Güvenlik

JunOS İşletim Sistemi Interface ve Zone Konfigürasyonu (SRX Firewall)

JunOS işletim sistemini, CLI mimarisini, Cluster mimarisini ve temel konfigürasyonunu incelediğimiz ilk üç makalenin ardından şimdi de Interface ve Zone konfigürasyonlarını inceleyeceğimiz bu dördüncü makalemizle devam ediyoruz.

 

Çalışmalarımızı, cluster çalışacak şekilde yapılandırdığımız iki SRX 3400 Firewall üzerinde gerçekleştireceğiz.

Bir önceki makalemizde,

Node 0 olan birinci Firewall(Semerkand-Fw1) için management IP’si olarak 192.168.0.1’i

Node 1 olan ikinci Firewall(Semerkand-Fw2) için management IP’si olarak 192.168.0.2’yi atamıştık.

Ayrıca Sekiz tane 1 gigabit interface’imizden sekizincisini Data Plane senkronizasyonu için fabric port olarak yapılandırmıştık.

Kalan yedi tane 1 gigabit interface’imizden beş tanesini ve iki tane 10 gigabit interface’imizden de bir tanesini reth olarak konfigüre etmiştik. Yaptığımız interface konfigürasyonunu şu şekilde özetleyebiliriz:

 

 

image001

 

CLI Mimarisinde Interface ve Zone

Bir Zone, güvenlik gereksinimleri aynı olan bir ya da daha fazla network segmentinin bir arada bulunduğu alandır. Network segmentlerini bir zone içerisinde barındırabilmek için de logical interface’leri(sub-interface’leri) bu zone’lara üye etmek gerekir. Bu alanlar arasındaki trafiğin kontrolünü de policy’ler sağlar.

İki tip zone vardır ki sadece bir tanesi konfigüre edilebilir o da User-defined olan zone’lardır. User-defined zone’lar da ikiye ayrılır; Security Zone’lar ve Functional Zone’lar.

 

image002

 

 

Functional Zone’lardan trafik geçmez, bu zone sadece management zone’u olarak kullanılır. Bu zone’un da üyesi management portudur(fxp0). Biz de çalışmalarımızı fxp0 portuna ssh üzerinden erişerek gerçekleştirmekteyiz.

Bazı SRX serisi firewall’larda management portu(fxp0) bulunmaz. Bu durumda da diğer interface’lerden bir tanesi Functional Zone’a üye edilir ve fxp0 gibi kullanılır. Biz High End serisi SRX 3400 kullanıyor ve sadece management için tahsis edilmiş bir port(fxp0) bulunmaktadır ki bu interface de Functional Zone’a atanmış durumdadır.

Management portundan erişebilmeyi sağlamaktan başka, Functional Zone ile ilgili bir konfigürasyonumuz bulunmamaktadır.

Yani bizim işimiz Security Zone’lar üzerinde gerçekleşecektir.

 

ScreenOS işletim sistemli Juniper Firewall’larda,

interface’ler zone’larla ve zone’lar da Virtual Router’larla ilişkilendirilirdi.

ScreenOS sonrasında geliştirilen yeni nesil JunOS işletim sistemli Juniper Firewall’larda ise,

interface’ler, hem zone’larla hem de Virtual Router’larla(Routing Instance) ilişkilendirilir.

 

image003

 

JunOS işletim sistemli bir SRX 3400 firewall’da her bir fiziksel interface, bir veya daha fazla Logical interface(sub-interface) içerebilir.

Bu makaledeki hedefimiz, Fiziksel Interface’leri ve bu interfacelerin üyesi olacak Logical interface’leri tanımlamak, sonrasında da bu logical interface’leri oluşturacağımız zone’lara üye etmek olacaktır. Zira Network segmentlerini bir zone içerisinde barındırabilmek için logical interface’leri(sub-interface’leri) zone’lara üye etmek gerekir.

ScreenOS’teki Virtual Router ve JunOS’taki yeni adı ile Routing Instance’ları tanımlamak mecburiyet değildir. Ancak ağınız farklı routing instance’lar oluşturmanızı gerektirecek bir yapıya sahip olabilir. Bu sebeple sonraki makalelerde Routing Instance içeren konfigürasyonlar da yapacağız.

Interface konfigürasyonu, INTERFACES menüsünden

Zone konfigürasyonu, SECURITY altında ZONES menüsünden

Routing instance konfigürasyonu, ROUTING-INSTANCE menüsünden

Policy konfigürasyonu, SECURITY altında POLICIES menüsünden

Nat konfigürasyonu, SECURITY altında NAT menüsünden gerçekleştirilir.

Address konfigürasyonu, SECURITY altında        ZONES altında ADDRESS-BOOK menüsünden gerçekleştirilir.

 

image004

 

 

Şimdi örnek bir topoloji üzerinden interface ve zone yapılandırmasının nasıl gerçekleştirileceğini görelim.

Web, uygulama, veritabanı ve SFTP sunucularımız olsun ve bu sunucuları ayrı VLAN’larda(zone’larda) bulundurmak isteyelim. Bu VLAN’ların(interface’lerin) herbirini ayrı zone’lara atayacağız.

 

image005

 

 

Konfigüre edeceğimiz bu yapı,


SRX 3400 üzerinde, aşağıdaki gibi bir port kullanımını gerektirecektir:

 

image006

 

 

Konfigürasyon farklılıklarını görebilesiniz diye, hem tag’lı hem de tag’sız trafik için interface tanımlamalarını ve bu interface’lerin zone’lara nasıl atanacaklarını göreceğiz. (Bir paketin tag’lı olması, o paketin etiketli olması anlamına gelir ki örneğin tag’ı 1 olan VLAN-1’e ait paketlerin tag’ı 2 olan VLAN-2’ye ait paketlerden farkını gösterir. Doğal olarak, paket, bir network/güvenlik cihazına ulaştığında da tag’ına göre işlenir.)

Ayrıca fiziksel interface’lerimizden bir tanesi altında, iki tane logical-interface konfigürasyonu yapacağız ki konu tam manasıyla anlaşılabilir olsun.

CLI üzerinde yapılacak konfigürasyonlarda sıklıkla kullanılan üç komut vardır ki bunlar, show, set ve delete komutlarıdır.

show komutu ile mevcut konfigürasyonun tamamı ya da istenilen bölümü incelenebilir.


[email protected]# show security zone security-zone …….
(Security à Zones à Security-Zone à …)

 

set komutu ile mevcut konfigürasyona ilave tanımlamalar eklenir.

Bir interface’i konfigüre etmek, yeni bir zone oluşturmak ya da interface’lerin zone’lara atanması hep bu komutla gerçekleştirilir.


[email protected]# set interfaces …….

 

delete komutu ile mevcut konfigürasyonda belirli tanımlamalar silinebilir.

Bir interface ya da zone’u silmek, bu komutla gerçekleştirilir.

[email protected]# delete security zones security-zone …….

 

Şu ana kadar konfigürasyonlarımızı hep root kullanıcısı ile yaptık. Şimdi farklı bir kullanıcı tanımlayacağız ve bu kullanıcı ile konfigürasyonlarımızı gerçekleştireceğiz.

Yeni bir kullanıcı tanımlamak için Firewall’da konfigürasyon moduna geçilir. Tanımlayacağımız kullanıcı için bir class seçilmelidir. Biz, class olarak super-user ‘ı seçiyoruz. Seçenekleri görmek için ? kullanılır.

 

[email protected]# set system login user sensoy class ?
Possible completions:

<class> Login class

AdminClass

operator permissions [ clear network reset trace view ]

read-only permissions [ view ]

super-user permissions [ all ]

unauthorized permissions [ none ]

 

root@Semerkand-Fw1# set system login user sensoy class super-user full-name “Sensoy Sahin” authentication plain-text-password

New password:

Retype new password:



Şifre iki kez girildikten sonra yine konfigürasyon modunda commit komutu kullanılarak tanımladığımız sensoy isimli kullanıcı aktifleştirilir.

 

Interface ve Zone Konfigürasyonu:

 

Interface’leri konfigüre ederken yapılacak işlemlerin neredeyse tamamı logical-interface’lerle ilgilidir.

Bu logical-interface’ler için de, tag’lı trafiği karşılayacaksa, interface’in, tag’lı trafiği karşılayacak şekilde çalışacağının ve tag değerinin(vlan-id) tanımlanması gerekir.

İkinci adım unit değerlerinin tanımlanmasıdır ki, bu unit değeri,

tag’lı paketleri karşılayacak interface’lerde tag değeri olarak,

tag’sız paketleri karşılayacak interface’lerde 0 olarak tanımlanmalıdır.

Bu değer sayesinde logical interface’in ismi de belirlenmiş olacaktır. Örneğin,

reth0 interface’ini konfigüre edeceğimiz zaman, oluşturacağımız logical-interface için, unit değeri 0 atanırsa,

bu sub-interface, reth0.0 olarak isimlendirilmiş olur.

reth2 interface’ini konfigüre edeceğimiz zaman, oluşturacağımız sub-interface için, unit değeri 3 atanırsa,

bu sub-interface reth2.3 olarak isimlendirilmiş olur.

Sonraki adım logical-interface için IP atanmasıdır.

Bir sonraki adımda da yeni bir security zone oluşturulmalıdır.

Son olarak ta oluşturduğumuz logical-interface ve zone ilişkilendirilecektir. (logical-interface, zone’a üye edilecektir.)

 

Şimdi, aşağıda oluşturduğum tabloya göre interface’leri ve zone’ları tanımlayıp interface’leri zone’lara atayalım. Tüm konfigürasyonu node 0 üzerinde gerçekleştireceğiz çünkü yapılan tüm konfigürasyon değişiklikleri otomatik olarak node 1 ile senkronize olacaktır.

 

image007

 

image008

 

Reth0 konfigürasyonu:

{primary:node0}[edit]
[email protected]# set interfaces reth0 description Port-0      
[email protected]# set interfaces reth0 unit 0 description WEB-Interface                                     
[email protected]# set interfaces reth0 unit 0 family inet address 192.168.2.254/24
[email protected]# set security zones security-zone WEB
[email protected]# set security zones security-zone WEB interfaces reth0.0
  

 

Birinci satırda reth0 için bir açıklama girildi.

İkinci satırda, reth0.0 için bir açıklama girildi. (Tag’sız olacağı için de unit değeri olarak 0 yazdık.)

Üçüncü satırda reth0.0 için IP girildi.

Dördüncü satırda WEB isimli bir security-zone oluşturuldu.

Beşinci satırda reth0.0 isimli interface’imiz WEB isimli zone ile ilişkilendirildi.

 

Reth1 konfigürasyonu:

[email protected]# set interfaces reth1 description Port-1      
[email protected]# set interfaces reth1 unit 0 description UNTRUST-Interface                                           
[email protected]# set interfaces reth1 unit 0 family inet address 5.10.15.254/24
[email protected]# set security zones security-zone UNTRUST
[email protected]# set security zones security-zone UNTRUST interfaces reth1.0       
               

 

Reth2 konfigürasyonu:

[email protected]# set interfaces reth2 description Port-2
[email protected]# set interfaces reth2 vlan-tagging
[email protected]# set interfaces reth2 unit 3 description APP-Interface
[email protected]# set interfaces reth2 unit 3 vlan-id 3                            
[email protected]# set interfaces reth2 unit 3 family inet address 192.168.3.254/24
[email protected]# set security zones security-zone APP
[email protected]# set security zones security-zone APP interfaces reth2.3

 

Birinci satırda reth2 için bir açıklama girildi.

İkinci satırda, reth2’nin tag’lı trafiğe hizmet edeceği bilgisi girilir.

Üçüncü satırda, reth2.3 için bir açıklama girildi. (Tag’lı olacağı için de unit değeri olarak 3 yazdık.)

Dördüncü satırda, reth2.3 için, tag değerinin 3 olacağı bilgisi girilir.

Beşinci satırda, reth2.3 için IP girildi.

Altıncı satırda APP isimli bir security-zone oluşturuldu.

Yedinci satırda reth2.3 isimli interface’imiz APP isimli zone ile ilişkilendirildi.

 

Reth3 konfigürasyonu:

[email protected]# set interfaces reth3 description Port-3
[email protected]# set interfaces reth3 vlan-tagging
[email protected]# set interfaces reth3 unit 4 description DB-Interface
[email protected]# set interfaces reth3 unit 4 vlan-id 4                            
[email protected]# set interfaces reth3 unit 4 family inet address 192.168.4.254/24
[email protected]# set security zones security-zone DB
[email protected]# set security zones security-zone DB interfaces reth3.4

 

Reth4 konfigürasyonu:

[email protected]# set interfaces reth4 description Port-4
[email protected]# set interfaces reth4 vlan-tagging
[email protected]# set interfaces reth4 unit 5 description SFTP-Interface
[email protected]# set interfaces reth4 unit 5 vlan-id 5                            
[email protected]# set interfaces reth4 unit 5 family inet address 192.168.5.254/24
[email protected]# set security zones security-zone SFTP
[email protected]# set security zones security-zone SFTP interfaces reth4.5

 

Reth8 konfigürasyonu:

[email protected]# set interfaces reth8 description 10G-Port-1
[email protected]# set interfaces reth8 vlan-tagging

[email protected]# set interfaces reth8 unit 1 description TRUST-Interface-1
[email protected]# set interfaces reth8 unit 1 vlan-id 1                            
[email protected]# set interfaces reth8 unit 1 family inet address 192.168.1.254/24
[email protected]# set security zones security-zone TRUST
[email protected]# set security zones security-zone TRUST interfaces reth8.1

[email protected]# set interfaces reth8 unit 6 description TRUST-Interface-2
[email protected]# set interfaces reth8 unit 6 vlan-id 6                            
[email protected]# set interfaces reth8 unit 6 family inet address 192.168.6.254/24
[email protected]# set security zones security-zone TRUST interfaces reth8.6



Birinci satırda reth8 için bir açıklama girildi.

İkinci satırda, reth8’in tag’lı trafiğe hizmet edeceği bilgisi girilir.

Üçüncü satırda, reth8.1 için bir açıklama girildi. (Tag’lı olacağı için de unit değeri olarak 1 yazdık.)

Dördüncü satırda, reth8.1 için, tag değerinin 1 olacağı bilgisi girilir.

Beşinci satırda, reth8.1 için IP girildi.

Altıncı satırda TRUST isimli bir security-zone oluşturuldu.

Yedinci satırda reth8.1 isimli interface’imiz TRUST isimli zone ile ilişkilendirildi.

Sekizinci satırda, reth8.6 için bir açıklama girildi. (Tag’lı olacağı için de unit değeri olarak 6 yazdık.)

Dokuzuncu satırda, reth8.6 için, tag değerinin 6 olacağı bilgisi girilir.

Onuncu satırda, reth8.6 için IP girildi.

On birinci satırda reth8.6 isimli interface’imiz altıncı satırda oluşturulan TRUST isimli zone ile ilişkilendirildi.

reth8 interface’i ve TRUST zone’u için yapılan konfigürasyonun, diğer interface’lerin ve ilişkilendirildikleri zone’ların konfigürasyonundan farkı, reth8 interface’i için iki tane sub-interface tanımlanıp(reth8.1 ve reth8.6) ikisininde TRUST zone’uyla ilişkilendirilmesidir.

 

image009

 

 

Bu örnekte de görüldüğü üzere, birden fazla interface, tek bir zone ile ilişkilendirilebilmektedir.

Yaptığımız interface ve zone konfigürasyonlarını show komutuyla görebiliriz. Show komutu “show | display set“ şeklinde kullanılırsa, ekrandaki konfigürasyon, set’li olarak konfigürasyon modunda görüntülenir.

 

Örneğin,

{primary:node0}[edit]
[email protected]# show interfaces reth8

description 10G-Port-1;
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
unit 1 {
description TRUST-Interface-1;
vlan-id 1;
family inet {
address 192.168.1.254/24;
}
}

unit 6 {
description TRUST-Interface-2;
vlan-id 6;
family inet {
address 192.168.6.254/24;
}
}

{primary:node0}[edit]
[email protected]# show interfaces reth8 | display set

set interfaces reth8 description 10G-Port-1
set interfaces reth8 vlan-tagging

set interfaces reth8 redundant-ether-options redundancy-group 1
set interfaces reth8 unit 1 description TRUST-Interface-1
set interfaces reth8 unit 1 vlan-id 1
set interfaces reth8 unit 1 family inet address 192.168.1.254/24

set interfaces reth8 unit 6 description TRUST-Interface-2
set interfaces reth8 unit 6 vlan-id 6
set interfaces reth8 unit 6 family inet address 192.168.6.254/24

 

show komutu yerine show | display set komutu kullanıldığında görüntülenen konfigürasyon, daha sonra yapacak olduğunuz konfigürasyonlar için örnek teşkil edeceğinden büyük kolaylık sağlamaktadır.

 

Hoşçakalın.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu