Özellikle yeni çıkan Bilişim suçları [...]]]> Web Proxy, Mikrotik‘in işlevsel özelliklerinden biridir. Reverse Proxy olarak kullanılabilir olması, firewall üzerinden Transparan olarak çalışarak kullanıcılara herhangi bir işlem gerektirmeden trafikleri yönetmesi ve oldukça rahat yönetilebilen içerik filtreleme özellikleri sayesinde ofis ve internet cafelerin kullanımında ciddi rahatlıklar sağlayabilir. Hatta bu konuda Web Server Load Balancing gibi işlemleride aynı uygulamadan yapabilmektesiniz.

Özellikle yeni çıkan Bilişim suçları ile mücadele konusundaki yürütmeliklerde toplu internet kullanımı sağlayan(ücretli ücretsiz) (örnek olarak: şirketinizin ofisi, internet cafeler, wireless erişim veren cafeler, hoteller ve benzeri noktalar) firmaların tüm kullanıcılarının erişimlerini kaydetmesi yasal olarak zorunluluk olduğundan bu sistem sayesinde çok cüzzi ücretlere bu özelliği Mikrotik sayesinde kullanabilirsiniz.

Profesyonel Log ve kayıt sistemi konusunda diğer makalelerimizi inceleyebilirsiniz. Bu dökümanda sadece Web Proxy konusunda bilgi vereceğiz.

Öncelikle default bir konfigurasyon yapacağız. Bu örneğimizde basit bir ofis networküne sahip olduğumuzu ve mikrotik‘in bu networkün önünde erişim ve filtreleme sağladığını varsayıyoruz.

Network Genel Gorunum

Öncelikle Web Proxy ayarlarımızı aktif hale getiriyor ve ofis networkümüze erişime izin veriyoruz. Ofis networkümüzün 192.168.1.0/24 networkü olduğunu varsayıyoruz.

Mikrotik Web Proxy

Web Proxy ekranında proxy default olarak kapalı geldiğinden proxy ayarlarımızı enable ederek aktif hale getiriyoruz.

Mikrotik Web Proxy

Mikrotik Web Proxy default olarak tcp 8080 portunda çalışmaktadır. Sonrasında ofis networkümüz için tüm networkten gelecek erişimlere izin veriyoruz.

Mikrotik Web Proxy

Şuanda Web Proxy default ayarları ile ofisimizden gelecek taleplere izin verecektir.

Şimdi sırada tüm kullanıcılarımızın yapacağı web taleplerini Web Proxy üzerine yönlendirmekte. Bunun için Firewall‘ı üzerindeki NAT özelliklerimizi kullanacağız.

Web Proxy için NAT ayarları

Yeni bir nat kuralı ekleyeceğiz. Chain olarak dstnat seçiyoruz. Bunun amacı DESTINATION için bir kural uygulayacak olmamızdır. Yani ofis networkümüz kaynağından internet destination’una gidecek TCP protokolündeki 80. porta gelecek taleplerin tamamına uygulanacaktır.

Web Proxy için NAT ayarları

Aynı ekran üzerinde ACTION kısmında REDIRECT seçiyoruz, bu işlem gelen tüm paketleri Mikrotik Firewall üzerinde bir başka port’a redirect etmemizi sağlamaktadır. Bu sayede kullanıcılarımızda herhangi bir değişikliğe gerek olmaksızın ofisimizden gelecek tüm talepler az önce ayarlarını yaptığımız Proxy sistemimize yönlenecektir.

Web Proxy Connections Ekranı

Bu işlemlerden sonra Web Proxy’miz çalışmaya başlayacaktır. Hatta bu konuda işlemleri Web Proxy penceresindeki Connections ekranından inceleyebilirsiniz. Burada lokal network ve diğer erişimler konusunda detaylı bilgiler vermektedir.

Şimdi öncelikle bazı web sitelerini nasıl yasaklayacağımızı görelim.

Web Proxy -> Access ekranı bu işlemleri yapacağımız alanımızdır. Aşağıdaki örnekte www.google.com adresini yasaklamak için gerekli kuralı görebilirsiniz.

İçerik Filtreleme

Örnek olması açısından kullanıcılarımızın MP3 dosya indirememesi içinde bir örnek ekleyebiliriz. Bu konuda *.mp3 *.avi *.exe *.rar gibi benzeri uzantıları yasaklamanızda mümkündür.

İçerik Filtreleme

Filtreleme alanında Regular Exp. kullanabilmktesiniz. Örnek olarak alan adında SEX kelimesi geçen siteleri bloklamak isterseniz bu durumda dst-host kısmında :sex yazmanız durumunda adresleri www.sexshop.com www.canlisex.com gibi siteleride engellemiş olursunuz.

Web proxy ayarlarımızı tamamladık. Tüm kullanıcılarımızı proxy üzerine yönlendirdik ve bazı siteleri engellemeyi başardık. Şimdi bu işlemler olurken oluşan erişimleri kaydetmeye geliyor sıra.

Bu noktada Mikrotik‘in logging özelliğini kullanacağız.

Bildiğiniz üzere LOG ekranı mikrotik üzerindeki işlemlerin kayıtlarını görmemizi sağlayan bir bölümdür. Birde SYSTEM-> LOGGING ekranımız bulunmaktadır. Bu ekrandan hangi işlemleri hangi kriterlerle ve nereye kaydetmek istediğinizi yönetebilirsiniz.

Mikrotik Logging

LOGGING yani log ayarları sayfamız konusunda farklı bir makale üzerinde daha detaylı bilgi sunacağız. Şimdilik kısaca üzerinden geçeceğiz. Ekranda RULES ve ACTIONS sekmeleri görülüyor. RULES log tutmak istediğiniz kural ve kriterleri seçmenize, ACTIONS ise tutulacak logların nerelere ve hangi şartlarda kaydedileceğini belirlememiz içindir.

Mikrotik Logging

Öncelikle yeni bir Log kuralı yaratıyoruz. Topics mikrotik üzerindeki hangi olaylarda hangi uygulamalarla ilgili kayıt tutabileceğimize ilişkin bir seçenek sunar. Biz burada Web-Proxy uygulaması ile ilgili kayıt tutacağımızı ve kayıtların standart MEMORY kayıtlarında durmasını seçiyoruz.

Ardından LOG ekranına baktığımızda, kullanıcılarımızın gezdikleri siteler ile ilgili proxy tarafından tutulan kayıtları görebilirsiniz.

Mikrotik Logging

Unutmayalım; bu dökümanda anlatılan kayıt sistemi çok uzun bir geçmiş değil 50-100 satır gibi bir işlemi kayıtlarında tutmaktadır. Daha uzun süreli kayıt tutmak için REMOTE yani harici bir bilgisayar üzerinde çalışabilecek bir kayıt sunucusu ayarlayarak 3-5 yıllık geçmişe kadar tüm kayıtlarımızı saklamamız mümkündür. Bu konuda Kayıt sistemi ile ilgili diğer makalelerimizi inceleyebilirsiniz.

Firewall cihazımız üzerinden geçen tüm paketleri izleyerek bu paketlere vereceğimiz parametrelere göre işlem yapmak üzere kurgulanmış bir uygulamadır.

Bu uygulama tüm işlemlerini 3 ana tablo altında toplamaktadır.

INPUT: Yani sadece router’ımıza giren paketler. OUTPUT: Yani sadece router’ımızdan dışarı çıkan paketler. FORWARD: Router’ımız üzerinden geçerek bir başka ip adresine giden paketler.(routing-nat)

Mikrotik RouterOS Firewall Nedir?

Firewall cihazımız üzerinden geçen tüm paketleri izleyerek bu paketlere vereceğimiz parametrelere göre işlem yapmak üzere kurgulanmış bir uygulamadır.

Bu uygulama tüm işlemlerini 3 ana tablo altında toplamaktadır.

INPUT: Yani sadece router’ımıza giren paketler.
OUTPUT: Yani sadece router’ımızdan dışarı çıkan paketler.
FORWARD: Router’ımız üzerinden geçerek bir başka ip adresine giden paketler.(routing-nat)

Mikrotik Linux tabanlı bir sistem olduğundan Linux Kerneli üzerindeki IPTABLES sistemi ile birebir aynı mantığa sahiptir. Fakat kullanım açısından ciddi kolaylıklar sağlayarak çok daha rahat yönetim imkanı sunmaktadır.

Winbox Uzerinde Firewall Ekrani

Firewall özellikleri ile pek çok parametre sayesinde bize 120 den fazla seçenek ile filtreleme ve uygulama yapmamıza olanak tanır.

Firewall Yeni Kural

Firewall Yeni Kural

Firewall Yeni Kural

Firewall Yeni Kural

Son sürümlerde geliştirilen bu özelliği sayesinde pek çok işlemde SCRIPT yazarak algılama ve tespit konularında da beceriler eklenen Mikrotik Firewall ofis networklerinizde ciddi oranda kolaylıklar sağlamaktadır.

Firewall Planlama

Planlama konusunda 2 tip mantık üzerinden hareket edebiliriz.

• İlk tip: Herşeyi kapatarak sadece ihtiyacımız olan portlara izin vererek.
• İkinci tip: Herşeyi açık bırakarak, sadece engellemek istediğimiz portları engelleyerek.

Bu tiplerin kullanımlarına örnek:

Herşeyi engelle, sadece ihtiyacınız olan portlara izin ver:

Örnek olarak web, dns, mail gibi servisler sunduğunuz bir server’ınız veya serverlarınız var. Bu durumda sadece kullandığınız portlara izin vermeniz, ihtiyacınız olmayan diğer portları tamamen kapatmanız en doğru çözüm olacaktır.

Herşeye izin ver, sadece engellemek istediklerini engelle.

Bu durum bir ofis kullanımı için oldukça uygundur. Örnek olarak 50 kullanıcılık bir ofis networkünde MSN veya OYUN portlarını kapatmak fakat diğer tüm uygulamalara müsade etmek en kolay yönetimlerdendir.

Bu kullanımlardan hangisi size en uygun buna karar vererek işleme başlayabilirsiniz.

Adım adım aşağıdaki noktaların üzerinden geçerek firewall yapılandırmanızı planlayabilirsiniz.

Adım 1: Öncelikle firewall’ın güvenliğini sağlamalıyız. Bu güvenliği firewall’a sadece belirli ip adreslerinden tüm erişimlere izin vererek, diğer erişimlerin tamamını kapatarak sağlayabiliriz. Ayrıca dışarıya açık olan servislerin erişim limitlerinide belirtebiliriz. Örnek olarak sadece ssh ve web portunu açık bırakarak diğer tüm portları kapatmak, ICMP üzerinden de gelen talepleride aynı şekilde belirli süre ve paket boyutuna limitlememiz yeterli olacaktır.

Firewall INPUT Kuralları

Grafikte göreceğiniz noktada Bytes ve Packet alanlarında bu girmiş olduğunuz kuralın kaç byte ve kaç paket için uygulandığınıda görebiliyorsunuz. Bu özellik sayesinde uygulanan kuralın işlevsellik durumunu kontrol edebiliyor, ne kadar etki yarattığını inceleyebiliyorsunuz.

Ayrıca kuralın üzerine 2 defa tıklamanız durumunda Trafik ve İstatistikler sekmelerinde anlık olarak trafik ve diğer istatistik verilerinide görebilirsiniz.

Adım 2: karar verdiğimiz kullanım tipini belirlediysek buna göre kuralları oluşturabiliriz. Örnek olarak herşeyi kapatarak sadece ihtiyacımız olan portlara açmayı görebilirsiniz.

Firewall Forward Table

Adım 3: Erişimlerin kayıtlarınıda tutmak istersek bu durumdada Firewall ayarlarımızı kullanarak erişimleri kaydedebiliriz. Bu işlem için yeni kural ekliyorsunuz. Kural ekleme ekranında Chain kısmına yeni yaratmak istediğiniz tabloyu yaratmanız yeterlidir. Winbox bu kuralı otomatik olarak yaratacaktır. Ekstra bir işlem yapmanıza gerek yoktur.

Winbox Firewall

Bu işlemde Action kısmında işlem olarak LOG seçiyor ve LOG PREFIX olarak LOGANDDROP yazıyoruz. Bu işlem sayesinde bu kurallarca tutulacak kayıtların satır başlarında bu kural tarafından tutulduğuna dair bir belirti olacak böylece pek çok log üzerinde çalışırken hangi işlemden dolayı kayıt tutulduğunu karıştırmamış olacaksınız.

Winbox Firewall

Yarattığımız LOGANDDROP tablosunu firewall penceresinin sağ tarafından seçerek bu tablo içerisindeki kurallarımızı görebilirsiniz.

Winbox Firewall

Winbox Firewall

Bu tabloda 2 kural uygulayacağız. 1. Kuralımız gelen tüm paketleri kaydet. Yani Log tutması. 2. kural ise tüm paketleri engellemesi olacak. Bu kural sonrasında tablomuzun görünümü şu şekilde olacaktır.

Winbox Firewall

Şimdi bu tablomuzu yarattık. Fakat ana tablolarımız olan INPUT-FORWARD-OUTPUT veya diğer aktif tablolarımızdan herhangi bir işlemi bu tablomuza yönlendirmeden kullanılamayacaktır. Bu nedenle yapmak istediğimiz işleme göre kuralları bu tabloya yönlendirmemiz gerekecektir. Action kısmında JUMP özelliği bu işlem için kullanılmaktadır.

Örneğimizde istemediğimiz tüm paketleri DROP olarak seçmiştik. Şimdi bu filtreye giderek DROP yerine JUMP seçeceğiz. JUMP edilecek tablo olarakta yeni yarattığımız bu LOG_AND_DROP tablosunu seçeceğiz. Böylece bu filtreye uyan tüm paketler bu tablomuza gelecektir. Bu tablomuzda önce kaydedilecek sonrasında ise DROP edilecektir.

Winbox Firewall

Ve bu kuralımızın ardından LOG kısmına girip baktığımızda pek çok kayıt göreceksiniz. Bu kayıtları incelerseniz hangi Source ip adresinden hangi destination’a gittiğine kadar pek çok detayı bulabilirsiniz.

Bu arada önemli bir özellik konusunda bilgi vermemiz gerekiyor. Sistemin default log özelliği 50-100 satırdan fazla kaydı tutmayacaktır. Log özelliğini genişletmek için daha sonraki makalelerimizde unix SYSLOGD üzerinde log tutulabilmesine ilişkin bazı özellikleri incelemeniz gerekmektedir.

Winbox Firewall

Farklı tablolar kullanarak farklı kullanımlar veya farklı müşterileriniz için Mikrotik Firewall’ı oldukça iyi derecede düzenleyebilirsiniz.

]]> #/?feed=rss2&p=144 0 http://www.mikrotik.com.tr/?p=65 http://www.mikrotik.com.tr/?p=65#comments Tue, 16 Sep 2008 23:22:17 +0000 admin http://www.mikrotik.com.tr/?p=65 İlk kurulum sonrasında yapılacak ilk işlemleri anlattığımız bu dökümanımız biraz önce Mikrotik Kurulumu dökümanındaki adımları tamamlamış ve kurulumu yapmış olduğunuzu kabul etmektedir.

Kurulum sonrasında karşınıza Login: ekranı gelecektir.

Mikrotik CLI

Kullanıcı adı default olarak “admin” dir. Mikrotik sürekli olarak ana kullanıcıyı admin olarak yaratır. Linux kullanıcıları burada “root” kullanarak hata yapabilirler. Bu noktada dikkatli olmanız önerilir. Aksi halde sürekli olarak hatalı kullanıcı girerek zaman harcamanız muhtemeldir.

İlk kurulumde default şifre boştur. login admin yazarak giriş yapabilirsiniz.

Giriş sonrasında size lisans şartları konusunda bilgi gelecektir. Okumaya zahmet etmezsiniz diye düşündüğümüzden q tuşu ile geçmenizi öneririz.

Bu noktada karşınıza SOFTWARE ID adında lisanslamada kullanılan ve sabit diskinizin verileri kullanılarak yaratılmış olan bir bilgi üretilecektir. Bu ID lisanslama noktasında kullanılacaktır. Dilerseniz bunu kaydedebilirsiniz. Fakat buna gerek yoktur. Birazdan yönetimsel işlemleri tamamladığımızda bu bilgiye dilediğimiz zaman erişebileceksiniz.

Mikrotik İlk Setup

Şimdi bu noktada sizlere Mikrotik’in RouterOS’unu yönetebileceğiniz platformları tanıtacağız. Bu bölüm aynı zamanda Mikrotik Yönetim Araçları sayfamızda detaylı olarak açıklanmaktadır.

Mikrotik kendisini yönetebilmeniz için size birden fazla imkan sunmaktadır. Telnet, SSH, WEB arayüzü ve bir mucize diye niteleyebileceğimiz Winbox! Öncelikle bu yönetim tiplerinden bahsedeceğiz. Ardından adım adım yönetimi yapacağız.

Telnet ve SSH standart uygulamadır ve bu protokoller üzerinde çalışan servis ile erişilerek tüm değişikliklerin CLI yani command line üzerinden yapılmasına olanak tanır. CLI kullanımı çok hızlı ve kolay bir ortamdır. Fakat bu konuda biraz deneyim kazanmış olmanız önerilir. Özellikle Cisco veya benzeri ekipmanların veya Linux sisteminin SSH-telnet tabanlı CLI arayüzlerini kullanmış arkadaşların çok daha esnek olan bu arayüze çok çabuk ısınacaklarını düşünmekteyim.

Mikrotik CLI Görüntüsü

CLI üzerinde takıldığınız noktalarda “?” (soru işareti) tuşuna basmanız size bulunduğunuz noktada olası tüm parametre ve komutları göstermektedir. Aynı zamanda tab tuşuna birden fazla basmanız durumunda da yazdığınız komutu tamamlamaktadır. Bu özellikler yönetim işlemlerinde hız ve hatasız işlem imkanı sunmaktadır.

Web Arayüzü kısıtlı yönetim şansları sunar. Kısıtlı imkanları sürümlere göre değişiklik gösterdiğinden bunu açıklamayacağız.

Ve Winbox! Winbox Mikrotik tarafından geliştirilmiş pek çok hayat kurtaran uygulamadan biridir. Winbox’u bilgisayarınıza indirebilmek için http://www.mikrotik.com/download.html sayfasının sağ tarafındaki sütununda bulunan linklerden faydalanabilirsiniz. Bu link sayesinde Winbox’u indirdiğinizi sayarak devam ediyorum.

Winbox’u çalıştırın.

Winbox

“Connect To” alanını görüyorsunuz. Buraya normal şartlarda IP adresi veya Mikrotik’in MAC-ID adresini yazarak erişmenize imkan tanır. Yani hem Layer3 hem Layer2 tabanını kullanarak yönetebilirsiniz.

Burada dikkat ederseniz çok keskin bir zeka bulunuyor. Sıfır kurulumda IP vermediğiniz için yönetim için sistemin konsolunda olmanız gerekmeden basit bir kontrol ile sistemi yönetebilmektesiniz.

Bu özellik ileride bir IP ayarlarında veya FIREWALL ayarlarında hata yapmanız durumunda erişiminizin kesilmesini absorbe ederek sisteme erişerek sorunu gidermenizi sağlar.

Peki şimdi bir soru? Bu sunucunun MAC Adresini nasıl bulacaksınız? Winbox bize burada da zekice bir kolaylık sağlıyor. Connect To alanının yanında üzerinde … (üç nokta) bulunan butona tıklamanız durumunda Winbox aynı Layer 2 network üzerinde(yani Türkçesi aynı kablo ile erişebildiğiniz mecrada, winbox ve mikrotik’in aynı switch’e bağlı olması durumunda) broadcast üzerinden yapacağı tarama ile bize tüm Mikrotik donanımlarının MAC ve IP adres bilgileri ile IDENT bilgilerini bularak listeler. Bu listede MAC adresine tıklayarak MAC üzerinden, IP adresine tıklayarak IP üzerinden bağlanmamızı ve yönetmemize imkan tanır.

Winbox’un detaylı kullanımı konusunda Mikrotik Yönetim Araçları makalemizi inceleyebilirsiniz.

Winbox’u açtık, MAC adresi üzerinden Mikrotik’imizi seçtik. Kullanıcı adı olarak “admin” yazdık ve Connect butonuna tıkladık.

Karşımıza gelen pencere Winbox arayüzüdür.

Basit ayarlarda öncelikle mikrotik’in IDENT ve şifresini güncellememiz gerekiyor.

Sol menüde “Password” bölümünü seçiyoruz. Karşımıza ufak bir pencere geliyor ve eski şifre ile 2 defa yeni şifreyi girmemizi istiyor. Eski şifre boş olduğundan yeni şifreyi 2 defa yazıyor ve artık şifresiz erişimi dolayısı ile yönetim hakkı bulunmayanları uzak tutmuş oluyoruz.

Winbox User Şifre Ekranı

Ardından solda “System” menüsü içerisindeki “Identity” başlığını seçiyoruz. Açılan pencere içerisine bu sistemi daha kolay tanımamızı sağlayacak bir ibare kullanıyor ve tamam butonuna tıklıyoruz.

Şimdi sıra sisteme IP atama ve Routing’i halletmeye geliyor.

Sol menüde “IP” sekmesinden “Address” kısmına giriyoruz.

Winbox IP Ekleme

Karşımıza gelen pencerede sol üst kısımda + (artı) işaretini seçtiğimizde yeni bir pencere gelecektir.

Bu pencerede sisteme vereceğimiz ip adresini ve hangi interface’i kullandığını belirtiyoruz. IP adresini girerken /24 şekline network’ünüde belirtmemiz winbox’un netmask ve broadcast ayarlarını kendi yapması için kolaylık sağlayacaktır. Ethernet interface’i doğru seçtikten sonra bilgisayarınızdan ping atarak mikrotik sisteminize sorunsuz erişebildiğinizi göreceksiniz.

Winbox IP Route

Eğer ping sonucunda sisteminize erişemiyorsanız ya yanlış interface seçmiş veya network kablosunda bir hata yapmış olabilirsiniz. Bu olasılıkları deneyerek sorunu giderebilirsiniz.

IP sonrasında sıra gateway ayarlarımızı tamamlamaya geliyor.

IP-> Routes bölümüne geliyoruz. Açılan pencerede + tuşuna basıyoruz.

Destination hedef network anlamına gelmektedir. 0.0.0.0/0 adresi tüm internet ve ip grubu anlamına gelir. Bunu ellemiyoruz. Gateway sekmesinin üzerine tıklıyor ve networkünüzdeki router veya ana gateway ip adresini yazıyoruz.

Okey butonuna basmamız ile birlikte sisteminiz artık internet’e çıkabilecektir.

Bu işlem ile birlikte sisteminiz için gereken standart ayarları tamamlamış olmaktasınız.

Bu basit işlem eliniz alıştığında maksimum 1 dk civarında sürecektir. Arayüzlerin kullanımına alışmanız için bu işlemi benzer mantıklarda tekrar ederek deneyebilirsiniz.