Firewall’ları bilişim güvenliği araçları olarak özetleyebiliriz. Bu
araçlar donanım olabileceği gibi bir yazılım da olabilir. Firewall’ların
görevi: Kurumsal ağları, kişisel ağları ya da en basitinden evde kullanmış
olduğumuz kişisel bilgisayarlarımızı; internet’ten, diğer ağlardan vb. dış
kaynaklardan gelen veya bu kaynaklara gönderdiğimiz verileri kontrol altına
alıp istenilmeyen veri trafiğini engellemektir. Bu veri trafiğini kontrol alma
ihtiyacı internet
doğduktan sonra zaruri bir ihtiyaç halini almıştır. Çünkü
sistemlerimizin başkalarının erişimine açmak demek kötü niyetli kişilerin bu
erişim hakkıyla bizim istemediğimiz ve bize zararı dokunabilecek işler
yapmasına müsaade etmek demektir.
· İlk Nesil Firewall’lar
(Paket Filtre Güvenlik Duvarları)
Firewall teknolojisi üzerine yazılmış bilinen ilk yazı 1988’de DEC’ten
(Digital Equipment Corporation)
Jeff Mogul’un paket filtre güvenlik duvarı denen filtreyi geliştirmesiyle
yayınlanmıştır. Oldukça basit olan bu sistem çok gelişecek ve oldukça
karmaşıklaşacak internet güvenlik sistemleri ilk nesil örneğiydi. AT&T’den
Bill Cheswick ve Steve Bellovin de bu ilk neslin mimarisi üzerine kendi
kurumlarında kullanmak için çalışan bir filtre hazırladılar.
· İkinci Nesil Firewall’lar
(Devre Seviyesi Firewall’lar)
1980–1990 yılları arasında AT&T’nin Bell laboratuarlarında Dave
Presetto ve Howard Trickey devre seviyesi güvenlik duvarı olarak bilinen ikinci
nesil firewall’u geliştirdiler
· Üçüncü Nesil Firewall’lar
(Uygulama Seviyesi Firewall’lar)
Üçüncü nesil güvenlik duvarı olarak bilinen uygulama seviyesi
firewall’lar ilk olarak Purdue Üniversitesi’nden Gene Spafford, AT&T’den
Bill Cheswick ve Marcus Ranum’un yayınlarıyla tanımlanmıştır. Bu firewall’lar
uygulama seviyesi firewall’lar veya proxy tabanlı firewall’lar olarak da
bilinir. Marcus Ranum’un bu teknoloji üzerindeki çalışmaları ilk ticari ürünün
ortaya çıkmasına öncülük etmiştir. Bu ürün DEC tarafından SEAL Product (Tıkama
ürünü) olarak piyasaya sürülmüştür. DEC firmasının ilk büyük satışı 13 Haziran
1991 yılında Amerika’nın doğu sahillerinde bulunan bir kimya firmasına
olmuştur.
Firewall Çeşitleri
1. Donanımsal Firewall
Donanımsal firewall’lar router, modem vb. donanıma entegre edilmiş
firewall’lardır. Tipik olarak paket filtreleme yöntemini kullanırlar.
Avantajları
· Tek bir firewall tüm ağınızı, dolayısıyla ağınızdaki bütün
bilgisayarları korur.
· Bilgisayarınızda çalışmadığı için yani çevresel donanım olduğu için
sisteminizin performansını ve hızını etkilemezler.
· Donanımsal firewall’lar geniş bant kullanan kurumlar için daha
verimlidir.
· Donanımsal firewall’lar yazılımsal firewall’lar gibi zararlı
yazılımlar (virüs, kurtçuk vb.) kolayca devre dışı bırakılamazlar.
· Bir kurum için her bir bilgisayara tek tek lisanslı firewall
almaktansa bir tane donanımsal firewall kullanmak maliyeti önemli ölçüde
düşürür.
Dezavantajları
· Kullanım alanlarına ve tiplerine göre oldukça pahalı olabilirler.
· Özellikle yeni kullanıcılar için donanımsal firewall ayarlarını
yapmak oldukça zor olabilir.
· Donanımsal firewall’lar ağınızdan çıkan veriyi güvenli olarak
nitelendirdikleri için, ağınızda bulunan zararlı bir yazılımın internete
bağlanmasına müsaade ederler
2. Yazılımsal Firewall
Bu çeşit bir firewall’lar herhangi bir bilgisayara yazılım olarak
rahatça kurulabilir. Bilgisayara gelen verinin istenen veri olup olmadığını
kontrol ederler ve çoğu zaman bilgisayardan çıkan verinin de kontrol
edilebilmesi için ayarlanabilirler. az sayıda bilgisayar içeren ağlar için
idealdirler.
· Kullanımı kolaydır. Kurulumu birkaç tıklamayla tamamlanıp ayarlarını
yapmak da donanımsal firewall’lara göre çok kolaydır. Mesela herhangi bir
yazılımsal firewall’da güvenlik seviyesini rahatça belirleyebilirsiniz.
· Esnektirler. Hangi uygulamanın internete erişim hakkı olduğunu
belirleyebilirsiniz. Kendi mail sunucularını kuran zararlı yazılımlar (MyDoom)
gibi potansiyel senaryolarda donanımsal firewall’lara göre çok daha güvenlidir.
Bu tür yazılımlar kendi mail sunucusunu kurduğu için, donanımsal firewall’lar
bu yazılımları güvenli olarak algılayıp bu zararlı yazılımların dışarıya olan
veri trafiğini engellemezler.
· İstenilen her yere bilgisayar ile birlikte taşınabilir (özellikle
laptop kullanıcıları).
Dezavantajları
· Yazılımsal oldukları için sisteminizin belleğini, işlemcisini vb.
kaynakları kullandıkları için performansı ve hızı düşürürler.
· Geniş bir ağınız varsa ve ücretsiz (freeware) firewall
kullanmıyorsanız her bir bilgisayar için lisanslı yazılım kullanacağınızdan
dolayı maliyeti yüksek olabilir.
· Yazılımsal firewall’lar IP adresinizi maskeleyemezler bunu yerine
kullanılmayan portları kapatırlar.
Bilişim güvenliği uzmanları en yüksek seviye güvenlik için her iki tip
firewall’ın bir arada kullanılmasını önermektedirler.
v Mimarilerine göre firewalllar ve işleyiş mekanizmaları: Firewall’ların işleyişini aşağıdaki resimle basit bir şekilde
gösterebiliriz. Mimarilerine göre firewall’ların sınıflandırılması çoğu yerde
farklılıklar göstermekte fakat ben temel olan 4 mimariden bahsedeceğim.
1- Statik Paket Filtre
Firewall’ları
Bu mimari eskimiş olmasına rağmen halen bazı sistemlerde
kullanılmaktadır. Bu firewall’lar trafikte akan verinin başlık (header) kısmına
bakar ve bu kısımdaki bilgileri okuyarak analiz eder (kaynak adresi, hedef
adresi, paketin erişmek istediği port, kullanacağı protokol gibi) ve analiz
sonucuna göre önceden tanımlanmış yetkilere göre paketin geçisine izin verir ya
da paketi engeller. Bu mimarinin en büyük eksisi paketi ilk gönderen sistemin
yani paketin oturumunu açan sistemin bazen tespit edilemiyor olmasıdır. Bu tür
firewall’lar ağ katmanında (network layer) çalışırlar.
2- Devre Seviyesi Firewall’lar
(Circuit Level Firewalls)
Devre seviyesi firewall’lar bağlantı kurulduğu anda paketleri ufak bir
denetimle taşıdıkları için bir hayli yüksek performans gösterirler. Bu tip
firewall’larda kaynak ile hedef arasında direk bir bağlantı kurulmaz. NAT
(Network Address Translation) denen ağ adresinin farklı bir adrese
dönüştürüldüğü tekniği kullanırlar. Ağ geçidi (gateway) sistemin yerel ağdaki
IP adresini dışarıya bağlı kaynaklardan gizler. Bu teknik devre seviyesi
firewall’ların oldukça esnek olmasını sağlar. Bu sistemin de dezavantajları
vardır. Örneğin bu tip firewall’lar kaynak ile hedef arasındaki paketleri
analiz edemezler.
3- Dinamik Paket Filtre
Firewall’ları (Durum Denetimli Firewallar – Stateful Inspection)
Bu mimari statik paket filtre firewall’larının yetersiz kalması üzerine
tasarlanmıştır. Durum denetimi için paketler ağ katmanında (network layer),
yüksek performans açısından statik paket filtre firewall’larında olduğu gibi
filtrelenir. Daha sonra verinin geldiği bütün katmanlara erişilir ve bu
katmanlar yüksek güvenliği sağlamak için denetlenir. Yani aslında veri
kaynaktan hedefe kadar takip edilir. Bu firewall’lar sadece paketin başlığını
incelemekle kalmaz aynı zamanda paketin içeriğini de kontrol ederek paket
hakkında daha fazla bilgi elde eder. Ek güvenlik önlemi olarak bu firewall’lar
bütün portları kapalı tutar (port taramalarına karşı) sadece port için bir
istek geldiği zaman eğer isteğe yetki verirse portu açar. En büyük
dezavantajlarından biri FTP protokolünün Proxy özelliği
desteklememesidir. Bu açığının kötüye kullanım oranı da oldukça yüksektir.
Stateful Inspection terimi ilk defa Check Point Software firmasının ürününün
Firewall–1 isimli ürününde kullanılmıştır. Bu mimari günümüzde yaygın olarak
kullanılmaktadır.
4- Proxy Destekli Firewall’lar
(Proxy Based Firewalls)
Bu firewall’lar uygulama seviyesinde (application layer) çalışırlar.
Proxy destekli firewall’ların özelliği oturumu kendisinin başlatmasıdır. Yani
kaynak sistem oturum açmak istediğinde bu isteğini firewall’a gönderir.
Firewall da isteği kaynağa iletir. Oturum açıldıktan sonra da işleyiş aynen
devam eder. Proxy destekli firewall’lar hedef ile kaynak arasında izolasyon
görevi görür. Bu firewall’ların paket içeriğini kontrol edebilmeleri en büyük
artılarıdır. Bu tür firewall’lar dinamik paket filtre firewall’ları gibi
oturumu takip etmezler. Çünkü oturumu zaten kendileri başlatırlar. Hedef ile
kaynak arasına girdiği için ve paketleri kendisi ilettiği için özellikle veri
trafiğinin yoğun olduğu alanlarda ciddi performans kayıpları olmaktadır.
Bu dört sistemden 2 veya daha fazlasını kullanan firewall’lar da
bulunur. Bunlara hibrit (melez) sistemler denir.
Hiç yorum yok:
Yorum Gönder