Asimetrik Hatlarda Trafik izleme ve IDS/IPS Calistirma

Asimetrik hatlar, iletisimin bir hattan baslayip diger hattan devam ettigi hatlardir. Bu tip baglantilarda hem güvenlik duvarlari hem de aradaki izleme/engelleme cihazlari oldukca zorlanir. Bunun sebebi TCP gibi protokollerde oturum bilgilerinin tam tutulamamasidir.

Mesela bir TCP baglantisinda ilk paket olan SYN 1. hattan gider, cevabi olacak SYN/ACK paketi 2. hattan döner. Durum böyle olunca trafigi izlemeye çalisan IDS/IPS/NSM benzeri sistemler oturum bilgisini tam tutamadigi için saglikli çalismazlar.

Her üreticinin bu tip durumlar için bir çözümü vardır ve genelde yapılan iki farklı hattan gelen uçları link aggregation yaparak tek bir sanal arabirimde birleştirmek ve bu arabirim üzerinde IDS/NSM çalıştırmaktır.

Yine böyle bir yapıda pasif olarak iki hattı(asimetrik) birleştirip trafik analizi yapmam gerekti. Altyapıda FreeBSD kullandığım için  FreeBSD’nin network aggregation özelliğini kullandım. Aşağıdaki ayarlar basitce FreeBSD üzerinde link aggregation işlemini yapmanızı sağlayacaktır.

#kldload if_lagg

#ifconfig lagg0 create

#ifconfig lagg0 laggproto lacp laggport rl0 laggport rl1

Detay bilgiyi aşağıdaki linklerden alabilirsiniz.

http://www.cyberciti.biz/faq/freebsd-network-link-aggregation-trunking/

http://www.freebsd.org/doc/en/books/handbook/network-aggregation.html

This entry was posted in FreeBSD, IDS/IPS/IDP, Misc, Network Security, Sniffer and tagged , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

fourteen − eleven =