyin.Edit / ClipBoard /Copy as Hex string ile bunları clipboarda gönderin oradan da wordpad gibi bir editöre atın.Burada aradaki boşlukları almak için space bar tuşu ile değiştir karakteri girip bunların tümüne uygula yapın.(Arana bölümüne spacebar koyun ve değiştir’e tıklayın)

Şekil-2

Elinizde resmin ilk 50 karateri olan aşağıdaki koda ulamış olacaksınız.Daha sonra bunu Application Objede kullanacaksınız.

FFD8FFE000104A46494600010200006400640000FFEC00114475636

B79000100040000003C0000FFEE002641646F62650064

2.APPLICATION FIREWALL/Application Objects bölümünden ,Objeyi aşağıdaki gibi oluşturun.Input Representation’ı Hexadecimal olarak seçmeyi unutmayın.

Eklemeyi yaptıktan sonra objeyi aşağıdaki gibi göreceksiniz.Daha sonra bu objeyi policy bölünden gönderimini engelleyecek Rule yazıp işlemi bitireceğiz.

3. APPLICATION FIREWALL > POLICIES

Policy Type’ı Custom Policy olarak seçtiğinizde ilgili değişkenler otomatik olarak gelecektir.

Dışarıya dosyayı göndermek istediğinizde SonicWALL bu transferi engelleyecektir ve size aşağıdaki Log ile bu uyarıyı belirtecektir.

KONU : SONICWALL APPLICATION FIREWALL LAYER 2 BRIDGED
SONICWALL SnicOS Enhanced 4.0

SonicWALL’un Layer 2 Bridged özelliği, bir ağdaki IP adres yapısını hiç değiştirmeye gerek duymadan kendi içerisinden geçen IP trafiğini kontrol edebilme özelliğidir.Burada SonicWALL ‘a aynı ağdan bir IP adresi verilip ,ağ geçidi olarak router gösterilmek sureti ile ağ kurulumu sağlanır.

Şekil -1-

YAPILIŞI :
1.Network /Interfaces bölümüne geliniz.

2. XO Lan interface’ini edit yaparak Layer 2 Bridge Modu seçiniz.

3. XO Lan interface’inin hangi interface ile birlikte Bridge olarak çalışacağını (X1) seçtikten sonra Ok tuşunu klikleyiniz.Router interface’inden gelen kabloyu X1 ‘ e takacaksınız.Lan kablosunu X0 interface’ine takacaksınız.Kurulum bitmiştir.

PC’ler ağ geçidi(Gateway) olarak Router interface’ini vereceklerdir.SonicWALL’u değil.
Şekil -1-‘i inceleyiniz.

MSN’e  LOGİN OLMAMASINI  İSTİYORSAK

Senaryo-3  192.168.168.55 ile 192.168.168.133 ip leri MSN’e giremesin diğer herkes girsin..

Oncelikle Network > Address Objects menüsünden Aşağıdaki resimde görüldüğü gibi kişiler belirlenir..Daha sonra Address Groups oluşturulur ve bu kişiler grup içine dahil edilir.

 

Oluşturduğumuz kişi veya kişileri bu şekilde çoğaltıp grup içine dahil edebiliriz Bu kişiler  MSN’e giremiyecek olan kişileri gosteriyor . Bunu anlayabilmesi için Security Services > Intrusion Prevention Service menüsünden ilk once IPS enable edilir. Daha sonra IM category seçilir..

    

Category ‘lerde gorulen MSN signature’lardan bizim işimize yarıyacak olan 33 ve 34. imzalardır. MSN login olmasını yasaklıyacaz.. Edit diyoruz ve ayarlarımızı giriyoruz..

Yukarıdaki resimde’de gorulduğu gibi Included Ip Range ile bu aralıktaki kullanıcıların MSN’e login olmasını yasakladık.Bu Range dışında kalan herkes ise MSN kullanabilecektir..

Aynı işlemi 34.imza içinde uyguluyoruz. Böylelikle aşağıdada görüldüğü gibi istenilen kural gerçekleşmiş oluyor.

192.168.168.133 ve 55 ip’leri MSN’e giriş yapmak istemiş.. Ancak Included aralığı içinde olduğu için Block yemiştir.