Net Admins » Juniper Networks

پیکربندی‎ Juniper Netscreen 50 ‎در حالت‎ transparent‎

omid mohajerani — Fri, 08 Feb 2008 21:16:31 +0000

دستگاههای juniper Netscreen در سه حالت پیکربندی می شوند :

1- NAT

2 – Route

3- transparent

توضیحات این سه حالت را در پست قبلی به تفصیل دادم . ولی چون در این پست به طریقه پیکربندی این فایروال در حالت transparent می پردازم نحوه کار فایروال در این حالت و همچنین مزیت های این حالت را براتون توضیح میدم.

در حالت شفاف کارت شبکه های فایروال آدرس دهی آی پی نمی شوند و در نتیجه قابل شناسائی نبوده و عملیاتی نظیر پویش پورت نمی تواند علیه آنهاصورت پذیرد. در این حالت دستگاه مانند یک رابط بین اینترنت و شبکه قرار گرفته و ترافیک عبوری را با توجه به سیاست های تعریف شده permit یا Deny می کند . شاید بزرگترین مزیت پیکربندی فایروال در این حالت عدم نیاز به آدرس دهی آی پی و در نتیجه عدم نیاز به تغییر توپولوژی شبکه باشد . البته باید توجه داشت که در این حالت به علت تبدیل شدن دستگاه به یک دستگاه لایه 2 از قابلیت های آن در لایه 3 مانند مسیریابی یا NAT نمی توان بهره برد.

ZONE :

قبل از ادامه مطلب باید با مفهوم zone دردستگاه های Juniper آشنا شوید .اگر تا به حال DNS را برای یک شبکه چندین قسمتی پیکربندی کرده باشید خوب با این مفهوم آشنایی دارید . zone را یک منطقه مدیریتی تعریف می کنند که در اینجا کارت های شبکه فایروال روی آنها سوار می شوند . به عنوان مثال در فایروال های juniper با zone از قبل تعریف شده ای به نام Trust برخورد می کنید . که به طور پیش فرض کارت شبکه شماره 1 روی آن سوار شده . این zone ها هنگام تعریف policy ها یا جلوگیری از حملات کاربرد دارند . ممکنه است شما با توجه به نیاز شبکه بخواهید تعداد بیشتری کارت شبکه را روی یک zone سوار کنید . مثلا شبکه داخلی شما از دو سگمنت اداری و فروش تشکیل شده که در vlan های جدا هستند ولی تعریف سیاست های دسترسی ار بیرون شیکه به آنها یا بلعکس مثل هم باشد . در اینصورت می توانید 2 تا کارت شبکه را در trust zone قرار بدهید و سیاست های را به trust zone اعمال کنید .

Juniper NS50 سه zone پیش فرض در لایه دوم به نام های V1-Trust ، V1-Untrust و V1-DMZ دارد. و در لایه سوم نیز سه zone پیشفرض Trust ، Untrust و DMZ وجود دارد .

:Vlan Zone در NS50 یک zone دیگر به نام vlan zone نیز داریم که یک واسط مجازی به نام vlan1 را میزبانی میکند. این واسط مجازی در پیکربندی تونل های vpn و همچنین مدیریت فایروال کاربرد دارد. همانطور که گفتم در حالت شفاف کارت های شبکه ( واسط های فیزیکی ( آدرس دهی آی پی نمی شوند و در لایه 2 عمل می کنند . در این حالت برای مدیریت و پیکربندی فایروال باید از واسط مجازی Vlan1 استفاده کردکه قابلیت آدرس دهی آی پی را دارد .

روش های BroadCast :

وقتی که فایروال های netscreen در حالت شفاف در لایه دوم کار می کنند چگونه ترافیک را عبور می دهند ؟ قبل ازپاسخ به این سوال باید در نظر داشت که فایروال های Juniper در حالت پیش فرض با سیاست deny any any پیکربندی شده اند . یعنی بدون تعریف سیاست های مناسب اجازه ی عبور هیچ ترافیکی را نمی دهند . و اما جواب سوال :

.در حالت شفاف دستگاه از جدول Arp برای مسیر یابی استفاده می کند .

وقتی که سیاست های مناسب اعمال گشتند ( نحوه تعریف سیاست های مورد نیازرا در ادامه توضیح خواهم داد . ) امکان عبور ترافیک شبکه از جمله درخواست های ARP فراهم می گردد.و هنگامی که آدرس MAC معادل یک ip در جدول arp دستگاه موجود نباشد فایروال از دو طریق زیر اقدام به ساختن جدول arp می کند

1- :Flood Method

در این حالت اگر فایروال یک فریم اترنت دریافت کند که در جدول MAC موجود نیست پکت ها را برروی تمامی پورت ها ارسال می کند . و در صورت گرفتن جواب آنرا به جدول MAC اضافه می کند .

2- ARP/Traceroute :

در این حالت اگر فایروال آدرسی را دریافت کند که در جدول MAC آن موجود نباشد مراحل زیر را انجام می دهد :

الف – آدرس MAC موجود در پکت را ذخیره کرده و پکت را Drop می کند .

ب- فایروال ، دو پکت را تولید می کند یکی برای query ARP و دیگری traceroute

ARP query ) بجای آدرس MAC موجود در پکت دریافتی از آدرس MAC واسط مجازیVlan1 استفاده می کند .

پکت traceroute یک ICMP Echo است که مقدار ttl آن یک می باشد.)

ج – در مرحله سوم دو نوع پکت تولید شده به تمامی واسط های شبکه فایروال بجز واسطی که پکت از آن دریافت شده ارسال می شوند.

د – اگر جواب ARP query در سابنت یکسان با واسط مجازی موجود باشد .در جدول ARP فایروال ذخیره شده و پکت به مقصد هدایت می شود.

ه – اگر آدرس آی پی پکت در سابنت دیگری باشد پکت traceroute با آدرس آی پی و MAC روتر که پکت باید با آن هدایت شود بر می گردد.سپس فایروال MAC روتر را ثبت کرده و پکت را به سوی آن هدایت می کند .

روش ARP/Traceroute امن ترین روش شناسائی مسیر ها است زیرا برای شناسائی آدرس های MAC ، پکت ها را به تمامی واسط ها ارسال ) شاید بهتر باشد بگویم Flood ( نمی کند .نکته دیگر اینکه انتخاب قابلیت Traceroute اختیاری است . اگر تمامی آدرس ها در یک سابنت هستند نیازی به این قابلیت نیست . اگر چه در Juniper NS ها به صورت پیش فرض فعال است .

پیکربندیNS50 در حالت شفاف :

خوب رسیدیم به کار عملی – همانطور که گفتم تمامی دستگاه های Juniper Netscreen یک واسط مجازی به نام Vlan1 دارند .برای دیدن لیستی از تمامی واسط های فیزیکی یا مجازی دستگاه خود می توانید از دستور get int استفاده کنید .

برای آدرس دهی آی پی به واسط های مجازی یا فیزیکی می توانید از دستور set int به صورت زیر استفاده کنید .

set int vlan1 ip 192.168.100.100/24

و اگر از محیط تحت وب استفاده می کنید در مسیر Network | Interfaces | Vlan1 تنظیمات را انجام دهید .

برخی گزینه های خاص که مربوط به واسط مجازی vlan1 است در زیر آمده است :

Broadcast : همان طور که توضیح دادم با توجه به نیاز های شبکه می توانید ARP/Traceroute یا Flood را انتخاب کنید . اگر پیکربندی را با telnet انجام می دهید از دستورات زیر استفاده کنید :

set int vlan1 broadcast arp

unset int vlan1 broadcast arp traceroute

set int vlan1 broadcast flood

save

Bypass Non-IP packets : که شامل سه انتخاب زیر است :

1- All : که اجازه عبور هر نوع ترافیک از جمله IPX را می دهد .

2 – Broadcast/Multicast: فقط اجازه عبور ترافیک IP را می دهد .

3 –off : این قابلیت ها را غیر فعال می کند .

در حالت پیش فرض Broadcast/Multicast انتخاب شده است .

برای تنظیم این پارامترها در حالت متنی از دستورات زیر استفاده کنید :

set int vlan1 bypass-non-ip

set int vlan1 bypass-none-ip-all

save

Bypass IPSec Packet For Others : با انتخاب این گزینه ترافیک IPSec می تواند از فایروال عبور کند .در این حالت می توان در صورت نیاز از یک vpn server برای terminate کردن کانکشن ها استفاده کرد .

set int vlan1 bypass-others-ipsec

بعد از پیکربندی واسط vlan1 برای وارد کردن فایروال به حالت شفاف باید تمامی واسط ها را از zone های لایه سوم به zone های لایه دوم منتقل کنید .

قبل از تبدیل zone واسط ها از لایه سوم به لایه دوم باید آدرس های آی پی واسط ها را به 0.0.0.0/0 تغییر دهید .

در محیط پیکربندی تحت وب به منوی : Network | Interfaces | ethernet1 بروید و در قسمت انتخاب zone ،v1trust را انتخاب کنید .در قسمت آدرس آی پی و ماسک شبکه 0.0.0.0/0 را وارد کنید . و قسمت manage ip را خالی رها کنید .

برای انجام مراحل بالا در محیط متنی از دستورات زیر استفاده کنید .

unset int eth1ip

set int eth1 zone v1-trust

save

اکنون ارتباط شما با دستگاه که قبلا از طریق واسط فیزیکی شماره 1 بود قطع می شود . برای ارتباط مجدد جهت ادامه پیکربندی دستگاه باید ازآی پی واسط مجازی vlan1 استفاده کنید .

و به همین ترتیب باید واسط های شماره 2 و 3 را به لایه 2 تبدیل کنید .

unset int eth2ip

set int eth2 zone v2-dmz

unset int eth3ip

set int eth3 zone v3-untrust

save

بعد از تبدیل واسط ها به واسط های لایه دوم با استفاده از دستور get sys فایروال را به حالت شفاف وارد

کنید .

همان طور که در شکل مشاهده می کنید دستگاه به حالت شفاف وارد شد . ولی هنوز کار تمام نشده است . همانطور که قبلا گفتم دستگاه های juniper Netscreen با سیاست پیش فرض deny any any یعنی عدم دسترسی هیچ آدرس آی پی به هیچ سرویسی یا قطع ارتباط کامل است . پس گام بعدی تعریف سیاست ها ) policy ) است . به منوی wizard بروید و policy wizard را انتخاب کنید . شکل های زیر گویای نحوه تعریف policy ها هستند .

در این مرحله مشخص می کنید سیاست بر روی چه پکت ها یی (با چه مبدا و مقصدی ) اعمال گردد.

در این مرحله می توان سیاست را برای اعمال بر روی ای پی یا رنج آی پی مشخص محدود کنید .

نوع سرویس را مشخص کرده و با انتخاب Access یا Deny اجازه دسترسی یا عدم دسترسی به آن را مشخص کنید .

در این مرحله می توانید یک رنج آی پی را که از آن برای NAT استفاده می شود .مشخص کنید . ( برای مخفی ماندن آی پی ها ) فعال کردن این ویژگی فقط در حالات خاص ممکن است .

در این مرجله می توان عمل log کردن و هشدار دادن را با توجه به میزان عبور پکت ها فعال کرد

در این مرحله می توان هویت کاربر را از طریق روش های مختلف مورد ارزیابی قرار داده و در صورت تایید سیاست مورد نظر در مورد او اعمال گردد .

اعمال سیاستی خاص را می توان به زمان مشخصی محدود کرد .

در این مرحله سیاست ایجاد شده برای تایید نهایی و همچنین دستور معادل آن نیز برای اجرا از طریق telnet نمایش داده می شود .

با کلیک کردن Next و سپس Finish سیاست مورد نظر اعمال می گردد . برای مثال لیستی از سیاست های تعریف شده برای یک شبکه با سرویس های مختلف در زیر آمده است :

برای مثال لیستی از سیاست های تعریف شده برای یک شبکه با سرویس های مختلف در زیر آمده است :

Juniper Netscreen 50

omid mohajerani — Fri, 08 Feb 2008 10:13:15 +0000

Console Port : پورت کنسول که همانند device های سیسکو برای پیکربندی این فایروال استفاده می شود . کافی است پورت کنسول را با کابل مخصوصی که به همراه فایروال است مستقیم به یک کامپیوتر وصل کنید و از طریق hyper terminal یا برنامه های مشابه دیگر آنرا پیکربندی کنید.

Modem Port : که توسط کابل RS232 به مودم های External قابل اتصال بوده و برای اتصال به این دستگاه و پیکربندی آن از طریق مودم ( معمولا از راه دور ) قابل استفاده است .

Compact Flash Card Slot : این اسلات برای قرار گیری کارت های فلش (SanDisk Compact Flash) با ظرفیت های مختلف است . از این حافظه برای دانلود یا آپلود نرم افزار مخصوص یا فایل های پیکربندی استفاده می شود . بعد از قرار گیری حافظه فلش در این اسلات فایروال NS50 به طور اتوماتیک آنرا شناسائی می کند.

Power and Status LED : این LED ها برای نمایش وضعیت های مختلف NS50 استفاده می شود .

Power LED : که وضعیت برق رسانی به دستگاه را بیان می کند .که رنگ سبز نشان دهنده وضعیت عادی ( دستگاه روشن است ) است .

Alarm LED : برای نمایش هشدار های سیستم به کار می رود.که در وضعیت های مختلف به رنگ های زیر تغییر رنگ می دهد :

قرمز: که نشان دهنده هشدار بحرانی است و به معنای خرابی سخت افزار یا اشکال در ماژول های نرم افزاری از جمله الگوریت های رمزنگاری مورد استفاده می باشد.

کهربایی ( amber ) : که از آن به عنوان هشدار اصلی ( Major Alarm ) یاد می شود .و می تواند ناشی از موارد زیر باشد:

حافظه کم ( کمتر از 10 درصد حافظه خالی باشد. )

درصد استفاده از cpu بالاتر از 90 درصد باشد.

حافظه مورد استفاده جهت ذخیره سازی فایل های log کاملا پر باشد.

تعداد session های اتصالی پر باشد و امکان برقراری session دیگری فراهم نباشد.

ماکزیمم تونل های vpn استفاده شده باشد.

فایروال یک حمله را شناسائی کرده باشد.

Status LED : نمایش دهنده وضعیت کلی دستگاه می باشد. که سبز چشمک زن نشان دهنده حالت نرمال دستگاه و رنگ سبز در هنگام بوت شدن نرمال دستگاه روشن می شود.

HA LED : HA که مخفف High Availibilty می باشد. و رنگ سبز نشان دهنده master بودن پورت و رنگ کهربایی نمایش دهنده slave بودن پورت در redundancy cluster می باشد.

Session LED : که نمایش دهنده درصد برقراری session ها می باشد و رنگ کهربایی به معنای 70 تا 90 درصد و قرمز به معنای بالای 90 درصد می باشد.

Flash LED : که رنگ سبز نمایش دهنده این است که فلش در دستگاه وجود دارد و رنگ سبز چشمک زن نمایش دهنده دسترسی خواندنی- نوشتنی به فلش ( Read-Write ) است .

Asset Recovery Pinhole :همان طور که از اسمش مشخصه این قسمت برای ریست کردن تنظیمات به حالت اولیه استفاده می شود . .( هنوز هیچی نشده مجبور شدم دستگاه را ریست کنم . چون آی پی و username و pass را قبل از عید به دستگاه داده بودم ولی چند روز که می خواستم کانفیگش کنم هیچی یادم نبود.)

بد نیست همین جا طریقه ریست کردن را هم بگم چون به دلیل عدم مطالعه داکیومنت مربوطه 2 ساعت معطل این کار شدم. برای ریست کردن باید از یه فلز مثله سوزن برای فشاربه کلیدی که درون این سوراخ کوچک است استفاده کنید. 5 یا 6 ثانیه نگه دارید. بعد 2 ثانیه اونو بیرون بیارین و بلافاصله این کارو برای 5 یا 6 ثانیه دیگر تکرار کنید .

Ethernet Interfaces : این دستگاه 4 تا پورت اترنت داره که بسته به شبکه شما می تواند سرعت 10 یا 100 مگابیت بر ثانیه را داشته باشه.هر پورت همانطور که در شکل مشاهده می کنید دو تا LED داره که سمت چپی نشان دهنده ترافیک عبوری و سمت راستی نشان دهنده up یا down بودن لینک است . ( آیا پورت به یک دستگاه فعال وصل است یا خیر)

پشت این دستگاه هم که فقط یه دکمه برای خاموش و روشن کردن و یک پورت برای اتصال به برق دارد.

برای تامین برق این دستگاه می توان از برق AC یا DC استفاده کرد .

این نوع دستگاه همانطور که در شکل می بینید قابل نصب در رک نیز است.

حالت های اجرایی NS50:

NS50 می تواند در دو حالت زیر پیکربندی شود .

1 – حالت شفاف ( Transparent Mode ) : در این حالت دستگاه به عنوان یک بریج ( bridge ) لایه 2 عمل می کند چون در این حالت نمی تواند آدرس آی پی packet های عبوری را ترجمه کند . در این حالت همچنین نمی توان از قابلیت NAT در این نوع دستگاه ها استفاده کرد . در نتیجه برای هر آدرس آی پی در شبکه قابل اطمینان ( Trusted Network ) شما ( که در واقع همان شبکه lan داخلی شما است ) باید قابل مسیر یابی و دستیابی توسط شبکه غیر قابل اطمینان ( Untrusted Network ( شبکه ( به عبارتی همان اینترنت) باشد. واین به معنای استفاده شبکه داخلی از آدرس های آی پی Public که در اصطلاح به آنها آی پی ولید می گوییم می باشد.

در حالت شفاف آدرس آی پی Zone های trusted و untrusted 0.0.0.0 در نظر گرفته می شود که این عمل موجب نامرئی شدن آن در شبکه می شود .اگرچه فایروال می تواند کارهای فایروالینگ و vpn و مدیریت و کنترل ترافیک شبکه را انجام دهد .

2- حالت مسیریابی ( Route Mode) :

در این حالت دستگاه در لایه 3 کار می کند .و چون شما می توانید به هر کارت شبکه (interface ) ای پی بدهید می توانیدعلاوه بر قابلیت های عادی از هر یک از این کارت شبکه ها برای NAT کردن بهره ببرید .

انواع کارت شبکه در NS50 :

این مدل از فایروال های NetScreen علاوه بر بهره بردن از چهار کارت شبکه فیزیکی ، دارای کارت شبکه های مجازی نیز می باشد که کار های خاصی در لایه دوم یا برخی کارهای مدیریتی دستگاه کاربرد دارند.

Ethernet1 ( Trusted Zone ) : این اترنت را توسط کابل های utp (کانکتور های Rj45 ) به شبکه داخلی متصل کنید .

Ethernet2 ( DMZ Zone ) : این پورت را به شبکه DMZ ( مخففDelimetered Zone است و سگمنتی از شبکه است که سرور ها در آن قرار گرفته اند) متصل نمایید.

Ethernet3(Untrusted Zone) :این کارت شبکه را به شبکه خارجی ( معمولا اینترنت) متصل نمایید.

Ethernet4( HA Zone ) : که به zone Haigh Availabilty متصل می گردد.

Layer 2 interfaces : از این گونه واسط ها که به نام های vlan1 … vlan n نامگذاری می شوند برای مدیریت دستگاه وvpn traffic termination در حالت شفاف استفاده می شود.

Tunnel Interfaces : که به نام های tunnel1 تا tunneln نامگذاری می شوند و برای عبور ترافیک vpn مورد استفاده قرار می گیرند.

متصل کردن دستگاه به شبکه:

برای اتصال مستقیم NS50 به روتر یا یک کامپیوتر( برای پیکربندی اولیه ) باید از کابل cross over استفاده کرد.

نحوه قرار گیری فایروال های NetScreen در ساده ترین حالت در شکل زیر نمایش داده شده است .

همانطور که در شکل مشاهده می کنید Ethernet Port3 توسط یک کابل cross over به روتر خارجی و et hernet port1 توسط یک کابل straight-through به شبکه Lan متصل شده اند.

در قسمت های قبل در مورد پورت HA مطالبی گفتیم. در شبکه هایی که تحمل خطا و up بودن لینک بسیار مهم است می توان از کلاستر هایی از دستگا ههای شبکه از جمله NetScreen برای برقراری لینک های Backup بهره برد. شکل زیر تا حد زیادی این مطلب را روشن می کند ولی چون فعلا من با همچین شبکه ای سروکار ندارم فقط به همین شکل اکتفا می کنم . ( امیدوارم یه روزی مجبور شم و برگردم و این قسمت را کامل کنم .)

پیکربندی فایرول NETSCREEN :

دو روش برای پیکربندی فایروال های NetScreen وجود دارد .

1 – از طریق محیط متنی چیزی شبیه روتر های سیسکو که به آن CLI ( Command Line Interface ( می گویند.

2 – از طریق وب

فکر کنم با یک مثال این موضوع را توضیح بدم مفید تر باشه. من شخصا اولین چیزی که برام مهم بود وصل کردن این دستگاه به اینترنت و update کردن attack signature ها (که برای شناسائی حملات در سیستم گشف نفوذ استفاده میشه) بود . خوب برای این کار باید به دستگاه ip داد . همچنین DNS و Gateway .

برای وارد شدن به محیط تنظیم گرافیکی دستگاه کافی است اترنت شماره 1 را به سوییچ شبکه خود متصل کنید یا این پورت را با یک کابله Cross مستقیم به کارت شبکه کامپیوتر متصل نمایید. سپس در web browser به آدرس http://192.168.1.1 بروید. و نام کاربری و پسوورد که به طور پیش فرض هردو netscreen می باشند را وارد کنید.

اگر برای اولین بار دستگاه شما پیکربندی می شود یک wizarad چندین سوال ابتدایی از شما می پرسد از جمله آدرس ip کارت شبکه های trusted ، untrusted و DMZ .

همانطور که گفتم untrusted کارت شبکه ای است که به اینترنت متصل می شود . trusted کارت شبکه در رنجه شبکه LAN شما و DMZ هم که آدرس ip در رنجه شبکه DMZ ( قسمتی از شبکه که سرورها در آن قرار می گیرند .و معمولا با فایروال ها و روتر های مجزا دسترسی به آنها محدود شده است . )

البته همانطور که درادامه خواهم گفت پیکربندی دوباره ی تمامی این پارامتر ها به راحتی امکان پذیر است.

در شکل زیرصفحه اول محیط پیکربندی فایروال در حالت گرافیکی را مشاهده می کنید .که اطلاعات کاملی در مورد دستگاه در اختیار شما می گذارد .

پیکربندی فایروال برای وصل شدن به اینترنت با استفاده از محیط گرافیکی تحت وب ) WebGUI):

مرحله 1 : تنظیم آدرس آی پی کارت شبکه ها :

برای پیکربندی آدرس های آی پی واسط ها به مسیر Network > Interfaces بروید.

همانطور که مشاهده می کنید تمامی واسط ها لیست شده است .که می توانید با انتخاب هریک تنظیمات لازم را انجام دهید.

مرحله دوم : تنظیم آدرس DNS Server :

برای تنظیم آدرس آی پی DNS Server ها برای عمل Name Resolution به مسیرNetwork > DNS بروید .در اینجا از سرور دی ان اس مخابرات استفاده کردیم. (217.218.127.104)

مرحله سوم : تنظیم Gateway :

برای تنظیم کردن gateway باید یک مسیر ( route ) تعریف کنید . ابتدا به

Network > Routing > Routing Entries

بروید و یک مسیر جدید برای اینترفیس untrusted تعریف کنید.

خوب الان دستگاه شما به اینترنت متصل شده است.