DaWnWaTeR®’S BLoG

Güvenlik Duvarı (Firewall)

 Güvenlik Duvarı (Firewall)

Güvenlik duvarı, iki ağ arasındaki IP trafiğini kontrol etmek için kullanılan donanım veya yazılımlardır. Daha üst katmanlarda görev alan bazı türlerinin dışında,  çoğu güvenlik duvarı  türleri OSI (Open Systems Interconnection (Açık Sistemler Arabağlaşımı)) Modelinin 3. katmanında görev alır.

Güvenlik duvarı genel olarak;

• Çeşitli ağ saldırılarına karşı bilgisayarı korumak,
• Ağ trafiğini ve erişim politikalarını kontrol etmek,
• Herhangi bir şüpheli durum tespit edildiğinde uyarı göndererek durumu kullanıcıya bildirmek,
  için kullanılır.

Güvenlik duvarının bir bilgisayarı tek başına kesinlikle koruyamayacağı unutulmamalıdır. Güvenlik duvarının en etkili şekilde çalışabilmesi, birçok parçadan oluşan bir güvenlik mimarisi içinde bulunmasına bağlıdır.
Güvenlik Duvarı Filtreleme Özellikleri

•  Statik Paket Filtrelemesi

TCP/IP trafiği paketlere bölünmüş halde oluşmuştur ve güvenlik duvarları gelen paketlerden hangilerinin kabul edileceğine karar verir. Şekilde de görüldüğü gibi bir paket 3 özellik taşır: IP başlığı (header), TCP/UDP başlığı ve paketin içerik bilgisi. IP başlığı gönderen ve alan tarafların IP adresini taşır. TCP/UDP başlığı ise gönderen ve alan tarafların port bilgilerini taşır.

                   

Güvenlik duvarı, gelen trafiği filtrelerken IP adreslerine ve portların uygunluğuna bakarak filtreleme yapar. Örneğin; bir Web sunucusunu koruyan güvenlik duvarı sadece o sunucunun IP adresine gelen isteklere ve belli portlardan(mesela http için 80, https için 443) girişe izin verir.

Güvenlik duvarları standart programların kullanılması için gerekli izinlere varsayılan şekilde sahip olarak gelirler. Ancak farklı bir port kullanması gereken bir uygulama yüklendiğinde güvenlik duvarının ayarlarının değiştirilmesi gereklidir. Aşağıda Windows XP’de bulunan ICF (Internet Connection Firewall (İnternet Bağlantı Güvenlik Duvarı))  için bir ayarlama örneği gösterilmektedir:

Uzak masaüstü bağlantısı kurabilmek için gerekli port numarası TCP : 3389 olarak girilir.   

Aynı işlem başka bir güvenlik duvarı ile de yapılabilir. Örnekte Zone Alarm adlı program görülmektedir:

NOT: Windows XP sistemlerde My Computer(Bilgisayarım) simgesine sağ tıklanıp Properties (Özellikler) seçildiğinde Remote (Uzak) sekmesindeki Remote Desktop( Uzak Masaüstü) sekmesi tıklandığında varsayılan olarak 3389 portu açılacaktır. Eğer başka bir port kullanılarak bağlanılmak istenirse yukarıdaki işlemler yapılabilir.

En çok kullanılan portlar ve hangi uygulamalar için kullanıldıkları aşağıdaki tabloda gösterilmiştir:

Yaygın Port  Numaraları  

Service	Port
Web server	80/tcp
SSL (Secure Sockets Layer) Web server	443/tcp
FTP	21/tcp
POP3	110/tcp
SMTP	25/tcp
Remote Desktop (Terminal Services)	3389/tcp
IMAP3	220/tcp
IMAP4	143/tcp
Telnet	23/tcp
SQL Server	1433/tcp
LDAP	389/tcp
MSN Messenger	1863/tcp
Yahoo! Messenger	5050/tcp
AOL Instant Messenger and ICQ	5190/tcp
IRC (Internet Relay Chat)	6665-6669/tcp
DNS	53/udp

 

•   Kaynak Adresine ve Hedef Adrese göre Filtreleme

Bazı güvenlik duvarları kaynak ve hedef adreslere göre filtreleme mimarisi uygularlar. Bu tip filtreleme iki yönden kullanışlıdır. Örneğin: bir Web sitesini ismi ile bloklama tekniği bir hedef adres filtrelemesidir. Kullanılan diğer bir yöntem ise bilgisayardan giden tüm istekleri kontrol etmeye yarayan kaynak filtrelemesidir. Bir kuruluşta çalışan bir sistem yöneticisi bir bilgisayardan anında mesajlaşma (msn,icq vs.) için gönderilen istekleri engelleyebilir.  

Ayrıca kaynak filtrelemesi ile bir ağ içindeki kullanıcılara erişim hakları verilip ağ dışından gelen tüm istekleri bloklamak yaygın olarak kullanılan bir yöntemdir. Ayrıca bu yöntem sayesinde istenilen herhangi bir IP adresi bloklanarak o IP adresinin yaptığı saldırılardan da korunulabilir.

• Dinamik Paket Filtreleme

Dinamik paket filtreleme mimarisindeki güvenlik duvarlarında klasik paket filtrelemenin yanısıra oturumu takip etme özelliği de vardır. Checkpoint firmasının ürettiği bu teknoloji yine bu firmanın tescilli markası olan Stateful Inspection (Dinamik Paket Filtreleme) ismiyle anılmaktadır. Günümüz güvenlik duvarı sistemleri genelde bu teknoloji ile çalışmaktadırlar. Temel olarak TCP oturumları başı, ortası ve sonu olan oturumlardır. Hiçbir oturum başından veya ortasından kurulamaz. Güvenlik duvarı, oturumdaki TCP bayraklarını da kontrol eder. Oturumun başında (SYN), ortasında (ACK) ve sonunda (FIN) olmak üzere 3 bayrak olur. Eğer bu bayraklardan herhangi bir tanesi eksik ise oturum hatalıdır ve sonlandırılır. Bu mimarinin bir çalışma örneği aşağıda gösterilmektedir:

                    

1. İnternet İstemci Web Sunucusu’na (Internet Client Web Server) bir HTTP isteği ve içinde kaynak, hedef IP adresleri olan ve port bilgilerini taşıyan bir paket gönderir.
2. ISA (International Studies Association) sunucusu bu isteği ve paketi yakalar.
3. ISA sunucusu bu pakette yer alan IP ve port bilgilerini kendisindekilerle değiştirir.
4. Ayrıca ISA Sunucusu IP ve port bilgilerini, bir tablo oluşturup oturumu takip etmek için kaydeder.
5. ISA sunucusu değiştirilmiş paketi Web sunucusuna yollar.
6. Web sunucusu gelen paketi ISA sunucusu ile ortak kullandığı 5300 portundan yanıtlar.
7. ISA sunucusu gelen bu cevabı alır ve tablosuna bakarak 5300 portu kullanan paket bilgilerini arar.
8. ISA sunucusu paketteki IP ve port bilgilerini eski haline getirir.
9. ISA sunucusu paketi İnternet istemcisine geri yollar. 

Proxy Firewall (Proxy Güvenlik Duvarı)

Proxy mimarisini destekleyen güvenlik duvarlarında oturum, başlatan ve hedef arasında gerçekleşmez. Oturum açmak isteyen taraf, isteği güvenlik duvarına gönderir ve güvenlik duvarı bu paketi hedefe ulaştırır; hedeften cevap yine güvenlik duvarına gelir ve güvenlik duvarı tarafından oturumu açmak isteyen tarafa iletilir. Oturum açıldıktan sonra da aynı şekilde devam eder. Böylece iki sistem arası tamamen yalıtılır ve güvenlik duvarı paketlerin gerek içeriklerine, gerek hedef ve kaynak portlarına gerekse de gönderenin IP adresine müdahale edebilir. Paketlerin içeriğini kontrol edebilme Proxy güvenlik duvarlarının en büyük artılarındandır, böylece istenmeyen komutlar (HTTP paketlerinde POST komutunun kullanılmaması gibi) veya içerik (Java , ActiveX gibi) filtrelenebilir. Özellikle FTP (File Transfer Protocol (Dosya Transfer Protokolü))  kesinlikle Proxy olarak hizmet vermelidir; aksi taktirde saldırgan, FTP’nin  pasif FTP seçeneği ile FTP sunucusundan, içerideki sistemlere ulaşabilir. FTP Proxy kullanımı bu tür isteklerin güvenlik duvarı tarafından filtrelenmesini sağlamaktadır, Uyarlanan Güvenlik Duvarları (Stateful Firewall) gibi oturumu takip etmek zorunda değildir; çünkü oturum zaten kendisi tarafından devam ettirilmektedir. Bu Proxy’ler görünmeyen (transparan) Proxy’ler olabileceği gibi normal Proxy’ler de olabilmektedir. Yetersiz olduğu noktalara gelince, araya girmesi ve paketleri kendisinin iletmesinin doğal sonucu olan yavaşlık ortaya çıkmaktadır. Ciddi bir yavaşlık olmamasına rağmen artan bağlantı sayısı ve yoğun ağlardaki veri trafiği, hızı olumsuz yönde etkilemektedir.

Güvenlik Duvarı Türleri

İnternet Bağlantı Güvenlik Duvarı  (Internet Connection Firewall- ICF)

ICF dinamik bir güvenlik duvarı olması için tasarlanmıştır. ICF bilgisayara giriş yapmaya çalışan tüm ağ trafiğini inceleyerek kayıt altına alır. Yaygın şekilde yapılan korsan faaliyetlere karşı (örneğin port tarama) ICF o adresle olan haberleşmeyi keser ve faaliyet günlüğüne bu tip aktiviteleri kaydeder.

ICF ile Önüne Geçilebilen Tehditler

• Taramalar (Scans) – Bilgisayar korsanları ağı tarayarak güvenlik açığı bulunan makineleri tespit etmeye çalışırlar. ICF bu tip taramaları farkeder ve bloklar.
• Truvalar (Trojanlar) – Birçok Truva atı (Trojan Horse) programı bir bilgisayara girdiğine, bir veritabanına bağlanarak varlığını bildirir. Eğer korsan, truva atına bağlanmak isterse ICF onu bloklar; ama bunun ilk defa giren ve ilk defa bağlanmaya çalışan bir korsan için geçerli bir kural olduğu unutulmamalıdır. Aksi takdirde truva ICF’nin hafızasında yer alan “güvenli(!)” bir bağlantıyı açarak korsana bağlanır. Bu durumda bir virüs tarayıcısı ihtiyacı açığa çıkar.
• İzinsiz programcıklar – ICF, rahatsız edici programcıkların da bilgisayara girmesini engeller.

Diğer Güvenlik Duvarı Ürünleri

Checkpoint firması ticari ürünleri FW-1 ile pazar lideri konumundadır. Solaris , AIX , Linux ve Windows gibi işletim sistemleri üzerinde çalışmaktadır. Donanım çözümlerinde, Nokia firmasının donanımlarını yine bu işletim sistemleri ile beraber sunmaktadırlar. Dinamik Paket Filtreleme (Stateful Inspection) mimarisinde çalışmaktadır.
Gauntlet, NAI firmasının güvenlik duvarı çözümüdür. Proxy mimarisi ile Dinamik Paket Filtreleme mimarisini destekler. Windows 2000 için güvenlik duvarı geliştirmeyeceğini açıklayan NAI, Solaris üzerinde yoluna devam etmektedir.Donanım çözümlerinde arasında Netscreen’in de bulunduğu farklı firmalardan donanımlar sağlayarak işletim sistemini ve güvenlik duvarını yine bu donanıma kurmaktadır.

Cisco ise PIX ile, piyasada Checkpoint’in ona en yakın rakibidir. Cisco IOS üzerinde çalışmaktadır. Donanım çözümü Cisco’nun yönlendiricilerinde (router) kullandığı donanımlar gibidir. Dinamik Paket Filtreleme mimarisinde çalışmaktadır.

CyberGuard firması aynı isimdeki güvenlik duvarı ile Proxy mimarisini sunmaktadır. Aynı zamanda Dinamik Paket Filtreleme mimarisi ile de çalışır. Split DNS yapısı bir diğer artısıdır, amacı bağımsız iki ayrı DNS istemi çalıştırarak ağda DNS’ten kaynaklanabilecek tehlikeleri gidermek ve DNS için ayrıca bir sunucu bulundurulmasını engellemektir. Donanım çözümlerini yine kendisi sağlamaktadır. Windows ve Unixware üzerinde çalışmaktadır. Donanım çözümleri özel olarak dizayn edilmiş, çekirdeği (kernel) ve yapısı tamamıyla tekrar yazılmış bir Unixware ile sunulmaktadır. Tarantella ile uzaktan X erişimi, SSH sunucusu Unix sürümünün artılarındandır.

Netscreen firması adıyla aynı ürününü Stateful Screenning (Dinamik Paket Filtreleme ile aynıdır) mimarisi ile sunmaktadır. Donanım çözümü olarak ve NetScreen’in kendi işletim sistemi ile gelmektedir. Donanımlar yine kendileri tarafından üretilmektedir. Görünen modda çalışabilme artısına sahiptir, yani gerçek IP’lerin bulunduğu bir ağ üzerinden kendisini gizlemektedir, “trace” çekildiğinde görünmemektedir. Hızı oldukça yüksektir, SSH sunucusuyla gelmektedir. VPN çözümü donanıma dahil olarak gelebilmektedir.

BSD (Berkeley Software Distribution (Berkeley Yazılım Dağıtımı)) işletim sistemleri üzerindeki Ipfilter’ın ticari olmayan en güçlü güvenlik duvarı olduğu söylenebilir. Kodu açık olmasına rağmen güvenliğini oldukça üst düzeyde korumaktadır. Dinamik Paket Filtreleme desteği mevcuttur. Proxy eklenebilmektedir. BSD Unix’in gücü ile birleştiğinde kararlılığı ve güvenliği üst düzeydedir. Kullanımı konsol üzerinden yapılmaktadır. Donanım ihtiyacı oldukça düşüktür. Linux ve Ipchains açık kodlu bir diğer alternatiftir. Statik paket filtreleme yapabilmektedir. Basit çözümler için tercih edilmektedir.

Kaynak:http://www.bidb.itu.edu.tr/?i=446