Read pfSense Platform ile L7 Filtreleme ve QoS Uygulamalari text version

PFSENSE PLATFORM LE L7 FLTRELEME VE QOS UYGULAMALARI

Vedat FETAH Ege Üniversitesi BTAM Network Yönetim Grubu UBE Binasi Zemin Kat. 35100 Bornova ­ zmir.

çindekiler Dizini

1. 2. 3. 4. 5. 6. 7. ÖZET........................................................................................................3 GR........................................................................................................3 Açik Kaynak Kodlu Yazilim Kullaniminin Önemi:.......................................3 L7 Filtreleme:...........................................................................................4 Trafik Kontrolü ve QOS:............................................................................4 FreeBsd Seçiminin Nedenleri...................................................................4 PfSense Platformu....................................................................................5 PFSENSE Arayüzü.....................................................................................6 Güvenlik Duvari Özellikleri.......................................................................7 State Tablosu Özellii...............................................................................8 8. UYGULAMA VE DZAYN: ...........................................................................9 9. L7 UYGULAMA SONUÇLARI:....................................................................13 10. SONUÇ:................................................................................................17 KAYNAKLAR:...............................................................................................17

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

1

1. ÖZET

Üniversiteler gibi büyük kurumsal alarda; çok sayida kullanici farkli ihtiyaçlari ile ayni anda internet hizmetini kullanmayi talep etmektedir. Kurumsal kullanici politikalarinin kisitli olmamasi veya uygulanamamasi nedeniyle, bazi kullanicilar tarafindan airi band genilii tüketimi gerçeklemekte ve band genilii yeterince etkin kullanilamamaktadir. Bu sebeple; peer to peer (P2P), Video Streaming, oyun vb. programlarin balanti/transfer ini, portlara bakmaksizin engelleyebilecek sistemlere ihtiyaç duyulmaktadir. Kurum aina girip çikan paketler üzerinde daha etkin yaptirimlar uygulayabilmek ve a kullaniminin etkinliini arttirabilmek için OSI uygulama katmani (L7) seviyesinde güvenlik duvari (firewall) kullanimi önemli bir hal almitir. Bu belgede bu tür bir çözüm için önerilen açik kaynak kodlu PFSENSE yazilimi ve nasil kurulabilecei tanitilmitir.

2. GR

Eskiden yapilan uygulamalarda kaynak, hedef adresi veya port bazli kisitlamalar yapilmaya çaliilmitir. Ancak günümüzde yeni nesil uygulamalarda yapilan deiiklikler bu konuda engellemeleri ve politika dii kullanimi engelleme amaçli olarak policy tabanli veya Qos protokolleri ile yeni uygulamalar gelitirilmitir. Eski yöntemde yapilan uygulamalar da günümüzde etkisini kaybetmeye balamitir. Örnek olarak akademik alar bu konuda göz önünde olan uygulama birimleridir. Özellikle Türkiye artlarinda üniversitelerin birçounda kaynak ip adresi, hedef ip adresi ve port bazli engelleme gibi yöntemler kullanilarak bu sorun çözülmeye çaliilmitir. Ancak uygulama seviyesinde bazi uygulamalar ile kullanicilar bu yöntemleri amayi baarmilardir. Üniversitelerde birçok uygulamanin engellenmemesi, kullanicilarin özel firmalar yada askeri birimlerdeki gibi siki uygulama politikalari ile yaptirim uygulanmasi gibi yöntemlerle caydirilmasi mümkün olmamaktadir. Ancak bu uygulamalarin olmamasi uzun vadede bilgi ilem birimlerinde ciddi band genilii kullanimi sorunlarina da yol açmaktadir. Özellikle salik hizmetlerini yürüten birimleri bulunan üniversitelerin ciddi sorunlari ortaya çikmaktadir. Bu sebeple L7 filtreleme veya Qos uygulamalari kullanilmasi zorunluluu günden güne daha zorunlu hale gelmektedir.

3. Açik Kaynak Kodlu Yazilim Kullaniminin Önemi:

Her ne kadar ticari ürünler kadar baarili imzalari olmadii söylense de açik kaynak kodlu yazilimlarla ciddi anlamda a trafiinizi düzenleyebilmeniz mümkündür. Açik kaynak kodlu yazilimlarin önemi imza ücretisinin olmamasi, kendi imzalarinizi yazabilmeniz ve insan kaynainin masraf kapisi düüncesinin ortadan kaldirilmasi olarak belirtilebilir. Ayrica ticari ürünlerin bazi ciddi handikaplari da bulunmaktadir. Yanli yüklenen bir imzanin ainizda ciddi sikintilar ortaya çikarmasi olasi yaanacak senaryolardandir. Bu gibi durumlarda kapali kutunun üretici firmasinin

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

2

sorunun neden kaynaklandiini bulup size uygun çözüm üretmesini beklemekten baka çareniz yoktur.

4. L7 Filtreleme:

Dier trafik siniflandirma araçlarindan farkli olarak uygulama bazinda trafii inceleyerek ilem yapar. L7 filtreleme ile temelde yapilabilecek ilemleri 3 adimda genelleyebiliriz. 1. Sahip olunan band geniliinin efektif kullanilabilmesi. 2. Ip yada network bazli band genilii yönetimi yapabilmeyi salamasi. 3. stee göre belirli uygulamalara garanti band genilii atamasi gerçekletirilebilmesi. Bir L7 güvenlik duvarinin bu uygulamalari gerçekletirebilmesinin yaninda kural yazma bölümünün sade ve anlailabilir olmasi gerekmektedir.

5. Trafik Kontrolü ve QOS:

A letiimi Hizmet Kalitesi (ngilizce Quality of Service, kisaca QoS), A üzerindeki uygulamalari önceliklendirerek zaman kaybini azaltmayi hedefleyen bir a servisi. Bir a balantisi üzerinden çalian bir trafik veya program türüne öncelik veren çeitli tekniklere karilik gelir. nternet hizi = band geniliinin yüksek olmasi gibi yanli bir kani vardir günümüzde. Bu konuda u örnei vererek açiklamak daha doru olacaktir. Ayni otoyolda hareket eden araçlar içerisinde en hizlisi olan yükte hafif olandir. Yani yüklü bir kamyon yava hareket edecei gibi trafikte de aksamalara yol açacaktir. Bu sebeple a üzerinde hareket eden paketlerin büyüklükleri sizin hizinizi belirleyen yapilar olmaktadir. Trafik ekillendirme ve Qos sayesinde a üzerinde hareket eden paketler sizin daha önce ainiz üzerinde analiz edip önceliklerini belirttiiniz sirada bölünerek kuyrua alinir. Bu sayede iletiimin hizli olmasi kesintiye uramamasi gereken protokoller daha öncelikli ve belirli bir band geniliine sahip olarak sorunsuz bir ekilde çalimaktadir. Ainizda kullanilan P2P uygulamalari sizin isteiniz diinda band geniliinizi ele geçirse bile Voip görümelerinizi kesintiye uramaksizin gerçekletirebilmenize olanak salar. [1]

6. FreeBsd Seçiminin Nedenleri

FreeBSD®, iletim sistemleri arasinda en bilinen ticari iletim sistemleri de olmak üzere dier iletim sistemlerinde halen bulunmayan a yapilandirma, performans, güvenlik ve uyumluluk özelliklerini bir arada sunar. Donanim kaynaklarini etkin ve verimli kullanarak binlerce simultane kullanici prosesi için tepki zamanlarini en iyi seviyede tutar, çok air yükler altinda dahi güçlü a servisleri sunmaya devam eder. Yapilan karilatirmali deerlendirmelerde Linux 2.6.22 veya 2.6.24 çekirdeklerine göre %15 daha fazla performasa sahip olduu ortaya konulmutur.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

3

FreeBSD' nin Avantajlari:

· ·

Lisans gerektirmemesi Kullanici ve balanti (concurrent connection) bazli lisans sinirlamasinin olmamasi Donanim kapasitesi ihtiyaci ve maliyetinin düük olmasi Farkli iletim sistemlerine ve benzerlerine göre çok daha stabil, performansli ve güvenli olmasi Uyumluluk probleminin bulunmamasi leri düzey yük paylaimi ve (High Available) destei [2]

· ·

· ·

7. PfSense Platformu

Pfsense daitimi neden tarafimizdan seçildi? L7 seviyesinde güvenlik duvari olarak çalian birkaç daitim daha vardir. Bunlari sayacak olursak IPCop, OpenBSD PF, ebtables ve Bandwidth Arbitary gibi yazilimlar listelenebilir. Pfsense daitimi bu daitimlar arasindan ön plana çikaran temel özellikleri u ekilde siralayabiliriz: 1. L7 filtrelemede application pattern girebilir ve bu sayede daitimin desteklemedii patternler için paket filtreleme özelliini kullanir. 2. Grafik arayüzünün basitlii sayesinde kullanici isterse ekstra modüller kurabilir. 3. Kurulabilecek modüller arasinda IDS, Antivirus Gateway, Squid Proxy, ntop, trafik ekillendirme ve Vpn gibi yazilimlar sayilabilir. 4. Modülleri web arayüzden aktive edebilir yada deaktive edebilirsiniz. 5. Yüksek boyutlu disklere kurulumu sirasinda diski görmeme gibi sorunlar yaamazsiniz. 6. Dier Linux daitimlarindaki gibi kurulum sirasinda grafik kartinin taninmamasi gibi bir sorun ile uramak zorunda kalmazsiniz. 7. Vlan destei vardir. 8. Birden fazla Wan ve Lan arayüzünü destekler. 9. NAT, CARP, Load Balance, Packet Capture ve Bogon networkleri tanima özellikleri ayrica bulunmaktadir.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

4

Pfsense özelletirilmi bir FreeBsd daitimidir. Esas olarak güvenlik duvari ve router olarak çalimak üzere tasarlanmitir. Pfsense, yüksek throughput senaryolari düünülerek ( 500 Mbps ) tasarlanmi bir daitimdir. Bu hizlarda çaliabilmesi için kullanacainiz yüksek kapasiteli bir donanim mimarisi kullanmaniz gerekmektedir.

PFSENSE Arayüzü

Arayüzü oldukça basit tasarlanmi kullanimi kolay bir daitimdir. Bu daitimin 2.0 Alpha Alpha versiyonu ile birlikte L7 seviyesinde Qos ve paket filtreleme yapilabilmektedir. Önceki sürümlerinde sadece snort ve squid kullanilarak bandgenilii kontrolü salanirken yeni versiyonu ile birlikte trafik ekillendirme özellii güçlendirilmitir. Uygulama seviyesinde bir çok uygulamanin imzasi kendi içerisinde olduu için ekstra bir çabaya gerek yoktur. Ancak var olan imzalar diinda herhangi bir uygulama için bu ilemi yürütecekseniz onun içinde paket yüklemenize ve imzayi tanima özellii de eklenmi durumdadir. Pfsense kurulumunuzu bitirdikten sonra birçok deiiklii web arayüzden yapabilirsiniz. Sizi sisteminize girile birlikte karilayan ilk ekran aaidaki gibi olacaktir.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

5

Resim 1. Pfsense Dashboard.

Ekran görüntüsünden de anlailacai gibi dashboard ekrani özelletirilebilmektedir. Burada CPU durumunu, ethernet arayüzlerinin durumunu, CARP durumunu gösteren ek paneller konulabilmektedir. Yukarida bulunan kirmizi erit üzerindeki menüler sayesinde bütün özelliklerini kullanabilmemiz mümkündür. Pfsense'i ön plana çikaran en temel özellikleri yüklenmelerde gösterdii performansin yani sira kolay paket kurulumu, forum ile ücretsiz destei ve komut bazli müdahale imkani tanimasidir. Bu özelliklerin yanisira ayrica web arayüzünden seri portla balanilip kontrol edilebilen bir kutu çözümü olarakta kullanilabilmesi özellii dier çözümler arasinda ön plana çikmasini salar. Kurulumla birlikte kullanabileceiniz hazir olarak gelen özellikleri trafik ekillendirme, güvenlik duvari ve CARP ilk olarak göze çarpanlardandir.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

6

Güvenlik Duvari Özellikleri

Güvenlik duvari özelliine hizli bir baki atacak olursak [5]: 1. Floating, Wan ve Lan arayüzleri için ayri kural yazma alani vardir. 2. Yazdiiniz kurallar için tanimlama (Desciption) yapabiliyorsunuz. 3. Kural yazarken alias tanimlama özellii sayesinde gruplar oluturabilir Ya da belirli bir ip adresine bir isim atanarak kullanilmasi salanabilir. 4. L7 seviyesinde kural tanimlanabilir. 5. Tanimlanan kurala belirli bir zaman dilimi için çalimasi söylenebilir. Örnek verecek olursak mesai tanimi yapilabilir. Sabah 08:00 ile akam 17:00 arasinda torrent imzalari aktif olsun ya da aktif olmasin eklinde bir girdi yazilabilir. 6. Kaynak ve hedef ip, ip protokolü, kaynak ve hedef port için TCP/UDP protokollerin tanimlanmasi ileri. 7. Kural bazli olarak belirli kullanicilar için limit belirleyebilirsiniz. 8. Her kural için loglama yaptirabilir veya iptal edebilirsiniz. Örnek bir kural yazim tablosu görüntüsü aaidaki gibidir:

Resim2. Güvenlik duvari Kural Yazim Tablosu

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

7

State Tablosu Özellii

Birçok güvenlik duvarinin aksine Pfsense state tablosunu kontrol edebilme özelliine sahiptir. Ayrica Pfsense stateful özelliine sahip olduu için ilk kurulumda tüm kurallari stateful özelliine göre çalimaktadir. State tablosunun temel özellikleri: 1. Kural bazli özellikleri a. E zamanli client balantilarinin sayisini belirleyebilirsiniz b. Host baina state belirleyebilirsiniz. c. Yeni kurulacak balantilari/saniye sinirlayabilirsiniz. d. State zaman aimi süresini belirleyebilirsiniz. e. State türünü belirleyebilirsiniz. 2. State Türleri a. Keep state ­ Bütün protokoller ile çaliir. Tüm kurallar için varsayilan olarak atanmitir. b. Modulate state ­ Sadece TCP paketleri ile çaliir. Pfsense host adina ISN'leri kendisi üretir. c. Synproxy state ­ Proxyler gelen TCP balantilarini, sunucuyu olasi spoof edilmi TCP SYN saldirilarina kari tutar. Bu seçenek keep state ve synproxy state'in karma halidir. d. Hiçbiri ­ Herhangi bir state girdisi tutulmaz. Genelde bu tür bir yapi kullanilmaz ancak bazi özel durumlar için tutulmaktadir. 3. State tablosunun optimize edilmesi: a. Normal ­ Varsayilan olarak ayarli algoritma. b. High latency ­ Uydu balantilari için çok kullanilidir. Idle durumuna dümü balantilar Normal'den daha geç dümektedir. c. Aggressive ­ Idle duruma düen balantilar çok hizli bir ekilde düürülür. Donanim performansini arttirmak için kullanilabilecek bir özellik. d. Conservative ­ Bu türde balantilarin hali hazirda kullanilabilecek balantilar olduu ihtimaline karin bazilarinin düürülmemesidir. Bunun sonucunda memory ve CPU kullanim deerleri daha yüksek olacaktir.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

8

Yukarida bahsedilen özelliklerin diinda birçok özellik detayli olarak incelenebilir. Ancak pfsense güvenlik duvari üzerinde L7 filtreleme özelliklerini daha detayli bir ekilde inceleyeceiz.

8. UYGULAMA VE DZAYN:

Daha önceki tanimlarimizda bahsettiimiz üzere L7 filtreleme yapabilmek için öncelikli olarak uygulama olarak ipfwclassifyd konusunda bilgi vermemiz gerekmektedir. Bu uygulamanin neler yapabileceine göz atacak olursak: (i) gelen trafik için bloklama kurali oluturabilir, (ii) Gelen ip paketleri veya belirlenen akilar traffic shaper sayesinde AltQ kuyruuna atilir. Peki bu ilemler pfsense tarafindan nasil basitletirilmitir? Bir L7 kurali oluturulduu zaman bu ilemin sonunda pf otomatik olarak ipfwclassifyd ile arka planda kuyrua atma ilemi için gerekli kurallari oluturur. Burada dikkat edilmesi gereken husus, ipfwclassifyd uygulamasinin sadece TCP ve UDP packetleri destekler. Bu yüzden ilemleri yapacainiz paketlerin protokolleri çok önemlidir. Pfsense kutumuzda bu kurallarin nasil yazildiina göz atacak olursak:

Resim 3. Traffic Shaper: L7 Kural Yazma Alani

Herhangi bir ilem yapmadan önce kendi aimizda ne tür ptokoller ile ilemler yürütülecek ve aimizin satüre olmasina sebep olan protokollerin neler olduu belirlenmelidir. Örnek olarak Ege Üniversitesi ain ile ilgili bilgiler verilecek olursa u ekilde bir siralama ortaya çikar: 1 http download 2 ftp download 3 flash video streaming 4 video streaming eklinde bir siralama ortaya çikar.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

9

Bu sorunun önüne geçebilmek için yapilabilecekler: 1. trafik ekillendirme ile toplam bandgenilii belirlenmesi 2. hlal yaratan kullanicilarin belirlenmesi ve oluturulacak bir karantina grubuna alinmasi 3. P2P vb. Protokollerin mesai saatlerinde tamamen engellenmesi, mesai sonrasinda ise istenilen bandgeniliine sikitirilmasi. Resim 3' te belirlenen protokollere göre yapilacak ilemlerde protokolün bloklanmasi diinda Limiter sekmesinde belirli bir limit dahilinde çalimasi salanabilir. Yani video streaming ilemi için verilecek deerin üzerine çikilmasi durumunda ilemin kuyrua atilmasi özellii de kullanilabilir. Bu ilemleri tanimladiktan sonra güvenlik duvari tablosunda kural yazabileceimiz alanda nasil özellikler kullanabileceimizi daha net görebiliriz.

Resim 4. Güvenlik duvari kural yazim alani

Yukarida da görülebilecei üzere güvenlik duvarinda yazilmasi gereken kurala atayabileceiniz L7 kurali ve kuyuruk ilemleri görülmektedir. Bloklama ilemi yapilabildii gibi kuyrua atma ilemi de gerçekleebilmektedir. Yukarida belirlenen ekilde protokoller hakkinda ilem yapilacai gibi pfsense'in kendi üzerinde bulunan sihirbazlar sayesinde belirli bazi protokol gruplar özel yaptirimlar uygulanabilir. Mesela p2p uygulamalar için atanacak bandgeniliini belirleyebilirsiniz bazi p2p uygulamalarini bu gruptan çikarabilir veya hepsi için bütün bu kurallari uygulayabilirsiniz. Bu uygulamalar sadece p2p uygulamalari için geçerli deildir. Ayni zamanda oyun networkleri için de ayni özellikleri kullanabilmeniz mümkün kilinmitir.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

10

Resim 5. trafik ekillendirme sihirbazi ile uygulama gruplarina belirli bandgenilii atanmasi

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

11

Resim 6. trafik ekillendirme sihirbazi ile uygulama gruplarina belirli bandgenilii atanmasi ­ 2

9. L7 UYGULAMA SONUÇLARI:

Bütün bu bahsedilen ilemler, basit bir web arayüzünden yönetilebilmektedir. Bu yöntemlerin çalima ekli basitçe açiklanabilir. Bir L7 protokol grubu hakkinda yapilacak olan ilemler önce config.xml dosyasinda kayitli bulunan özellikler sayesinde web arayüzünden yapilir.

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

12

Resim 6.1. config.xml

Resim 6.1'de belirtilen config.xml dosyasinin bir parçasinda p2p prokolleri ile ilgili bir kisim bulunmaktadir. Bu xml dosyasi basitçe ipfwclassifyd uygulamasini harekete geçirecek temel verileri içermektedir. Web arayüzüden yapilan ilemler sonucunda arka planda gerçekleen ilemler aaida listelenmitir.

Bittorrent = action block Gnutella = action block E-Donkey = action block Fasttrack = action block

Eer belirlenen yöntem action block ise yukaridaki gibi bir çiktiyi ipfwclassifyd çiktisi olarak aliriz. Eer web arayüzünden güvenlik duvari kurali olarak ilersek aaidaki gibi bir çikti alacaiz.

pass in quick on $LAN proto { tcp udp } from { 192.168.160.2 } to 192.168.87.2 divert 47244 keep state ( max-packets 5, overload action diverttag ) label "USER_RULE: Layer7 block P2P"

Bu çiktilar protokol bloklama ilemi sirasinda gerçekleen ilemlerin çiktilaridir. Eer bloklama yerine qos ilemi uygulayacaksak uygulamalarin arka plandaki davranilari farklidir. Bu ilemleri gerçekletirmek için Dummynet pipe yapisi kullanilmaktadir. Bu durumda L7 container u ekilde oluacaktir:

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

13

http = dnpipe 2 pop3 = dnqueue 2 smtp = dnqueue 2 cvs = dnqueue 1

Bu konfigürasyon dosyasini anlayabilmek için dosyanin içerisindeki Dummynet yapisina bir göz atmamiz gerekmektedir.

dnpipe 1 bandwidth 1Mb dnqueue 1 dnpipe 1 weight 1 dnqueue 2 dnpipe 1 weight 3 dnpipe 2 bandwidth 2Mb

Yukaridaki gibi bir konfigürasyon dosyasinda dnpipe' in 2 Mb ile sinirli olduunu açikça görebilmekteyiz. Kuyrua atma ilemini en kolay açiklama yöntemi aaida verilmi olan ekran görüntüsünün arka planda ipfwclassifyd tarafindan nasil kuyrua atildiini incelemekle ortaya çikacaktir.

Resim 7. Web limiter kuralinin web arayüzünde ilenii

Resim 7'de belirtildii gibi bir kural ilenii gerçekletiinde arka planda oluacak çiktilar u ekilde olacaktir:

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

14

pass in quick on $LAN proto { tcp udp } from { 192.168.160.1 } to 192.168.87.2 divert 51391 keep state ( max-packets 5, overload dummynet diverttag ) label "USER_RULE: Layer7 webLim"

Bütün bu ilemler tanimli olan uygulama pattern' leri için geçerlidir. Eer kendinizin kullandii hali hazirda verilmi olan pattern diinda bir pattern kullanmak istiyorsaniz örnek pattern dosyanizi aaidaki gibi web arayüzünden sisteme dahil edebilirsiniz. [6]

Resim 8. Pattern ekleme menüsü

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

15

10. SONUÇ:

Günümüzde ihtiyaçlar yön deitirmeye balamitir. Trafik düzenlemesi için önceleri IPS'ler kullaniliyordu ancak bu donanimlarla yapilan yanli bloklamalar kurumlari baka çözümlere doru yöneltmitir. Günümüzde http download protokolleri çok yüksek band genilikleri tüketmeye balamitir. Bununla beraber kullanicilar p2p uygulamalari ile çekemedikleri filmleri web üzerinden HD yayin olarak kesintisiz bir ekilde izlemeye balamilardir. Bu ise a yöneticilerinin karisinda ciddi sorunlar olarak çikmaya balamitir. Bloklamanin bir çözüm olmaktan çikmitir, aksine insanlari baka arayilara yönlendirmekte ve ticari ürünlerin kullanimini yayginlatirmaktadir. Çözüm ise engellemek yerine belirli protokolleri ve ihlalleri en çok yaratan kullanicilari belirlemek ve bunlara özel bandgenilii tanimlamaktir. L7 filtreleme ise bu süreçte kullanilabilecek en önemli araçlardan birisidir. Bu belgede, bu süreçte kullanilabilecek PFSENSE yazilimi ayrintili olarak ele alinmitir. Pfsense daitimi 2.0 sürümü ile L7 filtreleme özelliini desteklemeye balamitir. Sistem oldukça esnektir ve kisa sürede yaygin bir kullanima ulamitir. Henüz test sürümü bulunmasina ramen, 2010 yili içerisinde tam sürüm daitiminin olacai belirtilmektedir. Dökümanin en güncel sürümüne http://csirt.ulakbim.gov.tr/dokumanlar adresinden ulaabilirsiniz.

KAYNAKLAR:

[1] 2009, http://alper.web.tr/2009/03/16/qosqualityofservice/ [2] 2009, http://www.secretflow.com/icerik.asp?tur=1&aid=90&agac=,35,90, [3] 2009, Huzeyfe ÖNAL, OpenBsd Packet Fitler(PF) ile güvenlik duvari Uygulamalari [4] 2009, http://roadtoqos.wordpress.com/2008/11/13/ipfwclassifyd/ [5] 2009, http://www.pfsense.org/index.php? option=com_content&task=view&id=40&Itemid=43 [6] 2009, L7 Classification and Policing in the pfSense Platform

Vedat FETAH ­ ULAK-CSIRT Web Güvenlii Çalima Grubu (http://csirt.ulakbim.gov.tr)

16

Information

pfSense Platform ile L7 Filtreleme ve QoS Uygulamalari

17 pages

Report File (DMCA)

Our content is added by our users. We aim to remove reported files within 1 working day. Please use this link to notify us:

Report this file as copyright or inappropriate

53590


You might also be interested in

BETA
pfSense Platform ile L7 Filtreleme ve QoS Uygulamalari