Juniper Networks Hakkında..

Yazımızın başında birazcık olsun Juniper Networks ne iş yapar,nerede bulunur gibi birkaç detay bilgi vermek istiyorum.Merak etmeyin bu sitede gizlimiz saklımız yok,elimizdeki tüm bilgiyi sizinle paylaşacağız :)

Juniper Networks adından da anlaşılacağı üzere Network topoloji ürünleri geliştirerek işe başladı.Juniper’ın ürün yelpazesinde önceleri router’lar,network optimizer’lar ve accelerator’lar gibi ürünler mevcuttu,fakat daha sonra “büyük balık küçük balığı yer” mantığı ile satın alınan kuruluşlar sonucunda Juniper’ın yelpazesi genişledi ve şu anda Network başlığında; Aplication Accelerator’lar,Wan Accelerator’lar,Web Accelerator’lar,Standart Router’lar,Telco Router’lar,Güvenlik başlığında ise Access Controller’lar,Firewall’lar,Vpn’ler,IDS-IPS Sistemleri ve SSL VPN modülleri bulunmakta.

Bahsettiğim satın alınan firmalardan Juniper Networks’e belki de en büyük katkıyı yapan firma ise Netscreen oldu.Firewall-VPN donanımları üreten Netscreen birkaç sene önce Juniper çatısı altına girdi.Juniper ürünlerinin Türkiye’deki distribütörlüğünü geniş ürün yelpazesi ile Prolink Mümessillik sağlamakta.

Netscreen Ürün Ailesi

Bu yazımızın sonunda Juniper Netscreen ile neler yapabileceğimizi göreceğiz ve ürün kurulumunu ve orta seviye konfigurasyonunu yapabilecek seviyeye geleceksiniz.Bu anlatımda kullandığım model Juniper Netscreen SSG 20 olacak fakat yazının başında da bahsettiğim gibi Netscreen ailesi içeriğinin çok benzer olmasından dolayı diğer modeller ile birçok özelliğinin ve interface’inin aynı olmasında dolayı size tüm modeller konusunda referans olabilir.

Netscreen ürün ailemizde Wireless içeren modeller,çok interface’li modeller,işlemci ve ram gücü yüksek modeller,modüler olabilen modeller ve adsl gibi üzerinde wan interface’i barındıran modeller mevcuttur.Aşağıda ürün ailesinden bazı resimleri görebilirsiniz.

Netscreen SSG-20 Interface Dağılımı

Benim bu yazıda referans olarak kullandığın SSG20 modelinde dahili adsl interface’i bulunmamakta fakat iki adet modüler yuva ile birlikte adsl dahil olmak üzere değişik WAN interface’ler ekleyebiliriz.Modelimizde 5 adet istediğimiz göreve atayabileceğimiz 10/100mbit interface bulunmakta.(Bu portlar switch portları değildir,interface’dir!) Bunun dışında bir adet seri CLI(Command Line Interface) yönetimi için konsol portu ve birde uzak yönetim erişimleri için AUX portu bulunmakta.

Netscreen’e Giriş

Netscreen ürün ailemizi ve SSG20′yi hem görsel olarak tanıyıp hemde interface’leri hakkında biraz bilgi verdikten sonra şimdi de “bu ürün ne işe yarar ve sınırları nelerdir?” sorularını cevaplayalım.

Netscreen temelinde firewall barındıran ve bu özelliği ile WAN ve internet trafiğini üzerinden geçirmesinden dolayı bundan akıllı bir şekilde faydalanacak özelliklerle(opsiyonel) donatılmış komple bir güvenlik çözümüdür.

Netscreen SSG serilerinin tümünde temel olarak Firewall,VPN,Routing,PPP ve lisansa bağlı opsiyonel olarak Anti-Virus,Anti-Spam,IDS-IPS(Deep Inspection),WebFiltering özellikleri mevcuttur.Elbette Netscreen ile yapabilecekleriniz bunlarla sınırlı değil,keşfettikçe ilgimizi çeken başka özelliklerde olacak.Bu anlatımda SSG20 üzerinde en son güvenli ve tutarlı firmware olan ScreenOS 6.0.0r2.0 kullanılmakta.Bu firmware ile özellikle VPN bağlantılarında yaşanan bazı tutarsızlık sorunları aşılmış,menü başlıkları toparlanmış ve ana interface dizaynı biraz daha ilgi çekici hale gelmiş.

Lisanslama

Netscreen ürünlerini aldıktan sonra isteğimize bağlı olarak güvenliği artırmak ve sıkıntı durumlarında Juniper’dan destek alabilmek için bazı lisanslama paketleri mevcut.Güvenlik feature’larını aktif etmek için eskiden hepsi için ayrı ayrı lisans alınırken şimdilerde kobi’lerin çok tercih etmesinden dolayı indirimli fiyatlarla Anti-Virus,Anti-Spam,Web Filtering ve Deep Inspection lisanslarını 1 yıllık destek paketi ile birleştirip SMB paketi halinde ürünün base fiyatı üzerine küçük fiyat artışıyla satıyorlar.Son dönemlerde Netscreen üzerinde bu lisanslama tipi oldukça tutuluyor,IT altyapılarında bir Anti-Virus Gateway,Anti-Spam gateway hatta IDS ürünü bulunduran firmalar bile güvenlik seviyelerini artırmak amacıyla bunu tercih edebiliyorlar.

Başlayalım

Evet uzun bir yazı ile ürünü tanıdıktan sonra artık ürünümüze giriş yapıp interface’ni tanımaya başlayalım,daha sonra güvenlik feature’larını ve kullanılabilirliklerini görelim ve son olarak yapacağımız piyasada oldukça çok kullanılan temel bir Netscreen konfigurasyonu ile yazımızı sonlandıralım.Bundan sonra ki kısımda elimden geldiğince Netscreen’in bütün özelliklerini tanıtmaya çalışacağım fakat bazı konular çok detaylı olduğu için bunların üzerinden çok kısa geçmeyi düşünüyorum ve bu konuları daha sonra ayrı başlıklar altında anlatmayı planıyorum.(Örn:VPN)

Ürünümüz default olarak web yönetimi için 192.168.1.1/24 ip’sini ve subnet mask’ını kullanır.Bu ip adresi aracılığıyla herhangi bir Web Browser üzerinden Netscreen’in yönetim arayüzüne ulaşabiliriz.Fakat önemli bir noktadan bahsetmek isterim,çok interface’li modellerde interface’ler otomatik olarak gruplu olarak gelir(bgroup) ve default yönetim ip’si bgroup0 üzerindedir,bgroup0′ın kapsadığı interface’lere Console portundan bir terminal emulator(HyperTerminal) ile bakmanızı öneririm.Bu doğru portu bulmanızı kolaylaştırır.Yada her porta bilgisayarınızdan gelen network kablosunu tek tek deneyerek ve bu esnada ping testi yaparak doğru interface’i bulabilirsiniz.Çok fazla deyinmeyeceğim Console’dan konfigurasyon hakkında doğru interface tespiti için yazının sonunda biraz bilgi bulabilirsiniz.

İlk Giriş

Ürüne Web üzerinden ilk bağlandığımızda aşağıdaki gibi bir login sayfası bizi karşılar.

Netscreen’in default kullanıcı adı:netscreen parolası:netscreen dir.Bahsettiğim gibi default ip adreside 192.168.1.1/24′dür fakat ben bulunduğum ortamda kendime farklı bir ağ yarattığımdan dolayı ip adresini 172.17.1.198/24 olarak değiştirdim.İlk açtığınız yada factory reset yaptığınız bir Netscreen ilk doğru Login prosedüründen sonra bir Wizard’la temel ayarları yapmanızı sağlar fakat bu aşırı basit olduğu için bu adımı direk atlıyorum.(Sizin de karşınıza çıkması durumunda Go to Home Page ile anasayfa’ya erişebilirsiniz.)

Girişten sonra bizi karşılayan temel ana sayfamız aşağıdaki gibidir.

Temel olarak ikiye ayrılmış ana sayfada sol tarafta navigasyonumuzu sağlayacak olan menu’müz ve sağ tarafta cihazın yük durumunu,yakın zamanda oluşan alert ve eventleri monitor etmemizi sağlayan info sayfamız yer almaktadır.Bu info sayfamız sol tarafta ki navigasyon menu’müzden değişik linklere tıkladıkça o başlığın detaylarını barındıracaktır.

Menu ve Info İçeriği

Menu görünüşümüz aşağıda olduğu gibidir ve tree mantığında düzenlenmiştir,menu hazırlanırken JavaScript kullanıldığından dolayı menu başlıklarında ki + bulunan linklere tıklandığında sayfada bir reloading işlemi yapılmadan direk tree’nin alt menusunü görebilirsiniz.

Temel başlıkları tek tek özetlemek gerekirse;
Home:Info sayfamızın bulunduğu ilk giriş sayfamıza erişimi sağlayan navigasyon linki.
Configuration:Netscreen ile ilgili lisansların girilmesi,tarih-saat ayarları,netscreen’e erişim ayarları,firmware upgrade’i gibi bazı konfigurasyon sekmelerini bulunduran navigasyon linkimiz.
Network:Network başlığı altında Interface ayarları,DHCP tanımları,routing ve PPP bağlantıları gibi yapılandırmaları yapacağımız bağlantıdır.
Security:Güvenlik ile ilgili Anti-X,Web Filter ve Deep Inspection gibi opsiyonlarımızı yapılandıracağımız bölüm.
Policy:Temel Firewall kurallarımızı yapılandıracağımız ve bu kurallarda kullanacağımız servis ve öğeleri belirleyeceğimiz bölüm.
VPNs :D aha önce bahsettiğim gibi yapılandırmasında bu yazıda üzerinde durmayacağım bölümlerden birisi,Dial-Up VPN,Site2Site VPN,LT2P gibi tünelleme yapacağımız bölüm.
Objects:Netscreen üzerinde tanımlayacağımız user’lar,ip aralıkları ve varsa sertifikalarımızı tanıtacağımız bölüm.
Reports:Adından anlaşılacağı gibi Netscreen üzerinden Interface’ler,kurallar,donanım performans gibi log’ları toplayacağımız ve basitçe raporlayacağımız bölüm.
Wizards :P ek fazla ihtiyacımız olmayacak olan bir bölüm,sihirbazlar aracılığı ile vpn tanımları ve firewall kuralları yazmak gibi bir içerik barındırıyor.
Help:Ürün hakkında çeşitli yardımlara,guide’lara yeni software download’ları gibi linklere ulaşabileceğimiz bir bölüm.
Logout:Login session’ını güvenli olarak kapatacağımız link.
Toggle:Çok büyük bir işlevi bulunmasada tree mantığında çalışan menu’müzü Windows Hover menüler tarzı sağa açılan bir menu haline getiriyor.(Her browser desteklemeyebilir.)

İkiye ayrılmış ana sayfamızın ikinci ve temel içeriğiyi kapsayan bölümü yukarıda görüldüğü gibi Netscreen cihazımızın hardware bilgilerini,anlık bağlantı sayısı ve yük durumunu,aktif olan vpn bağlantıları,log takibi yapmamızı sağlayan Event ve Alarm’ları içerir.Bu event ve alert’lerin tümüne sol taraftaki menümüz üzerindeki Reports bölümünden ulaşabiliriz.Hazır log’lara girmişken birşeyden bahsetmek istiyorum.Hiçbir şekilde Juniper Networks ürünlerinin reklamını yapmıyoruz ve bir ilişkimiz yok,sadece iyi ve kötü yönlenirini göstermek amacımız,bu yüzden yeri gelmişken kötü bir durumdan bahsetme gereği duyuyorum.Maalesef ki güvenlik anlamında bize birçok kolaylık sağlayan Netscreen’in log’lama işlemi oldukça kötü ve detaysız,fakat bunun için önerilen çözüm daha da kötü ki bu üründen detaylı log ve yönetim yapmak istiyorsanız Netscreen’in yönetim,log ve raporlama yazılımına yaklaşık 5000$ kadar bir ücret ödemeniz gerekir.

Temel Konfigurasyon

Evet ana sayfamızı inceledikten sonra cihazımızın temel konfigurasyonunu yapmak için soldaki menu’den Configuration tree yapısını yavaş yavaş inceleyebiliriz.

Şekil de görüldüğü üzere Date/Time,Update,Admin,Auth,Infranet Auth,Report Settings başlıklarımız yer almaktadır.

Date/Time: Adından da anlayabileceğimiz gibi ürünümüzün saat ve tarih ayarlarını yapmamızı ve isteğimize bağlı olarak bunları bir time server üzerinden almamızı sağlar.

Update: Update başlığımız ile Netscreen ürünümüzün feature lisanslarını girebilir,firmware updatelerimizi yapabilir ve yine bu bölümden almış olduğumuz konfigurasyon yedeğimizi sisteme yükleyebiliriz.

Administrator:Administrator başlığımız cihazda yönetimsel olarak yapılması gereken kritik ayarları saklar.Bunların içinde,Netscreen yönetim paneline erişim ip’lerini kısıtlamak,yeni yönetici hesapları oluşturmak ve bunlara çeşitli haklar vermek,yönetim panel portlarını belirlemek ve Netscreen yönetim yazılımı olan NSM ile bağlantısını kurmak gibi opsiyonlar yer alır.

Auth:Yapımızda bulunan bir authentication server varsa bunun tanımlarını yoksa Netscreen’i Authentication Server olarak tanımlamak için gereken konfigurasyonları,telnet,web ve ftp erişim  bannerlarını yapılandırabileceğimiz bölümdür.

Infranet Auth:Bu tabımız da Netscreen’i bir Infranet Authentication server haline getirebilir,Infranet tablomuzu görüntüleyebilriiz.

Report Settings:Report settings bölümümüz Netscreen raporlamalarını yönetebileceğimiz bir alandır.Hangi uyarı seviyelerinin hangi yöntemlerle loglanması gerektiğine buradan karar veririz,örneğin;snmp ile logların alınması yada mail adresine gönderilmesi gibi.

Temel ayarlarımızı yaptıktan sonra güvenlik yapılandırmalarımızdan bir önceki adım olan ve iletişimi sağlayacak olan en önemli adım olan Network ayarlarımızı basitçe yapılandıralım.

Zone’lar ve Interface’ler

Netscreen üzerinde network yapısı düzenli olması açısından biraz daha farklı bir yöntemle ilerler.Zone denilen template’ler sayesinde interface’imizin tanımını gerçekleştiririz.Bu ne demek dediğinizi biliyorum.Şöyle açıklamaya çalışayım;Cihazımızda ki interface’lere belirli görevler vermek istiyoruz,mesala 1 interface’imiz local’deki switch’imze bağlı olup kullanıcılarımıza gateway görevi görecek,diğer portumuz dmz portumuz olup dışardan erişilmesi gereken sunucularımızı iç networkümüzden ayıracak diğer bir interface’miz ise internet interface’imiz olup internet çıkışını sağlayıp internet üzerinden gelen sorguları ilk olarak karşılayacak.Peki internete bakan bir interface’imize herhangi bir cihazda nasıl tanımlamalar yaparız.Örneğin ping’e kapalı olmasını sağlayabiliriz,anti-spoof özelliğini aktif edebiliriz,belirli portlara cevap vermesini sağlayabiliriz gibi.

İşte Zone’larımız bunları sağlayan birer template’dir ve istediğiniz interface için istediğiniz zone tanımlamasını yaparak interface’imizin o özellikleri kazanmasını sağlayabiliriz.Netscreen üzerinde yeterli sayıda default olarak zone(trust,untrust,dmz..) gelmesine rağmen kendinize özel zone’lar yaratıp bunları interface’lerinize tanımlayabilirsiniz.

Netscreen’de interface görünümü aşağıdaki gibidir.

Şekilde görüldüğü gibi birden fazla interface’imizi gruplamamız ve bunları failover durumunda çalıştırmamız mümkündür.Ayrıca gruplama işlemleri yönetimsel olarakta kolaylık sağlamaktadır.
Bu sayfadan interface’lerimizin hangi zone’a dahil oldukları,aktif olup olmadıkları,bir gruba dahil olup olmadıkları ve ip adresleri gibi bilgileri edinebiliriz.

Bir interface özelliklerini değiştirmek ve daha fazla detay bulmak için Configure sütunu altından istenilen interface satırındaki Edit butonu tıklanır.

Her interface’in edit penceresi diğerinden farklı olabilir,bunun nedeni ise dahil oldukları zone’dur.Interface zone tanımına göre sayfanın en üstünde bulunan Properties listesi değişiklik gösterir.Bu bölümde portları gruplama,içeriye port yönlendirme,sanal ip atama(mip,dip,vip) gibi ekstra özellikler bulunur.Fakat bu yazımızda bu bölüme deyinmeyip daha sonraki yazımızda bunlara özel olarak el atacağız.

Evet,interface’lerimiz de neler yapabiliriz birazcık inceleyelim;
Öncelikle interface’imizin hangi zone’a ait olduğunu en üstteki “Zone Name” seçeneğinden gerçekleştiriyoruz.Hemen altında ise anlayabileceğiniz gibi ip tanımları yer almaktadır ip’mizi dhcp sunucudan atayabilir,eğer bir pppoe bağlantısına bind edilmiş ise pppoe bağlantımızdan alabilir yada manuel olarak kendimiz girebiliriz.Ip adresimizin maskını octet’ler halinde girebileceğimiz gibi(255.255.255.0) bit sayısını(24) belirterekte tanımlamamız mümkündür.Ip adresi tanımımızın yanındaki “Manageable” seçeneği ve altındaki “Manage Ip” bölümü,bu interface’imizin netscreen yönetimi için kullanılabileceğini tanımlar.
“Interface Mode” bölümünden interface’imizin görevini belirtiriz,default olarak NAT mode ile gelir.Block intra-subnet traffic seçeneği ise bazı değişik tanımlama durumlarında interface’in kendi kendine route edip loop’a girmesini engellemek için kullanır.

Service Options alanında interface’imizden nelere cevap verileceği belirlenir, Netscreen’in web management,ssl,ssh,ping gibi sorgulara bu interface üzerinden cevap vereceğini buradan belirtebiliriz.Örneğin ping’i kaldırdığımız zaman bu interface artık ping sorgularına cevap vermeyecektir.
MTU(Maximum Transfer Unit) network cihazlarımızın(switch,router,pc vb..) ürettiği paketlerin boyutlarını tanımladığımız yerdir,Varsayılan tüm network cihazlarında 1500 olduğu için bu ayarda bir değişklik yapmanız gerekmemekte fakat ağırlıklı network cihazlarınızda bu boyut özel olarak değiştirilmiş ise Netscreen üzerinde bahsedilen network cihazına bağlı olan bu interface’imizde de bu boyutun tanımlanması performans açısından rahatlık sağlar.

DNS Proxy check’i ile Netscreen’in bu interface üzerinden DNS Proxy hizmeti vermesini,
NTP Server check’i ile de bu interface üzerinden NTP Server hizmeti dağıtarak network üzerindeki diğer node’ların tarih ve saatlerini bu interface üzerinden senkronize edebiliriz.
WebAuth,Configuration bölümünde banner’ını tanımlamış olduğumuz,Netscreen’in Web Authentication servisinin tanımlanacağı interface,yönlendirileceği sunucu ve bu hizmetin sadece ssl üzerinden geçmesi ile ilgili seçenek bölümüdür.Bu özellik sayesinde örneğin herkesin erişmesini istemediğiniz bir web sunucusuna sadece Netscreen’e eklediğiniz ve izin verdiğiniz kullanıcıların bu web sunucusuna erişmesini sağlayabilirsiniz.

Traffic Bandwith özelliğimiz çok basit olarak traffic shaping yapmamızı sağlar fakat bunları belirli servislere göre değil interface üzerinden geçen tüm trafik için uygular.
Ingress gelen Egress ise giden trafiği temsil eder ve girdiğimiz kb rakamı ile bu interface’in kullanacağı maksimum gelen ve giden trafiği belirlersiniz.
Aslında bu yazıya başlarken tek bir kerede bitirmek niyetindeydim fakat gittikçe uzadığı için bölüm bölüm anlatma yolunu tercih ettim ki daha fazla bu yazıdan sizi mahrum etmeyeyim :P
Netscreen ile ilgili bundan sonraki yazılarımız şu şekilde olacaktır fakat sırası karışıktır;

Netscreen Güvenlik;Netscreen güvenlik yapılarının anlatımı,sınırları ve konfigurasyonu
Netscreen PPPOE;Netscreen aracılığıyla bir PPP bağlantısı nasıl sağlanır.
Netscreen VPN:Netscreen ile bir Dial-Up VPN tanımlaması ve client konfigurasyonu

Özetlemek gerekirse bu yazıda,Juniper Networks’ü tanıdık,Netscreen ürün ailesine göz attık,Netscreen ile neler yapabileceğimize değindik,çalışır hale getirip temel network ayarlarını sağladık.

Yazı internetten alıntıdır.