|
DÖKÜMANLAR - Firewall Nedir?
FIREWALL
NEDİR
İnternette güvenlik ile ilgili konular arasında adı sık sık geçen
FIREWALL kavramı esas olarak yazılım ile oluşturulup, internet
üzerinden bir sisteme girişleri kısıtlayan/yasaklayan ve genellikle
bir internet gateway servisi (ana internet bağlantısını sağlayan
servis - ağ geçidi) olarak çalışan bir bilgisayar üzerinde bulunan
güvenlik sistemine verilen genel addır.
Fırewall internet ağından yerel ağı korumanın çeşitli yollarından
birisidir. Genel olarak iki türlü firewall yapısından
bahsedebiliriz; veri trafiğini engelleyen türler ve veri trafiğine
izin veren türler. Bazı firewall tiplerinde veri akışının
engellenmesi esas iken bazılarında da veri trafiğini düzenlemek ve
sınırlamak önem kazanır. Genellikle fırewallar dışarıdan ağa
yetkisiz erişimleri engellemek için düzenlenir. Ağdan dışarıya
erişim serbest iken dışarıdan ağa erişim kısıtlanır. Bazı fırewallar
sadece e-maıl trafiğine izin verirken diğerleri farklı cinsten veri
iletimine izin vermekle birlikte problem olabilecek servisleri (FTP,
NFS, X-Windows gibi) ve bazı iletişim türlerini bloke ederler. Bu
tür seçimler ve erişim izinleri tamamen kullanıcıların tercihlerine
göre belirlenir.
Fırewall'un esas amacı ağa zarar vermek yada sızmak isteyenleri
engellemektir. Genel olarak şirketler ve veri merkezleri için
firewall sıkça kullanılan bir güvenlik metodudur. Fırewallar
güvenlik ve denetim için bir tür geçit noktası oluşturur. Ayrıca
sisteme modem ile bağlantı kurulmak istendiğinde fırewall bu
bağlantıyı kontrol edip izleyebilme imkanına da sahiptir.
Firewall ile birlikte çeşitli kullanıcı erişimi denetleme ve
yetkilendirme mekanizmalarının kullanılması da (one time password
gibi) yerel ağın güvenliğini arttıran bir unsurdur. Firewall bu
türden, kullanıcı şifre ve yetkilerinin tanımlanıp kullanılması ve
bu bilgilerin ağlar arasındaki trafiğinin gizlenmesi konusunda extra
özellikler sunar.
Firewall'un bazı dezavantajları ve kusurları da eksik değildir tabii
ki. Bu problemleri şöyle özetleyebiliriz:
· Fırewall için en büyük dezavantaj kullanıcıların bazı çok
kullanılan (telnet, ftp, x-wındows, nfs gibi) servislere erişiminin
kısıtlanmasıdır. Ancak, bu dezavantaj fırewall'a özgü değildir.
Fırewall ile network erişimi, yerel ağların güvenlik planına bağlı
olarak, host (kullanıcı) düzeyinde çeşitli opsiyonlar ile
kısıtlanılabilir. Kullanıcı ihtiyaçları ile güvenlik şartlarını
dengeleyen iyi planlanmış güvenlik planı, bu tür kısıtlanmış erişim
problemlerini çözebilir. Bazı durumlarda yerel ağ sistemleri
fırewall'a uygun olmayan topolojiye sahip olabilirler veya fırewall
kullanıldığında, sistemin yeniden yapılandırılmasının gerektiği NFS
gibi servisleri kullanabilirler. Örneğin, bir yerel ağ, ağ geçitleri
(gateway) arasında NFS ve NISA protokollerini kulanmak zorunda ise,
fırewallı eklemenin bedeli, hack'lanabilirliklerin bedeli ile
karşılaştırılmalı ve risk analizi yapılmalıdır. Bu durumlarda
alternatif çözümler (Kerberos gibi) daha uygun olabilir.
· Fırewall, trojan türü DATA içeren veri paketlerine karşı da ağı
koruyamaz. İçinde bir hacker tarafından yerleştirilmiş programlar
bulunan veri paketleri ile yapılan saldırılarda (backdoor oluşturan
programlar) firewall için potansiyel bir tehlike mevcuttur. Bu
metodla istemci, sunucudaki erişim kontrollarını değiştirip gizli
dosyaları açabilecek programları bizzat sunucu yani server tarafında
çalıştırabilir. Saldırıların bu türü sendmail'in çeşitli
versiyonlarına karşı geçmişte çok defa yapılmıştı.
· Eğer fırewall tarafından korunan ağın içine sınırsız modem erişimi
izni verilirse, saldıran kişiler fırewall'u rahatça geçebilir. Modem
hızları , slip ( serial line ip ) ve ppp ( point to point protokol )
için oldukça yüksektir. Güvenli sanılan alt ağlar içindeki slip veya
ppp bağlantıları, aslında diğer networklere bağlantı kurulabilecek
gedikler ve potansiyel backdoor'lardır.
· Fırewall genellikle ağın içerisinden gelen tehditlere karşı koruma
sağlamaz.
· Multicast video ve ses içeren IP paketleri de firewall tarafından
filtre edilmediğinden ayrı bir potansiyel tehlike kaynağıdır.
· Fırewallar virüsler için de bir güvenlik sağlamaz. çünkü
internetten indirilen yada e-mail ile gelen paketler içinde virüsler
kolaylıkla şifre edilebilirler veya sıkıştırılabilirler. Fırewall
virüs imzalarını aramak için böyle programları taramaz.
Firewall konusunun daha açık anlaşılabilmesi için bazı firewall
türlerinin yapısını incelemek faydalı olabilir. Ancak bu incelemeye
geçmeden önce PROXY ve PACKET FILTERING konularını kısaca
açıklamakta fayda var.
PACKET FILTERING (Veri paketleri Filtresi)
IP paketleri filtreleme işlemi, yönlendirici (Router) ara birimleri
arasında geçen veri paketlerini süzmek için tasarlanmış bir
yönlendirici (Router) kullanılarak yapılır. Paket filtreleme
yönlendiricisi (Packet Filtering Router), aşağıdaki kriterlerin
hepsine veya bazısına göre IP paketlerinin trafiğini süzebilir:
Kaynak (source) IP adresleri
hedef (destination) IP adresleri
kaynak tcp/udp portu
hedef tcp/udp portu
Tüm paket filtreleme yönlendiricileri sadece kaynak tcp/udp
portlarını süzmekle kalmayıp, bazı yönlendiriciler, yönlendirici
arabirimine bir veri paketi geldiğinde bu paketin nasıl
kullanılacağını da incelerler. Fıltreleme ağdaki veya ana makinadaki
bağlantıları bloke etmek için kullanılan çeşitli metotlardan
birisidir ve belirli portlar için bu portlardan yapılacak veri
iletişimini bloke eder. Bir ağ, güvenilmez olarak tanımladığı ana
makina veya ağlardan (belirli adreslerden) bağlantı yapılmasını
engellemek isteyebilir ya da dışarıdan gelen tüm trafiği (e-mail,
smtp gibi malum istisnalar dışında) bloke etmek isteyebilir.
IP adres filtresine, tcp ve udp port filtresi ekleyerek sistem daha
esnek hale getirilebilir. Eğer bir fırewall tcp veya udp portlarının
bağlantısını bloke edebiliyorsa belli makinalar için yapılan belirli
bağlantı tiplerini de yönlendirebilir. Örneğin bir ağ, firewall'a
bağlı olanların dışındaki makinalara giren bütün bağlantıları
engelleyebilir. Ya da bir sistem için telnet veya ftp bağlantıları
serbest iken bir diğeri için sadece smtp bağlantısı açık olabilir.
Tcp veya udp portlarının süzülmesi yolu ile bu tür seçimlerin
uygulanması, paket filtreleme kapasitesine sahip host yoluyla veya
paket filtreleme yönlendiricisi tarafından yapılır.
Bununla birlikte paket filtreleme metodu herhangi bir veri içeriği
kontrolu yapmadığından birtakım dezavantajlara da sahiptir. Ayrıca
portların veri transferi aşamasındaki yönlendirilmeleri ve
yönetimleri ile de ilgili bazı problemler olduğu bilinmektedir.
PROXY SERVER ( bazan uygulama geçidi - applıcatıon gateway olarak
da adlandırılır)
Proxy servisi, internet üzerindeki yerel bir ağ (ya da internete
bağlı bir bilgisayar) ile dış dünya arasındaki ilişkiyi sağlayan bir
yardımcı geçit (gateway) sistemidir. Proxy'ler sık sık yönlendirici
(router) makinaların yerine, benzeri bir işlev ile ağlar arası
trafiği kontrol etmek amacıyla kullanılır. Aynı zamanda bir çok
proxy server, kullanıcı erişimleri için denetleme ve destek de
sağlar. Proxy server'lar kullanılan uygulama protokollerine hakim
olmaları nedeniyle bazı özel güvenlik protokollerini de
uygulayabilirler. Örneğin bir ftp proxy server'ı, ftp protokolü
üstünden giriş yada çıkışları denetleyecek ve bloke edecek şekilde
konfigüre edilebilir.
Proxy server özel bir uygulamadır. Proxy yoluyla yeni bir protokolu
desteklemek için, o protokole özel bir proxy yapısı
geliştirilmelidir. (Soketler, bir fırewall gibi çalışması için,
istemci tarafındaki uygulamalar için oluşturulmuş proxy
sistemleridir. Avantajı kullanım kolaylığıdır. Ama proxy'ler gibi
erişim kontrolüne ve özel protokol kullanma olanağına sahip
değildir.)
Bir proxy servisi (sunucusu) sizin adınıza (proxy'nin kelime anlamı
vekil'dir) sizden aldığı "internet'ten bilgi alma" isteklerini
yürütür ve sonucu yine size iletir. Ancak aynı anda, bu bilgilerin
bir kopyası da (cache), bu proxy sunucusu üzerinde tutulur ve bir
dahaki erişimde kullanıcının istediği bilgiler doğrudan ilgili
siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim
daha hızlı olur. Internet'e erişim için mutlaka bir proxy servisine
ihtiyaç yoktur, ancak size en yakın bir servis noktasındaki proxy
servisini kullanmanız, internet erişiminizi bir hayli
hızlandıracaktır.
FIREWALL ÖRNEKLERİ
Paket filtreleme yapan Firewall türü - Packet Filtering Firewall.
Çift taraflı Geçit tipindeki Firewall türü - Dual-homed gateway
firewall.
Perdelenmiş kullanıcı tipindeki Firewall türü - Screened host
firewall.
Perdelenmiş alt ağ tipindeki Firewall - Screened subnet firewall.
Ek olarak fırewall ile modem erişiminde bağlantıları entegre etmek
için kullanılan metotları da ayrı bir bölümde değerlendirebiliriz
1- Packet Fıltering Firewall:
Packet Fılterıng, küçük ve basit siteler ve ağlar için en yaygın ve
en kolay metottur. Ancak bir çok dezavantajlarından dolayı diğer
fırewall türlerine göre pek tercih edilmez. Basit olarak, bir
ınternet ağ geçidinde (gateway), packet fılterıng yönlendiricisi (router)
kurulur ve sonra , protokollar ve adresleri engellemek veya süzmek
için yönlendiricide gerekli ayarlar yapılır. İnternetten sisteme
erişim engellenilirken, sistemden ınternete erişim genellikle
serbest bırakılır. Bununla beraber yönlendirici (router) güvenlik
planına bağlı olarak sistemler ve servislere kısıtlı erişimlere izin
verebilir. nıs nfs ve x-wındows gibi tehlikeli olabilecek servisler
için genellikle erişim ve trafik bloke edilir.
Packet Filterıng Firewall için de yönlendiricilerdeki dezavantajlar
geçerlidir. Yerel ve korunması gereken ağların güvenlik ihtiyaçları
daha karmaşık olduğundan sorun daha da büyüktür. Bu sorunlar:
Erişim denetleme yetenekleri sınırlıdır. Ağ yöneticisi saldırıyı
anında fark edemez.
Packet fılterıng kuralları, bilinmeyen türden saldırılara karşı ağı
test edebilme yeteneğine sahip değildir.
Eğer karmaşık filtre kuralları ve düzenlemeleri istenirse sistemin
idaresi zor olabilir.
2- Çift Taraflı Geçit (Dual-Homed Gateway):
Bu tür, "paket fıltrelemeli firewall"a karşı iyi bir alternatifdir.
İki network ara birimi ile IP iletişimi engellenen bir terminalden
oluşur. Burada terminal artık veri paketlerini direkt olarak iki ağ
arasında iletemez. Ayrıca bu sistemde packet fılterıng
yönlendiricisi internet bağlantısı üzerine, ek bir koruma sağlamak
için yerleştirilebilir. Bu yönlendirici sayesinde bilgi sunucusu (information
server) ve modem gibi sistemleri tanımlamak için kullanılabilen
dahili ve perdelenmiş bir alt ağ yaratılır. "Paket filtrelemeli
fırewall"dan farklı olarak, "çift taraflı geçit" mekanizması,
internet ile ağ arasında IP trafiğini tamamen bloke eder (proxy
tarafından kullanılan servisler hariç tabii). Servisler ve
sistemlere erişim, bu geçitteki (gateway'deki) proxy sunucusu
tarafından sağlanır. Basit ve emniyetli bir firewall türüdür.
Alt ağ (subnet) sadece firewall tarafından bilinir ve algılanır.
İnternet üzerinde bu ağa ait bir bilgi bulunmaz.
Bu sayede ağ içindeki isimler ve ıp adresleri internet
sistemlerinden saklanır. Çünkü fırewall DNS bilgisini geçirmez.
"Çift taraflı geçit" sisteminin kurulumunda telnet, ftp, ve merkezi
e-maıl servisi için bir proxy server düzenlenmelidir. Bu sistemde ek
olarak fırewall davetsiz misafirlerin faaliyetini ve sisteme erişim
çabalarını izleyebilir.
"Çift taraflı geçit" tipindeki fırewall, ağa gelen ve giden veriler
ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi
sunucusu, geçit-gateway ile yönlendirici-router arasında alt ağa
yerleştirilir. Ağ geçidinin (gateway) bilgi sunucusu için uygun
proxy servisleri sağladığını farzedersek (ftp , gopher veya http
gibi) yönlendirici (router), fırewall'a doğrudan erişimi önleyebilir
ve erişimleri fırewall’un denetlemesine tabi tutar. Bilgi
sunucusunun bu şekilde yerleştirilmesi, davetsiz misafirlerin bilgi
sunucusuna erişimine imkan vermediğinden ve çift taraflı geçit
mekanizması ile de ağ sistemlerine ulaşımın engellenmesinden dolayı
daha emniyetli bir metottur.
Çift taraflı geçidin esnek olmayan yapısı bazı ağlarda dezavantaj
olabilir. Proxy haricinde bütün servisler bloke edildiği için var
olan diğer servislere erişim imkanı olmaz. Erişilmesi gereken
servisler için bu servisleri veya sistemleri geçidin internet
tarafına yerleştirmek gerekir. Ancak ayrı bir yönlendirici, geçit
ile asıl yönlendirici arasında bir alt ağ oluşturacak şekilde
kurulabilir ve ekstra hizmetler gerektiren sistemler burada devreye
sokulabilir.
Diğer önemli bir nokta firewall'un güvenli bir makina ve işletim
sistemi üzerine kurulması gerekliliğidir. Ana sistemdeki açıklar
firewall için boşa harcanan para demektir.
3- Perdelenmiş Kullanıcı Tipindeki Firewall - Screened Host
Firewall:
"Çift taraflı geçit" tipindeki fırewall'dan daha esnektir. Ancak her
zamanki gibi esneklik, güvenlik adına verilen bazı bedeller ile
sağlanmıştır.
"Perdelemeli fırewall", yönlendiricinin korunmalı durumdaki alt ağ
tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli
yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara
birimine ihtiyaç duyar . Uygulama geçitlerinin proxy servisleri ağ
sistemindeki bazı proxyler için telnet ftp ve diğer veri paketlerini
geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama
geçidi ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi
gereken protokollerdir ve uygulama trafiğini aşağıdaki şekilde
yönlendirirler:
Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen
trafik kabul edilir,
İnternet ağlarından gelen diğer tüm trafik geri çevrilir.
Uygulama geçidinden gelmedikçe, yönlendirici içeriden gelen herhangi
bir uygulama trafiğini reddeder.
"Çift taraflı geçit" türü fırewall'dan farklı olarak, bu sistemdeki
uygulama geçidi sadece bir network ara birimine ihtiyaç duyar ve
uygulama geçidi ile yönlendirici arasında ayrı bir alt ağ (subnet)
gerektirmez. Bu durum daha esnek ama daha emniyetsiz bir yapıdır.
Örneğin ntp gibi daha az tehlikeli servisler, ağ sistemlerine
yönlendiricinin içinden geçiş izni verebilirler. Eğer alt ağ
sistemleri internet sistemlerine dns erişimi gerektirirse dns
protokolü bu alt ağa erişimi mümkün kılabilir.
4-Perdelenmiş Alt Ağ tipi Fırewall - Screened Subnet Firewall:
Perdelenmiş alt ağ tipi fırewall , "çift taraflı geçit" ile
"perdelenmiş host tipi fırewall"un birleşimidir.
5- Firewall ile modemin entegrasyonu:
Bir çok ağda, ağdaki modemlere telefon hattından erişim mümkündür.
Bu, potansiyel bir backdoor açığıdır ve firewall ile kurulan
korumayı tamamen etkisiz duruma getirir. Böyle durumları önlemenin
yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde
toparlamaktır. Ana modem girişi düzenlemesi, modemlerin ağa
bağlantısını sağlamak amacıyla yapılmış bir terminal sunucu
üzerinden gerçekleştirilebilir.
Modem kullanıcıları önce terminal sunucusuna bağlanır, oradan da
diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel
sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de
sağlarlar. Bir diğer alternatif de, terminal sunucusuı, modemlerin
bağlandığı bir ana makine da olabilir.
Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda
olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve
emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu
fırewall'un dışında oluşturmak, modemle yapılacak bağlantılar
firewall içinden geçeceğinden emniyetli bir yöntemdir.
Ayrıca uygulama geçidinin gelişmiş erişim denetleme yeteneği,
internetten olduğu gibi modemden bağlanan kullanıcıların erişim
yetkilerini doğrulamakta kullanılabilir. Paket filtreleme
yönlendiricisi de dahili sisteme ana modem sunucusundan yapılacak
bağlantıları önlemek için kullanılabilir .
Sistemin dezavantajı ise, modem sunucusunun internete doğrudan
bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya
bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara
giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara
yapılacak bu tür bağlantıları engellenebilmelidir.
Nasıl Alabilirim
Ürünlerimizi ister sanal mağazamızdan online olarak,
isterseniz müşteri temsilcilerimiz ile görüşerek farklı
ödeme seçenekleri ile satın alabilirsiniz.
|