WATCHGUARD FIREWARE...
 
Bildirimler
Hepsini Temizle

WATCHGUARD FIREWARE VERSIYON HK.  

Ergin UZUNDURUKAN
(@ErginUZUNDURUKAN)
Üye

Benim şirkette kullanmakta olduğum cihazım xtm550e vebu cihazda kullandığım system manager programının versiyonu 11.4.2 dir. Bucihazın fireware versiyonunu 11.3.4. Web sitesinde baktığımda bu ürününfireware versiyonu bu görünüyor. Bu cihazıma 11.4.2 olan versiyon kursam ve buupdate işlemini yapsam cihazım çöker mi acaba.  http://www.watchguard.tk/haber/4/watchguard-application-kontrolleri.htmlweb sayfasında okuduğuma göre 11.4.2 versiyonda WatchGuard, dahaönceki firmware versiyonlarında bu tip güvenlik açıklarına karşı rahatlıklakoruma sağlayabiliyordu. Yeni firmware versiyonu olan XTM 11.4 ile birlikte,uygulama yönetim yapısını daha da geliştirerek, 1500’den fazla uygulamayısadece birkaç adımda rahatlıkla kontrol edilebilir hale getirdi. 
Örneğin, MSN gibi instant messaging uygulamarında, kullanıcının kimlikdoğrulaması ve iletişim kurmasına izin verilirken; dosya transferi, görüntülükonuşma vb. özelliklere kısıtlama getirebilir. Tüm bu işlemleri yapmak için,uygulamanın kullandığı portları öğrenek, bu portlara erişim kısıtlamasıgetirmek yerine, port bağımsız olarak kolaylıkla yönetilebilir diye yazıyor.Yardımlarınızı rica ediyorum. Teşekkürler.

 

Alıntı
Topic starter Gönderildi : 02/10/2011 18:14
Cem ÇEZİK
(@cemcezik)
Üye

Ergin bey merhaba,


Firebox x550e modellerine 11.4.2 fireware yüklemeniz mümkün değildir. 11.4.2 fireware XTM modelleri için geçerlidir. Bu yüzden yeni fireware e geçme olasılığınız yok. İleriki zamanda lisans yenileme zamanı geldiğinde rakamsal olarak üzerine biraz daha ekleyip XTM 505 e geçmeniz mantıklı olabilir.


iyi çalışmalar...

CevapAlıntı
Gönderildi : 02/10/2011 21:08
Ergin UZUNDURUKAN
(@ErginUZUNDURUKAN)
Üye

MerhabaCem bey vermiş olduğunuz bilgi için teşekkür ederim.

Diğerbir konuda yardımcı olabilirmisiniz.Şirketimizde yönetim kurulu dışında diğertüm kullanıcıların internete erişimlerini sınırlandırdım. Webblocker kısmındasadece girebilecekleri internet adreslerini yazdım, mesela www.teb.com.tryerine *.teb.com.tr/* yazdım ve buna benzer tüm siteleri tektek WebBlocker exception kısmına ekledim ve category kısmında hiç birkutucuğu işaretlemedim. Ancak kullanıcılarım msn kullanacaklar ve aynı zamandakullanıcı adı@hotmail.com msn adreslerine gelen mailleri de görmelerigerekiyor. Msn den mail ikonuna tıkladığımda sayfalar resimleri çıkmıorkarmakarışık bir halde çıkıyor yani hotmail sitesinde açılması gerekenleraçılmıyor sadece yazı başlıkları var.

Msn uygulamasınıçalıştırmak için Custom: 1863 (TCP), 1863 (UDP)”oluşturdum.  Http ve httpsproxy kurallarını tekrar oluşturdum. Herikisinde de webblocker kısmında yeralan category kısmında işaretli kutucukları da kaldırdırm ve sadece WebBlockerexception kısmından girebilecekleri web sayfalarını tanımladım ve allow yetkisiverdim. Buna rağmen msn uygulaması çalışmadı hizmet durumunu tıkladığımda msnde yani g.msn.com adresinde erişemiyor diye webarayüzünde  uyarı çıktıbende msn ye ait bakabildiğim ne kadar ip adres varsa WebBlocker exceptionkısmından tanımları yaptım. Şuan msn bu ayardan sonra çalıştı.Ama msn üzerindenmail kutucuğuna tıkladığımda sayfayı açıyor ama eksik görüntü geliyor ekranahatta content types kısmındaki tüm uygulamaları ekledim yinede sayfa eksikgeliyor,java.com sitesinin sayfası açılabiliyor ben java uygulamasındandır diyeonlarıda aktif ettim. Şuan sayfa hala eksik görünümde.

CevapAlıntı
Topic starter Gönderildi : 02/10/2011 22:42
Cem ÇEZİK
(@cemcezik)
Üye

Merhaba,

hotmail içerisinde bazı resimlerin çıkmaması ve mail içeriklerinin görüntülenememesi gayet doğal. Çünkü siz sadece hotmail sitesine giriş izini veriyorsunuz. Fakat site içeriğinde hotmail dışında bir çok siteye erişim var. Misal - Bir banka ekstresi geldiğinde eğer exception da bu banka yoksa içeriğine erişmeniz mümkün olmayacaktır. Bunun dışında mail ile gelen bir çok link vardır. Bunlar da görüntülenmeyecektir. Bu sitelerin içeriklerinin tümüne izin vermeniz gerekecektir. Webblocker ı aslında burda kullanmanıza gerek yok. Aşağıda göndermiş olduğum yöntemi deneyebilirsiniz. Bu işinizi görecektir. 

Msn için de 1863 (Tcp) Packet portlu ayrı bir kural oluşturun. Alies tan da MSN kullanacak bir grup oluşturun. Sonra bu grubu MSN kuralınıza uygulayın. Bu şekilde bu kullanıcılar sadece MSN i açabileceklerdir.

 iyi çalışmalar...

CevapAlıntı
Gönderildi : 03/10/2011 12:38
Ergin UZUNDURUKAN
(@ErginUZUNDURUKAN)
Üye

Merhaba Cem bey

Yani diyorsunuz ki webblocker da internete girilecek adresleri girmeye gerek yok url paths kısmından adreslerin örnek olarak www.gumruk.gov.tr adresi için *gumruk.*/* yazıp content types kısmında da if matched kısmını da allow yapmak yeterli oluyor. Burada asıl amacım çalışanların internete full girmesi gerekenler dışında hiç kimsenim facebook gazete veya spor iddia gibi sayfalara girmesini engellemekti. Bunun için yani internete girişi kısıtlamak için url paths te girdiğim adresler yeterli olacak mı yoksa webblocker yine buraya devreye girecekmi. Teşekkür ederim.

CevapAlıntı
Topic starter Gönderildi : 03/10/2011 13:23
Cem ÇEZİK
(@cemcezik)
Üye

Merhaba,

tanımladığınız kural içerisinde eğer url paths aktif ise webblocker devreye girmez. çünkü kullanıcılar sadece url paths te yazılı olan adreslere girebilir. kural içerisinde sadece bu sitelere giriş yap. eğer uymuyor ise block la diyoruz. İstek bu aşamada kalıyor ve webblocker a kadar gelmiyor. site erişimi sağlandıktan sonra da content type vs devreye girer. burdaki yetkilere göre site içeriği görüntülenir. Site içerisindeki flash, java vs de takılmaz. Bu Kural Sadece sizin izin vermek istediğiniz siteler için geçerlidir. (*.gov./* , *.com.tr/*, *isbank.*/*  vs...). Eğer bu kuralı WebBlocker üzerinden yapmak isterseniz, Bence Category lerde iş içerikli bölümleri açık bırakın. diğer uygulamaları yasaklayın. bunun dışında kalanlar için de exception yazın. Hangi sitenin hangi category e girdiğini öğrenmek için aşağıdaki link i kullanabilirsiniz...

http://mtas.surfcontrol.com/mtas/mtas.asp

 iyi çalışmalar...

CevapAlıntı
Gönderildi : 03/10/2011 14:03
Ergin UZUNDURUKAN
(@ErginUZUNDURUKAN)
Üye

Merhaba Cem bey

Ben Http proxy ve Https proxy de kuralları oluştururken category kısmında tüm içerikleri açık bırakmıştım ve girilmesi gereken web sayfalarını exception kısmına girmiştim. Hatta bu exception kısmında msn uygulamalarını çalıştırmak ve msn ye girdikten sonrada msn adresleri olan hotmaile girebilmeleri için *live.com/* , g.live.com/* , *hotmail.com/*, *msn.com/* gibi tanımlamalarıda yapmıştım. Bu tanımlamalardan sonra msn uygulaması ve hotmail sitesine girmeye başlamıştı yetki verdiğim ip adresli kullanıcılar yani tüm kullanıcıların ip adreslerini yanıbaşımda duran pc de tek tek denemiştim. MSN uygulaması açılıyordu sadece hotmail sitesinde girdiğinde görüntü eksik geliyordu. Gece sabaha kadar girmeleri gereken web adreslerini girdim. Bu sabah 9 da herkes beni aramaya başladı msn uygulamam çalışmıyor diye baktım bilgisayarlara dün gece o bilgisayarların ip adreslerini girerek denediğim ip adreslerine sahip hiç bir pc msn uygulaması çalışmıyor. Alt katta çalışan bu bilgisayarların ip lerini benim yanıbaşımda duran pc ye tekrar yazdım denedim msn  uygulaması açılmadı. Burada dün gece çalışan msn sabah neden çalışmadı çünkü yatmadan önce tedbiren tekrar msn çalıştırdım çalışıyordu. Sabah kurallar mı bozuldu anlamadım gitti. Bu gece yukarıda yazdığınız şekilde url paths ile adresleri tanımlayacağım msn kısıtlama olmayacağı için yani tüm şirket msn ye girecek olduğundan tekrar 1863 tcp ce udp portları açmaya gerek var mı şuan msn ile ilgili 1863 tcp ve udp kurallarını sildim malum msn çalışmadı sildim ve şuan şitket full internete açık proxy kurallarınıda kaldırdım kaldırmasam tanımladığım web sayfalarına giriyordu msn açılmıyordu bende fulledim herşeyi. Bu watchguard beni yaşlandırdı. Teşekkürler iyi çalışmalar.

CevapAlıntı
Topic starter Gönderildi : 03/10/2011 14:57
Cem ÇEZİK
(@cemcezik)
Üye

Ergin bey merhaba,

Bu konu işyerinde ve başında bir çalışma yapılarak çözülecek bir konu sanırım. çünkü kuralları yaptıktan sonra kullanıcılar tarafından şu açılmadı, bu açılmadı gibi şikayetler gelecektir. Bunu da monitor edip nelere takıldığını gözlemleyip çözüm üretmek gerekecek. Eğer Firewall tarafında destek aldığınız bir firma var ise bunu onlarla birlikte çözün derim. İzmir de olsaydınız 1 e 1 yardımcı olmaya çalışırdım. Şimdiden size kolay gelsin.

İiyi çalışmalar dilerim...

CevapAlıntı
Gönderildi : 03/10/2011 15:22
Cem ÇEZİK
(@cemcezik)
Üye

Ergin bey merhaba,

Bu konu işyerinde ve başında bir çalışma yapılarak çözülecek bir konu sanırım. çünkü kuralları yaptıktan sonra kullanıcılar tarafından şu açılmadı, bu açılmadı gibi şikayetler gelecektir. Bunu da monitor edip nelere takıldığını gözlemleyip çözüm üretmek gerekecek. Eğer Firewall tarafında destek aldığınız bir firma var ise bunu onlarla birlikte çözün derim. İzmir de olsaydınız 1 e 1 yardımcı olmaya çalışırdım. Şimdiden size kolay gelsin.

iyi çalışmalar dilerim...

CevapAlıntı
Gönderildi : 03/10/2011 15:22
Ergin UZUNDURUKAN
(@ErginUZUNDURUKAN)
Üye

Merhaba Cem  bey son olarak yukarıda belirtmiş olduğunuz kurallarıda akşam uygulayıp bakacağım son duruma, cihaza tanımlanan dns port 53 kuralının ki sadece dns standart ayarlarında bu dün gece yaptığım ayarlarla ilgisi varmı diye düşünmeye başladım. Dns proxy kuralınıda eklemey gerek varmı acaba. Bir forum sitesinde görmüştüm dns ve dns proxy kurallarıda vardı anlatım resimlerinde. Ancak şunuda açıkca belirteyim ki bu konularda çözümpark sitesi gibi detaylı ve profesyonel bilgiler hiç yok yurt dışındaki form sitelerinede baktım yok yani. Burada her konuda yardımcı olmaya çalışan bütün çözümpark yöneticilerini ve burada emeği geçen sizde dahil tüm arkadaşlarımı tebrik ediyorum. İlgi ve sabırlı alakanız içinde size ayrıca teşekkür ediyorum.

CevapAlıntı
Topic starter Gönderildi : 03/10/2011 17:36
Cem ÇEZİK
(@cemcezik)
Üye

Dns kuralı kesinlikle olmalı. Çünkü site isimlerini buradan çözmesi gerekecek. Aksi taktirde cihaz kullanıcılara internet çıkışı vermeyecektir.

CevapAlıntı
Gönderildi : 03/10/2011 18:09
Ergin UZUNDURUKAN
(@ErginUZUNDURUKAN)
Üye

Cem bey DNS var zaten port 53 olan,  DNS Proxy yok proxy olanıda ekleyeyim mi gerek olur mu bunada. Vaktiniz varsa akşam üstü ve akşam herhangi bir vakit ayarları kontrol etmeniz için uzaktan bağlanarak cihazıma ip adresinize yetki verebilirim. ergin@doruk.net.tr msn adresim veya 0533 648 88 71 den bana ulaşabilirsiniz. Kolay gelsin.

CevapAlıntı
Topic starter Gönderildi : 03/10/2011 18:56
Cem ÇEZİK
(@cemcezik)
Üye

merhaba,

Ip ye izin vermeyin de bana VPN user yaratın. Vpn bilgilerini, cihazla ilgili bilgileri ve Readonly ve Write Password ü cemcezik@gmail.com a atın ben buradan kontrol edeyim. msn i de ekleyin isterseniz oradan yazışabiliriz. 18:30 a kadar vaktim var. cem_cezik@hotmail.com...

CevapAlıntı
Gönderildi : 03/10/2011 19:13
Harun Aydemir
(@HarunAydemir)
Üye

WebBlocker servisinin sağlıklı çalışmaması, "HTTPS" tarafında "Enable deep inspection of HTTPS content" etkin olması, TCP/UDP portlarının tamamen açık olmasını sağlayan kuralların etkin olması vb. parametreler nedeniyle sorunlar yaşandığını tespit ettik. Birebir görüşmeler neticesinde cihaz üzerinde gerekli düzenlemeler yapılarak, kullanıcının sorunlarını giderilmiş oldu.

CevapAlıntı
Gönderildi : 04/10/2011 20:17
Ergin UZUNDURUKAN
(@ErginUZUNDURUKAN)
Üye

Şu bir gerçek ki burada olmam ve çözüm park ailesinde yer almam benim için bir şereftir. Bu sitede diğer sitelere nazaran kaliteli ve ciddiyete hele de yaptığı işe önem veren çok değerli gönül dostları edindim.Burada paylaşmış olduğum sorunlarıma titizlikle cevap veren sayın Harun bey ve sayın Cem beye sonsuz teşekkürler ediyorum. Dün Cem bey kardeşim işi yoğun olmasına rağmen 1 saatten fazla bana zaman ayırarak watchguard cihazıma müdahele etti ve işten erken çıkmasından dolayı kalan işe bugünde Harun bey 3-4 saatten fazla bir sabırla zaman ayırarak sistemi yeniden yapılandırdı. Her iki kardeşimede sonsuz teşekkürlerimi sunuyorum. Bu arada sayın Erdal bey kardeşimde bugün toplantısı olmasına rağmen cihazın yapılandırması hakkında telefonla bilgi vermeye çalıştı ve kendisinede bu duyarlılığından dolayıda ayrıca teşekkür ediyorum. Bu üç kardeşimden cihazla ilgili çok şey öğrenmiş oldum. Sayın Harun bey, Cem bey ve Erdal bey çalışmalarınızda başarılar diliyorum. Ayrıca Çözümpark sitesini kuran ve burada paylaşmayı görev edinen bütün kurucu ve yöneticilerinede ayrı ayrı teşekkür ediyorum.Saygılarımla.

CevapAlıntı
Topic starter Gönderildi : 05/10/2011 02:36
Paylaş: