İPUCU

Bilgisayar Güvenliği Bilgisayar Güvenlik Sistemleri makaleleri, virüs korumasından, güvenlik duvarlarına kadar her şeyin nasıl çalıştığı hakkında bilgilere buradan ulaşabilirsiniz.

Seçenekler

[ DEV ] Güvenlik Duvarları ? #Stajyer Asistan Kulübü#

08-05-2018 19:22
#1
'TÜRKÇÜ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Mesajlar:
2.063
Teşekkür (Etti):
980
Teşekkür (Aldı):
490
Konular:
277
Merhaba, astlarim üstlerim bugünkü konumuz güvenlik duvarlarını genel olarak ele alacağız.


Konu için öldüm öldüm dirildim diyebilirim...


Güvenlik duvarları



Güvenlik duvarları iç ağ ile dış ağ(internet) arasında bir geçit olarak görev yapar ve bu iki trafiği yönlendirir. Gelen paketlerin adresine, portuna, servisine vs.. bakarak kendisinde tanımlı kurallar gereğince ya ilgili adrese gönderiri yada paketi yok der. Güvenlik duvarları hem yazılımsal hemde donanımsal oalbilir.



Güvenlik duvarları şirket ağlarını hackerlardan koruduğu gibi iç ağ için extra servislerde sunabilir. Genel olarak güvenlik duvarlarının sunduğu gizmetler;




Nat(Network Address Translation):



Şirketin iç ağında kullanılan özel iplerin (10.x.y.z, 192.168.x.y), dış ağa (internet) çıkarken gerçek ipyi kullanmasını sağlar.


NAT bir network içerisinde kullanilan bir IP adresinin baska bir network içerisinde bilinen baska bir IP adresine çevirilmesidir.
Bu islemde bir network iç network, diger biri de dis network olarak belirtilir. Tipik olarak, bir firma giden paketler için kendi içindeki lokal network adreslerini bir veya daha fazla dis global IP adresine dönüstürüp gelen paketlerde de global IP adreslerinin lokal IP adreslerine geri donüsümünü saglar. Bu metodla gelen veya giden her istek çeviri isleminden geçecegi için güvenligin saglanmasina da yardimci olunur. NAT ayrica firmalarin gloabal IP adreslerini idareli bir sekilde kullanabilmelerini ve hatta sadece tek bir IP adresi ile dünya çapinda taninabilmelerine olanak verir.




NAT router`larin, çogu zaman da kurumsal firewall`larin üzerlerinde tanimlanabilir. Network yöneticleri, globalden-yerele ve yerelden-gloabel`e adres çevirimi yapan NAT tablolari olustururlar. NAT ayrica networkler üzerinde yönlendirme politikalari ile paralel çalisabilir. NAT statik olarak tanimlanabilecegi gibi bir IP adres havuzundan veya baska bir IP havuzuna dinamik olarak IP çevirimi saglayacak sekilde düzenlenebilir. Cisco NAT bir ag yöneticisinin asagidaki adres dönüsümlerini yapmasina yardimci olur:



Statik olarak lokal bir IP adresini global bir IP adresine çevirme



Lokal bir IP adresini dönüsümlü olarak bir firmanin sahip oldugu global IP huvuzundan bir IP`ye çevirme


Lokal bir IP adresi ve özel bir TCP portunu global bir IP adresine veya havuzdan bir IP`ye çevirme


Global bir IP adresini düzenli sirayla lokal IP adresi havuzundan bir IP`ye çevirme



NAT`in genel tanimi RFC 1631 içinde ifade edilmistir. Bu tanimda IP adres tükenme problemi ile ilgili olarak CIDR ile NAT`in iliskisinden bahsedilmistir. NAT, genel bilinen ve özel bilinen IP adresler ayrimini yaratarak fazla sayida genel bilinen IP adres sayisi gereksinimini azaltir. CIDR genel olarak bilinen IP IP adreslerini bloklar halinde toplayarak daha az IP adresinin tüketilmesini saglar. Sonuç olarak, IPv6 genel olarak desteklenene kadar, her iki yol da su an kullanimda oldan IPv4 kullaniminin genisletilmesine yararlar.



VPN (Virtual Private Network): Genel kullanımdaki veri ağlarından, şirket ağına bağlanmanın güvenli olması için VPN kullanılabilir.



Genel telekomunikasyon altyapisini kullanarak, 'tunneling protocol' ve guvenlik prosedurleri araciligi ile guvenli ve ozel data aktarimini saglayan sanal ozel ag teknolojisine VPN*adi verilir.


VPN aglarini bir sirket tarafindan sahiplenilmis veya kiralanmis ozel hatlar olarak dusunebilriz. VPN uygulamasinin temel amaci bir firmaya ozel bir hat tahsis edilmesi yerine firmanin ayni hizmeti daha dusuk fiyata herkes tarafindan paylasilan altyapidan temin etmesidir.



Telefon sirketleri ses mesajlari icin daha onceden paylasimli guvenli hatlar icin yatirim yapmislardir. Bir VPN agi, ayni sekilde guvenli ortak paylasimi, data transferinin gerceklestirilmesi icin izin verir. Gunumuzde sirketler VPN teknolojisini hem extranetlerde, hem de genis intranet uygulamalarinda tercih etmektedirler.



Sanal ozel ag teknolojisinde datanin herkese acik hatlar uzerinden gonderilmesinden once sifrelenmesi, sonrasinda da ulastigi tarafta desifre edilmesi soz konusudur. Bunun disinda sadece iletilen datanin degil, gonderinin ve alanin network adreslerinin sifrelenmesi ile extra guvenlik saglanabilir. Microsoft, 3com ve birkac diger firma PPTP teknolojisini gelistirmis, daha sonra bu protokol Microsoft tarafindan Windows NT isletim sisteminde desteklenmistir. VPN yazilimlari tipik olarak firewall'un bir parcasi olarak kurulup servis verirler



Proxy:Şirketteki istemcilerin dış ağdaki bir sunucuya bağlanmalarında vekillik yapar.



Proxy servisi, Internet üzerindeki yerel bir ağ (ya da Internet’ e bağlı bir bilgisayar) ile, dış dünya arasındaki ilişkiyi sağlayan bir yardımcı geçiş (gateway) sistemidir.



İki amaç için kullanılabilirler :



Bir proxy servisi (sunucusu), sizin adınıza sizden aldığı bilgi alma isteklerini yürütür ve sonucu yine size iletir. Ancak, aynı anda, bu bilgilerin bir kopyası da (cache),bu proxy sunucusu üzerinde tutulur ve bir dahaki erişimde kullanıcının istediği bilgiler doğrudan ilgili siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim daha hızlı olur. Internet’ e erişim için mutlaka bir proxy servisine ihtiyaç yoktur, ancak; size en yakın bir servis noktasındaki proxy servisini kullanmanız, Internet erişiminizi bir hayli hızlandıracaktır.



Firewall güvenlik sistemlerinin kullanıldığı yerlerde, kullanıcıları çıkışları tek bir makine üzerinden olabilir. Bu durumda proxy servis makinesi sadece bir aracı olarak çalışır.
Proxy servisi kullanmanın avantajı çoktur. Herhangi bir siteden istediğiniz bir bilgi (web sayfası, ftp dökümanı vb..) eğer kullandığınız proxy servisinde henüz depolanmamışsa, bu bilginin olduğu siteden alınır ve size iletilir. Ancak, daha sonra başka bir kullanıcı (ya da siz) aynı dökümanı/bilgiyi istediğinizde, ilgili döküman/bilgi proxy servisinde depolandığı (cache) için, doğrudan oradan size iletilir ve erişiminiz de çok daha hızlı olur.



Proxy servisleri, uluslararası Internet bağlantılarındaki yoğunluğu azaltmak, erişimleri hızlandırmak ve ağı daha etkin kullanmak için çok yararlı araçlardır. En popüler proxy servisleri, Web (http), FTP, Gopher ve Wais Internet araçları için tanımlıdır.


İstanbul’ daki Turnet’ e bağlı servis sağlayıcılarından hizmet alanların Turnet İstanbul, Ankara Turnet üzerinden çıkan Internet Servis sağlayıcılarından hizmet alanların Turnet Ankara, İzmir bölgesindeki Turnet’ e bağlı Internet Servis Sağlayıcılarından hizmet alanların Turnet İzmir Proxy servislerini kullanmaları en iyi performansı verecektir. Ulusal Akademik Ağ kullanıcıları ise, kendi durumlarına göre, ODTÜ ve EgeNet servislerini kullanmalıdırlar. İTÜ Proxy servisi şu an yerel (sadece kendi kullanıcılarına) hizmet vermektedir. Tüm proxy servislerin bir zincir oluşturarak ortak kullanımına yönelik çalışmalar yapılmaktadır.


Paket Filtreleme:Ağa gelen ve giden paketlerin adreslerine portalarına kullandığı servislere bakılarak iletilmesini sağlar yada yasaklar.


Loglama ve Raporlama:Bağlantılar ve diğer mekanizmalar için kayıt tutar ve raporlar.


Saldırı Tespit Sistemi:Klasik saldırı tespit sistemleri kadar olmasada şüpheli durumları yada saldırıları genellikle e-posta yoluyla sistem yöneticisine bildirir



Genel Olarak 3 tip güvenlik Duvarı Vardır;



-Paket Filtreleme tabanlı

-Dinamik filtreleme tabanlı

-Proxy Tabanlı




Paket Filtreleme Tabanlı Güvenlik Duvarları



Bu tip güvenlik duvarları en eski ve aynı zamanda en basit güvenlk duvarlarıdır.İsminden de anlaşılacağı gibi kendisine gelen her 3. katman paketine (ip, ipx) bakar ve bunların başlıklarını inceler.



Kendisinde tanımlı erişimli kurallar (access lists) gereğince paketin gönderilmesine izin verir yada yasaklar. Bu tip güvenlik duvarlarında genel olarak paketin iletilip iletilmeyeceğine şu kriterler bakılarak karar verilir.


Gönderinin ip adresi ,Alıcının ip adresi, gönderenin portu, alıcının portu, TCP bayrakları , yön (ağamı geliyor ağdan mı gidiyor), Protokol.


Paket filtreleme tabanlı güvenlik duvarlarının kendisinde tanımlı kuralları gereğince paket trafiğini yönettir. Bu kuralların genellikle erişim listesi Access list acl oalrak tnaımlanır. HEr firmanın kendine göre AL tanımlama formatı vardır.Bu tip güvenlik duvarlarında önemli olan şey, dış ağdan elipde iç ağdaki bir istemciden daha önce gelen bir isteğe karşılık gibi gösterilen paketlere izin verilmemektedir.Çünkü hackerlar bu tip açıklardan yararlanırlar.


Dışarıdan kaynak portu 80 olan bir ack paketi geldiğinde güvenlik duvarı kendi ağından bir istemcinin internetteki bir sunucuya bağlanmak istediğini ve bu amaçla daha önce syn paketi gönderildiğini, ack paketininde buna cevap oalrak geldiğini düşnür.Oysa gerçek bir hacker oyunudur. Bu durum udp paketleri içinde geçerlidir. UDP de bayraklar yada kontrol bitleri bulunmaz oysa paket filtreleme tabanlı güvenlik duvarları sadece tcp paketlerine bakar buda güvenlik açısından önemli bir sorundur.Bu tip güvenlik duvarları güvenlik açısından sorunlu olsada hızlı olmaları nedeniyle bir çok eyrde kullanılır.



Dİnamik Filtreleme Tabanlı Güvenlik Duvarı



Bu tip güvenlik duvarları paket filtreleme tabanlı güvenlik duvarlarından daha güvenleidir.Klasik paket filtrelemede sadece paketin başlığına baklır ve eğer paketin içeriği kurallar çerçevesinde dğeil ilse ilgili adrese iletilir.Ancak dışarıdan gelipde öncesi olmayan bir oturumun başlangıcı gibi gösterilen paketlerde iletilebilir.Bu sorunu çözmek için dinamik filtreleme mekanizması geliştirilmiştir.Checkpoint firması tarafından geliştirilen bu mekanizma yine bu firmanın tescilli markası olan "Stateful inspection" olarakda bilinir.Check point FW-1, cisco PIX (computerwolf ii bilir) ve netscreen gibi ticari ürünlerle, ipfilter gibi ücretsiz ürünler bu mekanizmayı kullanır.Dinamik filtreleme tabanlı güvenlik duvarlarında ilave olarak bellek bulunur.


Bu bellek sayesinde gelen bir pakein daha önce başlatılan bir bağlantı isteğine karşılık olup olmadığı belirlenir.Eğer gelen paket tutulan süre içindeki paketlerden birine karşılıksa izin verilir.Paket tutulan süre genellikle 30-90 saniye arasında değişir.Genlelikle bu tür bilgiler durum tablosu denilen küçük bir veritabanında tutulur.Bu tabloya sızmak isteyen hacker bu amaçla bir ack paketi gönderdiğinde bellekteki bu ack paketi içn daha önce bir syn paketi gönderilip gönderilmediğine bakılır.Eğer böyle bir paket yoksa red edilir.


Bu tip güvenlik duvarlarında tcp bayraklarının yanı sıra udp paketlerininde bilgileri tutulur.Böylece ağa bir udp paket iletilmek istenildiğinde bunun öcnesinin olup olmadığına bakılarak işlem yapılır.Dinamik filtreleme ilk 2.4.x çekirdeği ve iptable zelliği ile linuxlarda başlamıştır.



Pruxy Tabanlı Güvenlik Duvarları



Daha önce anlatılan güvenlik duvarları kendisine gelen paketin gelen içeriğine bakarlar ve buna kadar verirler.Eğer paket kurallara uygunsa istemci ile sunucu arasında doğrudan bir bağlantı kurulur.Proxy tabanlı güvenlik duvarlarında ise iç ağdaki bir kullanıcının ağa çıkmasına vekillik eder.Örn bir ftp proxy, şirketin dış ağından gelen bir ftp isteğine vekillik eder, iligli ftp sunucuya isteği iletir.Daha sonra ftp sunucusunun verdiği cevabı iç ağdaki istemciye iletir böylece hem iç ağ hemde dış ağ tamamen birbirinden yalıtılmış olur.Bu yönüyle proxy tabanlı güvenlik duvarları çalışma mekanizması nedeniyle diğerlerinden ayrılır.


Bu tür güvenlik duvarları daha çok uygulama tabanlı (application level) güvenlik duvarları olarak bilinir.Paketlerin içeriğini denetleyebilmesi çok büyük bir avantajdır.Bu sayede activex gibi istenmeyen içerikler engellene bilir.Ayrıca paket tabanlı güvenlikduvarlarına yapan ack taramalarından proxyler etkilenmez.Bu tip bir paket geldiğinde hemen yk eder.Proxy tabanlı güvenlik duvarları güvenlik dışında performans amaçlıda kullanıla bilir.Daha önce girilen web sayfalarını chache belleğe alır böylece aynı istek karşısında yeniden ilgili sunucuya bağlanmak zorunda kalmaz.


Bu 3 güvenlik duvarlarının ortak kullanıldığı ağlar olduğu gibi 2 yada 3 özelliği bünyesinde barındıran hibrit güvenlik duvarlarıda vardır.Genellikle http, ftp gibi protokoller ve güvenliğin önemli olduğu durumlar için proxy diğer protokoller ve yoğun ağlar için dinamik yada geleneksel paket filtrelemede kullanılır.




Saygılarımla../ İyi forumlar



Kulkanilan Kaynaklar:

Whatis.com

http://dergipark.gov.tr/download/article-file/99163
CyberXhackk, M3m0ry Teşekkür etti.

08-05-2018 19:49
#2
Üyelik tarihi:
03/2016
Nereden:
pardus@root
Mesajlar:
2.963
Teşekkür (Etti):
771
Teşekkür (Aldı):
699
Konular:
238
Eline emeğine sağlık TÜRKÇÜ
Kullanıcı İmzası
08-05-2018 19:49
#3
Tegin - ait Kullanıcı Resmi (Avatar)
Moderasyon Ekipler Sorumlusu
Üyelik tarihi:
03/2018
Mesajlar:
11.156
Konular:
109
Emeğine sağlık
08-05-2018 19:57
#4
REYNMEN - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
127.0.0.1
Mesajlar:
359
Teşekkür (Etti):
39
Teşekkür (Aldı):
74
Konular:
71
Eline emeğine sağlık
Kullanıcı İmzası
Hayatın Adına
Bügün
Ne Yaptın?
08-05-2018 21:12
#5
M3m0ry - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Mesajlar:
3.490
Teşekkür (Etti):
8239
Teşekkür (Aldı):
1020
Konular:
234
Gerçekten de Emek Var. Ellerinize Emeğinize Sağlık Birazdan Okuyacağım Söz Veriyorum.
Kullanıcı İmzası
R4V3N.

SolidStar.
08-05-2018 22:30
#6
'TÜRKÇÜ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Mesajlar:
2.063
Teşekkür (Etti):
980
Teşekkür (Aldı):
490
Konular:
277
Alıntı:
M3m0ry´isimli üyeden Alıntı Mesajı göster
Gerçekten de Emek Var. Ellerinize Emeğinize Sağlık Birazdan Okuyacağım Söz Veriyorum.
Alıntı:
CyberXhackk´isimli üyeden Alıntı Mesajı göster
Eline emeğine sağlık TÜRKÇÜ
Alıntı:
PalaMukan´isimli üyeden Alıntı Mesajı göster
Emeğine sağlık
Alıntı:
REYNMEN´isimli üyeden Alıntı Mesajı göster
Eline emeğine sağlık
Teşekkürler..
14-05-2018 17:50
#7
LadyShot - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Nereden:
London
Mesajlar:
228
Teşekkür (Etti):
34
Teşekkür (Aldı):
52
Konular:
30
Ellerine sağlık
Kullanıcı İmzası
Eğer, Kendilerini Tanımış Olaydınız, Türklere Hayran Olurdunuz..
14-05-2018 17:51
#8
HeRTeS - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
Mars
Mesajlar:
1.857
Teşekkür (Etti):
272
Teşekkür (Aldı):
615
Konular:
192
Eline Sağlık Konu güzel olmuş.
Kullanıcı İmzası
.-.*/-.*/-*./-56842-*-s-*98ss8
'TÜRKÇÜ Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı