IPFire Giriş ve Kurulum

1 GİRİŞ VE KURULUM

1.1 IPFire Nedir?

IPFire bir güvenlik duvarıdır.

IPFire her zaman hazır özel bir Linux dağıtımı ile yapılandırılmış eksiksiz bir güvenlik duvarıdır. Ayrıca GNU Genel Kamu Lisansı altında dağıtılmaktadır. Bu nedenle IPFire sistemini kendi ihtiyaçlarınıza göre yeniden derleyebilir ve düzenleyebilirsiniz.

1.2 Amaç

IPFire modüler bir şekilde güvenliği üst seviyede tutarak tasarlanmıştır. IPFire sistemini bir güvenlik duvarı, vekil sunucusu veya bir vpn ağ geçidi olarak kullanabilirsiniz. IPFire modüler ve esnek olmasından dolayı birçok eklenti mevcut mimarisi içine rahatlıkla eklenebilir. IPFire sisteminin kolay kullanımı önemli bir etkendir.

1.3 Kısmi Özellik Listesi

1.3.1 Güvenlik

IPFire sisteminin temel amacı güvenliktir. IPFire güvenli bir ağ temelini oluşturmaktadır. Kendi güvenlik kurallarınıza göre farklı güvenlik düzeylerini rahatlıkla tanımlayabilirsiniz. IPFire genellikle doğrudan Internet’e bağlı olduğundan, korsanlara ve diğer tehditlere karşı bir öncelikli hedef olacaktır. Bu yüzden IPFire içerisinde kullanılan “Pakfire” paket yöneticisi ile birçok eklentiyi sisteminize kurup bu tehditlerden kurutlabilirsiniz.

1.3.2 Güvenlik Duvarı

IPFire “netfilter” üzerine inşa edilmiş “Duruma Göre Paket Kontrolü (SPI)” güvenlik duvarını kullanır.

IPFire kurulum sırasında farklı olarak ayrı bölümlere ayrılabilir ağ sistemi kullanılarak yapılandırılabilir. Bu farklı makineler için farklı ağ tanımlanabileceği anlamına gelmektiedir. Farklı ayırmaları ihtiyacınıza göre istediğiniz gibi düzenleyebilirsiniz. Her kesim için ortak veya farklı bir güvenlik duvarı belirleyebilirsiniz.

YEŞİL güvenli bir alanı temsil eder. Bu alan tüm istemcilerin düzenli bir şekilde bulunacağı yerdir. Genellikle kablolu yerel ağdan oluşur. Yeşil istemciler herhangi bir kısıtlama olmaksızın diğer tüm ağlara erişebilir.

KIRMIZI tehlike ya da internet bağlantısını gösterir. Kırmızı özellikle yönetici tarafından yapılandırılmadığı sürece güvenlik duvarı üzerinden geçmesine izin verilir.

MAVİ yerel ağdaki kablosuz ağı temsil etmektedir. Kablosuz ağ kolayca suistimal edileceğinden dolayı benzersiz kurallar ile istemcilerin yönetimine izin verilebilir.

TURUNCU arındırılmış bölge (DMZ) olarak adlandırılır. Kamuya açık olan herhangi bir sunucuyu turuncu altına alarak güvenliği farklı seviyeye taşımaya yaramaktadır. Örneğin bir e-posta sunucusu veya bir dosya sunucusu turuncu altında bulunabilir.

Ayrıca güvenlik duvarı ile her kesimden giden internet erişimini kontrol etmek için kullanılabilir. Bu özellik ile yapılandırdığınız ağdaki güvenliği yöneticilerin tam kontrol etmesini sağlayacaktır.

1.3.3 Pakfire (IPFire Paket Yönetim Sistemi)

IPFire “Pakfire” adlı paket yöneticisi ile birlikte gelen güçlendirilmiş bir güvenlik duvarı sistemidir. Pakfire paket yöneticisinin temel amacı tek tıklama ile sistemin güncellenmesini sağlamaktır. Bu IPFire için çıkan güvenlik yamalarının hızlı bir şekilde sisteme dâhil edilmesini sağlar.

Pakfire paket yöneticisinin diğer önemli bir görevi ise IPFire sistemine yeni işlevsellikler katan ek paketlerin yüklenmesini sağlamaktır. Bunlardan bazıları

  • Samba ve vsftpd gibi dosya paylaşım servisleri
  • Asterix kullanarak iletişim sunucusu
  • Tcpdump, nmap, tracerrpute ve daha birçok çeşitli komut satırı araçları

Bir yapı sistemi olarak pakfire:

IPFire yeni sürümlerinde Pakfire paket yöneticisi sisteminin yeni nesil sürümünü çıkartacaktır. Bu yeni nesil ile daha hızlı, daha güvenli ve verileri daha kolay işlemek için Pakfire sistemine yeni özellikler birçok ekler katılacaktır.

Bu özelliklerden biri de Pakfire paket yöneticisinin inşa sisteminin olmasıdır. Pakfire ile artık IPFire sistemi hızlıca özelleştirilebilecektir.

Pakfire ile hızlıca kurulabilen ekler sürekli artmaktadır. Pakfire için oluşturulan bu ekler için “https://pakfire.ipfire.org/” adresini ziyaret edebilirsiniz.

1.3.4 Güncellemeler

IPFire en iyi açık kaynak çekirdeği olan Linux sistemine dayanmaktadır. IPFire ayrıca Knoppix, Debian gibi başka bir dağıtıma dayalı değildir. Her bir paket kaynağından derlenerek oluşturulmuştur. Bu işlem geliştiricilere çok vakit kaybettirmesine rağmen başka Linux sürümlerinin güncellenmesinin beklenmeyeceği anlamına gelmektedir. Bu özellik ile hızlıca güncellenmesi gereken bir açık veya sorun karşısında hızlıca cevap almayı sağlar. Bu durum IPFire sistemini güçlü ve güçlendirilmiş bir sistem yapar.

IPFire oluşturucuları ortalama dört haftada bir yeni güncellemeler çıkartmaya çalışmaktadır. Bu size yeni donanımları hızlıca tanıtma ve açıkları kapatma fırsatı vermektedir.

Tüm güncelleştirmeler paket sistemi yönetimi tarafından kurulabilir ve kullanıcılara bir e-posta ile bildirilir. Yani her güncelleme basit bir tıklama ile oluşturulmaktadır ve sisteminiz daha güvenli bir şekilde çalışmaktadır.

1.3.5 Çevirmeli Bağlantı

İnternet ağ geçidi olarak IPFire internet’e bağlanmak için çeşitli teknikler ile çevirmeli bağlantı yapabilir.

IPFire mobil erişim, geniş bant erişim gibi tüm popüler türleri desteklemektedir.

VDSL: Vdsl çok yüksek hızlı sayısal abone hattıdır. Şu anda 10-100 Mbit/s arasında veri akışı sunmaktadır. Vdsl IPTV gibi yeni teknolojileri kullanma imkânı sunmaktadır. IPFire klasik bir yönlendirici ile ev ağınıza IPTV akışını tam teşekkülü bir sistem ile değiştirebilir.

ADSL/SDSL: Teknik olarak PPPoE ve PPPoA olark kullanılan klasik DSL bağlantısıda desteklenmektidir. PPTP hala birçok ülkede kullanılmaktadır ve bu IPFire tarafından desteklenmektedir.

Ethernet: Ethernet üzerinden IPFire bir internete bağlanıp DHCP veya statik yapılandırma ile bir IP adresi alabilmektedir.

  1. Nesil: Ayrıca isimleri UMTS, 3G, CDMA, HSDPA veya LTE tarafından bilinen USB modemler, üzerinde mobil geniş bant bağlantıları da IPFire tarafından desteklenmektedir.

1.3.6 Web Vekil Sunucusu

IPFire tanınmış açık kaynak kodlu bir yazılım olan “Squid” ile web vekil sunucusunu kullanmaktadır. Squid ISS’ler, üniversite, okul, büyük şirketler tarafından kullanılan istikrarlı ve olgun bir araçtır. Hatta küçük ev ağları için de yararlı bir özelliktir. TCP/IP katmanında güvenlik duvarı tarafından filtre durum bilgisi olan paketleri inceleme, HTTP, HTTPS veya FTP üzerinden iletilen web içeriğini analiz edip filtreleyebilir.

İçerik Filtreleme

URL filtre, “SquidGuard” vekil sunucu yönlendirmesi mekanizmasına bağlı olarak çalışan bir eklentidir. “SquidGuard” sisteminin merkezinde çalışan bir “kara liste” bulunmaktadır. Kara liste bir içerik denetim listesidir. Bu listeler kategorilerle sınıflandırılmış ve otomatik olarak güncellenmesi yapılabilmektedir.

Özellikle IPFire internet ara yüzünden kara ve beyaz listeler oluşturulup uzantılara göre yasaklama ve izin vermeler yapılabilir. Ayrıca kendi kara listenizi oluşturabileceğiniz bir düzenleme aracıda bulunmaktadır.

IPFire üzerinde SquidGuard için uygulama çalışma alanları şunlardır:

  • Zamana bağlı olarak kullanıcı veya bilgisayarları koşullu internet için kısıtlama
  • Bazı sayfa veya içerikleri kategorilerine göre engelleme
  • Reklam gizleme

Güncelleme Hızlandırıcı

Güncelleme Hızlandırıcı büyük ölçüde işletim sistemleri için dağıtılan güncellemeleri hızlandıran bir özelliktir. İndirilen tüm güncellemeler önbelleğe alınır ve başka bir zaman talep edilmesi halinde önbellekten talep edene teslim edilir.

Örneğin; Microsoft Windows için olan güncellemeler (genellikle birkaç yüz megabayt olan) veya bir virüs tarayıcı için olan güncellemeler vardır. Bilgisayarların çok sayıda olduğu (örneğin şirket ağları gibi) durumlarda bu tarzdaki güncellemeler büyük miktarlarda internetin kullanılmasını gerektirmektedir. İşte bu durumda güncelleme hızlandırıcı devreye girerek internetin gereksiz kullanımını azaltacaktır.

Şeffaf Virüs Tarayıcı

Paket yöneticisi Pakfire ile eklenti olarak kurulabilen “SquidClamAV” web vekil sunucusu için bir virüs tarayıcısıdır. Gerçek zamanlı tüm tarfiği kontrol eder. İstemcilerin bir dosyayı indirmeden önce virüs taramasından geçirip zararlı yazılımların indirilmesini engeller.

1.3.7 VPN (Sanal Özel Ağ)

IPFire sisteminde sanal özel ağlar oluşturmak (VPN) için farklı işlevsellikler bulunmaktadır. VPN şifreli bir bağlantı kullanarak yerel bir makineden uzak ağlara bağlanan bir kapıdır. VPN için kullanılan şube veya veri merkezleri istenen bir ağa güvenli bir bağlantı noktası oluştururlar.

IPFire ile VPN yapılandırılırken yöneticilere en fazla esnekliği veren IPsec ve OpenVPN kuralları kullanılır.

IPsec

IPsec IPv6 ile birlikte kullanmak üzere geliştirilen, dağıtılan ve yaygın olarak kullanılan bir VPN çözümüdür. IPsec çok güvenli olmasından dolayı ayrıca IPv4 içinde güvenliği sağlamak için oluşturulmuştur.

SSl-VPN’in aksine IPsec için kurulum ve yapılandırma zordur. IPfire ile zor olan bu durum web ara yüzü üzerinden birkaç tıklamayla halledilebilir.

OpenVPN

OpenVPN açık kaynaklı SSL VPN sınıfının sık karşılaşılan en popüler temsilcisidir. Yapılandırılması IPFire web ara yüzü ile çok kolay bir hale getirilmiştir. Güvenlik duvarı ayarları IPFire tarafından kontrol edilir. OpenVPN için gerekli belgeler birkaç fare tıklaması ile rahatlıkla doldurulup çok karışık istemci paketleri indirilip dağıtılabilir.

Microsoft Windows, Mac OSX, Linux, Android ve daha birçok işletim sistemi ile her türlü yüksek uyumluluğundan dolayı RoadWarrior bağlantıları için mükemmel yararlıdır. Bir diz üstü bilgisayar, telefon veya tablet ile dünyanın her yerinden şirket ağınıza veya aygıtlarınıza bağlanmak oldukça kolaydır.

Taşınabilir cihazlarla bağlanmanın yanında OpenVPN ile güvenli merkezlere bağlantı içinde kullanılabilir. Bu sayede yerel ağ üzerindeki bir istemciden herhangi bir karmaşık yapılandırma olmadan uzaktaki diğer şebekelerin kaynaklarına erişim için kullanılabilir.

1.3.8 Saldırı Tespit Sistemi

Saldırı Tepit Sistemi (STS) bilgisayar sistemleri ve ağlarına karşı saldırıları tespit etmek için tasarlanmıştır. Saldırı tespit sistemi ağ trafiği saldırılarını önlemek için tarama analizi yapar. Birisi IPFire sisteminin bağlantı noktalarını tararsa saldırı tespit sistemi bunu hemen fark edecektir.

Bir Saldırı Önleme Sistemi (SÖS) algılama sistemine ek olarak eylemler gerçekleştirir. Saldırı Önleme Sistemine Saldırı Tespit Sisteminden gelen bilgiler alınıp ona göre tepki verebilir. Bunun anlamı sistem otomatik olarak yapılan saldırıları engelleyecektir.

IPfire sisteminde STS ve SÖS kullanmak mümkündür. Saldırı tesbit ve önleme sisteminin çok önemli bir yardımcısı olan “Snort” kullanılmaktadır. Snort ağ tarfiğini analiz eder ve anormal bir şey olursa bu olayı günlüğe kaydeder. IPFire web ara yüzü bu olayı görme imâkanı vermektedir.

Otomatik önleme için bir eklenti olarak kullanılan “Guardian” IPFire sistemine kurulabilir.

1.3.9 Hizmet Kalitesi

Hizmet Kalitesi (QoS) bir internet bağlantısı üzerinden bir hizmet kalitesinin tasarrufunun yapılmasına imkân verir. Bu internet bağlantısını kullanan bir hizmetin (örneğin VoIP) bağlantı kaybı olmadan bilgi aktarımını istikrarlı bir şekilde aktarılmasını sağlar.

Hizmet kalitesi gerçek zamanlı hizmetlerin işlevselliğini artırmakla birlikte aynı zamanda genel bir iyleşmede sunar. Örneğin:

  • Bağlantılar çok daha hızlı sağlanır. Bu yoğun bağlantıların daha iyi çalışmasını sağlar.
  • Bağlantılar çok daha istikrarlıdır.

Paketlerin sınıflandırılması için Seviye-7 filtre kullanılır. Hizmet kalitesi internet bağlantısı gecikmelerini ve paket kaybını azaltır.

1.3.10 Donanım

IPFire Linux çekirdeğinin son sürümüne dayalı olduğundan 10 Gbit ağ kartlarını ve harici kablosuz donanımlarının çoğunu sorunsuz bir şekilde desteklemektedir.

IPFire sisteminin en az sistem gereksinimi, Intel Pentium 1 (i586) işlemci, 128 Mb ram ve 2 Gb sabit disk alanı yeterlidir.

Bazı eklentileri sorunsuz bir şekilde kurup kullanabilmek için ek gereksinimlere ihtiyaç duyulur. Donanım ihtiyaçlarına uygun bir sistemde IPFire aynı anda yüzlerce müşterilerine hizmet edebilir.

Dikkat: IPFire projesi her zaman çevreyi koruyan sistemlerle ilgilenmektedir. ARM mimarisi çok daha az güç tüketir ve kesinlikle IPFire için önemli bir yeri vardır.

1.3.11 Kablosuz Erişim Noktası

IPFire kablosuz istemcilerin birleştirilmesi için çeşitli seçenekler sunar. İlk olarak bir erişim noktası bir ethernet kartı ile bağlanabilir. IPFire ile istenirse sadece yetkili istemcilere IP ve MAC adresi ile kablosuz ağ dağıtılabilir. İkinci olarak IPFire makinede kablosuz erişim özelliklerini üzerine alacak bir kart takıp bunu “hostapd” eklentisi ile yönetmektir. Bu eklenti hem şifresiz hem de WPA/WPA2 şifreli özelliğini desteklemektedir. Kablosuz kart destekliyorsa 5 GHz (802.11 a standardı) kullanımı mümkündür.

IPFire sisteminin kablosuz kart desteği geniş kapsamlıdır. Güncel Linux çekirdeği kullanıldığı için önemli miktarda kartalar desteklenmektedir.

Bir Cevap Yazın