Juniper Netscreen Route Based vs. Policy Based Site-to-Site VPN

Merhaba arkadaşlar… Bugün sizlere Juniper Netscreen’de nasıl site-to-site VPN yapılacağını anlatacağım ama öncelikle site-to-site VPN den biraz bahsedeceğim.

Site-to-site VPN iki uzak bölgenin birbileri arasında Wide Area çözümü olmadan internet üzerinden güvenli bir şekilde erişim sağlamasına denir. Bunu yaparken altında yatan teknolojilerden çok bahsetmeyeceğim çünkü bu konuda internette hali hazırda tonlarca döküman bulunmaktadır :). Firewall operasyonlarında gördüğümüz bir çok cihazdan VPN konusunda biraz sıkıntılı bir arayüze de sahip olmasından dolayı bu yazımda Netscreen de site-to-site VPNnin nasıl yapılacağından bahsedeceğim. FW üzerinde policy based ve route based olmak üzere iki şekilde VPN kurulabilir. Bunlardan policy based olarak VPN kurmak belki göreli olarak daha basitse de ölçeklenebilirlik açısından daha route based VPN e göre daha kötüdür. Policy based VPN de faz 2 parametresi olan Proxy-ID belirlenmez bunun yerine policy üzerinde yazılır ve tünele doğru yönlendirilir. Bu şekilde yapınca routing ve tünel interface oluşturmak gibi işlemlerden kaçınmış oluyoruz. Biraz resimler ile konfigürasyon anlatımı yaparsam daha anlaşılır olacak sanırım 🙂
Okumaya devam et “Juniper Netscreen Route Based vs. Policy Based Site-to-Site VPN”

Checkpoint Firewall İnceleme 1. Kısım

Merhaba arkadaşlar, uzun bir aradan sonra yeni bir yazı ile tekrar karşınızdayım:). Yeni başladığım işim sayesinde birden fazla firewall ( güvenlik duvarında ) çalışma yapma şansı buldum. Bu yüzden ara ara çalıştığım cihazlar hakkında basit konfigürasyon ve tanıtım şeklinde geçecek olan güvenlik duvarı yazı serisine Checkpoint firewall ile başlıyorum.
Okumaya devam et “Checkpoint Firewall İnceleme 1. Kısım”

Embedded Event Manager 1.Kısım

Bu yazıda sizlere bir Cisco IOS özelliği olan ve kısaca IOS mimarisine gömülü ,birden çok komutu otomatik olarak çalıştırmaya/etkinleştirmeye yarayan, komutsal hataları azaltıp raporlayabileceğimiz bir IOS scripting dili olan Embedded Event Manager’dan bahsedeceğim.

EEM genel olarak CLI ortamında yapılanları isteğe bağlı monitörleme, syslog mesajı ile mesaj gönderme, interfacelerde gerçekleşen değişiklikleri saptayabilme, bu değişiklikleri saklayabilme gibi ilgili ağ cihazına birtakım özellikler kazandırır ve kendi kendini düzeltebilmesini sağlar.Yazının ilk kısmında EEM yapısı hakkında bilgi verip ikinci kısımda birkaç örnekle konuyu pekiştireceğiz 🙂 Okumaya devam et “Embedded Event Manager 1.Kısım”

Uygulamaların Bantgenişliğini Yönetmek – İnce Ayarlar

6 ay sonra yeniden

Bloğun arama kısmına ismimi yazdığımda en son yazımın 6 ay öncesinde olduğunu gördüm. Evet utandırıcı birşey olsa da işlerin yoğunluğundan yazamıyoruz tesellisi ile avutuyoruz kendimizi. İşler her zaman yoğun oldu ve olacak, önemli olan hayatımızdaki şeylerin önceliklerini belirlemek diyerek yazıya giriyorum, konu ile bağlantı kurarak 🙂 21. yüzyılda, günlük hayatta ve kısıtlı bantgenişliğimizde onca şeyin arasında bir önceliklendirme yapmak şart oldu.

Bu yazımda Akademik Bilişim 2012 UŞAK’ta da bantgenişliği yönetim tecrübelerimizi paylaşmak adına Gökhan ile birlikte hazırladığımız sunumun AGCIYIZcasını sizlerle olcak. AGCIYIZcadan kastım daha rahat, biraz daha samimi.

Sizinki kaç Mbit? Bizimki 1000 Mbit ama…

Malumunuz günlük mesaimizin bir bölümünü 1000 Mbps’ya varan bir internet erişimini binlerce kullanıcımıza en iyi şekilde sunmak için harcıyoruz. Bazıları bulmuşun 1 gigabit interneti kafan rahat diye düşünebilir. Aslına bakarsanız bu yazıda bunun tam tersi hakkında birşeyler yazacağım.

Gelecek farklı tepkileri önlemek adına söylemek isterim ki Türkiye’deki diğer tüm devlet Üniversite’leri gibi İTÜ’nün servis sağlayıcısı da ULAKNET. ULAKNET, erişim hizmetlerini üniversitelerden herhangi bir ücret almadan veriyor. Ankara, İstanbul ve İzmir’de POP noktaları var, bunların biri de İTÜ’de. Bu da ULAKNET’e bağlanmak için tek ihtiyacımız olan 25-30 dolarlık 20 metre fiber patch kablo olduğu anlamına geliyor. Yani ULAKNET’e erişmek için Türk Telekom’a ödenmesi gereken aylık binlerce liralık bir ücret yok.

Bakarsan bağ bakmazsan dağ olur!

 

Zamanın gençleri atasözlerinden değil facebook applicationlarından mesajları kapıyor, farmville fazlasıyla başlıktaki anafikri aşılamıştır diye düşünüyorum. İnternet içeriği dolayısı ile internet trafiği nereden nereye geldi. 2000’lerin başında internete bağlanırken tüm ev halkına haber veren dial-up ve metin/fotoğraf içeriği yerini Mbps internet bağlantılarına HD’sinden videolara bıraktı. Bundan 10 yıl kadar öncesinde standart internet kullanıcıları pek fazla trafik yaratmazken günümüzde standart internet kullanıcılarından korkmak gerek. Facebook/Youtube ve *dizi*.com müdavimleri bantgenişliğinizin tamamını kullanıyor olabilir. Bir de tüm indirdiklerini izleyemeye ömrü yetmeyecek olsa da Blu-ray’den vazgeçmeyen arşivciler de varsa tamamdır.

Son yıllara bir göz atarsak,

-Bundan 7-8 yıl öncesinde bantgenişliğinin büyük kısmını p2p uygulamaları kullanırken
-İlerleyen dönemde rapidshare’in başını çektiği direct download link (
ddl) siteleri öne çıktı
-Son yıllarda ise video(stream) önemli bir pay sahibi

Yazının başında bahsettiğim bantgenişliğini 12-13 bin aktif kullanıcının paylaştığını düşünürseniz gerekli önlemleri almadıkça kafanızın rahat olmasını bırakın kafanızın şikayetlerden şişmesi kaçınılmazdır.İşini severek en iyi şekilde yapmaya çalışan ağcılar olarak aldığımız gerekli önlemleri biraz açalım. Hiç bir zaman şu içeriği yasaklayalım, kim ne yapıyor izleyelimle işimiz olmaz. Amaç kısıtlı kaynakları herkese adil olarak paylaştırmak. Yani tutup da tüm bantgenişliğini kendisi kullanmak için her yola başvuran bir kullanıcıya karşı diğer kullanıcıların erişim haklarını korumak amaçlı dur demek gerekebiliyor.

Trafik Işıkları

Kimse trafik ışıklarını sevmez ama onlara mecburuz çünkü çarpışan arabalar sadece lunaparkta hoşumuza gider 🙂 Şaka bir yana internet trafiğinizi yönetmezseniz ciddi paket kayıpları, gecikmeler ve hassas uygulamalarınızda performans kayıpları ile karşı karşıya kalabilirsiniz. Hassas uygulamalar ve kritik trafiğiniz için karayollarında acil durumlarda kullanılması için ayrılan emniyet şeridi tarzı birşeye ihtiyacınız olabilir. Ama gelelim ki uyanık sürücüler sağolsunlar karayollarımızda emniyet şeritlerini özellikle ihtiyaç duyulan anlarda tıkarlar. Agresif uygulamalar(bittorrent, limewire, flashget vs.) karayollarında emniyet şeridini tıkayan uyanık sürücüler formunda paralel oturumlar açarak bantgenişliğini doldurabilirler. Facebook üzerinden ya da Youtube stream trafiğini de yabana atmamak gerek.

Bir şekilde birşeyler yapmalı ve kısıtlı, ortak kullanılan bir kaynak olan internet erişimini en verimli bir şekilde kullanıcılara paylaştırmalı. Aslına bakarsanız seneler boyunca pek çok şey denedik ve proxy cache gibi zamanında işimizi gören çözümler şimdilerde işe yaramaz hale geldi. En büyük nedeni internet kullanımının yaygınlaşması ile içeriğin akıl almayacak şekilde çeşitlenmesi. Ah o yıllar öncesindeki HIT oranlarını dersem eski proxy yöneticileri beni anlar 🙂 Birçoğu ise bizim gibi proxy kullanımını bırakmıştır bile. Bir de eskiden yönlendiricilerde 80. port için önceliklendirme yapılırdı. Bugün baktığımızda 80. portu kullanmayan uygulama bulmak zor. Bizim yönettiğimiz ağ için rahatlıkla söyleyebilirim ki tüm internet trafiğinin %90’ı 80. portu kullanıyor. Tabi bu trafiğin %90’ı HTTP trafiği anlamına gelmiyor 🙂 Merak edenler için en çok kullanılan uygulamalara gelirsek video streaming, kontrollü bir şekilde! p2p ve ddl, http şeklinde sıralanıyorlar. Kontrollü P2P ve ddl’i bantgenişliği politikalarında biraz daha açacağım.

Tecrübeler ve Öneriler

itü’de nerden nereye
100 – internet içeriği daha çok resim, 1-2 seneye heryer video olacak. p2p 1 numara, ddl yeni doğuyor.

kullanılan çözümler, proxy (squid) WCCP protokolü, content engine (100Mbps),

gündüz p2p kapalı, ipp2p iptables module olarak kesiyorduk, saat 07:00-22:00 arası taviz yok. Encrypted kaçmaya başladık, daha sonra protokol yapısı değişti ve ddl karşımıza çıktı. rapidshare, öncülerden 🙂
– yama çözüm bize yük, o zamanlar delikanlılık işte 2-3 gencaver olarak koca bir ordu karşısında savaşıyorduk, politikalarda yazan 3072MB geçemez kuralının uygulayıcısı olmaya çabalıyorduk, 1 hafta internet kapatma cezası. Kavga kıyamet, sınavım/ödevim var!
TEKNİK: Kullanıcıların netflow ve proxy kullandığımız zamanlarda webalizer kullanıyorduk.

Bantgenişliği yönetimi önerileri

Trafik analizi sonrasında kritik ağ trafiği için gerekli önlemler alınmalıdır.
Kullanım yoğunluğuna göre farklı zaman aralıkları için farklı politikalar belirlenmelidir.
p2p ve dll trafiği için toplam üst limit belirlenebilir.
p2p trafiği upload sınırı çok düşük tutulmalıdır.
Kütüphane okur bilgisayarları gibi kayn
ak arama amaçlı sistemler için izin verilen trafik dışındaki uygulamalara erişim kapatılabilir.

Yerleşke bağlantıları gibi kısıtlı bantgenişliğine sahip ağlar için;
Kurum içi kritik merkezi ağ servislerine öncelik tanımlanabilir.
Uzaktan eğitim, Kimlik denetimi vs.
Mesai saatlerinde p2p ve ddl kapatılabilir/üst limit belirlenebilir
Belirli uygulamalar için kota uygulaması ile yerleşke bantgenişliğinin kullanıcılar arasında adil paylaştırılması sağlanabilir.
Kullanıcı bazlı bantgenişliği sınırlaması yapılabilir.

Özet

Yüksek bantgenişliklerinde dahi bantgenişliği yönetimine ihtiyaç duyulmaktadır.

Yerleşkeler kısıtlı bantgenişliklerine sahip olduklarından, kritik trafiğin önceliklendirilmesi ve kullanıcı bazlı bantgenişliği sınırlaması yapılması uygun olacaktır.

Kısıtlı ağ kaynakları söz konusu ise kota uygulamaları adil bir paylaşım sağlayabilir.

Checkpoint Firewall İnceleme 1. Kısım

Merhaba arkadaşlar, uzun bir aradan sonra yeni bir yazı ile tekrar karşınızdayımJ. Yeni başladığım işim sayesinde birden fazla firewall ( güvenlik duvarında ) çalışma yapma şansı buldum. Bu yüzden ara ara çalıştığım cihazlar hakkında basit konfigürasyon ve tanıtım şeklinde geçecek olan güvenlik duvarı yazı serisine Checkpoint firewall ile başlıyorum.

Checkpoint çoğu güvenlik duvarında olmayan özellikte bir yönetim arayüzüne sahiptir. Bu yönetim arayüzü sayesinde gerek policy yüklemek, gerekese logging casino spiele işlemleri çok basitleşmiş durumdadır. Belkide diğer firewallardan kendisini en farklı kılan özellikte budur. Cihazın managementını da bilgisayarımıza yüklediğimiz SmartDashboard ile yapmaktayız. SmartDashboard açıldığında karşımıza çıkacak olan arayüzden biraz bahsetmek istiyorum. Overview kısmında cihazımızda ne kadar kural olduğu, session sayımız gibi genel özellikleri görebiliyoruz.

Turbo ACL

bir türlü çalışabileceğim doğru dürüst bi lab kuramadığım için yazamıorm, ama toplu giricem olaya:) herkese selam tekrar.