GÜVENLİK DUVARI (FIREWALLS) GİRİŞ Günümüzde artık hemen hemen herkes bir şekilde bilgisayar kullanmaktadır. İster evde ister işyerinde olsun, bilgisayarlar artık hayatımızın ayrılmaz bir parçası olmuş durumdadır. Küçük ya da büyük tüm organizasyonlarda, her çalışanının önünde bir bilgisayar görmek mümkündür. İşe yeni bir personel alındığında, eğer yoksa ilk isteyeceği şeyin bilgisayar olacağı konusunda herkes hemfikir olacaktır. Yeni personele bilgisayar verildi. Daha sonra ne talep edeceğini tahmin etmek hiç de zor olmayacaktır:’İnternet’. Çünkü internet bağlantısı olmayan bir bilgisayar artık hemen hemen yok gibidir. İnternet bağlantısı da artık ister özel hayatımızda ister işimizle ilgili olsun vazgeçilmez bir ihtiyaç haline gelmiştir. Bunun nedenlerini uzun uzadıya tartışmak bile gereksizdir. Tabii ki bu iki temel ihtiyaç beraberinde yeni sorunları da getirmiştir : ‘Güvenlik’. Özellikle kurumsal bazda düşünecek olursak, işletmenin performansının veya verimliliğinin devamı, sistemin kesintisiz ve sorunsuz çalışması bakımından, örgüt içerisinde kullanılan bilgisayar sistemlerinin özellikle internet üzerinden gelebilecek güvenlik saldırılarına karşı gerekli korumanın sağlanması hayati öneme sahiptir. Gerekli güvenliğin sağlanması için, örgüt içinde kullanılan özel ağın içerisindeki her bir sistemi tek tek güvenlik araçlarıyla donatmak çok ta makul bir çözüm olmayacaktır. Bunun yerine, sıklıkla başvurulan ‘Firewall – Güvenlik duvarı’ bilgisayar ve ağ güvenliği için belirlenmiş strateji ve politikaların önemli bir bileşenidir. Başka bir ifade ile güvenlik duvarlarının bir bilgisayar ağının veya tek bir sistemin komple güvenliğini sağlaması mümkün değildir. Ancak önemli katkılar sağlar. Güvenlik duvarı örgüte ait özel ağ ile internet arasında tesis edilir. İki taraf arasında kontrollü bir bağlantı sağlamak en temel görevidir. Bu maksatla, güvenli bağlantı için tüm trafik güvenlik duvarından mutlaka geçmelidir. Güvenlik duvarı, ağın güvenliğini sağlamak için, en genel anlamda aşağıda belirtilen işlevleri yerine getirir. •Özel ağdan dışarıya (internete) yapılan yetkisiz erişimleri ve dışarıdan içeriye gelebilecek zararlı hizmetleri engeller veya kısıtlar. •Güvenlik ile olayları izler. •Doğrudan güvenlikle ilgili olmayan bazı internet hizmetleri için platform görevi yapar. (NAT) •Ayrıca, VPN uygulama amacıyla, IPSEC için bir platform olarak işlev görebilir. Tüm bu görevleri yerine getirirken, tabii ki söz konusu güvenlik saldırılarına karşı güvenlik duvarının kendisi de bağışık olmalıdır. Güvenlik duvarından bekleyebileceğimiz işlevler karşısında beklemememiz gerekenler de vardır. • Güvenlik duvarları kendisine uğramayan (bypass eden) bağlantılara herhangi bir işlem yapamaz. • Yine örgüt içerisinden kötü niyetli bir kullanıcının yapabileceği güvenlik ihlalleri karşısında güvenlik duvarının herhangi bir koruması olamaz. • Ayrıca güvenlik duvarı virüs koruması yapamaz. İleride biraz daha ayrıntılı anlatılacağı üzere, kendisinden beklenen temel görevlere ilaveten virüs koruması ağır bir sorumluluk olacaktır. Üç çeşit güvenlik duvarı bulunmaktadır. • Paket filtreler • Uygulama düzeyli geçityolu (Application Level Gateway) • Devre düzeyli geçit yolu (Circuit Level Gateway) DEVRE DÜZEYLİ GEÇİT YOLU Devre düzeyli geçit yolları, OSI başvuru modelinin 4. Katmanı olan oturum katmanı (session layer) düzeyinde çalışır; özel ağın güvenligi için arada vekil (Proxy) sistem kullanılır. Devre düzeyli geçityolunda, oturum bir kez kabul edilip kurulduktan sonra, her paket için denetim yapılmaz: paketler kurulan sanal devre üzerinden akar. Paket süzmeli güvenlik duvarına göre daha sıkı koruma sağlar. Oturum kurulurken ilgili port sınamaları yapılır ve oturum kurulduktan sonra o portu, oturumun kurulmasını başlatan taraf sonlandırana kadar sürekli açık tutar. En önemli özelliği iç kullanıcı ile dış bir sunucu arasında doğru bağlantı olmamasıdır. Özel ağın yapısını dışarıya karşı iyi gizler… Bu tip bir güvenlik duvarı, biri kendisi ile içerideki bir TCP kullanıcı arasında, diğeri de kendisi ile dışarıdaki TCP arasında olmak üzere, iki TCP bağlantısı arasında aktarım yapar. İki kullanıcı arasında TCP bağlantısı kurulduktan sonra, gelen paketler içeriğine bakılmaksızın, birinden diğerine aktarılır. Buradaki güvenlik işlevi, hangi TCP bağlantılarına izin verileceğinin belirlenmesidir. En tipik uygulaması, içerideki kullanıcılara karşı güvenin olduğu durumlardır. Güvenlik duvarı, gelen trafik için uygulama düzeyinde inceleme yapacak (Proxy), giden trafik için iç kullanıcılara güven duyulduğundan sadece devre düzeyli bağlantı sağlayacak şekilde konfigüre edilebilir. Soket fonksiyonları sıklıkla kullanılan devre düzeyli geçityolu uygulamasına örnek gösterilebilir. UDP paketlerinin iletilmesi biraz sorunlu olabilir ; çünkü, bağlantısız bir iletim şeklini destekler. Bu nedenle, ilave olarak paralel bir TCP bağlantısı bu eksikliği tamamlar. BASTION HOST Ağ güvenliği içinde kritik pozisyonda güçlü bir platform olarak tanımlanabilir. Bu platform üzerinde genellikle uygulama düzeyli veya devre düzeyli bir geçit yolu hizmet verir. Başlıca özellikleri şunlardır : •Üzerinde güçlü bir işletim sistemi bulunur ki bu onu güvenilir bir sistem yapar. •Üzerinde sadece önemli olarak görülen servisler çalıştırılır. Bunlar, telnet, DNS, FTP, SMTP ve kullanıcı doğrulama gibi Proxy hizmetleri olabilir. •Her bir Proxy server kendisi için ayrı bir kullanıcı doğrulaması yapar. •Her bir Proxy, belirli host sistemlere izin verecek şekilde ayarlanır. •Her bir Proxy verdiği hizmete ait trafiğin kaydını tutar. •Her bir Proxy bağımsız ayrı birer modül gibi işlev görür.