Güvenlik duvarı nedir, firewall cihazı, bileşenleri, yapısı ve çalışması, çeşitleri, ayarları, güvenlik duvarı ayarları, yazılım, donanım ayarı

GÜVENLİK DUVARI

Güvenlik Duvarı (Firewall) Cihazı: Güvenlik duvarı, bir sistemin özel bölümlerini halka açık bölümlerden ayıran, kullanıcıların ancak kendilerine tanınan haklar düzeyinde sistemden yararlanmasını sağlayan çözümler olarak tanımlanır.

Güvenlik duvarı belirli bir makineyi denetlemek için o makine üzerine (host-based) kurulabileceği gibi, bir bilgisayar ağını denetlemek için de kurulabilir. Bu bölümde ağ güvenliğini sağlamak üzere kullanılan ağ güvenlik duvarı çözümleri üzerinde durulmuştur. Ağ güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinelerin olduğu bir kurum ağı ile dış ağlar arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Güvenlik duvarları salt dış saldırılara karşı sistemi korumakla kalmaz, performans artırıcı ve izin politikası uygulayıcı amaçlar için de kullanlır.

Yukarıda belirtilen sorunları çözmek için bir antivirüs sunucusu veya web adresi denetleyicisi sunucusu ile ortak olarak çalışabilirler. Ağ güvenlik duvarı, yazılım veya donanımla yazılımın entegre olduğu çözümler şeklinde olabilir.

Servis kullanımı engelleme (DoS) internetteki istemci ve sunucular için en ciddi tehditlerden biridir. Aynı zamanda engellenmesi en zor güvenlik tehdididir. Bir servis kullanımı engelleme saldırısı kurbanın normalde erişebildiği bir servise erişebilmesini engelleyen kötü amaçlı bir saldırıdır. Bir saldırganın bunu gerçekleştirebilmesi için pek çok farklı yol vardır.

Güvenlik Duvarı Bileşenleri:
Güvenlik duvarı bileşenleri aşağıdakilerin kombinasyonu olabilir:
- Paket-filtreleme router`ları (packet-filterin routers)
- Devre ağ-geçitleri (circuit gateways)
- Uygulama ağ-geçitleri (application gateways)

Çeşitli organizasyonlar güvenli bilgisayar işlemleri için standartlar geliştirmiştir. Örneğin Amerikan Savunma Bakanlığı Orange Book adı verilen yayınlarında çeşitli güvenlik seviyeleri tanımlamaktadır. Orange Book bilgisayar sistemini içerdiği bileşenlere göre sınıflandırmaktadır.

Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) açık sistemler standartlarını ve birlikte çalışabilirliği geliştirmekten sorumludur. Gizli veriler için standartlar geliştirdi ve kriptolama standartları geliştiren Ulusal Güvenlik Kurumu (NSA) ile birlikte çalışmıştır. IETF (Internet Engineering Task Force) internet standartları dâhil kısa-dönem mühendislik konularından sorumludur.

Güvenlik Duvarı Yapısı ve Çalışması: Güvenlik duvarı (Firewall), yerel ağlar üzerindeki kaynakları diğer networkler üzerinden gelecek saldırılara karşı koruyan, iç ve dış ağlar arası ağ trafiğini tanımlanan kurallara göre denetleyen bir ağ geçidi çözümüdür. Kullanıcılarına internet erişimi hakkı vermiş olan bir kurum, yerel ağındaki kaynakları korumak ve dış ağlardaki kaynaklara kullanıcılarının erişim hakkını belirlemek için yazılım veya donanım bazlı güvenlik duvarları kullanırlar.

Temel olarak, bir yönlendirici programı ile beraber çalışan bir firewall, network üzerinde kendisine gelen paketlerin gitmelerine gereken yerlere (üzerinde tanımlanan kurallar doğrultusunda) gidip gidemeyeceğine karar verir. Bir firewall ayrıca, kullanıcıların istek paketlerini ağa gitmeden önce karşılayacağı bir proxy sunucusuna sahiptir veya bir proxy ile beraber çalışır. Firewall’lar genel olarak, özellikle network’teki diğer makinelerden farklı bir makinenin üstüne kuruludurlar. Bunun sebebi, dışarıdan gelen isteklerin direkt olarak lokal network kaynaklarına ulaşmasını engellemektir.

Güvenlik duvarları'nın birçok denetleme metotları vardır. En basit perdeleme metotlarından biri, daha önceden belirlenmiş domain'lerden ve IP adreslerinden (izin verilen servislerin) paketlerini kabul edip diğer istekleri reddetmektir. Mobil kullanıcılar güvenlik duvarları aracılığı ile, özel ağlara güvenli bağlanma prosedürleri ve tanılama metotları kullanarak uzaktan erişim hizmetini kullanabilirler. Güvenlik Duvarı (Firewall) urunu üreten birçok firma vardır. Genel firewall özellikleri arasında log tutma, raporlama, atak sınırları aşıldığında otomatik alarm verme ve grafik ara yüzü ile yönetilebilme sayılabilir.

Güvenlik Duvarı Çeşitleri:

Packet-Filtering Firewall: Bu yöntem Firewall oluşturmanın en kolay yoludur. Paketlerin başlık alanı içindeki bilgilere bakılarak istenmeyen paketler karşı tarafa geçmez. OSI modelinde 3 katman olan network katmanında çalışır.

Circuit-Level Gateway: OSI modelinde 4 katmanı olan session katmanı düzeyinde çalışır. Bu sistemde oturum bir kez kabul edilip kurulduktan sonra, her paket için denetim yapılmaz. Paketler kurulan sanal devre üzerinden geçer.

Application-Level Gateway: En sık koruma yapan Firewall tekniğidir. OSI modelinde uygulama katmanı düzeyinde çalışır. Bu nedenle tam denetim yapma imkânı sunar.Bu tür düzenlemede oturum kurulduktan sonra bile paketlerin sınaması yapılmaktadır. Bundan dolayı beklenmedik saldırılara karşı korumayı güçlendirir.

Cisco Güvenlik Duvarı Çeşitleri: Cisco üç tip güvenlik duvarı çözümü sunmaktadır:
- Güvenlik Duvarı Donanımları (Dedicated Firewall Appliances): Dinamik filtreleme yapan özel güvenlik duvarı cihazlarıdır. Cisco PIX ailesi örnek olarak verilebilir.
- Entegre Cisco IOS Güvenlik Duvarları (Entegrated Cisco IOS Firewalls): Yönlendirme cihazına yazılım temelli güvenlik duvarı yeteneklerinin ilave edilmesine dayanır. Yönlendirici işlemci ve hafızası yönlendirme ve güvenlik duvarı fonksiyonları için paylaşılır. Güvenlik duvarı koruması için seçilebilecek en ucuz yöntemdir.
- Entegre Güvenlik Duvarı Servis Modülleri (Firewall Services Modules): Cisco Catalyst 6500 Serisi Anahtarlara veya Cisco 7500 Serisi İnternet Yönlendiricilere takılabilen güvenlik duvarı modülleridir. FWSM cihaz üzerindeki herhangi bir portun güvenlik duvarı portu olarak kullanılmasına izin verir.

Güvenlik Duvarı Ayarları:

Yazılım Çözümleri: Güvenlik duvarı çözümü yazılım veya donanımla yazılımın entegre olduğu sistemler şeklinde olabilmektedir. Bu tür çözümlerin birbirine çeşitli artıları ve eksileri bulunmaktadır. İşletim sistemi üzerinde çalışan çözümlerin artıları aşağıdaki gibidir:
- Çok detaylı raporlamalar alınabilir.
- Önce detaylara kadar kullanıcıları ayrıştırmak ve takip etmek mümkündür.

Bu tür sistemlerin üzerinde çalıştığı işletim sisteminin açıkları en büyük eksiğidir. Burada şu da belirtilmelidir ki bu işletim sistemleri genelde öz olarak kurulduklarından üzerlerindeki servisler kısıtlıdır. Güvenlik duvarları da üzerlerinde çalıştıkları işletim sistemlerinin bazı açıklarını kapatırlar.

İşletim sistemi üzerinde çalışan sistemlerin eksileri olarak aşağıdakileri belirtmek mümkündür:
- Bakım Problemleri: Güvenlik duvarının üzerinde çalıştığı işletim sisteminin de ayrıca bakımı gerekecektir.
- Kurulum: İşletim sisteminin doğru kurulması gereklidir. Gerekmeyen servislerin kaldırılması ve bazı yamaların (patch) uygulanması gerekmektedir. Kurulum süresi, kutu çözümlerine göre daha uzun sürmektedir.
- İşletim Sisteminin Güvenliği: Güvenlik duvarının üzerinde kurulduğu işletim sisteminin öncelikle güvenliği sağlanmalıdır. İşletim sistemini seçerken Multi Router Traffic Grapher (MRTG), SNMP protokolü ile toplanan verileri grafiksel olarak görüntüleyen bir programdır. Sistemle birlikte gelen güvenlik açıkları ve zayıflıkları araştırılmalı ve çeşitli ayarlamalarla güvenliğin sağlanabileceği sistemler seçilmelidir.

Donanım Çözümleri: Kutu çözümleri kullanıldıkları yerin özelliğine göre ikiye ayrılabilir:
- Küçük kutu çözümleri: Bunların üzerinde genellikle Ev/Küçük işletmeler (Home/Small Bussiness) çözümleri çalışır ve bu sınıftaki ürünlerin üzerindeki yazılımlar işlev ve genişletilebilirlik açısından kısıtlı sürümlerdir. Genellikle donanımsal genişletilebilirlikleri yoktur.
- Performans kutuları: Bunların üzerinde (100+ kullanıcı) kurumsal sürümler çalışır ve bunlar işletim sistemi üzerinde çalışan sürümlerle aynıdır. Ana fark, bu donanımların söz konusu yazılım için ayarlanmış (tune edilmiş) özerk (proprietary) donanımlar olmasıdır. Bu nedenle aynı koşullardaki işletim sistemi tabanlı versiyonlardan daha performanslı çalışmaktadırlar.

Kutu çözümlerin artıları aşağıdaki gibidir:
- Uygulama için özel geliştirilmiş entegre devrelere (ASIC) sahip olduklarından daha yüksek performans elde edilebilmektedir.
- Genelde en kötü saldırılarda dahi cihazı kapatıp açınca yeniden çalışmaya devam ederler.
- Versiyon yükseltmeleri (upgrade) diğer sistemlere göre daha çabuk yapılır.
- Hizmet dışı kalma süreleri (downtime) azdır.
- İşletim sistemleri bilinmediğinden (Genelde UNIX türevleridir) ve az kullanıldığından açıkları fazla bilinmez.
- Kutu çözümlerin eksileri aşağıdaki gibidir:
- Yazılabilecek kurallar cihazın versiyonu ve kapasitesi ile sınırlıdır.
- Küçük kutu çözümlerinin donanımsal genişletilebilirlik özellikleri yoktur.
- Daha güçlü bir cihaz için büyük olasılıkla bir üst versiyonun alınması gerekecektir. Performans kutularında ise işlemci ve bellek terfileri zor ve pahalıdır.
- Raporlamaları genelde çok sınırlıdır.
- Özellikle küçük kutu çözümlerinde, değişik saldırılara karşı yeni çözümler çok çabuk çıkmaz.
- Versiyon yükseltmeleri mutlaka açma kapamayı gerektirir.
- Performans kutuları işletim sistemi üzerinde çalışan çözümlerden daha pahalıya mal olabilmektedir.

<< Bilişim Teknolojileri Ders Notları >>