SAMED ÖZCAN T-12/D 2446
description
SAMED ÖZCAN T-12/D 2446. [email protected]. Neler Öğreneceğiz. Güvenlik Duvarı Nedir ? Güvenlik Duvarı Nasıl Çalışır ? Güvenlik Duvarı Türleri Nelerdir ? Paket Süzmeli Güvenlik Duvarı Nedir ? Paket Süzmeli Güvenlik Duvarı Nasıl Çalışır ? Belirli Bir Seviyeye Bağlı PFFW Nedir ? - PowerPoint PPT Presentation
Transcript of SAMED ÖZCAN T-12/D 2446
Güvenlik Duvarı Nedir ? Güvenlik Duvarı Nasıl Çalışır ? Güvenlik Duvarı Türleri Nelerdir ? Paket Süzmeli Güvenlik Duvarı Nedir ?Paket Süzmeli Güvenlik Duvarı Nasıl Çalışır ? Belirli Bir Seviyeye Bağlı PFFW Nedir ? PFFW Yönlendirici Nedir ? Filtreleyici Host Nedir ? PFFW Güçlü Yanları Nelerdir ? PFFW Zayıf Yanları Nelerdir ? PFFW İçin Değerlendirme
Güvenlik duvarı, Internet'ten gelen bilgileri denetleyen ve ardından güvenlik duvarı ayarlarınıza göre engelleyen veya geçişine izin veren bir yazılım veya donanımdır.Güvenlik duvarı, saldırganlar veya zararlı yazılımlar'ın (solucanlar gibi) ağ veya Internet üzerinden bilgisayarınıza erişmelerini engellemeye yardımcı olabilir. Ayrıca, güvenlik duvarı bilgisayarınızın diğer bilgisayarlara zararlı yazılım göndermesine de engel olur.Aşağıdaki şekilde güvenlik duvarının nasıl çalıştığı gösterilmektedir:
Ağ ateş duvarları erişim kontrol kararlarını verirken iki güvenlik mantığı yaklaşımını kullanır. Bu iki yaklaşımın mantığı zıt olmasına rağmen iki sininde amacı erişimi
kontrol etmektir. Bu iki yaklaşım şunlardır: • Özel olarak izin verilmeyen her şeyi reddet. • Özel olarak reddedilmeyen her şeyi kabul et.
Her iki yaklaşımın da taraftarları olmasına rağmen en fazla tavsiye edilen “özel olarak izin verilmeyen her şeyi
reddet” yaklaşımıdır. Bu yaklaşım istenmeyen ve izin verilmeyen erişimlere karşı ön bir koruma sağlar. Özel olarak bir erişime izin verilmediği sürece bütün erişim
bu yaklaşım tarafından engellenir.Zıt tasarım mantığı , özel olarak reddedilmeyen her şeyi kabul et, istenmeyen ve izin verilmeyen erişimlere karşı tepkisel bir tutum sergiler. İlk yaklaşıma göre daha az güvenlik sağlar fakat aynı zamanda ilk yaklaşıma göre
daha esnektir.
Güvenlik duvarı tasarımı için çeşitli teknikler vardır: kullanılan teknik doğrudan güvenlik duvarının türünü gösterir.Bu teknikler aşağıdaki gibidir.
Paket Süzmeli Güvenlik DuvarıKararlı Paket İzleme GDUygulama Geçit Yolu GDDevre Düzeyli Geçit Yolu GD
Samed ÖZCAN
Paket süzme, güvenlik duvarı oluşturmanın en kolay yoludur. Paketlerin başlık alanı içindeki bilgilere bakılarak istenmeyen paketler karşı tarafa geçirilmez. Bu amaçla ir kurallar tablosu oluşturulur. Bu tabloda belirtilen kurallara uymayan paketler karşı tarafa geçirilmeyip süzülür. Belirli bir düzeyde koruma sağlar, ancak çok sıkı bir koruma sağlamayabilir.
Her bir paket ateş duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda
incelenir. Kabul etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir. Her bir paket diğer paketlerden bağımsız bir şekilde incelenir.
Paket filtreleme kuralları veya filtreleri aşağıdaki değişkenler doğrultusunda oluşturulur:
• Kaynak IP adresi • Hedef IP adresi • Protokol tipi (TCP/UDP) • Kaynak port • Hedef port
Not: Bütün ateş duvarları bir çeşit paket yönlendirme yeteneğine sahiptir
Normalde PFFW’de kullanılan algoritmaya göre çalışırlar; ancak , sadece belirli bir hizmetportu üzerinden işlem yaparlar. Örneğin telnet sunucu sistemi uzak bağlantıları 23. TCP portundan. SMTP sunucu sistemi ise 25. TCP portu üzerinden dinleme işlemi yaparlar. Bu sistemde izin verilmiş olan ana makine (host) listesi bulunur; yalnızca, bu listede bulunan ama makinalara uygun port numarasıyla gelen paketlere geçiş izni verilir. Diğerlerinin geçişi engellenir.
Paket filtreleyen yönlendirici iki ağ arasındaki paketleri izleyecek şekilde yapılandırılmış yönlendiricidir. İki ağ
arasında trafiği paket filtreleme kuralları doğrultusunda yönlendirir. Bu yönlendirici aracılığı ile güvenliği sağlamak
çok kolay değildir. Birçok yönlendirici ateş duvarı fonksiyonelliği dışında sadece paket yönlendirme amacı ile
tasarlanır. Bu yüzden kural tanımlama ve filtreleme yapılandırılması kolay değildir.
Filtreleyici host, paket filtreleme kuralları doğrultusunda güvenilir ağı güvenilir olmayan ağdan ayırmaya yarar. Paket
filtrelen yönlendiriciden gelen bütün trafik doğrudan filtreleyici hota gönderilir. Dışarıya giden trafik isteğe göre
filtreleyici hosta yönlendirilebilir. Bu çeşit ateş duvarları genelde yazılım tabanlı olup güvenilir bir işletim sistemi üzerinde ayrı bir makinede çalıştırılmaktadır. Güvenlik
genellikle uygulama katmanında gerçekleştirilir.
Paket filtreleme tipik olarak diğer paket izleme metotlarından daha hızlıdır , çünkü paket filtreleme OSI
modelinin alt katmanlarında yapılır. Doğru şekilde konfigürasyonu yapıldığında paket filtreleri ağ
performansına çok az etki eder.Paket filtreleyen ateş duvarları açık olarak kon figüre
edilebilir. İstemciler tarafında ek bir konfigürasyona ihtiyaç duyulmaz.
Paket filtreleyen ateş duvarları diğer sistemlere göre daha ucuzdur. Birçok donanım cihazı ve yazılım paketleri kendi
standart paketleri içinde paket filtreleme özelliğini içermektedir.
Paket filtreleyen ateş duvarları uygulama bağımsız olarak çalışır. Karalar paketin başlık bilgisine göre verildiğinden
herhangi bir uygulamaya bağlı değildir
Paket filtreleyen ateş duvarlarında kurallar ve filtreler tanımlamak karışık bir iştir. Ağ yöneticisinin şirketinin
güvenlik ihtiyaçları doğrultusunda kullanılacak servisleri ve protokolleri iyi bir şekilde belirleyip bunların doğrultusunda
kuralları ve filtreleri belirlemesi oldukça karışıktır. Bazı durumlarda kurallar veya filtrelerin oldukça karışık olması gerekli konfigürasyonun yapılmasını imkansız kılmaktadır.
Uzun erişim kuralları veya filtreleri ağ performansı üzerinde olumsuz etkilere de neden olur. Kuralların veya filtrelerin
sayısı arttıkça ateş duvarının gerekli karşılaştırma kararlarını vermesi daha uzun zaman almaktadır.
Paket filtreleyen ateş duvarlarının hassas olduğu üç ana istismar yöntemi vardır. Bu yöntemler IP spoofing, tampon aşımı, ve ICMP tunneling dir. IP spoofing kaynak adresini kullanarak ateş duvarını aldatmak yolu ile kendi verilerini göndermektir. Tampon aşımı tamponun boyutunun ayrılan
alanı aştığı durumlarda oluşur.ICMP tunneling bir hacker ın yasal ICMP paketi içine kendi verisini koymasına olanak
sağlar.Paket filtreleyen ateş duvarı kullanıcı kimlik doğrulaması
gerçekleştirmez. Paket filtreleyen ateş duvarlarındaki kararların veya
filtrelerin test edilmesi oldukça zordur.
Eğer karmaşık bir süzgeçleme kullanılacaksa konfigürasyon işlemi gittikçe zorlaşır. Genellikle süzgeçleme arttıkça, yönlendirici üzerinden geçen paket sayısı azalır. Yönlendirici güvenlik duvarı işlevini yerine getirirken kendi görevi yanında, yani paketin başlık bilgisini yönlendirme tablosunda arama işlemi yanında, süzme işlemlerini de o pakete uygulamalıdır. Bu durumda süzme yapmak için yönlendiricinin CPU’yu kullanması gerekir. Bu da performansta bir düşüklüğe yol açabilir. PFWR kullanımında IP paketleri seviyesinde erişim denetimi yapıldığından ve uygulama seviyesine çıkılamadığından bazı uygulamalar için yetersiz kalabilir.
