Merhaba bu makalede çoğu kişinin bilmediği açık kaynak bir UTM yani firewall dan bahsedeceğim. Endian Firewall (güvenlik duvarı), İtalyan şirketi Endian tarafından geliştirilen açık kaynaklı bir yönlendirici, güvenlik duvarı ve ağ geçidi güvenliği Linux dağıtımıdır. Ürün hem özgür yazılım olarak, hemde ücretli donamım olarak bulabilirsiniz. Bu makalede Endian 3.3.0 sürümünün kurulumunu ve bazı yapılanmalarına değineceğim. Firewall nedir, bunun faydaları nelerdir, bu makalede hangi yapılanmalarından bahsedeceğimize değinelim,
Endian UTM
Endian UTM yukarıda da bahsettiğim gibi İtalyan bir şirket tarafından kurulan ve açık kaynak olarak dağıtılan bir linux tabanlı bir Firewall yazılımıdır. pFsense den çok bir farkı olmasa da orta ölçekli bir işletme için ideal bir yapısı vardır, kurulumu kullanımı çok kolay ve aşırı sistem tüketmeyen bir yapıya sahiptir,
Entian UTM Özellikleri
- Proxy ile hem http hem https ağınızı filtreleyebilirsiniz,
- NAT, DMZ, Prot yönendirmelerini yaparak ağ trafiğinizi yönlendirebilirsiniz,
- VPN kullanarak uzaktan iş yerinize güvenli bir şekilde bağlanabilirsiniz,
- Log tutarak, herhangi bir adli soruşturmada kayıtları sunabilirsiniz,
ve daha sayamadığım bir çok özellikleri de mevcuttur, Endian UTM de en çok beğendiğim tarafı çok ayar olmaması, sade ve herkesin kullanabileceği bir yapıda olması, makaleyi inceledikten sonra ne kadar kolay bir kurulumu olduğunu siz de fark edeceksiniz,
Endian UTM Nerden İndirebilirim
Açık kaynak bir yazılım olan Endian 3.3.0 https://sourceforge.net/projects/efw/ bu siteden indirebilirsiniz, indiriğiniz iso dosyasını bir cd yada flash diske aktararak, 1 GHZ (VIA, AMD Athlon, Athlon 64, Opteron, Intel Core 2 Duo, Xeon, Pentium, Celeron) işlemci 1 GB (2gb tavsiye ediyorum) rem ve 100 gb hdd ağ yöneldirmesi için 2 adet ethernet karı ile çok rahat kullanabilirsiniz,
Endian UTM Kurulumu
İso dosyasını indirdikten sonra rufush yardımı ile bir flash diske dosyayı kopyalayın ve kuracağınız bilgisayarı Flash disk (cd çekecekseniz cd) ile başlatınız.
Kurulum Aşaması
Herhangi bir dil seçiniz (İngilizce seçili),
Ok seçiniz,
Kurulumu başlatmak için Yes seçiniz,
Kurulum başlıyor,
Firewall ip atamak için Yes seçiniz,
Herhangi bir ip verebilirsiniz, ben 192.168.1.254 numaralı ip tanımladım,
Ok seçtikten sonra biraz bekleyiniz, sistem kendini kapatıp yeniden açacaktır, bilgisayarda usb diski yada cd varsa çıkartınız,
Biraz bekledikten sonra bu ekran karşılayacak bizi, artık iç ağda herhangi bir pc den işlemlere başlayabiliriz,
İç ağda açtığımız bir bilgisayardan baktığımızda DHCP çalıştığını görebilirsiniz,
İlk Yapılandırmalar
Kurulum aşaması bittikten sonra kontrol paneline bağlanıp belirli ayarlar yapmamız gerekmektedir,
Management URL herhangi bir web tarayıcı yardımı ile bağlanıp ayarlara başlayalım,
SSL sertifikası olmadığı için SSL hatası verdi, 192.168.1.254 sitesinde ilerle (güvenli değil) linkine tıklayarak devam ediniz,
İleri (>>>) butonuna tıklayınız,
Dil be Tarih zamanını seçip ileri butonuna tıklayınız,
Sözleşmeyi kabul ediniz ve ileri butonuna tıklayınız,
Yedeğiniz varsa eski yedeğinizi yükleyebilirsiniz ve ekstra bir ayar yapmanıza gerek kalmaz, ben sıfır kurulum yapacağım için ileri butonuna tıklıyorum,
Yönetici ve ssh şifrelerini belirleyiniz ve ileri butonuna tıklayınız,
İleri butonuna tıklayınız,
İleri butonuna tıklayınız, DMZ yada Wifi yapısı oluşturmayacağım için,
LAN bacağında dağıtılacak ip ve UTM’nin ip adresini değiştirebilirsiniz, ben değiştirmedim, Bilgisayar adı ve bir alan adı belirleyip ileri butonuna tıklıyorum,
Wan bacağı ile ilgili bir değişiklik yapmaya gerek duymuyorum ve ileri butonuna tıklıyorum,
İleri butonuna tıklıyoruz,
Boş bırakabilirsiniz, ileri butonu ile devam ediyoruz,
Tama butonuna tıklıyoruz,
Yapılanmanın tam oturması için biraz bekliyoruz,
Demin belirlediğimiz admin ve şifresini girip kontrol paneline giriş yapıyoruz,
Güncellemelerden haberdar olmak isterseniz, yeni hesap oluşturup mail adresinizle kayıt olabilirsiniz, ben geçiyorum burayı, Güncelleme istemiyorum linkine tıklayarak geçebilirsiniz,
Evet sistem çalışır halde bir sıkıntımız yok, internet bağlantısı var mı diye bir kontrol edelim,
Evet internetimiz de var,
Saat ile ilgili bir problem yaşamamak için Servisler > Zaman sunucusu na tıklayınız, Zaman dilimini İstanbul, ve saati de kendi saat diliminize göre ayarlayıp Zamanı ayarla butonuna tıklayınız, SSL sertifikaları saat farkı olacağından sorun yaşamamak için bunu yapmak zorundasınız,
Port Yöneldirme
İçeri ve dışarı iletişimini sağlamak için, firewall üzerinden port işlemleri yapmanız gerekmektedir, içerideki istemciler firewall da belirlenen portlar dışında dışarı ve içeri iletişim sağlayamamaktadır,
İç Ağdan Dışarı
Güvenlik duvarı > Dışa akan trafik linklerini takip ediniz, Güvenlik duvarına yeni kural ekle diyerek bir port belirleyelim,
Arayüzlerden Yeşil (Yeşil Lan bacağı oluyor) Hede olarak Kırmızı (Kırmızı Wan bacağı oluyor) seçiyoruz, hangi porta izin verecekseniz belirliyorsunuz, örneğin, yandex üzerinden mail gönderemeyeceğim için ben Yandexin SMT portu olan 465 tanımlıyorum, Kural oluştur butonuna tıklayınız karşınıza çıkacak uygula butonuna tıklayarak kuralı aktif edebilirsiniz,
Dış Ağdan İçeri
Dış ağdan da içeri erişim için NAT yapacağız, örneğin bir RDP bağlantısı oluşturmak için port yönendirelim,
Yine güvenlik duvarı > Port yönlendirme / NAT > Yeni bir Port Yöneldirme linklerini kullanınız,
Yukarıdaki gibi, port ve hangi ip ile iletişim kurulacaksa belirleyiniz, Yeni kural butonuna tıklayınız,
Uygula butonuna tıklayınız,
NAT kuralımız aktif oldu,
Firewall ekranından da gördüğünüz gibi dış bacak (Kırmızı) ipsi ile iç bacaktaki bir pc ile RDP ile erişmeye çalışalım,
UTM ipsini girdik, bağlan dedik
İç bacaktaki pc oturum açma ekranı geldi, sorunsuz çalışıyor,
Proxy İle Ağı Yönlendirme
Ağ trafiğimizi filtrelemek ve izleyebilmek için proxy kullanacağız, kullanımı ve kurulumu çok basit, pFsense gibi çok karmaşık olmaması çok hoşuma gitti, ve https trafiğini de çok kolay filtreleyebiliyorsunuz,
Önce proxy türünü belirleyelim, ben her bilgisayara port ve ip girmemek için transparan kullanacağım, transparan ile bilgisayarlara ip ve port girmenize gerek kalmadan direk filtrelemeye başlayabiliyorsunuz,
HTTPS protokolünü filtreleyeceğimiz için HTTPS Proxy giriniz, ve Yeni bir sertifika yarat butonuna tıklayınız,
Proxy sertifikası ekle yazısının yanında bir download linki geldi, SSL sertifikasını download ederek bilgisayarımıza tanımlayalım,
Sertifikaya dağ tıkla ve Sertifika Yükle tıklayınız,
İleri butonlarına tıklayın ve bu ekranda Güvenli Kök Sertifika Yetkilileri seçip Tamam butonuna tıklayın ve ileri diyerek sertifikayı yükleyelim,
Evet butonuna tıklayarak sertifikayı bilgisayara yükleyelim, AD bir yapınız varsa GPO ile bu sertifikayı tüm bilgisayarlara yükleyebilirsiniz,
HTTPS proxy modunu Decrypt and scan seçip kaydet butonuna tıklayınız, Bu domain ismi/iP adreslerinden etikelnmesini istemediğiniz domainler varsa yazabilirsiniz, örneğin google etkilenmesi için google.com yazabilirsiniz,
Uygula diyerek aktif edelim,
Bazı siteleri engellemek için Web Filtresi linkine tıklayınız, ardından yeni profil ekle linkine tıklayarak açılan erkandan Özel kara – ve Beyaz listeyi seçiniz,
Bir profil simi verelim, engellenecek siteleri başında www olmadan yazalım ve ekle butonuna tıklayınız, Kuralımızı aktif edelim şimdi,
Yetkilendirme kuralları linkine girelim ve Actions dan düzenle (kalem simgesi) tıklayın,
Filtre profiline belirlediğimiz profili seçelim,
Uygula diyerek aktif edelim, ve sitelerimizi kontrol edelim
Yukarıda gördüğünüz gibi hem HTTPS protokolü hem de HTTP protokolü engellendi,
Dosya türü bazında da engelleme yapabilirsiniz, örneğin, exe, zip, avi, mpeg, mp3 gibi dosyaları engelleyebilirsiniz,
Erişim kuralı ekle linkine tıklayınız,
Erişim kuralı olarak Erişimi engelle seçelim, dosya mime taype türünü yazalım, poliçe güncelle butonuna tıklayınız, örnek mime taype türleri şu şekilde
| MIME Type | Dosya Uzantısı |
|---|---|
| application/SLA | stl |
| application/STEP | step |
| application/STEP | stp |
| application/acad | dwg |
| application/andrew-inset | ez |
| application/clariscad | ccad |
| application/drafting | drw |
| application/dsptype | tsp |
| application/dxf | dxf |
| application/excel | xls |
| application/i-deas | unv |
| application/java-archive | jar |
| application/mac-binhex40 | hqx |
| application/mac-compactpro | cpt |
| application/vnd.ms-powerpoint | pot |
| application/vnd.ms-powerpoint | pps |
| application/vnd.ms-powerpoint | ppt |
| application/vnd.ms-powerpoint | ppz |
| application/msword | doc |
| application/octet-stream | bin |
| application/octet-stream | class |
| application/octet-stream | dms |
| application/octet-stream | exe |
| application/octet-stream | lha |
| application/octet-stream | lzh |
| application/oda | oda |
| application/ogg | ogg |
| application/ogg | ogm |
| application/pdf | |
| application/pgp | pgp |
| application/postscript | ai |
| application/postscript | eps |
| application/postscript | ps |
| application/pro_eng | prt |
| application/rtf | rtf |
| application/set | set |
| application/smil | smi |
| application/smil | smil |
| application/solids | sol |
| application/vda | vda |
| application/vnd.mif | mif |
| application/vnd.ms-excel | xlc |
| application/vnd.ms-excel | xll |
| application/vnd.ms-excel | xlm |
| application/vnd.ms-excel | xls |
| application/vnd.ms-excel | xlw |
| application/vnd.rim.cod | cod |
| application/x-arj-compressed | arj |
| application/x-bcpio | bcpio |
| application/x-cdlink | vcd |
| application/x-chess-pgn | pgn |
| application/x-cpio | cpio |
| application/x-csh | csh |
| application/x-debian-package | deb |
| application/x-director | dcr |
| application/x-director | dir |
| application/x-director | dxr |
| application/x-dvi | dvi |
| application/x-freelance | pre |
| application/x-futuresplash | spl |
| application/x-gtar | gtar |
| application/x-gunzip | gz |
| application/x-gzip | gz |
| application/x-hdf | hdf |
| application/x-ipix | ipx |
| application/x-ipscript | ips |
| application/x-javascript | js |
| application/x-koan | skd |
| application/x-koan | skm |
| application/x-koan | skp |
| application/x-koan | skt |
| application/x-latex | latex |
| application/x-lisp | lsp |
| application/x-lotusscreencam | scm |
| application/x-mif | mif |
| application/x-msdos-program | bat |
| application/x-msdos-program | com |
| application/x-msdos-program | exe |
| application/x-netcdf | cdf |
| application/x-netcdf | nc |
| application/x-perl | pl |
| application/x-perl | pm |
| application/x-rar-compressed | rar |
| application/x-sh | sh |
| application/x-shar | shar |
| application/x-shockwave-flash | swf |
| application/x-stuffit | sit |
| application/x-sv4cpio | sv4cpio |
| application/x-sv4crc | sv4crc |
| application/x-tar-gz | tar.gz |
| application/x-tar-gz | tgz |
| application/x-tar | tar |
| application/x-tcl | tcl |
| application/x-tex | tex |
| application/x-texinfo | texi |
| application/x-texinfo | texinfo |
| application/x-troff-man | man |
| application/x-troff-me | me |
| application/x-troff-ms | ms |
| application/x-troff | roff |
| application/x-troff | t |
| application/x-troff | tr |
| application/x-ustar | ustar |
| application/x-wais-source | src |
| application/x-zip-compressed | zip |
| application/zip | zip |
| audio/TSP-audio | tsi |
| audio/basic | au |
| audio/basic | snd |
| audio/midi | kar |
| audio/midi | mid |
| audio/midi | midi |
| audio/mpeg | mp2 |
| audio/mpeg | mp3 |
| audio/mpeg | mpga |
| audio/ulaw | au |
| audio/x-aiff | aif |
| audio/x-aiff | aifc |
| audio/x-aiff | aiff |
| audio/x-mpegurl | m3u |
| audio/x-ms-wax | wax |
| audio/x-ms-wma | wma |
| audio/x-pn-realaudio-plugin | rpm |
| audio/x-pn-realaudio | ram |
| audio/x-pn-realaudio | rm |
| audio/x-realaudio | ra |
| audio/x-wav | wav |
| chemical/x-pdb | pdb |
| chemical/x-pdb | xyz |
| image/cmu-raster | ras |
| image/gif | gif |
| image/ief | ief |
| image/jpeg | jpe |
| image/jpeg | jpeg |
| image/jpeg | jpg |
| image/png | png |
| image/tiff | tif tiff |
| image/tiff | tif |
| image/tiff | tiff |
| image/x-cmu-raster | ras |
| image/x-portable-anymap | pnm |
| image/x-portable-bitmap | pbm |
| image/x-portable-graymap | pgm |
| image/x-portable-pixmap | ppm |
| image/x-rgb | rgb |
| image/x-xbitmap | xbm |
| image/x-xpixmap | xpm |
| image/x-xwindowdump | xwd |
| model/iges | iges |
| model/iges | igs |
| model/mesh | mesh |
| model/mesh | msh |
| model/mesh | silo |
| model/vrml | vrml |
| model/vrml | wrl |
| text/css | css |
| text/html | htm |
| text/html | html htm |
| text/html | html |
| text/plain | asc txt |
| text/plain | asc |
| text/plain | c |
| text/plain | cc |
| text/plain | f90 |
| text/plain | f |
| text/plain | h |
| text/plain | hh |
| text/plain | m |
| text/plain | txt |
| text/richtext | rtx |
| text/rtf | rtf |
| text/sgml | sgm |
| text/sgml | sgml |
| text/tab-separated-values | tsv |
| text/vnd.sun.j2me.app-descriptor | jad |
| text/x-setext | etx |
| text/xml | xml |
| video/dl | dl |
| video/fli | fli |
| video/flv | flv |
| video/gl | gl |
| video/mpeg | mp2 |
| video/mp4 | mp4 |
| video/mpeg | mpe |
| video/mpeg | mpeg |
| video/mpeg | mpg |
| video/quicktime | mov |
| video/quicktime | qt |
| video/vnd.vivo | viv |
| video/vnd.vivo | vivo |
| video/x-fli | fli |
| video/x-ms-asf | asf |
| video/x-ms-asx | asx |
| video/x-ms-wmv | wmv |
| video/x-ms-wmx | wmx |
| video/x-ms-wvx | wvx |
| video/x-msvideo | avi |
| video/x-sgi-movie | movie |
| www/mime | mime |
| x-conference/x-cooltalk | ice |
| x-world/x-vrml | vrm |
| x-world/x-vrml | vrml |
Uygula diyerek kuralı aktif edelim ve piyasam.net sitesine girelim,
Gördüğünüz gibi resim dosyaları açılmıyor,
Transparan proxy baypas da belirleyeceğiniz ip adresleri (yada mac adresi) filitrelemelerden etkilenmeyecektir
Önbellek kullanarak internet hızınızı artırabilirsiniz, bu sayede daha önce indirilen resim vb dosyalar ön bellekten çekilerek internet trafiğiniz de azalmış olacaktır,
Yaptığınız bazı işlemlerin aktif olması için uygula butonuna mutlaka tıklamanız gerekmektedir,
VPN Yapısı
Şimdi sıra VPN yapılanmasına geldi, VPN ile internetin olduğu herhangi bir yerden iş yerinize kolaylıkla ulaşabilirsiniz, bu sayede bilgisayarınız ile iş yerindeymiş gibi çalışabilirsiniz, ortam cihazlarına (yazıcı, kamera vbb.. ) erişebilirsiniz.
Menüden VPN linkine tıklayınız,
VPN sunucusunu aç karşında bulunan butona tıklayınız ve VPN sunucusunu aktif edelim,
Kimlik denetimi kullanıcı adı parola olsun ve yeni bir Sertifika oluştur diyelim, herhangi bir parola belirleyelim ve Kaydet butonuna basalım,
Uygula diyerek aktif edelim,
Oluşturduğumuz sertifikayı indirelim, bu sertifika bize lazım olacak uzak bağlantı yapmak isteyen istemci bu dosya olmadan VPN bağlantısı sağlayamayacaktır,
Az aşağı indiğimizde VPN sunucu konfigürasyonu var, burada gelen kullanıcı hangi ip aralığını alsın hangi port kullanılacak gibi ayarlar var, Herhangi bir iç ağ aralığı belirleyip Kaydet butonuna basınız,
Kullanıcı ekleyelim,
Kullanıcı doğrulamaya tıklayınız,
Bir kullanıcı adı şifre oluşturup Ekle butonuna tıklayınız,
Kullanıcımız oluştu, OpenVPN programını kuralım istemci olacak bilgisayarımıza,
https://openvpn.net/community-downloads/ adresine giriniz,
Sayfada az aşağı ininiz ve (makaleyi yazdığım zaman 2.5 beta sürümü var sorun olmasın diye kullanmıyorum betayı) 2.4.9 sürümünü indirip bilgisayarımıza kuralım, direk indirme linki https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.6-I602.exe
Normal kurulum adımları Next Next işlemleri,
Kurulum başladı,
Ve kurulum bitti,
Masa üstünde oluşan simgeye sağ tıklayarak dosya dizinini açalım, OpenVPN klasörüne gelelim ve config dosyasına girelim,
Firewalldan VPN için indiriğimiz pem dosyasını buraya kopyalalyalım, ve herhangi bir isimde ovpn uzantılı bir dosya oluşturalım, dosyanın içeriğine şu komutları giriniz,
client dev tap proto udp remote uzak_ip_adresiniz resolv-retry infinity nobind persist-key persist-tun ca cacert.pem auth-user-pass compress lzo
Uzak ip adresinizi girip kaydetmeniz yeterli, ben local sanal ağdaki pc için kullandığım için local ip kullandım,
Görev çubuğunda bulunan kilitli monitör simgesine sağ tıklayınız,
Belirlediğimiz dosya isminde bir bağlantı var ona tıklayarak Bağlan butonuna tıklayınız,
Belirlenen kullanıcı bilgilerini giriniz,
Bağlantımız tamam, artık dışarıdan iç ağa müdahale edebiliyoruz,
Aldığımız ip bakalım, 192.168.1.181 numaralı ip tanmış bize,
Firewall arkasında bulunan 192.168.1.1 numaralı bilgisayara RDP yapalım,
RDP de de kullanıcı ekranı geldi,
VPN loglara bakalım, bağlandığımızı buradan da görebiliyorsunuz,
Anlatmak istediklerim bu kadar, Türkçe bunlarla ilgili fazla bir makale olmadığı için her aşamayı tek tek anlatmaya çalıştım, belki biraz karmaşık gelebilir; ama elimden geldiğince sade ve anlaşılır bir şekilde anlattım, yine takılan olursa yorumlar kısmından yardımcı olabilirim, lütfen mail göndermeyiniz, sizle aynı sorunu yaşayan başka insanlarda olabilir, bu yüzden yorumlar kısmını çekinmeden kullanabilirsiniz,
İyi çalışmalar.