Merhabalar arkadaşlar.
Bu sefer de değişik bir cisco ürünü olan Cisco ASA 5510 üzerinde biraz çalışacağız. Temel olarak yapacağımız işlemler;
1)İnternet trafiği bu cihaz üzerinden geçecek,
2)Güvenlik sağlanacak,
3)Uzak masa bağlantısı için gerekli ayarlamalar yapılacak,
4)Firma içerisinde kullanılan bir uygulamaya dışarıdan erişebilmek için gerekli olan ayarlar ve izinler tanımlanacaktır.
Şirketimizde 1 adet ADSL modem mevcuttur. Biz internet erişimini bu ADSL modem ile sağlayacağız ancak bütün trafik ASA üzerinden geçecektir. Bu durumda ADSL modem üzerinde de birkaç yönlendirme yapmamız gerekecektir. Onları da makalemizin devamında anlatacağım.
Cisco ASA nedir ne değildir? Bu cihaz ile neler yapılabilir? Öncelikle bunları bir inceleyelim;
Cihazımız yukarıdaki resimlerde görüldüğü gibidir. Kendisi ve modülleri ile birlikte.
-ASA = Adaptive Security Appliance demektir.
-Küçük,orta ve büyük ölçekli işletmelere gelişmiş seviyede güvenlik ve network servisleri verebilen bir cihazdır.
-Bu servisleri yönetmek ve uygulamak basittir. İster komut satırından isterseniz de cihazla birlikte gelen ve Cisco ASDM (Adaptive Security Device Manager) olarak adlandırılan program ile görsel olarak da cihazın konfigürasyonunu basit ve hızlı bir şekilde yapabilirsiniz.
-Yüksek seviyede firewall ve VPN (Virtual Private Network) hizmetlerini sağlayabilir.
-Değişik modülleri mevcuttur ve bu modülleri satın alarak sisteminizi daha da güvenli hale getirebilirsiniz.
Cisco ASA 5510’unun temel özellikleri aşağıdaki tabloda görüldüğü gibidir.
|
Feature |
|
|
Concurrent threat mitigation throughput (firewall + IPS services) |
|
Cihaz hakkında bu kadar bilgi verdikten sonra artık yavaş yavaş konfigürasyonumuza başlayabiliriz. Ancak daha detaylı bilgi almak isterseniz aşağıdaki adrese bir gözatmanızı tavsiye ederim;
http://www.cisco.com/en/US/products/ps6120/products_data_sheet0900aecd802930c5.html
ilk olarak cihazımıza bağlantı sağlamamız gerekiyor.Bunu için cihazı düzgün bir şekilde sistem entegre etmemiz gerekiyor. ilk olarak modemden gelen kablomuzu outside (dışbacak) olarak belirlediğimiz Ethernet arayüzüne takıyoruz. Daha sonra inside (içbacak yada LAN) olarak tanımladığımız arayüze de kablomuzu takıyoruz. Eğer konsoldan girişler gerçekleştireceksek konsol kablosunu da serverımızın yada konfigürasyonu yaparken kullanacağımız makinanın com portuna takıyoruz ve hyper terminalden de bunu kullanarak konfigürasyon yapabiliriz. Bunların hepsini yağtığımızı farzefiyorum ve artık ilk adıma geçiyorum. Ben ASDM kullanacağım.ilk önce Cisco ASA’ya bağlantıyı gerçekleştiriyorum.
Yukarıdaki şekilde de görüldüğü gibi cihazımıza bağlantıyı sağlamak için IP,kullancı adı ve şifre girişini gerçekleştirip OK tuşuna bastıktan sonra cihaza bağlantı sağlanıyor. Daha sonra karşımıza aşağıdaki gibi bir pencere çıkıcak. Bu pencere Cisco ASA’nın ana penceresi ve bizim ilk göreceğimiz pencere burasıdır.
Yukarıdaki resimde de görüldüğü gibi cihazımız hakkında detaylı bir bilgi bulunmaktadır.
Device information: Bu kısımda aygıt ile ilgili bilgiler mevcuttur. Üzerindeki yazılımlar ve versiyonları hakkında bilgiler var.
Interface Status: Bu bölümde ise cihaz üzerinde yer alan entegre edilmiş Ethernet arayüzleri hakkına bilgileri görebiliriz. Down yada Up olup olmadıklarını burdan görebiliriz.Benim konfigürasyonumda inside ve outside up durumda ancak management (yönetim için ayrılan Ethernet arayüzü) down durumda görünüyor.
VPN Tunnels: Bu kısımda ise VPN bağlantıları hakkında bilgileri alabiliriz. Ben VPN yapmadığım için hiçbir bilgi göremiyoruz.
System Resources Status: Cisco ASA üzerindeki CPU ve RAM değerleri hakkında bilgiler vermektedir.
Traffic Status: ASA üzerinden geçen trafik hakkında bilgi veriliyor.
Ve en alt kısımda da cihazın sistem loglarını görebilirsiniz.
Evet cihazımıza bağlandık ve artık yavaş yavaş yapmak istediğimiz ayarları yapmaya sıra geldi. Bunun için ben Wizard (en kolayı bu) kullanıcam ancak makalemin devamında Wizard kullanmadan da bütün bu ayarların nasıl yapıldığını anlatacağım.
Yukarıdaki şekilde de görüldüğü gibi Anamenü’deki Wizards altında bulunan Startup Wizard’a tıklıyoruz ve işlemlerimize devam ediyoruz. Karşımıza aşağıdaki gibi Wizard başlangıcı gelecek.
Burada karşımıza iki seçenek geliyor. Bunlardan birincisi “Modify Existing configuration” ve “Reset configuration to factory defaults”. Cihazın üzerinde default gelen bir konfigürasyon mevcut zaten biz bunu seçerek konfigürasyonumuza devam ediyoruz. Ancak bir sorun olursa ve fabrikasyona dönmek isterseniz ikinci seçeneği seçip cihazı resetleyebilirsiniz. Devam ettiğimizde karşımıza aşağıdaki şekil gelecek.
Yukarıdaki şekilde de görüldüğü gibi cihazımıza bir isim veriyoruz. Ben “muminasa” dedim ve domain name kısmına da “sistemdoktoru” dedim. Default değerleri bırakırsanız ASA Host Name “ciscoasa” ve domain kısmı da “yourdomain.com” şeklinde kalır.Sadece tanımlamak amacıyla bu işlemi gerçekleştiriyoruz ve diğer adımımıza geçiyoruz.
Yukarıdaki şekilde de görüldüğü gibi bu kısımda cihazımıza ait olan Outside seçimini yapıyoruz. Yani ADSL modemden gelecek olan kablonun takılacağı bacağı seçiyoruz.Ben Ethernet0/0’I dışbacak (outside) olarak tanımlıyorum ve gerekli IP bilgilerini giriyorum.Bu kısımda üç seçenek mevcut.
1)PPPoE kullan 2)DHCP kullan 3)Ve bizim tanımladığımız IP’yi kullan
Arayüzleri ayarladıktan sonra durum aşağıdaki gibi olacaktır.
Diğer adımımıza geçtiğimizde karşımıza yönlendirme bilgileri gelecekti ve bizden bir yönlendirme girip girmeyeceğimizi soracaktır. Ben static olarak bir yönlendirme girdim. Daha sonra da bu girişler gerçekleştirilebilir.
Evet burada dışa bacağımızı seçiyorum ve 0.0.0.0 0.0.0.0 olan yani içeriden nerden gelirse gelsin 192.168.0.1 üzerinden çıkışını gerçekleştiren yönlendirmeyi static olarak giriyorum.
Ve wizard ile son aşamamız olan kısma geliyoruz. Aşağıdaki şekilde de görüldüğü gibi Wizard ile yaptıklarımızın bir özetini bize sunuyor ve “Finish” butonuna basıp Wizard ile olan konfigürasyon yolculuğumuzu başarıyla bitirmiş oluyoruz.
Şimdi sıra geldi artık cihazımızla ilgili ayarları wizard kullanmadan yapmaya ve makalemizin başlangıcında tanımladığımız yapıyı oluşturmaya. Bunun için Cisco ASA’ya ilk bağlandığımızda karşımıza çıkan ana menüyü hatırlıyoruz herhalde. O pencerede olan menüleri kullanarak ayarlarımızı yapacağız.
Yukarıda da gördüğümüz gibi Home,Configuration,Monitoring,Back,Forward,Packet Tracer,Refresh,Save ve Help menülerini açan kısayol tuşlarımız mevcut. Biz bunları kullanarak ayarlarımızı yapacağımız menülere ulaşacağız.
İlk aşamamız Configuration olacaktır. Configurationa tıklıyoruz ve karşımıza aşağıdaki pencere çıkacaktır.
Sol kanattaki kısımlara bakarsak karşımıza aşağıdaki seçenekler çıkıyor;
1)interfaces: arayüzler hakkında bilgileri içerir.
2)Security Policy: kuralları oluşturacağımız kısım.
3)NAT: nat olayını gerçekleştireceğimiz bölüm.
4)VPN: vpn ayarlarını yapabileceğimiz arayüz.
5)CSD Manager:cisco secure desktop ile ilgili birim.
6)Routing: yönlendirmelerimizi yapabileceğimiz kısımdır.
7)Global Objects
8)Properties: aygıtla ilgili manuel olarak konfigürasyon yapabileceğimiz birimler burada mevcuttur.
Arayüzleri ve Configuration altında bulunan ksımları kısaca inceledikten sonra artık onların yapılandırmasına başlama vakti gelmiştir.
İlk olarak Security Policy ayarlarına bir bakalım. Burda içeriden ve dışarıdan gelicek olan isteklere karşı bazı güvenlik politikaları ve kuralları tanımlayacağız.Yeni bir kural oluşturmak için aşağıdaki gibi hareket etmemiz gerekiyor.
Şekil 2
Yukarıdaki birinci şekilde gördüğümüz gibi Access Rules tabında iken “+Add”’e basarsak karşımıza şekil 2’deki kural oluşturma penceresi gelecektir.
Burada yapacağımız ilk işlem Source (kaynak) adresin belirlenmesi var. Ben burada Any seçip devam ediyorum. Action kısmında ise kuralımızın Permit (izin) kuralı mı yoksa Deny (yasaklama) kuralı mı olduğunu tanımlıyorum. Ben izin vereceğim için Permit seçiyorum. Daha sonra Destination (Hedef) belirlemem gerekiyor. Bu kuralı oluşturmaktaki amacım dışarıdan içerideki server uzak masa üstü ile bağlantıyı sağlamaktır. Dolayısıyle 3389 nolu portu içerideki 10.0.0.200 nolu IP’ye sahip olan servera yönlendiriyorum. Zaten Rule Flow Diagram kısmına bakarsak kuralımızın uygun oluğunu görüyoruz. Evet ilk kuralımızı tanımladık.
Eğer ikinci bir kural tanımlamak istiyorsanız artık +Add tuşuna basmanıza gerek yok. Yapmanız gereken tek bir iş var oda daha önce tanımladığımız kurallardan birisine sağ tıklıyoruz ve Copy diyoruz. Bu işlemi yaptıktan sonra sadece kural üzerindeki bazı yerleri değiştirmemiz gerekiyor. Aşağıdaki şekildeki gibi kuralımızı yeniden düzenleyebiliriz.
Ilk önce Copy diyoruz. Şekil 1’de görüldüğü gibi. Daha sonra Şekil 2’deki gibi kuralımızı Paste ediyoruz ve değiştirmelerimizi yapıyoruz. Hepsini yaptıktan sonra OK dediğimizde yeni bir kural tanımlamış oluyoruz.
Bütün kurallarımızı bu şekilde tanımlayabiliriz.
Şekil 1
Şekil 2
Evet şimdi sıra geldi diğer servislerimizi yapılandırmaya. Ilk olarak DHCP servisinin yapılandırılmasını gerçekleştiricez. Makalemin başlarında da söylediğim gibi herşeyi Wizard ile yapayacağız demiştim. Şimdi Wizard kullanmadan DHCP servisini yapılandıracağız.
Bunun için Configuration altında Properties kısmına gidiyoruz. Karşımıza aşağıdaki gibi bir pencre gelecektir.
Bu kısımda yapacağımız işlemlere gelince. İlk once DHCP server seçimimizi yapıyoruz. Ardından sağ tarafta açılan pencerede “inside” seçiyoruz. Bunu seçmemizin sebebi DHCP servisini içeriye dönük bir hizmet olarak kullanacağımızdır. Edit tıklayıp değerleri görebiliriz. Seçimimizi yaptıktan sonra artık DHCP ile ilgili seçenekleri ayarlamaya geliyor sıra. DNS Server,Wins Server,Domain Name ve kiralama sürelerinin girişlerini gerçekleştirdikten sonra Apply’a basıyoruz ve ayarlarımızı Flash’a gönderiyoruz. DHCP servisimizi de aktif hale getirdik. Artık içerideki bilgisayarlarımıza cihazımız IP dağıtabilir.
Sıra geldi cihazımızın üzerinde kullanıcı tanımlamalarına. Bunu neden yapıyoruz? Dışarıdan ve içeriden güvenliği arttırmak. Benim burda kullanıcıları oluşturmamın sebebi; şirket içinde kullanılan bir uygulamaya kullanıcılar dışarıdan herhangi bir yerden erişirken şifre sorması içindir.Bunun için Properties altında Device Administration altındaki User Accounts kısmını kullanacağız.
Şekil 1
Şekil 1’de görüldüğü gibi cihazımıza eklemiş olduğum kullanıcıları görmekteyiz. Yeni bir kullanıcı eklemek istediğimizde ise Add butonuna basmamız yeterlidir. Daha sonra karşımıza aşağıdaki gibi bir pencere gelicek ve bu kısımda gerekli bilgilerin girilmesi gerekecektir.
Yukarıda da gördüğümüz gibi kullanıcı adını ve şifresini giriyoruz.
Evet kullanıcılarımızı da ekledik.
En son aşama ise yapmış olduğumuz bütün bu ayarların kaydedilmesidir. Bunun için iki seçeneğimiz var.
1)Ana pencerede bulunan menu çubuğundaki Save butonunu kullanmaktır.
2)File menüsündeki Save Running Configuration to Flash demektir.
Yukarıdaki işlemi de yaptıktan sonra artık bütün ayarlarımız Flash’a yazılmış oldu.
Şimdi sıra ADSL modem üzerindeki yönlendirmeye. Modem üzerinde de içeriden gelicek olan bütün isteklerin modemin IP’ni gateway olaraktanımlayan yönlendirme kuralını da modemin Routing kısmında static olarak girişini gerçekleştiriyoruz ve işimiz tamamlanmış oluyor.
Artık serverımıza ve uygulamamıza dışarıdan bağlanmayı deneyebiliriz.Bunun için Remote Desktop Conneciton kullanacağız.
Gerekli bilgileri girdikten sonra Connect diyoruz.
Şifre girişinin gerçekleştirilmesi.
Web tabanlı olarak çalışan uygulamıza erişmek için ise internet explorer adres çubuğunda http://212.25.25.25 yazım Enter tuşuna bastığımızda karşımıza ilk önce daha önce Cisco ASA üzerinde tanımlamış olduğumuz kullanıcı adı ve şifre giriş penceresi gelecektir.
Kullanıcı adımızı ve şifremizi giriyoruz.
Cisco ASA’nın sormuş olduğu kullanıcı adı ve şifresi doğru ise bizi doğruca içeride kullandığımız programın kullanıcı adı ve şifre giriş pencresi karşılayacaktır.
Kullanıcı adı ve şifre doğru ise artık programda çalışabiliriz.
Evet geldik makalemizin sonuna. Daha bir sürü özelliği var ancak bu kadarını hazırlayabildim. Öğrendikçe sizlerle paylaşmaya devam edicem.
Bütün yukarıdaki yaptıklarımıza ek olarak cihaz üzerinde;
1)Monitoring yapabilirsiniz
2)IP’leri izleyebilirsiniz
3)Banner ekleyebilirsiniz
4)URL Filtering yapabilirsiniz
5)Cihazınızın otomatik olarak güncel kalmasını sağlayabilirsiniz
Bir sürü özelliği var hepsini incelemek uzun sürerdi. Ancak dediğim gibi öğrendikçe sizlerle paylaşacağım.
Teşekkürler.
Hocam makale çok güzel olmuş emeğinize sağlık . Benim bir sorun olacak bu firewall 5651 kanununa göre log ları zaman damgasıyla damgalayıp gönderebiliyor mu.