Bilgisayara Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi

Amaç

BIOS koruması olmayan bir son kullanıcı makinesi, USB den çalışan veya sanal makine(vmware) üzerinde kurulu bir işletim sistemini CD-ROM dan başlatılarak makinedeki yerel kullanıcıların yanında kendimize ait bir administrator bir user açarak bilgisayarı ele geçirmek.

Yöntem

Her hangi bir kullanıcı, bilgisayarını farklı bir işletim sistemi ile açılabildiği takdirde bu bilgisayarlara ve bu bilgisayardaki verilere tam yetki ile erişimi mümkün olmaktadır.

Fiziki olarak sahip olduğumuz makine - boot edilebilir bir Backtrack USB veya CD'si kullanılarak - makinamızı boot edilebiliriz. Bu makale de ise sanal makina(vmware) üzerinden win7 işletim sistemi vmware ayaralarından girerek CD-ROM ekleyip ordan da Backtrack5 işletim sistemine ait iso dosyasının yerini göstererek boot edeceğiz. İşlerimiz adım adım ve ekran görüntüleri ile basitçe anlatılarak gerçekleştirilecektir.

Alttaki resimde CD/DVD Drive ekleme işlemi gerçekleştirilecektir. Next deyip ilerleyelim. 



Burada ise Backtrack5 iso dosyasını yükleyeceğimiz için Use ISO image seçeneğini seçip devam edelim

Artık Backtrack5 iso dosyasının bilgisayardaki kayıtlı olduğu yerden gösterip devam ediyoruz

Iso dosyasının yerini gösterdikten sonra kurulum için aşamalarımız tamamlanmış sayılır. Finish deyip ilerlemeye devam ediyoruz.

Aşağıdaki ekranda görüldüğü üzere boot oluşturma işlemi tamamlanmıştır. Bundan sonraki aşama ise vmware üzerinde kurulu olan win7 işletim sistemini başlatmak olacaktır. Burda sistemi başlatırken bios başlatma ekranının çıkması için del, F2, F8, F10 yada F12 gibi tuşlara basmamız gerekir. Genelde del tuşu sizin işinizi görecektir.

Sistemi başlatırken del tuşuna basarak bios başlatma seçeneği ekrana gelmiştir. Burada elbette daha önce oluşturduğumuz ve CD-ROM Drive içersine yerleştirdiğimiz Backtrack5 iso dosyasını artık burada boot olarak çalıştırabiliriz. Enter Setup diyerek yolumuza devam ediyoruz. 

Backtrack5 işletim sistemimiz açılmak üzere komut ekranı karşımıza geldi. İlk seçeneğimizi seçtikten sonra yolumuza devam ediyoruz. 

Karşımıza gelen ekranda komut satırına startx komutunu yazarak işlemlerimize devam ediyoruz

 

Backtrack5 İşletim sistemimiz açılmıştır. Burada Places- Filesystem yolunu takip ederek devam ediyoruz.

Aşağıdaki ekranda ise Filesytem-Windows-System32 yolunu takip ederek utilman.exe dosyasına ulaşıyoruz. utilman.exe dosyasının adını değiştirerek utilman2.exe adını veriyoruz. Burdaki amacımız ise utilman.exe dosyasının orjinalini korumaktır.

Aşağıdaki ekranda ise cmd.exe dosyasının adını daha önce değiştirdiğimiz utilman.exe dosyasının ismini veriyoruz.

Not: Bu exe dosyalarının isimlerini değiştirmekteki amacımızın ne olduğu ile ilgili olarak ileri ki slaytlar da bilgi verilecektir.

İşletim sistemimizi kapatıp yeniden başlatıyoruz.

Windows  7 İşletim sistemimizin açılış ekranı karşımızdadır. Şimdi ise işin eğlenceli tarafına gelmiş bulunmaktayız. Sol alt tarafta gördüğünüz Engelli sekmesine tıklayarak daha önce değiştirdiğimiz exe dosyalarının ne işe yaradığını kendi gözlerimizle farketmiş olacağız.

Evet engelli sekmesine tıkladığımızda normalde windows açıldıktan sonra gelen cmd.exe dosyası karşımıza gelmiştir. Bu ekranın karşımıza gelmesi demek istediğimiz bir çok işlemi gerçekleştirebiliriz anlamına gelmektedir. Şimdi burada kendimize local administrator yetkisinde kullanıcı oluşturabilir ve bizde artık bu işletim sistemine dahil olabiliriz. Eğer istersek admin yetkisiyle açtığımız kullanıcıyı kullanarak bilgisayarda önceden açılmış oturumları kaldırabilir ve bu bilgisayarı başkasının kullanmasını engelleyebiliriz.

Aşağıdaki komutları yazarak kullanıcı oluşturalım.

1. Komut: net user karakul As123456 /add

2. Komut: net localgroup administrators karakul /add

Yukarıdaki işlemleri yaptıktan sonra ekranda görüldüğü gibi sağ alt köşede bulunan butona basarak makinemizi restart edelim.

Artık bizde bu bilgisayarda local admin yetkilerinde bir kullanıcıya sahibiz.

Kullanıcı tanımlarken belirlediğimiz parolayı yazarak bilgisayardaki oturumumuzu aktif hale getirebiliriz.

Artık istediğimiz kullanıcıyı oluşturarak oturum açmış olduk.

Paloalto da DHCP tanımlaması nasıl yapılır.

DHCP, bilgisayarlara IP adresi ve subnet maskesi başta olmak üzere TCP/IP parametrelerini otomatik olarak dağıtan bir protokoldür. DHCP kullanımı şu şekilde gerçekleştirilir: Bir makine DHCP sunucu olarak kurulur. DHCP sunucuda diğer bilgisayarlara dağıtılacak adresler için bir adres aralığı ve bir subnet maskesi tanımlanır. IP adresi ve subnet maskesi dışında dağıtılabilecek parametreler de(default gateway, DNS ve WINS sunucu adresleri gibi) tanımlanabilir. DHCP istemci olarak belirlenmiş bilgisayarlar DHCP sunuculara başvurduklarında adres havuzlarından uygun bir adres seçilerek subnet maskesi ile birlikte istemciye gönderilir. Bu sırada seçimlik bilgiler (default gateway adresi, WINS sunucu ve DNS sunucu adresleri gibi) de istemciye gönderilebilir.

Eğer istemci bilgisayar bu adres önerisini kabul ederse önerilen adres istemciye belli bir süre için verilir. Eğer IP adres havuzunda verilebilecek bir adres kalmamışsa ve istemci başka bir DHCP sunucudan da adres alamıyorsa TCP/IP iletişimine geçilemez.

DHCP ile IP adres alımı broadcast mesajlara dayandığı için, ağımızı oluşturan her bölüme bir DHCP sunucu kurmak gerekmektedir. Bölümlerin birine kuracağımız DHCP sunucu ile diğer bölümlere de hizmet vermek mümkündür. DHCP sunucular büyük alanlara kurulu olan üniversitelerde, çeşitli devlet kuruluşlarında, okullarda kurulmaktadır

Görüldüğü üzere DHCP tanımlaması bir hayli uzun bir iş gibi duruyor. Ama paloalto sayesinde bu işin çok da rahat olduğunu göreceksiniz. Firewall' ların bu denli zahmetli işleri çok basite indirgemesi işimizi çok kolaylaştırıyor. Şimdi ise paloalto da nasıl DHCP tanımlanır onun başlangıcını yapalım.

Şekil 1 de olduğu gibi Network-DHCP sekmesine gelip add sekmesine gelelim.

Şekil 1

Şekil 2 de ise karşımıza gelen ekranda DHCP Server sekmesine gelip add linkini tıklıyoruz.

Şekil 2

Şekil 3 te dikkat etmemiz gereken yerler var. İlk olarak Interface belirtilmeli sonrasında ise Gateway' i yazmalıyız. Bizim interface de tanımlı hangi subnet varsa IP Pools' a o subnet yazıyoruz. Eğer istenirse bu kısma siz belli bir aralıkta(10.0.1.100-10.0.1.200) yazabilirsiniz. DNS kısımlarıda eğer bir DNS sunucunuz varsa onu yoksa Türk Telekom' un yada Google DNS sunucu adreslerini yazabilirsiniz. İşlemimiz bittikten sonra commit işlemini yapıyoruz. Artık o Interface üzerinden bağlı bütün client lar ip lerini paloalto üzerinden almış olacaktır.

Şekil 3

Böylelikle paloalto firewall üzerinden DHCP nasıl kurulmuş öğrenmiş olduk. Artık DHCP sunucuna gerek kalmadan sizin yerinize bütün işlemleri paloalto halletmiş oldu.

Paloalto da LDAP (Lightweight Directory Access Protocol) Tanımlandırılması

Paloalto da LDAP tanımlaması yapmadan önce kısaca konuya biraz değinmek istiyorum.

LDAP : Açılımı Lightweight Directory Access Protocol olan LDAP, X.500 standardı ile tanımlanan dizin erişim protokolünün hafifletilmiş sürümüdür. İletişim protokolü TCP/IP dir. ( DAP (Directory Access Protocol), sunucu ve istemci arasındaki haberleşmeyi tanımlar. OSI modelinin uygulama katmanında çalışan bir protokoldür.Çalışabilmesi için tüm OSI katmanalarına ihtiyaç duyar.)

LDAP istemcisi ldap icin yazilmis ve ldap istemcisinin icine gomulmus API(Application Programming Interface)  vasitasiyla aradigi bilginin formatini olusturarak TCP/IP vasitasiyla dizin sunucusuna gonderir. Bu istegi alan dizin sunucusu bu istegi dizini iceren bilgisayari sorgulayarak (Eskiden LDAP  X.500 dizinlerine ulaşmak icin kullanilan bir gateway idi ve boylece LDAP sunucusu ile X.500 dizini farkli bilgisayarlarda bulunurdu. Fakat zamanla X.500'un getirdigi yuk sebebi ile dizin direk sunucunun oldugu sisteme gomulmustur) gerekli bilgiyi yine ayni yolla istemciye gonderir. 

Kısacası LDAP tüm kullanıcılarının en hızlı şekilde ve sürekli olarak bilgiye ulaşmalarını sağlayabilmek için, hızlı, ölçeklenebilir ve yönetilebilir bir ağ altyapısı kurmak için oluşturulmuştur. Bilgisayarların yoğun olarak kullanıldığı ağ üzerindeki IP (Internet Protocol) adres ayarlarının otomatik olarak gerçekleştirilebilmesi amacıyla LDAP (Light Weight Directory Access Protocol) kayıtlarını kullanan bir otomatik IP atama sistemi kullanılır.

Paloaltoda ldap tanımlamasına geçmeden önce her hangi bir network üzerinde olduğumuzu kabul edip var olan network içinde aktif dizin alanında olan ip bloklarının ve user(kullanıcı) ların yetkilendirmek yada kısıtlamak amacı ile LDAP oluşturacağımızı varsayıyoruz. Verilen ip ler yada userlar kendi topolojime göre hazırlanmıştır. Şimdi ise paloalto fw cihazında LDAP nasıl tanımlanır göstermeye çalışalım.

İlk önce Device-Server Profiles-LDAP-Add işlemini yapıyoruz Şekil 1  de görüldüğü üzre

Şekil 1 

Yukarıdaki işlemden sonra LDAP tanımlaması yapılacak olan yer karşımıza çıkıyor. Burda bazı bilgilere ihtiyacımız olacak. System admin olan kişiden Aktif dizine ait bazı bilgilerin (server ip, etki alanı adı, password vs.) alınması gerekmektedir.

Şekil 2

Ok işaretleri ile gösterilen yerler önemlidir. Oluşturulan bütün profiller de name yazılmalıdır. Yazılmadığı takdirde paloalto, her zaman sarı ile çizgi çizer. Sizde yanlış yaptığınızda yada doldurulması gereken bir yerde boş bırakılan alanlar olduğunda profilin tamamlanmadığını göreceksiniz. Servers bilgileri kısmında elimizde olan bilgileri giriyoruz. port numarası önemlidir. Eğer ssl bağlantılı bir ldap tanımlaması yapacaksak 636 portundan bağlanmak durumundayız. Ssl olmayacaksa 389 nolu port yazılmalıdır. Bundan sonra ise Device-User Identification-User Mapping sekmelerine gelindikten sonra Şekil 3 te en sağ da ok ile gösterilen yer tıklanır.

Şekil 3

Yukarıdaki şekilde sağ ok ile gösterilen yere tıklanıldığında Şekil 4 de gösterilen WMI Authentication sekmesine gelindiğinde çok önemli olan bir noktayı kaçırmamak gerekiyor. O da User Name alanındaki yazılan Aktif Dizin deki tanımlanan isim nasılsa buraya aynısı yazılmalıdır. Buradaki User Name kısmı rast gele yazılamaz. Aksi taktirde tanımlanan LDAP kesinlikle çalışmayacaktır. Password kısmına yazılan şifre de kesinlikle sizin kafanızdan yazdığınız bir şifre olmamalıdır. System admin tarafından verilen bilgiler arasında şifre de olmak durumundadır. 

Önemli not: Verilen ip adresinde tanımlanan user lar aşağıdaki verileri doğru yazdıktan sonra paloalto cihazı aktif dizinden çekebilecektir.

Şekil 4

Şekil 5 te ise Device-User Identification-Grup Mapping kısmına gelindiğinde Server Profile sekmesinde Check List tıklandığında ilk önce tanımlanan ldap karşımıza gelecektir. 

Şekil 5

Burada ise Device-User Identification-Grup Mapping kısmına gelindiğinde Group Include List sekmesinde ok işaretleri ilen gösterildiği üzere ldap içersinde tanımlanan user leri ortada bulunan + işaretine basılarak grup oluşturabilirsin.

Önemli not: Aşağıdaki gibi, user listeleri gelmiyorsa eğer yukarı da yapılan tanımlamalardan bir yada bir kaçı yanlış yapılmış demektir. Başa dönüp kontrol etmelisiniz.

Şekil 6

Aşağıdaki şekilde çok dikkat edilmesi gereken bir husus var. O da Şekil 1 de yaptığımız tanımlamada ssl bağlantısını seçtiğimiz için authetication olabilmesi için Device- Authetication Profile-Add sekmelerine gelip profil oluşturmalıyız.

Şekil 7

Aşağıdaki şekilde görülen yerleri aynen yapabilirsiniz. Name text alanına istenilen bir ad girilebilir. Sol alt tarafta add kısmına gelindiğinde karşımıza Şekil 6 da oluşturduğumuz Include Groups lar gelecektir. Authentication text alanında LDAP oluşturduğumuz için ldap seçilir. Server Profile kısmında ise zaten ldap seçtiğimiz için yukarda otomatik olarak Şekil 2 de oluşturduğumuz profile gelecektir.

Şekil 8

Normal şartlarda LDAP tanımlamamız bitmiştir. Ola ki birden fazla Aktif Dizin tanımlaması yaptınız ve bunun yönetimini nasıl yapacaksınız ile ilgili olarak son şeklimizde onun tarifini yapalım. Device-Aouthentication Sequence-Add sekmelerine basarak bir den fazla ldap tanımlamasını (sıralandırılmasını) yapılandırabilirsiniz.

Şekil 9

Paloalto Qos Uygulaması

QOS ( Quality of Service)

Bir bilgisayar da birden çok, farklı internet bağlantısını kullanan programların veya aynı donanıma bağlı olarak birden fazla kullanıcının aynı süreç içinde internet üzerinden veri transferi sonucu, bant genişliği normal olarak düşer.

Kısaca tanımlamak istersek networkumuz üzerinde kullandığımız uygulamaların önceliklendirmesini sağlayarak, Networkumuz deki zaman kaybını minumum’ a indirmeyi hedefleyen ağ servisidir. Başka bir ifade ile bir network bağlantısı üzerinde çalışan bir trafik veya uygulama türüne öncelik veren çeşitli teknikler diyebiliriz.

Biz Paloalto fw cihazında, QOS yapısını youtube uygulmasında nasıl yapıldığı ile ilgili örnek bir çalışma yapacağız.

Şekil-1

Yukarıdaki Şekil 1 de paloalto da ki mantalitesi verilmeye çalışılmış. İlk önce profile oluşturacağız. Sonrasında ise profile class tanımlamasını yapıp Qos policy de gerekli tanımlamaları yapacağız. Bunun için gerekli adımları  yapmaya başlayabiliriz.

Paloalto cihazında qos uygulamasını yapabilmek için ilk önce Network-Qos Profile-Add sekmelerine gelip Şekil 2 deki örnekte ki gibi yapalım.

Şekil-2

Profile ekleme işleminden sonra ekranımızdaki görüntüde belirtilen alanları dolduruyoruz.

Şekil-3

Şimdiki ekranda (Şekil-4) ise oluşturduğumuz profile aktifleştirmemiz gerekmektedir.

Network-Qos-Add kısmına gelip tanımlamalarımıza devam edelim.

Şekil-4

Şekil-5

 Şekil-5 de verilen açıklamalara dikkat etmeliyiz. Önemli uyarılardır. Burada dikkat edilmesi gereken hususlardan biri de bantwith genişliğini hangi interface de gerçekleştirmemiz gerekiyorsa o interface belirtmemiz gerekmektedir.

Şekil-6

Şekillerdeki açıklamalar dikkat etmemiz gerektiğini hatırlatmak isterim.

Şekil-7

Şekil-7 de ise Qos tanımlamasının son halini görmektesiniz. Şimdi ise artık yapılan tanımlamaları Policies-Qos-Add kısmına gelerek uygulamayı aktif hale getirebiliriz.

Şekil-8

Şekil-9

Yukarıdaki şekilde verdiğim isim şuana kadar yaptığım uygulama sayısını gösteriyor. Siz tabi ki de kendinize göre isim verebilirsiniz.

Şekil-10

Source zone belirttikten sonra source ip yi de bilirtiyoruz.Siz buraya 10.10.1.0/24 subneti belirterek te yazabilirsiniz.Sadece tek bir ip de kısıtlı kalmak istemesseniz eğer.

Şekil-11

Destination(hedef) zone da belirtilir. Destination Address te yine ip ya ip aralığı belirtebiliriz.

Şekil-12

Application kısmında da önce tanımladığımız profile daki özellikleri hangi uygulamada kısıtlayacaksak eğer o uygulamayı belirtmeliyiz.

Buradan sonra yapılması gereken artık oluşturduğumuz Qos uygulamasının commit edilerek çalıştırılmış hale getirmeliyiz.Sonrasın da ise Browser dan youtube uygulamasını çalıştırıp uygulamanın paloalto cihazındaki oluşumunu aşağıdaki gibi izleyebiliriz.

Şekil-13

Şimdi ise burda Monitor-Session Browser da işaretlediğimiz kısımda belirtilen zone aralığında ve interface de uygulamanın çalıştığı görülmektedir.

Şekil-14

Kırmızı Ok ile gösterilen yerde ise yapılan uygulama daha ayrıntılı bir şekilde gösteriyor.
Uygulamanın daha da ayrıntısını Network-Qos-Statics kısmına gelerek görebiliriz.

Şekil-15

Şekil-16

Şekil-17

Şekil-18

En son şekil de görüldüğü üzre tanımlanmış olan Qos uygulamamız istenilen şekilde hazırlanmış ve sağlıklı bir şekilde çalıştığını görmekteyiz.