|
|
T.REX Firewall: proxy ile korunma
|
|
|
Ana sayfa
Ürünler
Güvenlik Duvarı
|
|
|
Yazar: Ertan Kurt
|
Yayınlanma tarihi: 25.09.2001 22:00
|
Müşterileri 'açık kaynak kodlu güvenlik duvarı' olarak cezbeden T.REX güvenlik duvarının kaynak kodunun tamamen açık olmasını beklersiniz. Fakat ürünün son sürümünde (sürüm 2) kaynak kodu yok. Güvenlik duvarı çeşitli protokoller için proxy desteği sunan açık ve kapalı kaynak kodlu ürünlerin bir karışımı. T.REX güvenlik duvarı çok geniş özellikler sunsada, bu özelliklerin entegrasyonunun ve yönetiminin zorluğu ürünü sadece yüksek seviyede teknik tecrübesi olan IP departmanlarına uygun kılıyor.
:Fonksiyonlar:
T.REX geniş çaptaki protokoller için (HTTP, FTP, NTP, RealAudio, RTSP) proxy özelliği sağlıyor ve içeri gelen bağlantılar için yük dengeleme yapabiliyor. Bu fonksiyonlar her proxy`yi ayrı ayrı ayarlamanız gerektiğini farkedene kadar kulağa harika geliyor.
T.REX gelen HTTP istekleri için yük dengeleme (load balancing) yapabiliyor, Java, Javascript ve cookie`leri giden HTTP isteklerinden (dahili kullanıcıları korumak için) çıkartabiliyor ve bir liste ile web sitelerini bloklayabiliyor. Ek olarak, gelen mesajları güvenli bir mesaj sunucusuna filtreleyebiliyor ve Telnet ve FTP oturumları için proxy desteği sağlıyor. T.REX`in ayrıca VPN bağlantıları için donanım hızlandırıcı desteği özelliğide var ve arttırılmış güvenlik için çeşitli güvenli donanım token cihazlarını destekliyor.
:Paket filtreleyicinizden farklı:
Çoğu güvenlik duvarı (ticari yada açık kaynak kodlu) güvenlik duvarından geçen trafiği izleyen ve paketleri bir kural setine göre filtreleyen paket filtreleyicidirler. ipfilter (http://www.coombs.anu.edu.au/~avalon/ip-filter.html) ve netfilter/iptables (http://netfilter.samba.org/) gibi gelişmiş paket filtreleyiciler giden trafiği hatırlayıp o trafiğe gelen cevaplara izin vermek için durumsal (stateful) paket filtreleme kullanırlar. T.REX ise her ağ konuşmasının ortasında oturan bir uygulama katmanı ağgeçididir (ALG). istemci direk olarak bir sunucuya bağlanacağına T.REX`e bağlanır ve eğer T.REX bağlantının kabul edilebilir olduğuna karar verirse, istemci adına sunucya bağlanır. T.REX daha sonra istemci ve sunucu arasındaki bağlantının trafiğini geçirir.
Paket filtreleyicilerden (durumsal yada diğerleri) daha güvenli olduğu düşünülsede uygulama katmanı ağgeçitlerinin iki dezavantajı vardır. Birincisi, paket filtreleyicilerden çok daha yavaştırlar. ikincisi, bir ağ protokolünü desteklemede, ALG`nin o protokolü anlaması için yeni yazılım yazılmalıdır. T.REX`in çok sayıda farklı program içermesinin sebebi budur.
:Proxy ile güvenlik:
Ağ-tabanlı güvenlik duvarları (paket filtreleyiciler ve durumsal paket filtreleyiciler) herkesin erişimine açık olan sunucuları tam koruyamazlar. Örneğin, eğer bir güvenlik duvarı web trafiğini izin verecek şekilde ayarlanmış ve Web sunucunuz Microsoft`un IIS web sunucusunun güvenlik açığı içeren bir sürümü ise saldırganlar web sunucuya saldırabilirler. Proxy olduğunda (veya ALG) ise izin verdiği istekler üzerinde bazı kontroller gerçekleştirir ve böylece pek çok saldırı güvenlik duvarına takılır. Bu yolla güvenlik açığından etkilenen web sunucuları dahi korunabilir.
:Kurulumu ve ayarlanması:
T.REX CD`sindeki basit bir shell script`ini çalıştırmak binary dosyaları ve ayar dosyalarını uygun yerlere kuruyor. Script ayrıca sistemde çalışan bazı standart servisleride kaldırarak var olan işletim sistemini güvenli hale getirmeyi deniyor.
Kurulum script`i sistemin nasıl ayarlanacağı konusunda bir kaç talimatla son buluyor. Gerçekte ise T.REX`i ayarlamak için en az 30 işlem yapmak gerekiyor. En az özellikle güvenlik duvarı çalıştırmak için tüm işlemleri tamamalamanız gerekmesede çoğu sistem yöneticisi kullanıcılarına kabul edilebilir destek sağlamak için işlemlerin çoğunu yapacaklardır. T.REX Web sitesi (http://opensourcefirewall.com/) kurulum ve konfigürasyonun detaylı olarak anlatan 400 sayfalık bir manual içeriyor.
T.REX sistemi, sisteme bir BIND (bir dns sunucu) kurulmadıkça çalışmıyor. Ayrıca 15`ten fazla dosyayı edit etmelisiniz, ağ topolojisinden istenilen web uygulaması bloklamanın tipine kadar herşeyi belirlemelisiniz.
Web proxy`yi (Apache) ayarlama Apache`nin httpd.conf dosyasını edit etmeyi gerektiriyor. Diğer içerilen proxy`lerin kendi ayar ortamları var ve bunların birbiriyle nasıl etkileştiği konusunda açık bir talimat yok. Son olarak güvenlik duvarında kullanıcıları ayarlamalısınız (veya güvenlik duvarını, kullanıcıları RADIUS veya LDAP sunucuda bulacak şekilde ayarlayabilirsiniz) ve bu işlemin dokümantasyonu iyi değil. Kurulduğunda proxy`ler hem sunucu üzerinde yerel olarak hemde 'Hoplite' (bir CryptoCard donanım cihazı kullanımı gerektirir) adında java-tabanlı bir program ile yönetilebilirler.
Sonuç olarak, karmaşıklığı sebebiyle, T.REX güvenlik duvarı ALG güvenlik duvarı modelinin içini dışını bilen Unix uzmanları çalıştıran firmalar için uygun. T.REX fiyatları 15 aynı anda yapılan bağlantı için $300 dan başlıyor ve 6 işlemcili sunucu üzerinde sınırsız bağlantı destekleme ile $31500`a kadar çıkıyor.
Ürün web sitesi: http://opensourcefirewall.com/
ref: ZdNet
|
|
|
|
