Güvenlik Duvarı (Firewall)

Güvenlik Duvarı (Firewall) Merhaba arkadaşlar, Günümüzde siber saldırılar adi artış göstermekte. Bilgisayar güvenliği ile ilgili önemli açıklamaları bilmemiz gereklidir. Öğrenmemiz gereken bir öbür husus ise ‘Güvenlik Duvarı’ dır. Eğer belirgin bir süredir internet kullanıyorsanız ya da çok sayıda bilgisayarlardan oluşan bir file ortamında çalışıyorsanız ve interneti de denemeniz gerekiyorsa muhtemelen firewall (okunuşu fayırvol) kelimesini duymuşsunuzdur.     Temel şekilde firewall file sistemlerini internet ortamından istikbal fena kodlar, virüsler, hackerlar ve yararsız web siteleri benzeri çok sayıda olumsuz içerikten korumak için tasarlanmış donanımlardır.   İnternet bağlantısı, bilgi işlem açısından bazı sorunları yanında getirmektedir.   •  Dışarıdan içeriye yapılacak saldırılar.   •  İçeriden yetkisiz kişilerin dışarıya bilgi göndermesi. •  internet’ de “tehlikeli alanlarda” dolaşma sonucunda sisteme virüs bulaşması. •  Yetkisiz satın alanların internet’ de gezinmesi.   Firewall (Güvenlik Duvarı) çok sayıda türlü filtreleme niteliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere internet trafiğini kontrol altında tutar. Bütününe güvenlik duvarı dediğimiz servisler gerçekte bir kaç alt kavramdan oluşmaktadır:   • Tabya ( Bastion Host ) • Ağ Adres Çevrimi (NAT), Maskeleme, Paket Filtreleme • Vekil (Proxy)   Tabya (Bastion Host) İdealde, ağınızdaki güvenlik, file seviyesinde ve ağdaki her bir makine de uygulanır. Pratikte ise, bu yapılamamakta ya da ihtiyaç duyulan bazan protokollerin güvenlikten yoksun olduğu bilinse bile kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinelerin bulunduğu bir ağla, hariç dünya arasına yerleştirilir ve aradaki fiziksel bağlantı sadece güvenlik duvarı sebebiyle sağlanır. Dolayısıyla içerideki ağa girmek arzulayan her fena niyetli hariç saldırı, evvela özel şekilde korumalı tasarlanmış güvenlik duvarı makinesini bertaraf etmek zorundadır. Bu makineye “kale”, “nöbetçi kale” anlamına gelen tabya (bastion host) da denir. Tabyamız, fiziksel şekilde iki muhtelif ağa bağlıdır: iç ağ (Intranet) ve hariç file (internet).   Tabya iki özelliğe sahiptir:                  • Yüksek güvenliğe sahip olmalıdır yani bu makineye izinsiz erişim son derece zor bir duruma getirilmelidir.                  •  İki (bazen üç) fiziksel file bağlantısına sahip olmalı ve bu türlü ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.   Ağ Adres Çevrimi (NAT) Maskeleme   Günümüzde iç ağların hemen hepsi tahsisli olmayan IP numaraları (10.0.0.0, 192.168.0.0 vs.) kullanmaktadır. Bu IP numaraları internet üstündeki yönlendiriciler (router) anlamında bilinmez. Dolayısıyla bu ağlardan internetteki herhangi bir makineye bir erişim bulunduğu süre internetteki makine bu ağa nasıl arka döneceğini bilmez ve pratikte iletişim yapılamaz. Güvenlik duvarı ise, dinamik yada statik şekilde internette isimlendirilen ve kendisine yönlendirme yapılabilen bir IP numarasına sahiptir. İç ağdaki makinelere erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi şekilde değiştirir. Kendisine internetten gelen paketlerin de hedef adresini iç ağdaki ilgili makinenin adresi şekilde değiştirir ve bu yolla iç ağdaki makinelerin internet üzerindeki makinelerle haberleşmesini sağlar. Bu işleme IP Maskelemesi (Masquerade) veya Ağ Adres Çevrimi (NAT – Network Address Translation) denir. NAT yapıldığı zaman, oluşan trafiğin internetten görüldüğü hali, internette bulunan tek bir makinenin (tabyamız) bazı internet alışverişleri yaptığıdır. internete, bu makinenin arkasındaki ağın büyüklüğü, bu ağdaki makinelerin cinsi, sayısı, ağın yapısı vs. hakkında herhangi bir bilgi gitmez. Dolayısıyla NAT, sırf tahsissiz ağlardan internete erişimi sağlamakla kalmaz, ağınızdaki makineler meselesinde bilgi edinilmesini (ve dolayısıyla size karşı yapılabilecek saldırıları) zorlaştırır.   Paket Filtreleme Yukarıda bahsedilen önlemler (güvenlik duvarının tek fiziksel bağlantı olması, NAT uygulanması) ağınıza belirgin bir tutar güvenlik sağlar, lakin esas güvenlik, paket filtreleme yöntemlerinden gelir. Bu yöntemler, güvenlik duvarından geçen her IP paketine bakılması ve ancak belirgin şartlara uyarsa geçişine izin verilmesi halinde uygulanır.   Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üstünde ayrı ayrı ve yöne bağlı (dışarıya çıkışa izin ver, lakin içeriye girişe izin verme) şekilde uygulanabilir. Paket filtrelemede bilhassa yapmanız gereken minimum, dışarıdan gelip de kaynağını içerisi benzeri işaret eden (IP spoofing – IP aldatmacası) paketleri ve devam etmekte olan bir trafiğin parçası imiş benzeri gelen paketleri (IP fragments) filtrelemek ve bunların geçişine izin vermemektir. Çoğu saldırı, bu biçimde başlar. Bu minimumu sağladıktan sonra, dışarıdan içeriye yapılmasına izin verdiğiniz erişimleri (telnet yapsınlar mı?, ping yapabilsinler mi?) ve içeriden dışarıya yapılmasına izin verdiğiniz erişimleri (kullanıcılarınız dışarıya telnet yapabilsin mi? Web’e erişsinler mi? ICQ yapabilsinler mi?) belirlemeniz ve güvenlik duvarı üstündeki filtre protokollerinizi buna göre oluşturmanız gerekir.   Doğrudan Filtreleme DMZ oluşturmak için ek ekipman ve IP numarası gerekir. Güvenlik duvarında üçüncü bir file birimi, ayrı bir switch, daha fazla tahsisli IP numarası ve iç ağınızda öbür herhangi bir görev görmeyecek olan sunucu makineler gerekir. Eldeki olanaklar buna yetişmeyebilir. Böyle durumlarda, güvenlik duvarınızdaki filtreleme politikasını değiştirerek iç ağınızdaki kimi makinelere dışarıdan kısıtlı erişim imkanı verebilirsiniz.   sorun güvenlik duvarınız ağınızın genelinde dışarıdan gelen SMTP (posta) protokolünü filtrelerken, yalnızca posta sunucunuza dışarıdan SMTP protokolü erişimini verebilir. NAT ile birleştirileceğinden, bu dışarıdan bakıldığı süre sanki güvenlik duvarınız posta sunuculuğu yapıyormuş izlenimini verir.   Vekil (Proxy) Proxy’nin sözcük manası vekildir. Yukarıdaki yöntemlerin hepsi, belirgin kurallara bağlı olarak internetdeki bir makine ile iç ağdaki bir makine arasında direk alışverişe izin verir. Vekil uygulamaları ise, bu direk alışverişin arasına girer. Dolayısıyla protokol bazlı herhangi bir saldırı, vekil sunucuya yönelik gerçekleşir, iç ağdaki makineyi etkilemez. Örneğin bir http (web) vekili, iç ağdan dışarıya giden tüm web isteklerini toplar. Bu istekleri kendisi yapar, gelen sonuçları iç ağa dağıtır. Eğer web protokolü yolu ile istemci makinenin bazı bilgilerinin alınması yada bir hücum yapılması söz konusu olur ise, bundan etkilenen yalnızca web vekili makine olur, iç ağda web erişiminde bulunan her makine değil.   Güvenlik amacı ile proxy kullanımı, uygulama temelli güvenlik duvarı (application level firewall) şekilde adlandırılır.


Yapılan Yorumlar
Erdem OFLAZ

Bir mum, diğer mumu tutuşturmakla ışığından bir şey kaybetmez.
 Kategoriler
 Popüler yazılar