Slayt 1

advertisement
GÜVENLİK DUVARI
(FIREWALLS)
GİRİŞ
Günümüzde artık hemen hemen herkes bir şekilde bilgisayar kullanmaktadır. İster evde ister işyerinde olsun, bilgisayarlar
artık hayatımızın ayrılmaz bir parçası olmuş durumdadır. Küçük ya da büyük tüm organizasyonlarda, her çalışanının
önünde bir bilgisayar görmek mümkündür. İşe yeni bir personel alındığında, eğer yoksa ilk isteyeceği şeyin bilgisayar
olacağı konusunda herkes hemfikir olacaktır.
Yeni personele bilgisayar verildi. Daha sonra ne talep edeceğini tahmin etmek hiç de zor
olmayacaktır:’İnternet’. Çünkü internet bağlantısı olmayan bir bilgisayar artık hemen hemen yok gibidir. İnternet bağlantısı
da artık ister özel hayatımızda ister işimizle ilgili olsun vazgeçilmez bir ihtiyaç haline gelmiştir. Bunun nedenlerini uzun
uzadıya tartışmak bile gereksizdir.
Tabii ki bu iki temel ihtiyaç beraberinde yeni sorunları da getirmiştir : ‘Güvenlik’. Özellikle kurumsal bazda
düşünecek olursak, işletmenin performansının veya verimliliğinin devamı, sistemin kesintisiz ve sorunsuz çalışması
bakımından, örgüt içerisinde kullanılan bilgisayar sistemlerinin özellikle internet üzerinden gelebilecek güvenlik
saldırılarına karşı gerekli korumanın sağlanması hayati öneme sahiptir.
Gerekli güvenliğin sağlanması için, örgüt içinde kullanılan özel ağın içerisindeki her bir sistemi tek tek
güvenlik araçlarıyla donatmak çok ta makul bir çözüm olmayacaktır.
Bunun yerine, sıklıkla başvurulan ‘Firewall – Güvenlik duvarı’ bilgisayar ve ağ güvenliği için belirlenmiş strateji
ve politikaların önemli bir bileşenidir. Başka bir ifade ile güvenlik duvarlarının bir bilgisayar ağının veya tek bir sistemin
komple güvenliğini sağlaması mümkün değildir. Ancak önemli katkılar sağlar.
Güvenlik duvarı örgüte ait özel ağ ile internet arasında tesis edilir. İki taraf arasında kontrollü bir bağlantı
sağlamak en temel görevidir. Bu maksatla, güvenli bağlantı için tüm trafik güvenlik duvarından mutlaka geçmelidir.
Güvenlik duvarı, ağın güvenliğini sağlamak için, en genel anlamda aşağıda belirtilen işlevleri yerine getirir.
•Özel ağdan dışarıya (internete) yapılan yetkisiz erişimleri ve dışarıdan içeriye gelebilecek zararlı hizmetleri engeller veya
kısıtlar.
•Güvenlik ile olayları izler.
•Doğrudan güvenlikle ilgili olmayan bazı internet hizmetleri için platform görevi yapar. (NAT)
•Ayrıca, VPN uygulama amacıyla, IPSEC için bir platform olarak işlev görebilir.
Tüm bu görevleri yerine getirirken, tabii ki söz konusu güvenlik saldırılarına karşı güvenlik duvarının kendisi de bağışık
olmalıdır.
Güvenlik duvarından bekleyebileceğimiz işlevler karşısında beklemememiz gerekenler de vardır.
• Güvenlik duvarları kendisine uğramayan (bypass eden) bağlantılara herhangi bir işlem yapamaz.
• Yine örgüt içerisinden kötü niyetli bir kullanıcının yapabileceği güvenlik ihlalleri karşısında güvenlik duvarının herhangi
bir koruması olamaz.
• Ayrıca güvenlik duvarı virüs koruması yapamaz. İleride biraz daha ayrıntılı anlatılacağı üzere, kendisinden beklenen
temel görevlere ilaveten virüs koruması ağır bir sorumluluk olacaktır.
Üç çeşit güvenlik duvarı bulunmaktadır.
• Paket filtreler
• Uygulama düzeyli geçityolu (Application Level Gateway)
• Devre düzeyli geçit yolu (Circuit Level Gateway)
DEVRE DÜZEYLİ GEÇİT YOLU
Devre düzeyli geçit yolları, OSI başvuru modelinin 4. Katmanı olan oturum katmanı (session layer)
düzeyinde çalışır; özel ağın güvenligi için arada vekil (Proxy) sistem kullanılır. Devre düzeyli
geçityolunda, oturum bir kez kabul edilip kurulduktan sonra, her paket için denetim yapılmaz:
paketler kurulan sanal devre üzerinden akar.
Paket süzmeli güvenlik duvarına göre daha sıkı koruma sağlar. Oturum kurulurken ilgili port
sınamaları yapılır ve oturum kurulduktan sonra o portu, oturumun kurulmasını başlatan taraf
sonlandırana kadar sürekli açık tutar.
En önemli özelliği iç kullanıcı ile dış bir sunucu arasında doğru bağlantı olmamasıdır. Özel ağın
yapısını dışarıya karşı iyi gizler…
Bu tip bir güvenlik duvarı, biri kendisi ile içerideki bir TCP kullanıcı arasında, diğeri de kendisi ile
dışarıdaki TCP arasında olmak üzere, iki TCP bağlantısı arasında aktarım yapar. İki kullanıcı arasında TCP
bağlantısı kurulduktan sonra, gelen paketler içeriğine bakılmaksızın, birinden diğerine aktarılır. Buradaki güvenlik
işlevi, hangi TCP bağlantılarına izin verileceğinin belirlenmesidir.
En tipik uygulaması, içerideki kullanıcılara karşı güvenin olduğu durumlardır. Güvenlik duvarı, gelen
trafik için uygulama düzeyinde inceleme yapacak (Proxy), giden trafik için iç kullanıcılara güven duyulduğundan
sadece devre düzeyli bağlantı sağlayacak şekilde konfigüre edilebilir.
Soket fonksiyonları sıklıkla kullanılan devre düzeyli geçityolu uygulamasına örnek gösterilebilir.
UDP paketlerinin iletilmesi biraz sorunlu olabilir ; çünkü, bağlantısız bir iletim şeklini destekler. Bu
nedenle, ilave olarak paralel bir TCP bağlantısı bu eksikliği tamamlar.
BASTION HOST
Ağ güvenliği içinde kritik pozisyonda güçlü bir platform olarak tanımlanabilir.
Bu platform üzerinde genellikle uygulama düzeyli veya devre düzeyli bir geçit
yolu hizmet verir. Başlıca özellikleri şunlardır :
•Üzerinde güçlü bir işletim sistemi bulunur ki bu onu güvenilir bir sistem yapar.
•Üzerinde sadece önemli olarak görülen servisler çalıştırılır. Bunlar, telnet, DNS,
FTP, SMTP ve kullanıcı doğrulama gibi Proxy hizmetleri olabilir.
•Her bir Proxy server kendisi için ayrı bir kullanıcı doğrulaması yapar.
•Her bir Proxy, belirli host sistemlere izin verecek şekilde ayarlanır.
•Her bir Proxy verdiği hizmete ait trafiğin kaydını tutar.
•Her bir Proxy bağımsız ayrı birer modül gibi işlev görür.
Download