From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Mon 18 Jun 2001 - 17:49:53 EEST
Selamlar..
Bu durum icin en iyi yontem, BAD+DMZ+Client aglarini ayiran bir
firewall olusturmaktir. Atlamadan soyleyelim. Her yerde "Firewall
aginizi saldirilardan korur" diye yazariz. Biraz insanlari etkilemek
icin. Ama firewall'in asil gorevi, aglari birbirinden yalitmaktir.
Yani, aglar arasinda gumruk gibi bir duvar olusturarak sadece gecis
vizesine sahip paketlerin diger aga gecmesini saglar. Bu durumda
elbette bir hayli guvenlik saglanmis olur.
Saldirilari demeyelim. wu-ftp'nin eski surumunu kullanan bir makinedeki
ftp servere, ulasilmasini engelleme imkaniniz olmaz. Bunu engellerseniz
ftp servere erisimde kaybolur. Hacker'lerde buradaki exploitlerden
kolayca sizabilirler. Fakat ornegin Linux web serverdeki telnet
servisine disaridan ulasilmasini engellersiniz.
Yapmaniz gereken serverleri ayri bir aga almak. Clientleri ayri bir aga
almak. Bunu LAYER 1 uzerinden yapmalisiniz, yani ag fiziksel olarak
ayrik olmali. Farkli HUB'u, ethernet karti vs. Ardindan web server icin
bir transparent - accelerator proxy dusunurseniz, cok iyi olur. Sonra
elde edeceginiz yapilanmaya gore ipchains, daha iyisi iptables
kullanarak soylediklerinizi yapabilirsiniz. Her makineye IP vermek, o
makineleri bir server durumuna getirmekle esanlamlidir. En iyisi
clientlere private IP ler verip, onlari NAT veya Masqueradingle nete
tasiyin.
Bu asamaya gelince, adim adim size yardimci olabiliriz.
Saygi ve sevgiler..
--- Özgür Özaslan <ozaslan@itu.edu.tr> wrote:
>
> Merhabalar,
> e-posta sunucu, www sunucu ve 200 kadar bilgisayar olan bir ağda
> gateway
> olarak kullanılan makinaya firewall kurmam ve bütün sunucu ve
> istemcilerde
> clientlerde ) default gateway olarak bu firewall olarak kurulu
> makinayı
> göstermem yerel ağımdaki tüm sunucu ve istemcilere dışarıdan gelecek
> saldırıları engeller mi? Firewall'ın esas mantığı bu mu? Herhangi
> biri
> dışarıdan benim etki alanımdaki bir makinaya o makinada tanımlanan
> default
> gateway üzereinden mi bağlanır? Gateway makinada Ip masquerading
> kullanmam
> gerekli mi güvenlik için... ( IP sıkıntısı olmayan bir yerel ağdayım
> internete çıkan her makinaya ip verebilmekteyim. )
> Şimdiden teşekkürler...
>
__________________________________________________
Do You Yahoo!?
Spot the hottest trends in music, movies, and more.
http://buzz.yahoo.com/
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------