Juniper Netscreen Route Based vs. Policy Based Site-to-Site VPN

Merhaba arkadaşlar… Bugün sizlere Juniper Netscreen’de nasıl site-to-site VPN yapılacağını anlatacağım ama öncelikle site-to-site VPN den biraz bahsedeceğim.

Site-to-site VPN iki uzak bölgenin birbileri arasında Wide Area çözümü olmadan internet üzerinden güvenli bir şekilde erişim sağlamasına denir. Bunu yaparken altında yatan teknolojilerden çok bahsetmeyeceğim çünkü bu konuda internette hali hazırda tonlarca döküman bulunmaktadır :). Firewall operasyonlarında gördüğümüz bir çok cihazdan VPN konusunda biraz sıkıntılı bir arayüze de sahip olmasından dolayı bu yazımda Netscreen de site-to-site VPNnin nasıl yapılacağından bahsedeceğim. FW üzerinde policy based ve route based olmak üzere iki şekilde VPN kurulabilir. Bunlardan policy based olarak VPN kurmak belki göreli olarak daha basitse de ölçeklenebilirlik açısından daha route based VPN e göre daha kötüdür. Policy based VPN de faz 2 parametresi olan Proxy-ID belirlenmez bunun yerine policy üzerinde yazılır ve tünele doğru yönlendirilir. Bu şekilde yapınca routing ve tünel interface oluşturmak gibi işlemlerden kaçınmış oluyoruz. Biraz resimler ile konfigürasyon anlatımı yaparsam daha anlaşılır olacak sanırım 🙂
Okumaya devam et “Juniper Netscreen Route Based vs. Policy Based Site-to-Site VPN”

FlexVPN

Önceki yazımda IKEv2’den bahsetmiş ve point-to-point VPN topolojilerinde kullanımına örnekler vermiştik. Bu yazımda da multipoint topolojilerde kullanımını inceleyeceğiz. DMVPN ile çok uçlu routing alt yapısı oluşturabileceğimizi zaten biliyoruz. IKEv2 ve IPSEC kullanarak da bunun güvenliğini sağlamamız mümkün. Ancak DMVPN’in yapabildiklerinin fazlasını da yapabilen, dolayısıyla IKEv2 kullanılırken tercih edilebilen FlexVPN adını verdiğimiz bir yapı da mevcut. Bu yazıda da aslında daha çok bu yapıyı inceliyor olacağız.
Okumaya devam et “FlexVPN”

Checkpoint Firewall İnceleme 1. Kısım

Merhaba arkadaşlar, uzun bir aradan sonra yeni bir yazı ile tekrar karşınızdayım:). Yeni başladığım işim sayesinde birden fazla firewall ( güvenlik duvarında ) çalışma yapma şansı buldum. Bu yüzden ara ara çalıştığım cihazlar hakkında basit konfigürasyon ve tanıtım şeklinde geçecek olan güvenlik duvarı yazı serisine Checkpoint firewall ile başlıyorum.
Okumaya devam et “Checkpoint Firewall İnceleme 1. Kısım”

IKEv2 (Internet Key Exchange version 2)

Merhaba

Bu yazımda IKEv2’den bahsedeceğim. Daha önceki yazılarda incelediğimiz üzere ISAKMP protokolü IPSEC bağlantısını güvenli bir şekilde başlatma görevini üstlenen bir protokoldür. Önceden çok detaylı bahsetmemiş olsam da ISAKMP aslında daha geniş ve IKE adını verdiğimiz bir protokolün bir parçası. İkisi aynı şey olmasa da yapılandırma perspektifinden hemen hemen aynı şeyi ifade etmekte ve neticede cümle içinde kullanılırken de çoğu kez birbirlerinin yerine kullanılmaktadır. İşte IKEv2 de IPSEC için aynı amaca yönelik tasarlanmış yeni bir protokol.
Okumaya devam et “IKEv2 (Internet Key Exchange version 2)”

Enhanced Easy VPN

Daha önce Cisco IOS’ta Easy VPN yazımda sadece software client’ların değil router’ların da bir istemci gibi davranıp Remote-access VPN gateway’lerine bağlanabileceğinden bahsetmiş ve farklı istemci yapılandırmalarını incelemiştik. Bunun yanı sıra DVTI yazımda da Remote-access VPN’i dinamik crypto map yerine dinamik VTI kullanarak nasıl yapılandırabileceğimizi açıklamıştık. DVTI sayesinde VPN gateway’de her istemci için ayrı bir Virtual-access interface’i elde ediyorduk. Aynı şekilde router’ların istemci olarak davrandığı Easy VPN senaryosunda da DVTI kullanabiliriz. İstemci router’ların da bir tunnel interface aracılığıyla VPN’e dahil oldukları bu yapıya da Enhanced Easy VPN adı veriliyor.
Okumaya devam et “Enhanced Easy VPN”

DMVPN (5): Faz 3

Önceki yazılarımda DMVPN Faz 1’de spoke’ların tüm rotaları hub üzerinde bildiğini ve tüm trafiğin hub üzerinden geçtiğini, Faz 2’de ise tüm spoke’ların tüm rotaları bildiğini ve spoke’ların birbirleriyle doğrudan haberleşebildiğini söylemiştim. Faz 2’nin avantajı ortada; trafik hub’ın bant genişliğini harcamaz ve gecikme daha küçük tutulur. Faz1’de ise genellikle özetleme yapıldığı için spoke’ların routing table’larının küçük olması gibi bir avantaj var. Faz 3’te bu iki avantaj bir araya getirilmeye çalışılır: Tüm rotalar yine merkezde bilinir ama trafik doğrudan spoke’lar arasında akar.
Okumaya devam et “DMVPN (5): Faz 3”

DMVPN (3): Faz 1

Önceki yazımda NHRP kullanarak bir router’ın mGRE tünelindeki diğer routerların tunnel source IP’lerini – her birini statik olarak girmektense – nasıl dinamik olarak keşfedebildiğinden bahsetmiştim. Bunun yanı sıra ilk yazımda da bahsettiğim gibi DMVPN’in en verimli şekilde çalışabilmesi için hem tünel source IP’si keşfinin hem de routing’in dinamik olarak yapılması gerekmektedir. Önceki yazılarımda ise mGRE’nin çalışma mantığını anlatırken basitlik adına routing’i hep statik yapmıştım. Bu yazıdan itibaren routing’i de dinamik yapacağız.
Okumaya devam et “DMVPN (3): Faz 1”

DMVPN (2): NHRP Operasyonu

Önceki yazımda mGRE kavramını açıklayarak DMVPN teknolojisine bir giriş yapmıştım. DMVPN’i verimli bir şekilde kullanabilmek için dinamik yönlendirme ve tünel source’larının dinamik bir şekilde keşfedilmesi (NHRP) gerektiğinden bahsetmiş ancak çalışma mantığını kavramak adına hem yönlendirmeyi statik yapmış hem de NHRP girdilerini staik girmiştim. Bu yazıda ise NHRP’yi dinamik olarak yapılandırıp çalışma mantığını inceleyeceğiz. Yönlendirmeyi ise şimdilik yine statik olarak bırakacağız.
Okumaya devam et “DMVPN (2): NHRP Operasyonu”