ATEŞ DUVARI NEDİR?
Ateş duvarı terimi bir bina parçasını veya binanın kendisini yangından korunmak amacıyla diğer binalardan ayıran bariyerden gelmektedir. Ağ ateş duverları ise ağlar arası bir bariyer görevi görüp istenmeyen veya yetkisiz trafiğin ağa girişini engeller.
Ağ ateş duvarının tek bir tanımı bulunmamaktadır. Geçmiş yıllarda , bir çok tanım geliştirilmiş ve kullanılmıştır. Tanımlamalar birbirinden farklı olabilmesine rağmen hepsi ortak bir temayı anlatmaktadır. Bu ödevin amacı doğrultusunda ağ ateş duvarı şu şekilde tanımlanmaktadır.
Tanım: Ağ ateş duvarı önceden tanımlanmış kuralları veya filtreleri kullanarak güvenilir ve güvenilir olmayan iki ağ arasında erişimi denetleyen bir sistem grubudur.
Ateş duvarları tek bir yönlendiriciden, birçok yönlendiriciden, tek bir host sisteminden veya üzerinde ateş duvarı yazılımı çalışan birçok hosttan, ateş duvarı hizmeti vermek için özel olarak tasarlanan donanım aygıtlarından veya bunların çeşitli kombinasyonlarından oluşabilir. Bu kombinasyonlar tasarım , fonksiyonelik, mimari yapı veya fiyata göre değişkenlik gösterirler. Bu yüzden her bir ateş duvarı çözümünün neyi yapıp neyi yapamadığını anlamak oldukça önemlidir.
Ateş duvarı çözümlerinin ağ üzerinde hem pozitif hem de negatif etkileri bulunmaktadır.
ATEŞ DUVARLARI NELERİ YAPABİLİR
1 Pozitif Etkiler
Doğru şekilde ugulandığında ateş duvarları ağa gelen ve ağdan giden trafiği kontrol edebilir. Yetkisi bulunmayan veya dış kullanıcıları iç ağa ve servislere erişimlerini engelleyebilir. Aynı zamanda iç kullanıcıların da dış veya yetkileri bulunmayan ağa veya servislere erişimlerini engelleyebilir. Departmanlar veya diğer özel ağlar servislerin erişim kontrollerini sağlamak amacı ile birçok ateş duvarı yapılandırılabilir.
Kullanıcı Kimlik Doğrulaması: Ateş duvarları kullanıcılardan kimlik bilgilerini talep edecek şekilde yapılandırılabilir. Bu ağ yöneticilerinin belirli kullanıcıların belirli servislere ve kaynaklara erişimini kontrol etmesine olanak sağlar. Kimlik doğrulama
ayrıca ağ yöneticilerinin kullanıcı aktivitesini ve izinsiz giriş denemelerini izlemesine olanak sağlar.
Denetleme ve Loglama: Ateş duvarları denetleme ve loglama olanakları sağlayabilir. Ateş duvarlarını bu şekilde yapılandırarak gerekli bilgiler ileriki günlerde incelenip analiz edilebilir. Ateş duvarları ayrıca topladıkları bilgilerden çeşitli istatistiklerde oluşturabilir. Bu istatistikler ağ erişimi ve kullanımı ile ilgili güvenlik kararlarını vermekte oldukça faydalı olabilir.
Güvenlik: Bazı ateş duvarları iç ve güvenilir ağları dış ve güvenilir olmayan ağlarda ayırmada kullanılır. Ek katman güvenliği servisleri istenmeyen taramalardan koruyabilir.
Negatif Etkiler
Ateş duvarı çözümlerinin birçok faydası olmasının yanında negatif etkileri de bulunmaktadır.
Trafik Darboğazı: Ateş duvarları bazı ağlarda trafik darboğazına sebep olabilir. Bütün ağ trafiğinin ateş duvarı üzerinden geçmesi zorunlu kılındığı durumlarda ağ trafiğinde tıkanıklık yaşanma ihtimali oldukça fazladır.
Tek Hata Noktası: Ağlar arası geçişin sadece ateş duvarı üzerinden yapıldığı durumlarda eğer ateş duvarı doğru yapılandırılmazsa ağlar arasındaki trafik akışında problemler yaşanır.
Kullanıcıyı Hayal Kırıklığına Uğratma: Ağ servislerine veya kaynaklarına erişim hakkı kısıtlanan kullanıcılarda veya erişim hakkı olupta gerekli şifrelerini hatırlayamayan kullanıcılarda ateş duvarları memnuniyetsizliğe yol açabilir.
Artan Yönetim Sorumluluğu: Ateş duvarları fazla olan ağlarda yönetim sorumluluğu arttığı gibi herhangi bir problem olması durumunda bu problemin kaynağını bulmakta zorlaşabilir. Eğer ağ yöneticileri uyarıları ve logları incelemek için yeteri kadar zaman ayırmazlarsa ateş duvarının gerçekte işini yapıp yapmadığı hakkında kesin bir bilgiye sahip olamazlar. Bütün ateş duvarları devamlı yönetimsel desteğe, genel bakıma, yazılım güncellemelerine, güvenlik yamalarına ihtiyaç duymaları yöneticiler üzerine ek bir yük getirmektedir.
ATEŞ DUVARLARI NELERİ YAPAMAZ
Ateş duvarları hakkında en yaygın yanlış anlama ağ güvenliğini garanti etmesidir. Ateş duvarı ağınızın %100 güvenli olduğunu etmez ya da edemez. Daha fazla koruma sağlamak amacıyla ateş duvarı diğer güvenlik sistemleri ile ceraber kullanılabilirler. Bütün bunlara rağmen hiç bir sistem ağın %100 güvenli olduğunu garanti edemez.
Ateş duvarları içerisindeki ataklara karşı herhangi bir koruma sağlayamaz. Ateş duvarının etkin olması için bütün trafiğin onun üzerinden geçmesi gerekmektedir. Güvemilir ağda veya iç kullanıcılar genelde ateş duvarı üzerinden geçmeden servislere erişebilirler. Günümüzde güvenlik vakalarının büyük bir yüzdesi güvenli ağ içinde bulunan kullanıcılardan gelmektedir.
Ateş duvarları ağın arka kapısından gelen istenmeyen veya yetkisiz erişimleri engelleyemez. Arka kapılar genelde iç kullanıcılar güvenilir olmayan ağlara bağlandıklarında veya yetkisiz bir modem ile dışarıya eriştiklerinde oluşur.
Biçok yapılandırmada ateş duvarları virüslerre ve zararlı kodlara karşı koruma sağlayamazlar. Ateş duvarlarının çoğu paket içeriğini ve payload unu incelemediğinden bir tehtidin içeri girmekte olduğundan haberleri olmaz.
Sonuçta, hiçbir ateş duvarı yetersiz veya kötü yönetilen güvenlik politikasına karşı koruma sağlayamaz. Eğer bir şifre dıoşarı çıkarılırsa o ağ artık risk altındadır. Kullanıcıların makinalarını açık bırakmalarından veya dikkatsiz bir şekilde şifrelerini vermelerinden dolayı birçok güvenlik gediği oluşmaktadır. Kişilerin zarar vermeye yönelik herhangi bir amaçları olmamasına karşın ağ güvenliği üzerindeki sonuçları oldukça zarar verici olabilmektedir.
ATEŞ DUVARLARI NASIL ÇALIŞIR
Ateş duvarlarının neler yapıp yapamadığını inceledikten sonra çalışma prensiblerini inceleyebiliriz.
Ağ ateş duvarlatı erişim kontrol kararlarını verirken iki güvenlik mantığı yaklaşımını kullanır. Bu iki yaklaşımın mantığı zıt olmasına rağmen ikisininde amacı erişimi kontrol etmektir. Bu iki yaklaşım şunlardır:
• Özel olarak izin verilmeyen herşeyi reddet.
• Özel olarak reddedilmeyen herşeyi kabul et.
Her iki yaklaşımın da taraftarları olmasına rağmen en fazla tavsiye edilen “özel olarak izin verilmeyen herşeyi reddet” yaklaşımıdır. Bu yaklaşım istenmeyen ve izin verilmeyen erişimlere karşı ön bir koruma sağlar. Özel olarak bir erişime izin verilmediği sürece bütün erişim bu yaklaşım tarafından engellenir.
Zıt tasarım mantığı , özel olarak reddedilmeyen herşeyi kabul et, istenmeyen ve izin verilmeyen erişimlere karşı tepkisel bir tutum sergiler. İlk yaklaşıma göre daha az güvenlik sağlar fakat aynı zamanda ilk yaklaşıma göre daha esnektir.
ATEŞ DUVARI TÜRLERİ
Ateş duvarının güvenlik tasarım mantığı bir çeşit paket izleme metodunu kullanmayı zorunlu kılmaktadır. Herbir metod OSI modelinin değişik katmanlarındaki bilgileri kullanmaktadır. Bu metodlar ateş duvarlarının önceden tanımlı kuralları ve filtreleri kullanarak paketlerden ve oturumlardan aldıkları bilgiler doğrultusunda trafiği izin verip vermeme işlemini gerçekleştirir. En çok bilinen üç metod paket filtreleme, dinamik filtreleme ve uygulama geçitleri/vekil sunucular olarak sayılabilir.Hibrid paket izleme metodları ise daha fazla fonksiyonellik ve güvenlik sağlamak amacıyla bu metodların iki veya daha fazlasını birleştirilerek oluşturulur.
PAKET FİLTRELEME
Paket filtreleme en basit paket izleme metodudur. Paket filtreleme ateş duvarı tam olarak isminin çağrıştırdığı işi yapar – paketleri filtreler. En yaygın kullanımı yönlendirici veya dual-homed ağ geçitlerindedir. Paket filtreleme işlemi şu şekilde yapılmaktadır. Herbir paket ateş duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Kabul etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir. Herbir paket diğer paketlerden bağımsız bir şekilde incelenir.
Paket filtreleyen ateş duvarı genelde filtreleme ağ katmanında veya nakil katmanında yapıldığı için ağ katmanı ateş duvarı olarak da adlandırılır
Paket filtreleme kuralları veya filtreleri aşağıdaki değişkenler doğrultusunda oluşturulur:
• Kaynak IP adresi
• Hedef IP adresi
• Protocol tipi (TCP/UDP)
• Kaynak port
• Hedef port
Not: Bütün ateş duvarları bir çeşit paket yönlendirme yeteneğine sahiptir
Güçlü Yanları
Paket filtreleme tipik olarak diğer paket izleme metodlarından daha hızlıdır , çünkü paket filtreleme OSI modelinin alt katmanlarında yapılır. Doğru şekilde konfigürasyonu yapıldığında paket filtreleri ağ performasına çok az etki eder.
Paket filtreleyen ateş duvarları açık olarak konfigüre edilebilir. İstemciler tarafında ek bir konfigürasyona ihtiyaç duyulmaz.
Paket filtreleyen ateş duvarları diğer sistemlere göre daha ucuzdur. Birçok donanım cihazı ve yazılım paketleri kendi standart paketleri içinde peket filtreleme özelliğini içermektedir. Packet filtering firewalls typically scale better than other types of firewalls.
Paket filtreleyen ateş duvarları uygulama bağımsız olarak çalışır. Karalar paketin başlık bilgisine göre verildiğinden herhangi bir uygulamaya bağlı değildir.
Zayıf Yanları
Paket filtreleyen ateş duvarları iki uç nokta arasında doğrudan bir bağlantıya izin verir. Bu çeşit paket görüntüleme iki ağ arasındaki trafiği geçirip engelleme olanağına sahip olsa da istemci/sunucu modeli hiçbir zaman bozulmaz.
Paket filtreleyen ateş duvarları hızlı olmasına ve ağ performansı üzerinde fazla bir olumsuz etki yapmamasına rağmen genellikle hepsi-hiçbiri yaklaşımını içerir. Portların açık olduğu durumlarda bu portlar üzerinden geçecek bütün trafiğe açık olduğundan ağ üzerinde güvenlik açığı oluşmasına engel olamamaktadır.
Paket filtreleyen ateş duvarlarında kurallar ve filtreler tanımlamak karışık bir iştir. Ağ yöneticisinin şirketinin güvenlik ihtiyaçları doğrultusunda kullanılacak servisleri ve protokolleri iyi bir şekilde belirleyip bunların doğrultusunda kuralları ve filtreleri belilemesi oldukça karışıktır. Bazı durumlarda kurallar veya filtrelerin oldukça karışık olması gerekli konfigürasyonun yapılmasını imkansız kılmaktadır. Uzun erişim kuralları veya filtreleri ağ performansı üzerinde olumsuz etkilere de neden olur. Kuralların veya filtrelerin sayısı arttıkça ateş duvarının gerekli karşılaştırma kararlarını vermesi daha uzun zaman almaktadır.
Paket filtreleyen ateş duvarlarındaki kararların veya filtrelerin test edilmesi oldukça zordur. Her ne kadar kurallar ve filtreler basit ve doğru gözükse de kuralların doğruluğunu test ederek doğrulamak oldukça zaman alıcı bir iştir. Bazı durumlarda ise test sonuçları hatalı ve yanıltıcı olabilir.
Paket filtreleyen ateş duvarları malum ataklara karşı eğilimlidir. Paket izleme paket başlık bilgisinden daha derine inemediğinden uygulama katmanı ataklarına karşı korumasızdır. Packet filtering firewalls are prone to certain types of attacks. Paket filtreleyen ateş duvarlarının hassas olduğu üç ana istismar yöntemi vardır. Bu yöntemler IP spoofing, tampon aşımı, ve ICMP tunneling dir. IP spoofing kaynak adresini kullanarak ateş duvarını aldatmak yolu ile kendi verilerini göndermektir. Tampon aşımı tamponun boyutunun ayrılan alanı aştığı durumlarda oluşur.ICMP tunneling bir hacker ın yasal ICMP paketi içine kendi verisini koymasına olanak sağlar.
Paket filtreleyen ateş duvarı kullanıcı kimlik doğrulaması gerçekleştirmez.
DİNAMİK (STATEFUL) PAKET İZLEME
Dinamik paket izleme paket filtrelemenin yaptığı bazı temel paket gözleme yöntemlerini kullanır. Buna ek olarak, ağ katmanından uygulama katmanına kadar paket başlık bilgisini inceleyerek paketin yasal bir bağlantıdan gelip gelmediğini ve protokollerin beklendiği gibi davranıp davranmadığını gözlemler.
Dinamik paket inceleme süreci şu şekilde gerçekleşir. Paket ateş duvarından geçerken paket başlık bilgisi incelenir ve dinaik durum tablosuna konur. Paketler önceden tanımlı olan kurallar ve filtreler doğrultusunda incelenip paketlerin geçip geçemeyeceği kararını verir. Daha sonra durum tablosundaki veri gelen paketlerin aynı bağlantının bir parçası olup olmadığını anlamak amacı ile kullanılır. Özet olarak dinamik paket inceleme paketlerin geçirilip geçirilmeyeceği kararını iki adımda verir. Bu metod kararlarını aşağıdaki değişkenler doğrultusunda verir:
• Kaynak IP adresi
• Hedef IP adresi
• Protokol tipi (TCP/UDP)
• Kaynak port
• Hedef port
• Bağlantı durumu
Bağlantı durumu önceki paketlerden elde edilen bilgilerden çıkartılır. Bu yeni bağlantı denemelerindeki kararlarda zorunlu bir faktördür. Dinamik paket inceleme paketleri kurallar veya filtreler doğrultusunda inceleyerek ve dinamik durum tablosundan paketlerin kurulu bağlantıdan gelip gelmediğini kontrol ederek karar verir. Bağlantının durumunu hatırlayabilme yeteneği sayesinde bu metod paket izleme standart paket izlemeye göre saldırılara karşı daha korumalıdır.
Dinamik paket inceleme çözümleri karmaşık karar verme yeteneklerine sahiptir ve az işlem yükü talep ettiklerinden diğer paket izleme metodlarından daha hızlı çalışırlar. İzin verip reddetme kararları OSI modelin daha alt katmanlarında yapılmaktadır.
Bazı yeni dinamik paket izleyen ateş duvarları daha gelişmiş bağlantı durum bilgisini tutabilir. Bazıları paketler ateş duvarı üzerinden geçerek ek içerik filtreleme işlemleri gerçekleştirebilir.
Güçlü Yanları
Dinamik paket inceleyen ateş duvarları, paket filtreleyen ateş duvarları gibi ağ performansı üzerinde çok az olumsuz etki gösterirler ve uygulama bağımsız davranabilirler. Dinamik paket inceleyen ateş duvarları basit paket filtreleyen ateş duvarlarına göre daha fazla güvenlik sağlarlar. Dinamik paket inceleyen ateş duvarları paket başlık bilgisini daha derinden incelediğinden istenmeyen veya hakkı olmayan erişimlere göre daha iyi bir koruma sağlarlar. Dinamik paket inceleme uygulama katmanı protokolünde olanlardan haberdardır. Paket başlık bilgisini daha derinden inceleme sayesinde bu metod paket izleme uygulama katmanı protokollerinin beklendiği gibi davranıp davranmadığının invelenmesine olanak sağlar. Durumsal paket inceleyen ateş duvarlarının bazı loglama yetenekleri vardır. Buradaki bilgiler ateş duvarından geçen değişik tipteki trafiği tanımlama ve inceleme olanağı sağlar.
Zayıf Yanları
Dinamik paket incelemede paket filtreleme gibi istemci/sunucu modelinin kırılmasına izin vermez ve bu sebepten ötürü iki uç nokta arasında doğrudan bir bağlantı kurar. Paket izleme metodundakli kurallar ve filtreler giderek karmaşıklaşabilir, yönetimi zorlaşabilir, hatalara eğilimlidir ve test edilmesi zordur
UYGULAMA AĞ GEÇİDİ/VEKİL SUNUCULAR
Uygulama ağ geçitleri/vekil sunucular en karmaşık paket izleme metodu olarak düşünülebilir. Bu tip ateş duvarının iki ağ arayüzü olan güvenli host sistemlerinde konfigüre edilmesi düşünülebilir. Uygulama ağ geçitleri/vekil sunucular iki uç nokta arasında bir aracı olarak düşünülebilir. Bu paket izleme metodu istemci/sunucu modelini kırar, dolayısıyla yeni durum iki bağlantıya ihtiyaç duyar: bir bağlantı kaynaktan ağ geçidi/vekil sunucuya ve diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ geçidi/vekil sunucu aracılığı ile görüşebilir.
Bu tip ateş duvarı OSI modelinin uygulama katmanında çalışır. Kaynak ve hedef uç noktalarının birbirleriyle iletişim kurabilmesi için herbir uygulama protokolünde vekil sunucunun konfigürasyonu yapılmalıdır. Ağ geçidi/vekil sunucu iki ağ arasındaki bağlantıyı sağladığından gerekli güvenliği ve güvenilirliliği sağlamak amacı ile çok dikkatli bir şekilde tasarlanmalıdır. Bu doğrultuda vekil sunucu yazılımı da olabildiği kadar katı ve güvenli olmalıdır. Paket izlemenin diğer bir güçlü yanıda host sistemindeki arayüzün paketleri yönlendirmemesidir.
Uygulama ağ geçidi/vekil sunucu ateş duvarı şe şekilde çalışır. Güvenilir olmayan bir ağdan uygulama ağ geçidi/vekil sunucu ateş duvarına gelen bir istemci isteği geldiğinde gerekli bağlantı oluşturulur. Vekil sunucu kendi kuralları veya filtreleri doğrultusunda isteğin geçerli olup olmadığına karar verir ve istemci isteği doğrultusunda hedefe yeni bir istek gönderir. Bu metod kullanılarak güvenilir ağ ile güvenilmeyen ağda bulunan iki uç nokta arasında hiçbir şekilde doğrudan bir bağlantı oluşturulmamış olur.
Talepte aynı çerçevede cevaplanır. Gelen cevap uygulama ağ geçidi/vekil sunucu tarafından incelenir ve geçerli olması durumunda istmciye gönderilir. İstemci / sunucu modelini kıran bu model sayesinde ateş duvarı güvenilir olan ve güvenilmeyen iki ağı bşrbşrşnden ayırabilir. Burada önemli olan nokta uygulama ağ geçidi/vekil sunucunun aslında bilinen komutlarlı kullanarak hedefe isteği göndermeden önce bunun kopyasını yaratmasıdır.
Paket filtreleme ve dinamik paket izlemeden farklı olarak uygulama ağ geçidi / vekil sunucu uygulama katmanındaki bütün durumları görüntüleyebilir ve bu sayede daha ayrıntılı incelem yapabilir. Örneğin, bir yazı içeren posta mesajı ile resim içeren posta mesajı arasındaki farkı anlayabileceği gibi Java kullanan web sayfası ile kullanmayan arasındaki farkı da bilir. Güvenlik açısından uygulama ağ geçidi/vekil sunucu izleme metodu diğer paket izleme metodlarına göre oldukça mükemmeldir. Bununla beraber bu metod herzaman kullanımda en pratik olanı değildir.
Güçlü Yanları
Uygulama ağ geçidi/vekil sunucuları uç noktalar arasında doğrudan bir bağlantı yapılmasına izin vermez. Bu sayede bu metod iç ve dış ağları tam anlamıyla birbirindn ayırır.
Uygulama ağ geçidi/vekil sunucuları ağlar arası yönlendirme yapmaz. Bu durum iç ağın dış ağdan ayrı olmasını sağlar. Yönlendirme işlemi yapılamadığından bu metod bir çeşit Ağ Adres Dönüşümü(NAT) sağlar.
Uygulama ağ geçidi/vekil sunucuları ateş duvarından geçen trafik üzerinde ağ yöneticisine oldukça yeterli kontrol olanağı sağlamaktadır. Özel uygulamaya veya uygulamanın özel durumlarına göre izin verip kısıtlama yapabilirler. Birçok güvenlik uzmanı uygulama ağ geçidi/vekil sunucuların bu yapısı sayesinde daha güveilir olduğuna inanır.
Uygulama ağ geçidi/vekil sunucuları genelde en iyi içerik filtreleme yeteneğine sahiptir. Paketlerin payload değerlerini inceleyebilmelerinden dolayı içerik bazlı kararlar verebilmektedirler.
Uygulama ağ geçidi/vekil sunucu sağlam kullanıcı kimlik doğrulaması sağlamaktadır. Birçok durumda host sistem kullanıcı veritabanıyla entegre bir biçimde çalışarak yöneticinin kullanıcı/grup bilgilerini kullanmasına imkan tanır.
Bu tip paket izleme metodunun aynı zamanda loglama yeteneğide bulunmaktadır. Değişik tip trafii ve kullanıcı aktivitesini loglayabilir. Bu güvenlik vakalarında ve güvenlik konfigürasyonu esnasında yöneticiye önemli bilgiler sağlar.
Zayıf Yanları
Uygulama ağ geçidi/vekil sunucuların en önemli zayıflığı veya dezavantajı performans üzerindeki olumsuz etkisidir. Bütün gelen ve giden trafik uygulama katmanı seviyesinde incelendiğinden ağ katmanında filtreleme yapan paket filtreleme ve dinamik paket izleme metodlarına göre daha yavaş çalışır. Trafiğin incelenebilmesi için OSI modelinin 7 katmanından da geçmesi gerekmektedir. Sonuç olarak, inceleme işlemi daha fazla işlem gücüne ihtiyaç duyup , ağ üzerinde darboğaz oluşması ihtimalini güçlendirir.
Uygulama ağ geçidi/vekil sunucuların diğer bir eksikliği ise herbir protokol(HTTP,SMTP,etc.) için kendi uygulana geçidi/vekil sunucusunun olması gerekmesidir. Buna ek olarak herbir protıkol kendi ağ geçidi / vekil sunucusunu gerektirdiğinden yeni uygulama desteği problem haline gelebilmektedir.
Uygulama ağ geçidi/vekil sunucuları ek bir istemci konfigürasyonu gerektirmektedir. Ağda bulunan istemciler uygulama ağ geçidi/vekil sunucuya bağlanabilmek için özel yazılıma veya konfigürasyon değişikliklerine ihtiyaç duyarlar. Bu çok sayıda istemciye sahip büyük ağlarda oldukça önemli bir problem teşkil eder.
Ölçeklenebilirlik büyük ağlarda yapılandırılan uygulama ağ geçidi/vekil sunucularda bir problem olarak ortaya çıkabilir. Ağda buluna istemci sayısı veya uygulama ağ geçidi/vekil sunucu sayısı arttıkça performans düşüşü görülür.
Bu tip paket izleme metodu Dos saldırılarına karşı daha hassastır. Eğer uygulama ağ geçidi/vekil sunucu üzerinden yeterli miktarda veri geçirilirse uygulama ağ geçidi/vekil sunucu çalışmasını durdurabilir.
UYARLAMALI VEKİL SUNUCULAR
Dinamik paket izlemenin paket filtrelemeden geliştirilmesi gibi uyarlamalı vekil sunucular(dinamik vekil sunucular) da uygulama ağ geçidi/vekil sunucuların geliştirilmiş bir türünü oluşturmaktadır. Uygulama ağ geçidi/vekil sunucuların ve paket filtrelerinin hünerleri birleştirilerek uyarlamalı vekil sunucular oluşturulmuştur. Bu yapıda yapılan bağlantının ilk kısmı uygulama katmanında incelenip sonradan gelen paketler ağ katmanında incelenir. Tıpkı dinamik paket izlemedeki gibi uyarlamalı vekil sunucularda peketleri inceledikten sonra gerekli bilgileri durum tablosunda saklarlar. Daha sonra aynı bağlantıdaki diğer paketler bu durum tablosu doğrultusunda değerlendirilir. Eğer gelen paketin yeni bir bağlantı ile ilgili olduğuna karar verilirse bu paket uygulama katmanına geçirilir ve orada incelenir.
ÇEVRİM-SEVİYE AĞ GEÇİDİ
Paket filtreleyen ateş duvarlarından farklı olarak çevrim-seviye ağ geçidi tek paketleri incelemez. Aslında çevrim-seviye ağ geçitleri TCP veya UDP oturumlarını izler. Bir oturum kurulduktan sonra çevrim-seviye ağ geçidi bu oturuma ait bütün paketlerin geçmesi için portu açık bırakır. Port ourum kapanana kadar açık kalır. Çevrim-seviye ağ geçidi OSI modelinin taşıma katmanında(transport layer) çalışmaktadır.
ATEŞ DUVARI MİMARİSİ
Ateş duvarı çözümleri tek bir siteme veya birden çok sisteme kofigüre edilebileceğinden dolayı , çözümü oluşturacak mimari de basit veya karmaşık olabilir. Özel bir mimariye karar verirken bütün ağ trafiğinin ateş duvarı üzerinden geçecek şekilde bir yapı oluşturulması en efektif bir çözümdür. Bu uygulama aşağıdaki ateş duvarı yapıları kullanılarak oluşturulabilir.
PAKET FİLTRELEYEN YÖNLENDİRİCİ
Paket filtreleyen yönlendirici iki ağ arasındaki paketleri izleyecek şekilde yapılandırılmış yönlendiricidir. İki ağ arasında trafiği paket filtreleme kuralları doğrultusunda yönlendirir. Bu yönlendirici aracılığı ile güvenliği sağlamak çok kolay değildir. Birçok yönlendirici ateş duvarı fonksiyonelliği dışında sadece paket yönlendirme amacı ile tasarlanır. Bu yüzden kural tanımlama ve filtreleme yapılandırılması kolay değildir.
FİLTRELEYİCİ HOST(Bastion Host)
Filtreleyici host, paket filtreleme kuralları doğrultusunda güvenilir ağı güvenilir olmayan ağdan ayırmaya yarar. Paket filtrelen yönlendiriciden gelen bütün trafik doğrudan filtreleyici hota gönderilir. Dışarıya giden trafik isteğe göre filtreleyici hosta yönlendirilebilir. Bu çeşit ateş duvarları genelde yazılım tabanlı olup güvenilir bir işletim sistemi üzerinde ayrı bir makinada çalıştırılmaktadır. Güvenlik genellikle uygulam katmanında gerçekleştirilir.
ÇİFT-HOMED ATEŞ DUVARI
Çift-homed ateş duvarı genelde ağ geçidinin(yönlendirici) arkasında bulunur ve genelde iki ağ arayüzüne sahiptirler . Bu sistem üzerinde trafik iletimi engellendiğinden iki ağ arasındaki bütün trafik bir çeşit uygulama ağ geçidinden veya vekil sunucudan geçirilir. Sadece gerekli olan ağ geçitleri veya vekil sunucular sistem üzerine yüklenir. Bu özel mimari genelde kullanıcının ağ geçidi/vekil sunucuya erişiminden önce kullanıcı kimlik doğrulaması yapar. Host sistemindeki herbir vekil sunucu birbirinden bağımsız şekilde çalışır.
AYRI ALT AĞ VEYA GUVENLİKTEN AYRILMIŞ BÖLGE(DMZ)
Ayrı alt ağ veya DMZ genelde iki paket filtreleme yönlendirici arasında yaratılır. Bu mimaride , ateş duvarı çözümü diğer erişilebilir servislerle beraber güvenilir olmayan ağ doğrultusunda ayrı alt ağ boyunca yerleştirilir.
ATEŞ DUVARI CİHAZI
Ateş duvarı cihazı genelde ağ geçidi(yönlendirici) arkasında bulundurulur. Bu mimari ağdaki bütün trafiğin cihaz üzerinden geçmesini gerektirdiğinden bu yönüyle paket filtreleyen yönlendirici ve çift-homed ağ geçidi mimarisine benzer. Birçok durumda bu uygulamalar önceden yapılandırılması yapılı bir şekilde gelir. Web sunucu , posta sunucu gibi servisleri de içerebilirler. Diğer ateş duvarları gibi kapsamlı bir yapılandırmaya ihtiyaç duymadıklarından kullanılması ve uygulanması daha basittir.
Bazı ağlarda birden fazla ateş duvarı çöçzümü daha efektif bir seçenek olabilir. Örneğin, çevre güvenliği için ağ girişinde bir paket filtreleyen yönlendirici ve özel bir departman veya bina için ayrı bir uygulama ağ geçidi yapılandırmak uygun olabilir. Bu tip bir çözüm güvenilir ağı dışarıdan gelebilecek saldırılara karşı korumakla kalmayıp ayrıca departmanları veya binaları da yetkilendirilmemiş kullanıcılardan korur .
GÜVENLİK POLİTİKASI
Ateş duvarı çözümünün performansı tutarlı ve geniş çerçevede düşünülmüş bir güvenlik politikası sayesinde üzt seviyede olur. Güvenlik politikası olmaksızın herhangi bir gereksinim için bir karar verme temeli oluşturmaya ihtiyaç yoktur. Organizasyonun gerçekte ne tür güvenlik tedbirlerine ihtiyacı olduğunu güvenlik politikası belirler. Bu güvenlik tedbirleri teknik çözümden bağımsız olarak geliştirilir. Güvenlik politikasını ve teknik çözümü ayrı tutmak güvenlik planı yazılım veya donanımının veya özel ateş duvarı çözümlerinin güvenlik politikasını kısıtlaması engeller. Ateş duvarı çözümünde kullanılacak teknoloji güvenlik politikasını yansıtmalıdır.
Güvenlik politikasının geliştirilmesi bir organizasyonun bütün birimlerinin aktif katılımı ile olur. Yönetici kadrosu, idari kadro, teknik kadro, iç kullanıcılar ve harici kullanıcılar güvenlik politikası oluşturmada etkilidirler.
Güvenlik politikaları idari ve teknik olmak üzere iki bölümden oluşur. İdari bölüm uzaktan erişim hakları, posta servislerine erişim değişiklik ve güncelleme yapalicek olan kişiler gibi sorunları baz alır. Teknik bölüm ise erişimin kullanıcı ID leri ilemi kotrol edileceğini, kullanıcı gruplarını veya IP adreslerini belirleme gibi sorunları baz alır. ,
Güvenlik politikasının kapsadığı konulardan bazıları şunlardır:
Yönetimsel Konular
• Kullanıcı erişimi – Hangi kullanıcıların ağa erişebileceğini belirler.
• Servislere erişim – Hangi servislerin ağ içinden veya dışından erişilebileceğini belirler.
• Kaynaklara Erişim – Kullanıcılar hangi kaynaklara erişebilir.
• Kullanıcı Kimlik Doğrulama – Organizasyon kullanıcı kimlik doğrulaması yapacak mı ?
• Loglama ve denetleme – Organizasyon log dosyalarını saklayacak mı? Hangi bilgiler loglanacak ?
• Güvenlik İhlali Sonuçları – Güvenlik ihlali durumunda sonuçları neler olacak? Denetleme işlemlerinden kimler sorunlu olacak ?
• İstisnalar – Güvenlik politikasındaki istisnalar nasıl belirlenecek ?
• Sorumluluklar – Güvenlik politikasını kim gözlemleyip yönetecek? Karar vermede en son merci kim olacak?
• Teknik sorumluluklar – Teknik uygulamanın yönetimi ve denetlenmesinden kim sorumlu olacak – ateş duvarı, etc.
Teknik Konular
• Uzaktan erişim – Organizasyon ağa uzaktan erişim hakkı verecek mi?
• Fiziksel güvenlik – Makinaları fiziksel güvenlikleri ne şekilde sağlanacak?
• Uygulama metodları – Güvenlik politikasında hangi metodlar kullanılacak, ör. Ateş duvarı , kabul edilebilir policy kullanımı,etc.
• Virüs koruması – Organizasyon viruslere karşı ne şekilde korunacak?
Kapsamlı bir güvenlik politikası oluşturmak oldukça zaman alıcı bir iştir. Bu çalışmada güvenlik politikasının sadece ateş duvarı ve vekil sunucular ile ilgili olan kısmına değinilmiştir.
SONUÇ olarak;
Internetin hızlı bi şekilde büyümesiyle beraber ateş duvarları ve ağ güvenliği oldukça önemli hale gelmiştir. Ateş duvarları özel ağlara bağlı bilgisayar sistemlerini veya lokal ağları internetten gelecek olan saldırılara karşı korur. Ateş duvarları davetsiz misafirlere karşı en fazla güvenliği sağlayabilecek araçlar olarak düşünülebilir. Diğer bütün teknolojiler gibi ateş duvarı teknolojileri de değişmeye ve ilerlemeye esnektedir. Satıcıların herbir ürünün içine en iyi özellikleri entegre ederek ürünleri geliştirmeleri sonucunda paket izleme metodları arasındaki farklar giderek çoğalmaktadır. Sonuç olarak ateş duvarı teknolojisinde önemli olan şirket ihtitaçlarını belirleyip, kendinize en uygun olan çözümü gerçekleştirmektir
