link

Güvenlik Duvarı (Firewall)

Güvenlik-Duvarı-Firewall_emreupcinMerhaba arkadaşlar,

Günümüzde siber saldırılar bayağı artış göstermekte. Bilgisayar güvenliği ile ilgili önemli açıklamaları bilmemiz gereklidir. Öğrenmemiz gereken bir diğer husus ise ‘Güvenlik Duvarı’ dır. Eğer belli bir süredir internet kullanıyorsanız ya da birçok bilgisayarlardan oluşan bir ağ ortamında çalışıyorsanız ve interneti de kullanmanız gerekiyorsa muhtemelen firewall (okunuşu fayırvol) kelimesini duymuşsunuzdur.

 

 

Temel olarak firewall ağ sistemlerini internet ortamından gelecek kötü kodlar, virüsler, hackerlar ve zararlı web siteleri gibi birçok olumsuz içerikten korumak için tasarlanmış donanımlardır.

 

İnternet bağlantısı, bilgi işlem açısından bazı sorunları beraberinde getirmektedir.

 

•  Dışarıdan içeriye yapılacak saldırılar.

 

•  İçeriden yetkisiz kişilerin dışarıya bilgi göndermesi.
•  internet’ de “tehlikeli alanlarda” dolaşma sonucunda sisteme virüs bulaşması.
•  Yetkisiz kullanıcıların internet’ de gezinmesi.

 

Firewall (Güvenlik Duvarı) birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere internet trafiğini kontrol altında tutar. Bütününe güvenlik duvarı dediğimiz servisler aslında bir kaç alt kavramdan oluşmaktadır:

 

 Tabya ( Bastion Host )
 Ağ Adres Çevrimi (NAT), Maskeleme, Paket Filtreleme
 Vekil (Proxy)

 

Tabya (Bastion Host)


İdealde, ağınızdaki güvenlik, ağ seviyesinde ve ağdaki her bir makine de uygulanır. Pratikte ise, bu yapılamamakta ya da ihtiyaç duyulan kimi protokollerin güvenlikten yoksun olduğu bilinse dahi kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinelerin olduğu bir ağla, dış dünya arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Dolayısıyla içerideki ağa girmek isteyen her kötü niyetli dış saldırı, önce özel olarak korumalı tasarlanmış güvenlik duvarı makinesini bertaraf etmek zorundadır. Bu makineye “kale”, “nöbetçi kale” anlamına gelen tabya (bastion host) da denir. Tabyamız, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (internet).

 

Tabya iki özelliğe sahiptir:

 

               • Yüksek güvenliğe sahip olmalıdır yani bu makineye izinsiz erişim son derece zor hale getirilmelidir.

 

               •  İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.

 

Ağ Adres Çevrimi (NAT) Maskeleme

 

Günümüzde iç ağların hemen hepsi tahsisli olmayan IP numaraları (10.0.0.0, 192.168.0.0 vs.) kullanmaktadır. Bu IP numaraları internet üzerindeki yönlendiriciler (router) tarafından bilinmez. Dolayısıyla bu ağlardan internetteki herhangi bir makineye bir erişim olduğu zaman internetteki makine bu ağa nasıl geri döneceğini bilmez ve pratikte iletişim yapılamaz. Güvenlik duvarı ise, dinamik veya statik olarak internette bilinen ve kendisine yönlendirme yapılabilen bir IP numarasına sahiptir. İç ağdaki makinelere erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine internetten gelen paketlerin de hedef adresini iç ağdaki ilgili makinenin adresi olarak değiştirir ve bu yolla iç ağdaki makinelerin internet üzerindeki makinelerle haberleşmesini sağlar. Bu işleme IP Maskelemesi (Masquerade) veya Ağ Adres Çevrimi (NAT – Network Address Translation) denir.
NAT yapıldığı zaman, oluşan trafiğin internetten görüldüğü hali, internette bulunan tek bir makinenin (tabyamız) bazı internet alışverişleri yaptığıdır. internete, bu makinenin arkasındaki ağın büyüklüğü, bu ağdaki makinelerin cinsi, sayısı, ağın yapısı vs. hakkında herhangi bir bilgi gitmez. Dolayısıyla NAT, yalnızca tahsissiz ağlardan internete erişimi sağlamakla kalmaz, ağınızdaki makineler hakkında bilgi edinilmesini (ve dolayısıyla size karşı yapılabilecek saldırıları) zorlaştırır.

 

Paket Filtreleme


Yukarıda bahsedilen önlemler (güvenlik duvarının tek fiziksel bağlantı olması, NAT uygulanması) ağınıza belli bir miktar güvenlik sağlar, fakat esas güvenlik, paket filtreleme yöntemlerinden gelir. Bu yöntemler, güvenlik duvarından geçen her IP paketine bakılması ve ancak belli şartlara uyarsa geçişine izin verilmesi şeklinde uygulanır.

 

Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı (dışarıya çıkışa izin ver, fakat içeriye girişe izin verme) olarak uygulanabilir. Paket filtrelemede özellikle yapmanız gereken minimum, dışarıdan gelip de kaynağını içerisi gibi
gösteren (IP spoofing – IP aldatmacası) paketleri ve devam etmekte olan bir trafiğin parçası imiş gibi gelen paketleri (IP fragments) filtrelemek ve bunların geçişine izin vermemektir. Çoğu saldırı, bu şekilde başlar.
Bu minimumu sağladıktan sonra, dışarıdan içeriye yapılmasına izin verdiğiniz erişimleri (telnet yapsınlar mı?, ping yapabilsinler mi?) ve içeriden dışarıya yapılmasına izin verdiğiniz erişimleri (kullanıcılarınız dışarıya telnet yapabilsin mi? Web’e erişsinler mi? ICQ
yapabilsinler mi?) belirlemeniz ve güvenlik duvarı üzerindeki filtre protokollerinizi buna göre oluşturmanız gerekir.

 

Doğrudan Filtreleme


DMZ oluşturmak için ek ekipman ve IP numarası gerekir. Güvenlik duvarında üçüncü bir ağ birimi, ayrı bir switch, daha fazla tahsisli IP numarası ve iç ağınızda başka herhangi bir görev görmeyecek olan sunucu makineler gerekir. Eldeki imkanlar buna yetişmeyebilir.
Böyle durumlarda, güvenlik duvarınızdaki filtreleme politikasını değiştirerek iç ağınızdaki kimi makinelere dışarıdan sınırlı erişim imkanı verebilirsiniz.

 

Örneğin güvenlik duvarınız ağınızın genelinde dışarıdan gelen SMTP (posta) protokolünü filtrelerken, sadece posta sunucunuza dışarıdan SMTP protokolü erişimini verebilir. NAT ile birleştirileceğinden, bu dışarıdan bakıldığı zaman sanki güvenlik duvarınız posta sunuculuğu yapıyormuş izlenimini verir.

 

Vekil (Proxy)
Proxy’nin kelime anlamı vekildir. Yukarıdaki yöntemlerin hepsi, belli kurallara bağlı olarak internetdeki bir makine ile iç ağdaki bir makine arasında doğrudan alışverişe izin verir. Vekil uygulamaları ise, bu doğrudan alışverişin arasına girer. Dolayısıyla protokol
bazlı herhangi bir saldırı, vekil sunucuya yönelik gerçekleşir, iç ağdaki makineyi etkilemez. Örneğin bir http (web) vekili, iç ağdan dışarıya giden bütün web isteklerini toplar. Bu istekleri kendisi yapar, gelen sonuçları iç ağa dağıtır. Eğer web protokolü yolu ile istemci makinenin bazı bilgilerinin alınması veya bir saldırı yapılması söz konusu olur ise, bundan etkilenen sadece web vekili makine olur, iç ağda web erişiminde bulunan her makine değil.

 

Güvenlik amacı ile proxy kullanımı, uygulama temelli güvenlik duvarı (application level firewall) olarak adlandırılır.

Yazar
Yazar
Bilgisayar Programcısı, Web Tasarımcı, Üniversite Öğrencisi...
Twitter Facebook Google Linkedin Flickr YouTube

Önceki Yazı:Windows’ta Yedek Alma İşlemi Nasıldır?

Sonraki Yazı:İnternet Erişim Paylaştırıcısı ve Bant Genişliği…

YORUMLAR
SİZ DE CEVAP YAZABİLİRSİNİZ
Bu yazı hakkında görüşünüzü belirtin.

ES Web Tasarım Web Tasarım Blog Teması Emre Supçin Bu tema ES Web Tasarım tarafından düzenlenmiştir. Hiçbir şekilde kopyalanamaz.