∂єєρвLυє
[ωωω.нα¢кнєℓℓ.¢σм]
FIREWALL ( ATEŞ DUVARI ) NEDİR.?
Firewall (Internet Güvenlik Sistemi), Internet üzerinden bağlanan kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle bir Internet gateway servisi (ana Internet bağlantısını sağlayan servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen genel addır yada sistemin özel bölümlerini halka açık bölümlerinden ayıran, insanların kendilerine tanınan haklardan daha fazlasını almalarını engelleyen yapılardır.
Ilk kullanılan bilgisayar güvenlik duvarı; routing yapamayan bir UNIX makinasıydı. Bilgisayarın üzerindeki bir ethernet kartı internete bağlı, diğer ethernet kartı ise yerel ağa bağlı bulunmaktaydı. Yerel kullanıcılar internete erişmek için Unix(firewall) makinaya giriş yapmaları gerekiyordu, daha sonra sunucu makinanın kaynaklarını kullanarak internet imkanlarına erişiyorlardı.
FIREWALL TÜRLERİ
Ateş duvarının güvenlik tasarım mantığı bir çeşit paket izleme metodunu kullanmayı zorunlu kılmaktadır. Her bir metod OSI modelinin değişik katmanlarındaki bilgileri kullanmaktadır. Bu metodlar ateş duvarlarının önceden tanımlı kuralları ve filtreleri kullanarak paketlerden ve oturumlardan aldıkları bilgiler doğrultusunda trafiği izin verip vermeme işlemini gerçekleştirir. En çok bilinen üç metod paket filtreleme, dinamik filtreleme ve uygulama geçitli
A- PAKET FİLİTRELEME
Paket filtreleme ( dosya filitreleme diyelim biz dostlar ) en basit paket izleme metodudur. Paket filitreleme ateş duvarı tam olarak isminin çağrıştırdığı işi yapar yani paketleri filtreler. En yaygın kullanımı yönlendirici veya dual-homed ağ geçitlerindedir. Paket filtreleme işlemi şu şekilde yapılmaktadır. Herbir paket ateş duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Kabul etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir. Herbir paket diğer paketlerden bağımsız bir şekilde incelenir.
B- DİNAMİK (STATEFUL) PAKET İZLEME
Dinamik paket izleme paket filtrelemenin yaptığı bazı temel paket gözleme yöntemlerini kullanır. Buna ek olarak, ağ katmanından uygulama katmanına kadar paket başlık bilgisini inceleyerek paketin yasal bir bağlantıdan gelip gelmediğini ve protokollerin beklendiği gibi davranıp davranmadığını gözlemler.
C- UYGULAMA AĞ GEÇİDİ/VEKİL SUNUCULAR
Uygulama ağ geçitleri/vekil sunucular en karmaşık paket izleme metodu olarak düşünülebilir. Bu tip ateş duvarının iki ağ arayüzü olan güvenli host sistemlerinde konfigüre edilmesi düşünülebilir. Uygulama ağ geçitleri/vekil sunucular iki uç nokta arasında bir aracı olarak düşünülebilir. Bu paket izleme metodu istemci/sunucu modelini kırar, dolayısıyla yeni durum iki bağlantıya ihtiyaç duyar: bir bağlantı kaynaktan ağ geçidi/vekil sunucuya ve diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ geçidi/vekil sunucu aracılığı ile görüşebilir.
Bu tip ateş duvarı OSI modelinin uygulama katmanında çalışır. Kaynak ve hedef uç noktalarının birbirleriyle iletişim kurabilmesi için herbir uygulama protokolünde vekil sunucunun konfigürasyonu yapılmalıdır. Ağ geçidi/vekil sunucu iki ağ arasındaki bağlantıyı sağladığından gerekli güvenliği ve güvenilirliliği sağlamak amacı ile çok dikkatli bir şekilde tasarlanmalıdır. Bu doğrultuda vekil sunucu yazılımı da olabildiği kadar katı ve güvenli olmalıdır. Paket izlemenin diğer bir güçlü yanıda host sistemindeki arayüzün paketleri yönlendirmemesidir.
Firewall (Internet Güvenlik Sistemi), Internet üzerinden bağlanan kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle bir Internet gateway servisi (ana Internet bağlantısını sağlayan servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen genel addır yada sistemin özel bölümlerini halka açık bölümlerinden ayıran, insanların kendilerine tanınan haklardan daha fazlasını almalarını engelleyen yapılardır.
Ilk kullanılan bilgisayar güvenlik duvarı; routing yapamayan bir UNIX makinasıydı. Bilgisayarın üzerindeki bir ethernet kartı internete bağlı, diğer ethernet kartı ise yerel ağa bağlı bulunmaktaydı. Yerel kullanıcılar internete erişmek için Unix(firewall) makinaya giriş yapmaları gerekiyordu, daha sonra sunucu makinanın kaynaklarını kullanarak internet imkanlarına erişiyorlardı.
FIREWALL TÜRLERİ
Ateş duvarının güvenlik tasarım mantığı bir çeşit paket izleme metodunu kullanmayı zorunlu kılmaktadır. Her bir metod OSI modelinin değişik katmanlarındaki bilgileri kullanmaktadır. Bu metodlar ateş duvarlarının önceden tanımlı kuralları ve filtreleri kullanarak paketlerden ve oturumlardan aldıkları bilgiler doğrultusunda trafiği izin verip vermeme işlemini gerçekleştirir. En çok bilinen üç metod paket filtreleme, dinamik filtreleme ve uygulama geçitli
A- PAKET FİLİTRELEME
Paket filtreleme ( dosya filitreleme diyelim biz dostlar ) en basit paket izleme metodudur. Paket filitreleme ateş duvarı tam olarak isminin çağrıştırdığı işi yapar yani paketleri filtreler. En yaygın kullanımı yönlendirici veya dual-homed ağ geçitlerindedir. Paket filtreleme işlemi şu şekilde yapılmaktadır. Herbir paket ateş duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Kabul etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir. Herbir paket diğer paketlerden bağımsız bir şekilde incelenir.
B- DİNAMİK (STATEFUL) PAKET İZLEME
Dinamik paket izleme paket filtrelemenin yaptığı bazı temel paket gözleme yöntemlerini kullanır. Buna ek olarak, ağ katmanından uygulama katmanına kadar paket başlık bilgisini inceleyerek paketin yasal bir bağlantıdan gelip gelmediğini ve protokollerin beklendiği gibi davranıp davranmadığını gözlemler.
C- UYGULAMA AĞ GEÇİDİ/VEKİL SUNUCULAR
Uygulama ağ geçitleri/vekil sunucular en karmaşık paket izleme metodu olarak düşünülebilir. Bu tip ateş duvarının iki ağ arayüzü olan güvenli host sistemlerinde konfigüre edilmesi düşünülebilir. Uygulama ağ geçitleri/vekil sunucular iki uç nokta arasında bir aracı olarak düşünülebilir. Bu paket izleme metodu istemci/sunucu modelini kırar, dolayısıyla yeni durum iki bağlantıya ihtiyaç duyar: bir bağlantı kaynaktan ağ geçidi/vekil sunucuya ve diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ geçidi/vekil sunucu aracılığı ile görüşebilir.
Bu tip ateş duvarı OSI modelinin uygulama katmanında çalışır. Kaynak ve hedef uç noktalarının birbirleriyle iletişim kurabilmesi için herbir uygulama protokolünde vekil sunucunun konfigürasyonu yapılmalıdır. Ağ geçidi/vekil sunucu iki ağ arasındaki bağlantıyı sağladığından gerekli güvenliği ve güvenilirliliği sağlamak amacı ile çok dikkatli bir şekilde tasarlanmalıdır. Bu doğrultuda vekil sunucu yazılımı da olabildiği kadar katı ve güvenli olmalıdır. Paket izlemenin diğer bir güçlü yanıda host sistemindeki arayüzün paketleri yönlendirmemesidir.
