Sistem ve Network Notlarım

Bugün Juniper SSG-5  kurulum makalesini yayınladım. Şu anda Transparent Mode için makale hazırlıyorum ve daha sonra VPN makalelerine geçeceğim.

GFI ‘ ın Mailsecurity makalesini bugün yayınladım. SMTP Gateway Mode daki kurulumu anlattım ve normal kurulum ile aralarındaki  farklılıkları anlatmaya çalıştım.

Geçen Cuma Juniper ‘ ın JN0-400 kodlu sınavına girdim ve geçtim. Kolay bir sınavdı, simulasyon yoktu. Geçme notu 80. 90 dakikaka süre veriyorlar ve çok yeterli bir süre. Fast Tracking Program daki materyellerle çalıştım.

Merhaba,

Uzun zamandır blog la ilgilenemedim. Bugün Trend Micro’ nun Worry-Free Business Security Advanced makalesini yayınladım. Juniper SSG Firewall ‘um gelir gelmez, Juniper makalelerine de bağlayacağım.  Kapsamlı bir seri yazmayı düşünüyorum. Şimdilik görüşmek üzere.

Juniper’ in yaptığı duyuruda, 29 Ocak tarihinde Deep Inspection sertifikasının süresi sona erdi. Kullanıcıların bir keze mahsus manuel olarak Deep Inspection sertifikasını güncellemeleri gerekecek. Güncellemedikleri takdirde Deep Inspection Update lerini alamayacaklar. Juniper üzerinden kontrol ettiğimizde sertifikanın 2010 yılında expire olacağı yazmakta fakat server tarafındaki sertifikanın süresi bitmiş. ScreenOS 5.4.0r9 (ocak sonu olarak planlanmıştı) ve ScreenOS 6.0.0r4 versiyonlarda sertifika otomatik olarak yayınlanması planlanmış.

Etkilenen Platformlar:

ScreenOS 5.x
SSG Series
ScreenOS 6.x
NetScreen Firewall/VPN

Knowledge Base:

http://kb.juniper.net/KB10239

Juniper Ex-Serisi yeni swtich lerini dün itibari ile web sitesinde tanıttı. EX 3200 ve EX 4200 serisi switch ler Mart 2008 de satışa sunulacak. EX 3200 serisi  USD $4,000 den başlayacak . EX 4200 sersi ise $6,000 den başlayacak(Yurt dışı fiyatları). EX 8200 serisi ise 2008 ortalarına doğru satışı olacak. Switch ler üzerinde JUNOS^TM software koşturulacak.  Demo için:

http://www.juniper.net/index.html

Juniper’ın ScreenOS 6.1.0r1 Upgrade 22 Ocakta yayınlandı. Bir önceki sürümü 6.0.0r4 idi. Belirtmekte fayda var Juniper, hala önerilen platform olarak 5.4′ü gösteriyor.

Rapidshare i Web Filtering, Remote Proxies Categorisinde aldığımızda bloklanıyordu. Bugün bir kullanıcının Rapidshare ‘den bloke yememesi dikkatimi çekti.  Juniper KB araştırmam sonucunda, nedense Surfcontrol onu artık Computing & Internet kategorisine atmış olduğunu gördüm. Bence iyi yapmamış :). Microsoft Sitelerine (Update de dahil) girilemiyor. Hatta iexplorer’ ın  standarta açılış olan (http://go.microsoft.com/fwlink/?LinkId=69157) sayfası bloke oluyor. Ben tekrar Remote Proxies alınmasında talepte bulundum. (Aslında Download adında bir kategori de toplanmasında yarar var diye düşünüyorum) İlgili Knowledge Base:

http://kb.juniper.net/CUSTOMERSERVICE/index?page=kbdetail&record_id=0244022611e8310108012c3c1904bad

Günümüz network yapısında Internet bant genişliklerinde büyük değişiklikler olmuştur. Eskiden çok düşük bant genişliklerinde işlerimizi yapmaya çalışırdık. Günümüz teknolojisinde hıza dair çok büyük gelişmeler olmuştur. Bu da paralel olarak bir takım servislerde daha yüksek bant genişliği ihtiyacı doğmuştur. Bir çok kullanıcının ve admin’ in yanlış bildiği şey, daha hızlı bir bant genişliğinin daha sağlıklı bir servis yapısında çalışacağıdır. Bu doğru değildir. Bant genişliğinde bilinmesi gereken “first-come-first-serve” kuralıdır. Yani kim önce gelirse bant genişliği o servise sağlanır. Bu nedenle bant genişliğinizi 2 katına çıkardığınızda öncelik vermek istediğiniz servis sağlıklı çalışmayacaktır, bu nedenle kesintiler ve yavaşlama söz konusu olacaktır. Örnek vermek gerekirse, yapınızda VOIP var ise network’ün yoğun olduğu zamanlarda konuşmalarda kesintiler yaşamanız muhtemeldir. Bu safhada Juniper SSG serisinde Trafic Shaping devreye girer ve QoS (Quality of Service) sağlanır.

Trafic Shaping Nasıl Çalışır?

Trafic Shaping servis kalitesini öncelik sırasına göre belirler ve belirlenen kurala göre stabilizeyi sağlar. Trafic shaping konfigürasyonu üç ana seçenekte incelenebilir

1. Interface tabanlı trafic shaping

2. Policy bazlı trafic shaping

3. Öncelik bazlı trafic shaping

Policy bazlı Traffic Shaping’i inceliyelim. Policy üzerinde edit dedikten sonra advanced sekmesinde ulaşıyoruz.

Guaranteed Bandwidth : Policy üzerinde hızın garanti edilmesini sağlar yani minumun değer olarak ta belirtilebilir.Kbps olarak belirtilir.

Maximum Bandwidth: Maksimum kbps olarak atanacağı değerdir.
0 değer girildiğinde limit olmadığı anlamına gelir.

Traffic Priority: Öncelik belirttiğimiz yerdir.

Burada guarantee bandwidth ayarları çok önemlidir. Örneğin, 1024 mbps bir adsl hattınız var diyelim. Siz 4096 mbps garanti ederseniz ciddi probleminiz olacaktır. Çünkü trafic shaping tüm band genişliğini bu trafik için ayıracak ve diğer kullanıcıların oluşturacağı trafik için bandwidth kalmayacaktır.

Konsol (CLI) üzerinden komut koşturulması :

Syngress-> set policy from trust to untrust any any HTTP permit traffic gbw 100

priority 0 mbw 200 dscp enable

policy id = 2

Syngress-> get policy id 2

name:”none” (id 2), zone Trust -> Untrust,action Permit, status “enabled”

src “Any”, dst “Any”, serv “HTTP”

Policies on this vpn tunnel: 0

nat off, url filtering OFF

vpn unknown vpn, policy flag 4000, session backup: on

traffic shapping on, scheduler n/a, serv flag 00

log no, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0

total octets 0, counter(session/packet/octet) 0/0/0

priority 0, diffserv marking On

tadapter: state on, gbw/mbw 100/200

No Authentication

No User, User Group or Group expression set

Syngress-> set policy from trust to untrust any any FTP permit traffic gbw 0

priority 0 mbw 200 dscp enable

policy id = 3

Syngress-> get policy id 3

name:”none” (id 3), zone Trust -> Untrust,action Permit, status “enabled”

src “Any”, dst “Any”, serv “FTP”

Policies on this vpn tunnel: 0

nat off, url filtering OFF

vpn unknown vpn, policy flag 4000, session backup: on

traffic shapping on, scheduler n/a, serv flag 00

log no, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0

total octets 0, counter(session/packet/octet) 0/0/0www.syngress.com

priority 0, diffserv marking On

tadapter: state on, gbw/mbw 0/200

No Authentication

No User, User Group or Group expression set

Syngress-> save

Interface üzerinden
bandwidth :

Network | Interfaces

Edit

Traffic Bandwidth:

Ingress Maximum Bandwidth

Egress Maximum Bandwidth

OK

Ben, sizlere Traffic Shaping hakkında giriş seviyesinde bilgiler vermeye çalıştım. Trafic Shaping geniş ve kompleks bir konudur. Bir protocol için kural yazmadan önce o protokole hakim olmak gerekmektedir. Örneğin http protokolünü ele alalım. Web sitelerde genelde düşük çözünürlüklü imaj ve text-based olmaktadır. Bant genişliğiniz sınırlı ise Bu protokole gereğinden fazla bant genişliği atanması diğer protokollerin sağlıklı çalışmamasına sebep olabilir. Bunun için gözlem ve protokollerin davranışlarını çok iyi bilmeliyiz.

Trend Micro’nun son bölüm olan makalesi de yayında.