Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
Selam arkadaslar
Sizlere bu baslik altinda Checkpoint anlatmaya calisacagim. Komple Checkpoint ogrenemezsiniz belki anlatimlarimdan ama daha sonrasini kendi kendinize goturebilecek bir sevyeye cikarsiniz.
Oncelikle Checkpoint Israil kokenli bir network guvenlik firmasidir. Ve dunyanin EN iyi firewall'u Checkpoint'ir. Firewall yapisina getirdigi SVN mimarisiyle firmalardaki guvenlik noktasini en uc noktalarda bile temsil edebilen bir guvenlik yapisi oturtmustur (SVN yapisina birazdan deginecegim).
Oncelikle neden buyuk firmalar Checkpoint'i tercih eder. Buyuk bir sisteme sahip sirketlerin tamami icin sistemin surekliligi cok buyuk onem tasir. Hatta bu sistemlerinin 1-2 kac saatlik durmasi bile milyonlarca dolarla ifade edilen zararlara yol acmaktadir. Bunun yaninda sisteminde barindirdigi bilgiler bir anlamda sirketin sermayesi kadar degerlidir. Bilgi = Paradir bu firmalar icin ve bu bilgi mutlaka ama mutlaka bir sekilde korunmalidir.
Klasik firewall yapisinda sisteminizi ancak internet uzerinden gelebilecek saldirilara koruyabilirsinz. Fakat Checkpoint firewallda durum bunun aksine iceriden (yani bilgilerinizi calmak istiyen calisanlariniz) gelecek saldirilara karsida korunmakta ve tam denetim saglamaktadir.
SVN yani Secure Virtual Network yapisi: Bir kac kelimeyle ozetlemek gerekirse svn mimarisi 7 katmandada guvenlik saglamaktadir ve hackerlara kesinlikle gecit vermemektedir. Buyuk esneklik icinde istediginiz gibi kurallari olusturursunuz ve bu kurallari kullanicilar, network veya sistemler uzerinde uygulatirsiniz.
SVN faremwork;
Policy definition point
Policy distribution point
Merkezi network güvenliği
VPN
Bandwith allocation ve daha fazlasi
Guvenli,esnek,olçeklenebilir olmasi
SVN mimarisi tabiki logic bir yapidir ve guvenlige yaklasimda sunu soyler: Siz kurallari olusturursunuz fakat network static bir olgu degildir surekli artar. Bu nedenle sistemde tek bir firewall dogru mudur?
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
http://img128.imagevenue.com/img.php?loc=loc390&image=23877_tekfirewall_123_390lo.JPG
tek firewall yapisida sekildeki gibidir. Sekli biraz incelersek goruldugu gibi disaridan gelen tehditlere karsi bir guvenlik noktasi fakat iceriden gelecek tehditlerle hic bir islevselligi yok (gunumuzde meydana gelen ataklarin buyuk bir bolumu iceriden yapilmaktadir) Checkpoint bu nedenden dolayı yapının bileşenlerini dört ana başlıpa alıyor.
Network,sistem,applications,users
http://img24.imagevenue.com/img.php?loc=loc631&image=24470_checkpoint_123_631lo.JPG
sanirim sekilden svn yapisinida daha iyi anlamissinizdir.
(ya direk resim gosterimi seklindeki codu gomdum gozukmedi :( idare edi verin bi zahmet)
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
Tabi checkpointe biraz daha derinlemesine girmeden once kisaca firewall nedir bunada degineyim (saatte 5:30 oldu)
Firewalla ne ise yarar ne yapar dersek kisaca sunlari yapar
1-Networkler arası güvenli iletişim
2-Datayı başkalarına karşı korumak
3-Packet filtering
4-Application Gateway
5-Stateful Filtering (Checkpoint kullanır)
Klasik firewallar (klasik dedigim gene ilk kusagin ustundekiler falan checkpointe gore klasik diyebilecegim firewallar) agirilkli olarak sadece Packet filtering mantigindadir. Nedir Packet filtering mangiti:
Layer 3 ve 4 de çalışır
Source ve destination mantığına dayanır
sadece layer 3 ve4 te calistigi icin dogal olarak hızlıdır
Bidirection mantığından anlamaz
Denail of service tehlikesi vardır
UDP kullanımı zordur
http://img107.imagevenue.com/img.php?loc=loc912&image=24868_logicpacketfilring_123_912lo.JPG
off logic dedim kendi kendi keyfimi kacirdim
check point ogrenmek istiyen basligin altina note dussun devam ederim. istiyen olmazsa bende bosuna ugrasmiyim.
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
tabi simdi bazi arkadaslarim diye bilirki diger firewallarin nesi var bu check point check point nedir?
misal piyasa kullanilan diger firewallarla kiyaslayalim. Bi kere simdi bana hic tutupta asa falan demeyin. Cluster falan hic iyi degil VPN dir haberi yok. Bi active active var roleover yapiyorsunuz redudancy oluyor baska?
Neyle kiyaslayalim checkpointimizi isa server. Isa gercekten guzel bir firewalldur kurmasi yonetmesi kolaydir. Proxy olarak cok cok iyidir, web keslemesi falan ama guvenlik noktasinda ozellikle checkpointle kiyaslarsak
isa server ilk kurulunca default olarak gelen giden butun trafigi engeller sonradan tanimlanana rulelarla trafiga kontrollu olarak izin verilir. chekc point kurulduktan hemen sonra default olarak gelen giden butun trafige izin verir sonradan rulelarla uzerinde degisiklik yapilir.
isa server denial of service yerse gelen giden butun trafik acilir. Checkpoint denial of service yerse gelen giden butun trafigi kapatir. (Yani biri ilk nefes alinca hemen tarfigi kapatiyor (sanki marifet) digeri simdilik izin var diyor fakat er meydani bu biri saldiri sonucu cokerse yol aciliyor fakat chekcpoint saldiri alip cokertilirse son nefesinde butun trafigi kapatiyor sisteme ulasimi engellemis oluyor)
Checkpoint kuruldugu makinedeki isletim sisteminin ethernet karti suruculerini disable eder ethernet suruculerini kendi uzerinden calistirir. (yani data kablodan ciktigi noktadan itibaren kontrole baslar)
Bu arada checkpoint windows, linux, solaris ve secure platform islerim sistemlerinde calismaktadir (yani herseyde calisir) secure platformda redhat'a benzeyen bir linuxtir fakat checkpointin linuxidir yani sadece firewallu kurmaniz icin gerekli ozelliklere sahiptir (adamlar isletim sistemi bile yapmis kendileri icin)
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
tommyknocker
Istanbul
Kayıt: 09.02.2006 |
|
Genis bilgi isin tesekkurler Ciscoadam
Those were the days guys...
|
|
Yazar |
|
aliprinter
İstanbul
Kayıt: 12.02.2006 |
|
Teşekkürler... Devam tabiki...
|
|
Yazar |
|
onur
Two Story Town
Kayıt: 14.01.2006 |
|
Merhaba,
Bu yazdiklarini pdf ya da word dokumani halinde derleyip duzenleyip yoda{{}}iucoders.com adresine yollarsan siteye makale-dokuman seklinde ekleyebiliriz.
|
|
Yazar |
|
clairvoyant
Antalya
Kayıt: 05.05.2006 |
|
onur yazdi | Merhaba,
Bu yazdiklarini pdf ya da word dokumani halinde derleyip duzenleyip yoda@iucoders.com adresine yollarsan siteye makale-dokuman seklinde ekleyebiliriz. |
Evet, bence de çok faydalı olur. Forum arşivinde kaybolup gitmez en azından.
Let`s make this world a better place to live !
|
|
Yazar |
|
orhan
istanbul
admin
Kayıt: 17.11.2005 |
|
pdf e ad soyad iletişim bilgileri ver copyright ekle mutlaka.
N/A
|
|
Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
arkadaslar daha biri suru sey var anlatilacak bi toparliyalim bu baslik altinda oyle.
bir iki gune kurulumu anlatirim sonra biraz kullanimi bu gece yaparim diyordumda is cikti ama bir hafta icinde bitiririm (bir hafta icinde bitmez hic bitmez biliyorum :D )
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
evet damlaya damlaya gol olur biraz daha anlatalim. Simdi soyle bir bakiyorumda ne cok sey var deginilecek.
Checkpointin calsma mantiginin parcalarini acikliyalim...
Application Gateway kavrami uzerinde kisaca durayim...
Checkpointimiz ayni zamanda bir application gateway gorevi gorur. Aslinda bildigimiz proxy ile ayni mantik. Clientlar serverla direk iletişim kurmaz. Application gateway proxy hizmeti verir.
Client hedef sunucu yerine aplication gateway ile iletişim kurar. Gateway ise clientın yerine hedef sunucu ile iletişim kurar.
http://img129.imagevenue.com/img.php?image=97462_aplicationgateway_123_543lo.JPG
(ya ben bu resimleri direk gozukmesini beceremedim verdigi linklerin hepsi denedim olmadi biri bi el atsin bi zahmet boyle link yaziyorum kopyala falan yapiyorsunuz ayip oluyor farkindayim :( )
Resimdede goruldugu gibi paketler nasil gidiyor gayet net anlasiliyor.
Bir diger ozelligi ise Stateful Filtering
Nedir Stateful Filtering,
Packet filteringe benzer ancak bağlantı durum bilgisinden haberdardır. Yani packet filteringteki gibi bir tek gelen giden paketlere bakmaz. Bu paket nereden geliyor nereye gidiyor. Bu olayin asli astari var mi? Hepsinden haberdardir. Zaten genic capli bir kontrol ve bilgi saglaya bilmesi icin takdir edersiniz ki Layer 3 ten 7 ye herşeyden haberdardır. Baglanti bilgisini alir, baglantinin yon bilgisini alir ve application durumunu goz onunde buludurur (user authantication yani).
Stateful Filtering normal filtreleme ozelliklerine gore cok daha dinamik ve akillidir. Yuksek performans saglar, uygulamalardan haberdardir, dinamik connection tablosu kullanir (benim en sevdigim ozelligi budur statefullun - Aptal firewallar gibi her gelene sen kimsin demez daha onceden olusturulmus connectionlari tanir ve ayni connection surdugu surece paket gecislerini buna bagli olarak hizlandirir ama sanilmasin ki askida baglanti olur bi sekilde fake connection yapilir user authantication var dedik ya aaa). Statefull filtering HTTP, FTP, SMTP, TELNET, ve RLOGIN daemons protocollerini ayirt edebilir yani bu protocoller icin proxy baglantisini kullanabilirsiniz.
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
Evet birazda checkpointin mimarisindan bahsedelim (zevkli kisimlar geliyor)
Checkpoint administration management ve enforcement yetenekleri ayırmıştır. Yani kurallarin bulundugu yerle uygulandigi yerler farklidir (Ben bunu hep suna benzetmisimdir diger firewallardaki gibi generaller savas meydaninda stratejilerini belirleyip uygulamazlar - strateji farkli bir yerde belirlerinir farkli bir yerde emirler verilir farkli bir yerdede uygulanir, tabi bu demek degilki hepsi bir yerde olamaz isterseniz oda olur)
Modellemeyi su sekilde yapmistir
Smart client: Firewall rule'larinin yazildigi yerdir.
Smart center: Firewall rule'lari ve bu gibi uygulama bilgilerinin tutuldugu yerdir.
Enfocement Module: Firewall kurallarinin uygulandigi yerdir (ates hatti )
Olarak ayrılmıştır ve avantajlıdır.
http://img140.imagevenue.com/img.php?image=99167_compenent_123_180lo.JPG
Bu arada sunada degineyim bu compenentlere deginince aklima geldi sahsen hep SP3'lu olarak kullandim fakat daha onceki versiyonda bazi seylerin adi farkliymis. Bu bazi seyleri programi kullanirken gorecegiz (Oraya kadar gelebiliriz umarim ) arkadaslar olaki yarin oburgun bir firmaya gidersiniz SP3 yuklenmemis olur bu ne demeyin
http://img128.imagevenue.com/img.php?image=99390_namechangessp3_123_403lo.JPG
Ya aslinda bu client center enforcementtan uzun uzun bahsetmek lazim fekat saat 3:20 sabah is var guc var, boyle yarim birakmis gibi olmakta istemiyroum :(
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
ciscoadam
Kayıt: 02.02.2007 |
|
Hadi kisaca deginelimde yatalim..
Smart Client:
Yöneticilerin organizasyon için policy tanımlaması yapması için kullanılır. Bilesenleri:
- Smart dashboard
- Smart view tracker
- Smart view status
Dashboard'tan genel bir gorunum
http://img23.imagevenue.com/img.php?image=00071_dashboard_123_860lo.JPG
O goruntudeki ekrani zaten daha cok kullanirsiniz. Yani diger parcalari birlesenleri bi tek kurarsiniz birakirsiniz sonra butun aciton Dashboard uzerindedir. Zaten dedigim gibi yoneticiler policylerini burada tanimiyor :)
Smart Client icin isitem gereksinimleri
http://img13.imagevenue.com/img.php?image=00199_clientgereksinimleri_123_843lo.JPG
Bu smart clientta belirlenen policyler smart center serverda depolanir.
Depolanan birimler
- Object database
- User database
- Security rules : Rule setleri depolanır
- Log database : Enforcement modüllerinden toplanan logları depolar smart view tracker ilede görülür.
Burada user ve objectin zaten ne oldugu svn mimarisini aciklarken gormustuk.
smartcenter sistem gereksinimleri
http://img14.imagevenue.com/img.php?image=00379_centersistemgerekleri_123_633lo.JPG
Enforcement Module:
Smart center serverdan kendisi için belirlenmiş rule setini download eder. Bakin kendisi icin diyorum cunku bir sistemde illa bir client bir center birde EM (Enforcement Module bundan sonra boyle diyecegim) olacak diye kayide yok ihtiyaciniza gore istedginizin sayisini artirabilirsiniz. Zaten buyuk sirketlerde tercih edilmesinin nedenlerinin basinda bu gelir. Sirketin bir cok subesi varsa bu subelere gidip sadece bi EM kurarsiniz ve Smart Client'la Smart Centeri'ni merkeze koyarsiniz. Policyler yazilirken zaten soruyor hangi EM lere uygulanacak bu diye. Butun EM leri merkezden rahatliklar yonetebilyorsunuz arti bir deger subelerde firewall ayarlariyla oynarlar aman basimiza is gelir derdi yok hersey merkezin elinde EM uzerinde bi ayar sanslari yok fazla.
Veriler smart center serverda her e.m için inspect dilinde hazırlanmış scriptler olarak saklanır.
EM nin iki birleseni vardir bunlar:
- İnspection module (inspection ve nat'tan sorumludur)
- Security Servers (User auth. yapar http ve smtp gibi seyler icin)
Sistem gereksinimleri smart centerla aynidir. Microsoft Windows NT 4.0/2000/2003, Sun Solaris (SPARC), Secure platform (red hat based-Bahsetmistim sanirim bu isletim sisteminden Checkpointin kendi isletim sistemi), Linux (Intel-based), Nokia IPSO(Buda nokyanin gelistirdigi birsey hic gormedim kullanmadim duymadim bir ara guvenlik pazarina el attiydi sonradan ne oldu bilmiyorum) isletim sistemleri uzerine kurulmalidir EM.
Arkadaslar saka maka saat 3:40 olmus umarim birseyler anlatabiliyorumdur faydali olabiliyorsam ne mutlu bana
Bu arada pdf falan diyrosunuzda bakalim usengeclik hasil olmus oyle boyle degil...
Sword is a weapon for killing the art of sword is the art of killing. No matter what fancy word you use or what titles you put to it that is the only turth...
|
|
Yazar |
|
orhan
istanbul
admin
Kayıt: 17.11.2005 |
|
resim url leri php içeriyor ise bloklanıyor
örn. aaa.php?img=? gibi url yerine doğrudan linkleri verirsen sorun olmaz.
url/xxx.jpg gibi
N/A
|
|
|
|
-
Del.icio.us
-
Digg
-
Facebook
-
Furl
-
Google
-
Blink
-
Simpy
-
Spurl
-
Y! MyWeb
|
|
| | | | | | | | | | |