Hakkında Künye

Güvenlik Duvarı ve Vekil Sunucu Ayarları I

Merhabalar,

Bu sayımızda seri olarak yayınlamayı düşündüğümüz "Güvenlik Duvarları ve Vekil Sunucu - NASIL?" yazı dizisinin ilk bölümüyle karşınızdayız. Bu yazıda kısaca güvenlik duvarı nedir, niye ihtiyacımız vardır, vekil sunucu nedir, bulunduğumuz kuruma ve konuma göre bunlardan hangilerine ihtiyacımız vardır, gibi sorulara biraz sistem yöneticisi gözünden bakmaya çalışacağız.

Güvenlik Duvarı (ateş duvarı diye de geçmektedir bazı kaynaklarda) birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere internet trafiğini kontrol altında tutan yapıdır. IP filtreleme, Port Filtreleme, Web Fitreleme, içerik filtreleme, filtreleme çeşitlerinden birkaçıdır.

Normal anlamda firewall(ateş duvarı) ingilizce anlamıyla herhangi bir yangının, ateşin ilerlemesini, yayılmasını engelleyen yapılardır. Internet güvenlik duvarları da sizi internet cehenneminin ateşinden koruyup, size özel yerel ağınızın güvenli kalmasını sağlar. İlk kullanılan bilgisayar güvenlik duvarı; routing yapamayan bir UNIX makinasıydı. Bilgisayarın üzerindeki bir ethernet kartı internete bağlı, diğer ethernet kartı ise yerel ağa bağlı bulunmaktaydı. Yerel kullanıcıların internete erişmek için firewall(Unix) makinaya giriş yapmaları gerekiyordu, daha sonra sunucu makinanın kaynaklarını kullanarak internet imkanlarına erişiyorlardı.

Güvenlik duvarı

Güvenlik duvarlarının ne olduğunu bilmeliyiz ki niye kullanmamız gerektiğini de anlayabilelim. Güvenlik duvarlarının temelde iki amacı vardır. zarar verebilecekleri (internet solucanları/ cracker'lar) dışarıda tutmak, zararı olmayanları (çalışanlar/çocuklar) içeri alabilmek. Bunu sağlayabilmek için ihtiyacımız olan tek şeyin güvenlik duvarı olduğunu düşünmemeliyiz. Öncelikle politikaları/kuralları belirlemeliyiz.

Nasıl Güvenlik Duvarı Politikası Hazırlayabiliriz?

Uzmanların dediklerine göre aslında güvenlik duvarı politikası hazırlamak o kadar da zor değildir. Eğer bir şirkette ya da kurumda çalışıyorsanız dikkat etmeniz gereken noktalar başlıca şunlardır:

  1. İhtiyacınız olan hizmeti tanımlayın
  2. Hizmet yapacağınız insan grubunu tanımlayın
  3. Her grubun kullanımına açık olması gereken servisleri tanımlayın
  4. Her hizmet grubu için verilecek hizmetlerin nasıl güvenli kılınacağını tanımlayın
  5. Geriye kalan her türlü ulaşımın ihlal sayılabileceği ifadeler oluşturun.

Zamanla hazırladığınız kurallar daha da karmaşıklaşıcaktır; ama şimdilik çok fazla bilgiyi kapsayacak kurallar yapmaktan kaçının. Kolay ve anlaşılır şeyler çıkarın..

Güvenlik Duvarı Çeşitleri:

Temelde iki tip Güvenlik Duvarı vardır:

  1. Filtreleyici Güvenlik Duvarları - kurallara uygun bir şekilde seçilen paketleri engellerler.
  2. Proxy (Vekil) Sunucuları (bazen güvenlik duvarları diye de adlandırılmaktadırlar.) - sizin yerinize ağ bağlantılarını yaparlar.

Paket Filtreleyen Güvenlik Duvarları:

Paket filtreleyenler güvenlik duvarlarından iptables linux çekirdeğine gömülü şekilde gelmektedir. Bu tarz güvenlik duvarları ağ seviyesinde çalışırlar. Giden veri, sadece güvenlik duvarı kurallarına uyduğu takdirde sistemi terkedebilir. Bu güvenlik duvarları gelen paketlerde de paketin başlığını okuyup ona göre geçerli bölümlerdeki bilgilere (tipi, kaynak adresi, ulaşacağı adres, port bilgisi v.s.) yönelik filtreleme yapar. Paket filtreleri, dump, standart, özelleştirilmiş, stateful(duruma bağlı) şekillerinde olurlar.

Bir çok Ağ yönlendiricileri (routerlar) bazı güvenlik duvarı hizmetlerini sağlayabilme özelliğine sahiptirler. Filtreleyici güvenlik duvarları bir çeşit router olarak da düşünülebilir. Bu yüzden eğer bu tarz bir güvenlik duvarıyla çalışmayı düşünüyorsanız IP paket yapısını iyice anlamanız gerekir.

Çok az veri incelenip kayıt altına alındığı için, filtreleyici güvenlik duvarları az CPU harcamakta ve ağınızda saldırılara karşı yeteri kadar bağışıklık yaratamamaktadır.

Filtreleyici güvenlik duvarları parola kontrolleri için destek sağlamazlar. Kullanıcıların sahip olduğu tek kimlik, kullandıkları iş istasyonlarına atanmış olan IP numarasıdır. eğer iş istasyonunda DHCP türü bir bağlantı kullanıyorsanız; bu, başınızı ağrıtacaktır. Bu tarz güvenlik duvarları kullanıcı açısından daha saydamdır; çünkü kullanıcılar ekstradan kural kurulumu yapmaya ihtiyaç duymazlar.

Vekil (Proxy) Sunucuları:

Vekil (Proxy) sunucular iki ayrı bağlantı arasındaki verinin taşınmasını sağlar. Daha çok giden trafiğin göz önünde bulundurulması, kontrol edilmesi için kullanılırlar. Bazı proxyler istenilen verileri önbelleğe atarlar. Bu sayede ağ genişliği ihtiyaçları azaltılmış olur ve bir sonraki kullanıcı için aynı veriye tekrardan ulaşım sağlanır. Aynı zamanda transfer edilen verinin kesin kanıtı da bulunmaktadır böylelikle..
İki çeşit vekil sunucu tipi vardır:

  1. Uygulama Proxyleri - sizin yerinize işinizi yaparlar.
  2. SOCKS Proxyleri - portları çapraz bağlar.

Uygulama Proxyleri:

Buna en uygun örnek önce başka bir bilgisayara telnetle bağlanıp, o bilgisayardan da internete ve dış dünyaya bağlanan insandır. Uygulama vekil sunucusu sayesinde yapılacak işler otomatikleştirilmiştir. Telnet'le dış dünyaya bağlandığınız zaman istemci sizi vekil sunucuya gönderir. Vekil sunucu ondan sonra sizi istediğiniz sunucuya yönlendirir ve veriyi de size döndürür.
Vekil sunucular bütün iletişimi kendileri sağladıkları için yaptıkları (yaptığınız) her şeyi de kayıt altında tutarlar. HTTP(ağ) proxyleri için bu, bağlanmak istediğiniz bütün URL'lerdir. FTP proxyleri içinse bu indirdiğiniz her dosyadır. Bunun dışında ziyaret ettiğiniz sitelerden "uygunsuz" kelimeleri filtreleyebilirler ya da virüsler için tarama yapabilirler. Uygulama vekil sunucusu kullanıcıları doğrulayabilir. Dışarıya bir bağlantı yapılmadan önce; sunucu, kullanıcının giriş yapmasını isteyebilir.

SOCKS Proxy:

SOCKS Proxy, direk IP'ye erişim olmadan SOCKS sunucusunun bir yanındaki bilgisayarları öbür yanındaki bilgisayarlara bağlayan bir vekil sunucu protokolüdür. SOCKS sunucusu kimlik doğrulama ve denetleme yapar, proxy bağlantısı sağlar ve sunucunun iki tarafındaki bilgisayarlar arasında verilere relay uygular.

Güvenlik Duvarı Mimarisi:

Ağınızı güvenlik duvarı kullanarak koruyacak şekilde yapılandırmanın bir çok yolu vardır.
Internet'e router aracılığıyla bağlanan bağlantılarınız varsa router'ı direk güvenlik duvarı sisteminize ekleyebilirsiniz. Ya da, bağlantıyı bir hub içinden geçirip güvenlik duvarınızın dışındaki sunuculara tam bağlantı sağlayabilirsiniz.

   Dial-up

Dial-up Mimarisi

ISDN gibi bir dialup hizmetinden yararlanıyor olabilirsiniz. Eğer öyleyse, filtrelenmiş bir DMZ (DeMilitarized Zone) sağlamak için üçüncü bir ağ kartı kullanabilirsiniz. Bu size Internet servisleriniz üzerinde tüm kontrolü sağlamakla beraber, her zamanki ağınızdan da ayırmaya yarar.

   Tek router

Tek Router Mimarisi

Eğer sizinle internet arasında bir router ya da kablo modem varsa; eğer içerisinde katı filtreleme kuralları koyabileceğiniz bir router'a sahipseniz ya da böyle bir router'a sahip olan siz değil de ISP'nizse ve ISP'nize bu filtreleme kurallarını koymasını söylerseniz böyle bir mimariye kavuşabilirsiniz.

   Vekil Sunucu & Güvenlik Duvarı

Vekil Sunucu ile birlikte Güvenlik Duvarı

Eğer ağınızın kullanıcıları hangi adreslere giriyor kayıt altına almak istiyorsanız ve ağınız küçükse güvenlik duvarınıza bir vekil sunucu entegre edebilirsiniz. ISP'ler kullanıcılarının meraklarını belirleyip reklam ajanslarına satabilmek için bazen bu yöntemleri kullanmaktadırlar.

   Vekil sunucu 2

Vekil sunucunuzu yerel ağınızın (LAN) önüne de koyabilirsiniz. Bu durumda güvenlik duvarı, sadece vekil sunucunun internete bağlanabileceği kurallara sahip olmalıdır. Bu yolla kullanıcılar sadece vekil sunucu üzerinden internete çıkabilirler.

   Gereğinden fazla internet yapılandırması

Gereğinden Fazla Internet Yapılandırması

Eğer YAHOO ya da SlashDot benzeri bir sunucuyu çalıştırıyorsanız, sisteminizi gereğinden fazla router ve güvenlik duvarlarıyla donatmak isteyebilirsiniz.
Round-Robin tipi DNS teknikleri kullanarak çoklu sunuculara tek URL'den ve çoklu ISP'lerden ulaşabilirsiniz. Ayrıca çeşitli tekniklerle routerlar, güvenlik duvarları kullanarak 100% hazır, her daim ayakta bir hizmet sağlayıcı oluşturabilirsiniz.

Ağınızın kontrolünü kaybetmeniz o kadar da zor bir şey değildir. Bütün bağlantıların kontrolünü elinizde tutsanız bile içerideki kötü niyetli bir kullanıcı ağınızı tehlikeye atmak için yeterlidir.
Biraz uzun olan :) bu ayki yazımızda güvenlik duvarı ve vekil sunucu konuları hakkında temel bilgileri vermeye çalıştık. Önümüzdeki ay ise ipchains ve iptables kullanarak güvenlik duvarı ayarlamalarını nasıl yapabiliriz üzerine bilgi paylaşmayı planlamaktayız.

Güvenli ve özgür günler..

Kaynaklar:



Serdar Dalgıç
- 8 -