Yerel ağınızı İnternet'ten gelen saldırılardan ve davetsiz misafirlerden korumak için Keenetic yönlendiricilerde varsayılan olarak etkinleştirilmiş bir güvenlik duvarı bulunur. Çoğu durumda, varsayılan ayarlar güvenlik için yeterlidir ve güvenlik duvarını daha fazla yapılandırmaya gerek yoktur. Ancak belirli sorunları çözmek için gerekliyse, herhangi bir Keenetic yönlendirici güvenlik duvarı kurallarını yapılandırmak için esnek seçenekler sunar.
Bu makalede, Keenetic'te güvenlik duvarı kurallarının kullanımına dair pratik örnekler vereceğiz. Keenetic yönlendiricilerdeki güvenlik duvarının bazı teorik bilgileri ve ayrıntılı açıklamaları How does a firewall work?
makalesinde bulunabilir .
Önemli! Güvenlik duvarı, bir oturum zaten kurulu olduğunda mevcut bir oturumu kontrol etmeyecek ve ardından o oturumdaki trafiğe ilişkin bir güvenlik duvarı kuralı oluşturulacaktır. Kural, geçerli oturumun zorla veya oturumun ömrü sona erdikten sonra bozulduktan sonra geçerli olacaktır.
Yeni oluşturulan kuralın doğru çalışması için (geçerli/etkin bağlantıları sıfırlamak için), Keenetic'inizde ilgili ağ arayüzünü devre dışı bırakabilir ve tekrar etkinleştirebilirsiniz.
Aşağıdaki örneklere bir göz atalım:
Yerel ağda yalnızca bir bilgisayara İnternet erişimi izni verin ve diğer tüm bilgisayarların erişimini engelleyin.
Yerel ağda yalnızca bir bilgisayarın İnternet erişimini engelleyin.
Yerel ağdan belirli bir web sitesine erişimi engelleyin.
Belirli bir LAN bilgisayarının yalnızca belirtilen bir web sitesine erişmesine izin verin.
Yerel ağdan yalnızca belirtilen protokoller (servisler) aracılığıyla İnternet erişimine izin verin.
Keenetic yönlendiricinizin uzaktan kontrolüne izin verin.
Tanımlı bir İnternet alt ağının veya harici bir ağın IP adreslerinden Keenetic'e erişimi engelleyin.
RDP erişimine yalnızca belirli bir harici IP adresinden izin verin.
LAN'ınızdaki belirli ana bilgisayarların yönlendiricinin web arayüzüne erişmesini engelleyin
Güvenlik duvarı kurallarını Keenetic web arayüzü üzerinden yapılandıracağız. Bunu Güvenlik Duvarı sayfasında yapabilirsiniz.
Not: İnternet erişimini engellemek için güvenlik duvarı kurallarında TCP protokolünü tanımlayacağız çünkü İnternet, TCP/IP ağ veri aktarım protokollerine dayanmaktadır.
Örnek 1. Yerel ağda yalnızca bir bilgisayara İnternet erişimi izni verin ve diğer tüm bilgisayarların erişimini engelleyin.
Bu örnekte, 'Ana segment' arayüzü için iki kural oluşturmanız gerekir.
İlk olarak, kaynak IP adresini (erişime izin verilecek bilgisayarın IP adresi) ve TCP protokol türünü tanımladığınız bir İzin kuralı oluşturacağız.
Daha sonra kaynak IP adresini bir alt ağ (255.255.255.0 maskesine sahip 192.168.1.0) ve TCP protokol türünü tanımladığımız bir Deny kuralı oluşturacağız.
Önemli! Bu kural, İnternet'e erişebilen bir bilgisayardan yapılandırılmalıdır. Aksi takdirde, yukarıda belirtilen kuralları oluşturduktan sonra Keenetic web arayüzüne erişiminizi kaybedersiniz. Bu olursa, ağ bağdaştırıcısı ayarlarında izin verilen IP adresini manuel olarak atayın ve web arayüzüne bağlanın.
Örnek 2. Yerel ağda yalnızca bir bilgisayarın İnternet erişimini engelleyin.
Bu örnekte, Home segmenti için bir kural oluşturmamız gerekiyor. Kaynak IP adresini (erişimin reddedileceği bilgisayarın IP adresi) ve TCP protokol türünü belirlediğimiz bir Deny kuralı oluşturacağız.
Örnek 3. Yerel ağdan belirli bir web sitesine erişimi engelleyin.
Bu örnek yerel ağdaki tüm bilgisayarların Wikipedia sitesi wikipedia.org'a erişimini engelleyecektir.
Önemli! Keenetic router’ların güvenlik duvarı ayarlarında alan adı kullanılamaz, sadece IP adresleri ayarlanabilir.
Kuralları yapılandırmadan önce, kullanmak istediğiniz web sitesinin IP adresini bulmanız gerekir. Bir sitenin birkaç farklı IP adresi olabilir (genellikle amazon.com, google.com, facebook.com vb. gibi büyük kaynakları ifade eder).
Web sitesinin IP adresini bulmanın ilk yolu nslookup <web sitesi adı> özel komutunu kullanmaktır .
Örneğin, işletim sisteminin komut satırında şu komutu çalıştıracağız:
nslookup wikipedia.org
Yukarıdaki komutun sonucu, web sitesinin bulunduğu IP adreslerini görmenizi sağlayacaktır (örneğimizde, wikipedia.org yalnızca bir IP adresi kullanmaktadır, 91.198.174.192).
Web sitesinin IP adresini bulmanın ikinci yolu, özel çevrimiçi hizmetlerden birini kullanmaktır (örneğin, 2ip.io ). Özel bir alanda, ilgilendiğiniz web sitesinin adını belirtmeniz ve 'Kontrol Et' düğmesine basmanız gerekecektir. Bundan sonra, web sitesinin çalıştığı tüm IP adreslerini göreceksiniz.
Artık web sitesinin IP adresini bildiğinize göre, güvenlik duvarı kuralları oluşturmaya başlayabilirsiniz.
Önemli! Web siteleri sadece HTTP üzerinden değil HTTPS üzerinden de çalışabilir.
Web sitesi bu örnekte tek bir IP adresi kullandığından, trafiği protokollerle engellemek için Ana segment için iki kural oluşturalım: biri HTTP için, diğeri HTTPS için. Hedef IP adresini (erişimi reddedilecek sitenin IP adresi) ve protokol türünü (HTTP ve HTTPS) belirtmek için Reddetme kuralları oluşturun.
Örnek 4. Belirli bir yerel bilgisayarın yalnızca belirtilen bir web sitesine erişmesine izin verin.
Bu örnekte, 192.168.0.31 IP adresine sahip yerel bir bilgisayarın yalnızca wikipedia.org web sitesine erişmesine izin verelim.
Bu bilgisayar için diğer İnternet sitelerine erişim engellenecektir.
Öncelikle ihtiyacımız olan web sitesinin IP adresini bulalım. Örneğimizde bu wikipedia.org'dur ve IP adresi 91.198.174.192'dir. Web sitesinin IP adresini bulma hakkında detaylı bilgi bu kılavuzun Örnek 3'ünde bulunabilir.
Bu örnekte, 'Ana segment' için üç kural oluşturmanız gerekir. İlk olarak, kaynak IP adresini (erişime izin vermek istediğiniz bilgisayarın IP adresi), hedef IP adresini (erişime izin vermek istediğiniz web sitesinin IP adresi) ve HTTP ve HTTPS protokol türlerini tanımlayan bir İzin kuralı oluşturacağız.
Daha sonra, kaynak IP adresini (erişimin engelleneceği bilgisayarın IP adresi) ve TCP protokol türünü (İnternet erişimini engellemek için) belirttiğimiz bir Reddet kuralı oluşturacağız.
Örnek 5. Yerel ağdan yalnızca belirtilen protokoller (hizmetler) aracılığıyla İnternet erişimine izin verin.
Yerel bilgisayarların internete yalnızca HTTP, HTTPS, FTP, SMTP, POP3, IMAP ve DNS üzerinden erişmesine izin verelim ve diğer tüm trafiği engelleyelim.
Bu örnekte, 'Ev segmenti' için kurallar oluşturmanız gerekir. Öncelikle, 'Kaynak IP' ve 'Hedef IP' alanlarında 'Herhangi biri' değerini belirttiğimiz ve 'Protokol' alanında listeden gerekli protokol (hizmet) türünü seçtiğimiz İzin Verme kurallarını oluşturacağız. Ardından, 'Kaynak IP' ve 'Hedef IP' alanlarında 'Herhangi biri' değerini ve 'Protokol' alanında İnternet erişimini engellemek için TCP ve UDP değerini belirlediğimiz iki Reddetme kuralı oluşturacağız.
Önemli! İnternetin doğru çalışması için, sitelerin/alan adlarının sembolik adlarının IP adreslerine (ve tersi) dönüştürülmesini sağlayan Alan Adı Servisi'ne (TCP/53, UDP/53) sahip olmak gerekir.
Örneğimizde aşağıdaki güvenlik duvarı kuralları kümesine sahibiz:
Örnek 6. Keenetic yönlendiricinin uzaktan kontrolüne izin verin.
Önemli! Bir Keenetic yönlendiriciye (web arayüzü) harici bir ağdan (İnternet) erişim varsayılan olarak engellenmiştir. Bu, cihaz ve yerel ağ güvenliği için uygulanır.
Yönlendiricinin küresel ağa bağlandığı harici arayüzde (WAN) genel bir IP adresi varsa, cihaza İnternet üzerinden erişim mümkündür . Özel IP adresine sahip bir yönlendiriciye erişmek için KeenDNS hizmetini kullanmalısınız .
Bu örnekte, yönlendiricinin internet üzerinden uzaktan kontrolünü sağlamak için bir güvenlik duvarı kuralı oluşturacağız (özellikle cihazın web arayüzüne bağlanmak için).
Ayrıca internetten ICMP ping isteklerine de izin vereceğiz (bu, cihazın ağda kullanılabilirliğini kontrol etmenize olanak tanır).
Güvenliği arttırmak için, yalnızca tanımlanmış bir genel IP adresinden (örneğimizde 93.94.95.96 IP adresinden) harici ağdan uzaktan kontrol ve ping yapılmasına izin vereceğiz.
Önemli! Eğer genel bir IP adresi kullanıyorsanız, Keenetic web arayüzüne erişime izin vermenizi ve genel (global) ağdan tüm kullanıcılara ping isteklerine izin vermenizi önermiyoruz.
Bu örnekte, 'Sağlayıcı' harici ağ arayüzü için kurallar oluşturmamız gerekiyor. Bu, İnternet'e eriştiğiniz arayüz anlamına gelir (PPPoE, PPTP, USB LTE, Yota, vb. olabilir).
'Kaynak IP' alanını (İnternet üzerinden erişime izin verilecek bilgisayarın genel IP adresi) dolduracağımız ve 'Protokol' alanında 'TCP/80 (HTTP)' seçeneğini seçeceğimiz bir İzin kuralı oluşturacağız.
Daha sonra benzer bir kuralı ICMP protokolü için (ping aracı için) oluşturacağız.
Böylece Keenetic router'a ping atmak (ICMP üzerinden) ve web arayüzüne erişmek (HTTP üzerinden) sadece belirli bir IP adresinden internet üzerinden mümkün olacaktır.
Önemli! Bir web tarayıcısında, web arayüzüne erişmek için küresel ağdaki Keenetic'in genel WAN IP adresini kullanmanız gerekir (bunu Keenetic'in web arayüzünde, 'Sistem panosu' başlangıç sayfasında, 'İnternet' bilgi panelinde, 'IP adresi' satırındaki 'Daha fazla ayrıntı'ya tıklayarak görebilirsiniz). Tarayıcıdaki adres http:// ile başlamalıdır, yani http://IP adresi (örn. http://89.88.87.86).
Örnek 7. Tanımlı bir İnternet alt ağının veya harici bir ağın IP adreslerinden Keenetic'e erişimi engelleyin.
İnternet'ten bilinmeyen IP adreslerinden yönlendiricinin WAN portuna sık sık erişim girişimleri (bir saldırı) tespit ettiğinizi düşünün. Örneğin, bağlantı girişimleri farklı IP adreslerinden gelir, ancak hepsi aynı 115.230.121.x alt ağına aittir.
Bu durumda, Keenetic harici arayüzü 'Sağlayıcı'da (veya İnternet'e erişilen başka bir arayüzde) 115.230.121.x alt ağının IP adresleri için WAN portuna erişimi engellemek gerekir.
TCP/UDP/ICMP(ping) trafiği için Deny kurallarını oluşturalım, burada 'Alt Ağ' değerini 'Kaynak IP' olarak ayarlamalı ve alt ağ adresini ve maskesini belirtmeliyiz. /24 (255.255.255.0) önekine sahip bir alt ağ maskesi kullanırken, alt ağın IP adresi 0 ile bitmelidir (bu örnekte 115.230.121.0'dır).
Örnek 8. Yalnızca belirli bir harici IP adresinden RDP erişimine izin verin.
Bir Keenetic yönlendiricinin, İnternet'ten bir ev bilgisayarına RDP (TCP/3389) üzerinden bağlantıya izin vermek için bir port yönlendirme kuralı kullandığını varsayalım. Ancak bu durumda, port İnternet'ten gelen herhangi bir IP adresine açık olacaktır. Güvenlik nedenleriyle yalnızca belirli bir harici IP adresinden RDP erişimine izin vermeniz önerilir. Bu, İnternet'e erişilen harici arayüzdeki güvenlik duvarı kuralları kullanılarak yapılabilir.
TCP 3389 portundaki belirli bir IP adresinden erişim için bir izin kuralı oluşturun ve ardından TCP 3389 portundaki tüm IP adresleri için bir reddetme kuralı oluşturun.
Örneğimizde, yalnızca genel IP adresi 93.94.95.96'dan gelen bağlantılara izin verilmektedir.
Önemli! Yönlendirme kuralında hedef port eşlemesini yapılandırdıysanız (örneğin 4389'dan 3389'a), güvenlik duvarı kuralında yerel ağdaki sunucuda kullanılan gerçek hedef port numarasını, yani 3389'u belirtmeniz gerekir.
Örnek 9. LAN'ınızdaki belirli ana bilgisayarların yönlendiricinin web arayüzüne erişmesini engelleyin
Yerel ağınızdaki bazı cihazlar için 192.168.1.1 ve my.keenetic.net adresindeki Keenetic web arayüzüne erişimi engellemeniz gerekiyorsa, bunu LAN arayüzünde (varsayılan olarak 'Ev segmenti' arayüzüdür) oluşturulan güvenlik duvarı Reddetme kurallarını kullanarak yapabilirsiniz.
IP adresi 192.168.1.143 olan cihazın router'ın web arayüzüne erişimini engelleme örneğini inceleyelim.
Örneğimizde iki Reddetme kuralı ekledik. Kaynak adres, yönlendiricinin web arayüzüne erişimini engellemek istediğimiz yerel ağ ana bilgisayarının IP adresidir. 192.168.1.1'e erişimi engelleme kuralında hedef portunun TCP/80 olarak ayarlanması gerektiğini ve my.keenetic.net'e erişimi engelleme kuralında hedef adresinin 78.47.125.180 (my.keenetic.net etki alanı adına bağlı IP) ve TCP/443 portu olması gerektiğini unutmayın (çünkü etki alanı adına erişim otomatik olarak HTTPS protokolüne yönlendirilir).
Bir ana bilgisayarın yerel ağdan yönlendiricinin web arayüzüne erişimini engellemek için bir örnek gösterdik, ancak benzer şekilde diğer ana bilgisayarlar için de kurallar oluşturulabilir.
Not
Soru: Güvenlik Duvarı kurallarını kullanarak yerel bir ağdaki yalnızca iki ana bilgisayar arasındaki trafiği engellemek mümkün müdür?
Cevap: Güvenlik Duvarı, aynı LAN'daki iki ana bilgisayar arasındaki trafiği engelleyemez çünkü ana bilgisayarlar aynı segmenttedir ve aralarındaki iletişim OSI modelinin ikinci katmanında gerçekleşir. Güvenlik duvarı, OSI modelinin 3. katmanında çalışır.
Trafik yalnızca farklı ağ segmentlerindeki ana bilgisayarlar arasında engellenebilir - 'izole-private' işlevini etkinleştirerek (segmentler arasındaki tüm iletişimi engeller) veya yalnızca bazı ana bilgisayarlar için erişimi engelleyen ayrı Güvenlik Duvarı kuralları kullanarak.
by Keenetic
Makale dilimize çevirilmiştir...