| Yazan: Ümit Yaşar Çiftçi,
Tarih: 13-05-2008 15:39
|
Okunma Sayısı : 922  |
Beğenilme : Yok |
 Merhabalar. Özellikle güvenlik sektöründe adını sıkça duyduğumuz ve kendini bu konuda kanıtlamış olan Juniper firewall’larda Web Filtrele işleminin nasıl yapıldığını anlatmaya çalışacağım.Bildiğiniz üzere web filtreleme işlemi günümüz şirketleri için elzem ve vazgeçilmez hale gelmiştir. Web sayfaları hızla çoğalmış hem içerik hem de teknolojik olarak zenginleşmiştir. Bu içerikleri basit anlamda iyi veya kötü olarak da ayırabiliriz. Peki, bu işi Juniper nasıl yapıyor? Aslına bakarsanız bu iş için Juniper’in kendisi pek de bir şey yapmıyor. Bu işi yapan ve onların tabiriyle En İyilerin Birleşmesi dedikleri, sadece bu konuda uzmanlaşmış yazılım devleri yapıyor. Bu konuda da kendini kanıtlamış Windows Platform uyumlu iki firma var. Belki de birçoğumuzun şirketinde de kullandığı WebSende ve SurfControl. Zaten Juniper’ de şu an için bu iki yazılıma tam anlamıyla destek veriyor.
Şimdi sıra geldi asıl konumuza. Firewall’ umuz da web filtreleme yapmak için hangi adımları atmamız gerektiğine. İki seçeneğimiz var bu konuda. Ya bu yazılımları alıp kendi server’larımız üzerine kuracağız yada bu hizmeti Juniper’ dan satın alma yoluna gideceğiz. Her ikisinin de kendine göre avantaj ve dezavantajları mevcut. Ben her ikisini de sizlerle paylaşacağım.
1. Yöntem Juniperden bu hizmeti satın almak. Bundle halinde satılıyor bu hizmet. İsterseniz benim şu anda kullandığım gibi bütün paketlerini satın alabilirsiniz. Peki paketin içeriğinde neler var : IPS/IDS, Anti Spam,Anti Virus ve Web Filtering bileşenlerinden oluşuyor. İsterseniz hiç bu hizmetleri satın almadan da bir ay süre ile sınırsız kullanabilirsiniz bu hizmeti. Tabii bu süre zarfından sonra satın almanız gerekecek.
Uygulanışı:
Conf.>Update> ScreenOS/Keys.
Yukardaki ekranı kısaca anlatmak gerekirse Retrive Trial keys Now butonu size 1 aylık kullanım hakkı sağlar. Bu butona basıldıktan sonra cihazın kapatılıp açılması gerekmekte. Yok zaten benim zaten satın aldığım bir paketim var diyorsanız bunu cihaza tanıtmanın iki yöntemi var. Yukardaki radio butonlardan License Key Update Seçeneğini Seçip Gözat Butonuna basmak ve satıcının size sağlamış olduğu lisans dosyasını göstermek ve Apply butonuna basmak. Bu işlem yapınca cihazı restart etmeyi unutmayın. Bir diğer yöntemde juniper.net kayıt olup size gelen kayıt koduyla kayıt olmak ki ben sürekli bu seçeneği kullanıyorum. Fortigate kullananlar bunu zaten çok iyi biliyorlar. Bu işlemi yaptıktan sonra yani juniper.net’e kayıt olduktan sonra bu ekranda bulunan Retrive Subs. Now butonuna basmak. Cihaz gidip ilgili yerden kaydını kendisi otomatik olarak bulup yüklüyor olacak. Tabi ki bu işlemden sonrada cihazı restart etmek gerekiyor.
Cihazımız kapanıp açıldıktan sonra sıra geldi Web Filtering ayarlarımızı yapmaya.
 Security >Web Filtering>Protocol kısmında Choose Protocol kısmında üç seçeneğimiz var. 1. Seçeneğimiz ki bu şu an için kullanacağımız seçenek. 2. ve 3. seçenek local serverlarımız da eğer kurulu bir Websense veya SurfControl var ise kullanacağımız seçenek. Integrated (SurfControl) seçeneği seçilir ve Apply butonuna basılır. Burada görmemiz gereken Juniperinde bu iş için SurfControlü kullandığı. Apply butonuna basılınca aşağıdaki ekran gelecektir. 
Sadece Server Name’i seçmek ve Apply Butonuna basmak yeterli olacaktır.
Şimdi sıra geldi neleri filtreleyeceğimizi seçmeye. Nelere izin vereceğiz neleri ret edeceğiz. Bunun İçin: Security > Web Filtering > Profiles > Custom
Bu ekranda sadece ns-profile olduğunu ve yanında sadece clone butonunun aktif olduğunu göreceksiniz. Clone butonuna basılınca aşağıdaki ekran karşınıza gelecek.
 Bir Profile Name girilir. Ben DPP girdim siz istediğinizi girebilirsiniz. Bu ns-profile sağlamış olduğu ayrıcalıklar bize. Bazı kategorilere Block bazılarına ise Permit koymuş. İyide hemen gözünüze çarpacaktır. Chat permit durumda. Ama şirket içerisinde Msn v.b. şeylerle konuşulmasını da istemiyoruz. Yapacağınız şey aslında çok basit. Chat katagorisinin karşınında dikkat ederseniz remove butonu aktif. Remove ettikten sonra Category Name kısmından Chat seçilir Action kısmından da Block seçilip Add butonuna basılır. Default Action kısmı ise aşağıda seçtiğiniz kategorilere uymayan sayfalar olursa ne yapayım seçeneğidir. Permit koymanız ilerdeki yaşayacağınız sorunları şimdiden önleyebilir. OK butonuna basılarak profil oluşturulması tamamlanabilir.
Bu arada direk bildiğiniz bir site var ve bu siteye girilmesini veya girilmemesini özellikle isteyebirsiniz. Yazdığınız White Listler veya Black List’ler firewall tarafından direk işletilirler. WebSense veya SurfControl filtresinden hiç geçmezler. İstenilen sayı kadar White veya BlackList oluşturulabilir. Şimdi bunun nasıl yapılacağı konusunda birkaç örnek verelim. Bunun için :
Security > Web Filtering > Categories > Custom New butonuna basılır. Aşağıdaki ekran karşınıza gelecektir. Kategoriye bir isim verilir. Örneğin BlackList-1 gibi. Black List’e olmasını istediğiniz siteler yazılarak Apply butonuna basılır. Sıra geldi bu kategori listlerin profilimize eklenmesine. Daha önce oluşturulan DPP isimle profil edit edilerek açılır ve buradaki Black List ve White List Kutularının artık dolu ve seçilebilir olduğu görülecektir. Az önce oluşturulan BlackList-1 isimli category seçilerek OK butonuna basılır. Profili oluşturduk, bu profili bir yerde de aktif etmek gerekiyor. Bu profili policy’lerimiz içerisinde kullanacağız. Burada bir şey hatırlatmakta fayda var. Policy yazdık ancak http(80) servisi için ayrıca bir policy hazırlamak.Çünkü bütün servisler için bu profili uygulamak hem cihazı yoracaktır hem de gereksiz olacaktır. Mesela ftp veya pop3 için Web Filtering kullanmanın çok da manası olacağını düşünmüyorum. Bu cihazımızın optimal çalışması içinde gerekli. Sıra geldi oluşturduğumuz profilin uygulanmasına. Bunun için Policy > Policies kısmına gelip Trust- Untrust seçilip New butonuna basılır. Aşağıdaki ekran karşınıza gelecektir. Burada dikkat edilmesi gereken nokta Web filtering Checkbox’ının seçilmiş ve oluşturduğumuz profilin de seçilmiş olması gerekir. Advanced Butonuna basılır ve Source Translation kısmının da checki konduktan sonra OK butonuna basılır.
Artık web filtering sistemimizde aktif olarak çalışmakta.
2. Yol ise yukarda da anlattığım gibi
Security >Web Filtering>Protocol kısmında hangi yazılımı kullanıyor isek Redirect (SurfControl) veya Redirect (Websense) seçeneklerinden birisini seçip Apply butonuna basmak. Açılan ekranda
SurfControl veya WebSense kurulu olan makinemizin bağlı olduğu interface seçmek ki Bu DMZ zone’unun bağlı olduğu interface olabilir ve sistemin kurulu olduğu makinemizin Ip’ sini Server Name kısmına yazmak ve Apply butonuna basmak.
Şimdilik bu kadar. Başka bir makalede görüşmek dileğiyle.
Ümit Yaşar Çiftçi
Network Uzmanı
|
Makaleler 
(1 Oylama)
Devam et...
Yazan:: İrfan Özkan () Tarih: 17-05-2008 12:37