Targitas Deep Packet Inspection (DPI) Rehberi
Targitas Deep Packet Inspection Çözümü
Genel paket incelemesi, OSI modelinin ilk dört katmanına kadar olan IP adresi, port numarası gibi parametreleri kullanarak filtreleme yapmayı mümkün kılar. Ancak, Derin Paket İncelemesi (DPI) kullanılarak tüm OSI katmanlarında paket içeriği incelenebilir. Bu yöntemle, uygulama ve web kategorisi bazlı network yönetimi gerçekleştirilebilir.
Derin Paket İncelemesi, paketlerin içeriğini analiz ederek, uygulama katmanında hangi uygulamanın kullanıldığını belirlemeyi sağlar. Böylece, ağ yöneticileri, uygulama bazlı filtreleme yapabilir ve ağ kaynaklarını daha verimli bir şekilde kullanabilir. Ayrıca, DPI, ağdaki güvenlik tehditlerinin tespit edilmesine ve önlenmesine yardımcı olabilir.
Bu özellikler, network güvenliği üzerine olan bir ürünün önemli bileşenleridir ve ağ yöneticilerine daha güvenli ve daha etkili bir ağ yönetimi sağlama konusunda yardımcı olabilir.
Targitas arayüzünde DPI Konfigürasyonu iki adımda gerçekleştirilebilir:
İlk adım, DPI politikasının oluşturulmasıdır. Bu politika, ağda kullanılacak DPI kurallarını belirler. Ağ yöneticisi, bu politikaları özelleştirebilir ve ağda uygulanacak kriterleri belirleyebilir.
İkinci adım, firewall kuralı içerisinde DPI politikasını aktifleştirmektir. Bu adım, ağ yöneticisinin oluşturduğu DPI politikalarını uygulamak için gerekli olan firewall kurallarını tanımlamayı içerir. Bu sayede, ağda gerçekleşen trafiği derinlemesine inceleyebilir ve uygulama bazlı filtreleme yapabilirsiniz.
Birinci adım Configuration -> DPI -> Policy arayüzünde gerçekleştirilecektir.
İkinci adım Configuration -> Firewall -> Rule arayüzünde gerçekleştirilecektir.
Örnek Senaryo
Örnek DPI Senaryomuzda bir ofis içerisindeki farklı departmanlar için farklı yasaklamalar, QoS sınırlamaları ve önceliklendirme konfigürasyonları içeren ayrı DPI politikaları oluşturulacaktır. Departman müdürleri ve yönetici için geçerli olacak daha geniş izinlere sahip ayrı DPI Politikası oluşturulacaktır. Oluşturulan DPI Politikaları zaman objeleri ile eşleştirerek mesai saati içinde ve dışında farklı uygulamaların olması sağlanacaktır.
DPI Konfigürasyonu
0- DPI ve Firewall'un aktifleştirilmesi
Gerçekleştirilen konfigürasyonun çalışabilmesi için DPI ve Firewall'un aktif olması gereklidir. Bunun için;
Configuration -> Firewall -> Rule arayüzünde sağ üstte yer alan Firewall butonu aktifleştirilmelidir.
Configuration -> DPI -> Settings arayüzünde yer alan Status değeri aktifleştirilmelidir.
1- DPI Politikası Oluşturma
DPI Politikası Konfigürasyon Taslağı
Örnek DPI politikalarının konfigürasyonunda aşağıdaki parametreler ile ilgili seçimler gerçekleştirilmiştir.
Name
DPI politikasının göreviyle ilgili bir isim vermeniz önerilir.
Source
DPI politikasının değerlendirileceği kaynak network belirlemesi için Zone, Interface, AD veya Object seçenekleri kullanılabilir. Bu sayede hangi kaynaklardan gelen paketlerin DPI politikasını etkileyeceği belirlenebilir. Source olarak Configuration -> Object -> IP Address -> MAC arayüzünden oluşturulan MAC objeleri de kullanılabilmektedir.
Destination IP
Targitas üzerinde tanımlanmış bir obje veya any seçeneği belirlenebilir. Belirlenen kaynaktan çıkan paketin ulaşmaya çalıştığı hedef IP adresi veya subnet belirlenebilir. Destination IP konfigürasyonu gerçekleştirilmesi durumunda Configuration -> DPI -> Settings arayüzünde Destination Aware Detection özelliği aktifleştirilmelidir.
Destination Port
Belirlenen servisler ile ilgili trafiğin DPI değerlendirmesinden geçmesi isteniyorsa Targitas'ta tanımlı service objeleri kullanılmalıdır. Configuration -> Object -> Services arayüzünden custom service objeleri oluşturulabilir.
Policy Order
DPI politikaları da Firewall kuralları gibi en baştan aşağıya doğru değerlendirilir. Bir DPI politikası tetiklenirse aşağıda kalan diğer DPI politikaları değerlendirilmez. Bu yapıdan dolayı DPI politikalarının sırası önemlidir ve oluşturulan politikanın hangi politikadan sonra geleceği belirlenebilir.
Status
DPI politikasının çalışması isteniyorsa aktifleştirilmelidir.
Description
DPI Politikalarının yönetimini kolaylaştırmak için oluşturulan DPI Politikasının oluşturma amacını özetleyen bir açıklama oluşturulabilir.
Rules
Category
DPI imzalarıyla paketlerin hangi uygulama ve web sitelerine ait oldukları sınıflandırılır. Mavi filtreleme butonuna tıklayarak çok sayıda kategori arasından seçim yapabilirsiniz.
Risk
Belirlenen kategoriye ait risk değerlendirmesini seçebilirsiniz.
QoS
Belirlenen kategorinin internet hızını ve bant genişliği sınırlandırabilirsiniz. Bunun için QoS arayüzünden QoS profili oluşturulması gereklidir.
Schedule
Belirlenmiş zaman periyotlarında DPI Politikasının çalışması belirlenebilir. Schedule arayüzünde oluşturulmuş politikalardan birisi seçilebilir.
SD-WAN Rule
Oluşturulan DPI politikası seçeneklerde listelenen SD-WAN kuralları ile eşleştirilebilir. SD-WAN Rehberi dokümantasyonunda Application Away Routing, Load Balance vb. SD-WAN kurallarının oluşturulması için gerekli DPI konfigürasyonu ile ilgili ayrıntılı bilgiler bulunmaktadır.
TOS
IP paketinin Header bölümünde bulunan ToS (Type of Service) değerini değiştirmek için kullanılabilir. Değer Hexadecimal olarak verilmelidir. Örnek değerler: 0x48, 0xe0 vb.
Priority
Priority değeri, belirlenen DPI Kuralı için için uygun paketlerin trafikte yönlendirilmesinde önceliklendirilmesini sağlar. Minumum değer 0 maksimum değer 7'dir.
Permit
Belirlenen kategoriye ait paketlerin engellenmesi isteniyorsa Deny moduna alınmalıdır.
Oluşturacağımız örnek DPI politikalarında kullanmak için daha öncesinde aşağıdaki konfigürasyonları gerçekleştirmemiz önerilir:
ARGE, Pazarlama departmanları ve çalışanların tamamının aldığı yer aldığı Network Zone objelerinin oluşturulması. Bunun için gerekli konfigürasyonlar Configuration -> Network -> Zone bölümünde gerçekleştirilebilir.
Belirlenen standart DPI kategorilerine ek olarak ARGE, Pazarlama departmanlarına özel izin verilmek istenilen web sitelerinin tanımlanabileceği ArgeWhilteList, PazarlamaWhiteList benzeri Web Kategorisi objelerinin oluşturulması. Bunun için gerekli konfigürasyonlar Configuration -> DPI -> Web Categories bölümünde gerçekleştirilebilir.
ARGE ve Pazarlama departmanlarındaki çalışanlar için ayrılacak internet bant genişliğinin sınırlanması sağlayacak QoS (Hizmet Kalitesi) profilleri oluşturulmalıdır. Bunun için gerekli konfigürasyonlar Configuration -> DPI -> QoS bölümünde gerçekleştirilebilir.
DPI Politikasının haftanın hangi günleri ve hangi zaman aralıklarında çalışacağı belirlenebilir. Örnek olarak oluşturduğumuz DPI Politikasının mesai saatleri içerisinde aktif olması için konfigürasyon gerçekleştirilmiştir. Bunun için gerekli konfigürasyonlar Configuration -> Object -> Schedule bölümünde gerçekleştirilebilir.
Sahip olunan SD-WAN kuralları ile eşleştirme gerçekleştirilibilir. Ayrıca yeni SD-WAN kuralları oluşturmak için gerekli konfigürasyonlar Configuration -> SD-WAN -> Rule bölümünde gerçekleştirilebilir.
ToS(Type of Service) ve Priority değerleri IP header bitleri üzerinde manipülasyon yapmamıza imkan sağlar. Priority değeri maksimum 7 minumum 0 olabilir. Daha yüksek priority değerinde internet hızındaki düşüş vb. problemlerin gerçekleşme ihtimali azalır. Herhangi bir internet performansının zorlanılması durumunda öncelik verilmesi istenilen DPI kuralları belirlenebilir.
Senaryomuzun ilk adımında ARGE departmanında çalışanlar için DPI Politikası oluşturuyoruz.
ARGE DPI Politikası
"ARGE" politikası için oluşturulan DPI politikasında, ARGE çalışanlarının iş akışları içinde gereksinim duyabilecekleri "BUSINESS", "IT_Resources", "google-services" ve "FILE SHARING" gibi kategorilere ait web sitelerine erişim izni sağlanmıştır. Ayrıca, DPI Web Kategorileri arayüzünde "ARGEWhiteList" adı verilen bir beyaz liste oluşturularak, izin verilmek istenen web siteleri bu listede tanımlanarak DPI izni verilebilir. Aşağıdaki DPI politikası konfigürasyonunda, kullanıcı tarafından oluşturulan "ArgeWhiteList" Web Kategorisi için izin verilmesi için 1. kural yapılandırılmıştır.
Pazarlama DPI Politikası
Pazarlama departmanının ihtiyaçlarına yönelik olarak oluşturulan DPI politikası, pazarlama çalışanlarının iş akışını desteklemek amacıyla belirli kategorilere erişim imkanı sağlamaktadır. Özellikle, pazarlama departmanının yoğun bir şekilde diğer firmalarla gerçekleştirdiği görüntülü toplantılar, kesintisiz ve sorunsuz bir şekilde ilerlemesi için Priority değeri en üst seviye (7) olarak belirlenebilir.
Yönetici DPI Politikası
Departman yöneticileri veya NAC kullanıcıları için geçerli olan bir DPI politikası örneği oluşturulabilir. Bu politika, departman yöneticilerinin uygunsuz içeriklere sahip web sitelerine erişimini yasakladıktan sonra, geri kalan web sitelerine öncelikli ve QoS sınırlaması olmaksızın yüksek hızda internet erişimi sağlar. Böylece, departman yöneticileri sorunsuz bir şekilde internete erişebilirler.
Varsayılan Yasaklama DPI Politikası
Oluşturulan DPI politikalarına uyan trafiğin dışında kalan tüm trafiği engellemek için varsayılan bir yasaklama politikası aşağıda yer almaktadır.
Mesai Dışı Erişim Engeli DPI Politikası
Güvenlik önlemleri arasında yer alan bir örnek DPI politikası, yerel ağa sızan bir saldırganın etkinliklerini sınırlamak için mesai saatleri dışında çalışanlara ait cihazların internet erişimi kısıtlanabilir. Bu zaman tabanlı DPI politikası, saldırganın mesai saatleri dışında yerel ağda keşif faaliyetleri yapmasını ve gece saldırı gerçekleştirmesini engelleyecektir.
Varsayılan Yasaklama Politikası
En son DPI Politikası olarak yukarıda izin verilen kategoriler dışındaki tüm trafiğin DPI tarafından engellenmesi için tüm kategoriler için bir yasaklama politikası oluşturmaktayız. DPI Politikaları yukarıdan aşağıya doğru sıralama ile değerlendirilmektedir. En aşağıda yer alan bu DPI politikası üstteki hiçbir kategori tarafından eşleşmeyen trafiği yasaklamak için kullanılacaktır.
DPI Politikaları Genel Durum:
Oluşturulan DPI Politikalarının sıralaması önemlidir. Örnek senaryomuz için gerçekleştirilen DPI politikalarının istenildiği gibi çalışabilmesi için DPI politikalarının sıralaması aşağıdaki gibi olmalıdır.
2- Firewall - DPI Entegrasyonu
DPI entegrasyonunu sağlamak için yeni bir firewall kuralı oluştururken, Security Policy arayüzündeki DPI özelliğini etkinleştirmeniz yeterlidir. DPI özelliği aktif hale getirildikten sonra, Flow Management ve SSL Inspection gibi ilgili seçenekler otomatik olarak görüntülenir. Varsayılan olarak, Flow Management özelliği aktiftir.
SSL Inspection özelliğinin aktifleştirilmesi için Configuration -> DPI -> Settings arayüzünden sertifika dosyası indirilmeli ve ağ içerisinde yer alan Client cihazların tarayıcıları sertifika tanımlanmalıdır. Bu konu ile ilgili ayrıntılar SSL Inspection Rehberi'nde yer almaktadır.
Oluşturulan bir firewall kuralından geçen trafiği oluşturduğumuz DPI Politikaları ile filtreleme gerçekleştirilmektedir. Birden fazla departman için ayrı Firewall kuralı oluşturulmasına gerek duyulmadan Targitas DPI yapısı ile Layer 7 düzeyinde filtreleme işlemleri gerçekleştirilebilir.
DPI Yardımcı Sayfalar
DPI Monitoring
Monitoring -> Telemetry -> DPI Graphics ve Monitoring -> Telemetry -> DPI Logs arayüzlerinde DPI ile ilgili geçmişe yönelik verileri analiz edebilirsiniz.
DPI Diagnosis
Diagnosis -> DPI -> Policy Simulator arayüzünde sahip olunan DPI Politikalarının davranış şekilde farklı senaryolar oluşturularak test edilebilir.
DPI Live Sessions
Diagnosis -> Traffic -> Live Sessions -> DPI sekmesinde gerçekleşen DPI değerlendirmeleri ile ilgili yeni loglar incelenebilir. Burada gerçekleştirilen filtreleme parametreleri ile birlikte sorun yaşayan bir kullanıcı veya ulaşılamayan bir domain özelinde DPI değerlendirmeleri incelenebilir.
Last updated