Güvenlik Duvarı (Firewall) Nedir?
Bir önceki yazımda sizlere ağ üzerindeki yaygın saldırı yöntemlerinden bahsetmiştim şimdi ağı korumak hakkında yavaş yavaş fikir edinebilelim diye güvenlik duvarlarından bahsedeceğim. Bir sonraki yazım ise güvenlik duvarını nasıl yapılandırabileceğimiz hakkında fikir vermek için yazılmış bir yazı olacak. Hadi başlayalım.
Güvenlik, bir ağdaki en önemli unsurdur ve ağ güvenliğini sağlamak için kullanılan birçok teknoloji vardır. Güvenlik duvarı ise ağ güvenliği ile ilgili en önemli teknolojilerden biridir. “Güvenlik duvarı” kavramı ilk kez 1764'te, olası bir yangında bir binanın parçalarını birbirinden ayırarak yangının dağılmasını engelleyecek olan duvarları tanımlamak için kullanılmıştır. Günümüzde ise güvenlik duvarları herhangi bir saldırıya maruz kalındığında, saldırının ağda yayılmasını engellemek için kullanılır.
Güvenlik duvarları, iç ağı saldırılardan veya dış ağlardan koruyan yazılımların ve donanımların bileşimidir. Korumak istediğimiz ağ ile dış ağların arasına girerek gelen ve giden ağ trafiğini kontrol eder. Ağın korunmasında ilk savunma hattı olarak kabul edilmektedir. Ağ üzerinde kendisine gelen paketlerin daha önce tanımlanmış kurallar doğrultusunda ulaşması gereken yerlere gidip gitmeyeceğine karar verir. Tanımlı kurallara uyan paketlerin geçişine izin veren güvenlik duvarı, mevcut kurallara uymayan paketlerin geçişini engeller ve böylece yüksek oranda koruma sağlar.
- Güvenlik Duvarı (Firewall) Çeşitleri:
Güvenlik duvarları, ağ protokolündeki çeşitli katmanlarda filtreleme yapabilirler. Üç ana kategoriye ayrılırlar: paket filtreleyici güvenlik duvarları, devre düzeyinde güvenlik duvarları ve uygulama düzeyinde güvenlik duvarları. Bunların hepsi kontrol ettikleri protokol katmanına göre karakterize edilmişlerdir. Pratikte bir güvenlik duvarı genellikle paket filtreleyici ve uygulama düzeyi güvenlik duvarının kombinasyonudur. (ŞAHİN, İnternet’te Güvenlik ve Saldırı Sezme Sistemleri, 2005, s. 30)
1.1. Paket Filtreleyici Güvenlik Duvarları (Packet Filtering Firewalls)
Paket filtreleyici güvenlik duvarı en temel güvenlik duvarı türüdür. Üçüncü katman olan Network (Ağ) Katmanında çalışır. Bu tür güvenlik duvarları paketleri alır ve genellikle daha önceden belirlenmiş olan filtreleme politikaları ve erişim izinlerine göre değerlendirir. Bu değerlendirme sonucunda paketler varış noktalarına yönlendirilebilir (ACCEPT), düşürülebilir (DROP) veya paket düşürülür ve kaynağa isteğin neden düşürüldüğünü açıklayan bir hata mesajı iletilebilir (REJECT).
1.2. Devre Düzeyinde Güvenlik Duvarları (Circuit-Level Firewalls)
Devre düzeyinde güvenlik duvarları lokal ağdan dış ağa giden bütün isteklerin kaydını tutar ve böylece dış ağdan lokal ağa bir giriş isteği geldiğinde sadece bir isteğe karşılık düşen giriş isteğini kabul eder, diğer istekleri ise reddeder. Dış ağdaki tüm cihazlar lokal ağdaki tüm cihazların adresini değil sadece güvenlik duvarının adresini bilir. Bu lokal ağ için önemli bir güvenlik önlemidir. Güvenlik duvarı lokal ağdan bir istek gelmediği sürece tüm portları kapalı halde bekletir. Bunun yanı sıra içeriden gelecek olan isteklerin tamamının kabul edilmesi de doğru değildir, lokal ağdan gelen istekler filtrelenmelidir.
1.3. Uygulama Düzeyi Güvenlik Duvarları (Application-Level Firewalls)
En sık karşılaşılan ve hizmet kesintisine neden olan veya veri kaynaklarına yapısal hasar verecek saldırıları önleyerek uygulama alt yapısının genel güvenliğini arttıran güvenlik duvarlarıdır. OSI modelinin uygulama katmanı düzeyinde, aktif ve pasif olmak üzere iki biçimde çalışır. “Vekil Sunucu” olarak da adlandırılabilirler. Devre düzeyindeki güvenlik duvarları adres ve port bilgisine bakarken, uygulama düzeyi güvenlik duvarları paketleri daha detaylı olarak inceler ve içeriğe bakar. Böylece verinin içeriğine bakılarak filtreleme yapılabilmesini sağlar.
2. Güvenlik Duvarının Olumlu Etkileri
Bir güvenlik duvarının konfigürasyonları doğru ve eksiksiz ise çok tedbirli çalışabilir. Ağdaki tüm trafiği takip eder, ACCEPT, DROP, REJECT gibi kararlar verir. Tehlikeli paketlerden ağı korur. İç ağdan dış ağa giden paketleri ve dış ağdan iç ağa gelen paketleri filtreler. Kimlik doğrulama sistemi kullanarak yetkisiz erişimleri engeller. Ağ kullanımı ile ilgili istatistiklerin hesaplanabilmesi, ağ trafiğinin takip edilebilmesi için tüm trafiği kayıt altına alır. Güvenlik duvarı iç ağ ve dış ağ arasındaki kapıdır, yapılandırılmış güvenlik duvarı ise o kapıda bekçi ve güvenlik kamerası olmasıdır.
3. Güvenlik Duvarının Olumsuz Etkileri
Güvenlik duvarları bazı ağlarda trafik darboğazına sebep olabilir. Bütün ağ trafiğinin güvenlik duvarı üzerinden geçmesi ağ trafiğinde tıkanıklık yaşanma ihtimalini oldukça arttırır, herhangi bir yapılandırma hatası ağ trafiğinde aksamaya sebep olur. Ayrıca bütün güvenlik duvarları devamlı yönetimsel desteğe, genel bakıma, yazılım güncellemelerine ve güvenlik yamalarına ihtiyaç duyarlar.
4. Güvenlik Duvarı Teknolojileri Hakkında Kısa Bir Öz
Yapılan çalışmalar kötü amaçlı trafikle başa çıkmak için tek bir güvenlik duvarının yeterli olmayacağını ancak farklı güvenlik duvarı kombinasyonlarının kullanımının oldukça başarılı olabileceğini kanıtlamıştır. Güvenlik duvarları temelde paketleri filtreleme görevini üstlenerek zararlı paketlerin gerçek paketlerden ayrıştırılmasını ve engellenmesini sağlar. Güvenlik duvarları siber saldırılara karşı Network Address Translation (NAT — Ağ Adres Çevirisi), Virtual Private Network (VPN — Sanal Özel Ağ) ve paket filtreleme fonksiyonlarının bir kombinasyonunu kullanır.
NAT aynı ağ içerisinde bulunan birden fazla cihazın aynı public IP’yi kullanarak internete erişebilmesini sağlayan yöntemdir, birçok kullanım sebebi vardır ancak bir güvenlik duvarı söz konusu olduğunda NAT bizim için önemli bir güvenlik önlemidir çünkü iç ağdaki cihazların ip adreslerinin (Private Ip Address) dış ağda gözükmesini engeller.
VPN ise uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan bir teknolojidir. VPN sanal bir ağ uzantısı (tünel) oluşturduğu için, VPN kullanarak ağa bağlanan bir cihaz, fiziksel olarak bağlıymış gibi o ağ üzerinden veri alışverişinde bulunabilir. VPN üzerinden bir ağa bağlanan kişi, o ağın fonksiyonel, güvenlik ve yönetim özelliklerini kullanmaya da devam eder. VPN’in en önemli iki uygulaması OpenVPN ve IPsec’dir.
Ayrıca güvenlik duvarları farklı bir yöntem olarak güvenlik bölgeleri konseptini de sağlar. Bu konsept farklı kaynakların, ne kadar önemli olduklarına bağlı olarak farklı bölgelere yerleştirilmesini ifade eder. (Demilitarized Zone, Trusted Zone, Untrusted Zone)
Güvenlik duvarları çeşitli güvenlik yetenekleri sergileyebilmelerine rağmen, yaşanan olaylar ve araştırmalar güvenlik duvarlarının bütün güvenlik sorunlarını çözemediğini ve yeni bir karmaşık türlü saldırıyı tanıyamadığını ve dolayısıyla engelleyemediğini kanıtlamıştır.
Güvenlik duvarı yerel ağ ve public ağ arasındaki bir kapıdır. Karmaşık türlü saldırıları daha iyi önlemek için önerilen yöntem dağıtılmış güvenlik duvarı mimarisi (distributed firewall architecture) olmuştur. Bu da güvenlik duvarının, biri korumayı amaçladığı ağ için, diğeri de public ağ için olmak üzere en az iki ağ ara yüzü kullanması anlamına gelir.
Teoride bir güvenlik duvarı zararlı trafiği engelleme konusunda oldukça başarılı görülebilir ancak pratikte bu durumun sağlanamayacağı kesindir. Misal olarak güvenlik duvarlarının yerel alan ağı (LAN — Local Area Network) için saldırılara karşı ilk savunma hattı olduğu doğrudur ancak LAN’ın içinde bulunan ve Wi-Fi üzerinden trafik oluşturan bir cihaz söz konusu olduğunda güvenlik duvarı zararlı trafiği engelleme konusunda oldukça yetersiz kalmaktadır.
Bir güvenlik duvarının mümkün olan en iyi şekilde çalışabilmesi; sürekli olarak takip edilmesine, izlenmesine, güncel tutulmasına ve politikalarının en doğru şekilde belirlenebilmesine bağlıdır. (International Journal of Scientific and Research Publications, Volume 6, Issue 4, Nisan 2016, s. 504–508 )
Bu yazımda güvenlik duvarları hakkında temel olabilecek bilgiler vermek istedim.
Bu yazıyı hazırlamak için kullandığım kaynaklar:
ŞAHİN, İnternet’te Güvenlik ve Saldırı Sezme Sistemleri, 2005, s. 30
International Journal of Scientific and Research Publications, Volume 6, Issue 4, Nisan 2016, s. 504–508
