Sonicwall Netextender ile SSL VPN Yapılandırması

Gönderen Unknown on 25 Eylül 2012 Salı / Etiketler: , , , / Comments: (0)
Amaç : Sonicwall Firewall üzerinde SSL VPN yapılandırması yaparak, SSL VPN ile ofis dışındaki kullanıcıları yerel alan ağına dahil etmek ve yerel kaynaklardan yararlanabilmesini sağlamak.


 
1-) Sonicwall'un sol Menüsünden SSL VPN – Server Setting tabını tıklıyoruz. Burdan WAN’ı seçiyoruz. WAN ip adresi üzerinden ssl vpn yazılımının yüklenebilmesi ve vpn yapılcak ip adresinin belirlenmesi için WAN seçilmelidir.


2-) SSL VPN – Client Setting tabında vpn kullanıcılarının alacağı ip adres bloğunu tanımlıyoruz. X0 interface'inin arkasındaki networkten 10.6.11.10 ile 10.6.11.50 ip adresi aralığından ip dağıtılsın.


SSL VPN – Client Setting tıklandıktan sonra alt tarafta vpn kullanıcıları ile ilgili ayarlamaların olduğu yer bulunmaktadır. Create Client Connection Profile enable yapılmaldır. Diğer durumlar seçimliktir.

3-) SSL VPN -- Client Routes tabına tıklanarak VPN kullanıcılarının hangi networklere route edileceği belirtilmelidir.  Select an Adress Object kutusundan ilgili networkler seçilir.


4-) User – Local User tabının altında Add User denilerek setting kısmında; vpn kullanıcısı için user ve password belirlenir.

Aynı yerin Groups tabında oluşturulan kullanıcının bir VPN kullanıcısı olduğunı belirtmek için SSL VPN services member of alanına eklenir.

VPN Access tabında oluşturulan VPN kullanıcısının hangi networklere erişebileceğini belirlemek için Network kısmından Access list kısmına ilgili networkler taşınır.

5-) Firewall --- Access Rules tabında SSL VPN den LAN sekmesi tıklanır. Sonicwall’un kendisinin oluşturduğu SSL VPN IP Pool source kaynak ip adresli kural edit edilir ve Users kısmı SSL VPN Services olarak değiştirilir.


6-) WAN bacağının https ile erişime açık olmalıdır.

7-) Dış ip ile browserden https ile bağlanılarak aşağıdaki gibi here bağlantısına tıklanır.

8-) Gelen sayfada daha önce oluşturduğumuz username ve password girilir.

9-) Netextender butonuna tıklanarak beklenir. Daha sonra gerekli olan SSL VPN yazılımını firewall kendisi kullanıcıya yükletir.


10-) İlgili bilgiler girilerek login olunur.


11-) Login olduktan sonra durum aşağıdaki gibi olmalıdır.


Ramazan Kocaoğlu
Devamını oku ...

HP Procurve ( HP E Serisi) Switchlerde 802.1X ile Dinamik Vlan Atama

Gönderen Unknown on 8 Eylül 2012 Cumartesi / Etiketler: , , , , / Comments: (0)
HP Procurve ( HP E Serisi)  Switchlerde 802.1X ile Dinamik Vlan Atama Yapılandırması

Mevcut bulunan ağımızda güvenliği arttırabilmek için bazı teknolojiler mevcuttur. Bunlardan biri de 802.1X teknolojisinin kullanılmasıdır. Vlanlarımızın olduğu bir ağ ortamı düşündüğümüzde, kullanıcılarımızı en temel olarak domain de olup olmamalarına göre, farklı internet ve local networke erişim hakları verebiliriz.
Örneğin, aşağıdaki gibi basitçe 2 tane farklı vlan'ın bulunduğu bir yapı düşünelim.

Vlan 10 = Personel
Vlan 20 = Misafir

Amacımız;

Eğer kullanıcının bilgisayarı domainde ise; (bu durum bu kullanıcının bizim personelimiz olduğunu gösterir), Vlan 10'a dahil olsun ve Vlan 10'a ait internet ve local ağ erişim hakları ne ise, o haklar ile erişim sahibi olsun.

Eğer kullanıcının bilgisayarı domainde değil ise; (bu durun bu kullanıcının misafir olduğu anlamına gelebilir), Vlan 20'ye dahil olsun ve Vlan 20'ye ait internet ve local ağ erişim hakları ne ise, o haklar ile erişim sahibi olsun.

Bilgisayarın domainde olup olmadığı kontrolünün yapılabilmesi ve bunun sonucuna göre vlan'ın dinamik olarak belirlenmesi teknolojisine 802.1X ile Dinamik Vlan Atama diyebiliriz.

Not : Bu teknolojinin kullanılabilmesi için ortamda Active Directory, Radius Sunucu (Windows ya da Linux tabanlı olması fark etmez) ve yönetilebilir bir Layer 2 switch'e ihtiyaç vardır. Bu makalede, bu teknolojinin sadece switch tarafında yapılması gereken konfigürasyonlar anlatılmıştır. Switch olarak ise, Procurve switch seçilmiştir. Aşağıda switch üzerinde yapılması gereken konfigürasyon yer almaktadır.

Global konfigurasyon modda iken;

radius-server host "radius-ip address" key "!Passw0rD"
radius server'ın ip adresi ve radius server ile siwtch'e girilecek olan aynı şifre key komutundan sonra girilmeldir.

aaa authentication port-access eap-radius
kimlik denetimi olarak radius'un kullanacağı belirleniyor.

aaa port-access authenticator b20
hangi switch portunun radius ile denetleneceği belirlenmektedir. Örneğin, buradaki b20 portuna bağlı olan kullanıcı için 802.1X denetimi yapılacaktır.

aaa port-access authenticator B20 auth-vid 10
Senaryomuza göre, eğer b20 portuna bağlı kullanıcı domainde ise Vlan 10'a (personel) dahil olacaktır ve Vlan 10'a verilen erişim hakları ile internete ve local ağa erişecektir.

aaa port-access authenticator B20 unauth-vid 20
Senaryomuza göre, eğer b20 portuna bağlı kullanıcı domainde değil ise Vlan 20'ye (misafir) dahil olacaktır ve Vlan 20'ye verilen erişim hakları ile internete ve local ağa erişecektir.

aaa port-access authenticator active
802.1X teknolojisini kullanıma açar. Bu komut olmadan üstteki tüm komutlar halihazırda ayarlı durur, ancak aktif edilmez. Bu komut sayesinde aktif hale getirilir.


Ramazan Kocaoğlu
Devamını oku ...

VMware Workstation 9 Kurulumu

Gönderen Unknown on 6 Eylül 2012 Perşembe / Etiketler: , , / Comments: (0)
Arkadaşlar merhaba,

Bu makalemizde VMware'in Workstation ürünün en sonuncusu olan " 9 " u tanıyacağız ve kurulum videosunu izleyeceğiz.

Öncelikle yeni gelen özelliklerden bahsedelim.

1 . Windows 8 desteği gelmiş bulunmaktadır ve bu özellikle beraber MetroUI arayüzüne ayrıca çoklu dokunuş özelliklerine entegredir.

2. Mobil cihazlardan daha rahat olarak VMware Workstation 9 a ulaşıp sanallarımızı açıp kapayabilicez.

3. Sanal makinelere şifre koyarak izinsiz girişleri engellemiş olcağız.

4. USB 3.0 desteğiyle artık usb cihazlarımız daha hızlı.

5. Hyper-V desteği ile VM sanallarımızın üzerinde Hyper-V kurulumu yapabileceğiz.

6. Vsphere üzerine sanal taşıma özelliği 8 ile gelmişti bu ürünümüzde de Vsphere de olan bir sanal makinayı bilgisayarımızdaki workstationumuza indirebiliriz.

7.  DirectX 9.0c Shader Model 3 ve OpenGL 2.1 3D özellikleri ile geliştirilmiş 3D görünüm. Artık sanallarımızda grafik ihtiyacı duyulan çizim programları hatta gelişmiş oyunlara kadar çalıştırabileceğiz.

8. Artık Android ve IOS gibi işletim sistemlerinide desteklemekte.

Özellikleri anlattığıma göre şimdi, hazırladığımız videoyu izleyebiliriz.

Videoları daha büyük izlemek için üzerine tıklayınız.

Son olarak sizlerle VMware Firmasının kendi hazırladıklar VMware Workstation 9 Reklamını paylaşayım.



Videoları daha büyük izlemek için üzerine tıklayınız


İyi günler diler, eğitici ve eğlenceli bir zaman geçirdiğinizi umarım.

Devamını oku ...

FORTİGATE 110C(v4.0 MR2 Patch 2) PPTP VPN KURULUMU

Gönderen Unknown on 3 Eylül 2012 Pazartesi / Etiketler: , , , , / Comments: (2)
FORTİGATE 110C v4.0 MR2 Patch 2 PPTP(Windows) VPN KURULUMU

Amaç : Fortigate 110C üzerinde PPTP VPN cilent yapılandırılması

1-) VPN ile bağlanacak kullanıcılar oluşturulur.
Sol taraftaki menüden User->User denildikten sonra sol üst köşede Create New tıklanarak yeni kullanıcı oluşturulur.





















Username ve password girilir.

















2-) Oluşturulan VPN userları bir gruba atanmalıdır. Bunun için, User-> User Group dan Create New denilir. Oluşturulan kullanıcı bu gruba dahil edlir.















3-) PPTP VPN ayarları fortigate’in bu firmware’inde bazı sebeblerden dolayı web arayuzunden ayarlamaya kapalı durumdadır. Bu ayarları CLI ‘dan yapmamız gereklidir. Bunun için,




















Burdaki usrgrp pptp daha önce  oluşturulan vpn kullanıcıların atıldığı grubunun ismidir.
set sip ise, vpn kullanıcılarının alacağı ip aralığının başlangıcı, eip ise bitişidir. Burdaki ufak ama önemli bir nokta için http://www.bilginipaylas.com/fortigate-cozumleri/fortigate-microsoft-vpn-client-ile-pptp-kullanarak-vpn-baglanti-nasil-yapilir-2.html adresine bakınız.


4-) Firewallda VPN kullanıcıları için adress objesi oluşturulması gerekmektedir. Bunun için,














5-) Local networkümüzün adress objeside policylerde kullanmak için oluşturulmalıdır.














6-) VPN kullanıcılarının bizim iç networkümüze erişebilmesi için policy yazamamız gerekmekte, bunun için;





















7-) Eğer VPN kullanıcılarının  internete erişimi isteniyorsa, Wan-> Wan’a bir policy yazmamız gerekmektedir.Client taradında yapılacaklar için, için http://www.bilginipaylas.com/fortigate-cozumleri/fortigate-microsoft-vpn-client-ile-pptp-kullanarak-vpn-baglanti-nasil-yapilir-2.html adresine bakınız. Yada aşağıdaki adımları takip ediniz.















































Gelen ekrana daha önce oluşturulan username ve password bilgileri girilerek VPN bağlantı sağlanmış olur.


Ramazan KOCAOĞLU
Devamını oku ...

Checkpoint Active Directory Entegrasyonu ile Identity Awareless ve Application Control'un Birlikte Yapılandırılması

Gönderen Unknown on 31 Ağustos 2012 Cuma / Etiketler: , , , / Comments: (0)
Amaç: Aşağıdaki AD kullanıcılarının ait olduğu gruba farklı internet erişim politikalarının uygulanması

AD Users :                                       CP Acess Role                    Blocked Applications
Ramazan Kocaoglu                         Yonetim                             Facebook
Omer Onler                                     Muhasebe                         Facebook, Twitter
Ahmet Kocaoglu                             Muhasebe                          Facebook, Twitter
Huseyin Karakullukcu                    Otomotiv                             Facebook, Twitter, Linkedin

Amaçlanan şekilde bir yapı oluşturabilmek için öncelikle Checkpoint'in mevcut olan Active Directory ile entegrasyonu yapılmalıdır. Daha sonra Identity Awareless yapılandırması ve Application Control ile internet erişim politikasının uygulanması gerekmektedir. Bunun için;

1-) Checkpoint Active Directory Entegrasyonu
1-) Smart Dashboard’un menüsünden Policy -> Global Properties’den SmartDirectory(LDAP) seçilir.
2-) Use SmartDirectory (LDAP) for Securirty Gateways seçeneği işaretlenir.
3-) Network Obje  ağacından Nodes->Node->Host Seçilir.
4-) Aşağıdaki gibi name, IP Adress girilip OK denilir.

5-) Smart Dashboard’un menüsünden Manage-> Server and OPSEC Applications... seçilir.
6-) Gelen pencereden New -> LDAP Account Unit  tıklanır.
7-) General tab’ı aşağıdaki gibi doldurulur. (Benim domain’im adı atlantiscorp.cp)

































8-) Server tab’ına geçilir ve Add tıklanır. aşağıdaki gibi doldurulur ve OK denilir.




























9-) Object Management tabına geçilir. Fetch branches tıklanır. Eğer Server tabında girdiğiniz bilgilerde bir eksiklik ve ya yanlışlık yok ise aşağıdaki gibi ekran görüntüsü alınmalıdır.




























10-) Authentication tabı aşağıdaki gibi düzenlenmelidir. OK denilir ve daha sonra Close denilir.

11-) SmartDashboard’daki network obje kısmı yeine User tabına geçilir. Oluşturduğumuz Domain_Controller objesi çıft tıklanır. Atlantiscorp ve Users kısımlarına gelinerek çift tıklanır. Dashboard’un alt kısındaki Object List kısmında Domainimizeki userlar ayrıntıları ile gözükmektedir. 
 
12-) User tabındaki LDAP Groups kısmında sağ tıklanır ve New LDAP Group seçilir. Account Unit daha önce oluşturduğumuz Domain_Controller nesnesi seçilir ve isim verildikten sonra OK denilir.

2-) Identity Awareless Konfigürasyonu ve Agent ile Haberleştirilmesi

1-) Network Obje ağacından security gateway’imiz çift tıklanır. (Benim topolojimde SG5 ile isimlendirilmiştir). En alttaki Identity Awareless işaretlenince aşağıdaki gini Identity Awarless Configuration menüsü açılır.
2-) AD Query tiki kaldırılır ve Captive Portal tiki işaretlenir.

3-) Domain seçilir ve Admin yetkilerine sahip bir user’ın username ve password bilgileri girilerek Connect butonuna basılır. DC’ye erişme ve User ile ilgili bir problem yok ise bağlantı sağlanır.

4-) Internal interface seçilerek next denir ve daha sonra gelen ekranda Finish denilir.





















5-)SG5’in içerisinde iken Identity Awareless tıklanır ve Identity Agents işaretlenerek OK denir.




















6-) Users obje ağacından Access Roles sağ tıkanarak New Access Role... seçilir.


















7-) Ramazan Kocaoglu user’ımız Yönetim Access Role objesinin içine atılacak. Böylece Application Control ile İnternet Erişimlerini farklı Erişim grupları sayesinde daha etkin kullanılabilecektir. Network tabında ikn Specific networks seçilir. + tıklanrak Lacal_Net(İnternal network için benim daha önce oluşturduğum bir objedir) seçilir.



















8-) Users tabında iken Specific users/groups seçilir. + tıklanarak istenilen Domain User’ı seçilebilir. OK denir.


















9-) Aynı İşlemler Muhasebe ve Otomotiv Access Rule’ları oluşturmak işin tekrarlanır. Muhasebe Access Rule içerisinde Ahmet Kocaoğlu ve Ömer Önler, Otomotiv Access Rule içerisinde Hüseyin Karakullukcu domain userları olacaktır.

10-) R75 CD’si içerisnde gelen Check_Point_NAC_Client kurulmalıdır.













11-) Client kurulumu için aşağıdaki adımlar takip edilmelidir.













































Next denilerek kurulum başlatılır.



















Finish denilir.


































3-) Application Control ile Domain Userlarını Farklı Yetkiler ile İnternet Erişiminin Sağlanması

Security gateway (SG5) in özelliklerinden Application Control blade’i şaretlenir ve OK denir.































Application Control Tabı yukarıdaki bladelerin blunduğu tab’dan seçilir ve Policy kısmına gelinir.














Dokümanda kullanıdğımız senaryoyu uygulayan policyler aşağıdadır. Source kısmında daha önce oluşturulan access rules’ları seçilir. Applicaion kısmında yasaklamak istedğimiz applicationlar seçilir. Policy Install edilir.










Identity Client Agent’ı ile Yönetim kısmından Ramazan Kocaoglu’nun hesabı ile login olalım.
















Aşağıdanda görüldüğü gibi facebook’a erişim yoktur. Twitter’a ve Linkedin’e erişim vadır.





 




 
Şimdi  de Ahmet Kocaoglu veya Ömer Önler user’ı ile login olalım.








 





Şimdide Hüseyin Karakullukcu User’ı ile login olalım.






















Ramazan Kocaoğlu
Devamını oku ...