• 3 ağ arabirim(NIC) kartlı bilgisayar
• İnternet bağlantısı (sabit veya dinamik IP adresi)
• Bir veya iki adet switch
• pfSense güvenlik duvarı ve
• Biraz Linux ve network bilgisi

PROJE:1. pfsense kurulumu

• pfSense‘ i  bilgisayarınıza yükleyin
• 1. ağ kartına internet sabit IP adresini (96.96.96.200), 2. karta sabit LAN IP adresini (örneğin 192.168.0.1) ve 3. karta da sabit DMZ için bir IP adresi tayin edin (örneğin 192.168.1.1)
• Yerel ağdaki bilgisayarlara dinamik IP adresi tayin etmek için LAN arayüzünde DHCP’ yi aktif hale getirin IP aralığını 192.168.0.100 – 192.168.0.150 olarak ayarlayın
• pfSense kontrol paneline http://192.168.0.1 IP adresinden ulaşın (kullanıcı adı: admin, şife: pfsense)
• Internet sağlayıcınızın vermiş olduğu birincil (primary) DNS sunucusu ve ikincil (secondary ) DNS sunucusu adreslerini konfigürasyon sayfasında girin.
• WAN arayüzünde internet sağlayıcınızdan aldığınız sabit IP, Gateway IP adreslerini kullanarak gerekli alanları doldurun
• Kullanıcı adını ve şifreyi değiştirin
• System-> User Manager’ den 80 port adresini 8080 olarak değiştirin
• Uyarılar için SMTP e-mail bilgilerini değiştirin

PROJE:2. pfSense’ de yerel ağ kurma

• Switch’ i pfsense’ in LAN arayüzü kartına ağ kablosu ile bağlayın
• Diğer bilgisayarları ağ kablosu ile bu switch’ e bağlayın
• Bilgisayarlardan google.com’ a ulaşın

PROJE:3. pfSense’ de DMZ (De-Militarize Zone / Silahsızlandırılmış Bölge)  kurma

• Switch’ i pfsense’ in OPT1 veya DMZ için ayrılan arayüzü kartına ağ kablosu ile bağlayın
• DMZ trafiğinin yerel ağa ulaşmasını Firewall Rules menüsünden engelleyin fakat yerel ağ trafigi DMZ’ ye ulaşabilsin
• Bir sunucu bilgisayarını ağ kablosu ile bu switch’ e bağlayın (örneğin, web sunucusu)
• Port 80′ i Firewall Rules menüsünden sunucu için açın
• Bu sunucudan internete ve internetten web sunucunuzdaki bir siteye ulaşın

Detaylı Bilgi: Link 1 Link 2 Link 3 Link 4 Link 5
PROJE:pfSense’ de pfBlocker (Ülke bazında IP engelleme listesi) kurma

• pfSense Paket Menajerinden  PfBlocker’ ı indirin ve yükleyin
• PfBlocker’ ı aktif hale getirin
• Bazı ülkeleri engelleyin
• SpanHaus.org gibi IP engelleme listelerini ekleyin
• PfBlocker’ ı widget olarak dashboard’ a ekleyin

Kaynak : 2015 sonrası güncellenmeyen ve kaybolup gitmesini istemediğim blog yazılarının yer aldığı bilgisayar.me sayfası.

pfSense Güvenlik Duvarı Projesi yazısı ilk önce İNTERNET ALEMİ üzerinde ortaya çıktı.

Ağ güvenliğinde ki tehditleri fiziksel ve internet olarak tanımlayabiliriz.

Fiziksel Güvenlik ve Tehditler

Fiziksel güvenlik internet güvenliğinden önce gelir. Fiziksel güvenlik, kurum veya kuruluşlara ciddi zarar veya hasara yol açabilecek yangından korunma, doğal afetler, hırsızlık, vandalizm ve terörizm vb. gibi tehditlerden personel, donanım, programlar, ağlar ve verilerin fiziksel olarak korunmasıdır. Bir sunucunun mükemmel olarak yazılım bakımından güvenli hale getirilmesi, bu sunucu fiziksel olarak zarar gördüğünde bunun bir yararı olmayacaktır. Fiziksel güvenliğin kurumsal bilgilerin korunması açısından önemli bir bileşen olduğunu unutmamalıyız.

• Sunuculara izinsiz olarak fiziksel ulaşım engellenmelidir.
• Sunucu odaları ayak altında olmamalıdır. En ücra yerlerde olmasa bile ulaşımı zor yerlerde bulunmalıdır.
• Sunucu oda giriş kapıları sağlamlaştırılmalı ve kolay açılabilecek veya kırılabilecek kapılardan uzak durulmalıdır.
• Sunucu odaları mümkün olduğunca kilitli tutulmalıdır. Mümkünse anahtar yerine kartlı veya şifreli sistemler kullanılmalıdır.
• Eğer sunucu odası ayrı veya tenha bir yerde ise kameralarla 24 saat izlenilmesi yerinde olacaktır.
• Sunucular ve diğer cihazlar ısı yaydıklarından, oda sıcaklığı belli bir seviyede tutulmalıdır. Bir insanın rahat ettiği sıcaklık yeterlidir. Normali 10 ila 25 derecedir.
• Perdeler, kağıt tomarları ve diğer yanıcı maddeleri sunucu odalarında bulundurulmamalıdır.
• Sunucu odalarında yemek, içmek ve sigara içimi yasaklanmalıdır.
• Sunucu odaları yüksek rutubetten, yangınlardan ve  diğer dogal afetlerden korunmalıdır.  Rutubet ölçer cihazları, otomatik yangın detektörleri bulundurmak yararlı olacaktır.

İnternet Üzerinden Gelen Tehditler

• Virusler, wormlar, and Trojan atları
• Spyware and adware
• Zero-day (sıfır-gün ya da sıfır-saat) saldırıları
• Hacker saldırıları
• Denial of service saldırıları
• Veri durdurma (Data interception) ve hırsızlık
• Kimlik hırsızlığı

Alınması Gereken Önlemler

• Güvenlik ilkeleri.
• Sunucuların güvenli yerde muhafaza edin.
• Ağınıza izinsiz erişimi engellemek için güvenlik duvarını
• Hızlı yayılan tehditleri  sıfır-gün ya da sıfır-saat vb. gibi saldırıları tanımlamak ve önlemek için saldırı önleme sistemleri (IPS) kurun.
• Güvenli uzaktan erişim sağlamak için sanal özel Ağ (VPN) kullanın.
• Bilgisayarları ağa sürekli bağlı bırakmayın.
• Şifre uzunlukları en az 8 karakter olmalı. En az bir büyük harf, bir sayı ve bir özel karakter kullanın. Böylece kırılması çok zor bir şifreye sahip olacaksınız. Örneğin, Burs@2@15
• Parola İlkesi.
• Her 30 ila 90 gün arasında sifrelerinizi değiştirin.
• Şifreleriniz için kelimeleri veya isimleri kullanmayın. Şifreleri hatırlamakta zorluk çekiyorsanız kolayınıza gelen bir cümle bulun ve ilk harflerini şifrenizde kullanın ve istediğiniz bir yerine özel karakter koyun. Örneğin “Bugün 20 lira kazandılar”. B20lk@
• Sunucuda hesap kilitleme politikası uygulayın. Bir kimse 5 denemede de şifresini yanlış girerse, kullanıcı adını kilitleyin. Hesap kilitleme politikası  sözlük türü şifre kırma programlarının kullanılmasını önler.
• Sadece Ağ yöneticileri veya izni olanlar sunuculara yazılım yüklemeliler veya güncellemelidirler.
• Sadece Ağ yöneticileri yönetici hesaplarına erişim sağlamalılar.
• Günlük işlerde yönetici düzeyindeki hesaplar kullanılmamalıdır.
• İnternette 60.000 ‘den fazla virüs vardır, ve sayı her geçen gün artmaktadır. Bu virüsler ağınıza gerçek bir tehdittir. Bu yüzden ağa bağlı cihazlarda anti virüs yazılımı yüklendiğine emin olun ve her üç-dört günde güncelleyin.
• Dışarıdan ağa bağlanan her cihazı tehditlere karşı tarayın.
• Eğer sadece bir pc’ ye virüs bulaşmış olduğunu düşünüyorsanız, bu pc’ i hemen ağdan çıkarın ve antivirüs yazılımlarınız ile tarayın. En iyisi bilgisayarı formatlamak olacaktır.
• Virüsler en kolay e-posta ile bulaşırlar. Sadece açılan basit bir e-posta virüslü olabilir. E-posta ekleri için altın kural: ne olduğunu bilmiyorsanız, açmak için bir nedeniniz yoksa, kimden olursa olursa olsun, silin.  .exe, .vbs vb. gibi dosyalara özellikle dikkat edin.  E- postada dosya eki varsa, ilk mesajın dışına kaydedin ve açmadan önce anti virüs yazılımı ile tarayın. Şirket e-postalarını kişisel e-postalarınız için kullanmayın.
• Tüm sunucular ve bilgisayarlarda hizmet paketlerini ve güvenlik güncelleştirmelerini sürekli yapın.

Ağ güvenliğini sağlamak ağ yöneticilerinin en öncelikli görevlerinden biri olmalıdır. Ağ güvenlik stratejimizi doğru yaptığımız takdirde herhangi bir davetsiz misafir ağımıza zarar veremeyecektir veya zararı çok az olacaktır.

Ağ güvenliği tehditlerini en aza indirmek için öneriler yazısı ilk önce İNTERNET ALEMİ üzerinde ortaya çıktı.

Güvendiğiniz yerden gönderildiğini zannettiğiniz e-postayı açtığınızda ve içindeki bir bağlantıyı tıkladığınızda, siz bankanızın meşru web sayfasını ziyaret ettiğinizi zannederken farkında olmadan kopyalanmış olan banka sitesini ziyaret ediyor olabilirsiniz. Kullanıcı adınızı ve şifrenizi girdiğinizde, girdiğiniz bu bilgiler ele geçirilir ve sizi gerçek bankanızın hata oluştu web sayfasına gönderir. Bu da size kullanıcı bilgilerinizi yanlış girdiğinizi düşündürür. Bilgilerinizi tekrar girersiniz ve hesaplarınıza ulaşırsınız. Ertesi gün bir bakmışsınız, hesabınız boşalmış. Bu gibi durumlardan sakınmak için uygulanacak en güvenlikli yol, tıklanan bağlantının sizi doğru web sitesine yönlendirdiğini kontrol etmektir.

Örneğin, gelen bir e-posta ile TC kimlik Numaranızı sorgulamak istediniz. bağlantının üzerini tıkladınız ve siz T.C. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ ün sayfasına gittiginizi zannederken aslinda Bilgisayar.me sitesine yönlendirildiniz ve bilgilerinizi girdiniz. Bu dikkatsizliğinizin sonucunda kimlik bilgileriniz çalındı ve kimlik hırsızlığı mağduru oluverdiniz.

Aşağıdaki bağlantıyı tıklarsanız T.C. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü sitesi yerine internetalemi.net  sitesine yönlendirileceksiniz.

T.C. Kimlik No Sorgulama

O kadar dikkatli ve bu konuda bilgi sahibi olmama rağmen geçen yıl bir anlık dikkatsizliğim yüzünden az daha bende yemleniyordum. Ebay’ den geldiğini zannettiğim bir e-postadaki bağlantıyı tıkladım.  Kişisel bilgilerimi girdim. Bir hata oluştu sayfası ile karşılaştım ve site bilgilerimi tekrar girmemi istedi. Girdim ve hesabıma ulaştım. Bir kaç dakika sonra e-postama bakarken, şans eseri tıkladığım bağlantının Ebay’ e ait olmadığını fark ettim. Anında Ebay sitesine tekrar gidip, kullanıcı adımı ve şifremi değiştirdim. Eğer bunun farkına varmasaydım, büyük ihtimalle adıma onlarca sipariş verilecekti.

Adres çubuğunda mutlaka kilit simgesi olmalı. Adres Https:// ile başlamalıdır. Http den sonra gelen “s” işareti alanın SSL güvenlik sertifikası olduğunu göstermektedir.

Önlem

Yemlenmemek için alınması gereken en önemli önlem, belkide tek önlem

• Size gelen e-postanın üzerindeki bağlantıların sizi doğru siteye yönlendirdiğinden emin olmaktır.

E-postadaki bağlantıya tıkladığınızda, tarayıcınız açılacak ve sizi tıklanan bağlantıya yönlendirecektir. Dikkat etmeniz gereken husus tarayıcınızın adres barıdır. Adres barına bakarak, gerçekten doğru adrese mi yönlendirildiniz kontrol edebilirsiniz.

Aşağıdaki bağlantılar gerçek alan adına çok benzese de, meşru yani VakıfBank’ a ait alan adları değillerdir. Kötü niyetli biri gerçeğine çok yakın olan bu alan adlarından birini satın alabilir.  Ardından, ele geçirdiği e-postalara sanki VakıfBank’ tan geliyormuş gibi e-posta gönderir. VakıfBank’ ta hesabı olanlar gelen bu e-postadaki bağlantıya tıklar. Tıklayan dikkat etmediğinden http://vakifbank.com.tr/ adresi yerine http://vakifbanks.com.tr/ yönlendirilir ve farkında olmadan kişisel bilgilerini sahte sitede çaldırır.

http://vakifbanks.com.tr/
http://vakiflarbank.com.tr/
http://vakifbankası.com.tr/

Diğer alınması önemli adımlar

• Tarayıcınıza adresleri doğrudan yazın veya kişisel yer imleri kullanın.
• Kişisel veya mali bilgilerinizi girmeden önce sitenin güvenlik sertifikasını kontrol edin.
• Gelen e-posta’nın kimden geldiğinden emin olun.
• E-posta mesajlarının bağlantılarına tıklamayın.
• Her gelen e-posta ile gelen eki hemen açmayın.
• E-posta yolu ile kişisel bilgileriniz isteniyorsa, unutmayın ki hiç bir kurum veya kuruluş mail yoluyla sizden kişisel bilgilerinizi istemez.

Kaynak : 2015 sonrası güncellenmeyen ve kaybolup gitmesini istemediğim blog yazılarının yer aldığı bilgisayar.me sayfası.

E-Posta Yemleme / Oltalama ( Phishing) yazısı ilk önce İNTERNET ALEMİ üzerinde ortaya çıktı.

VPN kullanın.
İnternette gizliliğe önem veriyorsanız gizlilik gerektiren durumlardan VPN güzel bir çözümdür. Bankacılık vb. işlemlerinizde kullanmamanızı özellikle öneririz.

Her tarayıcı ve arama motorunu kullanmayın.
Chrome, Opera(Bütünleşik VPN özelliği bulunuyor.), Firefox öneriyoruz. Yalnız tarayıcınızın her zaman güncel olduğundan emin olunuz.

Fotoğraf ve kişisel bilgi paylaşmayın.
Gizliliğe önem veriyorsanız gizli kalınız 🙂

Özellikle phishing saldırılarına dikkat edin.
Önünüze gelen her maili açmayın. Kimse size mail yolu ile lotodan 1 milyon dolar kazandığınızı söylemez. Eklentileri ki şu aralar özellikle PDF eklentilerini kesinlikle açmayın. Antivirüs programınızla eklentileri taratın.

Şifrelerinizde sayı, büyük-küçük harf ve noktalama işareti bulundurun.
IntAlemi20784..#!

Belli aralıklarla MalwareHunter programı ile sisteminizi taratınız. Antivirüs programınızı tüm bilgisayarı tarayacak şekilde çalıştırınız. Total360 veya Ccleaner programı ile gereksiz programlardan kurtulunuz.

Güvenli internet için küçük öneriler yazısı ilk önce İNTERNET ALEMİ üzerinde ortaya çıktı.