TECOM AR1021 HAKKINDA SIKÇA SORULAN SORULAR TECOM
Transkript
TECOM AR1021 HAKKINDA SIKÇA SORULAN SORULAR TECOM
TECOM AR1021 HAKKINDA SIKÇA SORULAN SORULAR TECOM AR1021 GENEL AYARLAR Öncelikle TECOM AR1021 kutusunun içinden çıkan ethernet kablosunu TECOM AR1021 ile bilgisayarınızı birbirine bağlamak için kullanınız. TECOM AR1021’nin varsayılan IP numarası 192.168.1.1’dir. Fabrika çıkışı ayarlarında DHCP sunucusu aktif olduğu için, bilgisayarınızın IP adres ayarlarını DHCP sunucusundan alacak şekilde ayarladığınızda, otomatik olarak alacağınız IP numarası http://192.168.1.1 şeklinde herhangi bir web arayüzünden erişebilirsiniz. İlk kullanıcı adı “root” ve şifresi yine “root” dir. Bundan sonra yapılacak işlemler şu şekildedir. a) ADSL Link/Act ışığının sürekli yeşil yandığını kontrol ediniz. Eğer yeşil yanmıyorsa TTNET’i arayıp hattınızı kontrol ettiriniz. b) Ayarları gerçekleştirebilmek için önce “Home” daha sonra da “Quick Configuration” linkini seçin. c) Ekrana gelen formda “Connection Type” seçeneğinde “PPPoA VC MUX” yada “PPPoE LLC” seçeneklerinden birini seçin. Türk Telekom’un yeni açtığı NEC DSLAM portlarında sadece PPPoE LLC desteklenmektedir. Alcatel DSLAM’lı noktalarda iki seçenek birden desteklenmektedir. d) Menüden sırasıyla “VPI No” olarak “8”, “VCI No” olarak “35” değerlerini girin. e) Formdaki “Username” kısmına TTNET görevlilerinden alacağınız kullanıcı adını “kullanıcı adı@ttnet” şeklinde girin. f) “Password” kısmına şifrenizi giriniz g) “Submit” düğmesine bastığınızda ADSL cihazınız ADSL şebekesine bağlanacaktır. h) Yaptığnız ayarların sonucunda internet bağlantınızı “Home” linkini seçerek ulaşacağınız “System View” sayfasından kontrol edebilirsiniz. Internet bağlantınızın gerçekleşmesi sonucunda bu sayfada bulunan “WAN Interfaces” bölümünde “ppp-0” satırındaki “Status” göstergesinin “yeşil” ve “IP Address” değerinin 0.0.0.0’dan farklı bir IP değeri almış olması gerekmektedir. Bu aşamada cihazınız Admin - Diagnostics linkinden erişeceğiniz “Diagnostics” test sayfasında “Submit” düğmesine basarak başlatacağınız testlerinin hepsini “Pass” sonucu ile geçmesi gerekmektedir. i) Bütün işlem basamakları başarıyla tamamlandıktan sonra yaptığınız ayarı, herhangi bir elektrik kesintisinde kaybetmemeniz için kaydetmeniz gerektiğini unutmayın.Admin - Commit & Reboot seçeneği altındaki “Save” butonuna basarak konfigürasyonu kaydediniz. j) Admin - User Config seçeneği altında karşınıza çıkan işaretine basarak açılan pencerede önce mevcut “root” şifresini sonra da yeni şifrenizi iki defa yazarak TECOM AR1021’nin Web arayüzünün şifresini güvenlik amaçlı değiştiriniz. ÖRNEK AYAR EKRANI TECOM AR1021 İLE PORT YÖNLENDİRME Port yönlendirme yapılarak Internet bağlantısı sırasında servis sağlayıcı tarafından size sağlanan gerçek IP numaranıza gelecek paketlerin içeride sizin belirleyeceğiniz bir bilgisayara yönlendirilmesi sağlanabilmektedir. Böylelikle kendi web, mail sunucularınızı kurabilir, özel portlar kullanan programlarınızın TECOM AR1021 üzerinde bulunan firewall güvenliği arkasından çalışmasını sağlayabilirsiniz. Temel port yönlendirme işlemi için TECOM AR1021 üzerinde NAT yönlendirme kuralı tanımlanması gerekmektedir. Bunun için Services -> NAT sayfasındaki NAT Options altındaki NAT Rule Entry seçeneğine geliniz. Örneğin 192.168.1.10 no’lu adreste bulunan bir web (http) ve güvenli web (https) sunucusuna erişim sağlamak için şu şekilde konfigurasyon yapmak gerekmektedir ÖRNEK WEB SUNUCU AYAR EKRANI P2P YAZILIMLARI İÇİN (EMULE VB.) PORT YÖNLENDİRME Emule ve EmulePlus yazılımları P2P paylaşım yazılımlarından olup Sourceforge proje gurupları tarafından geliştirilen yazılımlardır. Benzerlerinden farklı olarak sisteminizde yan problemlere sebep olacak hiçbir yazılım kodu içermemektedirler. Programlardar LowId almadan iletişim yapılabilmesi için sizin de dışarıya upload izni vermeniz gerkmektedir. Bu nedenle dışarıdan gelen bağlantılara TCP 4661 no’lu porttan iletişime izin verilmesi gerekmektedir. Örneğin 192.168.1.10 IP no’lu bir kişisel bilgisayarın bu yazılımı LowId almadan kullanması için gerekli ayar aşağıdaki gibidir. İşlemi gerçekleştirmek için Services -> NAT sayfasındaki NAT Options altındaki NAT Rule Entry seçeneğine geliniz. Programın bağlantı ayarlarından UDP bağlantıyı da aynı anda kullanmak istiyorsanız benzer bir ayarı da belirtilen UDP port için yapmanız gerekmektedir. Bunun için Protocol seçeneğinde UDP seçilmesi gerekmektedir. Eğer birden fazla bilgisayarda bu yazılımları kullanmak istiyorsanız her bir bilgisayar üzerinde program bağlantı ayarlarındaki port numarasını farklı değerlere ayarlamanız (ör:4662, 4663). Daha sonra yukarıdaki verilen örnek gibi her bilgisayar için farklı RDR kuralı girmeniz gerekmektedir. Emule ve EmulePlus kullanırken dikkat etmeniz gereken bir diğer nokta ise Upload için verdiğiniz hızınızın toplam geri dönüş hızınızın bloke olmasına neden olacak bir değerde olmaması gerekmektedir. Örneğin hızı 128/32 kbit/s olan bir hat üzerinde ideal şartlarda TCP/IP ve PPPoE/PPPoA paket başlıkları nedeniyle en fazla 3,5 kByte/s iletişim yapılabilmektedir. Bu nedenle programlarda 9 kilobyte/s Dowload - 3 kilobyte/s Upload değerlerinin üstünde ayarlar yaparsanız çalıştırmak istediğiniz diğer uygulamalarda oluşacak tıkanmadan kaynaklanan problemler yaşayabilirsiniz. TECOM AR1021 SNMP ÖZELLİKLERİNİN KULLANIMI SNMP (Simple Network Management Protocol) bir ağ yönetim istasyonu vasıtası ile ağ cihazlarının uzaktan gözlenmesini, yönetilmesini ve istatistiksel bilgilerin toplanmasını sağlayan bir ağ yönetim protokolüdür. SNMP özellikle banka, ISP, veya çok şubeli firmaların kullandıkları yönlendirici (router), anahtarlayıcı (switch) gibi cihazların tek bir noktadan sürekli izlenmesi ve bu sistemler ile ilgili bilgilerin toplanması için kullanılır. Böylelikle cihazlarda veya bağlantılarda oluşan bir problemin en kısa sürede belirlenmesi ve gerekli müdahalenin çok kısa bir süre içinde yapılması mümkün olmaktadır. Internet servis sağlayıcıları SNMP protokolünü müşterilerinin sahip olduğu sistemleri gözlemleyerek verdikleri hizmetlere katmadeğer sağlamak için kullanmaktadırlar. TECOM AR1021 ADSL yönlendiricisi, Internet servis operatörü firmalar tarafından yönetilebilmesi için SNMP desteği ile gelmekte, cihaz ilk kurulumunda erişim yapılabilmesi için bu destek açık bulunmaktadır. SNMP yönetim sistemleri karmaşık sistemler olduğu için kullanımı belli bir uzmanlık gerektirmektedir. Eğer bir ağ üzerinde SNMP yönetimi kullanılmayacaksa bu ağ üzerindeki cihazlarda SNMP yönetimin güvenlik önlemi olarak kapatılmasında fayda vardır. SNMP community olarak tabir edilen kelimeler SNMP yönetim sistemleri için erişim yetkilendirme şifresi olarak kullanılmaktadır. Bu kelimelerin bu nedenle varsayılan değerlerde bırakılmaması, kendi yönetim sisteminize özgü olarak değiştirilmesi gerekmektedir. SNMP kullanılmayan sistemlerde SNMP community isimlerini silerek cihazınızı SNMP desteğini kapatabilirsiniz. TECOM AR1021 üzerinde mevcut SNMP community isimlerini silmek veya değiştirmek için cihaza telnet ile bağlanılarak şu işlemleri gerçekleştirebilirsiniz. SNMP community isimlerini silmek için: delete snmp comm community public delete snmp comm community private Kendi belirlediğiniz SNMP community isimlerini TECOM AR1021 cihazına eklemek için: create snmp comm community XX RO (XX isimli read-only community yaratır) create snmp comm community YY RW (YY isimli read-write community yaratır) TECOM AR1021 FIREWALL ÖZELLİKLERİNİN KULLANIMI TECOM AR1021 üzerinde Statefull Inspection (SPI) mimarisine sahip gelişmiş bir firewall mekanizması bulundurmaktadır. İleri seviye erişim kuralları ve filtreler koymak için güvenlik duvarı mekanizmasının devreye alınması gerekmektedir. Bunun için Services > IP Filter seçeneğinden güvenlik seviyenizi Low-Medium-High seçeneklerinden birini seçmeniz ve ilgili yöndeki varsayılan erişim iznini belirleyerek sayfanın altında bulunan Submit butonuna basmanız gerekmektedir. Seçmiş olduğunuz güvenlik kategorisine göre daha önceden hazırlanmış kuralların bir kısmının aktif hale geçtiğini göreceksiniz. Eğer bu kurallar dışında erişimine izin vermek veya engellemek istediğiniz bir servis veya site bulunuyorsa bununla ilgili kural girmeniz gerekmektedir. Sayfanın altında bulunan Add butonuna bastığınızda yeni kural tanımlama (IP Filter Rule - Add) sayfası karşınıza gelecektir. Yeni kural ile ilgili tanımları gerçekleştirdikten sonra Submit tuşuna basarak TECOM AR1021 tarafından yeni kuralı kural listesine ekleyebilirsiniz. Yapacağınızı ayarlar sonrasında Admin - Commit&Reboot seçeneğinden Save tuşuna basarak aktif konfigurasyonu cihazın kalıcı hafızasına kaydetmeyi unutmayınız. Ağ üzerinde bulunan bir PC’nin Internet erişimini kapatabilmek için TECOM AR1021 üzerinde firewall mekanizması üzerinde bu PC ile ilgili tanım yapılması gerekmektedir. Örneğin 192.168.1.15 no’lu IP’ye sahip bir PC’nin Internet erişiminin nasıl kapatılması için şu şekilde bir kural eklemeniz gerekmektedir. Services> IP Filter sayfasından Add butonuna basarak “IP Rule Add” sayfasını açınız. TECOM AR1021 üzerinde bulunan gelişmiş firewall ile bir programın internet erişimini kısıtlamak için öncelikle ilgili programın kullandığı protokol tipi, hedef port, kaynak port, protokol numarası gibi bilgilerin edinilmesi gerekmektedir. Bu tarz bilgileri en doğru olarak kullandığınız programın yardım kaynaklarından edinebilirsiniz. Kullanılan protokol TCP veya UDP ise bu protokoller ile ilgili port numaraları, IP ise ilgili protokol numarası kullanılmaktadır. Rule ID: Firewall kural sıra numarası Direction: Trafiğin yönü Action: Kurala yapılacak yaptırım Interface: Kuralın aktif olacağı arayüz Blacklist Status: Kara listenin kullanım seçeneği In Interface: Erişim arayüzü Security Level: Kuralın çalışacağı güvenlik seviyesi Log Tag: Kayıt için kullanılabilecek etiket Start/End Time: Başlangıç/Bitiş Zamanı Src IP Address: Kaynak IP numarası Dest IP Address: Hedef IP numarası Protocol: Trafiğin protokol tipinin tanımı Apply Stateful Inspection: SPI güvenlik seçeneği Source Port: Kaynak port numarası Dest Port: Hedef port numarası TCP Flag: TCP bayrağı ICMP Type/Code: ICMP Tipi ve kodu IP Frag Pkt: IP fragmentasyonu IP Opt Pkt: IP Seçenekleri Packet Size: Paket Büyüklüğü TOD Rule Status: Zaman durumu Örnek olarak TCP 6667 portundan erişilebilen IRC sunuculara bütün bilgisayarların erişiminin kapatılması için ilgili kural şu şekilde olacaktır. a) Yeni kural için kural tablosunda kullanılmayan boş bir kural numarası giriniz b) Kural ile sınırlandırılacak trafiğin yönünü belirleyiniz (Ör: giden) c) Yaptırımı seçiniz (Ör: red) d) Kuralın uygulanacağı arayüzü seçiniz ( Ör: Public - cihaz üzerinde dış arayüz olarak tanımlı bütün portlar) c) Trafiğin ilk erişim arayüzünü seçiniz (Ör: Private - cihaz üzerinde güvenilir olarak tanımlanmış ethernet portu gibi bütün arayüzler) d) Güvenlik seviyesin seçiniz :IPFilters ekranında bulunan güvenlik seviyesinde bulunan seçeneklerden bu kuralı uygulamak istediğin güvenlik seviyelerini seçiniz. (Ör: High, Medium, Low) e) Kaynak ve Hedef IP numaralarını belirleyiniz (Ör: any-any; içerden dışarıya bütün IP adresleri için kuralın uygulanmasını sağlar) f) Protokol tipi için ilgili mantık operatörünü ve protokolü seçiniz (Ör: eq TCP) g) Trafiğin başlangıç kaynak portunu veya port aralığını belirleyiniz (Ör: any - bütün portlar) h) Trafiğin hedef port veya port aralığını belirleyiniz (Ör: 6667 IRC chat portu) i) Submit’e basarak kural listesine ekleyiniz, ve daha sonra IPFilters listesindeki Apply tuşuna basınız. j) Kalıcı hafızaya kayıt için Admin -> Commit & Reboot -> Save tuşuna basınız. Bu kurala benzeyen yeni kurallar ile kısıtlamak istediğiniz istediğiniz uygulamaların kullandığı protokol ve portları belirterek kendi güvenli erişim kural tablosu oluşturabilirsiniz.