İnternette güvenlik ile ilgili konular arasında adı sık sık geçen FIREWALL kavramı esas olarak yazılım ile oluşturulup, internet üzerinden bir sisteme girişleri kısıtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantısını sağlayan servis - ağ geçidi) olarak çalışan bir bilgisayar üzerinde bulunan güvenlik sistemine verilen genel addır.
Fırewall internet ağından yerel ağı korumanın çeşitli yollarından birisidir. Genel olarak iki türlü firewall yapısından bahsedebiliriz; veri trafiğini engelleyen türler ve veri trafiğine izin veren türler. Bazı firewall tiplerinde veri akışının engellenmesi esas iken bazılarında da veri trafiğini düzenlemek ve sınırlamak önem kazanır. Genellikle fırewallar dışarıdan ağa yetkisiz erişimleri engellemek için düzenlenir. Ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanır. Bazı fırewallar sadece e-maıl trafiğine izin verirken diğerleri farklı cinsten veri iletimine izin vermekle birlikte problem olabilecek servisleri (FTP, NFS, X-Windows gibi) ve bazı iletişim türlerini bloke ederler. Bu tür seçimler ve erişim izinleri tamamen kullanıcıların tercihlerine göre belirlenir.
Fırewall'un esas amacı ağa zarar vermek yada sızmak isteyenleri engellemektir. Genel olarak şirketler ve veri merkezleri için firewall sıkça kullanılan bir güvenlik metodudur. Fırewallar güvenlik ve denetim için bir tür geçit noktası oluşturur. Ayrıca sisteme modem ile bağlantı kurulmak istendiğinde fırewall bu bağlantıyı kontrol edip izleyebilme imkanına da sahiptir.
Firewall ile birlikte çeşitli kullanıcı erişimi denetleme ve yetkilendirme mekanizmalarının kullanılması da (one time password gibi) yerel ağın güvenliğini arttıran bir unsurdur. Firewall bu türden, kullanıcı şifre ve yetkilerinin tanımlanıp kullanılması ve bu bilgilerin ağlar arasındaki trafiğinin gizlenmesi konusunda extra özellikler sunar.
Firewall'un bazı dezavantajları ve kusurları da eksik değildir tabii ki. Bu problemleri şöyle özetleyebiliriz:
· Fırewall için en büyük dezavantaj kullanıcıların bazı çok kullanılan (telnet, ftp, x-wındows, nfs gibi) servislere erişiminin kısıtlanmasıdır. Ancak, bu dezavantaj fırewall'a özgü değildir. Fırewall ile network erişimi, yerel ağların güvenlik planına bağlı olarak, host (kullanıcı) düzeyinde çeşitli opsiyonlar ile kısıtlanılabilir. Kullanıcı ihtiyaçları ile güvenlik şartlarını dengeleyen iyi planlanmış güvenlik planı, bu tür kısıtlanmış erişim problemlerini çözebilir. Bazı durumlarda yerel ağ sistemleri fırewall'a uygun olmayan topolojiye sahip olabilirler veya fırewall kullanıldığında, sistemin yeniden yapılandırılmasının gerektiği NFS gibi servisleri kullanabilirler. Örneğin, bir yerel ağ, ağ geçitleri (gateway) arasında NFS ve NISA protokollerini kulanmak zorunda ise, fırewallı eklemenin bedeli, hack'lanabilirliklerin bedeli ile karşılaştırılmalı ve risk analizi yapılmalıdır. Bu durumlarda alternatif çözümler (Kerberos gibi) daha uygun olabilir.
· Fırewall, trojan türü DATA içeren veri paketlerine karşı da ağı koruyamaz. İçinde bir hacker tarafından yerleştirilmiş programlar bulunan veri paketleri ile yapılan saldırılarda (backdoor oluşturan programlar) firewall için potansiyel bir tehlike mevcuttur. Bu metodla istemci, sunucudaki erişim kontrollarını değiştirip gizli dosyaları açabilecek programları bizzat sunucu yani server tarafında çalıştırabilir. Saldırıların bu türü sendmail'in çeşitli versiyonlarına karşı geçmişte çok defa yapılmıştı.
· Eğer fırewall tarafından korunan ağın içine sınırsız modem erişimi izni verilirse, saldıran kişiler fırewall'u rahatça geçebilir. Modem hızları , slip ( serial line ip ) ve ppp ( point to point protokol ) için oldukça yüksektir. Güvenli sanılan alt ağlar içindeki slip veya ppp bağlantıları, aslında diğer networklere bağlantı kurulabilecek gedikler ve potansiyel backdoor'lardır.
· Fırewall genellikle ağın içerisinden gelen tehditlere karşı koruma sağlamaz.
· Multicast video ve ses içeren IP paketleri de firewall tarafından filtre edilmediğinden ayrı bir potansiyel tehlike kaynağıdır.
· Fırewallar virüsler için de bir güvenlik sağlamaz. çünkü internetten indirilen yada e-mail ile gelen paketler içinde virüsler kolaylıkla şifre edilebilirler veya sıkıştırılabilirler. Fırewall virüs imzalarını aramak için böyle programları taramaz.
Firewall konusunun daha açık anlaşılabilmesi için bazı firewall türlerinin yapısını incelemek faydalı olabilir. Ancak bu incelemeye geçmeden önce PROXY ve PACKET FILTERING konularını kısaca açıklamakta fayda var.
PACKET FILTERING (Veri paketleri Filtresi)
IP paketleri filtreleme işlemi, yönlendirici (Router) ara birimleri arasında geçen veri paketlerini süzmek için tasarlanmış bir yönlendirici (Router) kullanılarak yapılır. Paket filtreleme yönlendiricisi (Packet Filtering Router), aşağıdaki kriterlerin hepsine veya bazısına göre IP paketlerinin trafiğini süzebilir:
Kaynak (source) IP adresleri
hedef (destination) IP adresleri
kaynak tcp/udp portu
hedef tcp/udp portu
Tüm paket filtreleme yönlendiricileri sadece kaynak tcp/udp portlarını süzmekle kalmayıp, bazı yönlendiriciler, yönlendirici arabirimine bir veri paketi geldiğinde bu paketin nasıl kullanılacağını da incelerler. Fıltreleme ağdaki veya ana makinadaki bağlantıları bloke etmek için kullanılan çeşitli metotlardan birisidir ve belirli portlar için bu portlardan yapılacak veri iletişimini bloke eder. Bir ağ, güvenilmez olarak tanımladığı ana makina veya ağlardan (belirli adreslerden) bağlantı yapılmasını engellemek isteyebilir ya da dışarıdan gelen tüm trafiği (e-mail, smtp gibi malum istisnalar dışında) bloke etmek isteyebilir.
IP adres filtresine, tcp ve udp port filtresi ekleyerek sistem daha esnek hale getirilebilir. Eğer bir fırewall tcp veya udp portlarının bağlantısını bloke edebiliyorsa belli makinalar için yapılan belirli bağlantı tiplerini de yönlendirebilir. Örneğin bir ağ, firewall'a bağlı olanların dışındaki makinalara giren bütün bağlantıları engelleyebilir. Ya da bir sistem için telnet veya ftp bağlantıları serbest iken bir diğeri için sadece smtp bağlantısı açık olabilir. Tcp veya udp portlarının süzülmesi yolu ile bu tür seçimlerin uygulanması, paket filtreleme kapasitesine sahip host yoluyla veya paket filtreleme yönlendiricisi tarafından yapılır.
Bununla birlikte paket filtreleme metodu herhangi bir veri içeriği kontrolu yapmadığından birtakım dezavantajlara da sahiptir. Ayrıca portların veri transferi aşamasındaki yönlendirilmeleri ve yönetimleri ile de ilgili bazı problemler olduğu bilinmektedir.
PROXY SERVER ( bazan uygulama geçidi - applıcatıon gateway olarak da adlandırılır)
Proxy servisi, internet üzerindeki yerel bir ağ (ya da internete bağlı bir bilgisayar) ile dış dünya arasındaki ilişkiyi sağlayan bir yardımcı geçit (gateway) sistemidir. Proxy'ler sık sık yönlendirici (router) makinaların yerine, benzeri bir işlev ile ağlar arası trafiği kontrol etmek amacıyla kullanılır. Aynı zamanda bir çok proxy server, kullanıcı erişimleri için denetleme ve destek de sağlar. Proxy server'lar kullanılan uygulama protokollerine hakim olmaları nedeniyle bazı özel güvenlik protokollerini de uygulayabilirler. Örneğin bir ftp proxy server'ı, ftp protokolü üstünden giriş yada çıkışları denetleyecek ve bloke edecek şekilde konfigüre edilebilir.
Proxy server özel bir uygulamadır. Proxy yoluyla yeni bir protokolu desteklemek için, o protokole özel bir proxy yapısı geliştirilmelidir. (Soketler, bir fırewall gibi çalışması için, istemci tarafındaki uygulamalar için oluşturulmuş proxy sistemleridir. Avantajı kullanım kolaylığıdır. Ama proxy'ler gibi erişim kontrolüne ve özel protokol kullanma olanağına sahip değildir.)
Bir proxy servisi (sunucusu) sizin adınıza (proxy'nin kelime anlamı vekil'dir) sizden aldığı "internet'ten bilgi alma" isteklerini yürütür ve sonucu yine size iletir. Ancak aynı anda, bu bilgilerin bir kopyası da (cache), bu proxy sunucusu üzerinde tutulur ve bir dahaki erişimde kullanıcının istediği bilgiler doğrudan ilgili siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim daha hızlı olur. Internet'e erişim için mutlaka bir proxy servisine ihtiyaç yoktur, ancak size en yakın bir servis noktasındaki proxy servisini kullanmanız, internet erişiminizi bir hayli hızlandıracaktır.
FIREWALL ÖRNEKLERİ
Paket filtreleme yapan Firewall türü - Packet Filtering Firewall.
Çift taraflı Geçit tipindeki Firewall türü - Dual-homed gateway firewall.
Perdelenmiş kullanıcı tipindeki Firewall türü - Screened host firewall.
Perdelenmiş alt ağ tipindeki Firewall - Screened subnet firewall.
Ek olarak fırewall ile modem erişiminde bağlantıları entegre etmek için kullanılan metotları da ayrı bir bölümde değerlendirebiliriz
1- Packet Fıltering Firewall:
Packet Fılterıng, küçük ve basit siteler ve ağlar için en yaygın ve en kolay metottur. Ancak bir çok dezavantajlarından dolayı diğer fırewall türlerine göre pek tercih edilmez. Basit olarak, bir ınternet ağ geçidinde (gateway), packet fılterıng yönlendiricisi (router) kurulur ve sonra , protokollar ve adresleri engellemek veya süzmek için yönlendiricide gerekli ayarlar yapılır. İnternetten sisteme erişim engellenilirken, sistemden ınternete erişim genellikle serbest bırakılır. Bununla beraber yönlendirici (router) güvenlik planına bağlı olarak sistemler ve servislere kısıtlı erişimlere izin verebilir. nıs nfs ve x-wındows gibi tehlikeli olabilecek servisler için genellikle erişim ve trafik bloke edilir.
Packet Filterıng Firewall için de yönlendiricilerdeki dezavantajlar geçerlidir. Yerel ve korunması gereken ağların güvenlik ihtiyaçları daha karmaşık olduğundan sorun daha da büyüktür. Bu sorunlar:
Erişim denetleme yetenekleri sınırlıdır. Ağ yöneticisi saldırıyı anında fark edemez.
Packet fılterıng kuralları, bilinmeyen türden saldırılara karşı ağı test edebilme yeteneğine sahip değildir.
Eğer karmaşık filtre kuralları ve düzenlemeleri istenirse sistemin idaresi zor olabilir.
2- Çift Taraflı Geçit (Dual-Homed Gateway):
Bu tür, "paket fıltrelemeli firewall"a karşı iyi bir alternatifdir. İki network ara birimi ile IP iletişimi engellenen bir terminalden oluşur. Burada terminal artık veri paketlerini direkt olarak iki ağ arasında iletemez. Ayrıca bu sistemde packet fılterıng yönlendiricisi internet bağlantısı üzerine, ek bir koruma sağlamak için yerleştirilebilir. Bu yönlendirici sayesinde bilgi sunucusu (information server) ve modem gibi sistemleri tanımlamak için kullanılabilen dahili ve perdelenmiş bir alt ağ yaratılır. "Paket filtrelemeli fırewall"dan farklı olarak, "çift taraflı geçit" mekanizması, internet ile ağ arasında IP trafiğini tamamen bloke eder (proxy tarafından kullanılan servisler hariç tabii). Servisler ve sistemlere erişim, bu geçitteki (gateway'deki) proxy sunucusu tarafından sağlanır. Basit ve emniyetli bir firewall türüdür.
Alt ağ (subnet) sadece firewall tarafından bilinir ve algılanır. İnternet üzerinde bu ağa ait bir bilgi bulunmaz.
Bu sayede ağ içindeki isimler ve ıp adresleri internet sistemlerinden saklanır. Çünkü fırewall DNS bilgisini geçirmez.
"Çift taraflı geçit" sisteminin kurulumunda telnet, ftp, ve merkezi e-maıl servisi için bir proxy server düzenlenmelidir. Bu sistemde ek olarak fırewall davetsiz misafirlerin faaliyetini ve sisteme erişim çabalarını izleyebilir.
"Çift taraflı geçit" tipindeki fırewall, ağa gelen ve giden veriler ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi sunucusu, geçit-gateway ile yönlendirici-router arasında alt ağa yerleştirilir. Ağ geçidinin (gateway) bilgi sunucusu için uygun proxy servisleri sağladığını farzedersek (ftp , gopher veya http gibi) yönlendirici (router), fırewall'a doğrudan erişimi önleyebilir ve erişimleri fırewall’un denetlemesine tabi tutar. Bilgi sunucusunun bu şekilde yerleştirilmesi, davetsiz misafirlerin bilgi sunucusuna erişimine imkan vermediğinden ve çift taraflı geçit mekanizması ile de ağ sistemlerine ulaşımın engellenmesinden dolayı daha emniyetli bir metottur.
Çift taraflı geçidin esnek olmayan yapısı bazı ağlarda dezavantaj olabilir. Proxy haricinde bütün servisler bloke edildiği için var olan diğer servislere erişim imkanı olmaz. Erişilmesi gereken servisler için bu servisleri veya sistemleri geçidin internet tarafına yerleştirmek gerekir. Ancak ayrı bir yönlendirici, geçit ile asıl yönlendirici arasında bir alt ağ oluşturacak şekilde kurulabilir ve ekstra hizmetler gerektiren sistemler burada devreye sokulabilir.
Diğer önemli bir nokta firewall'un güvenli bir makina ve işletim sistemi üzerine kurulması gerekliliğidir. Ana sistemdeki açıklar firewall için boşa harcanan para demektir.
3- Perdelenmiş Kullanıcı Tipindeki Firewall - Screened Host Firewall:
"Çift taraflı geçit" tipindeki fırewall'dan daha esnektir. Ancak her zamanki gibi esneklik, güvenlik adına verilen bazı bedeller ile sağlanmıştır.
"Perdelemeli fırewall", yönlendiricinin korunmalı durumdaki alt ağ tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara birimine ihtiyaç duyar . Uygulama geçitlerinin proxy servisleri ağ sistemindeki bazı proxyler için telnet ftp ve diğer veri paketlerini geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama geçidi ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi gereken protokollerdir ve uygulama trafiğini aşağıdaki şekilde yönlendirirler:
Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen trafik kabul edilir,
İnternet ağlarından gelen diğer tüm trafik geri çevrilir.
Uygulama geçidinden gelmedikçe, yönlendirici içeriden gelen herhangi bir uygulama trafiğini reddeder.
"Çift taraflı geçit" türü fırewall'dan farklı olarak, bu sistemdeki uygulama geçidi sadece bir network ara birimine ihtiyaç duyar ve uygulama geçidi ile yönlendirici arasında ayrı bir alt ağ (subnet) gerektirmez. Bu durum daha esnek ama daha emniyetsiz bir yapıdır. Örneğin ntp gibi daha az tehlikeli servisler, ağ sistemlerine yönlendiricinin içinden geçiş izni verebilirler. Eğer alt ağ sistemleri internet sistemlerine dns erişimi gerektirirse dns protokolü bu alt ağa erişimi mümkün kılabilir.
4-Perdelenmiş Alt Ağ tipi Fırewall - Screened Subnet Firewall:
Perdelenmiş alt ağ tipi fırewall , "çift taraflı geçit" ile "perdelenmiş host tipi fırewall"un birleşimidir.
5- Firewall ile modemin entegrasyonu:
Bir çok ağda, ağdaki modemlere telefon hattından erişim mümkündür. Bu, potansiyel bir backdoor açığıdır ve firewall ile kurulan korumayı tamamen etkisiz duruma getirir. Böyle durumları önlemenin yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde toparlamaktır. Ana modem girişi düzenlemesi, modemlerin ağa bağlantısını sağlamak amacıyla yapılmış bir terminal sunucu üzerinden gerçekleştirilebilir.
Modem kullanıcıları önce terminal sunucusuna bağlanır, oradan da diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de sağlarlar. Bir diğer alternatif de, terminal sunucusuı, modemlerin bağlandığı bir ana makine da olabilir.
Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu fırewall'un dışında oluşturmak, modemle yapılacak bağlantılar firewall içinden geçeceğinden emniyetli bir yöntemdir.
Ayrıca uygulama geçidinin gelişmiş erişim denetleme yeteneği, internetten olduğu gibi modemden bağlanan kullanıcıların erişim yetkilerini doğrulamakta kullanılabilir. Paket filtreleme yönlendiricisi de dahili sisteme ana modem sunucusundan yapılacak bağlantıları önlemek için kullanılabilir .
Sistemin dezavantajı ise, modem sunucusunun internete doğrudan bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara yapılacak bu tür bağlantıları engellenebilmelidir.
Fırewall internet ağından yerel ağı korumanın çeşitli yollarından birisidir. Genel olarak iki türlü firewall yapısından bahsedebiliriz; veri trafiğini engelleyen türler ve veri trafiğine izin veren türler. Bazı firewall tiplerinde veri akışının engellenmesi esas iken bazılarında da veri trafiğini düzenlemek ve sınırlamak önem kazanır. Genellikle fırewallar dışarıdan ağa yetkisiz erişimleri engellemek için düzenlenir. Ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanır. Bazı fırewallar sadece e-maıl trafiğine izin verirken diğerleri farklı cinsten veri iletimine izin vermekle birlikte problem olabilecek servisleri (FTP, NFS, X-Windows gibi) ve bazı iletişim türlerini bloke ederler. Bu tür seçimler ve erişim izinleri tamamen kullanıcıların tercihlerine göre belirlenir.
Fırewall'un esas amacı ağa zarar vermek yada sızmak isteyenleri engellemektir. Genel olarak şirketler ve veri merkezleri için firewall sıkça kullanılan bir güvenlik metodudur. Fırewallar güvenlik ve denetim için bir tür geçit noktası oluşturur. Ayrıca sisteme modem ile bağlantı kurulmak istendiğinde fırewall bu bağlantıyı kontrol edip izleyebilme imkanına da sahiptir.
Firewall ile birlikte çeşitli kullanıcı erişimi denetleme ve yetkilendirme mekanizmalarının kullanılması da (one time password gibi) yerel ağın güvenliğini arttıran bir unsurdur. Firewall bu türden, kullanıcı şifre ve yetkilerinin tanımlanıp kullanılması ve bu bilgilerin ağlar arasındaki trafiğinin gizlenmesi konusunda extra özellikler sunar.
Firewall'un bazı dezavantajları ve kusurları da eksik değildir tabii ki. Bu problemleri şöyle özetleyebiliriz:
· Fırewall için en büyük dezavantaj kullanıcıların bazı çok kullanılan (telnet, ftp, x-wındows, nfs gibi) servislere erişiminin kısıtlanmasıdır. Ancak, bu dezavantaj fırewall'a özgü değildir. Fırewall ile network erişimi, yerel ağların güvenlik planına bağlı olarak, host (kullanıcı) düzeyinde çeşitli opsiyonlar ile kısıtlanılabilir. Kullanıcı ihtiyaçları ile güvenlik şartlarını dengeleyen iyi planlanmış güvenlik planı, bu tür kısıtlanmış erişim problemlerini çözebilir. Bazı durumlarda yerel ağ sistemleri fırewall'a uygun olmayan topolojiye sahip olabilirler veya fırewall kullanıldığında, sistemin yeniden yapılandırılmasının gerektiği NFS gibi servisleri kullanabilirler. Örneğin, bir yerel ağ, ağ geçitleri (gateway) arasında NFS ve NISA protokollerini kulanmak zorunda ise, fırewallı eklemenin bedeli, hack'lanabilirliklerin bedeli ile karşılaştırılmalı ve risk analizi yapılmalıdır. Bu durumlarda alternatif çözümler (Kerberos gibi) daha uygun olabilir.
· Fırewall, trojan türü DATA içeren veri paketlerine karşı da ağı koruyamaz. İçinde bir hacker tarafından yerleştirilmiş programlar bulunan veri paketleri ile yapılan saldırılarda (backdoor oluşturan programlar) firewall için potansiyel bir tehlike mevcuttur. Bu metodla istemci, sunucudaki erişim kontrollarını değiştirip gizli dosyaları açabilecek programları bizzat sunucu yani server tarafında çalıştırabilir. Saldırıların bu türü sendmail'in çeşitli versiyonlarına karşı geçmişte çok defa yapılmıştı.
· Eğer fırewall tarafından korunan ağın içine sınırsız modem erişimi izni verilirse, saldıran kişiler fırewall'u rahatça geçebilir. Modem hızları , slip ( serial line ip ) ve ppp ( point to point protokol ) için oldukça yüksektir. Güvenli sanılan alt ağlar içindeki slip veya ppp bağlantıları, aslında diğer networklere bağlantı kurulabilecek gedikler ve potansiyel backdoor'lardır.
· Fırewall genellikle ağın içerisinden gelen tehditlere karşı koruma sağlamaz.
· Multicast video ve ses içeren IP paketleri de firewall tarafından filtre edilmediğinden ayrı bir potansiyel tehlike kaynağıdır.
· Fırewallar virüsler için de bir güvenlik sağlamaz. çünkü internetten indirilen yada e-mail ile gelen paketler içinde virüsler kolaylıkla şifre edilebilirler veya sıkıştırılabilirler. Fırewall virüs imzalarını aramak için böyle programları taramaz.
Firewall konusunun daha açık anlaşılabilmesi için bazı firewall türlerinin yapısını incelemek faydalı olabilir. Ancak bu incelemeye geçmeden önce PROXY ve PACKET FILTERING konularını kısaca açıklamakta fayda var.
PACKET FILTERING (Veri paketleri Filtresi)
IP paketleri filtreleme işlemi, yönlendirici (Router) ara birimleri arasında geçen veri paketlerini süzmek için tasarlanmış bir yönlendirici (Router) kullanılarak yapılır. Paket filtreleme yönlendiricisi (Packet Filtering Router), aşağıdaki kriterlerin hepsine veya bazısına göre IP paketlerinin trafiğini süzebilir:
Kaynak (source) IP adresleri
hedef (destination) IP adresleri
kaynak tcp/udp portu
hedef tcp/udp portu
Tüm paket filtreleme yönlendiricileri sadece kaynak tcp/udp portlarını süzmekle kalmayıp, bazı yönlendiriciler, yönlendirici arabirimine bir veri paketi geldiğinde bu paketin nasıl kullanılacağını da incelerler. Fıltreleme ağdaki veya ana makinadaki bağlantıları bloke etmek için kullanılan çeşitli metotlardan birisidir ve belirli portlar için bu portlardan yapılacak veri iletişimini bloke eder. Bir ağ, güvenilmez olarak tanımladığı ana makina veya ağlardan (belirli adreslerden) bağlantı yapılmasını engellemek isteyebilir ya da dışarıdan gelen tüm trafiği (e-mail, smtp gibi malum istisnalar dışında) bloke etmek isteyebilir.
IP adres filtresine, tcp ve udp port filtresi ekleyerek sistem daha esnek hale getirilebilir. Eğer bir fırewall tcp veya udp portlarının bağlantısını bloke edebiliyorsa belli makinalar için yapılan belirli bağlantı tiplerini de yönlendirebilir. Örneğin bir ağ, firewall'a bağlı olanların dışındaki makinalara giren bütün bağlantıları engelleyebilir. Ya da bir sistem için telnet veya ftp bağlantıları serbest iken bir diğeri için sadece smtp bağlantısı açık olabilir. Tcp veya udp portlarının süzülmesi yolu ile bu tür seçimlerin uygulanması, paket filtreleme kapasitesine sahip host yoluyla veya paket filtreleme yönlendiricisi tarafından yapılır.
Bununla birlikte paket filtreleme metodu herhangi bir veri içeriği kontrolu yapmadığından birtakım dezavantajlara da sahiptir. Ayrıca portların veri transferi aşamasındaki yönlendirilmeleri ve yönetimleri ile de ilgili bazı problemler olduğu bilinmektedir.
PROXY SERVER ( bazan uygulama geçidi - applıcatıon gateway olarak da adlandırılır)
Proxy servisi, internet üzerindeki yerel bir ağ (ya da internete bağlı bir bilgisayar) ile dış dünya arasındaki ilişkiyi sağlayan bir yardımcı geçit (gateway) sistemidir. Proxy'ler sık sık yönlendirici (router) makinaların yerine, benzeri bir işlev ile ağlar arası trafiği kontrol etmek amacıyla kullanılır. Aynı zamanda bir çok proxy server, kullanıcı erişimleri için denetleme ve destek de sağlar. Proxy server'lar kullanılan uygulama protokollerine hakim olmaları nedeniyle bazı özel güvenlik protokollerini de uygulayabilirler. Örneğin bir ftp proxy server'ı, ftp protokolü üstünden giriş yada çıkışları denetleyecek ve bloke edecek şekilde konfigüre edilebilir.
Proxy server özel bir uygulamadır. Proxy yoluyla yeni bir protokolu desteklemek için, o protokole özel bir proxy yapısı geliştirilmelidir. (Soketler, bir fırewall gibi çalışması için, istemci tarafındaki uygulamalar için oluşturulmuş proxy sistemleridir. Avantajı kullanım kolaylığıdır. Ama proxy'ler gibi erişim kontrolüne ve özel protokol kullanma olanağına sahip değildir.)
Bir proxy servisi (sunucusu) sizin adınıza (proxy'nin kelime anlamı vekil'dir) sizden aldığı "internet'ten bilgi alma" isteklerini yürütür ve sonucu yine size iletir. Ancak aynı anda, bu bilgilerin bir kopyası da (cache), bu proxy sunucusu üzerinde tutulur ve bir dahaki erişimde kullanıcının istediği bilgiler doğrudan ilgili siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim daha hızlı olur. Internet'e erişim için mutlaka bir proxy servisine ihtiyaç yoktur, ancak size en yakın bir servis noktasındaki proxy servisini kullanmanız, internet erişiminizi bir hayli hızlandıracaktır.
FIREWALL ÖRNEKLERİ
Paket filtreleme yapan Firewall türü - Packet Filtering Firewall.
Çift taraflı Geçit tipindeki Firewall türü - Dual-homed gateway firewall.
Perdelenmiş kullanıcı tipindeki Firewall türü - Screened host firewall.
Perdelenmiş alt ağ tipindeki Firewall - Screened subnet firewall.
Ek olarak fırewall ile modem erişiminde bağlantıları entegre etmek için kullanılan metotları da ayrı bir bölümde değerlendirebiliriz
1- Packet Fıltering Firewall:
Packet Fılterıng, küçük ve basit siteler ve ağlar için en yaygın ve en kolay metottur. Ancak bir çok dezavantajlarından dolayı diğer fırewall türlerine göre pek tercih edilmez. Basit olarak, bir ınternet ağ geçidinde (gateway), packet fılterıng yönlendiricisi (router) kurulur ve sonra , protokollar ve adresleri engellemek veya süzmek için yönlendiricide gerekli ayarlar yapılır. İnternetten sisteme erişim engellenilirken, sistemden ınternete erişim genellikle serbest bırakılır. Bununla beraber yönlendirici (router) güvenlik planına bağlı olarak sistemler ve servislere kısıtlı erişimlere izin verebilir. nıs nfs ve x-wındows gibi tehlikeli olabilecek servisler için genellikle erişim ve trafik bloke edilir.
Packet Filterıng Firewall için de yönlendiricilerdeki dezavantajlar geçerlidir. Yerel ve korunması gereken ağların güvenlik ihtiyaçları daha karmaşık olduğundan sorun daha da büyüktür. Bu sorunlar:
Erişim denetleme yetenekleri sınırlıdır. Ağ yöneticisi saldırıyı anında fark edemez.
Packet fılterıng kuralları, bilinmeyen türden saldırılara karşı ağı test edebilme yeteneğine sahip değildir.
Eğer karmaşık filtre kuralları ve düzenlemeleri istenirse sistemin idaresi zor olabilir.
2- Çift Taraflı Geçit (Dual-Homed Gateway):
Bu tür, "paket fıltrelemeli firewall"a karşı iyi bir alternatifdir. İki network ara birimi ile IP iletişimi engellenen bir terminalden oluşur. Burada terminal artık veri paketlerini direkt olarak iki ağ arasında iletemez. Ayrıca bu sistemde packet fılterıng yönlendiricisi internet bağlantısı üzerine, ek bir koruma sağlamak için yerleştirilebilir. Bu yönlendirici sayesinde bilgi sunucusu (information server) ve modem gibi sistemleri tanımlamak için kullanılabilen dahili ve perdelenmiş bir alt ağ yaratılır. "Paket filtrelemeli fırewall"dan farklı olarak, "çift taraflı geçit" mekanizması, internet ile ağ arasında IP trafiğini tamamen bloke eder (proxy tarafından kullanılan servisler hariç tabii). Servisler ve sistemlere erişim, bu geçitteki (gateway'deki) proxy sunucusu tarafından sağlanır. Basit ve emniyetli bir firewall türüdür.
Alt ağ (subnet) sadece firewall tarafından bilinir ve algılanır. İnternet üzerinde bu ağa ait bir bilgi bulunmaz.
Bu sayede ağ içindeki isimler ve ıp adresleri internet sistemlerinden saklanır. Çünkü fırewall DNS bilgisini geçirmez.
"Çift taraflı geçit" sisteminin kurulumunda telnet, ftp, ve merkezi e-maıl servisi için bir proxy server düzenlenmelidir. Bu sistemde ek olarak fırewall davetsiz misafirlerin faaliyetini ve sisteme erişim çabalarını izleyebilir.
"Çift taraflı geçit" tipindeki fırewall, ağa gelen ve giden veriler ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi sunucusu, geçit-gateway ile yönlendirici-router arasında alt ağa yerleştirilir. Ağ geçidinin (gateway) bilgi sunucusu için uygun proxy servisleri sağladığını farzedersek (ftp , gopher veya http gibi) yönlendirici (router), fırewall'a doğrudan erişimi önleyebilir ve erişimleri fırewall’un denetlemesine tabi tutar. Bilgi sunucusunun bu şekilde yerleştirilmesi, davetsiz misafirlerin bilgi sunucusuna erişimine imkan vermediğinden ve çift taraflı geçit mekanizması ile de ağ sistemlerine ulaşımın engellenmesinden dolayı daha emniyetli bir metottur.
Çift taraflı geçidin esnek olmayan yapısı bazı ağlarda dezavantaj olabilir. Proxy haricinde bütün servisler bloke edildiği için var olan diğer servislere erişim imkanı olmaz. Erişilmesi gereken servisler için bu servisleri veya sistemleri geçidin internet tarafına yerleştirmek gerekir. Ancak ayrı bir yönlendirici, geçit ile asıl yönlendirici arasında bir alt ağ oluşturacak şekilde kurulabilir ve ekstra hizmetler gerektiren sistemler burada devreye sokulabilir.
Diğer önemli bir nokta firewall'un güvenli bir makina ve işletim sistemi üzerine kurulması gerekliliğidir. Ana sistemdeki açıklar firewall için boşa harcanan para demektir.
3- Perdelenmiş Kullanıcı Tipindeki Firewall - Screened Host Firewall:
"Çift taraflı geçit" tipindeki fırewall'dan daha esnektir. Ancak her zamanki gibi esneklik, güvenlik adına verilen bazı bedeller ile sağlanmıştır.
"Perdelemeli fırewall", yönlendiricinin korunmalı durumdaki alt ağ tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara birimine ihtiyaç duyar . Uygulama geçitlerinin proxy servisleri ağ sistemindeki bazı proxyler için telnet ftp ve diğer veri paketlerini geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama geçidi ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi gereken protokollerdir ve uygulama trafiğini aşağıdaki şekilde yönlendirirler:
Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen trafik kabul edilir,
İnternet ağlarından gelen diğer tüm trafik geri çevrilir.
Uygulama geçidinden gelmedikçe, yönlendirici içeriden gelen herhangi bir uygulama trafiğini reddeder.
"Çift taraflı geçit" türü fırewall'dan farklı olarak, bu sistemdeki uygulama geçidi sadece bir network ara birimine ihtiyaç duyar ve uygulama geçidi ile yönlendirici arasında ayrı bir alt ağ (subnet) gerektirmez. Bu durum daha esnek ama daha emniyetsiz bir yapıdır. Örneğin ntp gibi daha az tehlikeli servisler, ağ sistemlerine yönlendiricinin içinden geçiş izni verebilirler. Eğer alt ağ sistemleri internet sistemlerine dns erişimi gerektirirse dns protokolü bu alt ağa erişimi mümkün kılabilir.
4-Perdelenmiş Alt Ağ tipi Fırewall - Screened Subnet Firewall:
Perdelenmiş alt ağ tipi fırewall , "çift taraflı geçit" ile "perdelenmiş host tipi fırewall"un birleşimidir.
5- Firewall ile modemin entegrasyonu:
Bir çok ağda, ağdaki modemlere telefon hattından erişim mümkündür. Bu, potansiyel bir backdoor açığıdır ve firewall ile kurulan korumayı tamamen etkisiz duruma getirir. Böyle durumları önlemenin yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde toparlamaktır. Ana modem girişi düzenlemesi, modemlerin ağa bağlantısını sağlamak amacıyla yapılmış bir terminal sunucu üzerinden gerçekleştirilebilir.
Modem kullanıcıları önce terminal sunucusuna bağlanır, oradan da diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de sağlarlar. Bir diğer alternatif de, terminal sunucusuı, modemlerin bağlandığı bir ana makine da olabilir.
Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu fırewall'un dışında oluşturmak, modemle yapılacak bağlantılar firewall içinden geçeceğinden emniyetli bir yöntemdir.
Ayrıca uygulama geçidinin gelişmiş erişim denetleme yeteneği, internetten olduğu gibi modemden bağlanan kullanıcıların erişim yetkilerini doğrulamakta kullanılabilir. Paket filtreleme yönlendiricisi de dahili sisteme ana modem sunucusundan yapılacak bağlantıları önlemek için kullanılabilir .
Sistemin dezavantajı ise, modem sunucusunun internete doğrudan bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara yapılacak bu tür bağlantıları engellenebilmelidir.