F5 WAF 101 serimizin üçüncü adımında, BIG-IP platformunun temel yapılandırma adımlarını ele alıyoruz. Lisanslama ve modüllerin ayrılmasından (provisioning) sonra, BIG-IP’in genel özelliklerini ve kullanıcı yönetimi özelliklerini tanımlamak için Setup aracı kullanılabilir. Bu adımlar, sistemin güvenliği ve işlevselliği açısından kritik öneme sahiptir.
Platform Özellikleri Nedir?
BIG-IP platform özellikleri, sistemin temel ağ ve kullanıcı yapılandırmalarını içerir. Bu özellikler şunları kapsar:
- Yönetim IP Adresi ve Ağ Maskesi
- Yönetim portu manuel olarak yapılandırıldığında, bir IP adresi ve ağ maskesi atanır.
- Yönetim portuna atanacak IP adresi, VLAN’lara atanan Self IP adreslerinden farklı bir ağda olmalıdır.
- Bir varsayılan rota IP adresi atanabilir.
- Yönetim portu, IPv4 veya IPv6 adresi alabilir.
- Ana Bilgisayar Adı (Host Name) ve Saat Dilimi
- BIG-IP cihazını tanımlamak için kullanılan tam nitelikli alan adı (FQDN).
- Sistem saatinin doğru şekilde ayarlanması için saat dilimi seçimi.
- Yönetim Hesap Parolaları
- Root (komut satırı erişimi için) ve Admin (GUI erişimi için) hesaplarının parolaları.
- Root hesabı tam komut satırı erişimine sahipken GUI erişimi yoktur.
- Admin hesabı GUI erişimine sahiptir ancak komut satırı erişimi varsayılan olarak devre dışıdır (isteğe bağlı olarak etkinleştirilebilir).
- SSH Erişim Ayarları
- Yönetim portuna SSH üzerinden erişim izni ve bu erişim için izin verilen IP adres aralıkları.
Yönetim Portu (Management Port) Yapılandırması
Yönetim portu, BIG-IP cihazının temel yönetim arayüzüdür. Bu portun yapılandırması iki şekilde yapılabilir:
- Manuel Yapılandırma
- IP adresi ve ağ maskesi manuel olarak atanır.
- Yönetim portunun IP adresi, VLAN’lar için kullanılan Self IP adreslerinden farklı bir ağda olmalıdır.
- Bir varsayılan rota IP adresi atanabilir.
- Yönetim portu IPv4 veya IPv6 adresi alabilir.
- Otomatik Yapılandırma (DHCP)
- DHCP sunucusu üzerinden IP adresi, ağ maskesi, varsayılan rota, DNS ve NTP bilgileri alınır.
- BIG-IP, ilk açılışta DHCP sunucusuna bağlanarak bu bilgileri otomatik olarak alır.
- Eğer ağınızda DHCP sunucusu yoksa, cihaz bir varsayılan IP adresi atar:
- BIG-IP cihazları için: 192.168.1.245
- VIPRION cihazları için: 192.186.1.246
Ana Bilgisayar Adı (Host Name) ve IP Adresi
Her BIG-IP cihazının, cihazı tanımlayan bir host name’e ihtiyacı vardır. Bu, özellikle cihaz grubu yapılandırmalarında ve UCS dosyalarının eşleşmesinde önemlidir. Varsayılan olarak, BIG-IP yönetim portunun IP adresini kullanır. Ancak özel bir IP adresi atanabilir.
Saat Dilimi ve NTP Sunucuları
BIG-IP, iki saat mekanizması kullanır:
- Donanım Saati: Sistem kapalıyken zamanı izler.
- İşletim Sistemi Saati: Sistem çalışırken aktif olan saat.
NTP Sunucuları: Saat senkronizasyonu için BIG-IP’in bir veya daha fazla NTP sunucusuna bağlanması önerilir. Saat dilimi ve tarih/saat ayarlarını doğru şekilde yapılandırmak, sistemin loglama ve senkronizasyon işlevleri için kritik öneme sahiptir.
Kullanıcı Yönetimi Özellikleri
BIG-IP cihazları varsayılan olarak iki yönetim hesabı ile gelir:
- Root Hesabı
- Tam komut satırı erişimine sahiptir ancak GUI erişimi yoktur.
- Admin Hesabı
- GUI erişimi için varsayılan hesaptır.
- Komut satırı erişimi varsayılan olarak kapalıdır, ancak etkinleştirilebilir.
İlk kurulum sırasında, root ve admin hesapları için yeni parolalar belirlemeniz gerekir. Bu işlem sırasında BIG-IP sizi oturumdan çıkartır ve yeniden giriş yapmanızı ister. Daha sonra, bu parolaları System > Platform sekmesinden değiştirebilirsiniz.
Güvenlik İpuçları:
- Root ve admin hesap parolalarını düzenli olarak değiştirmeyi alışkanlık haline getirin.
- PCI uyumluluğu gibi güvenlik standartlarını karşılamak için sıkı parola politikaları uygulayın.
- Ek kullanıcı hesapları oluşturarak, yönetim erişimini daha kontrollü hale getirebilirsiniz.
SSH Erişim Kontrolü
SSH erişimi, BIG-IP’in yönetim portuna bağlanmak için kullanılabilir. Bu erişimi kontrol etmek için aşağıdaki ayarları kullanabilirsiniz:
- SSH Erişimi Etkinleştir/Devre Dışı Bırak
- Belirli IP Adreslerine Erişim İzni Ver
- Tüm adreslere erişim izni: All Addresses.
- Belirli bir IP aralığına izin verme: Specify Range.
Sonuç
BIG-IP platform özelliklerini doğru şekilde yapılandırmak, sistemin performansı ve güvenliği açısından kritik bir adımdır. Yönetim IP adresi, kullanıcı hesapları, saat dilimi ve SSH erişimi gibi ayarların dikkatle yapılandırılması, hem sistem yönetimini kolaylaştırır hem de güvenlik risklerini minimize eder.
“Birlikte öğrenelim!”
Sorularınızı ve yorumlarınızı bizimle paylaşmayı unutmayın!
#CyberSecurity #NetworkSecurity
About the Author
