netUstad - Kullanıcı El Kitabı
Özkan KIRIK
ozkan(at)enderunix(dot)org
netUstad - Kullanıcı El Kitabı Özkan KIRIK
Telif Hakkı © 2004 Bu doküman kaynak belirtilmek ¸sartı ile kopyalanabilir
˙Içindekiler
1. Giri¸s...1
2. Temel Bilgiler...2
2.1. Firewall Nedir?...2
2.1.1. Paket Filtreleme ...2
2.1.2. Firewall Mimarileri ve Farkları ...2
3. Kurulum...4
3.1. Linux üzerinde Kurulum ...4
3.2. FreeBSD üzerinde Kurulum...4
4. Konfigürasyon ...6
4.1. Konfigürasyon Parametreleri...6
4.2. SSL Sertifikaları ...7
5. Kullanım ...8
6. Sık Sorulan Sorular ...9
Bölüm 1. Giri ¸s
Bir DARPA projesi olarak geli¸stirilen, bugüne kadar insano˘glunun yarattı˘gı en büyük olu¸sumlardan birisi olan Internet hakkında konu¸sulurken ilk akla gelen sorunlardan birisi ¸süphesiz güvenliktir. Hem zaman hem de para harcanarak olu¸sturulan ve ço˘gu kez paha biçilmez olarak da nitelendirilebilen bilgilere zarar gelmesi hem ¸sirket hem de ki¸sisel bazda büyük sorunlara yol açabilmektedir.
˙I¸ste buradan yola çıkarak en güvenli i¸sletim sistemlerinden birisi olan FreeBSD üzerinde ba¸slatılan ve daha sonra Linux uyumlulu˘gu sa˘glanan a˘g üstadı netUstad’ın temelleri atıldı.
netUstad, Network yönetimini kolayla¸stırmak, komutları kullanırken kullanıcıdan kaynaklanabilecek yazım hatalarını en aza indirgemek ve a˘g servislerini bir arada yönetmek amacıyla geli¸stirilmi¸s ve geli¸stirilmeye devam eden bir yazılımdır.
GPL lisanslı olan netUstad, Linux ve FreeBSD platformlarında sa˘glıklı bir ¸sekilde çalı¸smaktadır. netUstad, kendi http servisini (deamon) içermekte ve bu servisin altyapısını sa˘glayan http sunucu tasarlanırken de tinyhttpd isimli, GPL lisanslı bir yazılım projesinden esinlenilmi¸stir. Yazılımın C ile geli¸stirilmesi, performans açısından avantaj sa˘glarken, ayrı¸stırıcı (parser) olarak kullanılan Awk ve Sed yazılımları dizi i¸sleme özellikleri ile netUstad’ı güçlü bir yazılım haline getirmektedir.
netUstad, ¸su anki sürümünde, i¸sletim sisteminin Güvenlik Duvarını (FireWall), A˘g Adres Dönü¸süm (NAT - Network Address Translation) Tablolarını, Yönlendirme (Routing) Tablolarını, A˘g Arayüzlerini (Network Interface)
yönetebiliyor.
netUstad, Linux’ta iptables (netfilter), FreeBSD’de ise IPFireWall güvenlik duvarlarının kurallarının eklenmesi, silinmesi, düzenlenmesi ve incelenmesi için özel bir arayüzle kullanıcıyı kar¸sılamaktadır. Kullanıcı dostu bu özel arayüz, eri¸sim hakkı tanıdı˘gınız herhangi bir bilgisayardan, sadece bir web tarayıcı kullanarak
FireWall/NAT/Routing tabloları ve A˘g Arayüzlerine eri¸sebilme ve tamamını komut satırına ihtiyaç duymadan kolayca yönetilebilme ¸sansını sunmaktadır.
FreeBSD’nin IPFireWall’unun ilk görsel arayüzü olma ayrıcalı˘gına sahip netUstad ba¸ska bir özelli˘gi olan çoklu dil deste˘gi ile yerelle¸stirmelere açıktır.
1
Bölüm 2. Temel Bilgiler
2.1. Firewall Nedir?
Firewall tek bilgisayarınıza veya yerel a˘gınıza internet ten veya di˘ger a˘glardan eri¸simi kısıtlayıp bilgisayarınızın veya yerel a˘gınızın internet ten veya di˘ger a˘glardan gelecek saldırılara kar¸sı koruyan bir bilgisayar ve üzerindeki yazılıma verilen genel addır. Firewall ˙Internet ile Yerel a˘gınızın arasında bulunarak a˘gınıza giri¸s çıkı¸sları kontrol eder.
Firewall‘lar WAN (Wide area network) üzerinden LAN’a (Local area network), Lan üzerinden Wan‘a veya birbirine ba˘gladı˘gı iki Lan arasındaki trafi˘gi kontrol ederek istenmeyen protokol giri¸s çıkı¸slarını engeller.
2.1.1. Paket Filtreleme
Paket filtreleme kernel(çekirdek) içerisine gömülmü¸s durumdadır ve TCP/IP protokolünün Network Layer(A˘g Katmanı) da çalı¸sır. Bu sayede sadece firewall kurallarının izin verdi˘gi paketlerin geçi¸sine izin verilir. Paketler tipine, kaynak adresine(source address), hedef adresine (destination address) ve portlara göre filtrelenir. Paket aynı zamanda Router görevi yapan firewall makinesine geldi˘gi zaman paketin ba¸slık (header) kısmı açılır ve paket ba¸slı˘gındaki bilgilere göre pakete izin verilir veya engellenir. Paketin ba¸slık kısmında a¸sa˘gıdaki bilgiler bulunur:
• Kaynak (source) IP adresi
• Hedef (destination) IP adresi
• TCP/IP Kaynak Portu
• TCP/IP Hedef Portu
• ICMP Mesaj Türü
• Protokol Türü
˙Iki türlü Firewall dizaynı vardır.
1. ˙Izin verilen tarik dı¸sındaki tüm trafi˘gi engellemek
En iyi firewall dizayndır. Burada nelere izin verilip verilmedi˘gi bellidir. Dahiliniz dı¸sında herhangi bir pakete izin verilmez.
2. Kapatılan trafik dıiındaki tüm trafi˘ge izin vermek
Burada güvenlik açı˘gı olabilecek uygulamaları tek tek kapatmak zorundasınız ve di˘gerlerine izin vermelisiniz.
Bu durumda bazı gözden kaçırdı˘gınız durumlar olabilir. Bu yüzden güvenlik açısından çok iyi bir yöntem de˘gildir.
2.1.2. Firewall Mimarileri ve Farkları
Günümüzde Firewall sistemleri genel olarak 2 ayrı yapı ile birbirlerinden ayrılmaktadırlar. Bu yapılar Firewall’lara çe¸sitli artılar ve eksiler kazandırmaktadır.
Bölüm 2. Temel Bilgiler
2.1.2.1. Statik Paket Filtreleme Mimarisi
Bu mimari eskimi¸s olmasına ra˘gmen halen Linux IPChains gibi bazı Firewall sistemlerinde kullanılmaktadır. Gelen ve giden paketleri sadece geldi˘gi yer, eri¸smek istedi˘gi port numarası, protokolü gibi de˘gerleri ile inceler ve bu de˘gerlerden paketin eri¸simine izin olup olmadı˘gının saptamasını yapar.
Örne˘gin bir http iste˘gi eline geldi˘ginde eri¸smek iste˘gi portun 80, protokolün TCP ve geldi˘gi yerin 1.2.3.4 IP’si oldu˘gunu görür ve içerideki sunucuya ula¸smasına izin verilmi¸sse, bu paketin içerideki sunucuya gitmesine izin verir.
Basit bir mimaridir. Günümüzde ticari Firewall sistemlerinde kullanılmamaktadır.
En büyük zayıflı˘gı paketleri ilk gönderen sistemi yani oturumu ilk ba¸slatan sistemi saptayamıyor olmasıdır. Bu durum ciddi riskler olu¸sturmaktadır, kaynak portu taramaları ve ba˘glantıları bu risklere örnektir. Bir örnek ile incelemek gerekirse a˘gdaki bir çalı¸sanın FTP portundan ileti¸sim kurabilmesi için izin verilmi¸stir. Oturumun i¸sleyi¸si ise önce çalı¸sanın 21/TCP portunu hedef port olarak belirleyerek bir sisteme dosya iste˘gi göndermesi ile ba¸slar, hedef sistem, kayna˘gı portu 20/TCP olan paketler ile çalı¸sana dosya transferi yapar. Böyle bir durumda saldırgan a˘ga kaynak portu 20/TCP olan bir paket gönderdi˘ginde Firewall sistemi bu paketi görecek ve içeriden bu pakete istek gelmeseydi bu paket gönderilmezdi mantı˘gına dayanacak ve paketin içeriye girmesine izin verecektir. Firewall’un paketin hedef portuna bakmaması sebebiyle saldırgan kaynak portu 20/TCP olan paketlerle içerideki herhangi bir sistemin örne˘gin 139/TCP portuna ula¸sabilecektir. Böylece Firewall üzerindeki eri¸sim kontrol listeleri etkisiz kalacaktır. Bu sebeple oturumun ba¸stan sona takip edilmesi, kimin ne istedi˘gi ve kimin ne gönderdi˘gi bir tabloda tutulacak ve kar¸sıla¸stırılacak bir sistem yaratılmı¸stır; Dinamik paket filtreleme sistemi - Stateful inspection.
2.1.2.2. Dinamik Paket Filtreleme Mimarisi
Dinamik paket filtreleme mimarisindeki Firewall’larda yukarıdaki örnekte anlatıldı˘gı gibi klasik paket filtrelemenin yanısıra oturumu takip etme özelli˘gide vardır. Checkpoint firmasının üretti˘gi bu teknoloji yine bu firmanın tescilli markası olan Stateful Inspection ismiyle anılmaktadır. Günümüz Firewall sistemleri genelde bu sistem ile çalı¸smaktadırlar.
3
Bölüm 3. Kurulum
3.1. Linux üzerinde Kurulum
Lütfen netUstad (http://www.enderunix.org/netustad) anasayfasından en son sürümünü indirin. ˙Indirdi˘giniz paketi;
# tar zxvf netustad-0.3.0.tar.gz
komutu ile açın. Kurulumda kullanaca˘gımız configure komutu bu paketin birçok i¸sletim sistemine göre ayarlamasını sa˘glayacaktır. Kullanımı ise ¸söyledir:
# ./configure ...
...
# make ...
...
# make install
E˘ger SSLsiz kurulum yapmak istiyorsanız, ./configure a¸samasını ./configure --without-ssl ¸seklinde uygulayın.
Yazılımı kaldırmak için ise, kurulum sırasında paketi açtı˘gınız klasöre dönüp;
# make uninstall
komutunu vermeniz yeterli olacaktir.
3.2. FreeBSD üzerinde Kurulum
FreeBSD üzerinde kurulum gerçekten çok zahmetsiz. Kurulum i¸slemine gedmeden önce yazılımın en güncel sürümünü indirebilmek için port’larınızı güncellemeniz gerekmektedir. Bunun için
/usr/share/examples/cvsup/ports-supfiledosyasını açıp su parametreleri a¸sa˘gıdaki gibi de˘gi¸stirin:
*default host=cvsup.ENDERUNIX.org.
*default base=/usr
*default prefix=/usr
*default release=cvs
*default delete use-rel-suffix
*default tag=.
ports-all
Bundan sonra verece˘gimiz;
# cvsup -g -L 2 /usr/local/share/examples/cvsup/ports-supfile
Bölüm 3. Kurulum
komutu ile sisteminizdeki tüm portlar güncellenecektir.
Güncellenmi¸s yazılımı yüklemek için port a˘gacınızın içinde/usr/ports/net-mgmt/netustadklasörüne girip;
# make install clean
komutu ile kolayca sisteminize kurabilirsiniz.
Bunun yanında di˘ger bir yükleme sekli de pkg_add’dir.
# pkg_add -r netustad
komutu size yazılımın en güncel sürümünü ve çalı¸sması için gerekli olan di˘ger yazılımları da indirip kuracaktır.
5
Bölüm 4. Konfigürasyon
4.1. Konfigürasyon Parametreleri
Yazılım kurulduktan sonra .conf dosyasını/usr/local/etc/netustad/netustad.confadı ile yaratacak ve de˘gerleri buradaki de˘gi¸skenlere göre belirleyecektir.
• maillogfile
Bu de˘gi¸sken netUstad web konsoluna giri¸s ve çıkı¸sların eklendi˘gi günlü˘gün yerini belirlemektedir. Kurulum ile gelen de˘ger/var/log/netustad.logtur.
• accesslogfile
Bu parametre ise eklenen kuralların yazıldı˘gı günlü˘gün bulundu˘gu yerin belirlenmesinde kullanılır. Standart olarak bu dosya/var/log/netustad-access.logdosyasıdır.
• adminuser
Bu de˘gi¸sken yönetici ismini belirtir ve kurulumdaadminolarak atanmı¸stır.
• adminpasswd
Yönetici ¸sifresini belirten parametredir ve standartadminolarak gelir.
• listenport
Web sunucusuna ba˘glanılabilecek port numarasını belirtir. Kurulumda54745olarak ayarlanır.
• sesexpiretime
Standart600olarak gelen bu de˘gi¸sken web sunucusuna ba˘glantı zaman a¸sımını belirtmektedir.
• lc_all
netUstad’ın dili bu de˘gi¸sken tarafından belirlenir. ¸Su an için mevcut olan seçeneklertr_TR.ISO8859-9ve en_US.ISO8859-1.
• key_file
SSL Sertifikasını anahtar dosyasının tanımlandı˘gı de˘gi¸sken. Standart olarak /usr/local/share/netustad/cert/netustad.keyolarak tanımlıdır.
• cert_file
Bölüm 4. Konfigürasyon
SSL Sertifikasının cert dosyasının tanımlandı˘gı de˘gi¸sken. Standart olarak /usr/local/share/netustad/cert/netustad.crtolarak tanımlıdır.
4.2. SSL Sertifikaları
netUstad güvenlik konusunda çok titiz bir çalı¸sma örne˘gidir. Bu yüzden ara yüze ba˘glanma konusunda yazılıma SSL sertifikası özelli˘gi de eklenmi¸s durumdadır. Kurulumda standart olarak SSL destekli olarak gelen yazılımda yine kurulumda verilecek--without-sslparametresi ile SSL sertifikası kullanımı kapatılır ve sadece http üzerinden çalı¸sması sa˘glanır.
netUstad sizin kendi SSL sertifikalarınızı kullanmanıza da olanak vermektedir. Kendi sertifikanızı olu¸sturmak için:
# openssl genrsa -out hostname.key 1024
# openssl req -new -key hostname.key -out hostname.csr
komutlarını veriniz. Bundan sonra isterseniz herhangi yetkili bir CA ¸sirketine bunu gönderip imzalamalarını isteyebilir, ki bunun için para ödemek zorundasınız, veya a¸sa˘gıdaki ¸sekilde kendiniz imzalayabilirsiniz:
# openssl x509 -req -days 710 -in hostname.csr -signkey hostname.key -out hostname.crt
Bu dosyayı yarattıktan sonra kendi sertifikanızı/usr/local/etc/netustad/netustad.confdosyasının içinde bulunan
key_file=
cert_file=
parametrelerine kendi anahtar sertifika dosylarınızın yerini yazarak kullanabilirsiniz. SSL güvencesiyle netUstad arayüzüne ula¸sabilirsiniz.
7
Bölüm 5. Kullanım
netUstad kurulumu ve konfigürasyonu yanında kullanım olarak ta çok kolay ¸sekilde tasarlanmı¸stır. Sisteminizde, ki bu Linux - FreeBSD ayrımı olmaksızın aynidir, netUstad’in çalı¸stırılması:
# netustadctl start
komutu ile gerçekle¸stirilmektedir. Bu kullanım standart olarak gelennetustad.confdosyasını kullanacak ve ara yüzü ba¸slatacaktır.
E˘ger netustad kurulumu ile gelen konfigürasyon dosyası dı¸sında ba¸ska bir dosya belirtmek isterseniz:
# netustadctl -c conf_dosyasi
komutu ile kolayca gerçekle¸stirebilirsiniz.
netUstad’in sistem açılırken çalı¸smaya ba¸slaması için/etc/rc.confdosyasına:
netustad_enable="YES"
parametresini ekleyin.
netUstad ba¸slatıldıktan sonra web ara yüzünü, aksi belirtilmemi¸s ise, 54745 port üzerinden ba¸slatacak ve
kullanımınıza sunacaktır. Burada dikkat edilmesi gerek husus e˘ger kurulumda --without-ssl parametresi belirtilmi¸s ise http, belirtilmemi¸s ise standart olarak https kullanılması gerekti˘gidir.
netUstad’in ba¸slatılması, kapatılması ve tekrar ba¸slatılması görevlerini netustadctl komutu sizin için gerçekle¸stirecektir.
Komut Açıklama
netustadctl stop netUstad’ı kapat netustadctl start netUstad’ı ba¸slat
netustadctl reload i¸slem kapanmadan sadece konfigürasyonu ba¸stan oku netustadctl restart çalı¸san i¸slem tamamen kapatılır, tekrar ba¸slatılır.
netustadctl status netUstad’ın çalı¸sıp çalı¸smadı˘gı kontrol edilir.
Bölüm 6. Sık Sorulan Sorular
1. netUstad’ı çalı¸stırdım ama, nasıl ba˘glanaca˘gım?
Kullandı˘gınız web tarayıcısını açıphttps://sunucu:54745/adresine girdi˘ginizde netUstad arayüzüne ula¸sabilirsiniz.
2. netUstad’ın yönetici parolasını nasıl de˘gi¸stirebilirim?
netUstad yönetici ¸sifresi netustadpasswd komutu ile de˘gi¸stirilebilir.
# netustadpasswd /usr/local/etc/netustad/netustad.conf ¸sifreniz anahtar
Buradaki anahtar, ¸sifrenizin ¸sifrelenmesi için kullanılacaktır. Uzunlu˘gu 2-8 karakter arasında olmalıdır.
3. netUstad’a ba˘glanırken, Sayfa Görüntülenemiyor uyarısı geliyor, ama netUstad çalı¸sıor. Sorunu nasıl a¸sabilirim?
Bu sorun bazı web tarayıcılarının adres satırını düzenlerken yaptıkları hatadan dolayı ortaya çıkmaktadır. Bu hatayı muhtemelen e˘ger adres satırınasunucu:54745yazdıktan sonra almı¸s bulunuyorsunuz. Bunun yerine e˘ger kurulumda--without-sslparametresi belirtilmi¸s isehttp://sunucu:54745/veya do˘grudan yüklendi ise,https://sunucu:54745/de˘gerini kullanarak netUstad ara yüzüne ula¸sabilirsiniz.
4. netUstad’a ba˘glanıyorum, ancak bo¸s sayfa geliyor. Sorun nerede?
Sorun muhtemelen yükleme sırasında meydana gelen bir hatadan dolayı dosyaların
/usr/local/share/netustad/klasörüne tamamen kopyalanamamasından kaynaklanmakta. netUstad‘i tekrar yükleyip deneyiniz.
5. netUstad ara yüzü açılıyor fakat giri¸s yapamıyorum, hep aynı giri¸s ekranı geliyor. Sorun nedir?
Bu sorun web tarayıcınızın JavaScript deste˘ginin kapalı olması yüzünden meydana gelmektedir. Lütfen tarayıcınızın JavaScript deste˘gini açıp tekrar deneyiniz.
9
