Etiket arşivi: Juniper Firewall/IPSec VPN Products

Juniper SSG (ScreenOS) Firewall Transparent Mode Konfigurasyonu

 

Danışmanı veya çalışanı olduğumuz bir firmanın donanım yapılarındaki ihtiyaçlarını, firmanın büyüme ihtimallerine göre satın almalarını belirleriz.  Yeni kurulan veya belirli servislerin ve server ların barındığı bir firmada bazen beklenilen orandan çok daha büyük bir büyüme gerçekleşebilir. O zaman elimizdeki donanımların, yapıdaki fonksiyonları azalır ve ihtiyaçlarımızı karşılayamaz hale gelebilir. Bu safhada, tüm netwrok yapısını düzenlememek adına Juniper Firewall larda Transparent Mode devreye girer ve Layer 3 cihazı Layer 2 bir cihaz haline dönüştürüp, Ethernet Switch gibi kullanırız.

 

Transparent Mode nasıl çalışır?

Ethernet Switch lerin çalışma mantığı basittir. Switch e bir paket ulaştığında, source mac addressi table ına ekler ve destination mac adresi, forwarding table ında yok ise, paketin geldiği port hariç tüm diğer portlara broadcast (flood) eder. Destination mac adresine sahip client pakete cevap verir ve switch table ı günceller. Eğer table ında destination mac address var ise, sadece o porta paketi gönderir. ScreenOS ta  Transparent Mode da aynı mantıkla çalışır. Paket içeriği değiştirmeden ilgili porta gönderir. 

 

image001

 

Fabrika ayarlarında cihaz genelde NAT/route mode da gelir. Get system komutu ile kontrol edebilirsiniz.

 

image002

 

Interface lerin durumunu görüyorsunuz. Cihazı Transparent Mode a almak için tüm Layer 3 de olan interface leri (vlan1 hariç)  layer 2 ye çekmemiz gerekir.  Burada dikkat edilmesi gereken vlan1  interface layer 3 de kalmalı ve ip atanmalıdır yoksa cihaza ulaşamaz konsol  portundan bağlanmak zorunda kalırsınız.

 

image003

  Daha sonra tekrar CLI den get system komutu ile transparent mode da olduğunu kontrol ediyoruz.

 

Transparent Mode da Network ü segmentlere ayırabilir, aralarında policy yazabilir ve VPN ler konfigure edebilirsiniz. Aşağıda konfigürasyon örneğini makaleye ekliyorum. 

 

image004

 

Buradaki topolojide 192.168.1.0/24 bloğuna sahip bir network ü 3 e bölüp aralarında policy ler yazacağız.

 

İlk önce zone yaratıp. Interface e atıyoruz

set zone name l2-trust-1 L2

set zone name l2-trust-2 L2

set zone name l2-trust-3 L2

 

set interface e0/1 zone v1-untrust

set interface e0/2 zone l2-trust-1

set interface e0/3 zone l2-trust-2

set interface e0/4 zone l2-trust-3

 

Cihazı yönetebilmek için vlan1 interface  ine ip atıyoruz

set interface vlan1 ip 192.168.1.100/24

set route 0.0.0.0/0 interface vlan1 gateway 192.168.1.254

Daha sonra policy yazıyoruz

set policy from v1-untrust to l2-trust-1 any any http permit
set policy from l2-trust-1 to l2-trust-2 any any ssh permit

 

Buradaki konfigürasyon lokal network bölüp aradaki trafik akışını ayırmak için kullanılabilir. Ayrıca güvenlik tarafı içinde kullanılabilir. Eğer yapınızda Server lar (Web Server, Mail Server….) var ise network ü ayırıp ilgili policy ler ile sadece gereken protokollere izin verebilirsiniz.

Bu makalemde ScreenOS üzerinde transparent mode un nasıl çalıştığını ve network segmentlere ayırmasını anlatmaya çalıştım. Kullandığım örnek ve topoloji ScreenOS Cookbook tan alıntıdır.

 

Kaynak :

ScreenOS Cookbook

 

Murat GÜÇLÜ

Juniper Urunlerine Genel Bakıs – 3

Juniper Firewall/IPSec VPN  Products

Juniper’ın pazarda söz sahibi olduğu diğer ürünlerine baktığımızda genel olarak “Firewall/Security Cihazlarını” gösterebiliriz.

Juniper ürün ailesinin belki de en popüler olan şaselerini tanımak ilerde yapacağınız güvenlik yatırımlarında size yardımcı olacaktır.

Bu ürünleri alırken ihtiyaçlarınızın doğru belirlenmesi ve size en uygun ürünün seçilmesi, size bir ayrıcalık kazandıracaktır.

4 kullanıcılı bir ofisiniz olsun. Bu ofiste öyle bir cihaz seçmelisiniz ki, hem yerli yerinde bir yatırım hem de güvenlikten taviz vermemiş olasınız. Hem de ileriye dönük olarak şirketinizin gelişmesine uygun olsun.

Cihazı seçmeden önce nasıl bir ürün aradığınızı bilmeniz gerekiyor. İyi bir seçim yapmak için ürünleri tanımak gerekiyor.

Bu ürünleri tanıtmadan önce Juniper Firewall sistemlerinin rakiplerine göre kıyaslamasına bakalım.

Gartner Firmasının Enterprise Network Firewalls ürünleri test sonuçları:

image001

Juniper Networks Firması, Netscreen’i satın aldıktan sonra hem ürün portföyünü genişletmiş hem de pazarda söz sahibi bir konuma/güce ulaşmıştır.

Birkaç yıl öncesine kadar Netscreen cihazlarının yerine kendi ürün ailesinden SSG(Secure Services Gateway) sistemlerinin üretimine başlamış ve büyük başarı elde etmiştir.

Netscreen cihazlarının üretimi durdurulmuş olup, Juniper Firması birkaç yıl daha destek vermeye devam edecektir. Aşağıda netscreen cihazlarına ait “end of support ” ve “end of life (EOL)” tarihleri verilmiştir.

image002

Bu platformlar ScreenOS işletim sistemi üzerinde çalışmaktadır.

ScreenOS işletim sistemi size Web ara yüzünden konfigürasyonları/ayarları kolaylıkla yapmanızı sağlayacak şekilde tasarlanmıştır, bu konuda yüksek oranda başarılıdır.

Network Güvenliği açısından Juniper Networks cihazlarının büyük bir esnekliği ve güvenilirliği vardır. Netscreen cihazı üzerinde en az bir fiziksel arayüz(interface) vardır. Bu özelliği ile siz netscreen cihazı üzerinde farklı güvenli-bölge(zone) oluşturup network güvenliğini artırabilirsiniz

Command Line Interface(CLI) ile de Web arayüzünden yaptığınız ayarları CLI  ile yapabilirsiniz.

Her ne kadar Netscreen cihazlarının üretimi durdurulmuş olsa da, piyasada netscreen cihazları oldukça yüksek bir orana sahiptir ve kullanılmaktadır.

Aklınıza şöyle bir soru geliyor mu? Kullandığınız Netscreen modeli Juniper SSG serisinden hangisine performans olarak daha yakın yada hangi netscreen yerine hangi ssg kullanılabilir?

4-5 yıl önce şubenizde diyelim Netscreen 25 modeli kullanıyordunuz ve hala kullanmaya devam ediyorsunuz fakat yeni bir şubeniz daha oldu aynı ölçeklere sahip.. Acaba SSG ürünlerinden hangisi bu yeni şubenizde konumlandırılmalı?

Bu soruların cevabını aşağıda ki özet tablo ile vermeye çalışalım.

image003

image004

Aşağıda ki tabloda, orta ve küçük ölçekli şirketinizde konumlandırabileceğiniz iki SSG ürünü arasında ki değerleri dikkatle inceleyiniz.

image005

Şekil 1: Juniper Netscreen 5GT ADSL

image006

Netscreen cihazında 1 den 4’e kadar olan portlar Trust zone’ dadır, bu 4 port switch portu gibi davranır. SSG sistemlerinde ise durum biraz daha farklıdır.

Şekil 2: Juniper SSG 5& SSG 20

image007

image008

Şekil 3: Juniper SSG 140

image009

image010

Şekil 4: Juniper SSG 320M & SSG 350M

image011

image012

Şekil 5: Juniper SSG 520

image013

Şekil 6: Juniper SSG 550

image014

Firewall sistemlerinizi satın alırken dikkat etmeniz gereken en önemli birkaç hususu size aktarmakta fayda görüyorum.

Bunlardan birincisini Satış sonrası destek olarak düşünebilirsiniz.

Sonrasında, Throughput(Firewall un paket işleme kapasitesi, IPSec VPN paketlerini işleme hızı v.b) değeridir.

İkincisi ise “eşzamanlı” olarak desteklediği “session” sayısıdır.

Diğer özellikler ise opsiyoneldir. Yani işletmenizin ihtiyacı olan ürünü tercih edebilirsiniz.

Juniper Firewall sistemlerini satın aldığınızda size deneme olarak 1 aylık Antivirus, Antispam, Url

Filtering ve Deep Inspection özelliklerini kullanma hakkı tanınır. Bu süre zarfında memnun

kalırsanız, bu paketlerin dördünü birden yada birkaç tanesini ayrı ayrı alarak sisteme entegre edebilirsiniz.

Firewall sistemlerini satın aldıktan sonra, Firmware ile ilgili bug’ların neler olduğunu araştırmanızda yarar var.

Firewall sistemlerini satın aldığınız şirketlerden core support paketini de almayı ihmal etmeyin.

Eğer Juniper Firewall sistemlerini ilk defa yönetecekseniz, mutlaka kurulumunu yaptırıp sisteminize entegre edin.

Bu sistemleri yönetmenin kolaylığını ve zevkli olduğunu kullandıkça anlayacaksınız, anladıkça yeni projeler geliştireceksiniz.

Sait ÇINAR