Paloalto LDAP Yapılandırılması
LDAP: Açılımı Lightweight Directory Access Protocol olan LDAP, X.500 standardı ile tanımlanan dizin erişim protokolünün hafifletilmiş sürümüdür. İletişim protokolü TCP/IP dir. ( DAP (Directory Access Protocol), sunucu ve istemci arasındaki haberleşmeyi tanımlar. OSI modelinin uygulama katmanında çalışan bir protokoldür. Çalışabilmesi için tüm OSI katmanlarına ihtiyaç duyar.)
LDAP istemcisi ldap icin yazilmis ve ldap istemcisinin icine gömülmüş API (Application Programming Interface) vasitasiyla aradigi bilginin formatını olusturarak TCP/IP vasıtasıyla dizin sunucusuna gönderir. Bu istegi alan dizin sunucusu bu istegi dizini iceren bilgisayari sorgulayarak (Eskiden LDAP X.500 dizinlerine ulaşmak icin kullanilan bir gateway idi ve böylece LDAP sunucusu ile X.500 dizini farklı bilgisayarlarda bulunurdu. Fakat zamanla X.500’un getirdigi yük sebebi ile dizin direk sunucunun olduğu sisteme gömülmüştür) gerekli bilgiyi yine ayni yolla istemciye gönderir.
Kısacası LDAP tüm kullanıcılarının en hızlı şekilde ve sürekli olarak bilgiye ulaşmalarını sağlayabilmek için, hızlı, ölçeklenebilir ve yönetilebilir bir ağ altyapısı kurmak için oluşturulmuştur. Bilgisayarların yoğun olarak kullanıldığı ağ üzerindeki IP (Internet Protocol) adres ayarlarının otomatik olarak gerçekleştirilebilmesi amacıyla LDAP (Light Weight Directory Access Protocol) kayıtlarını kullanan bir otomatik IP atama sistemi kullanılır.
Paloaltoda ldap tanımlamasına geçmeden önce her hangi bir network üzerinde olduğumuzu kabul edip var olan network içinde aktif dizin alanında olan ip bloklarının ve user(kullanıcı) ların yetkilendirmek yada kısıtlamak amacı ile LDAP
oluşturacağımızı varsayıyoruz. Verilen ip ler yada userlar kendi topolojime göre hazırlanmıştır. Şimdi ise paloalto fw cihazında LDAP nasıl tanımlanır anlatmaya çalışalım.
İlk önce Device-Server Profiles-LDAP-Add işlemi yapılır.
Şekil 1
Yukarıdaki işlemden sonra LDAP tanımlaması yapılacak olan yer karşımıza çıkacaktır. Burada bazı bilgilere ihtiyaç olacaktır.
S y s t e m a d m i n o l a n k i ş i d e n A k t i f d i z i n e a i t b a z ı bilgilerin (server ip, etki alanı adı, password vs.) alınması gerekmektedir.
Şekil 2
Ok işaretleri ile gösterilen yerler önemlidir. Oluşturulan bütün profiller de name yazılmalıdır. Yazılmadığı takdirde paloalto, her zaman sarı ile çizgi çizer. Sizde yanlış yaptığınızda yada doldurulması gereken bir yerde boş bırakılan alanlar olduğunda profilin tamamlanmadığını göreceksiniz.
Servers bilgileri kısmında elimizde olan bilgiler girilir ve burada port numarası önemlidir. Eğer ssl bağlantılı bir ldap tanımlaması yapılacaksa 636 portundan bağlanmak gerekecektir.
Ssl olmayacaksa 389 nolu port yazılmalıdır. Bundan sonra ise Device-User Identification-User Mapping sekmelerine gelindikten sonra Şekil 3 te en sağ da ok ile gösterilen yer tıklanır.
Şekil 3
Y u k a r ı d a k i ş e k i l d e s a ğ o k i l e g ö s t e r i l e n y e r e t ı k l a n ı l d ı ğ ı n d a Ş e k i l 4 d e g ö s t e r i l e n W M I Authentication sekmesine gelindiğinde, çok önemli olan bir noktayı kaçırmamak gerekiyor. O da User Name alanındaki yazılan Aktif Dizin deki tanımlanan isim nasılsa, buraya da aynısı yazılmalıdır. Buradaki User Name kısmı rast gele yazılamaz. Aksi taktirde tanımlanan LDAP kesinlikle çalışmayacaktır. Password kısmına yazılan şifre de kesinlikle sizin kafanızdan yazdığınız bir şifre olmamalıdır. System admin tarafından verilen bilgiler arasında şifre de olmak durumundadır.
Not: Verilen ip adresinde tanımlanan user lar aşağıdaki verileri doğru yazdıktan sonra paloalto cihazı aktif dizinden çekebilecektir.
Şekil 4
Ş e k i l 5 t e i s e D e v i c e - U s e r I d e n t i f i c a t i o n - G r u p Mapping kısmına gelindiğinde Server Profile sekmesinde Check List tıklandığında ilk önce tanımlanan ldap karşımıza gelecektir.
Şekil 5
B u r a d a i s e D e v i c e - U s e r I d e n t i f i c a t i o n - G r u p Mapping kısmına gelindiğinde Group Include List sekmesinde ok işaretleri ilen gösterildiği üzere ldap içersinde tanımlanan user leri ortada bulunan + işaretine basılarak grup
oluşturabilirsin.
Not: Aşağıdaki gibi, user listeleri gelmiyorsa eğer yukarı da yapılan tanımlamalardan bir yada bir kaçı yanlış yapılmış demektir. Başa dönüp kontrol etmelisiniz.
Şekil 6
Aşağıdaki şekilde çok dikkat edilmesi gereken bir husus var. O da Şekil 1 de yaptığımız tanımlamada ssl bağlantısını seçtiğimiz için authetication olabilmesi için Device- Authetication Profile-Add sekmelerine gelip profil oluşturmalıyız.
Şekil 7
Aşağıdaki şekilde görülen yerleri aynen yapabilirsiniz. Name text alanına istenilen bir ad girilebilir. Sol alt tarafta add kısmına gelindiğinde karşımıza Şekil 6 d a o l u ş t u r d u ğ u m u z I n c l u d e G r o u p s l a r gelecektir. Authentication text alanında LDAP oluşturduğumuz için ldap seçilir. Server Profile kısmında ise zaten ldap seçtiğimiz için yukarda otomatik olarak Şekil 2 de oluşturduğumuz profile gelecektir.
Şekil 8
Normal şartlarda LDAP tanımlamamız bitmiştir. Ola ki birden fazla Aktif Dizin tanımlaması yaptınız ve bunun yönetimini nasıl yapacaksınız ile ilgili olarak son şeklimizde onun tarifini yapalım. Device-Aouthentication Sequence- Add sekmelerine basarak bir den fazla ldap tanımlamasını (sıralandırılmasını) yapılandırabilirsiniz.
Şekil 9
Paloalto Güvenlik Duvarı Dhcp Uygulaması
DHCP, bilgisayarlara IP adresi ve subnet maskesi başta olmak üzere TCP/IP parametrelerini otomatik olarak dağıtan bir protokoldür. DHCP kullanımı şu şekilde gerçekleştirilir: Bir makine DHCP sunucu olarak kurulur. DHCP sunucuda diğer bilgisayarlara dağıtılacak adresler için bir adres aralığı ve bir subnet maskesi tanımlanır. IP adresi ve subnet maskesi dışında dağıtılabilecek parametreler de(default gateway, DNS ve WINS sunucu adresleri gibi) tanımlanabilir. DHCP istemci o l a r a k b e l i r l e n m i ş b i l g i s a y a r l a r D H C P s u n u c u l a r a başvurduklarında adres havuzlarından uygun bir adres seçilerek subnet maskesi ile birlikte istemciye gönderilir. Bu sırada seçimlik bilgiler (default gateway adresi, WINS sunucu ve DNS
sunucu adresleri gibi) de istemciye gönderilebilir.
Eğer istemci bilgisayar bu adres önerisini kabul ederse önerilen adres istemciye belli bir süre için verilir. Eğer IP adres havuzunda verilebilecek bir adres kalmamışsa ve istemci başka bir DHCP sunucudan da adres alamıyorsa TCP/IP iletişimine geçilemez.
DHCP ile IP adres alımı broadcast mesajlara dayandığı için, ağımızı oluşturan her bölüme bir DHCP sunucu kurmak gerekmektedir. Bölümlerin birine kuracağımız DHCP sunucu ile diğer bölümlere de hizmet vermek mümkündür. DHCP sunucular büyük alanlara kurulu olan üniversitelerde, çeşitli devlet kuruluşlarında, okullarda kurulmaktadır
Görüldüğü üzere DHCP tanımlaması bir hayli uzun bir iş gibi duruyor. Ama paloalto sayesinde bu işin çok da rahat olduğunu göreceksiniz. Firewall’ ların bu denli zahmetli işleri çok basite indirgemesi işimizi çok kolaylaştırıyor. Şimdi ise paloalto da nasıl DHCP tanımlanır hep beraber görelim.
Paloalto Fw ana ekranından Network-DHCP sekmesine gelip add sekmesi tıklanır.
Şekil 1
Karşımıza gelen ekranda DHCP Server sekmesine gelip add linki tıklanır.
Şekil 2
Şekil 3 te dikkat edilmesi gereken yerler var. İlk olarak Interface belirtilmeli sonrasında ise Gateway‘ i yazılmalıdır. Interface de tanımlı hangi subnet varsa IP Pools‘ a o subnet yazılır. Eğer istenirse bu kısma siz belli bir aralıkta(10.0.1.100-10.0.1.200) yazabilirsiniz. DNS kısımlarıda eğer bir DNS sunucunuz varsa o sunucuya ait IP leri, yoksa Türk Telekom’ un yada Google DNS sunucu adresleri yazılabilir. İşlemler bittikten sonra commit işlemini yapılır.
Artık o Interface üzerinden bağlı bütün client lar ip lerini paloalto üzerinden almış olacaktır.
Şekil 3
Böylelikle paloalto firewall üzerinden DHCP nasıl kurulmuş öğrenmiş olduk. Artık DHCP sunucuna gerek kalmadan sizin yerinize bütün işlemleri paloalto halletmiş oldu.
Paloalto Qos Uygulaması
QOS ( Quality of Service)
Kısaca tanımlamak gerekirse QoS uygulamalarında asıl amaç var olan internet bant genişliğini (bandwidth) en verimli şekilde
kullanılabilmesine imkan sağlamaktır.Başka bir ifade ile bir network bağlantısı üzerinde çalışan bir trafik veya uygulama türüne öncelik veren çeşitli teknikler diyebiliriz.
Bu uygulama hakkında gerekli araştırmalar internet üzerinden yapılabilir. Bu makalenin amacı Paloalto firewall cihazında, QOS yapısının youtube uygulamasında nasıl yapıldığı ile ilgili örnek bir çalışma yapılarak anlatılması olacaktır.
Şekil-1
Yukarıdaki Şekil 1 de paloalto da ki mantalitesi verilmeye çalışılmış. İlk önce profile oluşturulacaktır. Sonrasında ise profile class tanımlaması yapılıp Qos policy de gerekli tanımlamalar yapılacaktır. Bunun için gerekli adımlar takip edilir.
Paloalto firewall cihazında QOS uygulamasının yapabilmesi için ilk önce Network-Qos Profile-Add sekmeleri üzerine gelip Şekil 2 olduğu gibi adımlar takip edilir.
Şekil-2
Profile ekleme işleminden sonra karşımıza gelen görüntüde belirtilen alanlar doldurulur.
Şekil-3
Şimdiki ekranda (Şekil-4) ise oluşturulan profile aktifleştirilir.
Sırası ile Network-Qos-Add sekmelerine tıklayarak tanımlamalara devam edelir.
Şekil-4
Şekil-5
Şekil-5 de verilen açıklamalara dikkat etmeliyiz. Önemli uyarılardır. Burada dikkat edilmesi gereken hususlardan biri de bantwith genişliğini hangi interface de gerçekleştirmemiz gerekiyorsa o interface belirtmemiz gerekmektedir.
Şekil-6
Not: Şekillerdeki açıklamalara dikkat edilmelidir.
Şekil-7
Şekil-7 de ise Qos tanımlamasının son halini görülmektedir.
Şimdi ise artık yapılan tanımlamaları Policies-Qos-Add kısmına gelerek uygulamayı aktif hale getirebiliriz.
Şekil-8
Şekil-9
Yukarıdaki şekilde verilen isim şuana kadar yapılan uygulama sayısını gösteriyor. Siz tabi ki de kendinize göre isim verebilirsiniz.
Şekil-10
Source zone belirttikten sonra source ip yi de bilirtilir.Siz b u r a y a 1 0 . 1 0 . 1 . 0 / 2 4 s u b n e t i b e l i r t e r e k t e yazabilirsiniz.Sadece tek bir ip de kısıtlı kalmak istemesseniz eğer.
Şekil-11
Destination(hedef) zone da belirtilir. Destination Address te yine ip ya ip aralığı belirtebiliriz.
Şekil-12
Application kısmında ise daha önce tanımlanan profile daki özellikler hangi uygulamada kısıtlanacaksa o uygulamayı belirtilmelidir.
Buradan sonra yapılması gereken artık oluşturulan Qos u y g u l a m a s ı n ı n c o m m i t e d i l e r e k ç a l ı ş t ı r ı l m ı ş h a l e getirilmelidir.Sonrasın da ise Browser dan youtube uygulamasını çalıştırıp uygulamanın paloalto cihazındaki oluşumu aşağıdaki gibi izlenilebilir.
Şekil-13
Burada ise Monitor-Session Browser da işaretlenen kısımda belirtilen zone aralığında ve interface de uygulamanın çalıştığı görülmektedir.
Şekil-14
Kırmızı ok ile gösterilen yerde ise yapılan uygulama daha ayrıntılı bir şekilde gösterilmektedir.Uygulamanın daha da ayrıntısını Network-Qos-Statics kısmına gelinerek görülebilir.
Şekil-15
Şekil-16
Şekil-17
Şekil-18
En son şekil de görüldüğü üzere tanımlanmış olan Qos uygulaması istenilen şekilde hazırlanmış ve sağlıklı bir şekilde çalıştığı görülmektedir.