NİDA TELEKOMÜNİKASYON A.Ş. - Güvenlik Duvarı - Firewall

Güvenlik Duvarı - Firewall

Güvenlik Duvarı (Firewall) Nedir?

Güvenlik duvarının en basit hali paket filtrelemedir. Paket filtreleme veya erişim listesi, uygulanan arayüz üzerinde giriş veya çıkış yönünde, bir protokolün belirli bir portunun belirli IP adresleri için engellenmesi olarak özetlenebilir. Örnek vermek gerekirse, TCP ve UDP protokollerinin 137-139 portlarının tüm IP adreslerine engellenmesi ile iç ağdaki bilgisayarlar üzerinde paylaşılmış dizinlere İnternet üzerinden erişilmesi engellenir. Benzer şekilde, kurumsal bir web sunucusunun, 80 (http) ve 443 (https) portlarına izin verilip diğer tüm portların engellenmesi, bu sunucunun üzerinde çalışan diğer yazılımlarda ortaya çıkabilecek bir zaafiyetin güvenlik riski oluşturmasını engeller. Örneklerden de anlaşılabileceği üzere paket filtrelemek, çalışılan uygulamaların net olarak tanımlanabildiği durumlarda kullanılabilir.

Güvenlik duvarları, protokollerin özelliklerine göre yapılandırılabilir. TCP ve UDP protokollerinin farklı kaynak ve hedef port numaraları olabilir. ICMP’nin tip ve kod alanları bulunmaktadır. Bu alanlar kullanılarak erişim denetiminin sağlanması mümkündür. Ayrıca TCP, tasarımı gereği iletişimi takip eden durum denetimine sahip olduğundan, durum denetimli güvenlik duvarı yapılandırılması mümkün olmaktadır. İletişimin başlayacağı tarafın seçilerek, izin verilen iletişimin haricinde gelen paketlerin reddedilmesi, esnek ve daha doğru bir güvenlik duvarı yapılandırmasını sağlamaktadır. Paket filtreleme örneğinde verilen, iç ağdaki bilgisayarların dosya paylaşım portunun engellenmesi yerine, içeriden başlayan iletişime izin verilmesi ve bunun haricindeki tüm paketlerin reddedilmesi, hem iç ağdaki bilgisayarların başka portlarında çalışabilecek uygulamaları İnternet’ten korumakta, hem de paket filtreleme ile engellenen portların da kullanılabilmesini sağlamaktadır. Benzer şekilde, kurumsal web sunucusunun web servisinin verildiği portlara dışarıdan gelen iletişime izin verilmesi ve bunun haricindeki tüm paketlerin reddedilmesi, iletişim durumu dışında web portlarına gelebilecek paketleri de engelleyeceği için daha güvenli olmaktadır.

Günümüzde güvenlik duvarı kavramı, çoğu son kullanıcı tarafından da bilinmektedir. Ev ağlarının bağlantısında kullanılan modem ve yönlendirici cihazlar üzerinde, genellikle güvenlik duvarı bulunmaktadır. Ayrıca istemciler üzerinde de Windows Firewall, Zone Alarm gibi kişisel güvenlik duvarları kurulumu yapılmaktadır. IPv6 geçişinde dikkat edilmesi gereken bir diğer konu da, eski güvenlik duvarı alışkanlıklarından farklı olarak IPv6 da gerçek IP adresi kullanılması sebebiyle kural listelerinin yeniden yapılandırılması gerektiğidir. IPv4 de adres kısıtlılığı sebebiyle kullanılan NAT yapısı, NAT içerisinde yer alan istemcilere İnternet üzerinden doğrudan erişimi özel bir tanım yapılmamışsa engellemekte idi. Dolayısıyla NAT içerisinde yer alan istemciler, NAT yapısı gereği durum korumalı güvenlik duvarı (stateful firewall) korumasında gibi korunaklı idiler. Kullanmak istedikleri özel port veya protokoller için NAT üzerinde port eşlemesi yaparak iç ağdaki istemciye yönlendirmekte idiler. Her iki sürüm içinde gerçek IP kullanımında durum korumalı güvenlik duvarı yapılandırılmalı, servis verilecek uygulamalar için ise bu güvenlik duvarında gerekli izinler verilmelidir.

Söz konusu durumun ilk ortaya çıkışı, IPv4 üzerinden tünel ile IPv6 ağına bağlanılması tekniği olan Teredo özelliğinin bazı işletim sistemlerinde varsayılan olarak kurulu gelmesi ile olmuştur. NAT arkasında olan ve dolayısıyla tüm portları IPv4 İnternet’e kapalı olan istemciler üzerinde otomatik kurulan Teredo ile IPv6 ağına korunmasız, IPv4 güvenlik duvarlarının haricinde tüm portları açık olarak erişilir bağlanmaya başlamıştır. Bazı ev tipi yönlendiricilerin üzerinde de Teredo özelliğinin açık olması ile durum ciddiyet kazanmış, güvenlik uyarıları yayınlanmıştır.
(http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE2007-1338).  Bu güvenlik açığının sonucu olarak güvenlik duvarlarında IPv6 desteğinin verilmesi ve IPv6 için kural listelerinin yapılması, en azından durum korumalı engellenmesi
şeklinde tavsiyeler yayınlanmıştır.

Durum korumalı güvenlik duvarlarının yönettiği istemci-sunucu mimarisindeki iletişimin yanı sıra, istemciler arasında kontrol-veri protokolleri de günümüz uygulamaları arasında yer almaktadır. Aktif FTP, BitTorrent, bazı sohbet programları, SIP (VoIP protokolü), RTSP (ses ve görüntü aktarımı) gibi örnekleri olan bu tarz istemciden istemciye (peer-to-peer) uygulamaların güvenlik açısından yönetimi zorlaşmaktadır. Bu protokoller için güvenlik duvarlarında izin verilebilmesi, durum korumalı güvenlik duvarında adres/port delikleri açılması ile mümkün olabilmekte, bu durum da yine güvenlik zaafiyetine sebep olmaktadır. NAT yapısında da geçerli olan ve port eşlemesi ile açılabilen bu durum uygulama seviyesi ağ
geçitleri (ALG - Application Layer Gateway) kullanımı ile gözlenebilmektedir. Uygulama seviyesi güvenlik duvarları, saldırı tespit sistemleri ile bu gibi protokollerin trafiği incelenerek güvenlik sorunu olacağı düşünülen paketler düşürülür, gerekirse iletişim tamamen kesilebilir.

Kaynak: http://ulakbim.tubitak.gov.tr/