GÜVENLİK DUVARLARI (FIREWALLS)

GÜVENLİK DUVARLARI

(FIREWALLS)

GİRİŞ

            Günümüzde             artık hemen hemen herkes bir şekilde bilgisayar kullanmaktadır. İster evde ister işyerinde olsun, bilgisayarlar artık hayatımızın ayrılmaz bir parçası olmuş durumdadır. Küçük ya da büyük tüm organizasyonlarda, her çalışanının önünde bir bilgisayar görmek mümkündür. İşe yeni bir personel alındığında, eğer yoksa ilk isteyeceği şeyin bilgisayar olacağı konusunda herkes hemfikir olacaktır.

            Yeni personele bilgisayar verildi. Daha sonra ne talep edeceğini tahmin etmek hiç de zor olmayacaktır:’İnternet’. Çünkü internet bağlantısı olmayan bir bilgisayar artık hemen hemen yok gibidir. İnternet bağlantısı da artık ister özel hayatımızda ister işimizle ilgili olsun vazgeçilmez bir ihtiyaç haline gelmiştir. Bunun nedenlerini uzun uzadıya tartışmak bile gereksizdir.

            Tabii ki bu iki temel ihtiyaç beraberinde yeni sorunları da getirmiştir : ‘Güvenlik’. Özellikle kurumsal bazda düşünecek olursak, işletmenin performansının veya verimliliğinin devamı, sistemin kesintisiz ve sorunsuz çalışması bakımından, örgüt içerisinde kullanılan bilgisayar sistemlerinin özellikle internet üzerinden gelebilecek güvenlik saldırılarına karşı gerekli korumanın sağlanması hayati öneme sahiptir.

            Gerekli güvenliğin sağlanması için, örgüt içinde kullanılan özel ağın içerisindeki her bir sistemi tek tek güvenlik araçlarıyla donatmak çok ta makul bir çözüm olmayacaktır.

            Bunun yerine, sıklıkla başvurulan ‘Firewall – Güvenlik duvarı’ bilgisayar ve ağ güvenliği için belirlenmiş strateji ve politikaların önemli bir bileşenidir. Başka bir ifade ile güvenlik duvarlarının bir bilgisayar ağının veya tek bir sistemin komple güvenliğini sağlaması mümkün değildir. Ancak önemli katkılar sağlar.

           

            Güvenlik duvarı örgüte ait özel ağ ile internet arasında tesis edilir. İki taraf arasında kontrollü bir bağlantı sağlamak en temel görevidir. Bu maksatla, güvenli bağlantı için tüm trafik güvenlik duvarından mutlaka geçmelidir.

 

Güvenlik duvarı, ağın güvenliğini sağlamak için, en genel anlamda aşağıda belirtilen işlevleri yerine getirir.

• Özel ağdan dışarıya (internete) yapılan yetkisiz erişimleri ve dışarıdan içeriye gelebilecek zararlı hizmetleri engeller veya kısıtlar.
• Güvenlik ile olayları izler.
• Doğrudan güvenlikle ilgili olmayan bazı internet hizmetleri için platform görevi yapar. (NAT)
• Ayrıca, VPN uygulama amacıyla, IPSEC için bir platform olarak işlev görebilir.

Tüm bu görevleri yerine getirirken, tabii ki söz konusu güvenlik saldırılarına karşı güvenlik duvarının kendisi de bağışık olmalıdır.

Güvenlik duvarından bekleyebileceğimiz işlevler karşısında beklemememiz gerekenler de vardır.

• Güvenlik duvarları kendisine uğramayan (bypass eden) bağlantılara herhangi bir işlem yapamaz.
• Yine örgüt içerisinden kötü niyetli bir kullanıcının yapabileceği güvenlik ihlalleri karşısında güvenlik duvarının herhangi bir koruması olamaz.
• Ayrıca güvenlik duvarı virüs koruması yapamaz. İleride biraz daha ayrıntılı anlatılacağı üzere, kendisinden beklenen temel görevlere ilaveten virüs koruması ağır bir sorumluluk olacaktır.

Üç çeşit güvenlik duvarı bulunmaktadır.

• Paket filtreler
• Uygulama düzeyli geçityolu (Application Level Gateway)
• Devre düzeyli geçit yolu (Circuit Level Gateway)

PAKET FİLTRELEYEN YÖNLENDİRİCİ

Bu tip bir yönlendiricide çıkan ve giren tüm IP paketleri incelenerek, bu paketler üzerinde belirlenmiş birtakım kurallar uygulanır. Bu kurallara uymayan paketler engellenir diğerlerinin geçişine izin verilir. Söz konusu kurallar seti ilgili Paker içerisinde bulunan kaynak IP adresi, hedef IP adresi, port numaraları, taşıma protokolü gibi bilgilere dayanılarak belirlenir. Bu tip güvenlik duvarının en önemli avantajı basit, hızlı ve şeffaf olmasıdır.

İlgili paketin IP veya TCP başlığındaki alanlarda bulunan bilgiler ile söz konusu kurallar setinden  biri veya birkaçı arasında bir uyum tespit edildiğinde bu kuralın belirttiği işlem yerine getirilir : engelle veya izin ver. Herhangi bir uyum yok ise varsayılan işlem yerine getirilir. Bunun için iki temel yöntem

·         Engelle: özellikle izin belirtilmemişse engelle,

·         İzin ver: özellikle yasaklanmamışsa izin ver.

Tabloda söz konusu kurallar setine ilişkin birkaç örnek gösterilmiştir. Varsayılan işlem olarak engelle politikası tercih edilmiştir.

A. Sadece geçit yolu için 25 nolu port üzerinden e-posta alımına izin verilmiştir.

B. Varsayılan politikanın açıkça ifadesidir. Tüm kural setleri bu kuralı son kural olarak içerir.

C. İçerideki herhangi bir host dışarıya posta gönderebilir. Bu kuralla ilgili  bir problem, dışarıdaki makine SMTP dışındaki herhangi başka bir uygulamayı 25 nolu port için konfigüre etmiş olabilir.

D. C’deki eksikliği gidermek için ACK bayrağının varlığını gelen cevaplar için kontrol eder.

E. Bu kural FTP bağlantılar için yapılmıştır. FTP için iki bağlantı kullanılmaktadır : dosya transferini düzenlemek için bir kontrol bağlantısı, diğeri dosya transferi için veri bağlantısıdır. veri bağlantısı için içerideki host ayrı bir port numarası (>1023), dışarıdaki SMTP server  ayrı bir port numarası (<1023) kullanır. bu kural bu port numaralarının özelliklerini dikkate alarak paketleri inceler ve uygun port numaralarını ihtiva eden paketlerin geçişine izin verir.

Paket Filtrelerin Zafiyetleri :

·         Paket filtreler gelen paketin IP başlığı dışında üst seviyede inceleme yapmaz. Dolayısıyla uygulama programlarına dayalı saldırılara karşı koruma sağlamaz.

·        Bir paket filtre güvenlik duvarı normalde erişim kontrol kararında kullanılan bilgilerin (kaynak/hedef adresi,  trafik türü) kaydını tutar.

·         Karar verirken tutulan değişken sayısı az olduğundan yapılan konfigürasyonlar bazı durumlarda zafiyet yaratabilir.

Söz konusu zafiyetler aşağıda belirtilen güvenlik saldırıları için imkan sağlar :

IP Spoofing : Saldırgan içerideki bir hotsun adresini kaynak adresi olarak kullanarak dışarıdan paketler gönderir. Saldırganın amacı içerideki güvenilir hostlardan biriymiş gibi davranarak güvenlik duvarını aşmaktır. Alınacak tedbir bu tür adresler içeren paketleri engellemektir.

Kaynak yönlendirmeli saldırılar : Kaynak tarafından, gönderilecek paketin internet üzerinde takip edeceği yol özellikle belirtilir. Beklenti yön bilgisi analizi yapan güvenlik tedbirlerini aşabilmektir. Çözüm bu tür paketlerin geçişini engellemektir.

Küçük  parça saldırıları : Saldırgan göndereceği paketleri oldukça küçük parçalara böler ve öyle gönderir. Böylece TCP başlık bilgisine bakan filtreleme kurallarını başarı ile geçmek hedeflenir. Genel olarak bir paket filtre, filtreleme kararını verirken gelen paketin ilk parçasını kontrol eder, eğer bu ilk parça reddelirse diğer alt parçalar da reddedilir. Saldırganın beklentisi TCP başlık bilgisi parçalara ayrılmış paketin ilk parçasının incelenmesi esnasında bu durumun fark edilmemesidir. Paket filtre, gelen parçaların devam etmekte olan bir trafiğin parçasıymış gibi geçişine izin verir. Çözüm filtreye, TCP başlığı için belirlenecek minimum büyüklüğü kontrol eden bir kural koymaktır.

Dinamik Paket Filtreler

Paket filtreleme yapan basit bir güvenlik duvarı, filtreleme kararlarını her bir pakete tek tek bakarak verir ; içerikle ilgili herhangi bir üsst düzey inceleme yapmaz. Dinamik paket filtreler ise bu eksikliği gidererek TCP port numaralarına göre trafiği inceler. Bunu yaparken dışarıya yapılmış TCP bağlantılarının tablo şeklinde kaydını tutar. Buradaki bilgilere bakarak, gelen paletlerin bu TCP bağlantılarından birine ait olup olmadığını kontrol eder. Buradaki bilgilere uyan paketlerin geçişine izin verir.

UYGULAMA DÜZEYLİ GEÇİT YOLU (PROXY)

           

            Bir Proxy server, uygulama seviyesi trafikte aracılık görevini yerine getirir. Bazı hizmetlere erişmek isteyen kullanıcılar bu geçit yolu ile irtibata geçer, istediği hizmete  ilişkin detayları verir. Eğer kullanıcı, geçerli bir kullanıcı kimliği ve doğrulama bilgisi verirse, geçit yolu onun adına dışarıdaki hostta bulunan uygulama ile irtibata geçer ve gelen cevabı kullanıcıya aktarır.

Buradaki en önemli sorun bazı hizmetlerin bu vekil işlevini  destekleyip desteleyemediği olabilir. Paket filtrelerden daha güvenli bir güvenlik duvarı tipi olup uygulama seviyesinde trafiği denetler ve kaydeder. Ayrıca vekil server belirli bir uygulama programının tamamı için değil de, sadece bazı özelliklerine göre de inceleme yapabilir.

             En önemli dezavantajı, her iki yöndeki her bir trafik için yapılacak kontrollerin ve aracılığın işlemci yükünü artırmasıdır.

DEVRE DÜZEYLİ GEÇİT YOLU

            Bu tip bir güvenlik duvarı, biri kendisi ile içerideki bir TCP kullanıcı arasında, diğeri de kendisi ile dışarıdaki TCP arasında olmak üzere, iki TCP bağlantısı arasında aktarım yapar. İki kullanıcı arasında TCP bağlantısı kurulduktan sonra, gelen paketler içeriğine bakılmaksızın, birinden diğerine aktarılır. Buradaki güvenlik işlevi, hangi TCP bağlantılarına izin verileceğinin belirlenmesidir.

En tipik uygulaması, içerideki kullanıcılara karşı güvenin olduğu durumlardır. Güvenlik duvarı, gelen trafik için uygulama düzeyinde inceleme yapacak (Proxy), giden trafik için iç kullanıcılara güven duyulduğundan sadece devre düzeyli bağlantı sağlayacak şekilde konfigüre edilebilir.

            Soket fonksiyonları sıklıkla kullanılan devre düzeyli geçityolu uygulamasına örnek gösterilebilir.

            UDP paketlerinin iletilmesi biraz sorunlu olabilir  ; çünkü, bağlantısız bir iletim şeklini destekler. Bu nedenle, ilave olarak paralel bir TCP bağlantısı bu eksikliği tamamlar.

BASTION HOST

            Ağ güvenliği içinde kritik pozisyonda güçlü bir platform olarak tanımlanabilir. Bu platform üzerinde genellikle uygulama düzeyli veya devre düzeyli bir geçit yolu hizmet verir. Başlıca özellikleri şunlardır :

• Üzerinde güçlü bir işletim sistemi bulunur ki bu onu güvenilir bir sistem yapar.
• Üzerinde sadece önemli olarak görülen servisler çalıştırılır. Bunlar, telnet, DNS, FTP, SMTP ve kullanıcı doğrulama gibi Proxy hizmetleri olabilir.
• Her bir Proxy server kendisi için ayrı bir kullanıcı doğrulaması yapar.
• Her bir Proxy, belirli host sistemlere izin verecek şekilde ayarlanır.
• Her bir Proxy verdiği hizmete ait trafiğin kaydını tutar.
• Her bir Proxy bağımsız ayrı birer modül gibi işlev görür.

GÜVENLİK DUVARI KONFİGÜRASYONLARI

Tek bir sisteme dayalı basit bir konfigürasyona ilave olarak daha karmaşık konfigürasyonlar mümkün olup genelde bu tür karmaşık yapılar tercih edilir.

1- Screened Host Firewall, Single Homed Bastion Konfigürasyonu :

            Bu konfigürasyon iki sisteme dayanır : Bir paket filtreleyen router ve bir bastion host.

Paket filtreleyen router, kaynak adresi (giden trafik için) bastion host olan veya gelen trafik için hedef adresi bastion host olan paketlerin geçişine izin verir. Bastion host ise Proxy ve doğrulama işlevlerini yerine getirir.

            Bu konfigürasyon saldırganı iki ayrı sistemden de geçmesini zorunlu kılar. Ayrıca dışarıya dönük (web server gibi) uygulamalara doğrudan internet üzerinden erişim için esnek yapılandırmalara izin verir. Ancak, paket filtreleyen yönlendirici bir nedenle devreden çıkar ise içeriye internet üzerinden doğrudan erişim imkanı ortaya çıktığından güvenlik ihlali olasılığı artar.

2- Screened Host Firewall, Dual Homed Bastion Konfigürasyonu :

            Söz konusu riski ortadan kaldırmak amacıyla bu konfigürasyonda iç ve dış ağ fiziksel olarak ta birbirinden ayrılmıştır.

3- Screened Subnet Firewall :

            Üç tip konfigürasyondan en güvenli olanıdır. Bu konfigürasonda, iki paket filtreleyen yönlendirici bulunur : Birisi bastion host ve internet arasında, diğeri bastion host ile iç ağ arasındadır. Ekranlanmış alt ağda bulunan bilgisayarlara internet ve iç ağ üzerinden erişim mümkün olmakla beraber, ekranlanmış ağdan internete doğrudan erişim engellenmiştir.

KAYNAKLAR:

Stallings, W., “Cryptography and Network Security, 4th ed.”, Upper Saddle River, NJ:Pearson Prentice Hall, 2006.

Çölkesen, R., Örencik, B.,  “Bilgisayar Haberleşmesi ve Ağ Teknolojileri”, 5 nci basım, Papatya Yayıncılık Eğitim A.Ş., İstanbul, 2008.