Güvenlik Duvarı Eklentisi
Last updated
Last updated
Güvenlik Duvarı eklentisi LimanMYS arayüzünden etki alanında yer alan bilgisayarlar üzerindeki güvenlik duvarı kurallarını görüntüleme, yeni kurallar oluşturma ve port yönlendirmesi sağlama gibi imkanlar sağlar.
Güvenlik Duvarı eklentisi LDAP kaynağı sunucu üzerinde kullanılmalıdır. Bu konuda mevcut durumda desteklenen Microsoft Aktif Dizin ve SAMBA Etki Alanı Denetçisine resmi olarak destek verilmektedir. İleriki sürümlerde FreeIPA üzerinde de temel özelliklerin kontrol edilmesi sağlanacaktır.
Öncelikli olarak Güvenlik Duvarı Eklentisinin istemciler üzerinde kullanabilmesi için istemcilerde ufw paketinin yüklü olması gerekmektedir.
Güvenlik Duvarı Eklentisini kullanabilmek için Liman'a bu eklentiyi kullanabilecek yetkilerde bir kullanıcı ile giriş yapmak gerekmektedir. Bu ortamın sağlanabilmesi için öncelikle Güvenlik Duvarı Eklentisi Liman'a, daha sonra ise domain sunucusuna eklenir. Eklentiye giriş yapılarak Eklenti Ayarları kısmında Paylaşımlı LDAP Kullanıcısı ve Paylaşımlı LDAP Şifresi bölümlerine LDAP üzerinde yetkili (politika oluşturma-düzenleme yetkisi) kullanıcının bilgileri girilir (örneğin Administrator). Bu sayede Güvenlik Duvarı Eklentisini kullanacak olan yetkisiz kullanıcılar, yetkili bir kişiye ihtiyaç duymadan ve onların credentiallarına erişemeden Güvenlik Duvarı politikaları oluşturma ve düzenleme yetkilerine sahip olurlar.
Daha sonra sırası ile LDAP yapısı üzerinde (gruplar eklentisi ile) "FirewallAdmin" security grubu oluşturulmalı,
Liman üzerinde Güvenlik Duvarı Eklentisini yönetecek kullanıcı ve grupları içerecek rol grubu (örnek olarak "GüvenlikDuvarıYöneticileri") oluşturulmalı ve Güvenlik Duvarı Eklentisi, sunucu ve Güvenlik Duvarı Eklentisinin tüm fonksiyon yetkileri verilmeli,
Liman üzerinde LDAPv2 modülü ile FirewallAdmin grubu GüvenlikDuvarıYöneticileri rol grubuna eklenmeli,
Eklentiyi yönetecek kullanıcılar (kullanıcılar veya gruplar eklentisi ile) FirewallAdmin grubuna eklenmelidir.
Bu aşamalar haricinde FirewallAdmin grubunun makineler üzerinde Güvenlik Duvarı fonksiyonlarını çalıştırabilecek ve yerel (local) politika düzenleyebilecek yetkilere sahip olması için politikalar ile gerekli birtakım işlemler yapılmalıdır.
Makinelerde lokal politikaların çalışabilmesi için Tayfa politikaları kısmından yerel politikalar aktif hale getirilmelidir.
Güvenlik duvarı fonksiyonlarını makine üzerinde çalıştırabilmek için kök dizinden politika nesnesi oluşturulup oluşturulan (ya da var olan) politikanın Makine politikaları kısmındaki Yetkili Kullanıcılar bölümünde FirewallAdmin grubuna yetki verilmelidir.
Şimdi ise FirewallAdmin grubundan bir kullanıcı ile Liman'a giriş yapılır. Öncelikle arama kısmından hangi makinede kütük ayarları izlemesi ve düzenlemesi yapacaksa o makinenin hostname'i ile arama yapılmalıdır. Arama sonucunda makinenin üzerine tıklanarak makine detayları penceresi açılır.
Ardından Makine Politikaları ve Kullanıcı Politikaları sekmelerinde makinenin çektiği Güvenlik Duvarı politikaları görüntülenebilir.
Eğer ki makinenin çektiği politikalarda hiç Güvenlik Duvarı makine politikası yoksa Makine Politikaları sekmesindeki politika seçim yeri boş gelecektir. Aynı şey Kullanıcı Politikaları sekmesi için de geçerlidir.
Kullanıcı Politikaları sekmesinde makinenin hangi kullanıcı ile politika çektiği de yazmaktadır. Böylelikle hangi kullanıcıya tanımlanan kullanıcı politikalarının da çekilmiş olduğu görüntülenebilir. Bir kullanıcı kendisini kapsamayan (tanımlanmayan) kullanıcı politikalarını çekemeyecektir.
Yerel Politika sekmesinde ise makine üzerinde tekil (yalnızca bu makine için geçerli) politika ayarlamaları yapılabilir. Yerel politikaların en üstte çalışacağı, yani aynı ayar gruplarında yapılan makine ve kullanıcı politikalarını ezeceği unutulmamalıdır.
Yerel politika ayarlandıktan ve kaydedildikten sonra makinenin tekrar politika kontrolü yapması gerektiği unutulmamalıdır. Bunun için yine manuel olarak Genel Bakış sekmesindeki buton kullanılabilir.
Güvenlik Duvarı Eklentisinde ayrıca kök dizinden kullanıcı politikası oluşturularak kullanıcı bazlı Güvenlik Duvarı kuralları düzenlenebilir.
Oluşturulan politikaların isimlerinin başına "lnx-firewall-" otomatik olarak eklenecektir. Arama yapıldığında da sadece bu politikalar arasında arama yapılabilir. Oluşturulan politika nesnesine girildiğinde Makine tabı görünmeyeceği gibi yalnızca Kullanıcı politikası düzenlemeleri yapılabilecektir.
Eylem: Uygulanacak kuralın bağlantıyı kabul veya reddetme durumunu belirtir.
Bağlantı Tipi: Kural uygulanacak bağlantının gelen veya giden tiplerinden hangisinde olacağını belirler.
IP Adresi: Hangi IP adresi ile kurulacak bağlantılara kural uygulanacağını belirler.
Port: Makinenin hangi portundan kurulacak bağlantılara kural uygulanacağını belirler.
Açıklama | Eylem | Bağlantı Tipi | IP Adresi | Port |
10.10.5.10 adresine 22 portundan giden bağlantıları reddeden kural oluşturur. | Reddet | Giden | 10.10.5.10 | 22 |
10.20.30.40 adresinden 22 portuna gelen bağlantıları kabul eden kural oluşturur. | Kabul Et | Gelen | 10.20.30.40 | 22 |
10.25.30.45 adresinden 636 portuna gelen bağlantıları reddeden kural oluşturur. | Reddet | Gelen | 15.25.30.45 | 636 |
100.90.10.10 adresine 5432 portundan giden bağlantıları kabul eden kural oluşturur. | Kabul Et | Giden | 100.90.10.10 | 5432 |
Örnek olarak aşağıda verilen görseldeki değerler girip kaydedildiğinde 60.90.60.90 adresine 22 portundan giden bağlantıları reddeden bir kural politikası oluşturulmuş olur.
Yerel Port Numarası: Hangi porta gelen bağlantıların yönlendirileceğini belirler.
Hedef IP: Gelen bağlantıların hangi IP adresine yönlendirileceğini belirler.
Hedef Port: Gelen bağlantıların adresteki hangi porta yönlendirileceğini belirler.
Açıklama | Yerel Port Numarası | Hedef IP | Hedef Port |
2222 portuna gelen bağlantıları 55.66.77.88 adresinin 10500 portuna yönlendirir. | 2222 | 55.66.77.88 | 10500 |
10514 portuna gelen bağlantıları 61.25.08.33 adresinin 666 portuna yönlendirir. | 10514 | 61.25.08.33 | 666 |
Örnek olarak aşağıda verilen değerler girip kaydedildiğinde 77 portuna gelen bağlantıları 11.22.33.44 adresinin 2525 portuna yönlendiren bir kural politikası oluşturulmuş olur.