magnify
Home 3. Party Kerio WinRoute Firewall ile Güvenliğin Keyfini Çıkarın
formats

Kerio WinRoute Firewall ile Güvenliğin Keyfini Çıkarın

Tarih 26 Şubat 2008 yazar içinde 3. Party

Merhaba,

Günümüzde bir çok sistem yöneticisini en çok düşündüren sorulardan biride güvenlikli bir alt yapı nasıl olmalı ve hangi ürünü tercih etmeliyim sorusudur?

Güvenli bir sistem, sorunsuz bir kullanım demektir. Güvenlik duvarı (Firewall) adıyla bilinen sistemi kullanarak, yerel (Local)network ve Internet arasına önemli bir güvenlik sağlarız. Bilgisayarlara Internet üzerinden saldırı yapanlar Internet’e bağlı bilgisayarları tarayarak, kırıp girebilecekleri bir “bağlantı noktası” (port ) ararlar. Güvenlik duvarları bir yandan bilgisayarınıza izinsiz erişimleri engelleyebilir, diğer yandan da giden veri akışını sınırlar. Bu sayede sağlıklı bir network’ün temellerini atmış oluruz.

Bu yazımınızda sizlerle paylaşmak istediğim 1997 yılında internet güvenlik pazarına giren ve tarihçesi boyunca global IT basınından çeşitli ödüller alan Kerio Winroute Firewall ürünüdür

ICSA Laboratuvarlarından sertifikasyon alan WinRoute Pro, ABD Hava ve Deniz Kuvvetleri, global turizm ve rezervasyon devi Amadeus gibi kurumlara destek vermektedir.Bu yüzden tüm dikkatleri üzerine toplmış durumdadır.

Kerio Winroute Firewall konfigürasyonu ve yetenekleri hakkında bilgilendirmek isterim.

Öncelikle Winroute Kerio başlıca neler yapıyor bunları başlıklayalım;

VPN & SSL VPN

WinRoute Firewall Vpn bağlantılarında güvenli bir şekilde SSL kullanarak connection saglar.

Anti virüs korumalı ağ geçidi

Third Party tool anti virüs yazılımları ile entegre çalışarak mail ve ftp trafiğinizi kontrol (check) eder.

Sörf Koruması Orange Web Fitler

Şirketinizin uygun bulmadığı sitelerin engellenmesi konusunda da profesyoneldir içeriği 58 kategoride değerlendirip uygunsuz sitelere erişimi engeller bu sayede sisteminiz güvenli bir şekilde çalışır.

Fail-Over Connection

Şirketinizin internet erişimde sürekliliği sağlamak amacı ile ikinci bir hardware (Adsl-DialUp) bağlantısına izin verir.

VoIP ve UPnP desteği

H.323 ve SIP protokolleri ile tam uyumlu çalışmaktadır, Bu sayede VoIP trafiğinizi sorunsuzca internete yönlendirirken, VoIP altyapınızın internet üzerinden gelebilecek tehlikelere karşı korunmasını sağlar.

WinRoute Kerio Firewall Monitoring

Yönetim şekli itibari ile farklı bir lokasyondan erişim sağlanıp yönetebilirisiniz.

-Dışardan yapılacak hacker saldırılarında sistem yöneticisini mail yoluyla anında bilgilendirir.

-Kullanıcıların internet ve mail alışverişlerindeki istatistikleri tutar.

Konfigürasyonu

Öncelikle 30 günlük deneme sürümünü http://www.kerio.com/kwf_download.html Current version: 6.2.1 indirip işlemleri yapmaya başlayalım.

Minimum sistem gereksinimleri

CPU Intel Pentium III

-256 MB RAM

-2 adet network kartı

-20 MB disk alanı

-Maximum koruma için NTFS disk sistemi (Önerilen)

32 Bit Windows 2003 –XP -2000 işletim sistemleri

WinRoute Firewall yüklemeden önce

Firewall da 2 adet konfigürasyonu yapılmış network kartınız olmalı .Bu network kartlarını Wan ve Lan olarak isimlendiriyorum.

-Wan bacağı ISP (Modem) bakan kısım

-Lan bacağı ise iç networkümüze bakan kısımdır.

clip_image001

Internet Connection Firewall / Internet Connection Sharing kapalı olmadır.

Kurulum;

Kerio-kwf-6.2.1-win.exe çift tıklayıp,karşımıza gelen License Agreement Kabul edelim

clip_image002

-Sözleşmeyi Kabul edip Next ile geçtikten sonra standart ekranları karşımıza çıkaracaktır bu kurulum da dikkat edilmesi gereken aşağıdaki ekrandır

clip_image003

Default olarak network trafiğini block koydugunu söylüyor .Bu ekranda Enable remote access seçenegini seçmeyip direk next ile geçelim.İnternet erişimi için initial configuration da step by step işlemleri gerçekleştirecegiz.

Sonraki adımda karışımıza Vpn adapter in yüklenmesi ile ilgili ekran gelecektir

clip_image004

Continue Anyway seçip yüklemesine izin verelim. En son adımda restart işlemini de gerçekleştirdikten sonra system açılmaya başlamadan önce administration console başlatıp başlatmayacagınız ile ilgili secenegi YES’e tıklayıp başlayalım.

Şu ana kadar olan süreç te herhangi bir client,firewall olmak üzere hiç bir şekilde internete çıkışımız yoktur

Şimdi firewall içersindeki rule oluşturarak internet erişimi ve ilgili konulara değinelim.

clip_image005

DipNot : Monitörümüzün sağ alt köşesinden de ulaşılacağına dikkat ediniz

Firewall açtığımızda karşımıza direk ilgili ekran gelecektir aşagıdaki adımları izleyelim;

(Wizard page 1 About this wizard) WinRoute Kerio Firewall ilk defa çalıştırdgımızda karşımıza wizard ekranı gelir

clip_image006

(Wizard page 2 Type of internet connection)

Bu ekranı next ile geçtikten sonra burada internete erişimizini sağlayan hardware seçmenizi ister.Gerekli seçimi yaptıktan sonra next ile gelçelim

clip_image007

(Wizard page 3 İnternet Adapter)

Bu ekran çok önemlidir burada internet bacağınızı sormaktadır. WAN connection saglayan network adapter seçtikten sonra next ile geçiniz.

clip_image008

(Wizard page 4 Outbound Policy)

Internete erişecek kullanıcılarımızın port larını ilk etapta kısıtlaya bilirisiniz.Bu aşamaları daha sonrada ihtiyaçlarınıza göre belirleyebilirsiniz

clip_image009

(Wizard page 5 VPN )

Uzak ofis lokasyonlarımızın veya Vpn client connection gerçekleştirilmesi için rules arasında tanımlı olması gereklidir.Bunu için create rules for Kerio VPN server diger kutucuguda işaretleyelim.

clip_image010

(Wizard page 6 NAT)

Finish ekranından önceki bu adımda NAT enable ediyoruz ki internete erişimimiz saglanmış olsun.

clip_image011

clip_image012

Step by Step rule tanımlamaları yaptıktan sonra internet dns çözümlemesi (resolve) için domain controller da forwarder dns oldugunu düşünerek firewall da asagıdaki yönlendirmeleri yapmamız gerekecek

(Wizard page 7 Dns Forwarder)

Bu ekranda forward DNS queries to the specified DNS server check box işaretleyip Local dns sunucunuzun ip sini vebilirisiniz

clip_image013

Bu bağlam da tğm network internete erişir durumda!

Yaptıgımız butün bu işlemler sadece internete erişim ile alakalı kısımdı.Ortamda Mail server,Web server,Terminal server var ise bunların konfigurasyonu ile ilgili spesifik ayarları yapmamız gereklidir bunun için NATve Port yönlendirmelerine ihtiyacımız vardır.

Rule Tanımlamaları:

Secure NAT için;

Öncelikle mail server a rule nasıl tanımlanır bunu görelim;

İlk önce mail server ı ilgili MX katıdının ip sini NAT yaparak dış dünyaya çıkarmaya çalışalım

Traffic Policy açıp sag tarafta görünen dashboard kısmında add tıklayarak new rule tablosu karşımıza cıkar.

clip_image015

Name tabına : Mail server Nat yazıyorum

Source : Kısmına NAT ile çıkacak Mail server ın Local IP sini,

Destination : Kısmına ise reel ip lerin eklenmiş oldugu interface seçiyorum.

Service: Any olarak bırakıyorum

Action: Permit

Log: Size kalmış

Translation: Bu kısıma ise ben MX kayıdımın reverse ip sini yazıyorum

Apply tıklayıp çıkalım

Şimdi bu durumda mail server karşısına geçip www.whatismyip.com yazdıgınızda 195.15.14.10

İle internete çıktıgını göreceksiniz.

Local bir server ın dış dünyaya güvenli bir şekilde çıkışını sağlamış olduk iş bu kadarla sınırlı

Degil… Dış dünyadan mail sunucumuza ulaşabilmeleri için Nat port mapping yapmamız gerekli

Nat port mapping;

Bunun için aynı şelikde Traffic Policy ekranında add tıklayıp new rule kısmına giriyoruz

clip_image017

Name tabına : Mail server Port Mapping yazıyorum

Source : Wan interface ekliyoruz

Destination : 195.15.14.10

Service : Smtp-http-Https (http ve https OWA için acılmış portlar)

Action: Permit

Log : Size kalmış

Translation: Dış dünyadan bu porta gelen şu paketleri local ip(Mail server) ye mapping yapsın şeklinde dikkat edin lütfen!

Apply tıklayıp çıkalım

Yapmış oldugumuz bu rule test etmek için dış dünyadan 25 port una telnet çekerecek sistemin çalıştıgını check edebilirsiniz!

Bu haftaki yazımızda WinRoute Kerio Firewall kurulumu ve rule tanımlamalarını görmüş olduk İthiyaclarınıza göre bahsettigim gibi Terminal Server,Web Server gibi önem içerigi fazla olan server lara bu tarz rule tanımlayarak güvenlik altına almış olursunuz.

WinRoute Kerio Firewall bir sonraki konusunda görüşmek dilegiyle

Saygılarımla

Kenan DUZDAS

MCT-MCSE-HpAIS-HpASE-HpAIS-CCNA-CCSA

Team Information Technology

Kenan.duzdas@team.com.tr

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
Kerio WinRoute Firewall ile Güvenliğin Keyfini Çıkarın için yorumlar kapalı  comments 
© Hakan Uzuner
credit