|
||
Ağ Güvenlik Duvarı Çözümü Oluştururken
Dikkat Edilmesi Gereken Hususlar Ağ güvenlik duvarı (network firewall), kurumun ağı ile dış ağlararasında bir geçit olarak görev yapan ve internet bağlantısında kurumunkarşılaşabileceği sorunları çözmek üzere tasarlanan çözümlerdir. Buçözümler yazılım veya donanımla yazılımın entegrasyonu şeklindeolabilir. Güvenlik duvarı çözümü açık sistemler üzerinde bedavadağıtılan modüllerle sağlanabileceği gibi, fiyatları sunduklarıservislerle orantılı olarak artan ticari ürünlerle de sağlanabilir. Bubildiride bu tür çözümlerin tanımları yapılmış ve güvenlik duvarıçözümü seçerken dikkat edilmesi gerekenler belirtilmiştir. SORUNLAR Internet bağlantısında bir kurumun karşılaşabileceği sorunlar aşağıdaki gibidir [1]: • Dış dünyadan kurum ağına (içeriye) yapılacak saldırılar. • Internette dolaşırken kullanıcı bilgisayarına, bilgisayardan da sisteme virüs bulaşması. • İmesh, edonkey, overnet gibi programlarla dosya paylaşımınınyapılması ve bandgenişliğinin (internet veriyolu kapasitesinin) maksadıdışında kullanılması. • Internette özellikle vakit kaybettirici bazı sitelere ulaşımınkurum içerisinde, kurum zamanında (mesai saatlerinde) yapılması. • İçeriden yetkisiz kişilerin dışarıya bilgi göndermesi. • Yetkisiz kullanıcıların Internette gezinmesi. GÜVENLİK DUVARI ve BİLEŞENLERİ Güvenlik duvarı, bir sistemin özel bölümlerini halka açık (public)bölümlerden ayıran, kullanıcıların ancak kendilerine tanınan haklardüzeyinde sistemden yararlanmasını sağlayan çözümlerdir. Güvenlikduvarı belirli bir makinayı denetlemek için o makina üzerine(host-based) kurulabileceği gibi, bir bilgisayar ağını denetlemek içinde kurulabilir. Bu bildiride ağ güvenliğini sağlamak üzere kullanılanağ güvenlik duvarı çözümleri üzerinde durulmuştur. Ağ güvenlik duvarı, içeride birbirlerine güvenen, az korumalımakinaların olduğu bir kurum ağı ile dış ağlar (Internet) arasınayerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarıtarafından sağlanır. Güvenlik duvarları salt dış saldırılara karşısistemi korumakla kalmaz, performans arttırıcı ve izin politikasıuygulayıcı amaçlar için de kullanılırlar. Yukarıda belirtilen sorunlarıçözmek için bir antivirüs sunucusu veya web adresi denetleyicisisunucusu ile ortak olarak çalışabilirler. Ağ güvenlik duvarı, yazılımveya donanımla yazılımın entegre olduğu çözümler şeklinde olabilir. Bir güvenlik duvarı çözümünde verilebilecek servislere örnek olarak aşağıdakiler sayılabilir: • NAT (Network Address Translation): İç ağda internete çıkamayacaközel ip şemaları (10.0.0.0/8, 192.168.0.0/16 vb) tanımlanır ve dışbağlantılarda NAT sunucusunun reel ip’si kullanılarak iç ağ konusundasaldırganın bilgi sağlaması engellenir. Güvenlik için artıları olmaklaberaber, NAT çoğunlukla adres yönetimi için kullanılmaktadır. • Paket Filtreleme: En basit güvenlik duvarıdır. Router, modemgibi cihazlarla birlikte gelir. Erişim listelerinin (access list)kullandıkları yöntemdir. Bu yöntemle güvenlik duvarından geçen herüçüncü seviye (IP, IPX ..vb) paketine bakılır ve ancak belli şartlarauyarsa bu paketin geçişine izin verilir. Paket filtreleme, güvenlikduvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı(dışarıya çıkış, içeriye giriş) olarak uygulanabilir. Uygulamalarınbağlantı için kullandıkları portlar (icq, imesh ..vb portları) bazalınarak hangi ağların veya kişilerin ne zaman bu uygulamalarlabağlantı kurabileceği belirlenebilir. Paket filtrelemede birim zamandatek bir pakete bakıldığı ve önceki paketler hakkında bir bilgiye sahipolunmadığı için bu yöntemin çeşitli zayıflıkları bulunmaktadır [2]. • Dinamik (Stateful) Filtreleme: Paket filtrelemeden farkı,paketin sırf protokolüne bakarak karar verilmesi yerine, güvenlikduvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi veçift yönlü paket geçişlerine buna göre karar vermesidir. Her bağlantıiçin durum bilgisi tablolarda tutulduğu için paket filtrelemedekizayıflıklar bulunmamaktadır. Dezavantajı ise dinamik filtrelemenin çokdaha fazla işlemci gücüne ve belleğe ihtiyaç duymasıdır. Özelliklebağlantı(connection) sayısı arttıkça işlem ihtiyacı da artacaktır[2].Paket filtreleme yerine dinamik filtreleme tercih edilmelidir. • DMZ (Silahtan Arındırılmış Bölge): Dış dünyaya hizmet vereceksunucular buraya yerleştirilmektedir. Özellikle iç ağda NAT uygulamasıyapılıyorsa dış dünyaya hizmet veren cihazlar reel ip’lerle buradakonumlandırılacaklardır. • Proxy: Proxy bir bağlantı uygulamasında araya giren vebağlantıyı istemci (client) için kendisi gerçekleştiren bir servistir.Proxy’nin kullanımı, uygulama temelli (application-level) güvenlikduvarı olarak da adlandırılabilir. Bu tür bir uygulama aynı zamanda şuamaçlar için kullanılabilir: o Kimlerin bu servisleri kullanacağını belirlemek o Performans amaçlı olarak özellikle aynı isteklerin bir defayaindirgeyerek bağlantı sayısını azaltmak ve bandgenişliğinin daha etkinkullanılmasını sağlamak. • Anti-Virus çözümleri: HTTP, FTP ve SMTP trafiğini üzerindengeçirerek virüs taramasını yapmayı ve kullanıcıya gelmeden öncevirüslerden temizlemeyi hedefleyen sistemlerdir. • İçerik Filtreleme (content filtering): Çeşitli yazılımlarlaulaşılmak istenen web sayfalarını, gelen e-posta’ları filtrelemeyeyarayan sistemlerdir. • VPN: Ortak kullanıma açık veri ağları (public data network)üzerinden kurum ağına bağlantıların daha güvenilir olması için VPNkullanılmaktadır. İletilen bilgilerin şifrelenerek gönderilmesi esasolarak alınır. Public/Private anahtar kullanımı ile sağlanır. • Saldırı Tespiti (ID): Şüpheli olayları ve saldırıları tespitetmeyi hedefleyen bir servistir. Saldırı tespit sistemleri(IDS),şüpheli durumlarda e-posta veya çağrı cihazı gibi yöntemlerle sistemyöneticisini haberdar edebilmektedir. • Loglama ve Raporlama: Kayıtlama (log) ve etkinlik raporlarıbirçok güvenlik duvarı tarafından sağlanmaktadır. Bu kayıtlar çokdetaylı ve çok fazla veri içerebilmektedir. Bazı güvenlik duvarları bulogların incelenmesini kolaylaştırmak için çeşitli analiz ve raporlamaservisleri sunmaktadır. Kayıtlar sistemlerin zayıflıklarının vesaldırıların belirlenmesinde işe yaramaktadır. İHTİYAÇLARIN BELİRLENMESİ (ANALİZ) Bir ağ için güvenlik duvarı çözümüne gidilirken ihtiyaçlarbelirlenmeli ve ağdaki hangi alanların daha çok güvenliğininsağlanılması gerektiği tespit edilmelidir. Ağ yöneticisi güvenlikduvarını seçmeden önce iç ağında bulunan (alt) ağları listelemeli,güvenlik matriksi (security matrix) oluşturarak hangi ağların hangiağlara ve sunuculara ulaşacağını ve ne tür haklar tanınacağınıbelirlemelidir. Buna göre bir alt ağı güvenlik duvarının bir bacağına(ağ arabirimine) alıp almamaya da karar verilebilmektedir. MRTG veSaldırı Tespit Sistemleri (IDS) gibi çözümlerle ağ takip edilmeli veağın belirli noktalarından geçen tafik, trafiğin cinsi ve bağlantısayısı ölçülmelidir. Kurum böylece ağdaki veri akışı hakkında bilgiedinebilecektir. Analiz süreci tabii ki burada özetlendiği kadar basitdeğildir. Her türlü verinin analitik methodlarla incelenmesi veirdelenmesi gerekmektedir. Mümkünse profesyonel bir destektenyararlanılmalıdır. YAZILIM VE DONANIM ÇÖZÜMLERİ Güvenlik duvarı çözümü yazılım veya donanımla yazılımın entegreolduğu sistemler şeklinde olabilmektedir. Bu tür çözümlerin birbirineçeşitli artıları ve eksileri bulunmaktadır. İşletim Sistemi Üzerinde Çalışan Çözümler: İşletim sistemi üzerinde çalışan çözümlerin artıları aşağıdaki gibidir: • Çok detaylı raporlamalar alınabilir. • İnce detaylara kadar kullanıcıları ayrıştırmak ve takip etmek mümkündür.. kolay gelsin.. |
||