Ağ Güvenliği - Püf Noktaları
Ağ Güvenlik Duvarı Çözümü Oluştururken
Dikkat Edilmesi Gereken Hususlar
Ağ güvenlik duvarı (network firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve internet bağlantısında kurumun karşılaşabileceği sorunları çözmek üzere tasarlanan çözümlerdir. Bu çözümler yazılım veya donanımla yazılımın entegrasyonu şeklinde olabilir. Güvenlik duvarı çözümü açık sistemler üzerinde bedava dağıtılan modüllerle sağlanabileceği gibi, fiyatları sundukları servislerle orantılı olarak artan ticari ürünlerle de sağlanabilir. Bu bildiride bu tür çözümlerin tanımları yapılmış ve güvenlik duvarı çözümü seçerken dikkat edilmesi gerekenler belirtilmiştir.
SORUNLAR
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar aşağıdaki gibidir [1]:
• Dış dünyadan kurum ağına (içeriye) yapılacak saldırılar.
• Internette dolaşırken kullanıcı bilgisayarına, bilgisayardan da sisteme virüs bulaşması.
• İmesh, edonkey, overnet gibi programlarla dosya paylaşımının yapılması ve bandgenişliğinin (internet veriyolu kapasitesinin) maksadı dışında kullanılması.
• Internette özellikle vakit kaybettirici bazı sitelere ulaşımın kurum içerisinde, kurum zamanında (mesai saatlerinde) yapılması.
• İçeriden yetkisiz kişilerin dışarıya bilgi göndermesi.
• Yetkisiz kullanıcıların Internette gezinmesi.
GÜVENLİK DUVARI ve BİLEŞENLERİ
Güvenlik duvarı, bir sistemin özel bölümlerini halka açık (public) bölümlerden ayıran, kullanıcıların ancak kendilerine tanınan haklar düzeyinde sistemden yararlanmasını sağlayan çözümlerdir. Güvenlik duvarı belirli bir makinayı denetlemek için o makina üzerine (host-based) kurulabileceği gibi, bir bilgisayar ağını denetlemek için de kurulabilir. Bu bildiride ağ güvenliğini sağlamak üzere kullanılan ağ güvenlik duvarı çözümleri üzerinde durulmuştur.
Ağ güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir kurum ağı ile dış ağlar (Internet) arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Güvenlik duvarları salt dış saldırılara karşı sistemi korumakla kalmaz, performans arttırıcı ve izin politikası uygulayıcı amaçlar için de kullanılırlar. Yukarıda belirtilen sorunları çözmek için bir antivirüs sunucusu veya web adresi denetleyicisi sunucusu ile ortak olarak çalışabilirler. Ağ güvenlik duvarı, yazılım veya donanımla yazılımın entegre olduğu çözümler şeklinde olabilir.
Bir güvenlik duvarı çözümünde verilebilecek servislere örnek olarak aşağıdakiler sayılabilir:
• NAT (Network Address Translation): İç ağda internete çıkamayacak özel ip şemaları (10.0.0.0/8, 192.168.0.0/16
vb) tanımlanır ve dış bağlantılarda NAT sunucusunun reel ip’si kullanılarak iç ağ konusunda saldırganın bilgi sağlaması engellenir. Güvenlik için artıları olmakla beraber, NAT çoğunlukla adres yönetimi için kullanılmaktadır.
• Paket Filtreleme: En basit güvenlik duvarıdır. Router, modem gibi cihazlarla birlikte gelir. Erişim listelerinin (access list) kullandıkları yöntemdir. Bu yöntemle güvenlik duvarından geçen her üçüncü seviye (IP, IPX ..
vb) paketine bakılır ve ancak belli şartlara uyarsa bu paketin geçişine izin verilir. Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı (dışarıya çıkış, içeriye giriş) olarak uygulanabilir. Uygulamaların bağlantı için kullandıkları portlar (icq, imesh ..
vb portları) baz alınarak hangi ağların veya kişilerin ne zaman bu uygulamalarla bağlantı kurabileceği belirlenebilir. Paket filtrelemede birim zamanda tek bir pakete bakıldığı ve önceki paketler hakkında bir bilgiye sahip olunmadığı için bu yöntemin çeşitli zayıflıkları bulunmaktadır [2].
• Dinamik (Stateful) Filtreleme: Paket filtrelemeden farkı, paketin sırf protokolüne bakarak karar verilmesi yerine, güvenlik duvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi ve çift yönlü paket geçişlerine buna göre karar vermesidir. Her bağlantı için durum bilgisi tablolarda tutulduğu için paket filtrelemedeki zayıflıklar bulunmamaktadır. Dezavantajı ise dinamik filtrelemenin çok daha fazla işlemci gücüne ve belleğe ihtiyaç duymasıdır. Özellikle bağlantı(connection) sayısı arttıkça işlem ihtiyacı da artacaktır[2]. Paket filtreleme yerine dinamik filtreleme tercih edilmelidir.
• DMZ (Silahtan Arındırılmış Bölge): Dış dünyaya hizmet verecek sunucular buraya yerleştirilmektedir. Özellikle iç ağda NAT uygulaması yapılıyorsa dış dünyaya hizmet veren cihazlar reel ip’lerle burada konumlandırılacaklardır.
• Proxy: Proxy bir bağlantı uygulamasında araya giren ve bağlantıyı istemci (client) için kendisi gerçekleştiren bir servistir. Proxy’nin kullanımı, uygulama temelli (application-level) güvenlik duvarı olarak da adlandırılabilir. Bu tür bir uygulama aynı zamanda şu amaçlar için kullanılabilir:
o Kimlerin bu servisleri kullanacağını belirlemek
o Performans amaçlı olarak özellikle aynı isteklerin bir defaya indirgeyerek bağlantı sayısını azaltmak ve bandgenişliğinin daha etkin kullanılmasını sağlamak.
• Anti-Virus çözümleri: HTTP, FTP ve SMTP trafiğini üzerinden geçirerek virüs taramasını yapmayı ve kullanıcıya gelmeden önce virüslerden temizlemeyi hedefleyen sistemlerdir.
• İçerik Filtreleme (content filtering): Çeşitli yazılımlarla ulaşılmak istenen web sayfalarını, gelen e-posta’ları filtrelemeye yarayan sistemlerdir.
• VPN: Ortak kullanıma açık veri ağları (public data network) üzerinden kurum ağına bağlantıların daha güvenilir olması için VPN kullanılmaktadır. İletilen bilgilerin şifrelenerek gönderilmesi esas olarak alınır. Public/Private anahtar kullanımı ile sağlanır.
• Saldırı Tespiti (ID): Şüpheli olayları ve saldırıları tespit etmeyi hedefleyen bir servistir. Saldırı tespit sistemleri(IDS), şüpheli durumlarda e-posta veya çağrı cihazı gibi yöntemlerle sistem yöneticisini haberdar edebilmektedir.
• Loglama ve Raporlama: Kayıtlama (log) ve etkinlik raporları birçok güvenlik duvarı tarafından sağlanmaktadır. Bu kayıtlar çok detaylı ve çok fazla veri içerebilmektedir. Bazı güvenlik duvarları bu logların incelenmesini kolaylaştırmak için çeşitli analiz ve raporlama servisleri sunmaktadır. Kayıtlar sistemlerin zayıflıklarının ve saldırıların belirlenmesinde işe yaramaktadır.
İHTİYAÇLARIN BELİRLENMESİ (ANALİZ)
Bir ağ için güvenlik duvarı çözümüne gidilirken ihtiyaçlar belirlenmeli ve ağdaki hangi alanların daha çok güvenliğinin sağlanılması gerektiği tespit edilmelidir. Ağ yöneticisi güvenlik duvarını seçmeden önce iç ağında bulunan (alt) ağları listelemeli, güvenlik matriksi (security matrix) oluşturarak hangi ağların hangi ağlara ve sunuculara ulaşacağını ve ne tür haklar tanınacağını belirlemelidir. Buna göre bir alt ağı güvenlik duvarının bir bacağına (ağ arabirimine) alıp almamaya da karar verilebilmektedir. MRTG ve Saldırı Tespit Sistemleri (IDS) gibi çözümlerle ağ takip edilmeli ve ağın belirli noktalarından geçen tafik, trafiğin cinsi ve bağlantı sayısı ölçülmelidir. Kurum böylece ağdaki veri akışı hakkında bilgi edinebilecektir. Analiz süreci tabii ki burada özetlendiği kadar basit değildir. Her türlü verinin analitik methodlarla incelenmesi ve irdelenmesi gerekmektedir. Mümkünse profesyonel bir destekten yararlanılmalıdır.
YAZILIM VE DONANIM ÇÖZÜMLERİ
Güvenlik duvarı çözümü yazılım veya donanımla yazılımın entegre olduğu sistemler şeklinde olabilmektedir. Bu tür çözümlerin birbirine çeşitli artıları ve eksileri bulunmaktadır.
İşletim Sistemi Üzerinde Çalışan Çözümler:
İşletim sistemi üzerinde çalışan çözümlerin artıları aşağıdaki gibidir:
• Çok detaylı raporlamalar alınabilir.
• İnce detaylara kadar kullanıcıları ayrıştırmak ve takip etmek mümkündür
Bu tür sistemlerin üzerinde çalıştığı işletim sisteminin açıkları en büyük eksiğidir. Burda şu da belirtilmelidir ki bu işletim sistemleri genelde öz (core) olarak kurulduklarından üzerlerindeki servisler kısıtlıdır. Güvenlik duvarları da üzerlerinde çalıştıkları işletim sistemlerinin bazı açıklarını kapatırlar. İşletim sistemi üzerinde çalışan sistemlerin eksileri olarak aşağıdakileri belirtmek mümkündür:
• Bakım Problemleri: Güvenlik duvarının üzerinde çalıştığı işletim sisteminin de ayrıca bakımı gerekecektir.
• Kurulum: İşletim sisteminin doğru kurulması gereklidir. Gerekmeyen servislerin kaldırılması ve bazı yamaların (patch) uygulanması gerekmektedir. Kurulum süresi, kutu çözümlerine göre daha uzun sürmektedir.
• İşletim Sisteminin Güvenliği: Güvenlik duvarının üzerinde kurulduğu işletim sisteminin öncelikle güvenliği sağlanmalıdır. İşletim sistemini seçerken o sistemle birlikte gelen güvenlik açıkları ve zayıflıkları araştırılmalı ve çeşitli ayarlamalarla güvenliğin sağlanabileceği sistemler seçilmelidir.
Kutu (Donanım) Çözümleri:
Kutu çözümleri kullanıldıkları yerin özelliğine göre ikiye ayrılabilir:
• Küçük kutu çözümleri: Bunların üzerinde genellikle Ev/Küçük İşletmeler (Home/Small Bussiness) çözümleri çalışır ve bu sınıftaki ürünlerin üzerindeki yazılımlar işlev ve genişletilebilirlik açısından kısıtlı sürümlerdir. Genellikle donanımsal genişletilebilirlikleri yoktur.
• Performans kutuları: Bunların üzerinde (100+ kullanıcı) kurumsal sürümler çalışır ve bunlar İşletim Sistemi üzerinde çalışan sürümlerle aynıdır. Ana fark, bu donanımların sözkonusu yazılım için ayarlanmış (tune) edilmiş özerk (proprietary) donanımlar olmasıdır. Bu nedenle aynı koşullardaki işletim sistemi tabanlı versiyonlardan daha performanslı çalışmaktadırlar.
Kutu çözümlerin artıları aşağıdaki gibidir:
• Uygulama için özel geliştirilmiş entegre devrelere (ASIC) sahip olduklarından daha yüksek performans elde edilebilmektedir.
• Genelde en kötü saldırılarda dahi cihazı kapatıp açınca yeniden çalışmaya devam ederler.
• Versiyon yükseltmeleri (upgrade) diğer sistemlere göre daha çabuk yapılır.
• Hizmet dışı kalma süreleri (downtime) azdır.
• İşletim sistemleri bilinmediğinden (Genelde UNIX türevleridir) ve az kullanıldığından açıkları fazla bilinmez.
Kutu çözümlerin eksileri aşağıdaki gibidir:
• Yazılabilecek kurallar cihazın versiyonu ve kapasitesi ile sınırlıdır.
• Küçük kutu çözümlerinin donanımsal genişletilebilirlik özellikleri yoktur. Daha güçlü bir cihaz için büyük olasılıkla bir üst versiyonun alınması gerekecektir. Performans kutularında ise işlemci ve bellek terfileri zor ve pahalıdır.
• Raporlamaları genelde çok sınırlıdır.
• Özellikle küçük kutu çözümlerinde, değişik saldırılara karşı yeni çözümler çok çabuk çıkmaz.
• Versiyon yükseltmeleri (upgrade) mutlaka açılıp kapanma gerektir.
• Performans kutuları işletim sistemi üzerinde çalışan çözümlerden daha pahalıya mal olabilmektedir.
ÜRÜNLER HAKKINDA BİLGİ TOPLAMA
Ürünler hakkında internet üzerinden bilgi alınabilecek kaynak grupları aşağıda sıralanmıştır [4]:
• Haber Grupları: Bu konudaki haber gruplarına
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] adresinden ulaşıp gerekli aramalar yapılabilir. Ana haber grubu comp.security.firewalls ‘dır.
• E-posta Grupları: Güvenlik duvarlarının performanslarının ve güvenlik servislerinin tartışıldığı gruplara örnek olarak “firewalls-digest” verilebilir. Üye olmak için
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. adresine mesaj kısmında “subscribe firewalls-digest” içeren bir e-posta göndermek yeterlidir. Örneğin firewall-wizards ve firewalls listelerine aşağıdaki adreslerden ulaşmak mümkündür:
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
• Web Sayfaları: İnternet üzerinde birçok sitede güvenlik duvarları ile ilgili çalışmalar bulunmaktadır. Bunlara örnek olarak aşağıdakiler verilebilir:
o Test sonuçları yayınlayan siteler: “Data Communications”, “InfoSecurity News” ve “Network World” gibi magazinler periyodik olarak güvenlik duvarlarını çeşitli kriterlere göre test etmektedirler. Güvenlik duvarı karşılaştırma tablosu örneği için bakınız [5].
o Coast Araştırma Enstitüsünün güvenlik duvarı ile ilgili sayfaları için bakınız [6].
o Çeşitli güvenlik duvarı ürünleri ve adresleri için bakınız [7].
o Çokça sorulan sorular (FAQ) için bakınız [8].
Eğer ticari bir ürün alınacaksa mümkünse teknik bir yetkili tarafından ürünün sunumu yapılmalı ve ürünün yetenekleri hakkında daha detaylı bilgiye ulaşılmaya çalışılmalıdır.