20
EXE RANK
OttoMaNs* ;яeiz
Fexe Kullanıcısı
Puanları
0
Çözümler
0
- Katılım
- 20 Şub 2011
- Mesajlar
- 32,869
- Tepkime puanı
- 0
- Puanları
- 0
- Yaş
- 36
- Web sitesi
- www.netbilgini.com
KISALTMALAR
İnternet Gateway Servisi :Ana İnternet Bağlantısını Sağlayan Servisi
Dial-On-Demand : Gerektiği Zaman Çevir/Bağlan
NIC: Ağ Arabirim Kartları
IETF : Internet Engineering Tak Force
IPSec : Internet Protokol Güvenliği
FBI/CSC: Bilgisayar Suçları ve Güvenlik Kurumu
AH: Kaynak şifre doğrulama ve veri bütünlüğü sağlayarak, verinin yetkisiz istemciler tarafından erişilememesini sağlayan şifre doğrulama bilgisi
ESP: Gizlilik ve verinin, okunmaması ve kopyalanamamasını sağlayan kapsüle edilmiş güvenlik bilgisi
IP : Şifre Doğrulama Bilgisi
İnternet Gateway Servisi : Ana İnternet Bağlantısını Sağlayan Servis
Adres Çevirme : Address Translation
NAT : Network Address Translation - Ağ Adres Çevrimi
dial-up : Internet bağlantısı
IP Masquerade : IP Taklidi
İp Spoofin: , İp Aldatmacası
DMZ : Demilitarized Zone - Silahsızlandırılmış Bölge Uygulaması
,Application Level Firewall : Uygulama Temelli Güvenlik Duvarı
Squid: Web Vekili
PFR : Paket Filitrelemeli Routerlar
Dial-On-Demand : Gerektiği Zaman Çevir/Bağlan
TANIMLAR
Port
Port’lar, pc’nizin ınternet’e çıkmasını sağlayan sanal kapılar olarak düşünülebilir. Örneğin ınternet tarayıcınız 80 numaralı port’u, e-posta progr*****z 25 ve 110 numaralı port’ları kullanarak ınternet’e çıkarlar. Her program gibi, trojan’lar da port’ları kullanmak zorundadır. Dolayısıyla port’larınızı kontrol edebilen bir firewall, ınternet trafiğinizi de kontrol edebiliyor demektir. Port’larınızın ne zaman açılıp ne zaman kapanmasını istediğinizi firewall’ınıza doğru şekilde anlattığınızda, sadece izin verdiğiniz bağlantılar gerçekleşecek ve izin vermedikleriniz engellenecektir.
Trojan
Internet üzerinden insanların birbirinin bilgisayarına sızdığına, dosyalarını karıştırdığına ve cd-rom’larını açıp kapattığına şahit olmuşsunuzdur. Birçoğumuz da “nasıl oluyor?” Diye düşünmüştür. İşte, davetsiz misafirlerin pc’mize sızıp hakimiyet kazanmaları, trojan denen küçük programcıklar sayesinde olur. Trojan’lara karşı etkili olabilek bir firewall, güvenliğimizi önemli ölçüde arttıracaktır.
IPSec
Sadece Güvenilir Ve Yetkilendirilmiş Sistemlerin Hassas Ve Önemli Verilere Ulaşabilmesini Ağ Katmanında Sağlayabilen Bir Protokoldür
Bastion Host:
İdealde ağınızdaki güvenlik ağ seviyesinde ve ağdaki her bir makinada uygulanır. Pratikte ise, bu ya yapılamamakta, ya da ihtiyaç duyulan kimi protokollerin güvenlikten yoksun olduğu bilinse dahi kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir ağla, dış dünya arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Dolayısıyla içerideki ağa girmek isteyen her kötü niyetli dış saldırı, önce özel olarak korumalı tasarlanmış güvenlik duvarı makinasını bertaraf etmek zorundadır. Bu makinaya kale, nöbetçi kale anlamına gelen bastion host da denir. Bastion host, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (Internet). Bastion host iki özelliğe sahiptir:
• Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.
IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi)
İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'ten gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi) denir.
IPSec AH
IPSec AH iletim metodunda, şifre doğrulama bilgisi IP header ve payload’u arasına yerleştirilir. Bu gerekli şifre doğrulama verisini ve güvenli parametre endeksini sağlar.
DMZ Demilitarized Zone -- Silahsızlandırılmış bölge
DMZ, güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir. Güvenlik duvarına üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinaların buraya konulması ile oluşturulur.
NAT (Network Address Translation - Ağ Adres Çevrimi)
İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'ten gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi) denir.
GİRİŞ
İnsanların bir arada bulunduğu her ortamda olduğu gibi, Internet'te de iyi ile kötü, zayıf ile güçlü sürekli bir aradadır. Güç zayıf karakterli insanların eline geçtiği zaman, zarar verme, saldırma, kişisel ego tatmini gibi işler için de kullanılabiliyor ne yazık ki. Bugün birçok PC kullanıcısı, Hacker'lardan ve onlardan gelen saldırılardan şikayetçi.
İnternet’te güvenlik, her zaman en çok rağbet edilen konulardan biri olmuştur. Sistemlerinin ve şahsi bilgilerinin güvenliğinden emin olup, “connect” (bağlan) düğmesine korkmadan tıklayabilmek isteyen kullanıcıların haklı endişeleri, şimdilerde insanları firewall konusuna yönlendiriyor.
Peki ne yapmalı? Herşeyden önce, dışarıdan kesinlikle ve kesinlikle exe dosyası almamalıyız. Şifrelerimizi uzun ve tahmin edilmesi zor kelime-sayı gruplarından seçmeli, yabancı ortam ve bilgisayarlarda çalışırken bu şifreleri kullanmamalıyız. Dosya ve yazıcı paylaşımımızı kapalı tutmaya özen göstermeliyiz.
Peki bu kadarı yeterli mi? Biraz kullanıcıların dikkatsizliği, biraz da teknolojiyle birlikte gelişen “sanal haydutlar” sebebiyle, ne yazık ki hayır.
Kendi pc’lerini ve pc’lerinde yer alan kişisel bilgileri bilgisayarlarına sızabilecek davetsiz şahıslara karşı daha fazla ve daha etkin bir biçimde korumak isteyen kullanıcılar, sistemlerine firewall kurma yoluna gidiyor.
Nedir bu “firewall”? = Her eve lazım cinsten, olmazsa olmaz bir şey. Türkçeye “ateş duvarı” olarak çevrilebilecek bu terim, FInternet üzerinden bağlanan kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantısını sağlayan servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen genel addır. Tabii ki, farklı ihtiyaçlar için tasarlanmış farklı firewall’lar mevcuttur. Sadece birkaç port’unu kapatmak isteyen kullanıcılar daha ucuz ve daha basit çözümlere gidebilirken, tüm port’larını dinlemeye alıp bütün bağlantılarını izlemek isteyen kullanıcılar daha gelişmiş yazılımlara ihtiyaç duyacaktır.
Firewall programı bilgisayarda bulunan yani internet üzerinden byte(veri) alış verişi sağladığımız portları kontrol ederek, bize yani bilgisayarımıza karşı yapılan tüm saldırıları takip ederek bunu engeller. . Firewall sistemleri, bu engelleme işini, sadece daha önceden kendisinde tanımlanmış bazı domainlere erişim yetkisi (telnet,ftp, http vb) vererek yaparlar. İnternette güven içinde sörf yapmak istiyorsanız bilgisayarınızda iyi bir firewall bulundurmalısınız
İhmal edildikleri taktirde sizi büyük tehlikeye sokacak iki konu, İntranet güvenliği ve yönetimidir. Ne olursa olsun, her zaman bir Firewall'a ihtiyacınız olduğu söylenebilir. Hatta, İntranetiniz İnternet aracılığıyla dış dünyaya bağlıysa, firewall kullanımı bir ihtiyaçtan çok zorunluluk haline gelir. Bu firewall, hassas bilgilere erişimi kısıtlamanıza da yardımcı olacaktır. Firewall yapıları birkaç farklı şekilde karşınıza çıkarlar ama genellikle İnternet ile yerel İntranet arasında bir bağlantı yoksa korumalı yerel ağ katmanları arasında bir ağ geçidi veya yönlendirici olarak işlerler. Çoğu, IP adreslerini temel alarak trafiği filtreler ve yalnızca "güvenilir" istemleri iletir. Uygulama seviyesinde çalışan daha nitelikli olanları ise (bu yüzden onlara "uygulama seviyeli ağ geçitleri" ya da "proxy hizmet birimleri" denir) İnternet üzerinde bulunan çeşitli bağlantısız protokolleri kontrol altında tutar. İsteğinize göre sadece yerel ağa bağlanması gereken eksiksiz donanım, yazılım çözümleri alabilir, ya da standart PC araçlarında çalışabilen firewall yazılımlarını kullanabilirsiniz. Bu seçenekler ya kendi güvenli işletim sistemleri ile gelirler, ya da standart Unix veya Windows NT işletim sistemleri üzerinde çalışacak şekilde yazılmışlardır.
Söz konusu yaklaşımların her birinin kendine göre iyi ve kötü o kadar çeşitli özelliği var ki, bu yazının tamamı sadece firewall seçimi ve yürütümü üzerinedir. Fakat en pahalı olanın en iyi hizmet vereceği anlamına gelmediğini ve sadık kalmanız gereken bir iki kural olduğunu söylemek gerekir. İster çok yüksek seviyeli bir sistem, isterse basit bir PC olsun, firewall ona ayrılan donanımda çalıştırılmalıdır. Çeşitli güvenlik standartları desteği de hayati bir konudur. En az Sockets Layer 3 uyumlu olan ve varolan ağdaki yetkilendirme mekanizmasına uyum sağlayabilecek bir yazılım aramalısınız. Ayrıca performans üzerindeki etkileşimleri de unutmayın. Temel paket filtreleme bu açıdan en verimli olanıdır, daha karmaşık uygulama seviyelerine sahip ağ geçitleri ise yavaş kalırlar. Günümüzde bu seçenek standart olarak sunulsa bile, proxy hizmet birimleriyle çalışabilmek için gözatıcılarınızı değiştirmeniz gerekebilir.
1. ARTAN BİLGİSAYAR SUÇLARI
Milyonlarca insan internete bağlanarak elektronik dünyada çalışıyor. Günümüzde elektronik ticarette işlem hacmi 100 milyar dolar seviyelerindedir. Bu rakam 2002 yılı itibari ile 1 trilyon dolarlara çıkmıştır. (Forrester Research, 1998). Bu büyüme ile çok daha fazla ticari ve önemli verinin internette on-line olarak işlenmesi söz konusudur.
1.1. İnternet Büyüdükçe Tehdit Artıyor!!!
İnternet sanal ortamda şirketlerin ulaşabildiği müşteri sayısını arttırarak işlem hacimlerinin büyümelerine katkıda bulunduğu gibi bir takım güvenlik problemlerini de beraberinde getirmektedir. Geleneksel ortamda kurumlar, kiralık hatlar veya farklı ortamlar ile kapalı sistem denen iletişim hatları ve ortamları kullanırlar. Günümüzde herkesin verilere erişebildiği daha açık sistemler “Sanal Ağlar’ın” kullanımının arttığını gözlemlemekteyiz. Bu yeni model tedarikçi ve müşterilerin aynı ağ üzerinde birlikte çalışabildiği “extranet’lerin” gelişmesi ile ortaya çıkmıştır. Extranet, kurumun kapitalini ve hassas verilerini internet ortamına koymasını gerektirir. Teorik olarak bu önemli veri herkes tarafından ulaşılabilecek bir ortamda durmaktadır.
Kurumların veri iletimi için internet ort***** seçmelerinin diğer bir nedeni ise kiralık hatlar gibi uçtan uca bağlantılara göre çok daha ekonomik olmasıdır. Çok daha fazla verinin extranet’ler aracılığı ile şirketlere açıldığı gibi bu veriler aynı yerel ağ üzerinde bulunan diğer çalışanların daha rahat ulaşabileceği ortamda bulunması göz ardı edilmemelidir. Güvenlik sorunları, hacker’lar gibi kasten veriyi çalmak, ele geçirmek için kullanılan şahıslar tarafından meydana gelebilir ya da ağa erişim hakkı bulunan ve kurumun kuralları ve prosedürlerinden haberi olmayan yetkili kullanıcıların yapabileceği hatalardan oluşabilir.
1.2. İnternette Güvenlik Nedir?
İnternet'te bilgisayarlar birbirine bağlanır, birbirleriyle konuşur, veri alışverişinde bulunur. Peki milyonlarca kişinin buluştuğu bu ortamda kötü niyetli kişiler olmaz mı? Elbette olur. Size içinde gizli şekilde bilgisayar virüsü veya Truva Atı (trojan) dediğimiz, sisteminizi daha kolay ele geçirmelerini sağlayacak kodlar içeren dosyalar gönderebilirler. Bunlarla sisteminizdeki verilere zarar verebilirler. Önemli kişisel bilgilerinizi okuyabilirler, tüm diskinizi formatlayabilir veya verilerinizi silebilirler; hatta CD-ROM sürücünüzün tepsisini açıp kapamak gibi fiziksel eylemlere yol açan komutlar gönderebilirler. Hatta yeterince uzmanlarsa işletim sisteminizin veya kullandığınız Internet programlarının açıklarını yakalayarak da saldırabilirler. Bu kötü niyetli kişilere "hacker" diyoruz. Ancak virüs ve trojan'lar sistemden sisteme bilinmeden yayılabileceği için, sisteminize bunları bulaştıranların mutlaka kötü niyetli olması gerekmez. Bu saldırıların Internet'in bir gerçeği olduğunu aklımızda tutup, kendi güvenlik önlemlerimizi almak zorundayız. En temel önlem, virüs ve trojanları bulan ve temizleyen güncel bir anti-virüs yazılımı kullanmaktır. Bu tür bazı programlar, İnternet'ten indirdiğiniz dosyaları ve e-posta mesajlarını daha gelirken kontrol edebilirler. Bunun dışında, tanımadığınız kişilerden gelen dosyaları çalıştırmamaya dikkat etmelisiniz.
İnternet programları port adı verilen kanallar açarak verileri alırlar. Bu portları kontrol eden, ve izinsiz kişilerin geçişini engelleyen firewall (güvenlik duvarı) adını verdiğimiz programlar da vardır. Hatta büyük şirketlerde ayrı bir bilgisayar ve üzerindeki yazılımlar bu amaçla kullanılır. Ev PC'lerinde de kullanılabilecek basit kişisel firewall yazılımları bulunmaktadır.
2. IPSEC
2.1. IPSec: Güvenilir Sanal Ağlar İçin Yapı Taşları
Şirketlerin önemli ve hassas verilerini internet, intranet ve extranet gibi ortamlarda saklamaları kurumsal veri güvenliğini tehdit eden önemli bir faktördür.
Yakın bir zamanda yapılan bir araştırmada (FBI/CSC Bilgisayar Suçları ve Güvenlik Kurumu), güvenlik deliklerinin çoğunun yerel ağlarda olduğu saptanmıştır. Firewall (Güvenlik duvarı) gibi uygulamalar kurumların verileri için dış etkenlere karşı bir koruma oluşturmasına rağmen ilave güvenlik katmanlarına gereksinim duyulacaktır.
Intel, IETF ( Internet Engineering Task Force) tarafından bir standart olarak kabul edilen IPSec (Internet Protokol Güvenliği) protokolünü destekleyen ağ yapı taşlarını sağlamaya başladı. IPSec, sadece güvenilir ve yetkilendirilmiş sistemlerin hassas ve önemli verilere ulaşabilmesini ağ katmanında sağlayabilen bir protokoldür.
2.2. IPSec : Önemli bir yapıtaşı
Yukarda bahsedilen güvenlik problemlerinin çözümü IPSec adı verilen teknoloji ile giderilebilir. IPSec, diğer güvenlik teknolojilerinden farklı olarak uygulamalar tarafından gözükmeyen protokol yığınının üçüncü katmanında çalışmaktadır. Bu yüzden IPSec, uygulaması kolay ve ekonomik bir teknolojidir. Uygulamalar verinin şifrelenmesi veya değiştirilmesi işlemleri ile uğraşmayacaktır.
2.3. IPSec Nedir?
IETF (Internet Engineering Tak Force) tarafından bir standart haline getirilen IPSec, şifre doğrulama, ve IP şifreleme yapabilen bir protokoldür. İki çalışma metodu vardır– tünel metodu ve iletim metodu.
IPSec’in en önemli avantajlarından biri, IP paketlerinin, IP trafiğini destekleyen herhangi bir ağa anahtarlanabilmesi ve yönlendirilebilmesidir. İstemcilerde ve uygulamalarda herhangi bir donanım ve yazılım değişikliği yapmaya gerek yoktur. IPSec, VPN çözümleri ile tam uyumludur.
2.4. IPSec’in kullanıcılara sağladığı avantajlar
• Ekonomik Merkez-Şube bağlantısı
• Müşterilere ve tedarikçilere daha hızlı ve daha ekonomik bağlantı
• İçerden gelebilecek tehlikelere karşı daha güvenli yerel ağlar
Ağ arabirim kartları (NIC), IPSec teknolojisinin uygulanabileceği en iyi donanımdır. Şifreleme ve şifre doğrulama arabirim kartının üzerine yerleştirilebilecek bir entegre devre sayesinde uygulamalara ve sisteme yük getirmeden gerçekleştirilebilir. Bu entegre devrelere donanım hızlandırıcı işlemciler denir
2.5. Nasıl Çalışır?
IETF tarafından tanımlanan IPSec, ağ iletişimini korumak için iki farklı eleman kullanır:
• Kaynak şifre doğrulama ve veri bütünlüğü sağlayarak, verinin yetkisiz istemciler tarafından erişilememesini sağlayan şifre doğrulama bilgisi (AH)
• Gizlilik ve verinin, okunmaması ve kopyalanamamasını sağlayan kapsüle edilmiş güvenlik bilgisi (ESP)
2.5.1. IPSec AH
IPSec AH iletim metodunda, şifre doğrulama bilgisi IP header ve payload’u arasına yerleştirilir. Bu gerekli şifre doğrulama verisini ve güvenli parametre endeksini sağlar.
2.5.2. IPSec ESP
ESP iletim metodunda, ESP bilgisi IP header ve payload’u arasında yerleştirilir. ESP kuyruğu ve MAC adresi paketin sonuna eklenir. ESP tünel metodunda ise, tüm paket şifrelenir ve yeni bir ESP ve IP header yaratılır, şifreleme bilgisi olarak pakete ilave bir kuyruk eklenir.
2.5.3. İletim Metodu
İletim metodu intranet güvenliğini sağlamak için peer-to-peer denilen sunucu tabanlı olmayan iletişimde kullanılır. IP header’ı değişmediğinden standartları destekleyen herhangi bir donanım veya yazılım ile okunabilir.
2.5.4. Tünel Metodu
Tünel metodu uzak erişim ve VPN içeren WAN bağlantılarında kullanılır. Paket kapsüle edilerek yeni bir paket oluşturularak, korunulan ağın topolojisi gizlenir.
2.6. Gelişmiş Güvenlik ve Ekonomisi
Güvenilir sanal ağlarda IPSec uygulamasının en önemli avantajları çok katmanlı koruma ve hesaplı olmasıdır.
2.6.1. Intranet ve Şube Ofis Bağlantısı
Uzak kullanıcılar, merkezi ofislerine şehirlerarası veya milletlerarası telefon hatlarından bağlanıp veri iletişimi kurmak yerine, ISP üzerinden internete IPSec VPN çözümleri kullanarak yapacakları bağlantılarda maliyetleri düşürecektir.
2.6.2. Extranet
IPSec, kurumlara sanal ve güvenilir ağlar kurarak, üretici, müşteri ve iş ortakları ile bağlantılarının daha verimli olmasını sağlayacaktır. Elektronik ticaretin getirdiği, düşük satış ve stok maliyetleri, kolay sipariş alma ve atma vb. gibi tüm avantajlar şirketin büyümesine katkıda bulunacaktır.
2.6.3. Kurumsal Yerel Ağlar
IPSec, kurumların önemli ve kritik verilerinin, sanal ve güvenilir iş grupları yaratarak iç güvenliği sağlar. Örneğin bir şirkette bulunan araştırma ve geliştirme bölümüne ait gizli verilerin, muhasebe veya satış bölümü tarafından erişilmesine veya diğer departmanların insan kaynakları departmanının verilerine ulaşabilmesine engel olur.1
3. FİREWALL ( GÜVENLİK SİSTEMLERİ) NEDİR?
Firewall (Internet Güvenlik Sistemi), internet üzerinden bağlanan kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantısını sağlayan servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen genel addır.
Firewall sistemleri, bu engelleme işini, sadece daha önceden kendisinde tanımlanmış bazı domainlere erişim yetkisi (telnet,ftp, http vb) vererek yaparlar. Günümüzde, Internet Servisi veren makinalar oldukça sofistike Firewall sistemleri ile donanmıştırlar.
Firewall sistemlerinin en önemli kullanımında, bir kuruluşun yerel ağındaki tüm bilgisayarlar sanki bir duvar arkasındaymış gibi dış dünyadan erişilmez olurlar. Yerel ağdaki bilgisayarların internet bağlantıları firewall yüklü bilgisayar üzerinden olur ve firewall yazılımları, adres çevirme (address translation) özellikleri sayesinde iç ağdaki tüm internet bağlantılarının tek bir IP numarasından yapılıyormuş gibi olmasını sağlarlar. Ayrıca, yerel ağdan dışarıya, dışardan da yerel ağa olan bağlantıları internet protokolleri üzerinde sofistike kurallar tanımlayarak kısıtlarlar bu da yüksek ölçüde ağ güvenliği sağlar.
Günümüzde, Internet Servisi veren makinalar oldukça sofistike Firewall sistemleri ile donanmıştırlar.
Firewall ; basit anlamda kendi ağınız ile Internet arasına yerleştirilen bir duvar gibidir, Internet tarafından gelebilecek tüm saldırılara karşı ağınızı koruyan firewall'ın temel prensibi, izin verilen ağların veya sistemlerin sisteminize erişmesi diğerlerinin ise Firewall üzerinde bloklanarak engellenmesidir. Firewall tamamen bir donanım olabileceği gibi bir yazılım da olabilir. Aslında Firewall uygulamalarını sadece Internet Bağlantısıyla özdeşleştirmek doğru değildir. Intranet / Extranet ve hatta WAN uygulamalarında, endişe duyulan tehdit her zaman geçerlidir. Dahası alınan sonuçlara göre içten gelen tehdit, dıştan gelene göre daha fazla olumsuz etkide bulunmaktadır.1
3.1. Güvenlik ve Firewall'lar
Artık günümüzün ağ sistemlerinde yönetim ve bunun yanında da güvenlik büyük önem kazanmış bulunmaktadır. Komple sistemin yönetimi ve güvenliği için ağ yöneticilerine büyük görevler düşmektedir. Ağ güvenliği için kullanılan firewall'ların tasarlanıp, geliştirilirken hiçbir zaman mutlak bir cevap yoktur. Her kurum kendi özel faktorlerini (güvenlik derecesi, çalışanlarının teknik bilgisi, maliyet ve maruz kalabilecekleri saldırılar…) gözönüne alarak belirli kademelerde güvenlik sistemi kurmalıdır.
Günümüzde popüler biçimde kullanılmakta olan Internet , beraberinde bazı teknoloji ve zorunlulukları da beraberinde getirmiştir.Bunlardan en önemlisi ağ güvenliğini sağlamakta kullanılan ve gittikçe kullanım alanının genişlemesiyle kendisine sektörde büyük yer bulan firewall 'lardır.Eğer sizinde Internet bağlantınız, ağ ort*****zı tehlike altına sokuyorsa, sisteminize firewall kurup rahat uyuyabilirsiniz.
Internet'e bağlandıktan sonra ağ yapınız herhangi bir güvenlik sistemi içermiyorsa , mevcut bilgileriniz tehdit altındadır.Internet üzerindeki kullanım trafiği arttıkça bu durum intranetinizi daha çok etkisi altına alır. Geçmişte kullanılmakta olan 'mainframe' teknolojisinin yerini PC tabanlı yerel ağlar almaya başlamıştır. Ancak bu durumda sisteminizin bağlı olduğu Internet'te karşınızda nasıl bir sistem olduğunu belirleyemezsiniz.
'Firewall', ağ ort*****zla Internet ortamı arasına konan ve istenmeyen erişimleri engelleyen bir sistemdir.Ayrıca 'firewall' yardımıyla ağ güvenliği tam olarak sağlanır ve erişim haklarıda düzenlenebilir. Ancak firewall'u sisteminize kurarken dikkat edilmesi ve gözönüne alınması gereken bazı noktalar vardır. Bunlardan en önemlisi firewall' un belirli bir stratejiye göre hazırlanmasıdır. Firewall kurulmadan önce ne tür bilgilerin korunacağı ,ne derecede bir güvenlik uygulanacağı ve kullanılacak güvenlik algoritmaları önceden belirlenmelidir. Firewall'un sistem üzerinde tam olarak etkili olabilmesi için ağ ortamı ile Internet arasındaki tüm trafiğin firewall üzerinden geçmesi gerekir.Firewall sadece router ile değil aynı zamanda , sadece o işleme ayrılmış gateway 'ler tarafından da oluşturulabilir.
Firewall ağ yoneticisine bir noktadan kontrol imkanı sağlar.Bu yapı yardımıyla dışarıdan gelebilecek saldırılar önlenebildiği gibi aynı zamanda sistemin işleyişi ile ilgili bilgilerinde elde edilmesinde de kullanılabilir.
Firewall 'ların tercih edilmesi için en büyük nedenlerden biride NAT (Network Address Translation ) özelliğidir. İleride IP adres uzayındaki kısıtlı ortam nedeniyle , adreslemelerdeki problemleri ortadan kaldırabilir. Sadece tek bir IP adresi ile Internet'e çıkabilir ve yerel ağ ort*****zdaki IP adreslerini tamamen Internet ortamından yalıtılmış şekilde kullanabilirsiniz. Böylece herhangi bir Internet Servis sağlayışı değişikliğinde IP adreslerinizi değiştirmenize gerek kalmayacak.
Firewall kullanımı ile , ağ ortamı bazı durumlarda birtakım kısıtlamalar ile karşı karşıya kalabilir. Firewall 'un bozulması durumunda sistemin Internet bağlantısında sorun ortaya çıkar. Bu durumu ortadan kaldırmak için firewall haricinde Internet bağlantısı (dial-up) çözüm gibi görünse de bu durumda da güvenlik tehlikeye atılmış olur.1
3.2. Güvenlik Duvarı - Satın Almak
Neyi, nasıl güvenlik altına aldığınızı bilmeden, pahalı bir ticari güvenlik duvarı satın almak size güvenlik sağlamaz. Dünyanın en pahalı ve gelişkin güvenlik duvarı, eğer çeşitli protokolleri açmış, fiziksel bağlantının tekliği kavramına uymamış, her tür erişime izin vermiş iseniz, size bir fayda sağlamaz. Elinizdeki Cisco router'unuzu paket filtrelemek için programlamaktan tutun, ticari ve pahalı bir güvenlik duvarı satın almaya kadar uygulayacağınız her tür yöntem, neyi, ne için yaptığınızı biliyorsanız faydalıdır. Güvenlik duvarları, sizin ağ altyapınız ve sizin erişim ihtiyaçlarınız ile alakalıdır. Dolayısıyla ticari bir güvenlik duvarı satın almak niyetinde olsanız dahi, güvenlik duvarlarının ne yaptığını öğrenmek ve erişim ihtiyaçlarınızı belirlemek zorundasınız.
3.3. Güvenlik Duvarı Kavramları
Bütününe güvenlik duvarı dediğimiz servisler aslında bir kaç alt kavramdan oluşmaktadır: Bastion host, NAT, Paket Filtreleme, Proxy (vekil). Bütün güvenlik duvarları (ticari olanlar ve olmayanlar), bu uygulamaların hepsini veya bir kısmını uygularlar.
3.3.1. Bastion Host
İdealde ağınızdaki güvenlik ağ seviyesinde ve ağdaki her bir makinada uygulanır. Pratikte ise, bu ya yapılamamakta, ya da ihtiyaç duyulan kimi protokollerin güvenlikten yoksun olduğu bilinse dahi kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir ağla, dış dünya arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Dolayısıyla içerideki ağa girmek isteyen her kötü niyetli dış saldırı, önce özel olarak korumalı tasarlanmış güvenlik duvarı makinasını bertaraf etmek zorundadır. Bu makinaya kale, nöbetçi kale anlamına gelen bastion host da denir. Bastion host, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (Internet). Bastion host iki özelliğe sahiptir:
• Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
• İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.
3.3.2. NAT, Masquerade
Günümüzde iç ağların hemen hepsi tahsisli olmayan IP numaraları (10.0.0.0, 192.168.0.0 vs.) kullanmaktadır. Bu IP numaraları Internet üzerindeki yönlendiriciler (router) tarafından bilinmez. Dolayısıyla bu ağlardan Internet'teki herhangi bir makinaya bir erişim olduğu zaman Internet'teki makina bu ağa nasıl geri döneceğini bilmez ve pratikte iletişim yapılamaz. Güvenlik duvarı ise, dinamik veya statik olarak Internet'te bilinen ve kendisine yönlendirme yapılabilen bir IP numarasına sahiptir. İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'ten gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi) denir.
NAT yapıldığı zaman, oluşan trafiğin Internet'ten görüldüğü hali, Internet'te bulunan tek bir makinanın (güvenlik duvarı) bazı Internet alışverişleri yaptığıdır. Internet'e, bu makinanın arkasındaki ağın büyüklüğü, bu ağdaki makinaların cinsi, sayısı, ağın yapısı vs. hakkında herhangi bir bilgi gitmez. Dolayısıyla NAT, yalnızca tahsissiz ağlardan Internet'e erişimi sağlamakla kalmaz, ağınızdaki makinalar hakkında bilgi edinilmesini (ve dolayısıyla size karşı yapılabilecek saldırıları) zorlaştırır.
3.3.3. Paket Filtreleme:
Yukarıda bahsedilen önlemler (güvenlik duvarının tek fiziksel bağlantı olması, NAT uygulanması) ağınıza belli bir miktar güvenlik sağlar, fakat esas güvenlik, paket filtreleme yöntemlerinden gelir. Bu yöntemler, güvenlik duvarından geçen her IP paketine bakılması ve ancak belli şartlara uyarsa geçişine izin verilmesi şeklinde uygulanır.
Örneğin:
• İç ağınızdan kimsenin Internet'te ICQ kullanmasını istemiyorsunuz.
• Dışarıdan içeriye hiç kimsenin telnet yapabilmesini istemiyorsunuz.
Bu hedefleri gerçekleştirmek için paket filtreleme yöntemleri kullanacaksınız. Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı (dışarıya çıkışa izin ver, fakat içeriye girişe izin verme) olarak uygulanabilir.
Paket filtrelemede özellikle yapmanız gereken minimum, dışarıdan gelip de kaynağını içerisi gibi gösteren (ip spoofing, ip aldatmacası) paketleri ve devam etmekte olan bir trafiğin parçası imiş gibi gelen paketleri (ip fragments) filtrelemek ve bunların geçişine izin vermemektir. Çoğu saldırı, bu şekilde başlar.
Bu minimumu sağladıktan sonra, dışarıdan içeriye yapılmasına izin verdiğiniz erişimleri (telnet yapsınlar mı?, ping yapabilsinler mi?) ve içeriden dışarıya yapılmasına izin verdiğiniz erişimleri (kullanıcılarınız dışarıya telnet yapabilsin mi? Web'e erişsinler mi? ICQ yapabilsinler mi?) belirlemeniz ve güvenlik duvarı üzerindeki filtre protokollerinizi buna göre oluşturmanız gerekir.
3.3.4. Stateful (dinamik) Filtreleme
Eskiden filtreleme metodları ağırlıklı olarak statikti -- yani genel olarak ağınıza ICQ paketlerinin girmesine izin verip vermeme kararı söz konusu idi. 2.4 Çekirdeği ve bizim aşağıda örneğini verdiğimiz iptables uygulaması ile birlikte stateful (dinamik) filtreleme Linux üzerinde kullanılabilir hale geldi. Aradaki fark, paketin sırf protokolüne bakarak karar vermek yerine, güvenlik duvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi ve çift yönlü paket geçişlerine buna göre karar vermesidir. Yani bir telnet bağlantısında her iki taraftan da paketler gelir ve gider. Fakat dinamik filtreleme ile, bir telnet bağlantısı iç ağınızdan başlatılmışsa izin verir, başlangıç istemi dış ağdan gelmişse reddedebilirsiniz. Dinamik filtreleme özelliği olmayan güvenlik duvarlarını kullanmanızı önermiyoruz. 2.4 çekirdeği ve iptables uygulaması olan her Linux üzerinde dinamik filtreleme yapabilirsiniz.
3.4. Bazı İnternet Servislerini İç Ağdan Vermek
Ağınızda Internet'ten erişimi olması gereken web, posta gibi sunucular bulunabilir. Bu sunuculara erişimi iki yoldan vermeniz mümkündür:
• DMZ - Demilitarized Zone -- Silahsızlandırılmış bölge uygulaması.
• İç ağınızda bu servislere direkt filtreleme yaparak.
3.4.1. DMZ Demilitarized Zone -- Silahsızlandırılmış Bölge
DMZ, güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir. Güvenlik duvarına üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinaların buraya konulması ile oluşturulur. Örneğin DMZ'deki makinalara NAT uygulanmayabilir, tahsisli IP numaralarına sahip olabilirler. Güvenlik duvarı, telnet, ssh gibi kimi protokollerin buraya erişimini filtreleyerek DMZ bölgesindeki makinalara güvenlik sağlar. Dikkat edilecek nokta, DMZ'de bulunan makinaların daha fazla erişime (ve dolayısıyla saldırıya) açık olmasıdır. Buradaki makinalar dikkatli kurulmalı, güvenliğe aykırı protokoller vs. burada yer almamalıdır.
3.4.2. Direkt Filtreleme
DMZ oluşturmak için ek ekipman ve IP numarası gerekir. Güvenlik duvarında üçüncü bir ağ birimi, ayrı bir switch, daha fazla adette tahsisli IP numarası, ve iç ağınızda başka herhangi bir görev görmeyecek olan sunucu makinalar gerekir. Eldeki imkanlar buna yetişmeyebilir. Böyle durumlarda, güvenlik duvarınızdaki filtreleme politikasını değiştirerek iç ağınızdaki kimi makinalara dışarıdan sınırlı erişim imkanı verebilirsiniz. Örneğin güvenlik duvarınız ağınızın genelinde dışarıdan gelen SMTP (posta) protokolünü filtrelerken, sadece posta sunucunuza dışarıdan SMTP protokolü erişimini verebilir. NAT ile birleştirileceğinden, bu dışarıdan bakıldığı zaman sanki güvenlik duvarınız posta sunuculuğu yapıyormuş izlenimini verir.
3.5. İnternete Bağlanırken Gerekenler: Proxy - Vekil
Proxy'nin kelime anlamı vekil'dir. Yukarıdaki metodların hepsi, belli kurallara bağlı olarak Internet'teki bir makina ile iç ağdaki bir makina arasında direkt alışverişe izin verir. Vekil uygulamaları ise, bu direkt alışverişin arasına girer. Dolayısıyla protokol bazlı herhangi bir saldırı, vekil sunucuya yönelik gerçekleşir, iç ağdaki makinayı etkilemez. Örneğin bir http (web) vekili, iç ağdan dışarıya giden bütün web isteklerini toplar. Bu istekleri kendisi yapar, gelen sonuçları iç ağa dağıtır. Örneğin eğer web protokolü yolu ile istemci makinanın bazı bilgilerinin alınması veya bir saldırı yapılması söz konusu olur ise, bundan etkilenen sadece web vekili makina olur, iç ağda web erişiminde bulunan her makina değil.
Güvenlik amacı ile proxy kullanımı, application level firewall (uygulama temelli güvenlik duvarı) olarak adlandırılır.
3.5.1. Vekillerin Başka Kullanımları
• Güvenlik amaçlı - yukarıda bahsedilmiştir.
• İzin amaçlı - İç ağınızdan bazı servislere kimin erişebileceğini belirlemekte, izin politikası uygulamakta kullanılırlar.
• Performans amaçlı - Pek çok istemci aynı istekte bulunuyorsa, bunların bir defaya indirgenmesini sağlayarak hem sunucu makinanın üzerindeki yükü, hem de kullanılan bağlantı yükünü hafifletirler.
Vekil sunucular, en fazla kullanılan örneği olan web vekili (squid) üzerinde daha detaylı olarak aşağıda anlatılmıştır.
Günümüzde popüler biçimde kullanılmakta olan Internet , beraberinde bazı teknoloji ve zorunlulukları da beraberinde getirmiştir.Bunlardan en önemlisi ağ güvenliğini sağlamakta kullanılan ve gittikçe kullanım alanının genişlemesiyle kendisine sektörde büyük yer bulan firewall 'lardır.Eğer sizinde Internet bağlantınız, ağ ort*****zı tehlike altına sokuyorsa, sisteminize firewall kurup rahat uyuyabilirsiniz. Internet'e bağlandıktan sonra ağ yapınız herhangi bir güvenlik sistemi içermiyorsa , mevcut bilgileriniz tehdit altındadır.Internet üzerindeki kullanım trafiği arttıkça bu durum intranetinizi daha çok etkisi altına alır.
Geçmişte kullanılmakta olan 'mainframe' teknolojisinin yerini PC tabanlı yerel ağlar almaya başlamıştır. Ancak bu durumda sisteminizin bağlı olduğu Internet'te karşınızda nasıl bir sistem olduğunu belirleyemezsiniz.
'Firewall', ağ ort*****zla Internet ortamı arasına konan ve istenmeyen erişimleri engelleyen bir sistemdir.Ayrıca 'firewall' yardımıyla ağ güvenliği tam olarak sağlanır ve erişim haklarıda düzenlenebilir. Ancak firewall'u sisteminize kurarken dikkat edilmesi ve gözönüne alınması gereken bazı noktalar vardır. Bunlardan en önemlisi firewall' un belirli bir stratejiye göre hazırlanmasıdır.
Firewall kurulmadan önce ne tür bilgilerin korunacağı ,ne derecede bir güvenlik uygulanacağı ve kullanılacak güvenlik algoritmaları önceden belirlenmelidir. Firewall'un sistem üzerinde tam olarak etkili olabilmesi için ağ ortamı ile Internet arasındaki tüm trafiğin firewall üzerinden geçmesi gerekir.Firewall sadece router ile değil aynı zamanda , sadece o işleme ayrılmış gateway 'ler tarafından da oluşturulabilir.
Firewall ağ yöneticisine bir noktadan kontrol imkanı sağlar.Bu yapı yardımıyla dışarıdan gelebilecek saldırılar önlenebildiği gibi aynı zamanda sistemin işleyişi ile ilgili bilgilerinde elde edilmesinde de kullanılabilir.
Firewall 'ların tercih edilmesi için en büyük nedenlerden biride NAT (Network Address Translation) özelliğidir. İleride IP adres uzayındaki kısıtlı ortam nedeniyle , adreslemelerdeki problemleri ortadan kaldırabilir. Sadece tek bir IP adresi ile Internet'e çıkabilir ve yerel ağ ort*****zdaki IP adreslerini tamamen Internet ortamından yalıtılmış şekilde kullanabilirsiniz. Böylece herhangi bir Internet Servis sağlayışı değişikliğinde IP adreslerinizi değiştirmenize gerek kalmayacak.
Firewall kullanımı ile , ağ ortamı bazı durumlarda birtakım kısıtlamalar ile karşı karşıya kalabilir. Firewall 'un bozulması durumunda sistemin Internet bağlantısında sorun ortaya çıkar. Bu durumu ortadan kaldırmak için firewall haricinde Internet bağlanrısı (dial-up) çözüm gibi görünse de bu durumda da güvenlik tehlikeye atılmış olur.
4. FİREWALL TASARIM TEKNİKLERİ
Bir firewall tasarlanmadan önce , ağ yöneticisinin gözönüne alması gereken birkaç durum vardır.
Ÿ Firewall 'ın yapısı
Ÿ Güvenlik prensibi
Ÿ Toplam maliyet sınırı
Ÿ Firewall sisteminin bileşenleri
Bir firewall tasarlanırken , kurulacağı sisteme göre iskelet yapısı düşünülmelidir. Buna göre birçok durum ortaya çıkabilir. Bunlardan iki durum en çok kullanılır.
Ÿ Belirli hostlar dışında tüm sisteme erişimin engellenmesi.
Ÿ Belirli hostlar dışında tüm sisteme erişimin serbest olması.
4.1. Paket Filitrelemeli Routerlar – PFR
Firewall oluşturmanın en kolay yolu konfigüre edilebilir bir router kullanmaktır. Routerlar , ağlararası ortam içinde gelen paketlerin kaynak ve hedef adreslerine bakarak , yönlendirmeyi ona göre yapar. Gelen paketlerin başlık bilgileri içersindeki bilgiler (kaynak ve hedef adres,kullanılan protocol (TCP, UDP; ICMP; IP Tunnel )...) analiz edilir. Bu karşılaştırmalara göre karar verilerek işlem yapılır.
4.2. Belirli Servise Bağlı PFR
Yukarıdaki algoritmaya göre çalışırlar ancak sadece belirli bir servis portu üzerinden işlem yapan programlarda kullanılır. Örneğin Telnet sunumcusu uzak bağlantıları 23. TCP portundan , SMTP sunumcusu ise 25. TCP portu üzerinden dinleme işlemini yapar. Bu sistemde izin verilmiş host listesi bulunur ve uygun portlara gelipte bu host isimlerini içeren paketlere geçiş izni verilir. Diğerlerinin geçişi engellenir.
Router kullanılarak yapılan firewall sistemleri sektörde en çok tercih edilen yoldur. Çünkü router ile birlikte gelen yazılımla beraber , firewall özellikleri de beraberinde gelir. Sadece ağ yöneticisi tarafından programlanması gerekir. Firewall'u oluşturacak kişinin özel bir eğitime ihtiyacı olmaması ve router üzerinde geçiş listeleri hazırlanarak erişimlerin belirlenmesi bu metodun göze batan yönleridir. Ancak ağ yöneticisinin tek tek erişim listesi hazırlaması yönetim işlemlerini oldukça zorlaştırmaktadır. Çünkü bu işlemi yapacak kişinin Internet servislerinin ve başlık bilgilerinin biçiminin hepsini bilmesi gerekir. Eğer karmaşık bir filitreleme kullanılacaksa işlem gittikçe zorlaşır. Genellikle filitreleme arttıkça, router üzerinden geçen paket sayısı azalır. Router filitreleme yaparken kendi görevi yanında yani paketin başlık bilgisini yönlendirme tablosunda arama işlemi yanında, filitreleme işlemlerini de o pakete uygulamalıdır. Bu durumda filitreleme yapmak için router'ın CPU 'yu kullanması gerekir. Bu da performansta bir düşüşe yol açabilir.
PFR kullanımında IP paketleri seviyesinde erişim kontrolü yapıldığından ve uygulama seviyesine çıkılamadığından bazı durumlarda yetersiz kontrol durumunda kalınabilinir.
4.3. Uygulama Seviyesi Geçitler
Bu yöntem, ağ yöneticisine , paket filitrelemeli yöntemden daha güvenli bir ortam sağlama imkanı verir. Uygulama seviyesinde kontrol uygulanarak sistemin güvenliği sağlanır. İstenen programların çalışmasına izin verilirken, yasak olanlar ise ağ yöneticisi tarafından belirlenerek kontrol edilir. Bu tür firewall tekniklerinde ağ yöneticisine büyük bir sorumluluk düşmekte ve gerekli olan konfigürasyonu tamamiyle kendisinin yapması gerekmektedir. Kullanıcıların proxy 'yi geçmelerine izin verilir, ancak bu geçiş hakları yine ağ yöneticisi tarafından düzenlenir.
5. Erişim Denetimi
İnternet'e bağlı kurumların mutlaka dikkate almaları gereken konu erişim denetimidir. Erişim denetimi ile kurum içi network (sadece LAN olabileceği gibi, tüm ofisleri birbirine bağlayan WAN da olabilir) ile kurum dışı network yani Internet'in arasındaki erişim kurallarının belirlenmesidir. Yani Internet üzerinden hangi kaynaklara, hangi şartlar altında ve nasıl ulaşılacağı, erişim denetimi ile belirlenir.
Erişim denetimi firewall adı verilen cihazlarla sağlanır. Firewall ile network üzerinden çıkışı ve giriş arasındaki belirlenen kurallar çerçevesinde ayrıca geçen trafiğin loglanması, tanımlanan kurallar ile çeşitli hakların belirlenmesi sağlanabilir. Firewall, bir kurumun güvenlik sisteminin temelini oluşturmaktadır. Güvenlik sistemi içerisinde düşünülecek diğer yapılar firewall'a dayanmaktadır.
Firewall olarak yazılım ve donanım tabanlı seçenekler mevcuttur. İşletim sisteminden bağımsız olması, yüksek performans sunması ve yedeklenebilirlik nitelikleri nedeniyle donanım tabanlı çözümler tercih edilebilir. Dünyanın en büyük Network ekipmanı üreticisi Cisco Systems, donanım tabanlı firewall olarak iki seçenek sunmaktadır:
Cisco PIX Firewall: Sadece Firewall işlevleri için tasarlanmış yüksek performanslı bir donanımdır. Çok sayıda kullanıcının olduğu sistemlerde yüksek performans elde edilmek istendiğinde tercih edilmektedir.
Cisco IOS Firewall: Cisco Router'larıüzerine yüklenerek, Router ile entegre bir firewall elde edilmek istendiğinde kullanılmaktadır. Router ile entegre olması, yönetim ve maliyet açılarından avantaj sağlamaktadır.
Pargem, dünya Firewall pazarınında en büyük pazar payına sahip olan Cisco Systems çözümleri için kurulum, eğitim ve yönetim desteği hizmetleri vermektedir. Pargem'in sunduğu hizmetler şöyle sıralanabilir:
• Internal Network, DMZ ve Internet portlarının tanımlanması ve IP adreslerinin belirlenmesi.
• TELNET ile erişim yetkisine sahip hostların belirlenmesi ve tanımlarının yapılması.
• Internet erişimi için gerekli routing ayarlarının yapılması.
• Internal Network birden fazla subnet varsa gerekli routing ayarlarının yapılması.
• Internal Network'den Internet'e erişim için Dynamic Network Address Translation ayarlarının yapılması.
• Internet'den erişilmesi gereken serverlar için gerekli Static Network Address Translation ayarlarının ve erişime izin verilen port tanımlarının yapılması.
• Tercih edilen güvenlik stratejisine göre, gerekli Internet erişimi kısıtlamalarının yapılması.1
6. SIFIRDAN, GENEL BİR LİNUX DAĞITIMI (REDHAT) KULLANARAK GÜVENLİK DUVARI OLUŞTURMAK
6.1. Güvenlik Duvarı - Satın Almak, Kendiniz Yapmak?
Neyi, nasıl güvenlik altına aldığınızı bilmeden, pahalı bir ticari güvenlik duvarı satın almak size güvenlik sağlamaz. Dünyanın en pahalı ve gelişkin güvenlik duvarı, eğer çeşitli protokolleri açmış, fiziksel bağlantının tekliği kavramına uymamış, her tür erişime izin vermiş iseniz, size bir fayda sağlamaz. Elinizdeki Cisco router'unuzu paket filtrelemek için programlamaktan tutun, ticari ve pahalı bir güvenlik duvarı satın almaya kadar uygulayacağınız her tür yöntem, neyi, ne için yaptığınızı biliyorsanız faydalıdır. Güvenlik duvarları, sizin ağ altyapınız ve sizin erişim ihtiyaçlarınız ile alakalıdır. Dolayısıyla ticari bir güvenlik duvarı satın almak niyetinde olsanız dahi, güvenlik duvarlarının ne yaptığını öğrenmek ve erişim ihtiyaçlarınızı belirlemek zorundasınız.
Güvenlik duvarınızı kendiniz, Linux temelli bir makina üzerinde oluşturabilirsiniz, veya kendiniz oluşturmak istemezseniz Linux temelli hazır bir güvenlik duvarını uygulayabilirsiniz. Ticari olarak satılan güvenlik duvarlarının yapıp, doğru oluşturulmuş bir Linux sisteminin yapamadığı hiç bir şey yoktur.
6.2. Linux Temelli Hazır Güvenlik Duvarları
Her ne kadar genel bir dağıtım (örneğin Redhat) ile başlayıp kendiniz güvenlik duvarını oluşturabilseniz dahi bazı sebeplerden dolayı bunu yapmak istemeyebilirsiniz:
• Güvenlik duvarı olarak kullanacağınız makinayı doğru kurmanız gereklidir. Bunun üzerindeki gerekmeyen servisleri kaldırmanız, makinayı güvenli çalışabilecek şekilde kurmanız gereklidir. Bunları yapmakta kendinize güvenmiyorsanız, aşağıda bahsedilen hazır Linux güvenlik duvarlarından birini kurmak isteyebilirsiniz.
• Güvenlik duvarı bir kez kurulup ondan sonra hiç güncellenmeyecek bir sistem değildir. Ticari güvenlik duvarları da sürekli olarak yeni bulunan eksiklikleri kapatmak için güncellenirler. Genel bir dağıtım kullanarak bir güvenlik duvarı oluşturduktan sonra, sürekli olarak yeni çıkan güncellemeleri takip etmek zorundasınız. Eğer bu takibi yapmaya zaman ayıramayacaksanız, aşağıdaki hazır Linux güvenlik duvarlarından birini kullanın. Yalnızca bu paketlere gelen güncellemeleri takip eder ve genel bir dağıtıma yapılan güncellemelerin sizin açınızdan gerekli/gereksiz olup olmadığına karar vermek yükünden kurtulursunuz.
• Güvenlik duvarı üzerinde aşağıda bahsedilen yöntemleri doğru uygulamanız gereklidir. Eğer bunları doğru uygulayacak sistem bilgisine sahip değilseniz ve öğrenmek istemiyorsanız, hazır bir güvenlik duvarı sizin için en iyi yöntem olabilir.
• Güvenlik duvarını gün be gün yönetecek kişi ile güvenlik duvarını kuracak kişi aynı olmayabilir. Aşağıda bahsedilen Linux temelli güvenlik duvarları gayet profesyonel görüntülü, grafik arayüzlerine sahiptir. Bunları kullanmak ve yönetmek kendi oluşturacağınız bir makinayı kullanmak ve yönetmekten daha kolay olacaktır.
• Güvenlik duvarı için gereken bütün servisleri bir araya getirmek azımsanmayacak bir sistem entegrasyonudur. Bu işi yapmak yerine hazır, Linux temelli bir güvenlik duvarı kurmayı tercih edebilirsiniz.
6.3. Linux uzerinde IPCHAINS Firewall Kurulumu ve
Konfigurasyonu
6.3.1. Paket Filtreleme
Paket filtreleme Linux kernel(Çekirdek) içerisine gömülmüş durumdadır ve TCP/IP protokolunun Network Layer(Ağ Katmanı) a çalışır.Bu sayede sadece firewall kurallarının izin verdiği paketlerin geçisine izin verilir. Paketler tipine ,kaynak adresine(source address), hedef adresine (destination address) ve portlara göre filtrelenir. Paket Aynı zamanda Router görevi yapan firewall makinasına geldigi zaman paketin başlık(header) kısmı açılır ve paket başlığındaki bilgilere göre pakete izin verilir veya engellenir. Paketin başlık kısmında aşağıdaki bilgiler bulunur.
• Kaynak(source) IP adresi
• Hedef (Destination) IP adresi
• TCP/IP Kaynak Portu
• TCP/IP Hedef Portu
• ICMP Mesaj Türü
• Protokol Türü
İki türlü Firewall dizayn vardı
1-Kapatınlan trafik dışındaki tüm trafige izin vermek. Burada güvenlik açığı olabilecek uygulamaları tek tek kapatmak zorundayız ve diğerlerine izin vermemeliyiz. Bu durumda bazı gözden kaçırdığımız durumlar olabilir. Bu yüzden güvenlik açısından çok iyi bir yöntem değildir. Onun için burada 2. yöntemi uygulayacağız
2- İzin verilen trafik dışındaki tüm trafiği engellemek Bu durum en iyi firewall dizayndır. Burada nelere izin verilip verilmedigi bellidir ve dahilimiz dışında hehangi bir pakete izin verilmez.
6.3.2. Ipchains Firewall
Ipchains, Linux 2.1.102 kernel dan itibaren kullanılmaya başlayan tüm linux çeşitlerinde bulunan ücretsiz bir firewall çeşitidir. Binlerde $ verilip alınan diğer firewalların yaptığı (IP bazında ,Ağ bazında ,protokol bazında, port bazında filtreleme , port yönlendirme, gelen paketi reddetme ) gibi tüm işleri yapmaktadır.Ama ne yazık ki ipchainsi bilmeyenler için ,ipchains sadece ücretsiz basit bir firewall programından ibaret görülmektedir. Günde onlarca sitenin HACK edildiği günümüzde ,İnternette güvenliğin ne kadar önemli olduğuna anlatmaya gerek yok. Burada ipchains ile neler yapılacağı anlatılacaktır ve örnek bir ağ yapısı ele alınarak ipchains firewall dizaynı yapılacaktır.
Linux 2.1.102 kernel dan önce ipfwadm isimli firewall vardı. Linux kernel liniz 2.0 ise ipchains kullanmak için yama(patch) yapmanız gerekiyor. Ama tavsiyem, şu an en son kararlı kernel 2.2.17 yi ftp://ftp.kernel.org adresinden indirip derlemeniz olacak . Burada baştan Kernel derleme anlatılmayacaktır sadece kernel a ipchains desteği(Yoksa !) nasıl verileceği anlatılacaktır.Eğer 2.1.102 kernel dan yukarısını kullanıyorsanız. ve /proc/net/ip_fwchains dosyası var ise ipchains kurulu demektir.Kernel derlemenize gerek yoktur. Eğer Kernel de ipchains desteği yoksa ve ipchains yüklü değilse http://netfilter.filewatcher.org/ipchains adresinden ipchains indirip kurun ve kernelinize
Network firewalls ONFIG_FIREFALL) N] Y IP:Firewalling (CONFIG_IP_FIREWALL) [N] Y IP:TCP syncookie support (CONFIG_SYN_COOKIES) [N] Y
IP:Masquerading (CONFIG_IP_MASQUERADE) [N] Y
IP:ICMP Masquerading (CONFIG_IP_MASQUERADE_ICMP) [N] Y
yukarıdaki destekleri vererek kernel i tekrar derleyiniz. kernel derlemek için
/usr/src/linux dizin altında sıra ile # make dep &&
make clean && make bzImage && make modules && make modules_install
komutunu veriniz ve
#cp /usr/src/linux/arch/i386/boot/bzImage /boot komutu ile kopyalayın ve
/etc/lilo.conf dosyasına
image=/boot/bzImage
label=linux
root=/dev/xxx
read-only
xxx Linux un bulunduğu root dizini ifade etmektedir. yazdıktan sonra
# lilo komutunu verdikten sonra linux reboot edin.
Ipchains komutlari
İlk olarak # kullanıldığını da bunun Linux konsolu oldugunu ve Linux e root kullanıcısı ile girildiği kabul edilecektir. Kullandığınız ipchains versiyonunu öğrenmek için
# ipchains --version komutu verildiğinde
ipchains 1.3.9 17-Mar-1999
Ipchains te
paketler için ön tanımlı olarak 3 grup vardır.
input: (Giriş) Makinanızanın arayüzüne gelen paketller.
output: (Çıkış) Makinanızın ara yüzünden çıkan paketler.
forward: (Yönlendirme) Makinanızın bir arayüzünden gelip , diğer arayüzüne geçen paketler (MASQUARING gibi)
bunların dışında kullanıcıların kendilerine grup tanımlayabilirler.
Kendi grubunuzu tanımlamak için
# ipchains -N grubadı komutu ile belirtilen grub adında bir grub oluşur.
Ipchains le kullanılan parametler şu şekildedir.
-A : (Append) Yeni bir kural ekleme
-D : (Delete) Tanımlanmış bir kuralı silme
-R : (Replace) Bır kuralı değiştirmek için kullanılır.
-I Insert) Araya kural eklemek için kullanılır
-F Flush) Bir kurallar tablosunun tamamen silinmesini sağlar(tablonun içeriği sıfırlanır).
-X : içeriği sıfır olan kural gruplarını (input , output, forward, kullanıcının tanımladıkları)siler.
-N : (New) Yeni bir kural grubu oluşturur.
-L : (List) Tanımlı kural grublarındaki kuralları listeler
-P : (Policy) ipchains in ön tanımlı kural grublarının kurallarını ayarlar.
-i interface(arayüz) :Hangi arayüzün kullanılacağını belirtir.
-s kaynak (source)
aketin geldiği kaynağın IP adresi veya ağ grubunu belirtilir.
-d hedef (destination)aketin gideceği adres veya adres grubu
-p protokol(protocol)aketin kullandığı protokol adını belirtir(tcp udp icmp gibi).
-j (jump)aket ile ilgili hangi kararın verileceğini belirtir.
-l log(kayıt)aket ile ilgili bilgilerin log dosyasına yazılmasını sağlar
-v (verbose)aket ile ilgili detaylı bilgi verir.
! :Bu parametre kuralın değilinıi (tersini) belirtilir.
Firewall makinamızda Paket için aşagıdaki Karar mekanizmaları(Policy) işler.
ACCEPT: Paketin kabul edildiğini belirtir.
DENY : Paketin kabul edilmediğini belirtir. Paket blok edilir ve paketi gönderen tarafa hiç bir şey gönderilmez.
REJECT: Paket reddedilir ve paketi gönderen tarafa paketin reddedildiğine dair bilgi gönderilir.
MASQ : Paketin maskelendigini belirtir. (MASQUARING de kullanılır)
REDIRECT: Bir porta (gelen , giden, yönlendirilen) paketin başka bir yerel porta yönlendirilmesi işini yapar.(Genelde Web isteklerini yerel makinadaki proxy portuna yönlendirmek için kullanılır.),
Portlarla ilğili olarakta.
1:1000 ifadesi 1 ile 1000 arasındaki portları tanımlayabilirsiniz.
1500: ifadesi ise 1500 ile 65535 (En sonuncu port) demektir.
Yukarıdaki tüm ifadeleri örneklerle açıklayalım.
# ipchains -A input -i eth0 -p tcp -s 193.12.3.100 -d 212.65.128.100 80 -j ACCEPT
Bu komut eth0 arayüzüne(-i eth0), 193.12.3.100 IP adresinden (-s 193.12.3.100) gelen (-A input) , tcp (-p tcp) protokolunu kullanan ve 212.65.128.100 IP li (-d 212.65.128.100 )bilgisayarın 80 portuna gelen paketleri kabul et(-j ACCEPT) manasına gelmektedir.
# ipchains -A output -s 212.65.128.100 25 -d 0/0 -p tcp -i eth0 -j ACCEPT
Bu komut ise eth0 arayüzünü kullanan 212.65.128.100 IP li makinanın 25 portundan gelen ve herhangi bir yere (0/0) giden tcp protokolu kullananan paketlerin çıkışına (-A output) izin ver (-j ACCEPT) demektir.
#ipchains -A forward -s 0/0 -i eth1 -d 200.1.2.3 -p icmp -j ACCEPT
Bu ifade ise herhangi bir yerden eth1 arayüzüne gelen ve 200.1.2.3 IP li makinaya giden tüm icmp protokolu paketlerini kabul et demektir.
#ipchains -D forward -s 0/0 -i eth1 -d 200.1.2.3 -p icmp -j ACCEPT
İfadesi ile bir üstte oluşturduğumuz kuralı kurallar tablosundan sil demektir.
# ipchains -P input DENY
# ipchains -P output DENY
# ipchains -P forward DENY
Bu komutlar ile ön tanımlı üç kural grubu için gelen paketleri yasakla (DENY) demektir. Bu durumda hiç bir paket giriş çıkışı olmaz
# ipchains -A forward -i eth0 -p tcp -s 192.168.1.0/24 -d 0/0 -j MASQ
Bu komut ile yerel ağdan gelen ve dışarı giden ( nereye olursa olsun internet veya diğer ağa ) tüm paketlere MASQUARING uygula demektir.
#ipchains –F
Bu komut ile daha önce belirlenen tüm gruplara ait kurallar silinir.
#ipchains -F input
ile sadece input grubuna ait komutlar silinir.
#ipchains -L
ifadesi ile tüm grublarda tanımlanan kurallar listelenir.
Firewall Dizayni
Burada aşağıdaki gibi bir sisteme sahip bir firma olduğu varsayılacak ve buna göre firewall dizayn yapılacaktır.
INTERNET
ppp0 veya eth2
|160.75.5.5 | Sunucu Network
| | eth0
| | | LINUX |
| IPCHAINS | 212.2.2.1 |
| FIREWALL |
|192.168.1.1|
| eth1 | WWW |SMTP |DNS |
|192.168.1
| 212.2.2.2 212.2.2.3 212.2.2.4
YEREL AĞ
Yukarıdaki şemayı açıklamadan önce Linux de arayüz(interface) isimlerinden kısaca bahsedeyim.Linuxte birinci ethernet kartının ismi eth0 dır
ikinci ethernet kartınn ismi eth1 dir
üçüncü ethernet kartının ismi eth2 dir. ve bu şekilde devam eder,ve
hangi ethernet kartının hangi isimde olacağı size kalmış.
Kısacası ,3 ethernet kartı varsa istediğinizi eth0 eth1 veya eth2 olarak belirleyebilirsiniz.
Birinci Modem bağlantısının ismi ise ppp0
Linuxun kendisinden oluşan ve yine kendisine giden paketler lo0 (loopback) arayüzünü kullanır. Bu sayede paket dışarı çıkmadan kendisine iletilir.
Şeklimizi açıklamaya başlayalım:
Şekilde 3 tane arayüze(interface)sahip bir Linux (Ipchains Kurulu) bilgisayar gözükmektedir.
Linux umuz eth0 (Birinci ethernet kartı) isimli arayüz ile firmamızın Sunucularının olduğu ağa bağlanmştır. Sunucların olduğu ağda Firmamıza ait WWW(Web sunucusu IP: 212.2.2.2 ), SMTP(Mail ve POP3 sunucusu IP:212.2.2.3) , DNS(dns sunucusu IP: 212.2.2.4) bulunmaktadır. ve eth1 arayüzü ile Şirkette çalışanların bilgisayarlarının olduğu Yerel Ağa bağlı. Son olarakta ppp0 (Modem) arayüzü ile internet çıkışımızı sağlanmaktadır. Çoğu firmanın Kiralık Hat kulandığı göze alınarak Modem bağlantısının Kiralık hat ile yapıldığı ve sabit bir IP(160.75.5.5) ye sahip olduğu kabul edilmiştir. (Not: hangi servisin hangi numaraya sahip olduğunu /etc/services dosyasından öğrenebilirsiniz.)
Dikkat ederseniz Yerel ağ 192.168.1 ile başlayan kayıtsız (unregistered) IP lere sahip bir özel(private) ağdır. Bu tür IP lere sahip bilgisayarların internete bağlanması ve için Linuxumuzda MASQUARING (Maskeleme) yapılması lazımdır. MASQUARING de yerel ağdan çıkan paketler sanki Firewall makinasından çıkıyormuş gibi gösterilir. ve paketinize gelen cevap ilk önce Linux firewall makinamıza gelir ve sizin bilgisara ulaştırılır. Bir örnekle açıklayalım . Diyelim ki siz 192.168.1.49 IP li yerel ağdaki bilgisarayızın web tarayıcısından http://skywalker.mis.boun.edu.tr web sayfasına bağlanmak istediniz.
1-Bu paket sizin bilgisayarınızın 1500 portundan http://skywalker.mis.boun.edu.tr sunucusunun 80(HTTP) portuna gitmek için oluşturulur ve Gateway e iletilir.
2-Gateway olan Linux umuze gelen paket MASQUERADING sayesinde biraz değiştirilir . Aynı paket Linux umuzun kendi yerel 65155 portundan geliyormuş gibi tekrar oluşturulur ve http://skywalker.mis.boun.edu.tr sunucusunun 80 portuna gönderilir.
3- http://skywalker.mis.boun.edu.tr sunucusuna gelen paketimiz bu sunucu tarafından Linux (firewall.pcworld.com.tr diyelim)umuzun 65155 portundan gelmiş gibi gözükür ve gelen pakete cevabı Linux makinamıza gönderir.
4-Linux u muze gelen bu paketi ,Linux 192.168.1.49 bilgisayarına gönderilmesi gerektiğini anlar(Linux kimlerin hangi paketi gönderdiğini hatırlamaktadır ve internet ten paket gelince paket kim göndermişse cevabı ona iletir. ) ve paketi tekrar oluşturarak 192.168.1.49 bilgisayarına iletir.
Anlaşılacağı üzere MASQUERADING olmasa idi gerçek IP ye sahip olmayan bilgisayarların internet e bağlanması mümkün değildi.
IPchains komutlarını vermeden önce bir firewall yaptırımlarını belirleyerek nelere izin verilip nelere izin verilmeyeceğini belirleyelim.
1- Yerel Ağdan Internete:
- İnternete sınırsız erişime izin verilecek.
2- Yerel Ağdan Sunucu Bölgesine (Server zone):
o WWW sunucusunda çalışan HTTP(80 .port) ve HTTPS (443. port) TELNET(23) FTP (20 , 21) servislerine erişimi
o - SMTP sunucusunda çalışan SMTP(25), POP3 (110) , TELNET(23), FTP(20 ,21) servislerine erişim.
o - DNS sunucunda çalışan DOMAIN(53), TELNET (23), FTP(20 ,21) servislerine erişim hakkı verilecektir.
3-Internetten Yerel Ağ erişim.
- Sadece Yerel Ağın internet e gönderdiği paketlere gelen cevap paketler kabul edilecektir.
4-Internetten Sunucu Bölgesine, Sunucudan İnternete:
o WWW sunucusudaki HTTP(80) ve HTTPS(433) servislere giriş ve çılış erişimi
o - SMTP sunucusundaki SMTP(25) servisine giriş ve çıkış erişimi
o - DNS Sunucusundaki DOMAIN(53) servisine giriş çıkışa izin verilecektir.
5-Sunucu Bölgesinden Yerel Ağa
o Sadece Yerel Ağın sunucu bölgesine gönderdiği paketlere gelen cevap paketler kabul edilecektir.
Evet bu şekilde bir firewall uygulaması yapılacaktır. Şimdi Firewall kurmaya başlayabiliriz..
6.3.3. Firewall Kurulumu
İlk olarak linux e forward ozelliği verilmesi lazım bunun için
Eğer Redhat 6.1 Kullanıyorsanız
/etc/syconfig/network dosyasındaki
FORWARD_IPV4="false"
FORWARD_IPV4="yes"
yapın ve
#/etc/rc.d/init.d/network restart komutu ile değişiklikleri aktif yapınız.
Redhat 6.2 kullanıyorsanız
/etc/syscl.conf
net.ipv4.ip_forward = 1
ekleyin ve
#/etc/rc.d/init.d/network restart komutu ile değişiklikleri aktif yapınız.
ya da, RedHat 7.0 kullaniyorsaniz:
#sysctl -w net.ipv4.ip_forward = 1
Diğer Linux çeşitlerinde
# echo 1 > /proc/sys/net/ipv4/ip_forward komutu verinin bu komutun açılışta aktif olması için
Mandrake ve Slackware de /etc/rc.d/rc.local dosyasının içine yazınız.
Buradan sonraki tüm yazınlanları bir dosyaya yazalım çünkü Linux reboot edildiğinde tüm firewall kuralları silinecektir. Bu yüzden reboot edildikten sonra kurallarımızı dosyadan tekrar çalıştırabiliriz.
# ile başlayan ifadeler sadece açıklamadır , firewallın kurallarını değiştirmez.
#
FIREWALL dosyasi
#
Buradan itibaren dosyaya yazin
#Değişkenlerimizi tanımlayım.
www=212.2.2.2 # web sunucusu IP
smtp=212.2.2.3 # mail sunucusu IP
dns=212.2.2.4 # dns sunucusu IP
localnet=192.168.1.0/24 #Tüm Yerel Ağ
fwhost=192.168.1.1/32 # firewall makinasının kendisi
EXTERNAL_INT=ppp0 # internete bağlantı arayüzü
SERVER_INT =eth0 # firewall makinasınındaki sunucuların olduğu tarafın arayüzü
LOCAL_INT=eth1 # firewall makinasınındaki yerel ağ bağlantı arayüzü
LOOPBACK=127.0.0.1 # linuxun kendisinin loopback adresi
# önce ,daha önceki tüm kuralları silelim
ipchains -F
ipchains -X
# tüm işlemleri yasaklayalım
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
# firewall sunucusun kendisinden gelip kendisinden paketlere izin vereelim
ipchains -A input -i lo0 -j ACCEPT
ipchains -A output -i lo0 -j ACCEPT
# internet te bağlı arayüzden sanki bizim loopback ip sinden gelmiş gibi görünen paketleri engelleyelim ve -l parametresi ile böyle bir paket geldiginde log dosyasına yazmasına belirtelim.
ipchains -A input -i $EXTERNAL_INT -s $LOOPBACK -j DENY -l
ipchains -A output -i $EXTERNAL_INT -s $LOOPBACK -j DENY –l
# Yerel ağın internet bağlantısı için MASQUARING i aktif edelim
# MASQUARING RULES
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
# simdi web sunucusuna gelen ve sunucudan gelen pakerler için kuralllar (rules) yazalım.
# WEB SUNUCUSU
#Internetten(ppp0) Web sunucununa(eth0) HTTPD (80) erişimi
# internet ten sunucu ya gelen paketleri kabul edelim
ipchains -A input -i $EXTERNAL_INT -p tcp -d $www 80 -j ACCEPT
# internet arayüzünden(ppp0 ) gelen paketin ,sunucular tarafına giden arayüzüne (eth1) yönlendirilmesi ( forward) kabul ediliyor
ipchains -A forward -i $SERVER_INT -p tcp -d $www 80 -j ACCEPT
# yukarıda firewallın sunucu arayüzüne gelen paket ,artık sunucu arayüzünden çıkıp web sunucusuna gidecektir. Bu durumda bu paket firewall un internet arayüzü için (ppp0) bir input ,Sunucu arayüzü için (eth0) bir output kuralıdır(Çükü paket eth0 dan ÇIKIYOR bu yüzden output dur.).
ipchains -A output -i $SERVER_INT -p tcp -d $www 80 -j ACCEPT
#Şimdide Web sunucusuna yukarıdaki gibi gelen paket lerin çıkışına izin verelim.
#Web sunucusundan (eth0) Internete (ppp0) HTTPD (80) Cevabı (Reply)
# firewall un sunucu arayüzüne web sunucusu tarafından gelen paketi kabul et.
ipchains -A input -i $SERVER_INT -p tcp -s $www 80 ! -y -j ACCEPT
# paketin internet arayüzüne yönlendirilmesini k
İnternet Gateway Servisi :Ana İnternet Bağlantısını Sağlayan Servisi
Dial-On-Demand : Gerektiği Zaman Çevir/Bağlan
NIC: Ağ Arabirim Kartları
IETF : Internet Engineering Tak Force
IPSec : Internet Protokol Güvenliği
FBI/CSC: Bilgisayar Suçları ve Güvenlik Kurumu
AH: Kaynak şifre doğrulama ve veri bütünlüğü sağlayarak, verinin yetkisiz istemciler tarafından erişilememesini sağlayan şifre doğrulama bilgisi
ESP: Gizlilik ve verinin, okunmaması ve kopyalanamamasını sağlayan kapsüle edilmiş güvenlik bilgisi
IP : Şifre Doğrulama Bilgisi
İnternet Gateway Servisi : Ana İnternet Bağlantısını Sağlayan Servis
Adres Çevirme : Address Translation
NAT : Network Address Translation - Ağ Adres Çevrimi
dial-up : Internet bağlantısı
IP Masquerade : IP Taklidi
İp Spoofin: , İp Aldatmacası
DMZ : Demilitarized Zone - Silahsızlandırılmış Bölge Uygulaması
,Application Level Firewall : Uygulama Temelli Güvenlik Duvarı
Squid: Web Vekili
PFR : Paket Filitrelemeli Routerlar
Dial-On-Demand : Gerektiği Zaman Çevir/Bağlan
TANIMLAR
Port
Port’lar, pc’nizin ınternet’e çıkmasını sağlayan sanal kapılar olarak düşünülebilir. Örneğin ınternet tarayıcınız 80 numaralı port’u, e-posta progr*****z 25 ve 110 numaralı port’ları kullanarak ınternet’e çıkarlar. Her program gibi, trojan’lar da port’ları kullanmak zorundadır. Dolayısıyla port’larınızı kontrol edebilen bir firewall, ınternet trafiğinizi de kontrol edebiliyor demektir. Port’larınızın ne zaman açılıp ne zaman kapanmasını istediğinizi firewall’ınıza doğru şekilde anlattığınızda, sadece izin verdiğiniz bağlantılar gerçekleşecek ve izin vermedikleriniz engellenecektir.
Trojan
Internet üzerinden insanların birbirinin bilgisayarına sızdığına, dosyalarını karıştırdığına ve cd-rom’larını açıp kapattığına şahit olmuşsunuzdur. Birçoğumuz da “nasıl oluyor?” Diye düşünmüştür. İşte, davetsiz misafirlerin pc’mize sızıp hakimiyet kazanmaları, trojan denen küçük programcıklar sayesinde olur. Trojan’lara karşı etkili olabilek bir firewall, güvenliğimizi önemli ölçüde arttıracaktır.
IPSec
Sadece Güvenilir Ve Yetkilendirilmiş Sistemlerin Hassas Ve Önemli Verilere Ulaşabilmesini Ağ Katmanında Sağlayabilen Bir Protokoldür
Bastion Host:
İdealde ağınızdaki güvenlik ağ seviyesinde ve ağdaki her bir makinada uygulanır. Pratikte ise, bu ya yapılamamakta, ya da ihtiyaç duyulan kimi protokollerin güvenlikten yoksun olduğu bilinse dahi kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir ağla, dış dünya arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Dolayısıyla içerideki ağa girmek isteyen her kötü niyetli dış saldırı, önce özel olarak korumalı tasarlanmış güvenlik duvarı makinasını bertaraf etmek zorundadır. Bu makinaya kale, nöbetçi kale anlamına gelen bastion host da denir. Bastion host, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (Internet). Bastion host iki özelliğe sahiptir:
• Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.
IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi)
İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'ten gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi) denir.
IPSec AH
IPSec AH iletim metodunda, şifre doğrulama bilgisi IP header ve payload’u arasına yerleştirilir. Bu gerekli şifre doğrulama verisini ve güvenli parametre endeksini sağlar.
DMZ Demilitarized Zone -- Silahsızlandırılmış bölge
DMZ, güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir. Güvenlik duvarına üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinaların buraya konulması ile oluşturulur.
NAT (Network Address Translation - Ağ Adres Çevrimi)
İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'ten gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi) denir.
GİRİŞ
İnsanların bir arada bulunduğu her ortamda olduğu gibi, Internet'te de iyi ile kötü, zayıf ile güçlü sürekli bir aradadır. Güç zayıf karakterli insanların eline geçtiği zaman, zarar verme, saldırma, kişisel ego tatmini gibi işler için de kullanılabiliyor ne yazık ki. Bugün birçok PC kullanıcısı, Hacker'lardan ve onlardan gelen saldırılardan şikayetçi.
İnternet’te güvenlik, her zaman en çok rağbet edilen konulardan biri olmuştur. Sistemlerinin ve şahsi bilgilerinin güvenliğinden emin olup, “connect” (bağlan) düğmesine korkmadan tıklayabilmek isteyen kullanıcıların haklı endişeleri, şimdilerde insanları firewall konusuna yönlendiriyor.
Peki ne yapmalı? Herşeyden önce, dışarıdan kesinlikle ve kesinlikle exe dosyası almamalıyız. Şifrelerimizi uzun ve tahmin edilmesi zor kelime-sayı gruplarından seçmeli, yabancı ortam ve bilgisayarlarda çalışırken bu şifreleri kullanmamalıyız. Dosya ve yazıcı paylaşımımızı kapalı tutmaya özen göstermeliyiz.
Peki bu kadarı yeterli mi? Biraz kullanıcıların dikkatsizliği, biraz da teknolojiyle birlikte gelişen “sanal haydutlar” sebebiyle, ne yazık ki hayır.
Kendi pc’lerini ve pc’lerinde yer alan kişisel bilgileri bilgisayarlarına sızabilecek davetsiz şahıslara karşı daha fazla ve daha etkin bir biçimde korumak isteyen kullanıcılar, sistemlerine firewall kurma yoluna gidiyor.
Nedir bu “firewall”? = Her eve lazım cinsten, olmazsa olmaz bir şey. Türkçeye “ateş duvarı” olarak çevrilebilecek bu terim, FInternet üzerinden bağlanan kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantısını sağlayan servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen genel addır. Tabii ki, farklı ihtiyaçlar için tasarlanmış farklı firewall’lar mevcuttur. Sadece birkaç port’unu kapatmak isteyen kullanıcılar daha ucuz ve daha basit çözümlere gidebilirken, tüm port’larını dinlemeye alıp bütün bağlantılarını izlemek isteyen kullanıcılar daha gelişmiş yazılımlara ihtiyaç duyacaktır.
Firewall programı bilgisayarda bulunan yani internet üzerinden byte(veri) alış verişi sağladığımız portları kontrol ederek, bize yani bilgisayarımıza karşı yapılan tüm saldırıları takip ederek bunu engeller. . Firewall sistemleri, bu engelleme işini, sadece daha önceden kendisinde tanımlanmış bazı domainlere erişim yetkisi (telnet,ftp, http vb) vererek yaparlar. İnternette güven içinde sörf yapmak istiyorsanız bilgisayarınızda iyi bir firewall bulundurmalısınız
İhmal edildikleri taktirde sizi büyük tehlikeye sokacak iki konu, İntranet güvenliği ve yönetimidir. Ne olursa olsun, her zaman bir Firewall'a ihtiyacınız olduğu söylenebilir. Hatta, İntranetiniz İnternet aracılığıyla dış dünyaya bağlıysa, firewall kullanımı bir ihtiyaçtan çok zorunluluk haline gelir. Bu firewall, hassas bilgilere erişimi kısıtlamanıza da yardımcı olacaktır. Firewall yapıları birkaç farklı şekilde karşınıza çıkarlar ama genellikle İnternet ile yerel İntranet arasında bir bağlantı yoksa korumalı yerel ağ katmanları arasında bir ağ geçidi veya yönlendirici olarak işlerler. Çoğu, IP adreslerini temel alarak trafiği filtreler ve yalnızca "güvenilir" istemleri iletir. Uygulama seviyesinde çalışan daha nitelikli olanları ise (bu yüzden onlara "uygulama seviyeli ağ geçitleri" ya da "proxy hizmet birimleri" denir) İnternet üzerinde bulunan çeşitli bağlantısız protokolleri kontrol altında tutar. İsteğinize göre sadece yerel ağa bağlanması gereken eksiksiz donanım, yazılım çözümleri alabilir, ya da standart PC araçlarında çalışabilen firewall yazılımlarını kullanabilirsiniz. Bu seçenekler ya kendi güvenli işletim sistemleri ile gelirler, ya da standart Unix veya Windows NT işletim sistemleri üzerinde çalışacak şekilde yazılmışlardır.
Söz konusu yaklaşımların her birinin kendine göre iyi ve kötü o kadar çeşitli özelliği var ki, bu yazının tamamı sadece firewall seçimi ve yürütümü üzerinedir. Fakat en pahalı olanın en iyi hizmet vereceği anlamına gelmediğini ve sadık kalmanız gereken bir iki kural olduğunu söylemek gerekir. İster çok yüksek seviyeli bir sistem, isterse basit bir PC olsun, firewall ona ayrılan donanımda çalıştırılmalıdır. Çeşitli güvenlik standartları desteği de hayati bir konudur. En az Sockets Layer 3 uyumlu olan ve varolan ağdaki yetkilendirme mekanizmasına uyum sağlayabilecek bir yazılım aramalısınız. Ayrıca performans üzerindeki etkileşimleri de unutmayın. Temel paket filtreleme bu açıdan en verimli olanıdır, daha karmaşık uygulama seviyelerine sahip ağ geçitleri ise yavaş kalırlar. Günümüzde bu seçenek standart olarak sunulsa bile, proxy hizmet birimleriyle çalışabilmek için gözatıcılarınızı değiştirmeniz gerekebilir.
1. ARTAN BİLGİSAYAR SUÇLARI
Milyonlarca insan internete bağlanarak elektronik dünyada çalışıyor. Günümüzde elektronik ticarette işlem hacmi 100 milyar dolar seviyelerindedir. Bu rakam 2002 yılı itibari ile 1 trilyon dolarlara çıkmıştır. (Forrester Research, 1998). Bu büyüme ile çok daha fazla ticari ve önemli verinin internette on-line olarak işlenmesi söz konusudur.
1.1. İnternet Büyüdükçe Tehdit Artıyor!!!
İnternet sanal ortamda şirketlerin ulaşabildiği müşteri sayısını arttırarak işlem hacimlerinin büyümelerine katkıda bulunduğu gibi bir takım güvenlik problemlerini de beraberinde getirmektedir. Geleneksel ortamda kurumlar, kiralık hatlar veya farklı ortamlar ile kapalı sistem denen iletişim hatları ve ortamları kullanırlar. Günümüzde herkesin verilere erişebildiği daha açık sistemler “Sanal Ağlar’ın” kullanımının arttığını gözlemlemekteyiz. Bu yeni model tedarikçi ve müşterilerin aynı ağ üzerinde birlikte çalışabildiği “extranet’lerin” gelişmesi ile ortaya çıkmıştır. Extranet, kurumun kapitalini ve hassas verilerini internet ortamına koymasını gerektirir. Teorik olarak bu önemli veri herkes tarafından ulaşılabilecek bir ortamda durmaktadır.
Kurumların veri iletimi için internet ort***** seçmelerinin diğer bir nedeni ise kiralık hatlar gibi uçtan uca bağlantılara göre çok daha ekonomik olmasıdır. Çok daha fazla verinin extranet’ler aracılığı ile şirketlere açıldığı gibi bu veriler aynı yerel ağ üzerinde bulunan diğer çalışanların daha rahat ulaşabileceği ortamda bulunması göz ardı edilmemelidir. Güvenlik sorunları, hacker’lar gibi kasten veriyi çalmak, ele geçirmek için kullanılan şahıslar tarafından meydana gelebilir ya da ağa erişim hakkı bulunan ve kurumun kuralları ve prosedürlerinden haberi olmayan yetkili kullanıcıların yapabileceği hatalardan oluşabilir.
1.2. İnternette Güvenlik Nedir?
İnternet'te bilgisayarlar birbirine bağlanır, birbirleriyle konuşur, veri alışverişinde bulunur. Peki milyonlarca kişinin buluştuğu bu ortamda kötü niyetli kişiler olmaz mı? Elbette olur. Size içinde gizli şekilde bilgisayar virüsü veya Truva Atı (trojan) dediğimiz, sisteminizi daha kolay ele geçirmelerini sağlayacak kodlar içeren dosyalar gönderebilirler. Bunlarla sisteminizdeki verilere zarar verebilirler. Önemli kişisel bilgilerinizi okuyabilirler, tüm diskinizi formatlayabilir veya verilerinizi silebilirler; hatta CD-ROM sürücünüzün tepsisini açıp kapamak gibi fiziksel eylemlere yol açan komutlar gönderebilirler. Hatta yeterince uzmanlarsa işletim sisteminizin veya kullandığınız Internet programlarının açıklarını yakalayarak da saldırabilirler. Bu kötü niyetli kişilere "hacker" diyoruz. Ancak virüs ve trojan'lar sistemden sisteme bilinmeden yayılabileceği için, sisteminize bunları bulaştıranların mutlaka kötü niyetli olması gerekmez. Bu saldırıların Internet'in bir gerçeği olduğunu aklımızda tutup, kendi güvenlik önlemlerimizi almak zorundayız. En temel önlem, virüs ve trojanları bulan ve temizleyen güncel bir anti-virüs yazılımı kullanmaktır. Bu tür bazı programlar, İnternet'ten indirdiğiniz dosyaları ve e-posta mesajlarını daha gelirken kontrol edebilirler. Bunun dışında, tanımadığınız kişilerden gelen dosyaları çalıştırmamaya dikkat etmelisiniz.
İnternet programları port adı verilen kanallar açarak verileri alırlar. Bu portları kontrol eden, ve izinsiz kişilerin geçişini engelleyen firewall (güvenlik duvarı) adını verdiğimiz programlar da vardır. Hatta büyük şirketlerde ayrı bir bilgisayar ve üzerindeki yazılımlar bu amaçla kullanılır. Ev PC'lerinde de kullanılabilecek basit kişisel firewall yazılımları bulunmaktadır.
2. IPSEC
2.1. IPSec: Güvenilir Sanal Ağlar İçin Yapı Taşları
Şirketlerin önemli ve hassas verilerini internet, intranet ve extranet gibi ortamlarda saklamaları kurumsal veri güvenliğini tehdit eden önemli bir faktördür.
Yakın bir zamanda yapılan bir araştırmada (FBI/CSC Bilgisayar Suçları ve Güvenlik Kurumu), güvenlik deliklerinin çoğunun yerel ağlarda olduğu saptanmıştır. Firewall (Güvenlik duvarı) gibi uygulamalar kurumların verileri için dış etkenlere karşı bir koruma oluşturmasına rağmen ilave güvenlik katmanlarına gereksinim duyulacaktır.
Intel, IETF ( Internet Engineering Task Force) tarafından bir standart olarak kabul edilen IPSec (Internet Protokol Güvenliği) protokolünü destekleyen ağ yapı taşlarını sağlamaya başladı. IPSec, sadece güvenilir ve yetkilendirilmiş sistemlerin hassas ve önemli verilere ulaşabilmesini ağ katmanında sağlayabilen bir protokoldür.
2.2. IPSec : Önemli bir yapıtaşı
Yukarda bahsedilen güvenlik problemlerinin çözümü IPSec adı verilen teknoloji ile giderilebilir. IPSec, diğer güvenlik teknolojilerinden farklı olarak uygulamalar tarafından gözükmeyen protokol yığınının üçüncü katmanında çalışmaktadır. Bu yüzden IPSec, uygulaması kolay ve ekonomik bir teknolojidir. Uygulamalar verinin şifrelenmesi veya değiştirilmesi işlemleri ile uğraşmayacaktır.
2.3. IPSec Nedir?
IETF (Internet Engineering Tak Force) tarafından bir standart haline getirilen IPSec, şifre doğrulama, ve IP şifreleme yapabilen bir protokoldür. İki çalışma metodu vardır– tünel metodu ve iletim metodu.
IPSec’in en önemli avantajlarından biri, IP paketlerinin, IP trafiğini destekleyen herhangi bir ağa anahtarlanabilmesi ve yönlendirilebilmesidir. İstemcilerde ve uygulamalarda herhangi bir donanım ve yazılım değişikliği yapmaya gerek yoktur. IPSec, VPN çözümleri ile tam uyumludur.
2.4. IPSec’in kullanıcılara sağladığı avantajlar
• Ekonomik Merkez-Şube bağlantısı
• Müşterilere ve tedarikçilere daha hızlı ve daha ekonomik bağlantı
• İçerden gelebilecek tehlikelere karşı daha güvenli yerel ağlar
Ağ arabirim kartları (NIC), IPSec teknolojisinin uygulanabileceği en iyi donanımdır. Şifreleme ve şifre doğrulama arabirim kartının üzerine yerleştirilebilecek bir entegre devre sayesinde uygulamalara ve sisteme yük getirmeden gerçekleştirilebilir. Bu entegre devrelere donanım hızlandırıcı işlemciler denir
2.5. Nasıl Çalışır?
IETF tarafından tanımlanan IPSec, ağ iletişimini korumak için iki farklı eleman kullanır:
• Kaynak şifre doğrulama ve veri bütünlüğü sağlayarak, verinin yetkisiz istemciler tarafından erişilememesini sağlayan şifre doğrulama bilgisi (AH)
• Gizlilik ve verinin, okunmaması ve kopyalanamamasını sağlayan kapsüle edilmiş güvenlik bilgisi (ESP)
2.5.1. IPSec AH
IPSec AH iletim metodunda, şifre doğrulama bilgisi IP header ve payload’u arasına yerleştirilir. Bu gerekli şifre doğrulama verisini ve güvenli parametre endeksini sağlar.
2.5.2. IPSec ESP
ESP iletim metodunda, ESP bilgisi IP header ve payload’u arasında yerleştirilir. ESP kuyruğu ve MAC adresi paketin sonuna eklenir. ESP tünel metodunda ise, tüm paket şifrelenir ve yeni bir ESP ve IP header yaratılır, şifreleme bilgisi olarak pakete ilave bir kuyruk eklenir.
2.5.3. İletim Metodu
İletim metodu intranet güvenliğini sağlamak için peer-to-peer denilen sunucu tabanlı olmayan iletişimde kullanılır. IP header’ı değişmediğinden standartları destekleyen herhangi bir donanım veya yazılım ile okunabilir.
2.5.4. Tünel Metodu
Tünel metodu uzak erişim ve VPN içeren WAN bağlantılarında kullanılır. Paket kapsüle edilerek yeni bir paket oluşturularak, korunulan ağın topolojisi gizlenir.
2.6. Gelişmiş Güvenlik ve Ekonomisi
Güvenilir sanal ağlarda IPSec uygulamasının en önemli avantajları çok katmanlı koruma ve hesaplı olmasıdır.
2.6.1. Intranet ve Şube Ofis Bağlantısı
Uzak kullanıcılar, merkezi ofislerine şehirlerarası veya milletlerarası telefon hatlarından bağlanıp veri iletişimi kurmak yerine, ISP üzerinden internete IPSec VPN çözümleri kullanarak yapacakları bağlantılarda maliyetleri düşürecektir.
2.6.2. Extranet
IPSec, kurumlara sanal ve güvenilir ağlar kurarak, üretici, müşteri ve iş ortakları ile bağlantılarının daha verimli olmasını sağlayacaktır. Elektronik ticaretin getirdiği, düşük satış ve stok maliyetleri, kolay sipariş alma ve atma vb. gibi tüm avantajlar şirketin büyümesine katkıda bulunacaktır.
2.6.3. Kurumsal Yerel Ağlar
IPSec, kurumların önemli ve kritik verilerinin, sanal ve güvenilir iş grupları yaratarak iç güvenliği sağlar. Örneğin bir şirkette bulunan araştırma ve geliştirme bölümüne ait gizli verilerin, muhasebe veya satış bölümü tarafından erişilmesine veya diğer departmanların insan kaynakları departmanının verilerine ulaşabilmesine engel olur.1
3. FİREWALL ( GÜVENLİK SİSTEMLERİ) NEDİR?
Firewall (Internet Güvenlik Sistemi), internet üzerinden bağlanan kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantısını sağlayan servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen genel addır.
Firewall sistemleri, bu engelleme işini, sadece daha önceden kendisinde tanımlanmış bazı domainlere erişim yetkisi (telnet,ftp, http vb) vererek yaparlar. Günümüzde, Internet Servisi veren makinalar oldukça sofistike Firewall sistemleri ile donanmıştırlar.
Firewall sistemlerinin en önemli kullanımında, bir kuruluşun yerel ağındaki tüm bilgisayarlar sanki bir duvar arkasındaymış gibi dış dünyadan erişilmez olurlar. Yerel ağdaki bilgisayarların internet bağlantıları firewall yüklü bilgisayar üzerinden olur ve firewall yazılımları, adres çevirme (address translation) özellikleri sayesinde iç ağdaki tüm internet bağlantılarının tek bir IP numarasından yapılıyormuş gibi olmasını sağlarlar. Ayrıca, yerel ağdan dışarıya, dışardan da yerel ağa olan bağlantıları internet protokolleri üzerinde sofistike kurallar tanımlayarak kısıtlarlar bu da yüksek ölçüde ağ güvenliği sağlar.
Günümüzde, Internet Servisi veren makinalar oldukça sofistike Firewall sistemleri ile donanmıştırlar.
Firewall ; basit anlamda kendi ağınız ile Internet arasına yerleştirilen bir duvar gibidir, Internet tarafından gelebilecek tüm saldırılara karşı ağınızı koruyan firewall'ın temel prensibi, izin verilen ağların veya sistemlerin sisteminize erişmesi diğerlerinin ise Firewall üzerinde bloklanarak engellenmesidir. Firewall tamamen bir donanım olabileceği gibi bir yazılım da olabilir. Aslında Firewall uygulamalarını sadece Internet Bağlantısıyla özdeşleştirmek doğru değildir. Intranet / Extranet ve hatta WAN uygulamalarında, endişe duyulan tehdit her zaman geçerlidir. Dahası alınan sonuçlara göre içten gelen tehdit, dıştan gelene göre daha fazla olumsuz etkide bulunmaktadır.1
3.1. Güvenlik ve Firewall'lar
Artık günümüzün ağ sistemlerinde yönetim ve bunun yanında da güvenlik büyük önem kazanmış bulunmaktadır. Komple sistemin yönetimi ve güvenliği için ağ yöneticilerine büyük görevler düşmektedir. Ağ güvenliği için kullanılan firewall'ların tasarlanıp, geliştirilirken hiçbir zaman mutlak bir cevap yoktur. Her kurum kendi özel faktorlerini (güvenlik derecesi, çalışanlarının teknik bilgisi, maliyet ve maruz kalabilecekleri saldırılar…) gözönüne alarak belirli kademelerde güvenlik sistemi kurmalıdır.
Günümüzde popüler biçimde kullanılmakta olan Internet , beraberinde bazı teknoloji ve zorunlulukları da beraberinde getirmiştir.Bunlardan en önemlisi ağ güvenliğini sağlamakta kullanılan ve gittikçe kullanım alanının genişlemesiyle kendisine sektörde büyük yer bulan firewall 'lardır.Eğer sizinde Internet bağlantınız, ağ ort*****zı tehlike altına sokuyorsa, sisteminize firewall kurup rahat uyuyabilirsiniz.
Internet'e bağlandıktan sonra ağ yapınız herhangi bir güvenlik sistemi içermiyorsa , mevcut bilgileriniz tehdit altındadır.Internet üzerindeki kullanım trafiği arttıkça bu durum intranetinizi daha çok etkisi altına alır. Geçmişte kullanılmakta olan 'mainframe' teknolojisinin yerini PC tabanlı yerel ağlar almaya başlamıştır. Ancak bu durumda sisteminizin bağlı olduğu Internet'te karşınızda nasıl bir sistem olduğunu belirleyemezsiniz.
'Firewall', ağ ort*****zla Internet ortamı arasına konan ve istenmeyen erişimleri engelleyen bir sistemdir.Ayrıca 'firewall' yardımıyla ağ güvenliği tam olarak sağlanır ve erişim haklarıda düzenlenebilir. Ancak firewall'u sisteminize kurarken dikkat edilmesi ve gözönüne alınması gereken bazı noktalar vardır. Bunlardan en önemlisi firewall' un belirli bir stratejiye göre hazırlanmasıdır. Firewall kurulmadan önce ne tür bilgilerin korunacağı ,ne derecede bir güvenlik uygulanacağı ve kullanılacak güvenlik algoritmaları önceden belirlenmelidir. Firewall'un sistem üzerinde tam olarak etkili olabilmesi için ağ ortamı ile Internet arasındaki tüm trafiğin firewall üzerinden geçmesi gerekir.Firewall sadece router ile değil aynı zamanda , sadece o işleme ayrılmış gateway 'ler tarafından da oluşturulabilir.
Firewall ağ yoneticisine bir noktadan kontrol imkanı sağlar.Bu yapı yardımıyla dışarıdan gelebilecek saldırılar önlenebildiği gibi aynı zamanda sistemin işleyişi ile ilgili bilgilerinde elde edilmesinde de kullanılabilir.
Firewall 'ların tercih edilmesi için en büyük nedenlerden biride NAT (Network Address Translation ) özelliğidir. İleride IP adres uzayındaki kısıtlı ortam nedeniyle , adreslemelerdeki problemleri ortadan kaldırabilir. Sadece tek bir IP adresi ile Internet'e çıkabilir ve yerel ağ ort*****zdaki IP adreslerini tamamen Internet ortamından yalıtılmış şekilde kullanabilirsiniz. Böylece herhangi bir Internet Servis sağlayışı değişikliğinde IP adreslerinizi değiştirmenize gerek kalmayacak.
Firewall kullanımı ile , ağ ortamı bazı durumlarda birtakım kısıtlamalar ile karşı karşıya kalabilir. Firewall 'un bozulması durumunda sistemin Internet bağlantısında sorun ortaya çıkar. Bu durumu ortadan kaldırmak için firewall haricinde Internet bağlantısı (dial-up) çözüm gibi görünse de bu durumda da güvenlik tehlikeye atılmış olur.1
3.2. Güvenlik Duvarı - Satın Almak
Neyi, nasıl güvenlik altına aldığınızı bilmeden, pahalı bir ticari güvenlik duvarı satın almak size güvenlik sağlamaz. Dünyanın en pahalı ve gelişkin güvenlik duvarı, eğer çeşitli protokolleri açmış, fiziksel bağlantının tekliği kavramına uymamış, her tür erişime izin vermiş iseniz, size bir fayda sağlamaz. Elinizdeki Cisco router'unuzu paket filtrelemek için programlamaktan tutun, ticari ve pahalı bir güvenlik duvarı satın almaya kadar uygulayacağınız her tür yöntem, neyi, ne için yaptığınızı biliyorsanız faydalıdır. Güvenlik duvarları, sizin ağ altyapınız ve sizin erişim ihtiyaçlarınız ile alakalıdır. Dolayısıyla ticari bir güvenlik duvarı satın almak niyetinde olsanız dahi, güvenlik duvarlarının ne yaptığını öğrenmek ve erişim ihtiyaçlarınızı belirlemek zorundasınız.
3.3. Güvenlik Duvarı Kavramları
Bütününe güvenlik duvarı dediğimiz servisler aslında bir kaç alt kavramdan oluşmaktadır: Bastion host, NAT, Paket Filtreleme, Proxy (vekil). Bütün güvenlik duvarları (ticari olanlar ve olmayanlar), bu uygulamaların hepsini veya bir kısmını uygularlar.
3.3.1. Bastion Host
İdealde ağınızdaki güvenlik ağ seviyesinde ve ağdaki her bir makinada uygulanır. Pratikte ise, bu ya yapılamamakta, ya da ihtiyaç duyulan kimi protokollerin güvenlikten yoksun olduğu bilinse dahi kullanılmaktadır. Böyle durumlarda güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir ağla, dış dünya arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Dolayısıyla içerideki ağa girmek isteyen her kötü niyetli dış saldırı, önce özel olarak korumalı tasarlanmış güvenlik duvarı makinasını bertaraf etmek zorundadır. Bu makinaya kale, nöbetçi kale anlamına gelen bastion host da denir. Bastion host, fiziksel olarak iki farklı ağa bağlıdır: iç ağ (Intranet) ve dış ağ (Internet). Bastion host iki özelliğe sahiptir:
• Yüksek güvenliğe sahip olmalıdır -- yani bu makinaya izinsiz erişim son derece zor hale getirilmelidir.
• İki (bazen üç) fiziksel ağ bağlantısına sahip olmalı ve bu farklı ağlar arasındaki iletişimin nasıl yapılacağına dair karar verebilmelidir.
3.3.2. NAT, Masquerade
Günümüzde iç ağların hemen hepsi tahsisli olmayan IP numaraları (10.0.0.0, 192.168.0.0 vs.) kullanmaktadır. Bu IP numaraları Internet üzerindeki yönlendiriciler (router) tarafından bilinmez. Dolayısıyla bu ağlardan Internet'teki herhangi bir makinaya bir erişim olduğu zaman Internet'teki makina bu ağa nasıl geri döneceğini bilmez ve pratikte iletişim yapılamaz. Güvenlik duvarı ise, dinamik veya statik olarak Internet'te bilinen ve kendisine yönlendirme yapılabilen bir IP numarasına sahiptir. İç ağdaki makinalara erişim sağlayabilmek için güvenlik duvarı, kendisine iç ağdan gelen her paketin kaynak adresini kendi adresi olarak değiştirir. Kendisine Internet'ten gelen paketlerin de hedef adresini iç ağdaki ilgili makinanın adresi olarak değiştirir ve bu yolla iç ağdaki makinaların Internet üzerindeki makinalarla haberleşmesini sağlar. Bu işleme IP Masquerade (IP Taklidi) veya NAT (Network Address Translation - Ağ Adres Çevrimi) denir.
NAT yapıldığı zaman, oluşan trafiğin Internet'ten görüldüğü hali, Internet'te bulunan tek bir makinanın (güvenlik duvarı) bazı Internet alışverişleri yaptığıdır. Internet'e, bu makinanın arkasındaki ağın büyüklüğü, bu ağdaki makinaların cinsi, sayısı, ağın yapısı vs. hakkında herhangi bir bilgi gitmez. Dolayısıyla NAT, yalnızca tahsissiz ağlardan Internet'e erişimi sağlamakla kalmaz, ağınızdaki makinalar hakkında bilgi edinilmesini (ve dolayısıyla size karşı yapılabilecek saldırıları) zorlaştırır.
3.3.3. Paket Filtreleme:
Yukarıda bahsedilen önlemler (güvenlik duvarının tek fiziksel bağlantı olması, NAT uygulanması) ağınıza belli bir miktar güvenlik sağlar, fakat esas güvenlik, paket filtreleme yöntemlerinden gelir. Bu yöntemler, güvenlik duvarından geçen her IP paketine bakılması ve ancak belli şartlara uyarsa geçişine izin verilmesi şeklinde uygulanır.
Örneğin:
• İç ağınızdan kimsenin Internet'te ICQ kullanmasını istemiyorsunuz.
• Dışarıdan içeriye hiç kimsenin telnet yapabilmesini istemiyorsunuz.
Bu hedefleri gerçekleştirmek için paket filtreleme yöntemleri kullanacaksınız. Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı (dışarıya çıkışa izin ver, fakat içeriye girişe izin verme) olarak uygulanabilir.
Paket filtrelemede özellikle yapmanız gereken minimum, dışarıdan gelip de kaynağını içerisi gibi gösteren (ip spoofing, ip aldatmacası) paketleri ve devam etmekte olan bir trafiğin parçası imiş gibi gelen paketleri (ip fragments) filtrelemek ve bunların geçişine izin vermemektir. Çoğu saldırı, bu şekilde başlar.
Bu minimumu sağladıktan sonra, dışarıdan içeriye yapılmasına izin verdiğiniz erişimleri (telnet yapsınlar mı?, ping yapabilsinler mi?) ve içeriden dışarıya yapılmasına izin verdiğiniz erişimleri (kullanıcılarınız dışarıya telnet yapabilsin mi? Web'e erişsinler mi? ICQ yapabilsinler mi?) belirlemeniz ve güvenlik duvarı üzerindeki filtre protokollerinizi buna göre oluşturmanız gerekir.
3.3.4. Stateful (dinamik) Filtreleme
Eskiden filtreleme metodları ağırlıklı olarak statikti -- yani genel olarak ağınıza ICQ paketlerinin girmesine izin verip vermeme kararı söz konusu idi. 2.4 Çekirdeği ve bizim aşağıda örneğini verdiğimiz iptables uygulaması ile birlikte stateful (dinamik) filtreleme Linux üzerinde kullanılabilir hale geldi. Aradaki fark, paketin sırf protokolüne bakarak karar vermek yerine, güvenlik duvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi ve çift yönlü paket geçişlerine buna göre karar vermesidir. Yani bir telnet bağlantısında her iki taraftan da paketler gelir ve gider. Fakat dinamik filtreleme ile, bir telnet bağlantısı iç ağınızdan başlatılmışsa izin verir, başlangıç istemi dış ağdan gelmişse reddedebilirsiniz. Dinamik filtreleme özelliği olmayan güvenlik duvarlarını kullanmanızı önermiyoruz. 2.4 çekirdeği ve iptables uygulaması olan her Linux üzerinde dinamik filtreleme yapabilirsiniz.
3.4. Bazı İnternet Servislerini İç Ağdan Vermek
Ağınızda Internet'ten erişimi olması gereken web, posta gibi sunucular bulunabilir. Bu sunuculara erişimi iki yoldan vermeniz mümkündür:
• DMZ - Demilitarized Zone -- Silahsızlandırılmış bölge uygulaması.
• İç ağınızda bu servislere direkt filtreleme yaparak.
3.4.1. DMZ Demilitarized Zone -- Silahsızlandırılmış Bölge
DMZ, güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bir bölgedir. Güvenlik duvarına üçüncü bir ağ çıkışı eklenmesi ve Internet'e servis verecek olan makinaların buraya konulması ile oluşturulur. Örneğin DMZ'deki makinalara NAT uygulanmayabilir, tahsisli IP numaralarına sahip olabilirler. Güvenlik duvarı, telnet, ssh gibi kimi protokollerin buraya erişimini filtreleyerek DMZ bölgesindeki makinalara güvenlik sağlar. Dikkat edilecek nokta, DMZ'de bulunan makinaların daha fazla erişime (ve dolayısıyla saldırıya) açık olmasıdır. Buradaki makinalar dikkatli kurulmalı, güvenliğe aykırı protokoller vs. burada yer almamalıdır.
3.4.2. Direkt Filtreleme
DMZ oluşturmak için ek ekipman ve IP numarası gerekir. Güvenlik duvarında üçüncü bir ağ birimi, ayrı bir switch, daha fazla adette tahsisli IP numarası, ve iç ağınızda başka herhangi bir görev görmeyecek olan sunucu makinalar gerekir. Eldeki imkanlar buna yetişmeyebilir. Böyle durumlarda, güvenlik duvarınızdaki filtreleme politikasını değiştirerek iç ağınızdaki kimi makinalara dışarıdan sınırlı erişim imkanı verebilirsiniz. Örneğin güvenlik duvarınız ağınızın genelinde dışarıdan gelen SMTP (posta) protokolünü filtrelerken, sadece posta sunucunuza dışarıdan SMTP protokolü erişimini verebilir. NAT ile birleştirileceğinden, bu dışarıdan bakıldığı zaman sanki güvenlik duvarınız posta sunuculuğu yapıyormuş izlenimini verir.
3.5. İnternete Bağlanırken Gerekenler: Proxy - Vekil
Proxy'nin kelime anlamı vekil'dir. Yukarıdaki metodların hepsi, belli kurallara bağlı olarak Internet'teki bir makina ile iç ağdaki bir makina arasında direkt alışverişe izin verir. Vekil uygulamaları ise, bu direkt alışverişin arasına girer. Dolayısıyla protokol bazlı herhangi bir saldırı, vekil sunucuya yönelik gerçekleşir, iç ağdaki makinayı etkilemez. Örneğin bir http (web) vekili, iç ağdan dışarıya giden bütün web isteklerini toplar. Bu istekleri kendisi yapar, gelen sonuçları iç ağa dağıtır. Örneğin eğer web protokolü yolu ile istemci makinanın bazı bilgilerinin alınması veya bir saldırı yapılması söz konusu olur ise, bundan etkilenen sadece web vekili makina olur, iç ağda web erişiminde bulunan her makina değil.
Güvenlik amacı ile proxy kullanımı, application level firewall (uygulama temelli güvenlik duvarı) olarak adlandırılır.
3.5.1. Vekillerin Başka Kullanımları
• Güvenlik amaçlı - yukarıda bahsedilmiştir.
• İzin amaçlı - İç ağınızdan bazı servislere kimin erişebileceğini belirlemekte, izin politikası uygulamakta kullanılırlar.
• Performans amaçlı - Pek çok istemci aynı istekte bulunuyorsa, bunların bir defaya indirgenmesini sağlayarak hem sunucu makinanın üzerindeki yükü, hem de kullanılan bağlantı yükünü hafifletirler.
Vekil sunucular, en fazla kullanılan örneği olan web vekili (squid) üzerinde daha detaylı olarak aşağıda anlatılmıştır.
Günümüzde popüler biçimde kullanılmakta olan Internet , beraberinde bazı teknoloji ve zorunlulukları da beraberinde getirmiştir.Bunlardan en önemlisi ağ güvenliğini sağlamakta kullanılan ve gittikçe kullanım alanının genişlemesiyle kendisine sektörde büyük yer bulan firewall 'lardır.Eğer sizinde Internet bağlantınız, ağ ort*****zı tehlike altına sokuyorsa, sisteminize firewall kurup rahat uyuyabilirsiniz. Internet'e bağlandıktan sonra ağ yapınız herhangi bir güvenlik sistemi içermiyorsa , mevcut bilgileriniz tehdit altındadır.Internet üzerindeki kullanım trafiği arttıkça bu durum intranetinizi daha çok etkisi altına alır.
Geçmişte kullanılmakta olan 'mainframe' teknolojisinin yerini PC tabanlı yerel ağlar almaya başlamıştır. Ancak bu durumda sisteminizin bağlı olduğu Internet'te karşınızda nasıl bir sistem olduğunu belirleyemezsiniz.
'Firewall', ağ ort*****zla Internet ortamı arasına konan ve istenmeyen erişimleri engelleyen bir sistemdir.Ayrıca 'firewall' yardımıyla ağ güvenliği tam olarak sağlanır ve erişim haklarıda düzenlenebilir. Ancak firewall'u sisteminize kurarken dikkat edilmesi ve gözönüne alınması gereken bazı noktalar vardır. Bunlardan en önemlisi firewall' un belirli bir stratejiye göre hazırlanmasıdır.
Firewall kurulmadan önce ne tür bilgilerin korunacağı ,ne derecede bir güvenlik uygulanacağı ve kullanılacak güvenlik algoritmaları önceden belirlenmelidir. Firewall'un sistem üzerinde tam olarak etkili olabilmesi için ağ ortamı ile Internet arasındaki tüm trafiğin firewall üzerinden geçmesi gerekir.Firewall sadece router ile değil aynı zamanda , sadece o işleme ayrılmış gateway 'ler tarafından da oluşturulabilir.
Firewall ağ yöneticisine bir noktadan kontrol imkanı sağlar.Bu yapı yardımıyla dışarıdan gelebilecek saldırılar önlenebildiği gibi aynı zamanda sistemin işleyişi ile ilgili bilgilerinde elde edilmesinde de kullanılabilir.
Firewall 'ların tercih edilmesi için en büyük nedenlerden biride NAT (Network Address Translation) özelliğidir. İleride IP adres uzayındaki kısıtlı ortam nedeniyle , adreslemelerdeki problemleri ortadan kaldırabilir. Sadece tek bir IP adresi ile Internet'e çıkabilir ve yerel ağ ort*****zdaki IP adreslerini tamamen Internet ortamından yalıtılmış şekilde kullanabilirsiniz. Böylece herhangi bir Internet Servis sağlayışı değişikliğinde IP adreslerinizi değiştirmenize gerek kalmayacak.
Firewall kullanımı ile , ağ ortamı bazı durumlarda birtakım kısıtlamalar ile karşı karşıya kalabilir. Firewall 'un bozulması durumunda sistemin Internet bağlantısında sorun ortaya çıkar. Bu durumu ortadan kaldırmak için firewall haricinde Internet bağlanrısı (dial-up) çözüm gibi görünse de bu durumda da güvenlik tehlikeye atılmış olur.
4. FİREWALL TASARIM TEKNİKLERİ
Bir firewall tasarlanmadan önce , ağ yöneticisinin gözönüne alması gereken birkaç durum vardır.
Ÿ Firewall 'ın yapısı
Ÿ Güvenlik prensibi
Ÿ Toplam maliyet sınırı
Ÿ Firewall sisteminin bileşenleri
Bir firewall tasarlanırken , kurulacağı sisteme göre iskelet yapısı düşünülmelidir. Buna göre birçok durum ortaya çıkabilir. Bunlardan iki durum en çok kullanılır.
Ÿ Belirli hostlar dışında tüm sisteme erişimin engellenmesi.
Ÿ Belirli hostlar dışında tüm sisteme erişimin serbest olması.
4.1. Paket Filitrelemeli Routerlar – PFR
Firewall oluşturmanın en kolay yolu konfigüre edilebilir bir router kullanmaktır. Routerlar , ağlararası ortam içinde gelen paketlerin kaynak ve hedef adreslerine bakarak , yönlendirmeyi ona göre yapar. Gelen paketlerin başlık bilgileri içersindeki bilgiler (kaynak ve hedef adres,kullanılan protocol (TCP, UDP; ICMP; IP Tunnel )...) analiz edilir. Bu karşılaştırmalara göre karar verilerek işlem yapılır.
4.2. Belirli Servise Bağlı PFR
Yukarıdaki algoritmaya göre çalışırlar ancak sadece belirli bir servis portu üzerinden işlem yapan programlarda kullanılır. Örneğin Telnet sunumcusu uzak bağlantıları 23. TCP portundan , SMTP sunumcusu ise 25. TCP portu üzerinden dinleme işlemini yapar. Bu sistemde izin verilmiş host listesi bulunur ve uygun portlara gelipte bu host isimlerini içeren paketlere geçiş izni verilir. Diğerlerinin geçişi engellenir.
Router kullanılarak yapılan firewall sistemleri sektörde en çok tercih edilen yoldur. Çünkü router ile birlikte gelen yazılımla beraber , firewall özellikleri de beraberinde gelir. Sadece ağ yöneticisi tarafından programlanması gerekir. Firewall'u oluşturacak kişinin özel bir eğitime ihtiyacı olmaması ve router üzerinde geçiş listeleri hazırlanarak erişimlerin belirlenmesi bu metodun göze batan yönleridir. Ancak ağ yöneticisinin tek tek erişim listesi hazırlaması yönetim işlemlerini oldukça zorlaştırmaktadır. Çünkü bu işlemi yapacak kişinin Internet servislerinin ve başlık bilgilerinin biçiminin hepsini bilmesi gerekir. Eğer karmaşık bir filitreleme kullanılacaksa işlem gittikçe zorlaşır. Genellikle filitreleme arttıkça, router üzerinden geçen paket sayısı azalır. Router filitreleme yaparken kendi görevi yanında yani paketin başlık bilgisini yönlendirme tablosunda arama işlemi yanında, filitreleme işlemlerini de o pakete uygulamalıdır. Bu durumda filitreleme yapmak için router'ın CPU 'yu kullanması gerekir. Bu da performansta bir düşüşe yol açabilir.
PFR kullanımında IP paketleri seviyesinde erişim kontrolü yapıldığından ve uygulama seviyesine çıkılamadığından bazı durumlarda yetersiz kontrol durumunda kalınabilinir.
4.3. Uygulama Seviyesi Geçitler
Bu yöntem, ağ yöneticisine , paket filitrelemeli yöntemden daha güvenli bir ortam sağlama imkanı verir. Uygulama seviyesinde kontrol uygulanarak sistemin güvenliği sağlanır. İstenen programların çalışmasına izin verilirken, yasak olanlar ise ağ yöneticisi tarafından belirlenerek kontrol edilir. Bu tür firewall tekniklerinde ağ yöneticisine büyük bir sorumluluk düşmekte ve gerekli olan konfigürasyonu tamamiyle kendisinin yapması gerekmektedir. Kullanıcıların proxy 'yi geçmelerine izin verilir, ancak bu geçiş hakları yine ağ yöneticisi tarafından düzenlenir.
5. Erişim Denetimi
İnternet'e bağlı kurumların mutlaka dikkate almaları gereken konu erişim denetimidir. Erişim denetimi ile kurum içi network (sadece LAN olabileceği gibi, tüm ofisleri birbirine bağlayan WAN da olabilir) ile kurum dışı network yani Internet'in arasındaki erişim kurallarının belirlenmesidir. Yani Internet üzerinden hangi kaynaklara, hangi şartlar altında ve nasıl ulaşılacağı, erişim denetimi ile belirlenir.
Erişim denetimi firewall adı verilen cihazlarla sağlanır. Firewall ile network üzerinden çıkışı ve giriş arasındaki belirlenen kurallar çerçevesinde ayrıca geçen trafiğin loglanması, tanımlanan kurallar ile çeşitli hakların belirlenmesi sağlanabilir. Firewall, bir kurumun güvenlik sisteminin temelini oluşturmaktadır. Güvenlik sistemi içerisinde düşünülecek diğer yapılar firewall'a dayanmaktadır.
Firewall olarak yazılım ve donanım tabanlı seçenekler mevcuttur. İşletim sisteminden bağımsız olması, yüksek performans sunması ve yedeklenebilirlik nitelikleri nedeniyle donanım tabanlı çözümler tercih edilebilir. Dünyanın en büyük Network ekipmanı üreticisi Cisco Systems, donanım tabanlı firewall olarak iki seçenek sunmaktadır:
Cisco PIX Firewall: Sadece Firewall işlevleri için tasarlanmış yüksek performanslı bir donanımdır. Çok sayıda kullanıcının olduğu sistemlerde yüksek performans elde edilmek istendiğinde tercih edilmektedir.
Cisco IOS Firewall: Cisco Router'larıüzerine yüklenerek, Router ile entegre bir firewall elde edilmek istendiğinde kullanılmaktadır. Router ile entegre olması, yönetim ve maliyet açılarından avantaj sağlamaktadır.
Pargem, dünya Firewall pazarınında en büyük pazar payına sahip olan Cisco Systems çözümleri için kurulum, eğitim ve yönetim desteği hizmetleri vermektedir. Pargem'in sunduğu hizmetler şöyle sıralanabilir:
• Internal Network, DMZ ve Internet portlarının tanımlanması ve IP adreslerinin belirlenmesi.
• TELNET ile erişim yetkisine sahip hostların belirlenmesi ve tanımlarının yapılması.
• Internet erişimi için gerekli routing ayarlarının yapılması.
• Internal Network birden fazla subnet varsa gerekli routing ayarlarının yapılması.
• Internal Network'den Internet'e erişim için Dynamic Network Address Translation ayarlarının yapılması.
• Internet'den erişilmesi gereken serverlar için gerekli Static Network Address Translation ayarlarının ve erişime izin verilen port tanımlarının yapılması.
• Tercih edilen güvenlik stratejisine göre, gerekli Internet erişimi kısıtlamalarının yapılması.1
6. SIFIRDAN, GENEL BİR LİNUX DAĞITIMI (REDHAT) KULLANARAK GÜVENLİK DUVARI OLUŞTURMAK
6.1. Güvenlik Duvarı - Satın Almak, Kendiniz Yapmak?
Neyi, nasıl güvenlik altına aldığınızı bilmeden, pahalı bir ticari güvenlik duvarı satın almak size güvenlik sağlamaz. Dünyanın en pahalı ve gelişkin güvenlik duvarı, eğer çeşitli protokolleri açmış, fiziksel bağlantının tekliği kavramına uymamış, her tür erişime izin vermiş iseniz, size bir fayda sağlamaz. Elinizdeki Cisco router'unuzu paket filtrelemek için programlamaktan tutun, ticari ve pahalı bir güvenlik duvarı satın almaya kadar uygulayacağınız her tür yöntem, neyi, ne için yaptığınızı biliyorsanız faydalıdır. Güvenlik duvarları, sizin ağ altyapınız ve sizin erişim ihtiyaçlarınız ile alakalıdır. Dolayısıyla ticari bir güvenlik duvarı satın almak niyetinde olsanız dahi, güvenlik duvarlarının ne yaptığını öğrenmek ve erişim ihtiyaçlarınızı belirlemek zorundasınız.
Güvenlik duvarınızı kendiniz, Linux temelli bir makina üzerinde oluşturabilirsiniz, veya kendiniz oluşturmak istemezseniz Linux temelli hazır bir güvenlik duvarını uygulayabilirsiniz. Ticari olarak satılan güvenlik duvarlarının yapıp, doğru oluşturulmuş bir Linux sisteminin yapamadığı hiç bir şey yoktur.
6.2. Linux Temelli Hazır Güvenlik Duvarları
Her ne kadar genel bir dağıtım (örneğin Redhat) ile başlayıp kendiniz güvenlik duvarını oluşturabilseniz dahi bazı sebeplerden dolayı bunu yapmak istemeyebilirsiniz:
• Güvenlik duvarı olarak kullanacağınız makinayı doğru kurmanız gereklidir. Bunun üzerindeki gerekmeyen servisleri kaldırmanız, makinayı güvenli çalışabilecek şekilde kurmanız gereklidir. Bunları yapmakta kendinize güvenmiyorsanız, aşağıda bahsedilen hazır Linux güvenlik duvarlarından birini kurmak isteyebilirsiniz.
• Güvenlik duvarı bir kez kurulup ondan sonra hiç güncellenmeyecek bir sistem değildir. Ticari güvenlik duvarları da sürekli olarak yeni bulunan eksiklikleri kapatmak için güncellenirler. Genel bir dağıtım kullanarak bir güvenlik duvarı oluşturduktan sonra, sürekli olarak yeni çıkan güncellemeleri takip etmek zorundasınız. Eğer bu takibi yapmaya zaman ayıramayacaksanız, aşağıdaki hazır Linux güvenlik duvarlarından birini kullanın. Yalnızca bu paketlere gelen güncellemeleri takip eder ve genel bir dağıtıma yapılan güncellemelerin sizin açınızdan gerekli/gereksiz olup olmadığına karar vermek yükünden kurtulursunuz.
• Güvenlik duvarı üzerinde aşağıda bahsedilen yöntemleri doğru uygulamanız gereklidir. Eğer bunları doğru uygulayacak sistem bilgisine sahip değilseniz ve öğrenmek istemiyorsanız, hazır bir güvenlik duvarı sizin için en iyi yöntem olabilir.
• Güvenlik duvarını gün be gün yönetecek kişi ile güvenlik duvarını kuracak kişi aynı olmayabilir. Aşağıda bahsedilen Linux temelli güvenlik duvarları gayet profesyonel görüntülü, grafik arayüzlerine sahiptir. Bunları kullanmak ve yönetmek kendi oluşturacağınız bir makinayı kullanmak ve yönetmekten daha kolay olacaktır.
• Güvenlik duvarı için gereken bütün servisleri bir araya getirmek azımsanmayacak bir sistem entegrasyonudur. Bu işi yapmak yerine hazır, Linux temelli bir güvenlik duvarı kurmayı tercih edebilirsiniz.
6.3. Linux uzerinde IPCHAINS Firewall Kurulumu ve
Konfigurasyonu
6.3.1. Paket Filtreleme
Paket filtreleme Linux kernel(Çekirdek) içerisine gömülmüş durumdadır ve TCP/IP protokolunun Network Layer(Ağ Katmanı) a çalışır.Bu sayede sadece firewall kurallarının izin verdiği paketlerin geçisine izin verilir. Paketler tipine ,kaynak adresine(source address), hedef adresine (destination address) ve portlara göre filtrelenir. Paket Aynı zamanda Router görevi yapan firewall makinasına geldigi zaman paketin başlık(header) kısmı açılır ve paket başlığındaki bilgilere göre pakete izin verilir veya engellenir. Paketin başlık kısmında aşağıdaki bilgiler bulunur.
• Kaynak(source) IP adresi
• Hedef (Destination) IP adresi
• TCP/IP Kaynak Portu
• TCP/IP Hedef Portu
• ICMP Mesaj Türü
• Protokol Türü
İki türlü Firewall dizayn vardı
1-Kapatınlan trafik dışındaki tüm trafige izin vermek. Burada güvenlik açığı olabilecek uygulamaları tek tek kapatmak zorundayız ve diğerlerine izin vermemeliyiz. Bu durumda bazı gözden kaçırdığımız durumlar olabilir. Bu yüzden güvenlik açısından çok iyi bir yöntem değildir. Onun için burada 2. yöntemi uygulayacağız
2- İzin verilen trafik dışındaki tüm trafiği engellemek Bu durum en iyi firewall dizayndır. Burada nelere izin verilip verilmedigi bellidir ve dahilimiz dışında hehangi bir pakete izin verilmez.
6.3.2. Ipchains Firewall
Ipchains, Linux 2.1.102 kernel dan itibaren kullanılmaya başlayan tüm linux çeşitlerinde bulunan ücretsiz bir firewall çeşitidir. Binlerde $ verilip alınan diğer firewalların yaptığı (IP bazında ,Ağ bazında ,protokol bazında, port bazında filtreleme , port yönlendirme, gelen paketi reddetme ) gibi tüm işleri yapmaktadır.Ama ne yazık ki ipchainsi bilmeyenler için ,ipchains sadece ücretsiz basit bir firewall programından ibaret görülmektedir. Günde onlarca sitenin HACK edildiği günümüzde ,İnternette güvenliğin ne kadar önemli olduğuna anlatmaya gerek yok. Burada ipchains ile neler yapılacağı anlatılacaktır ve örnek bir ağ yapısı ele alınarak ipchains firewall dizaynı yapılacaktır.
Linux 2.1.102 kernel dan önce ipfwadm isimli firewall vardı. Linux kernel liniz 2.0 ise ipchains kullanmak için yama(patch) yapmanız gerekiyor. Ama tavsiyem, şu an en son kararlı kernel 2.2.17 yi ftp://ftp.kernel.org adresinden indirip derlemeniz olacak . Burada baştan Kernel derleme anlatılmayacaktır sadece kernel a ipchains desteği(Yoksa !) nasıl verileceği anlatılacaktır.Eğer 2.1.102 kernel dan yukarısını kullanıyorsanız. ve /proc/net/ip_fwchains dosyası var ise ipchains kurulu demektir.Kernel derlemenize gerek yoktur. Eğer Kernel de ipchains desteği yoksa ve ipchains yüklü değilse http://netfilter.filewatcher.org/ipchains adresinden ipchains indirip kurun ve kernelinize
Network firewalls ONFIG_FIREFALL) N] Y IP:Firewalling (CONFIG_IP_FIREWALL) [N] Y IP:TCP syncookie support (CONFIG_SYN_COOKIES) [N] Y
IP:Masquerading (CONFIG_IP_MASQUERADE) [N] Y
IP:ICMP Masquerading (CONFIG_IP_MASQUERADE_ICMP) [N] Y
yukarıdaki destekleri vererek kernel i tekrar derleyiniz. kernel derlemek için
/usr/src/linux dizin altında sıra ile # make dep &&
make clean && make bzImage && make modules && make modules_install
komutunu veriniz ve
#cp /usr/src/linux/arch/i386/boot/bzImage /boot komutu ile kopyalayın ve
/etc/lilo.conf dosyasına
image=/boot/bzImage
label=linux
root=/dev/xxx
read-only
xxx Linux un bulunduğu root dizini ifade etmektedir. yazdıktan sonra
# lilo komutunu verdikten sonra linux reboot edin.
Ipchains komutlari
İlk olarak # kullanıldığını da bunun Linux konsolu oldugunu ve Linux e root kullanıcısı ile girildiği kabul edilecektir. Kullandığınız ipchains versiyonunu öğrenmek için
# ipchains --version komutu verildiğinde
ipchains 1.3.9 17-Mar-1999
Ipchains te
paketler için ön tanımlı olarak 3 grup vardır.
input: (Giriş) Makinanızanın arayüzüne gelen paketller.
output: (Çıkış) Makinanızın ara yüzünden çıkan paketler.
forward: (Yönlendirme) Makinanızın bir arayüzünden gelip , diğer arayüzüne geçen paketler (MASQUARING gibi)
bunların dışında kullanıcıların kendilerine grup tanımlayabilirler.
Kendi grubunuzu tanımlamak için
# ipchains -N grubadı komutu ile belirtilen grub adında bir grub oluşur.
Ipchains le kullanılan parametler şu şekildedir.
-A : (Append) Yeni bir kural ekleme
-D : (Delete) Tanımlanmış bir kuralı silme
-R : (Replace) Bır kuralı değiştirmek için kullanılır.
-I Insert) Araya kural eklemek için kullanılır
-F Flush) Bir kurallar tablosunun tamamen silinmesini sağlar(tablonun içeriği sıfırlanır).
-X : içeriği sıfır olan kural gruplarını (input , output, forward, kullanıcının tanımladıkları)siler.
-N : (New) Yeni bir kural grubu oluşturur.
-L : (List) Tanımlı kural grublarındaki kuralları listeler
-P : (Policy) ipchains in ön tanımlı kural grublarının kurallarını ayarlar.
-i interface(arayüz) :Hangi arayüzün kullanılacağını belirtir.
-s kaynak (source)
aketin geldiği kaynağın IP adresi veya ağ grubunu belirtilir. -d hedef (destination)
aketin gideceği adres veya adres grubu -p protokol(protocol)
aketin kullandığı protokol adını belirtir(tcp udp icmp gibi). -j (jump)
aket ile ilgili hangi kararın verileceğini belirtir. -l log(kayıt)
aket ile ilgili bilgilerin log dosyasına yazılmasını sağlar -v (verbose)
aket ile ilgili detaylı bilgi verir.! :Bu parametre kuralın değilinıi (tersini) belirtilir.
Firewall makinamızda Paket için aşagıdaki Karar mekanizmaları(Policy) işler.
ACCEPT: Paketin kabul edildiğini belirtir.
DENY : Paketin kabul edilmediğini belirtir. Paket blok edilir ve paketi gönderen tarafa hiç bir şey gönderilmez.
REJECT: Paket reddedilir ve paketi gönderen tarafa paketin reddedildiğine dair bilgi gönderilir.
MASQ : Paketin maskelendigini belirtir. (MASQUARING de kullanılır)
REDIRECT: Bir porta (gelen , giden, yönlendirilen) paketin başka bir yerel porta yönlendirilmesi işini yapar.(Genelde Web isteklerini yerel makinadaki proxy portuna yönlendirmek için kullanılır.),
Portlarla ilğili olarakta.
1:1000 ifadesi 1 ile 1000 arasındaki portları tanımlayabilirsiniz.
1500: ifadesi ise 1500 ile 65535 (En sonuncu port) demektir.
Yukarıdaki tüm ifadeleri örneklerle açıklayalım.
# ipchains -A input -i eth0 -p tcp -s 193.12.3.100 -d 212.65.128.100 80 -j ACCEPT
Bu komut eth0 arayüzüne(-i eth0), 193.12.3.100 IP adresinden (-s 193.12.3.100) gelen (-A input) , tcp (-p tcp) protokolunu kullanan ve 212.65.128.100 IP li (-d 212.65.128.100 )bilgisayarın 80 portuna gelen paketleri kabul et(-j ACCEPT) manasına gelmektedir.
# ipchains -A output -s 212.65.128.100 25 -d 0/0 -p tcp -i eth0 -j ACCEPT
Bu komut ise eth0 arayüzünü kullanan 212.65.128.100 IP li makinanın 25 portundan gelen ve herhangi bir yere (0/0) giden tcp protokolu kullananan paketlerin çıkışına (-A output) izin ver (-j ACCEPT) demektir.
#ipchains -A forward -s 0/0 -i eth1 -d 200.1.2.3 -p icmp -j ACCEPT
Bu ifade ise herhangi bir yerden eth1 arayüzüne gelen ve 200.1.2.3 IP li makinaya giden tüm icmp protokolu paketlerini kabul et demektir.
#ipchains -D forward -s 0/0 -i eth1 -d 200.1.2.3 -p icmp -j ACCEPT
İfadesi ile bir üstte oluşturduğumuz kuralı kurallar tablosundan sil demektir.
# ipchains -P input DENY
# ipchains -P output DENY
# ipchains -P forward DENY
Bu komutlar ile ön tanımlı üç kural grubu için gelen paketleri yasakla (DENY) demektir. Bu durumda hiç bir paket giriş çıkışı olmaz
# ipchains -A forward -i eth0 -p tcp -s 192.168.1.0/24 -d 0/0 -j MASQ
Bu komut ile yerel ağdan gelen ve dışarı giden ( nereye olursa olsun internet veya diğer ağa ) tüm paketlere MASQUARING uygula demektir.
#ipchains –F
Bu komut ile daha önce belirlenen tüm gruplara ait kurallar silinir.
#ipchains -F input
ile sadece input grubuna ait komutlar silinir.
#ipchains -L
ifadesi ile tüm grublarda tanımlanan kurallar listelenir.
Firewall Dizayni
Burada aşağıdaki gibi bir sisteme sahip bir firma olduğu varsayılacak ve buna göre firewall dizayn yapılacaktır.
INTERNET
ppp0 veya eth2
|160.75.5.5 | Sunucu Network
| | eth0
| | | LINUX |
| IPCHAINS | 212.2.2.1 |
| FIREWALL |
|192.168.1.1|
| eth1 | WWW |SMTP |DNS |
|192.168.1
| 212.2.2.2 212.2.2.3 212.2.2.4
YEREL AĞ
Yukarıdaki şemayı açıklamadan önce Linux de arayüz(interface) isimlerinden kısaca bahsedeyim.Linuxte birinci ethernet kartının ismi eth0 dır
ikinci ethernet kartınn ismi eth1 dir
üçüncü ethernet kartının ismi eth2 dir. ve bu şekilde devam eder,ve
hangi ethernet kartının hangi isimde olacağı size kalmış.
Kısacası ,3 ethernet kartı varsa istediğinizi eth0 eth1 veya eth2 olarak belirleyebilirsiniz.
Birinci Modem bağlantısının ismi ise ppp0
Linuxun kendisinden oluşan ve yine kendisine giden paketler lo0 (loopback) arayüzünü kullanır. Bu sayede paket dışarı çıkmadan kendisine iletilir.
Şeklimizi açıklamaya başlayalım:
Şekilde 3 tane arayüze(interface)sahip bir Linux (Ipchains Kurulu) bilgisayar gözükmektedir.
Linux umuz eth0 (Birinci ethernet kartı) isimli arayüz ile firmamızın Sunucularının olduğu ağa bağlanmştır. Sunucların olduğu ağda Firmamıza ait WWW(Web sunucusu IP: 212.2.2.2 ), SMTP(Mail ve POP3 sunucusu IP:212.2.2.3) , DNS(dns sunucusu IP: 212.2.2.4) bulunmaktadır. ve eth1 arayüzü ile Şirkette çalışanların bilgisayarlarının olduğu Yerel Ağa bağlı. Son olarakta ppp0 (Modem) arayüzü ile internet çıkışımızı sağlanmaktadır. Çoğu firmanın Kiralık Hat kulandığı göze alınarak Modem bağlantısının Kiralık hat ile yapıldığı ve sabit bir IP(160.75.5.5) ye sahip olduğu kabul edilmiştir. (Not: hangi servisin hangi numaraya sahip olduğunu /etc/services dosyasından öğrenebilirsiniz.)
Dikkat ederseniz Yerel ağ 192.168.1 ile başlayan kayıtsız (unregistered) IP lere sahip bir özel(private) ağdır. Bu tür IP lere sahip bilgisayarların internete bağlanması ve için Linuxumuzda MASQUARING (Maskeleme) yapılması lazımdır. MASQUARING de yerel ağdan çıkan paketler sanki Firewall makinasından çıkıyormuş gibi gösterilir. ve paketinize gelen cevap ilk önce Linux firewall makinamıza gelir ve sizin bilgisara ulaştırılır. Bir örnekle açıklayalım . Diyelim ki siz 192.168.1.49 IP li yerel ağdaki bilgisarayızın web tarayıcısından http://skywalker.mis.boun.edu.tr web sayfasına bağlanmak istediniz.
1-Bu paket sizin bilgisayarınızın 1500 portundan http://skywalker.mis.boun.edu.tr sunucusunun 80(HTTP) portuna gitmek için oluşturulur ve Gateway e iletilir.
2-Gateway olan Linux umuze gelen paket MASQUERADING sayesinde biraz değiştirilir . Aynı paket Linux umuzun kendi yerel 65155 portundan geliyormuş gibi tekrar oluşturulur ve http://skywalker.mis.boun.edu.tr sunucusunun 80 portuna gönderilir.
3- http://skywalker.mis.boun.edu.tr sunucusuna gelen paketimiz bu sunucu tarafından Linux (firewall.pcworld.com.tr diyelim)umuzun 65155 portundan gelmiş gibi gözükür ve gelen pakete cevabı Linux makinamıza gönderir.
4-Linux u muze gelen bu paketi ,Linux 192.168.1.49 bilgisayarına gönderilmesi gerektiğini anlar(Linux kimlerin hangi paketi gönderdiğini hatırlamaktadır ve internet ten paket gelince paket kim göndermişse cevabı ona iletir. ) ve paketi tekrar oluşturarak 192.168.1.49 bilgisayarına iletir.
Anlaşılacağı üzere MASQUERADING olmasa idi gerçek IP ye sahip olmayan bilgisayarların internet e bağlanması mümkün değildi.
IPchains komutlarını vermeden önce bir firewall yaptırımlarını belirleyerek nelere izin verilip nelere izin verilmeyeceğini belirleyelim.
1- Yerel Ağdan Internete:
- İnternete sınırsız erişime izin verilecek.
2- Yerel Ağdan Sunucu Bölgesine (Server zone):
o WWW sunucusunda çalışan HTTP(80 .port) ve HTTPS (443. port) TELNET(23) FTP (20 , 21) servislerine erişimi
o - SMTP sunucusunda çalışan SMTP(25), POP3 (110) , TELNET(23), FTP(20 ,21) servislerine erişim.
o - DNS sunucunda çalışan DOMAIN(53), TELNET (23), FTP(20 ,21) servislerine erişim hakkı verilecektir.
3-Internetten Yerel Ağ erişim.
- Sadece Yerel Ağın internet e gönderdiği paketlere gelen cevap paketler kabul edilecektir.
4-Internetten Sunucu Bölgesine, Sunucudan İnternete:
o WWW sunucusudaki HTTP(80) ve HTTPS(433) servislere giriş ve çılış erişimi
o - SMTP sunucusundaki SMTP(25) servisine giriş ve çıkış erişimi
o - DNS Sunucusundaki DOMAIN(53) servisine giriş çıkışa izin verilecektir.
5-Sunucu Bölgesinden Yerel Ağa
o Sadece Yerel Ağın sunucu bölgesine gönderdiği paketlere gelen cevap paketler kabul edilecektir.
Evet bu şekilde bir firewall uygulaması yapılacaktır. Şimdi Firewall kurmaya başlayabiliriz..
6.3.3. Firewall Kurulumu
İlk olarak linux e forward ozelliği verilmesi lazım bunun için
Eğer Redhat 6.1 Kullanıyorsanız
/etc/syconfig/network dosyasındaki
FORWARD_IPV4="false"
FORWARD_IPV4="yes"
yapın ve
#/etc/rc.d/init.d/network restart komutu ile değişiklikleri aktif yapınız.
Redhat 6.2 kullanıyorsanız
/etc/syscl.conf
net.ipv4.ip_forward = 1
ekleyin ve
#/etc/rc.d/init.d/network restart komutu ile değişiklikleri aktif yapınız.
ya da, RedHat 7.0 kullaniyorsaniz:
#sysctl -w net.ipv4.ip_forward = 1
Diğer Linux çeşitlerinde
# echo 1 > /proc/sys/net/ipv4/ip_forward komutu verinin bu komutun açılışta aktif olması için
Mandrake ve Slackware de /etc/rc.d/rc.local dosyasının içine yazınız.
Buradan sonraki tüm yazınlanları bir dosyaya yazalım çünkü Linux reboot edildiğinde tüm firewall kuralları silinecektir. Bu yüzden reboot edildikten sonra kurallarımızı dosyadan tekrar çalıştırabiliriz.
# ile başlayan ifadeler sadece açıklamadır , firewallın kurallarını değiştirmez.
#
FIREWALL dosyasi
#
Buradan itibaren dosyaya yazin
#Değişkenlerimizi tanımlayım.
www=212.2.2.2 # web sunucusu IP
smtp=212.2.2.3 # mail sunucusu IP
dns=212.2.2.4 # dns sunucusu IP
localnet=192.168.1.0/24 #Tüm Yerel Ağ
fwhost=192.168.1.1/32 # firewall makinasının kendisi
EXTERNAL_INT=ppp0 # internete bağlantı arayüzü
SERVER_INT =eth0 # firewall makinasınındaki sunucuların olduğu tarafın arayüzü
LOCAL_INT=eth1 # firewall makinasınındaki yerel ağ bağlantı arayüzü
LOOPBACK=127.0.0.1 # linuxun kendisinin loopback adresi
# önce ,daha önceki tüm kuralları silelim
ipchains -F
ipchains -X
# tüm işlemleri yasaklayalım
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
# firewall sunucusun kendisinden gelip kendisinden paketlere izin vereelim
ipchains -A input -i lo0 -j ACCEPT
ipchains -A output -i lo0 -j ACCEPT
# internet te bağlı arayüzden sanki bizim loopback ip sinden gelmiş gibi görünen paketleri engelleyelim ve -l parametresi ile böyle bir paket geldiginde log dosyasına yazmasına belirtelim.
ipchains -A input -i $EXTERNAL_INT -s $LOOPBACK -j DENY -l
ipchains -A output -i $EXTERNAL_INT -s $LOOPBACK -j DENY –l
# Yerel ağın internet bağlantısı için MASQUARING i aktif edelim
# MASQUARING RULES
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
# simdi web sunucusuna gelen ve sunucudan gelen pakerler için kuralllar (rules) yazalım.
# WEB SUNUCUSU
#Internetten(ppp0) Web sunucununa(eth0) HTTPD (80) erişimi
# internet ten sunucu ya gelen paketleri kabul edelim
ipchains -A input -i $EXTERNAL_INT -p tcp -d $www 80 -j ACCEPT
# internet arayüzünden(ppp0 ) gelen paketin ,sunucular tarafına giden arayüzüne (eth1) yönlendirilmesi ( forward) kabul ediliyor
ipchains -A forward -i $SERVER_INT -p tcp -d $www 80 -j ACCEPT
# yukarıda firewallın sunucu arayüzüne gelen paket ,artık sunucu arayüzünden çıkıp web sunucusuna gidecektir. Bu durumda bu paket firewall un internet arayüzü için (ppp0) bir input ,Sunucu arayüzü için (eth0) bir output kuralıdır(Çükü paket eth0 dan ÇIKIYOR bu yüzden output dur.).
ipchains -A output -i $SERVER_INT -p tcp -d $www 80 -j ACCEPT
#Şimdide Web sunucusuna yukarıdaki gibi gelen paket lerin çıkışına izin verelim.
#Web sunucusundan (eth0) Internete (ppp0) HTTPD (80) Cevabı (Reply)
# firewall un sunucu arayüzüne web sunucusu tarafından gelen paketi kabul et.
ipchains -A input -i $SERVER_INT -p tcp -s $www 80 ! -y -j ACCEPT
# paketin internet arayüzüne yönlendirilmesini k