Transcript Samet Özcan Paket Süzmeli Güvenlik Duvarı

[email protected]
 Güvenlik Duvarı Nedir ?
 Güvenlik Duvarı Nasıl Çalışır ?
 Güvenlik Duvarı Türleri Nelerdir ?
 Paket Süzmeli Güvenlik Duvarı Nedir ?
Paket Süzmeli Güvenlik Duvarı Nasıl Çalışır ?
 Belirli Bir Seviyeye Bağlı PFFW Nedir ?
 PFFW Yönlendirici Nedir ?
 Filtreleyici Host Nedir ?
 PFFW Güçlü Yanları Nelerdir ?
 PFFW Zayıf Yanları Nelerdir ?
 PFFW İçin Değerlendirme
Güvenlik duvarı, Internet'ten gelen bilgileri denetleyen ve ardından
güvenlik duvarı ayarlarınıza göre engelleyen veya geçişine izin veren bir
yazılım veya donanımdır.
Güvenlik duvarı, saldırganlar veya zararlı yazılımlar'ın (solucanlar gibi)
ağ veya Internet üzerinden bilgisayarınıza erişmelerini engellemeye
yardımcı olabilir. Ayrıca, güvenlik duvarı bilgisayarınızın diğer
bilgisayarlara zararlı yazılım göndermesine de engel olur.
Aşağıdaki şekilde güvenlik duvarının nasıl çalıştığı gösterilmektedir:
Ağ ateş duvarları erişim kontrol kararlarını verirken iki güvenlik
mantığı yaklaşımını kullanır. Bu iki yaklaşımın mantığı zıt
olmasına rağmen iki sininde amacı erişimi kontrol etmektir. Bu iki
yaklaşım şunlardır:
• Özel olarak izin verilmeyen her şeyi reddet.
• Özel olarak reddedilmeyen her şeyi kabul et.
Her iki yaklaşımın da taraftarları olmasına rağmen en fazla tavsiye
edilen “özel olarak izin verilmeyen her şeyi reddet” yaklaşımıdır. Bu
yaklaşım istenmeyen ve izin verilmeyen erişimlere karşı ön bir
koruma sağlar. Özel olarak bir erişime izin verilmediği sürece
bütün erişim bu yaklaşım tarafından engellenir.
Zıt tasarım mantığı , özel olarak reddedilmeyen her şeyi kabul et,
istenmeyen ve izin verilmeyen erişimlere karşı tepkisel bir tutum
sergiler. İlk yaklaşıma göre daha az güvenlik sağlar fakat aynı
zamanda ilk yaklaşıma göre daha esnektir.
Güvenlik duvarı tasarımı için çeşitli teknikler vardır: kullanılan teknik
doğrudan güvenlik duvarının türünü gösterir.Bu teknikler aşağıdaki
gibidir.
Paket Süzmeli Güvenlik Duvarı
Kararlı Paket İzleme GD
Uygulama Geçit Yolu GD
Devre Düzeyli Geçit Yolu GD
Samed ÖZCAN
Paket süzme, güvenlik duvarı oluşturmanın en kolay yoludur. Paketlerin
başlık alanı içindeki bilgilere bakılarak istenmeyen paketler karşı tarafa
geçirilmez. Bu amaçla ir kurallar tablosu oluşturulur. Bu tabloda belirtilen
kurallara uymayan paketler karşı tarafa geçirilmeyip süzülür. Belirli bir
düzeyde koruma sağlar, ancak çok sıkı bir koruma sağlamayabilir.
Her bir paket ateş duvarından geçtiği esnada paket başlığı bilgisi
önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Kabul
etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda
verilir. Her bir paket diğer paketlerden bağımsız bir şekilde incelenir.
Paket filtreleme kuralları veya filtreleri aşağıdaki değişkenler doğrultusunda
oluşturulur:
• Kaynak IP adresi
• Hedef IP adresi
• Protokol tipi (TCP/UDP)
• Kaynak port
• Hedef port
Not: Bütün ateş duvarları bir çeşit paket yönlendirme yeteneğine sahiptir
Normalde PFFW’de kullanılan algoritmaya göre çalışırlar; ancak ,
sadece belirli bir hizmetportu üzerinden işlem yaparlar. Örneğin telnet
sunucu sistemi uzak bağlantıları 23. TCP portundan. SMTP sunucu
sistemi ise 25. TCP portu üzerinden dinleme işlemi yaparlar. Bu
sistemde izin verilmiş olan ana makine (host) listesi bulunur; yalnızca,
bu listede bulunan ama makinalara uygun port numarasıyla gelen
paketlere geçiş izni verilir. Diğerlerinin geçişi engellenir.
Paket filtreleyen yönlendirici iki ağ arasındaki paketleri izleyecek
şekilde yapılandırılmış yönlendiricidir. İki ağ arasında trafiği paket
filtreleme kuralları doğrultusunda yönlendirir. Bu yönlendirici aracılığı
ile güvenliği sağlamak çok kolay değildir. Birçok yönlendirici ateş duvarı
fonksiyonelliği dışında sadece paket yönlendirme amacı ile tasarlanır.
Bu yüzden kural tanımlama ve filtreleme yapılandırılması kolay
değildir.
Filtreleyici host, paket filtreleme kuralları doğrultusunda güvenilir ağı
güvenilir olmayan ağdan ayırmaya yarar. Paket filtrelen yönlendiriciden
gelen bütün trafik doğrudan filtreleyici hota gönderilir. Dışarıya giden
trafik isteğe göre filtreleyici hosta yönlendirilebilir. Bu çeşit ateş
duvarları genelde yazılım tabanlı olup güvenilir bir işletim sistemi
üzerinde ayrı bir makinede çalıştırılmaktadır. Güvenlik genellikle
uygulama katmanında gerçekleştirilir.
Paket filtreleme tipik olarak diğer paket izleme metotlarından daha
hızlıdır , çünkü paket filtreleme OSI modelinin alt katmanlarında
yapılır. Doğru şekilde konfigürasyonu yapıldığında paket filtreleri ağ
performansına çok az etki eder.
Paket filtreleyen ateş duvarları açık olarak kon figüre edilebilir.
İstemciler tarafında ek bir konfigürasyona ihtiyaç duyulmaz.
Paket filtreleyen ateş duvarları diğer sistemlere göre daha ucuzdur.
Birçok donanım cihazı ve yazılım paketleri kendi standart paketleri
içinde paket filtreleme özelliğini içermektedir.
Paket filtreleyen ateş duvarları uygulama bağımsız olarak çalışır. Karalar
paketin başlık bilgisine göre verildiğinden herhangi bir uygulamaya
bağlı değildir
Paket filtreleyen ateş duvarlarında kurallar ve filtreler tanımlamak
karışık bir iştir. Ağ yöneticisinin şirketinin güvenlik ihtiyaçları
doğrultusunda kullanılacak servisleri ve protokolleri iyi bir şekilde
belirleyip bunların doğrultusunda kuralları ve filtreleri belirlemesi
oldukça karışıktır. Bazı durumlarda kurallar veya filtrelerin oldukça
karışık olması gerekli konfigürasyonun yapılmasını imkansız
kılmaktadır. Uzun erişim kuralları veya filtreleri ağ performansı
üzerinde olumsuz etkilere de neden olur. Kuralların veya filtrelerin
sayısı arttıkça ateş duvarının gerekli karşılaştırma kararlarını vermesi
daha uzun zaman almaktadır.
Paket filtreleyen ateş duvarlarının hassas olduğu üç ana istismar
yöntemi vardır. Bu yöntemler IP spoofing, tampon aşımı, ve ICMP
tunneling dir. IP spoofing kaynak adresini kullanarak ateş duvarını
aldatmak yolu ile kendi verilerini göndermektir. Tampon aşımı
tamponun boyutunun ayrılan alanı aştığı durumlarda oluşur.ICMP
tunneling bir hacker ın yasal ICMP paketi içine kendi verisini
koymasına olanak sağlar.
Paket filtreleyen ateş duvarı kullanıcı kimlik doğrulaması
gerçekleştirmez.
Paket filtreleyen ateş duvarlarındaki kararların veya filtrelerin test
edilmesi oldukça zordur.
Eğer karmaşık bir süzgeçleme kullanılacaksa konfigürasyon işlemi
gittikçe zorlaşır. Genellikle süzgeçleme arttıkça, yönlendirici üzerinden
geçen paket sayısı azalır. Yönlendirici güvenlik duvarı işlevini yerine
getirirken kendi görevi yanında, yani paketin başlık bilgisini
yönlendirme tablosunda arama işlemi yanında, süzme işlemlerini de o
pakete uygulamalıdır. Bu durumda süzme yapmak için yönlendiricinin
CPU’yu kullanması gerekir. Bu da performansta bir düşüklüğe yol
açabilir.
PFWR kullanımında IP paketleri seviyesinde erişim denetimi
yapıldığından ve uygulama seviyesine çıkılamadığından bazı
uygulamalar için yetersiz kalabilir.