Burada görüldüğü üzere kırmızı kare içersine aldığım geçerlilik süresi 02.03.2010 10:59 bu tarihten sonra Windows 7 sisteminiz 2 saatte bir kapanmaya başlayacaktır.  “şeytan ayrıntıda gizlidir.” Sözü burada geçerlidir kare içersinde gördüğümüz tarihten sonra kendini 2 saatte bir yeniden başlatacağı için bizde tarih ayarlarını geri alıyoruz bunun için sağ altta Windows 7 saatine tıklıyoruz.

Tarihi geri almamız için “Tarih ve saat ayarlarını değiştir…” seçiyoruz.

Sol resimde görülen” tarih ve saati değiştir” giriş yaptıktan sonra sağda görülen resim gibi saat ve tarih ayarları gelecek buradan sorun yaşamamak için çeşitli internet ve ya MSN servislerinde sadece bir ay geri alın winver  deki tarihten itibaren böylece 1 ay boyunca sorun yaşamayacak ve bunu ayda bir yapmanız yeterli olacaktır. Çok eski bir tarihe alırsanız. Bazı servislerde sorun yaşarsınız gerekli ayarları yaptıktan sonra tamam demeniz yeterli olacaktır.

JoKer

http://www.binaryshield.com

1)      NAS (Network Attached Storage)

2)      SAN (Storage Area Network)

Bu çözümleri sunmakta olan pek çok üretici mevcuttur. (EMC, NetApp, HP, IBM vs.) Bu makalede marka ve modellerden öte temel mimariye değineceğim.

İş ve özel amaçlarda kullanılacak veri boyutlarının artmasıyla, disketlerden CD’lere, DVD’lere,Blu-Ray disklere, flash disklere, taşınabilir Harddisklere kadar geldik ve hatta bunların boyutları da gün geçtikçe artmaktadır. Özellikle iş amacıyla kullanılan verinin yeterince büyük herhangi bir ortamda saklanabilmesi ihtiyacının yanı sıra bu verileri diğer kullanıcılara da paylaştırma gereği ortaya çıktı. Network üzerinde merkezi bir lokasyonda sunucu ve/veya istemciden bağımsız bir şekilde saklanan verilerin paylaşıma açılabilmesi için NAS cihazları kullanılmaktadır.

NAS cihazı aslında LAN’a bağlı yüksek erişim hızında depolama yapabilen bir dosya sunucusudur. Genel kullanım için oluşturulmuş olan işletim sistemi, NAS cihazlarında sadece dosya paylaşımıyla ilgili işlemleri yapabilmek için sadeleştirilmiş, dosya I/O ‘ları (input/output) gerekli protokoller eklenmiş ve bu iş için optimize edilmiştir. . NAS Server olarak da adlandırılan bu cihazlara her ne kadar sonuna “Server”ibaresi ekleniş olsa da yanılıp veri depolayıp paylaşıma açmaktan daha başka özellikler (DNS Server, DHCP Server) kazandırmak mümkün değildir.

Bir NAS cihazı alttaki bileşenlerden oluşur.

• Bir ya da daha fazla network kartı. (Örn: Gigabit Ethernet, Fast Ethernet, ATM vb.)
• Network File Systems (NFS) ya da Common Internet File Systems (CIFS)
• Patentli; Windows, Linux ya da Unix tabanlı işletim sistemi.
• Fiziksel diskleri bağlayıp yönetmek için endüstri standardı protokoller (SATA,SCSI, Fibre Channel)

NAS Dosya Sistemleri : NFS ve CIFS

NAS cihazları çoklu dosya servisi protokollerini desteklemekle birlikte bunların en genel olanları NFS ve CIFS’tir.

NFS; Sun tarafından geliştirilmiş olup Unix tabanlı işletim sistemleri tarafından kullanılır. Bilgisayarlar arası haberleşme için Remote Procedure Call (RPC; Microsoft’un çevirisine göre Uzak Yordam Çağrısı) servisini kullanır. Eğer dosya transferi için TCP/IP protocol yığını kullanılacaksa hem sunucuda hem de istemcide TCP/IP’nin kurulu olması gerekmektedir.

CIFS ise Microsoft ‘un Server Message Block (SMB) protokolünün public yani halka açılmış varyasyonudur. SMB genellikle LAN’lerde kullanılır ve FTP ve HTTP gibi varolan Internet uygulama protokollerinin tamamlayıcısı olarak gösterilebilir.

CIFS protokolü ile Client’lar;

• Local’deki ya da Server üzerindeki dosyalara erişip onlara read/write yapabilir.
• Unicode dosya isimleri kullanılabilir.
• Network hatalarında bağlantı otomatik olarak restore edilebilir.
• Diğer clientlarla özel kilitlerle dosya paylaşabilir.

CIFS ve NFS dosya sistemi protokollerinden bahsetmişken, IP,TCP, FTP network transfer protokollerinin bu resimdeki yerine birlikte bakalım.

OSI referans modeli farklı katmanlar arasında iletişimi sağlamak için ISO tarafından geliştirilmiş bir modeldir.

IP; network katmanındaki bir protokoldür. Paketlerin route edilebilmesi ve adresleme ve kontrol bilgilerini içerir

NAS’ta back-end bağlantısı çoğunlukla Fibre Channel (FC) bağlantısı ile; front-end/client bağlantıları ise genellikle TCP/IP protokol stack’i üzerinden yapılır. Herhangi bir client NAS sistemine erişmek istediğinde dosyayı direkt olarak talep eder. NAS sistemi bu talebi block seviyesindeki erişime dönüştürür ve istenen veriyi storage’dan alarak client’a tam bir dosya olarak verir.

Genel olarak I/O (input/output) işlemi şu sıralama ile ele alınır.

• I/O istekleri; isteği yapan cihaz tarafından TCP/IP içine paketlenir, network’e yönlendirilir, network üzerinden NAS cihazına ulaştırılır.
• NAS; protocol isteğini uygun fiziksel storage  isteğine dönüştürür ve işlemi fiziksel storage pool’una karşı gerçekleştirir.
• Çağırılan data fiziksel storage pool’undan gelir, NAS tarafından işleme alınıp uygun dosya protokolü ile paketlenip yanıt verilir.
• Bu yanıt TCP/IP içine paketlenir ve network üzerinde client’a iletilir.

NAS cihazlarının özelleştirilmiş yapısı sayesinde çoklu protokol yığınları aynı anda desteklenebilmektedir. Bu da farklı client protokolleri ile  (CIFS, NFS) aynı storage’a erişim sağlanmasına izin vermektedir.

Bir NAS cihazı temel olarak aşağıdaki bileşenleri içerir.

• Data movers/filers: Network ile file serverlar arasında data taşımasını sağlamak için gereklidir. Memory, network için portları (Ethernet) storage bağlantısı ile diğer genel server bileşenlerini içerir. Bunun yanında IP networklerinde kendi dosya sistemini desktop clientlara ve application server’lara paylaşıma açık storage aygıtı ve dosya sistemi olarak sunar ve kendi özel işletim sistemini kullanır.
• Yönetim Arabirimi (Management Interface): NAS cihazını yönetmek ve konfigüre etmek için kullanılır.
• Bağlantı (connectivity): NAS cihazının kafası back-end Fibre-channel Host Bus Adapter ‘e (HBA) bağlıdır.
• Depolama (Storage): Yüksek performanslı ve RAID koruması ile high availability  sağlayan Storage’lar Integrated ya da Dedicated olabilir.

Integrated NAS Sistemi:

Bu sistemde back-end storage direk olarak NAS kafasına bağlanmıştır. Buradaki NAS kafası arka tarafta duran storage’a ayrılmıştır ve başka herhangi bir server ile paylaşılmamaktadır. Integrated NAS çözümünün en önemli faydaları arasında kolay yönetim, backup özellikleri ile kritik dataların disk ve tape’lere yedeklenebilmesi, High Availability, düşük maliyet ve ölçeklendirilebilirlik gelmektedir.

Gateway NAS Sistemi

Bu yapıda back-end storage çeşitli apllication servers (uygulama sunucuları) tarafından paylaşılır. Bir NAS kafasına farklı back-end storage’lar bağlanabilmektedir. Bu sayede elinizdeki storage’ı kullabilir, farklı bir site’ta merkez ile asenkron ya da senkron çalışmasını sağlayabilirsiniz. Tabii bu senaryoda Gateway’in elinizdeki storage ile  uyumluluğun denetlenmesi gerekmektedir.

Juniper Networks, Nisan 16 2004 yılında Netscreen’ i 4 Milyar $’ a satın aldı. Juniper Networks önceleri  router lara odaklanmıştı. Netscreen’ i satın alarak güvenlik ürünlerine ait ürün kapsamını genişletmeye başlamış oldu. Juniper Firewall lar piyasadaki pasta diliminde büyük bir pay almış durumda. Piyasada Netscreen ve SSG serisi firewall ları çok duymuşunuzdur. SSG serileri yeni platformlardır ve ScreenOS ‘ un yeni versiyon upgrade lerini destekler. Netscreen serisi, ScreenOS 5.4 platformunu destekler.

Donanımsal Firewall lar ile yazılımsal Firewallar arasındaki en büyük fark, donanımsal cihazlar stabil çalışır ve down olması daha zordur. Yazılımsal Firewallar ise esnek bir yapıya sahiptir ve add-on larla özellikleri artırılabilir fakat down olma oranları, donanımsal ürünlere göre daha yüksektir.

Juniper Networks’ ün önerilen ScreenOS Platformlarını görüyorsunuz. Şu anda SSG için 6.0 platformu öneriliyor. 6.0 ‘ın en güncel sürümü : 6.0.0r6  (R : Release). Release kavramında R5 veya R6 diye kavramlar görürsünüz. Her yeni Release’ de bir önceki sürümün bugları (tümü değil) giderilir ve en son release (Önerilen platform ‘un) kullanılması önemlidir. Platform değiştiğinde ise işletim sistemine ait yenilikler getirilir.  ScreenOS updateleri download için J-Care Core Support for SSG lisansı satın almanız gerekir.

Biz ScreenOS 6.0 Platformda, SSG (Secure Services Gateway) serisini inceleyeceğiz ve bu cihazların özelliklerine değineceğiz.

Benim kullandığım SSG-5 ta, Wireless özelliği var. 1 ISDN Portu, Konsol Portu ve 7  adet port mevcut. Cihazda ek olarak USB portu var. Bu port sayesinde ScreenOS updatleri çakmak mümkün. Cihazın Web ara yüzünden updateler yapılabiliyor fakat downgrade yapılması isteniliyorsa komut koşturulması gerek. Bunun içinde TFTP server kurup, komut koşturuyoruz fakat usb portu sayesinde TFTP server kurmadan downgrade yapılabiliyor. Bunun için ScreenOS upgrade/downgrade in usb memory ye atamanız yeterli. Daha sonra “get file” komutu ile usb deki dosyaları listeleyebiliyoruz ve gerekli komut koşturulduktan upgrade/downgrade işlemi gerçekleştirebiliyoruz.    Bizim asıl odaklanacağımız nokta işletim sistem olan ScreenOS, cihazların donanımsal yapılarına değinmeyeceğim.

Lisanslama :

Content Filtering özelliğini katmak için lisans satın almanız gerekir. Bunları bundle (WF, AV, DI) olarak temin edebilir veya ayrı paketler halinde satın alabilirsiniz.

Web Filtering : Lisansı ile kategori bazlı bloklamalar yapabilirsiniz. Surf Control veya Websense database lerine sorgu atarak bloklama yapar.

Anti-Virus : Bu lisans ile Gateway’ de  paketleri tarattırıp network’ e virüsler ulaşmadan bloklatabilirsiniz.

Anti-Spam: Dns black listlerine sorgu atarak spam kontrolünü sağlar. Free black list ekleyerek spam performansı artırmak mümkündür.

Deep Inspection : Signature bazlı bloklama yapar. Bu lisansı satın aldığınızda signature lar periyodik olarak update olur.

J-Care Core Support for SSG : ScreenOS upgrade leri indirmeniz için gerekli lisanslamadır.

Bir Juniper Firewall, 3 opsiyonda yönetilebilir.

1. Command-Line Interface (CLI) : Komut koşturularak

Her satıcı/üretici kendi işletim sistemini geliştirir ve kendi komutlarını kullanır. Bir çok kullanıcı komut koşturmayı sıkıcı bulur  fakat birçok Network işletim sistemi gibi ScreenOS ta da WebUI üzerinden cihazın tüm fonksiyonlarından yararlanamıyoruz. Bu sebepten dolayı komutlar vazgeçilmez bir hale alıyor.  Cisco ‘nun IOS ‘ u aksine ScreenOS ta tek bir mode bulunur ve yetkiler kullanıcı bazlıdır.

Komut desteği prokolleri :

Telnet ve SSH (v1 ve v2) destekler. Aralarındaki farkları özetlemek gerekirse:

Telnet : Hızlıdır fakat güvenli bir bağlantı olanağı sağlamaz.

SSH (Secure Shell) : Telnet e göre yavaştır fakat güvenli bir bağlantı olanağı sunar. Koşturulan komutlar bir sertifika yardımı ile encrypt edilir.

ScreenOS Temel Komutlar :

Get : Genelde bilgi amaçlı kullanılır ve durum ve değer bilgilerini verir. (Routing Table, Interface durumu, policy ler gibi) Örnek : IOS taki “Show” komutu

“?”  işareti ile kullanılabilecek komutlar listelenir. Tab tuşu da komutu tamamlar.

Ethernet 0/0 için bilgiler.

Set/Unset : Set komutu, firewall üzerinde konfigürasyon için kullandığımız komuttur. Unset ile konfigürasyon kaldırılır

Save: Komut koşturduktan sonra eğer save edilmez ise cihaz reboot olduğunda eski konfigürasyon geçerli olur. Save edilerek konfigürasyon flash memory sine yazılır. Save in diğer sağladığı bir opsiyon ise, konfigürasyonu TFTP server yardımı ile .txt dosyasına yazılabilir olmasıdır.

Clear : Genelde troubleshooting lerde kullanılır.  Logları temizlendikten sonra troubleshooting yapılır

Exec: Root admin lerin koşturabileceği bir komuttur. Genelde periyodik updatelerin, manüel olarak tetiklenmesinde kullanılır. Çok sık kullanılan bir komut değildir.

Delete : Genelde flash te bulunan bilgileri silmekte kullanılır.

2. Web User Interface (WebUI) :

Grafik web ara yüzüdür.  HTTP ve HTTPS protokollerinin Destekler.

3. Netscreen Security Manager (NSM) :

Birden fazla cihazı yönetmek için (Firewall, IDP vs )yazılmış bir programdır.Tüm cihazları merkezi bir yerden yönetebilir ve raporlar alabilirsiniz. Lisans, cihaz başına satın alınır. Tüm Juniper Firewall cihazlarının  aktivitesini takip etmek için kullanışlı bir çözümdür.

Kurulum :

Cihaz’ı ilk kez kurulum yapılacağı zaman bir wizard ile karşılaşırsınız. Varsayılanda ethernet 0/0 Untrust zone,  ethernet 0/1 DMZ ve ethernet 0/2-0/6 trust zone dadır. 192.168.1.1/24 ip bloğunda ve Kullanıcı adı ve şifre :netscreen olarak gelir.   İlk opsiyonu seçerseniz bir wizard ile karşılaşırsınız. Biz wizard ile kurulum yapmayacağız ve wizard ı skip ediyoruz.

Logon olduktan sonra karşınıza welcome screen çıkar. Buradan Interface list e gelip, trust interface e ip atayacağız.

Interface list ekranı. ethernet  0/2 – 0/6 aralığı Trust Zone a atandığını görüyorsunuz. Trust Zone bizim, LAN temsil eder. Edit leyip interface te ip değişikliği yapacağız.

Ip adresini 192.168.1.253/24 bloğu olarak değiştiriyorum. Burada Manage IP seçeneğini görürsünüz. Interface a atanan ip ile management için atacağımız ip farklı olabilir. Management Services ta, hangi opsiyonlar ile yöneteceğimizi seçeriz. Ben SSL, Web UI, SSH ve ping özelliklerini açtım.

Daha sonra default password ü değiştiriyorum.

Permitted IP adresleri güvenlik ayarlarını yani hangi ip adresinin management yapacağını belirleriz.

Benim network’ ümde DHCP Server olduğu için, Juniper ‘ın DHCP özelliğini kapatıyorum. Juniper üzerinde DHCP server auto-probe mode olarak konfigüre edildi ise  ve ortamda bir DHCP server mevcut ise, cihaz ip dağıtmaz. Auto-Probe mode da, cihaz ilk önce dhcp discover paketi yollar ve eğer ortamdaki bir dhcp server var ise pakete yanıt gelir ve ip dağıtmaz. Eğer Discover paketine yanıt gelmez ise,  DHCP server aktif olur.  Not: Eğer ortamda bir DHCP server var ise loglara,  DHCP server set to OFF on bgroup0 (another server found on 192.168.1.1)  düşer.

Cihazın saat ayarları yaptığımız bölümdür. Sync Clock With Client diyoruz ve cihazı client ile senkronize ediyoruz. Daha sonra bir NTP server ile periyodik olarak senkronize edilmesi önerilir.

Cihazın Dns ayarları olarak Turk Telekom ‘un dns server larını yazdım. Eğer dns ayarları ve saat ayarları yapılmaz ise cihazı register ederken problem yaşarsınız. Host Name kısmında, cihaza isim verdim bu sizin belirleyebileceğiniz her hangi bir isim olabilir.

Alınan cihazın register edilmesi gerekir. Register edilmeyen bir cihaz, Content filtering için trial key leri update edemez. Ayrıca lisans satın alınması isteniliyorsa mutlaka cihaz register edilmiş olmalıdır. Bir diğer dev avantaj, register edilmeyen bir cihaz için Juniper dan destek alamazsınız.

http://www.juniper.net/customers/support/ Buradan yeni bir kullanıcı oluşturup cihazın seri numarası ile register ediyoruz.

Daha sonra Trial key leri ve lisans satın aldı iseniz, keyler düşecektir.

Sırada Bridge Mode a aldığımız ve Ethernet 0/0 da olan Adsl Modem’ in PPPoE ayarlarında var. PPPoE Instance kısımına bir isim veriyoruz daha sonra ISP den alınan kullanıcı adı ve şifreyi girdikten sonra ok ile tamamlayıp profil i oluşturmuş oluyoruz. Daha sonra untrust interface üzerinde “ Obtain Using IP over PPPoE” den, oluşturduğumuz profili seçiyoruz ScreenOS, 4 adete kadar multi-gateway destekler. Yani 4 adet WAN hattını çalıştırabilirsiniz. ECMP ile load balance yapılabilir ve routing kuralları oluşturularak trafik kontrol edilebilir. Örnek:  Source Based Routing ile, 192.168.1.11/32 Ethernet 0/0 dan çıksın veya PBR ile Smtp trafiği Ethernet 0/1 den çıksın gibi kurallar yazabilirsiniz.

PPPoE Bağlantısının başarılı olduğunu görüyorsunuz.

Genelde çoğu firewall ilk kurulumda deny kuralı içerir bu kural ScreenOS için de geçerlidir fakat SOHO modellerinde varsayılanda permit kuralı vardır ve internete çıkılmak için extra bir kural yazmak gerekmez. Bu kuralı edit leyerek modifiye edebilirsiniz. SSG-5/20  cihazlar 200 adet policy destekler. Policy lerde deny logları göremezsiniz. Bunun içinde yazılan permit kuralının altına aynı kuraldan bir deny kuralı yazılır ve buraya deny olan istekler düşer. Spesifik bir deny kuralı istenmiyorsa en alta any any deny kuralı yazmanız yeterli olacaktır.

Burada cihaz üzerindeki Routing Table u görüyorsunuz. Buradaki  table interface lerden update olur ve silinmez fakat ancak interface üzerinden ip kaldırlırsa güncellenir. Bu routing table a yeni routing kuralları yazabiliyoruz.  SSG-5/20 3 adet Virtual gRouter destekler. VR ile sanal router lar oluşturuz. ScreenOS, BGP, OSPF ve RIP routing protokollerini destekler ayrıca gelişmiş routing özelliklerine sahiptir.

Cihazın varsayılan port ayarlarını yaptığımız yerdir. Http den gelen istekleri, Https e gönderebilir veya yapınıza göre varsayılan portları değiştirebilirsiniz.