The post pfSense Güvenlik Duvarı Eğitimi 19-20 Mart 2011 first appeared on Complexity is the enemy of Security.
]]>19-20 Mart 2011 tarihlerinde hızlandırılmış pfSense eğitimi düzenlenecektir. Türkiye’de alanında ilk olan bu eğitimde klasik pfSense özelliklerinin yanında pfSense’in kurumsal ortamlarda kullanılması için gerekli bileşenlerin sisteme eklenmesi, yönetilmesi ve arabirimden yapılamayan özelleştirmelere değinilecektir.
pfSense Güvenlik Duvarı eğitimine kayıt olmak için lütfen [email protected] adresine e-posta gönderin.
Eğitim Tarihleri | 19-20 Mart 2011 |
Eğitim Adresi | Mahir İz cad.Detay İş Merkezi. CapitolAVM karşısı.B Blok No:19/2 Altunizade-Üsküdar-İstanbul |
Kayıt Olun | Lütfen [email protected] adresine e-posta gönderiniz. |
Eğitim Ücreti | 600 TL+KDV //Erken kayıtlarda %15 indirim imkanı vardır. |
Eğitmenler | Ozan UÇAR |
Eğitim Broşürü | PFS |
Capture The Flag | Yok |
Eğitim İçeriği(Özet) |
1. OpenBSD PF Packet Filter Giriş
2. PF Aktif Edilmesi ve Kontrolü
2.1. OpenBSD için
2.2. FreeBSD için
3. pf.conf Konfigürasyon Dosyası
3.1. Macrolar
3.2. Tablolar
3.3. Scrub
3.4. Queueing
3.5. Translation
3.6. Adres(ler)
3.7. Port(lar)
3.8. Protokol(ler)
3.9. List ve Macro Mantığı
4. PF Tabanlı Firewall Dağıtımları
4.1. m0n0wall
4.2. pfSense
5. pfSense Giriş
5.1. Neden pfSense ?
5.2. Desteklediği Platformlar
6. Donanım
6.1. Minimum Donanım Gereksinimleri
6.2. Donanım Seçimi
7. Kurulum ve Yükseltme
7.1. Tek işlemcili/Çoklu İşlemcili Donanımlara Kurulum
7.2. Embedded Donanımlara Kurulum
7.3. Alternatif kurulum teknikleri
7.4. Kurulum aşamalarında sorun giderme
7.5. Kurtarma Operasyonu
7.6. Sürüm Yükseltme
8. Konfigürasyon
8.1. pfSense Konsole Arabirimi
8.2. pfSense Web Arabirimi
8.3. Serial Port’dan Yönetim
9. Wireless
9.1. Wireless Wan
9.2. pfSense Access Point olarak yapılandırmak
9.3. Güvenli Wireless Hotspot ağı
10.Servisler
10.1. DHCP Server
10.2. DHCP Relay
10.3. DNS Forwarder
10.4. Dynamic DNS
10.5. SNMP
10.6. OpenNTPD
10.7. Wake on LAN
10.8. PPoE Server
11.Firewall
11.1. Kural Arayüzü
11.2. Aliase
11.3. Virtual IP
11.4. Zaman Bazlı Kural Tanımları
11.5. Firewall Loglarını Görüntülemek ve Yorumlamak
12.NAT (Network Address Translation)
12.1. Port Yönlendirme
12.2. 1:1 NAT
12.3. Outbound NAT
13.Routing
13.1. Static Routing
13.2. Route Protokol
13.3. RIP (Router Information Protokol)
13.4. BGP (Border Gateway Protocol)
14.Bridging
14.1. Layer2 Firewall olarak yapılandırmak
14.2. İki yerel ağ arabirimini bridge yapmak
14.3. Virtual Lan (Vlan)
15.Multiple Wan
15.1. Multiwan ve Nat
15.2. Load Balancing
15.3. Failover
15.4. Policy Routing,Load Balancing ve Failover stratejileri
15.5. Sorun Giderme
16.Incoming Server Load Balancing
17.CARP, Redundancy Firewall, pfsync
18.VPN
18.1. IPSEC
18.2. PPTP VPN
18.3. OpenVPN
19.Trafik Şekillendirme (Traffic Shaper)
20.Captive Portal
21.Sistem Monitör
21.1. Sistem Kayıtları
21.2. Ağ Arabirimi Durumları
21.3. Servis Durumlar
21.4. RRD Grafikleri
21.5. Firewall Durum Tablosu
21.6. Trafik Grafikleri
22.Paket Sistemi
22.1. Paket Kurulumu
22.2. Paket Yükseltme
22.3. Paket Kaldırma
22.4. FreeBSD paketlerinin kurulumu
23. Snort
23.1. IDS olarak yapılandırmak
23.2. IPS olarak yapılandırmak
23.3. İmza veritabanını güncellemek
23.4. Snort ile Ultrasurf, torrent engelleme
24. Squid
24.1. Transparent olarak yapılandırmak
24.2. Erişim Kontrol Listeleri
24.3. Squid ile trafik yönetimi
24.4. Kimlik Doğrulama
24.4.1.Yerel Kimlik Doğrulama
24.4.2.Ldap kullanarak Active Directory ile kimlik doğrulama
25. SquidGuard
25.1. Karaliste Güncelleme
25.2. Kullanıcı ve Grup Bazlı URL Filtreleme
25.3. Uzantı ve kelime bazlı kural tanımlama
25.4. Zaman bazlı erişim kuralları tanımlama
25.5. squidGuard kayıtlarının yorumlanması
26. Cron
26.1. Cron paketinin kurulumu ve zamanlanmış görevler tanımlama
27. BandwidhD
28. IMSpector
28.1. Anlık iletişim araçlarının monitor edilmesi
28.2. Kötü kelime kontrolü
28.3. Kural tabanlı msn filtreleme ([email protected] msn açsın, kişi listesinde sadece [email protected] ile yazışabilsin)
29.Yedekleme ve Kurtarma
30.Pfsense ile Özelleştirilebilir Güvenlik Duvarı Oluşturmak
|
Eğitim Tanımı:
Bilgi güvenliğinin en önemli bileşenlerinden biri sınır güvenliğidir. Sınır güvenliği denildiğinde akla gelen ilk bileşenler güvenlik duvarı(firewall), saldırı engelleme sistemi(IPS), VPN ve içerik filtreleme sistemleridir.
Internet üzerinden indirilebilecek çeşitli açık kod güvenlik yazılımlarıyla sınır güvenliği belli bir seviyede sağlanabilir fakat birden fazla yazılımın yönetiminin zor olacağı aşikardır.
Pfsense bütünleşik güvenlik yönetim sistemi açık kod güvenlik dünyasının sağlam, esnek ve güvenli yazılımlarının birarara getirilmesiyle oluşturulmuş profesyonel kullanıma sahip bir dağıtımdır. Temelinde FreeBSD işletim sistemi kullanır.
Bu eğitim pfSense bütünleşik güvenlik yönetim sisteminin kurumsal şirketlerde etkin kullanımını amaçlamaktadır.
Eğitime katılarak;
Eğitim boyunca katılımcılar orta ölçekli bir şirketin ihtiyaç duyabileceği tüm güvenlik hizmetlerinin pfSense kullanılarak sağlanabileceği konusunda uygulamalı bilgi sahibi olacaktır.
Eğitim Tarihi ve Eğitim Süresi:
Toplam iki gün olan bu eğitim 19-20 Mart 2011 tarihlerinde gerçekleşecektir. Kontenjan maksimum 12 kişi ile sınırlıdır.
Eğitim Saatleri: 09:30 – 17:30
Not: Eğitim gerçek sistemler üzerinde uygulamalı olarak gerçekleştirilecektir.
Gereksinimler: Kişisel dizüstü bilgisayar
Eğitmen: Ozan UÇAR
Ozan UÇAR, profesyonel anlamda 4 yıldır bilgi güvenliği araştırmacısı olarak ağ güvenliği, sızma testleri ve network forensics konularında çalışmalar yapmakta ve yazılım geliştirmektedir.
Sektörde edindiği bilgi birikimini pfSense güvenlik duvarı ile kurumsal iş ortamlarına çözüm olarak sunan Ozan Uçar Türkiye’nin en büyük pfSense projesinde yöneticilik yapmıştır ve pfSense’e çeşitli ek modüller geliştirmiştir.
Bilgi güvenliği ve yan dalları hakkındaki tecrübelerini paylaştığı web sayfasına www.cehturkiye.com adresinden erişilebilir.
Katılımcılara eğitime destek olmak amacıyla Türkçe FreeBSD kitabı ve online FreeBSD eğitimi hediye edilecektir.
The post pfSense Güvenlik Duvarı Eğitimi 19-20 Mart 2011 first appeared on Complexity is the enemy of Security.
]]>The post pfSense Güvenlik Duvarı Eğitimi 29-30 Ocak 2011 first appeared on Complexity is the enemy of Security.
]]>29-30 Ocak 2011 tarihlerinde hızlandırılmış pfSense eğitimi düzenlenecektir. Türkiye’de alanında ilk olan bu eğitimde klasik pfSense özelliklerinin yanında pfSense’in kurumsal ortamlarda kullanılması için gerekli bileşenlerin sisteme eklenmesi, yönetilmesi ve arabirimden yapılamayan özelleştirmelere değinilecektir.
Eğitim Tarihleri | 29-30 Ocak 2011 |
Eğitim Adresi | Mahir İz cad.Detay İş Merkezi. CapitolAVM karşısı.B Blok No:19/2 Altunizade-Üsküdar-İstanbul |
Kayıt Olun | Lütfen [email protected] adresine e-posta gönderiniz. |
Eğitim Ücreti | 600 TL+KDV //Erken kayıtlarda %15 indirim imkanı vardır. |
Eğitmenler | Ozan UÇAR |
Eğitim Broşürü | PFS |
Capture The Flag | Yok |
Eğitim İçeriği(Özet) |
|
Eğitim Tanımı:
Bilgi güvenliğinin en önemli bileşenlerinden biri sınır güvenliğidir. Sınır güvenliği denildiğinde akla gelen ilk bileşenler güvenlik duvarı(firewall), saldırı engelleme sistemi(IPS), VPN ve içerik filtreleme sistemleridir.
Internet üzerinden indirilebilecek çeşitli açık kod güvenlik yazılımlarıyla sınır güvenliği belli bir seviyede sağlanabilir fakat birden fazla yazılımın yönetiminin zor olacağı aşikardır.
Pfsense bütünleşik güvenlik yönetim sistemi açık kod güvenlik dünyasının sağlam, esnek ve güvenli yazılımlarının birarara getirilmesiyle oluşturulmuş profesyonel kullanıma sahip bir dağıtımdır. Temelinde FreeBSD işletim sistemi kullanır.
Bu eğitim pfSense bütünleşik güvenlik yönetim sisteminin kurumsal şirketlerde etkin kullanımını amaçlamaktadır.
Eğitime katılarak;
Eğitim boyunca katılımcılar orta ölçekli bir şirketin ihtiyaç duyabileceği tüm güvenlik hizmetlerinin pfSense kullanılarak sağlanabileceği konusunda uygulamalı bilgi sahibi olacaktır.
Eğitim Tarihi ve Eğitim Süresi:
Toplam iki gün olan bu eğitim 29-30 Ocak 2011 tarihlerinde gerçekleşecektir. Kontenjan maksimum 12 kişi ile sınırlıdır.
Eğitim Saatleri: 09:30 – 17:30
Not: Eğitim gerçek sistemler üzerinde uygulamalı olarak gerçekleştirilecektir.
Gereksinimler: Kişisel dizüstü bilgisayar
Eğitmen: Ozan UÇAR
Ozan UÇAR, profesyonel anlamda 4 yıldır bilgi güvenliği araştırmacısı olarak ağ güvenliği, sızma testleri ve network forensics konularında çalışmalar yapmakta ve yazılım geliştirmektedir.
Sektörde edindiği bilgi birikimini pfSense güvenlik duvarı ile kurumsal iş ortamlarına çözüm olarak sunan Ozan Uçar Türkiye’nin en büyük pfSense projesinde yöneticilik yapmıştır ve pfSense’e çeşitli ek modüller geliştirmiştir.
Bilgi güvenliği ve yan dalları hakkındaki tecrübelerini paylaştığı web sayfasına www.cehturkiye.com adresinden erişilebilir.
Katılımcılara eğitime destek olmak amacıyla Türkçe FreeBSD kitabı ve online FreeBSD eğitimi hediye edilecektir.
The post pfSense Güvenlik Duvarı Eğitimi 29-30 Ocak 2011 first appeared on Complexity is the enemy of Security.
]]>The post pfSense Güvenlik Duvarı Eğitimi 27 Kasım 2010 first appeared on Complexity is the enemy of Security.
]]>27-28 Kasım 2010 tarihlerinde hızlandırılmış pfSense eğitimi düzenlenecektir.
Türkiye’de alanında ilk olan bu eğitimde klasik pfSense özelliklerinin yanında pfSense’in kurumsal ortamlarda kullanılması için gerekli bileşenlerin sisteme eklenmesi, yönetilmesi ve arabirimden yapılamayan özelleştirmelere değinilecektir.
Eğitim Tarihleri | 27-28 Kasım 2010 |
Eğitim Adresi | Mahir İz cad.Detay İş Merkezi. CapitolAVM karşısı.B Blok No:19/2 Altunizade-Üsküdar-İstanbul |
Kayıt Olun | Lütfen [email protected] adresine e-posta gönderiniz. |
Eğitim Ücreti | 600 TL+KDV //Erken kayıtlarda %20 indirim imkanı vardır. |
Eğitmenler | Ozan UÇAR |
Eğitim Broşürü | PFS |
Capture The Flag | Yok |
Eğitim İçeriği(Özet) |
|
Eğitim Tanımı:
Bilgi güvenliğinin en önemli bileşenlerinden biri sınır güvenliğidir. Sınır güvenliği denildiğinde akla gelen ilk bileşenler güvenlik duvarı(firewall), saldırı engelleme sistemi(IPS), VPN ve içerik filtreleme sistemleridir.
Internet üzerinden indirilebilecek çeşitli açık kod güvenlik yazılımlarıyla sınır güvenliği belli bir seviyede sağlanabilir fakat birden fazla yazılımın yönetiminin zor olacağı aşikardır.
Pfsense bütünleşik güvenlik yönetim sistemi açık kod güvenlik dünyasının sağlam, esnek ve güvenli yazılımlarının birarara getirilmesiyle oluşturulmuş profesyonel kullanıma sahip bir dağıtımdır. Temelinde FreeBSD işletim sistemi kullanır.
Bu eğitim pfSense bütünleşik güvenlik yönetim sisteminin kurumsal şirketlerde etkin kullanımını amaçlamaktadır.
Eğitime katılarak;
Eğitim boyunca katılımcılar orta ölçekli bir şirketin ihtiyaç duyabileceği tüm güvenlik hizmetlerinin pfSense kullanılarak sağlanabileceği konusunda uygulamalı bilgi sahibi olacaktır.
Eğitim Tarihi ve Eğitim Süresi:
Toplam iki gün olan bu eğitim 27-28 Kasım 2010 tarihlerinde gerçekleşecektir. Kontenjan maksimum 12 kişi ile sınırlıdır.
Eğitim Saatleri: 09:30 – 17:30
Not: Eğitim gerçek sistemler üzerinde uygulamalı olarak gerçekleştirilecektir.
Gereksinimler: Kişisel dizüstü bilgisayar
Eğitmen: Ozan UÇAR
Ozan UÇAR, profesyonel anlamda 4 yıldır bilgi güvenliği araştırmacısı olarak ağ güvenliği, sızma testleri ve network forensics konularında çalışmalar yapmakta ve yazılım geliştirmektedir.
Sektörde edindiği bilgi birikimini pfSense güvenlik duvarı ile kurumsal iş ortamlarına çözüm olarak sunan Ozan Uçar Türkiye’nin en büyük pfSense projesinde yöneticilik yapmıştır ve pfSense’e çeşitli ek modüller geliştirmiştir.
Bilgi güvenliği ve yan dalları hakkındaki tecrübelerini paylaştığı web sayfasına www.cehturkiye.com adresinden erişilebilir.
Katılımcılara eğitime destek olmak amacıyla Türkçe FreeBSD kitabı ve online FreeBSD eğitimi hediye edilecektir.
The post pfSense Güvenlik Duvarı Eğitimi 27 Kasım 2010 first appeared on Complexity is the enemy of Security.
]]>The post BGA’dan PfSense Güvenlik Duvarı Eğitimi first appeared on Complexity is the enemy of Security.
]]>Bilgi Güvenliği AKADEMİSİ özgür güvenlik yazılımlarına destek vermeye devam ediyor. bu amaçla Internet dünyasının en çok tercih edilen güvenlik duvarı yazılımlarından PfSense’in kurumsal iş ortamlarında etkin kullanımını amaçlayan iki günlük hızlandırılmış bir eğitim programı hazırladık(“PfSense güvenlik Duvarı Eğitimi”).
Eğitim içeriği ve detaylarına http://www.bga.com.tr/?page_id=1651 adresinden erişilebilir. Bu konudaki ilk eğitim 2011 yılında gerçekleştirilecektir.
The post BGA’dan PfSense Güvenlik Duvarı Eğitimi first appeared on Complexity is the enemy of Security.
]]>The post FreeBSD Packet Filter SynProxy Problemi first appeared on Complexity is the enemy of Security.
]]>The post FreeBSD Packet Filter SynProxy Problemi first appeared on Complexity is the enemy of Security.
]]>The post Asimetrik Hatlarda Trafik izleme ve IDS/IPS Calistirma first appeared on Complexity is the enemy of Security.
]]>Asimetrik hatlar, iletisimin bir hattan baslayip diger hattan devam ettigi hatlardir. Bu tip baglantilarda hem güvenlik duvarlari hem de aradaki izleme/engelleme cihazlari oldukca zorlanir. Bunun sebebi TCP gibi protokollerde oturum bilgilerinin tam tutulamamasidir.
Mesela bir TCP baglantisinda ilk paket olan SYN 1. hattan gider, cevabi olacak SYN/ACK paketi 2. hattan döner. Durum böyle olunca trafigi izlemeye çalisan IDS/IPS/NSM benzeri sistemler oturum bilgisini tam tutamadigi için saglikli çalismazlar.
Her üreticinin bu tip durumlar için bir çözümü vardır ve genelde yapılan iki farklı hattan gelen uçları link aggregation yaparak tek bir sanal arabirimde birleştirmek ve bu arabirim üzerinde IDS/NSM çalıştırmaktır.
Yine böyle bir yapıda pasif olarak iki hattı(asimetrik) birleştirip trafik analizi yapmam gerekti. Altyapıda FreeBSD kullandığım için FreeBSD’nin network aggregation özelliğini kullandım. Aşağıdaki ayarlar basitce FreeBSD üzerinde link aggregation işlemini yapmanızı sağlayacaktır.
#kldload if_lagg
#ifconfig lagg0 create
#ifconfig lagg0 laggproto lacp laggport rl0 laggport rl1
Detay bilgiyi aşağıdaki linklerden alabilirsiniz.
http://www.cyberciti.biz/faq/freebsd-network-link-aggregation-trunking/
http://www.freebsd.org/doc/en/books/handbook/network-aggregation.html
The post Asimetrik Hatlarda Trafik izleme ve IDS/IPS Calistirma first appeared on Complexity is the enemy of Security.
]]>The post FreeBSD 7.2 Güncelleme first appeared on Complexity is the enemy of Security.
]]>Güncelleme öncesi
#uname -a
FreeBSD vps-fw 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Thu Jan 1 08:58:24 UTC 2009 [email protected]:/usr/obj/usr/src/sys/GENERIC”>[email protected]:/usr/obj/usr/src/sys/GENERIC amd64
Güncelleme
[root@vps-fw ~]# freebsd-update upgrade -r 7.2-RELEASE
Looking up update.FreeBSD.org mirrors… 6 mirrors found.
Fetching metadata signature for 7.1-RELEASE from update5.FreeBSD.org… done.
Fetching metadata index… done.
Fetching 1 metadata patches. done.
Applying metadata patches… done.
Fetching 1 metadata files… done.
Inspecting system… done.The following components of FreeBSD seem to be installed:
kernel/generic world/base world/dict world/games world/infoThe following components of FreeBSD do not seem to be installed:
src/base src/bin src/cddl src/contrib src/crypto src/etc src/games
src/gnu src/include src/krb5 src/lib src/libexec src/release src/rescue
src/sbin src/secure src/share src/sys src/tools src/ubin src/usbin
world/catpages world/doc world/lib32 world/manpages world/proflibsDoes this look reasonable (y/n)? y
Fetching metadata signature for 7.2-RELEASE from update5.FreeBSD.org… done.
Fetching metadata index… ydone.
Fetching 1 metadata patches. done.
Applying metadata patches… done.
Fetching 1 metadata files… done.
Inspecting system… done.
Fetching files from 7.1-RELEASE for merging… done.
Preparing to download files… done.
Attempting to automatically merge changes in files… done.The following changes, which occurred between FreeBSD 7.1-RELEASE and
FreeBSD 7.2-RELEASE have been merged into /etc/group:
— current version
+++ new version
@@ -1,6 +1,6 @@
-# $FreeBSD: src/etc/group,v 1.35.6.1 2008/11/25 02:59:29 kensmith Exp $
+# $FreeBSD: src/etc/group,v 1.35.8.1 2009/04/15 03:14:26 kensmith Exp $
#
…
ardından
#freebsd-update install
Installing updates…
Kernel updates have been installed. Please reboot and run
“/usr/sbin/freebsd-update install” again to finish installing updates.shutdown -r komutu verilir.
Sistem açıldıktan sonra tekrar
#freebsd-update install ve reboot komutu ile güncelleme tamamlanır.
Güncelleme sonrasında sistemin durumunu uname -a ile kontrol edersek aşağıdaki gibi çıktı verecektir.
# uname -a
FreeBSD vps-fw 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri May 1 07:18:07 UTC 2009 [email protected]:/usr/obj/usr/src/sys/GENERIC amd64
The post FreeBSD 7.2 Güncelleme first appeared on Complexity is the enemy of Security.
]]>The post FreeBSD 7.2 & OpenBSD 4.5 first appeared on Complexity is the enemy of Security.
]]>
FreeBSD 7.2 ile birlikte gelen dikkat çekici yenilikler:
* support for fully transparent use of superpages for application memory
* support for multiple IPv4 and IPv6 addresses for jails
* csup(1) now supports CVSMode to fetch a complete CVS repository
* Gnome updated to 2.26, KDE updated to 4.2.2
* sparc64 now supports UltraSparc-III processors
Diğer tüm yenilikler için http://www.FreeBSD.org/releases/7.2R/relnotes.html
OpenBSD 4.5 ile birlikte gelen yenilikler için http://www.openbsd.org/45.html#new
The post FreeBSD 7.2 & OpenBSD 4.5 first appeared on Complexity is the enemy of Security.
]]>The post FreeBSD’de Paket Kayıplarının Ölçümü first appeared on Complexity is the enemy of Security.
]]>FreeBSD üzerinde bpf kullanan bir uygulamanız varsa(Trafik izleme, Sniffer, Saldırı Tespit/Engelleme Sistemleri vs) bu uygulamanın sistem üzerinden gidip-gelen tüm paketleri yakalayabildiğini görmek önemli bir şeydir.
FreeBSD 7 ile birlikte netstat’a -B parametresi eklenerek bu özellik sağlanmış gözüküyor( Eskiden port ağacından bpfstat kurularak yapılabiliyordu). Böylece kullandığınız yazılımın ne kadar sağlıklı çalıştığını görebilirsiniz.
Aynı anda Hem Firewall loglaması(Packet filter loglaması bpf kullanıyor) hem de Snort çalışan bir FreeBSD sistemde ekteki gibi bir çıktı alıyorum.
# netstat -B
Pid Netif Flags Recv Drop Match S blen Hblen Command
562 pflog0 p–s–l 2 03181642 0 203181642 1137024 0 pflogd
4951 lagg0 p–s— 80564996 0 80564996 5405484 0 snort
Görüleceği gibi her iki uygulamada paket kaçırmadan çalışıyor. Yine bpf kullanan ve paket kaçırdığını düşündüğümüz başka bir uygulamayı inceleyelim.
# netstat -B
Pid Netif Flags Recv Drop Match Sblen Hblen Command
14109 lagg0 p–s— 716609791 1175963 315031330 9547396 0 Uygulama1
14111 lagg0 p–s— 716609841 0 40677365 2608139 0 Uygulama1
14108 lagg0 p–s— 716609840 2975378 611795979 9262176 0 Uygulama1
14110 lagg0 p–s— 716609803 0 7578723 214966 0 Uygulama1
Çıktıdan görüleceği gibi Uygulama1 isimli programımız ciddi sayılabilecek oranlarda paket kaçırıyor.
netstat -B ile alınan çıktı sabitdir. Yani netstat -w(ekranı belirli aralıklarda yenile) benzeri bir özelliği yoktur. Bunun için aşağıdaki tek satırlık script kullanılabilir.
# while [ 1 ];do netstat -B;sleep 2;done
Pid Netif Flags Recv Drop Match Sblen Hblen Command
562 pflog0 p–s–l 208976932 0 208976932 1750144 0 pflogd
4951 lagg0 p–s— 101664407 0 101664407 734372 0 snort
Pid Netif Flags Recv Drop Match Sblen Hblen Command
562 pflog0 p–s–l 209035050 0 209035050 1700096 0 pflogd
4951 lagg0 p–s— 101870233 0 101870233 9502240 0 snort
Pid Netif Flags Recv Drop Match Sblen Hblen Command
562 pflog0 p–s–l 209090568 0 209090568 1451264 0 pflogd
4951 lagg0 p–s— 102070052 0 102070052 3575342 0 snort
Pid Netif Flags Recv Drop Match Sblen Hblen Command
562 pflog0 p–s–l 209147854 0 209147854 1330048 0 pflogd
4951 lagg0 p–s— 102278007 0 102278007 2218950 0 snort
….
çıktıdaki Flags değerindeki alanlar aşağıdaki anlamlara geliyor.
The bpf(4) flags displayed when netstat is invoked with the -B option represent the underlying parameters of the bpf peer. Each flag is repre-
sented as a single lower case letter. The mapping between the letters and flags in order of appearance are:
p Set if listening promiscuously
i BIOCIMMEDIATE has been set on the device
f BIOCGHDRCMPLT status: source link addresses are being filled auto-
matically
s BIOCGSEESENT status: see packets originating locally and remotely on
the interface.
a Packet reception generates a signal
l BIOCLOCK status: descriptor has been locked
The post FreeBSD’de Paket Kayıplarının Ölçümü first appeared on Complexity is the enemy of Security.
]]>The post Coklu Internet Baglantilarinda Hat Yedekleme first appeared on Complexity is the enemy of Security.
]]>Hat yedeklemede en önemli konu yedekleme isini routing protokolleri ile mi yoksa manuel mi yapılacağıdır. Eğer hizmet alınan ISP ve kullanılan bağlantı teknolojisi destekliyorsa en sağlıklısı routing protokollerini kullanarak hat yedekleme işlemini yapmaktır ama ADSL vs gibi bağlantı tipleri kullanılıyorsa bu durumdarouting protokollerini kullanmak pek mümkün olmayacaktır.
Eğer routing protokolleri üzerinden hat yedekleme yapılamıyorsa bu isi elle yapmak gerekir yani belirli aralıklarda hatların durumunu kontrol eden ve gerektiğinde tüm bağlantıları birinden diğerine aktaran scripler yazılabilir. Bu ilk akla gelen yöntemdir ama bağlantı sayısı 3’ü aştığında biraz zora girmektedir. Her eklenen bağlantı sayısında scripte eklemeler yapılması hata durumunu kaçınılmaz kılar.
Bu gibi durumlar için OpenBSD işletim sisteminde ifstated yazılımı bulunmaktadır.(FreeBSD’e de port edildi). Ifstated verilen parametrelere göre hatların durumunu kontrol eder ve hatlarda bir değişiklik olduğunda istenilen komutu/scripti otomatik çalıştırır. ifstated aslında bizim her seferinde eklemelerle genişleteceğimiz scrit yazma işlemini kendi üzerine alarak bize sadece hatlarla ilgili durum senaryolarını oluşturmayı bırakır.
Örnek:Iki farklı internet hattımız olsun ve biz bu hatların her ikisi de aktif iken trafiği bu hatlar arasında paylaştırdığımızı, hatlardan biri gittiğinde ise tüm trafiği diğer hatta aktaran ve ilk hat geldiğinde tekrar iki hatta paylaştıran bir yapı istediğimizi düşünelim.
Burada olasılıklar şu şekildedir.
Iki tane hat var ;
hat1=ADSL hat2=Kablo
Her iki hat aktif olabilir -->Trafik bu iki hat arasında Packet Filter kullanılarak paylaştırılır,default GW hat1 =pf_ortak.conf
Hat1 aktif, hat 2 gitmiş olabilir -->Tüm trafik hat1 üzerinden üzerinden gider, uygun PAcket Filter kuralları yüklenir=pf_hat1.conf
Hat2 aktif, hat1 gitmiş olabilir -->Tüm trafik hat2 üzerinden üzerinden gider, uygun PAcket Filter kuralları yüklenir, default GW2 olur=pf_hat2.conf
Her iki hat gidebilir --> Tüm hatlar gitti diye mail attırılır.
Hat2 aktif, hat1 gitmiş iken Hat1 tekrar gelebilir --> Bu durumda Trafik bu iki hat arasında Packet Filter kullanılarak paylaştırılır,default GW hat1 =pf_ortak.conf
..
secenekler bu sekilde arttırılabilir. Hat sayısı üçe çıktığında ise bu seçenekler çok daha fazla artacaktır.
Tekrar kurmak istediğimiz yapıyı hatırlayalım: Yapmak istedigimiz her iki hat da aktif iken default GW hat1 olsun ve trafik iki hatta paylaştırılsın(PF aracılığı ile), hat1 gittiginde hat2 default GW olsun, hat1 tekrar geldiginde tekrar default GW hat1 olsun. Her iki hat da gittiginde mesaj atsin.
FreeBSD/OpenBSD Üzerinde Deneme
FreeBSD için ifstated kurulu olmali
#cd /usr/ports/net/ifstated #make && make install
/etc/rc.conf dosyasına aşağıdaki satırlar eklenir.
ifstated_enable=”YES”
Sonra /usrl/local/etc/ifstated.conf(OpenBSD’de /etc/ifstated) dosyasinin icerisine asagidaki satirlari yaziyoruz.
loglevel debug init-state primary hat1='("ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null" every 10)' hat2='("ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null" every 10)' state primary { init { run "echo 'hat1 hat2 - ADSL & Kablo Hatti Aktif Durumda...'" run "route delete default && route add default 192.168.2.1" run "pfctl -f /etc/pf_ortak.conf" } if (! $hat1 && $hat2) set-state mastera if ($hat1 && ! $hat2) set-state masterb if ( ! $hat1 && ! $hat2) set-state hatyok } state mastera { init { run " echo 'hat2- KAblo Internet Hatti Aktif Durumda...'" run "route delete default" run "route add default 10.10.10.2" run "pfctl -f /etc/pf_hat2.conf" } if $hat1 set-state masterb if ! $hat2 set-state hatyok } state masterb { init { run " echo 'hat1- ADSL Internet Hatti Aktif Durumda...'" run "route delete default" run "route add default 192.168.2.1 " run "pfctl -f /etc/pf_hat1.conf" } if ( ! $hat1 && ! $hat2) set-state hatyok if ($hat1 && $hat2) set-state primary } state hatyok { init { run "echo 'Iki HAT da YOK'" run 'echo "hatlar gidik"|mail -s "Hat Gitti" [email protected]' run "route delete default" } if (! $hat1 && $hat2) set-state mastera if ($hat1 && $hat2) set-state primary if ( $hat1 && !$hat2) set-state masterb }
dosyada gecen IP adresleri ve anlamlari;
192.168.2.24 hat1’in IP Adresi
195.175.39.39 hat1’in calisir oldugunu kontrol etmek icin kullanilan IP adresi
10.10.10.1 hat2’in IP Adresi
74.125.79.147 hat2’in calisir oldugunu kontrol etmek icin kullanilan IP adresi
Hat kontrolu icin kullanılan IP adresleri icin uygun arabirimlere routing girilmeli. yani 195.175.39.40’a giderken hep hat2 kullanılacak.
route add 195.175.39.39 192.168.2.1
route add 195.175.39.40 10.10.10.2
NOT: IP Adreslerinin kendi sisteminize gore uyarlanmasi gerekir.(POing ile kontrol edilecek ip adreslerinin her zaman ulasılabilir adresler olmasi onemli)
Bu işlemlerden sonra ifstated -n komutu ile dosyada birşeyler hatalı mı diye kontrol edilir. Hata yoksa ifstated -d -vv komutu ile debug modda çalışıp sistemin çalıştığı izlenir.
Sistemde yapılan testler ve çıktıları.
Her ikli hattın olmadığı durumda
ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null ifstated: changing state to hatyok ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null ifstated: running echo 'Iki HAT da YOK' Iki HAT da YOK ifstated: running echo "hatlar gidik"|mail -s "Hat Gitti" [email protected] ifstated: running route delete default delete net default
Ikinci hat aktif oldugunda
ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null ifstated: changing state to mastera ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null ifstated: running echo 'VELIBABAAA' VELIBABAAA ifstated: running route delete default route: writing to routing socket: No such process delete net default: not in table ifstated: running route add default 10.10.10.2 add net default: gateway 10.10.10.2
Ardindan I.hat tekrar aktif oluyor .
ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null ifstated: changing state to primary ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null ifstated: running echo 'ALIBABA' ALIBABA ifstated: running route delete default && route add default 192.168.2.1 delete net default add net default: gateway 192.168.2.1
Not-1:ifstated sadece hat yedekleme degil Failover firewall kurulumlarinda Firewall’larin birbirini kontrol etmesi icin de kullanılabilir.
Not-1: Yukarıdaki ornek calisan bir sistemden alınıp uzerine eklemeler yapılmıstır. Dolayısı ile bu hali ile dogrudan calismayabilir.
The post Coklu Internet Baglantilarinda Hat Yedekleme first appeared on Complexity is the enemy of Security.
]]>