Teknoloji Haberleri
Aşağı Git
Tüm Forumlar
Donanım / Hardware
Network ve Güvenlik
--AĞ GÜVENLİĞİ - PROXY KAVRAMI--PORTLAR...
Bu konudaki kullanıcılar: 1 misafir
18
Cevap 2760
Tıklama 0
Öne Çıkarma
Cevap 2760
Tıklama 0
Öne Çıkarma
1. sayfa
-
--AĞ GÜVENLİĞİ - PROXY KAVRAMI--PORTLAR...
|
<b>Proxy Temel Bilgiler/Kullanım</b> "Gizlilik" başlıklı konudan ve son yapılan saldırıdan şahsen çıkardığım sonuca binaen, özellikle yeni arkadaşların Proxy kullanımında bazı soruları olduğu kanısına vardım ve bu konuda bazı temel bilgiler vermek istedim. İlave bilgisi olanların eklemelerini, sorusu olanların ise deneme yaptıktan sonra sorularını yöneltmelerini isteyeceğim. Proxy Nedir? Proxy; kelime anlamı olarak "Vekil" ya da " elçi" anlamına gelmektedir. Bizim kullandığımız anlamda Proxy; internet erişimi sağlanırken, çıkışın bir proxy servisi üzerinden sağlanmasıdır. Peki Proxy Servisi nedir? Proxy Servisi nedir? Proxy servisi; internet üzerindeki yerel bir ağ (ya da internete bağlı bir bilgisayar) ile, dış dünya arasındaki ilişkiyi sağlayan bir yardımcı geçiş (gateway) sistemidir. İki amaç için kullanılabilirler : 1. Bu kullanımda, bir proxy servisi (sunucusu), sizin adınıza sizden aldığı bilgi alma isteklerini yürütür ve sonucu yine size iletir. Ancak, aynı anda, bu bilgilerin bir kopyası da (cache),bu proxy sunucusu üzerinde tutulur ve bir dahaki erişimde kullanıcının istediği bilgiler doğrudan ilgili siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim daha hızlı olur. Internete erişim için mutlaka bir proxy servisine ihtiyaç yoktur, ancak, size en yakın bir servis noktasındaki proxy servisini kullanmanız, internet erişiminizi birhayli hızlandıracaktır. 2. Firewall-güvenlik sistemlerinin kullanıldığı yerlerde, kullanıcıları çıkışları tek bir makine üzerinden olabilir. Bu durumda proxy servis makinesi sadece bir aracı olarak çalışır. Proxy servisi kullanmanın avantajı çoktur. Herhangi bir siteden istediğiniz bir bilgi (web sayfası, ftp dokumanı vb) eğer kullandığınız proxy servisinde henüz depolanmamışsa, bu bilginin olduğu siteden alınır ve size iletilir. Ancak, daha sonra başka bir kullanıcı (ya da siz) aynı dokümanı/bilgiyi istediğinizde, ilgili döküman/bilgi proxy servisinde depolandığı (cache) için, doğrudan oradan size iletilir ve erişiminiz de çok daha hızlı olur. Proxy servisleri, uluslararası internet bağlantılarındaki yoğunluğu azaltmak, erişimleri hızlandırmak ve ağı daha etkin kullanmak için çok yararlı araçlardır da aynı zamanda. Şöyle ki; bir şirkette kurulmuş bulunan network ağı düşünün ve şirket çalışanlarına internet bağlantısı da sağlanıyor. Bu kullanıcıların hepsi için, ayrı hatların internet bağlanması gereksiz ve maliyetli bir durum oluşturacaktır. Ancak, ana sunucu üzerinden sağlanacak internet çıkışı, proxy sunucusu vasıtası ile tüm kullanıcılar tarafından kullanılabilecektir. Bu, internet üzerindeki yoğunluğu azaltacağı gibi, hızı da arttıracak ve aynı zamanda kullanıcıların proxy sunucunun depolama (cache) özelliğinden faydalanmasını da sağlayacaktır. Şimdi, proxylerin, bizlerin kullandığı alanda nasıl kullanıldığına bakalım; Güvenlik Amacı ile Proxy Kullanımı: Proxyler, proxy sunucusunun ayarları ile ilgili olarak, kendilerine bağlandıktan sonra üzerilerinden internet çıkışı sağlayan makinelerin IP numaralarını gizleme ya da gizlememe durumlarına göre seviyelere ayrılırlar. Anonymous tabir edilen proxyler de, genelde gizlenme başarılı sonuçlar. Ancak, unutulmamalıdır ki, gizlenilmesi gereken durumun sonucunda hakkınızda yasal bir işlem yapılacaksa, proxy sunucusu da log tutmaya ayarlı olabilir ve size 2 günde ulaşacaklarsa, proxy kullanmanız bu sürenin 4 güne çıkmasını sağlamaktan başka bir işe yaramaz. Güncel Proxyler Bulmak: Benim, şahsen genelde kullandığım adresler aşağıda mevcut, arkadaşların kullandıkları varsa da tabi ki yazabilirler. http://www.samair.ru/proxy/fresh-proxy-list.htm http://www.atomintersoft.com/products/alive-proxy/proxy-list/ Bu adreslerde, günlük, hatta belirli saatlik periyodlar halinde proxyler yayınlanmaktadır. Genelde % 75 oranında proxyler çalışmaktadır ancak, yine de bulunan proxylerin test edilmesi yarı yolda kalmanızı engelleyecektir. Proxy test etmek için en kullanışlı program (benim görüşüm) Multi Proxy programdır. Çok kullanışlı olmasının yanı sıra, ayrıca 127.0.0.1 proxy ayarı üzerinden web tabanlı çıkış yapabilmenizi de sağlamak gibi bir özelliğe sahiptir. Multi Proxy programını Cyber-Warrior Ana Sayfada bulunan "Download" bölümünden ulaşabilirsiniz. Multi Proxy programı, her ne kadar test edilip sağlamlığı belirlenen ve seçilen proxyyi, internet explorerınızın proxy settings kısmına kendisi set-up yapsa da, bunu anlatmakta da fayda var. Bulduğumuz sağlam bir proxyi nasıl kullanacağız? Internet Explorer simgesi üzerinde sağ click ve "özellikler" üzerinden ya da internet explorer açtıktan sonra "araçlar" kısmına giriş yapılır. Bundan sonra "Internet Seçenekleri/Bağlantılar menusune giriş yapılır ve çıkan ekranda sağ altta bulunan "yerel ağ ayarları" tuşu tıklanır. Yerel Ağ Ayarları ( LAN Settings) kısmında, ekranın alt tarafı Proxy Ayarları kısmında " Yerel Ağınız İçin Birt Proxy Sunucusu Kullanın" yazısının solundaki kutucuk işaretlendiğinde, proxynin yazılacağı kutu kullanıma açılacaktır. Buraya Proxyi ve port numarasını yazdıktan sonra, "tamam" denilerek ayarlardan çıkılır. Proxy Ayarları ekranında, en alt solda " Yerel Adresler İçin Proxy Sunucusunu Atla" seçeneği işaretlendiğinde, adından da anlaşılacağı üzere Türkiye içinde bağlantı talep eidlen internet adreslerine bağlanırken proxy sunucusu devreye girmeyecek, sadece yabancı adresler için devreye girecektir. Porxyyi doğru ayarlayıp ayarlamadığınız test etmek isterseniz, kısaca hala korkularınız varsa,www.whatismyip.com adresinden bunu kontrol edebilirsiniz. ÖNEMLİ NOTLAR: - Dial-up bağlantılarda, modem simgesi üstüne tıklanarak, modemin proxy kullanımına açık olup olmadığı kontrol edilmelidir. ADSL, Kablo gibi diğer bağlantılarda direkt olarak explorer üstünden ayar ile proxy kullanılabilir. - Bir LAN içindeyseniz, proxy kullanmak gibi bir lüksünüz olması biraz zor. Bunun neden zor olduğu ile ilgili açıklama için CW Forum Security ve Network bölümlerinden faydalanabilirsiniz. - Proxy kullanmak, çoğu yerde çözümdür. Ancak Saldıryı yapacağınız yere bağlı olarak takip yolu ile loglardan sizi bulmaları ihtimali mevcut. -Bu arada bazı serverlarda MAC Adresi de loglanır. Bunu aşmak için ileri dönemlerde belki bir ufak doküman hazırlanabilir:)) |
|
Trojanlar hakkında herşey! 1. Trojan Nedir? 2. Tarihi 3. Kullanım Amaçları 4. Korunum ve Karşı Saldırı Yöntemleri 5. Artık Saldıralım! --------------------------------------------------------------------- 1. Trojan nedir? Trojan, bir kişini başka bir kişinin bilgisayarına girmesi için kullanacağı programların genel adıdır. Bir çok yerde, özellikle aylık aldığımız dergilerde karşımıza "Truva atı" olarak çıkar. Trojanlar internetin başından beri var olan ve onu sonuna kadar da bırakmayacak olan sadık dostlarıdır. 2. Tarihi Trojanların başlangıç tarihi tam olarak belli değildir. Classicleşmiş olan "netbus" ve "backdoor" gibi progların daha gerisinde küçük çaplı çalışmalarda kullanılan küçük programcıklar ile başlamıştır. İlk olarak LAN üzerinde denenen trojanlar zamanla IP üzerinden bağlanmak amaçlı internet üzerine dağılmıştır. 3. Kullanım Amaçları Trojanların kullanım amaçları çok fazladır. Bu yüzden katagorilere ayırmayı uygun görüyorum… 1- Çalma Amaçlı a) Net Account, Icq Password b) Çeşitli Dosyalar (Kurbanın dosyalarını download ve upload etme, silme, değiştirme) 2- Eğlence Amaçlı a. Fiziksel Eğlenceler (CD-ROM, Monitor, Mouse) b. Programsal Eğlenceler (Kurbanla chat, Matrix) c. Görüntüsel Eğlenceler (Desktop Capture, ) 3- Casusluk a) Keylogging b) ICQ spy c) AOL spy 4. Korunum ve Karşı Saldırı Yöntemleri A. Korunum Yukarıdakileri yapmak gerçekten çok eğlenceli gelmiş olabilir. Belki kurbanınıza “Lütfen format atma!” dedirtmiş ve bu şeyden mutlu olmuş olabilirsiniz ama unutmayın her an sizde bu duruma düşebilirsiniz!! Peki nasıl kurtulacaksınız? Bunun için dört yönteminiz var; 1. Trojan cleaner programları “The Cleaner” adlı bir pro 100 üzerinde trojanı bulduğunu iddia ediyor. Deneyebilirsiniz ama sakın güvenmeyin!! Çünkü birçok trojanı gözden kaçırıyor!! Örnek olarak “mobman” adlı hackerın yaptığı ve şu an Türkiye’de en büyük tehdidi oluşturan “Sub7” Bu programla bulunamıyor. “The Cleaner”ın bu konuda en iddialı olduğu göz önüne alınırsa bu programların pek işimize yaramayacağı açık ve nettir! 2. Port Dinleyici + Net Help Portlar, bilgisayarınızla internet arasında açılan kapılardır. Nasıl ki ICQ dan mesaj geleceğinde bir portu, mesaj gidecekken başka bir portu, İnternet Explorerle bir sayfaya girecekken başka bir portu (80), veya en basitinden Quake oynarken kendine özel bir portu (27910) kullanırsınız. Trojanlarda bunun gibi çalışır ve bilgisayarınıza kendine özel seçtiği porttan girmeyi dener (12345,1243,27374). İşte biz bu anda devreye gireceğiz. Port Dinleyici programları kolay bulunan programlardır. Size hangi porttan bağlanılmayı denediğini size anında gösterecektir. Bu portu bir kenara yazıp internette bu portun hangi trojana denk geldiğini öğrenebilirsiniz. Tabi aynı adresten bu programdan kurtulmayıda öğrenebilrisin (büyük ihtimalle) 3. Norton, Avp türü Anti-virüs programları İşte en kısa yöntem… Bilgisayarınızı elinizdeki Anti – virüs programınızla baştan aşağı taratın! Elinizde yoksa onu da hiç dert etmeyin. Hemen bir bilgisayar dergisi alın ve o ayın trial veya shareware olarak verilen anti-virüs programını bilgisayarınıza kurun ve HDD’nizi aratın. Bir bilgisayar dergisi istemiyorsanız Norton veya Avp programlarının sayfasından denemelik sürümü çekin. 4. Firewall! Firewall, adındanda anlaşılacağı gibi internetle aranıza “ateşten duvar” koyar. Nasıl mı? Siz internette gündelik sörfünüzü yaparken o “systray” inizde durur ve “bodyguard”ınız olarak sizinle olduğunu gösterir. Bakmayın sakinliğine, çünkü o, siz gezintinize devam ederken farkında olmadan açtığınız, ya da daha önceden açılmış olan portlarınızı denetler ve normal dışı gelişen port kullanımlarını size haber verir, tabi isterseniz haber vermeden direk adresi bloke eder. Bu programlar “her internet kullanıcısında olması gerekenler” arasında en üstlerde yer almalı. |
|
Ağ Cihazlarında Temel Güvenlik AĞ CIHAZLARININ GÜVENLIĞININ SAĞLANMA YÖNTEMLERI ÖNEMLİ NOT: Bu doküman, bir arkadaşım için, ikimizin ortak hazırladığı TEZdir. Sonuçta belirtilen Kaynaklar yolu ile konulara ilişkin daha fazla detaylı bilgilere ulaşabilirsiniz. GİRİŞ Birçok kurum, bir güvenlik duvarı (firewall) aldığında güvenlik sorunlarının çoğunu çözdüğünü sanmakta ve diğer önlemleri önemsemektedir. Oysa güvenlik yönetimi ağ (network) üzerinde çalışan bütün elemanların güvenliğini içerir ve sürekli devam eden bir süreç olarak ele alınmalıdır. Bu bildiride, ağ trafiğinin üzerinden aktığı ağ cihazlarında alınması gereken temel güvenlik önlemleri ele alınmış ve bazı ipuçları verilmiştir. Ağ cihazlarında kurulum sırasında oluşan varsayılan (default) ayarların, kullanıcı tarafından aktif edilen bazı ayarların iptal edilmesi veya düzgün olarak tekrar ayarlanması gerekebilmektedir. Bu bildiride bütün TCP/IP ağları için geçerli ve firmadan bağımsız ayarlar hakkında bazı ipuçları verilmektedir. Uygulamalar Cisco cihazları üzerinde yapılmış ve doğru çalıştığı gözlenmiştir. AĞ CİHAZLARI Bilgisayar sistemlerinin birbirleriyle iletişim kurabilmeleri için veri sinyallerini kablo ile veya kablosuz (wireless) olarak iletmeleri gerekmektedir. Kablo ile veri iletilirken her bilgisayarın bağlantı kuracağı diğer bilgisayarlara ayrı ayrı kablolarla bağlanması, çok özel sistemler dışında efektif bir yöntem değildir. Yerel ağlarda birbirine yakın bilgisayarlar ortak bir cihaza bağlanmakta ve bu cihaz genelde hub veya switch olarak adlandırılmaktadır. Bu cihazların oluşturduğu ağ (network) ise internet’e bağlanmak için yönlendirici (router) cihazına gerek duymaktadır. Cihazlar OSI katmanının hangi seviyesinde çalıştıklarına göre L1 (1. Katman), L2, L3 veya yeni nesil (L1–L7) cihazlar olarak sınıflandırılmaktadır. Ağ cihazlarına diğer cihazların bağlandığı arabirimlere port denmektedir. (Katmanlar ile ilgili ayrıntılı bilgi için bkz- CW/Forum/Network/Network Başlangıç Bilgileri -2-) Ağ cihazları yönetim açısından, yönetilebilir (managable) veya yönetilemez (unmanagable) cihazlar olarak ikiye ayrılmaktadır. Bu bildiride yönetilebilir cihazların güvenlik ayarlarına değinilecektir. Yönetilebilir cihazların kendilerine özgü bir işletim sistemi ve konfigürasyonu bulunmaktadır. Cisco cihazlarda IOS ve CatOS, Alcatel XEON’larda XOS, Avaya cihazlarında Unixware, Juniper’de Free BSD örnek olarak verilebilir. Diğer cihazlarda da genelde UNIX tabanlı işletim sistemleri bulunmaktadır. Ağ cihazlarının ayarlanması, yönetimi ve kontrolü aşağıdaki şekillerde sağlanabilmektedir: HTTP protokolü ile, Telnet veya SSH ile, SNMP protokolü ile, TFTP veya FTP ile, Konsol portuyla. Konsol portu aracılığıyla erişimde fiziksel güvenlik ön plana çıkmaktadır. Diğer erişim türlerinde ise TCP/IP protokolü kullanılacağından bu protokolün zayıflıklarına karşı önlem alınması gerekecektir. Cihazların ayarları menüler aracılığıyla, komut (command) yazarak veya grafik ara yüzlerle yapılabilmektedir. Cihazlarda kurulum sırasında oluşan varsayılan (default) ayarların, kullanıcı tarafından aktif edilen bazı ayarların iptal edilmesi veya düzgün olarak tekrar ayarlanması gerekebilmektedir. FİZİKSEL GÜVENLİK Cihaza fiziksel olarak erişebilen saldırganın konsol portu aracılığıyla cihazın kontrolünü kolaylıkla alabileceği unutulmamalıdır. Ağ bağlantısına erişebilen saldırgan ise kabloya tap (özel ekipmanla kabloya erişim) ederek hattı dinleyebilir veya hatta trafik gönderebilir [1]. Açıkça bilinmelidir ki fiziksel güvenliği sağlanmayan cihaz üzerinde alınacak yazılımsal yöntemlerin hiç bir kıymeti bulunmamaktadır. Bazı fiziksel güvenlik önlemleri aşağıda verilmiştir: Cihazlar sadece ağ yöneticisinin veya onun yardımcısının açabileceği kilitli odalarda tutulmalıdır. Oda ayırmanın mümkün olmadığı yerlerde özel kilitli dolaplar (kabinetler) içine konmalıdır. Cihazlara fiziksel olarak kimin ve ne zaman eriştiğini belirten erişim listeleri tutulmalı (access auditing) ve bu listeler sık sık güncellenmelidir [2]. Kablolar tek tek etiketlenmeli ve kayıtları tutulmalıdır. Kullanılmayan kablolar devre dışı bırakılmalıdır [3]. Cihazların yakınına güvenlik bilgileri (şifre, IP adresi) gibi bilgiler yapıştırılmamalı ve gizli tutulmalıdır [3]. Cihazlara fiziksel erişim mümkün ise kullanılmayan portlar disable edilmelidir [4]. Aktif cihazların elektriği aldığı güç kaynaklarının yeri belirlenmeli ve saldırganın bu güç kaynaklarını kesmesi engellenmelidir. Devamlı güç kaynaklarına (ups) yatırım yapılmalıdır [2]. Aktif cihazların fiziksel erişime açık olduğu yerlerde saldırganın güç kablosunu çıkartmasını engellemek için cihazın üstünde çeşitli aparatlar kullanmalı, güç kablosunu gözden ırak tutmalı, mümkünse uzakta ve fiziksel güvenliği sağlanan bir prize bağlanmalıdır [2]. Her ne kadar aktif cihazların çalınması pek olası olmasa da bu tür olayları engellemek için mümkünse çeşitli kilit ve alarm mekanizmaları kullanılmalıdır [2]. ŞİFRE YÖNETİMİ Şifreler cihazlara her türlü izinsiz erişim de hesaba katılarak iyi seçilmelidir. İyi şifrelerin özellikleri aşağıdaki gibidir [5]: Büyük ve küçük harf içerirler, Noktalama işaretleri ve rakamlar içerirler, Bazı kontrol karakterleri ve/veya boşluklar içerirler, Kolaylıkla hatırlanabilirler ve bu nedenle bir yere not edilme ihtiyacı duymazlar, En az yedi veya sekiz karakter uzunluğundadırlar, Kolay ve hızlı yazılırlar; ve böylece etraftan bakan birisi ne yazdığını anlayamaz. Şifre yönetmenin en iyi yolu LDAP, TACACS+[1] veya RADIUS doğrulama (authentication) sunucuları aracılığıyla onay mekanizmasını kullanmaktır. Bu sistem kullanılsa bile yetkili (privileged) haklar için o cihaza yerel (local) tanımlı bir şifre, konfigürasyon dosyasında bulunmalıdır [6]. Birçok yönetilebilir cihaz, kullanıcı (user) modu ve yetkili (enable) mod gibi iki ayrı login mekanizmasına sahiptir. Kullanıcı modunda sadece arayüzler (interface) incelenebilirken yetkili modda ek olarak cihaz konfigürasyonu da yapılabilmektedir. Cisco cihazlarında girilen kullanıcı ve parolaların konfigürasyon dosyasında gözükmemesi için “service password-encryption” komutu girilmiş olmalıdır. Zayıf şifreleme algoritması kullanan “enable password” komutu yerine MD5-tabanlı algoritmayla şifreyi koruyan “enable secret” komutu kullanılmalıdır. “no enable password” komutu kullanılarak enable password’ler silinmeli yerine “enable secret yeni_şifreniz ” ile yeniden şifreler girilmelidir. CİHAZ ERİŞİM PROTOKOLERİNE DAİR AYARLAR Ağ cihazlarının ayarlanması, yönetimi ve kontrolünde kullanılan HTTP, Telnet, SSH, SNMP, TFTP ve FTP; TCP/IP protokolünün alt elemanları olduklarından, bu protokolün zayıflıklarına karşı önlem alınması gerekmektedir. Bu türden erişimlerde denetim, bu cihazların ve dolayısıyla ağ trafiğinin güvenliği için çok gereklidir. Belirli IP’lerin Cihaza Erişimine İzin Vermek Cihazlara sadece belirli IP adreslerinin ulaşmasına izin verilmelidir. Bu da access-list yazılarak sağlanır. Örneğin Cisco IOS’de sadece 200.100.17.2 ve 200.100.17.3 IP’lerin erişimine izin verilmesi ve diğer ip’lerin engellenmesi aşağıdaki access-list ile sağlanmaktadır. access-list 7 permit 200.100.17.2 access-list 7 permit 200.100.17.3 access-list 7 deny any log Örnekte verilen 7 numaralı access-list belirtilen IP’lere izin vermekte (permit), diğer IP’leri kabul etmemektedir (deny). Bu access-list’in devreye girmesi için herhangi bir arayüzde etkin hale getirilmesi gerekmektedir. Telnet (veya ssh) için uygulanması da aşağıdaki gibi olmaktadır: line vty 0 4 access-class 7 in Http erişimi için kısıtlanması da aşağıdaki gibi olmaktadır: ip http access-class 7 SNMP erişimine belirtilen IP’lerin izin verilmesi ise aşağıdaki gibi olmaktadır: snmp-server host 200.100.17.2 snmp_şifresi snmp-server host 200.100.17.3 snmp_şifresi HTTP Erişimi HTTP protokolü ile web ara yüzünden erişim, cihaza interaktif bağlantı demektir. Yönetilebilir cihazlarının birçoğunun üzerinde web sunucusu çalışır. Bu da 80 nolu portta bir web sunucunun kurulu beklediğini gösterir. Daha önceden de belirtildiği gibi HTTP servisi verilecekse bu ağ yönetimini sağlayan belirli IP’lere kısıtlı olarak verilmelidir. Cihaz güvenliği nedeniyle mümkün olduğunca bu tür web üzerinden yönetimin kullanılmaması gerektiği önerilmektedir. Ama web üzerinden yönetim gerekiyorsa web sunucusu sadece sistem yöneticisinin bileceği başka bir port üzerinden, örneğin 500 nolu portta çalıştırılabilecek şekilde ayarlanmalıdır. HTTP protokolünde doğrulama mekanizması ağda şifrenin düz metin şeklinde gönderimi ile sağlandığı için efektif değildir ama farklı üreticilerin değişik çözümleri bulunmaktadır. Doğrulama mekanizması, onay sunucuları (Tacacs+, Radius …vb) kullanılarak yapılabilir. Cisco IOS’de doğrulama mekanizması “ip http authentication” komutuyla sağlanmaktadır. Telnet ve Secure Shell (SSH) Erişimi Telnet ile erişimlerde saldırganın ağ üzerinden dinlenme (sniff) yoluyla iletilen bilgiyi elde etmesi mümkün olduğundan, iletilen veriyi şifreleyen SSH protokolü mümkün olduğunca kullanılmaldır. SSH şu anda bütün cihazlar ve cihaz işletim sistemleri tarafından desteklenmemektedir. Bu konuda üretici firmanın cihaz dokümantasyonu incelenmelidir. SNMP Erişimi Simple Network Management Protokol (SNMP), cihaz ve ağ yönetimi için vazgeçilmez bir protokoldür. Trafik istatistiklerinden bellek ve CPU kullanımına kadar bir cihaz hakkında çok detaylı bilgiler edinilebilmektedir. Bir veya daha fazla Ağ Yönetim İstasyonu, üzerlerinde çalışan yazılımlarla belirli aralıklarla ağ cihazları ve sunuculardan (server) bu istatistikleri toparlayacak (poll) şekilde ayarlanmalıdır. Cihazda gözlenen CPU, bellek veya hat kullanımının fazla olması bir saldırı tespiti olabilmektedir. Toplanan verileri grafiksel olarak görüntüleyen Multi Router Traffic Grapher (MRTG) gibi programlar bulunmaktadır [7]. SNMP protokolünün, özellikle SNMP Version 1’in birçok uygulamasında zayıflık (vulnerability) olduğu CERT[2] ‘in raporlarında belirtilmiştir . Birçok cihaz üreticisi bu konuda yama (patch) çıkartmış ve önerilerde bulunmuştur [9] [10] [11]. SNMP Version 1, düz metin (clear text) doğrulama dizileri (string) kullandığından bu doğrulama dizilerinin spoof edilmesi söz konusu olabilmektedir. Bu yüzden MD5’a dayanan öz (digest) doğrulama şeması kullanan ve çeşitli yönetim verilerine kısıtlı erişim sağlayan SNMP Version 2’nin kullanılması gerekmektedir. Mümkünse her cihaz için ayrı bir MD5 gizli (secret) değeri kullanılmalıdır [1]. Daha detaylı bilgi için [12] incelenebilir. Öneriler: Sadece Oku (Read only) ve Oku-Yaz (Read-Write) erişimleri için kullanılan varsayılan SNMP şifre (community) adları değiştirilmeli ve bu iki parametre birbirinden farklı olmalıdır. SNMP şifrelerine kritik bir UNIX makinasındaki root şifresi gibi davranılmalıdır [4]. SNMP erişimi hakkı sadece belirli güvenilir (trusted) IP’lere (Ağ Yönetim istasyonlarına) sağlanmalıdır. Ağ Yönetim İstasyonu tarafından SNMP erişimi yapılırken “Sadece Oku” parametresi kullanılmalıdır. Mümkünse cihazlarda “Oku-Yaz” parametresi iptal edilmelidir [4]. Ağ Yönetimi için ayrı bir subnet, mümkünse VLAN[3] yaratılmalıdır. Access-list ve Ateş Duvarı (firewall) kullanılarak bu ağa dış ağlardan gelen trafik kısıtlanmalıdır. Ağ Yönetim İstasyonları, ağdaki cihazlara ait SNMP şifre dizileri gibi doğrulama bilgileri bulundurdukları için doğal bir saldırı hedefi durumuna gelmektedir. Bu yüzden bu makinaların fiziksel, yazılımsal ve ağ güvenlikleri sağlanmalıdır. Auxiliary Port Yönlendiricilerde acil durumlarda telefon hatları üzerinden modem kullanılarak erişimin sağlanması için “Auxiliary port” bulunmaktadır. Bu tür bir erişim için PPP’de (Point to Point Protocol) PAP (Password Authentication Protocol) yerine CHAP (Challenge Handshake Authentication Protocol) doğrulama methodu kullanılmalıdır. CHAP, dial-up ve noktadan noktaya (point to point) bağlantılarda uç noktayı engelleyerek izinsiz erişimleri engellemektedir [13]. TFTP- FTP ile Erişim Cihazlara yeni işletim sistemleri veya konfigürasyonları TFTP veya FTP gibi protokollerle yüklenebilmekte veya Ağ Yönetim İstasyonu’na yedek amaçlı alınabilmektedir. Özellikle TFTP protokolü, UDP kullanması ve kullanıcı-cihaz doğrulama sistemleri kullanmamasından dolayı bilinen bazı güvenlik açıklarına sahiptir [13]. Bu yüzden bu protokoller cihazlarda access-list ile kontrol altına alınmalı ve dosya transferi belirli IP’lerle sınırlandırılmalıdır. TFTP sunucu olarak kullanılan Ağ Yönetim İstasyonu’nda da bu protokolü kullanırken uygulayacağı ek güvenlik ayarları yapılmalı, mümkünse bu servis bu makinda sadece kullanılacağı zaman açılmalıdır. Cihaz FTP’yi destekliyorsa bu protokolün kullanılması tercih edilmelidir. KAYITLAMA (LOGGING) AYARLARI Ağ cihazları çeşitli hadiseler (event) hakkında kayıtlama özelliğine sahiptir. Bu kayıtlar, güvenlik hadiselerinin belirlenmesinden ve önlem alınmasında kritik önem taşıyabilmektedir. Arayüzlerin durum değişikliği, sistem konfigürasyon değişikliği, access-list’lere takılan (match) bağlantılar gibi güvenlik açısından önemli olan bilgilerin kayıdı tutulabilmektedir. Cihazda kayıtlama aşağıdaki şekillerde yapılabilmektedir: SNMP Trap Logging: Sistem durumunda (status) karakteristik (significant) değişikliklerde Ağ Yönetim İstasyonuna uyarı (notification) göndermektedir. Sistem Kayıtlaması: Sistem konfigürasyonuna bağlı olarak hadiselerin kayıdını tutmaktadır. Sistem kayıtlaması farklı yerlere yapılabilmektedir: Sistem konsoluna bağlı ekrana “logging console” komutuyla, Üzerinde UNIX’in syslog protokolü çalışan ağdaki bir sunucuya “logging ip-address”, “logging trap” komutlarıyla, Ör: logging 200.100.17.2 Telnet veya benzeri protokolle açılan VTY remote oturumlara (session) “logging monitor”, “terminal monitor” komutlarıyla, Yerel buffer olan RAM’ine “logging buffered” komutuyla yapılabilmektedir. Kayıtlar düzenli olarak takip edilmeli ve sistemin düzgün çalışıp çalışmadığı kontrol edilmeldir. Farklı cihazlardan Ağ Yönetim İstasyonu’na gönderilen mesajların zamana göre senkronize olması için cihazlarda Network Time Protokol (NTP) çalıştırılmalıdır [4]. VLAN UYGULAMALARI Virtual Lan (VLAN - sanal ağlar) kullanılarak kullanıcıları fiziksel lokasyonundan bağımsız olarak gruplamak, farklı subnetlerde toplamak mümkündür. VLAN’a almak tek başına bir güvenlik önlemi sayılmamakla beraber bir güvenlik artışı olmaktadır. Ağ Yönetimi için ayrı bir VLAN yaratılmalıdır. Bölgeler VLAN trafiklerine göre prunning yapılarak ayrılmalı, sadece o bölgede kullanılan VLAN’lar iletilmelidir. VLAN bilgilerini ve bütün ağ trafiğini aktif cihazlar arasında taşımak için kullanılan cihaz port’ları “trunk” olarak tanımlanmaktadır. Trunk olmayacak port’ların trunk olarak tanımlanması o port’a bağlı cihazın bütün ağ trafiğini almasını sağlayacağından bu tür yanlış tanımlamalar mutlaka düzeltilmelidir [4]. Cihazların kullanılmayan portlarını L3 (OSI 3.katman) bağlantısı verilmemiş bir VLAN’a atamalı veya portlar “disable” edilmelidir [4]. Böylece saldırganın cihazın boş portuna girip ağa ulaşması engellenmiş olmaktadır. Switch’in port numarasına, cihazın MAC[4] adresine veya kullanılan protokole göre dinamik VLAN ataması uygulanarak cihazların VLAN ve IP bilgileri tek noktadan kontrol edilebilmekte ve daha güvenilir ağ yapısı oluşturulmaktadır. Böylelikle sadece kayıtlı MAC adreslerine sahip cihazlar izin verilen ağlara ulaşabilmektedir. VLAN kullanılan ağlarda ne tür zayıflıklar olabileceği SANS Enstitüsü tarafından incelenmiştir. Detaylı bilgi için bakınız [14]. ÇÖZÜM ve SONUÇLAR Ağ güvenliği sadece bir güvenlik duvarı (firewall) alınarak sağlanamaz. Ağ Güvenliği Yönetimi’nin her zaman devam eden bir süreç olduğu unutulmamaldır. Ağa bağlı her elemanın güvenliği belirli seviyerlerde sağlanmalı ve sistem devamlı kontrol altında tutulmalıdır. Bu bildiride ağ trafiğinin üzerinden aktığı ağ cihazlarında alınması gereken temel güvenlik önlemleri ele alınmış ve ipuçları verilmiştir. KAYNAKLAR [1] Increasing security on IP Networks http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs003.htm [2] Why Is Physical Security Important?,Aron Hsiao, 2001,http://www.informit.com [3] Pc Security Products, Physical Security http://www.utoronto.ca/security/pcsecphy.htm [4] SAFE: A Security Blueprint for Enterprise Networks, Sean Convery , Bernie Trudel, 2000,http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.htm [5] Şifre Seçimi, Ege Üniversitesi Network Güvenlik Grubu,http://security.ege.edu.tr/dokumanlar.php [6] Improving Security on Cisco Routers, http://www.cisco.com/warp/public/707/21.html [7] Multi Router Traffic Grapher, http://people.ee.ethz.ch/~oetiker/webtools/mrtg CERT® Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP), http://www.cert.org/advisories/CA-2002-03.html [9] Avaya Security Advisories on SNMP Vunerability, http://support.avaya.com/security/2002-1/index.jhtml [10] Cisco Advisory on SNMP Vulnerability, http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml [11] Alcatel’s response to SNMP Security Vulnerability, http://www.ind.alcatel.com/service_support/CERT_Bulletin_031101_00.pdf [12] Simple Network Management Protocol (SNMP) Vulnerabilities Frequently Asked Questions (FAQ),http://www.cert.org/tech_tips/snmp_faq.html [13] Talisker’s Intrusion Detection List, www.networkintrusion.co.uk/Cisco.htm [14] Are there Vulnerabilites in VLAN Implementations?, VLAN Security Test Report, David Taylor, 2000 http://www.sans.org/newlook/resources/IDFAQ/vlan.htm |
|
Umarim isinize yarar; tüm portları buradan bulabilirsiniz arkadaslar [frndsp] http://www.iana.org/assignments/port-numbers |
| doğru başlık altında mı soruyorum bilmiorm ama iş yerimde network var son bi kaç aydır deli gibi saldırılara uğruyoruz.sağlam bi firewall kullanalım dioruz ama o zaman da ağ çalışmıyor.norton 2004 kurulu ama o hiç bi işe yaramıyor.ağı etkilemeyen bir firewall programı önerebilirmisiniz.yada bi ayarı vardır ve ben bundan bi haberimdir.ayarı varsa beni yönlendirebilirseniz sevinirim. |
| agı etkileyen norton internet securitydeki personel firewalldır.bu firewall acıkken paylasımı yapabilmek icin trusted networkleri girdigini takdirde hic bir sorun kalmcaktır... |
| Arkadaslar isterseniz sizlerde bu topice katkida bulunabilebilirsiniz. |
| burda yazılanların çoğunu sıradan kullanıcı anlamayacağı için bence o kadarda faydalı bir topic değil eveet emek harcanmış ama marjinal faydası yüksek değil bu yazılar olympos.org yada securityfocus gibi güvenlik sitelerinde de var burda asıl yapılması gereken sıradan kullanıcalara yönelik bilgiler olmalı... |
| şero seni tebrik ederim konuyu abartmışsın marjinal falan kendini aşmışsın .ben kendi adıma orda anlatılanları anlıyorum ama ben anlatılanların etkilendiği kısımda bulunuyorum bu arkaaşlardan ricam server ankarada ben izmirdeyim bana lazım olan portu açmam gerekiyor asıl sorunum şu bana izin verilen port sadece 80 diğer tüm portlar kısıtlı lan kısmında istediğimizi yapabiliyoruz ( direk istanbul antalya mardin bağlantısı gibi) ama internete çıkışımıza sadece ve sadece 80 i kullanıyoruz. benim merakım kullandığım bilgisayardan çıkış isteği 10156 olan portu proxy e 80 den istekmiş gibi yani http gibi gönderecek bi programcık varmı acaba :D umuyorum vardır yada çok saçma bişey istedim mantıksız oluyo biliyorum ama umuyorum vardır. |
Bu mesaja 1 cevap geldi.
1. sayfa
DH Mobil uygulaması ile devam edin.
Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin.
Gizle ve güncelleme çıkana kadar tekrar gösterme.
Ağ Güvenlik Duvarı Çözümü Oluştururken
Dikkat Edilmesi Gereken Hususlar
Ağ güvenlik duvarı (network firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve internet bağlantısında kurumun karşılaşabileceği sorunları çözmek üzere tasarlanan çözümlerdir. Bu çözümler yazılım veya donanımla yazılımın entegrasyonu şeklinde olabilir. Güvenlik duvarı çözümü açık sistemler üzerinde bedava dağıtılan modüllerle sağlanabileceği gibi, fiyatları sundukları servislerle orantılı olarak artan ticari ürünlerle de sağlanabilir. Bu bildiride bu tür çözümlerin tanımları yapılmış ve güvenlik duvarı çözümü seçerken dikkat edilmesi gerekenler belirtilmiştir.
SORUNLAR
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar aşağıdaki gibidir [1]:
• Dış dünyadan kurum ağına (içeriye) yapılacak saldırılar.
• Internette dolaşırken kullanıcı bilgisayarına, bilgisayardan da sisteme virüs bulaşması.
• İmesh, edonkey, overnet gibi programlarla dosya paylaşımının yapılması ve bandgenişliğinin (internet veriyolu kapasitesinin) maksadı dışında kullanılması.
• Internette özellikle vakit kaybettirici bazı sitelere ulaşımın kurum içerisinde, kurum zamanında (mesai saatlerinde) yapılması.
• İçeriden yetkisiz kişilerin dışarıya bilgi göndermesi.
• Yetkisiz kullanıcıların Internette gezinmesi.
GÜVENLİK DUVARI ve BİLEŞENLERİ
Güvenlik duvarı, bir sistemin özel bölümlerini halka açık (public) bölümlerden ayıran, kullanıcıların ancak kendilerine tanınan haklar düzeyinde sistemden yararlanmasını sağlayan çözümlerdir. Güvenlik duvarı belirli bir makinayı denetlemek için o makina üzerine (host-based) kurulabileceği gibi, bir bilgisayar ağını denetlemek için de kurulabilir. Bu bildiride ağ güvenliğini sağlamak üzere kullanılan ağ güvenlik duvarı çözümleri üzerinde durulmuştur.
Ağ güvenlik duvarı, içeride birbirlerine güvenen, az korumalı makinaların olduğu bir kurum ağı ile dış ağlar (Internet) arasına yerleştirilir ve aradaki fiziksel bağlantı yalnızca güvenlik duvarı tarafından sağlanır. Güvenlik duvarları salt dış saldırılara karşı sistemi korumakla kalmaz, performans arttırıcı ve izin politikası uygulayıcı amaçlar için de kullanılırlar. Yukarıda belirtilen sorunları çözmek için bir antivirüs sunucusu veya web adresi denetleyicisi sunucusu ile ortak olarak çalışabilirler. Ağ güvenlik duvarı, yazılım veya donanımla yazılımın entegre olduğu çözümler şeklinde olabilir.
Bir güvenlik duvarı çözümünde verilebilecek servislere örnek olarak aşağıdakiler sayılabilir:
• NAT (Network Address Translation): İç ağda internete çıkamayacak özel ip şemaları (10.0.0.0/8, 192.168.0.0/16 vb) tanımlanır ve dış bağlantılarda NAT sunucusunun reel ip’si kullanılarak iç ağ konusunda saldırganın bilgi sağlaması engellenir. Güvenlik için artıları olmakla beraber, NAT çoğunlukla adres yönetimi için kullanılmaktadır.
• Paket Filtreleme: En basit güvenlik duvarıdır. Router, modem gibi cihazlarla birlikte gelir. Erişim listelerinin (access list) kullandıkları yöntemdir. Bu yöntemle güvenlik duvarından geçen her üçüncü seviye (IP, IPX ..vb) paketine bakılır ve ancak belli şartlara uyarsa bu paketin geçişine izin verilir. Paket filtreleme, güvenlik duvarının her fiziksel bağlantısı üzerinde ayrı ayrı ve yöne bağlı (dışarıya çıkış, içeriye giriş) olarak uygulanabilir. Uygulamaların bağlantı için kullandıkları portlar (icq, imesh ..vb portları) baz alınarak hangi ağların veya kişilerin ne zaman bu uygulamalarla bağlantı kurabileceği belirlenebilir. Paket filtrelemede birim zamanda tek bir pakete bakıldığı ve önceki paketler hakkında bir bilgiye sahip olunmadığı için bu yöntemin çeşitli zayıflıkları bulunmaktadır [2].
• Dinamik (Stateful) Filtreleme: Paket filtrelemeden farkı, paketin sırf protokolüne bakarak karar verilmesi yerine, güvenlik duvarının bir bağlantıyı hangi tarafın başlattığını takip etmesi ve çift yönlü paket geçişlerine buna göre karar vermesidir. Her bağlantı için durum bilgisi tablolarda tutulduğu için paket filtrelemedeki zayıflıklar bulunmamaktadır. Dezavantajı ise dinamik filtrelemenin çok daha fazla işlemci gücüne ve belleğe ihtiyaç duymasıdır. Özellikle bağlantı(connection) sayısı arttıkça işlem ihtiyacı da artacaktır[2]. Paket filtreleme yerine dinamik filtreleme tercih edilmelidir.
• DMZ (Silahtan Arındırılmış Bölge): Dış dünyaya hizmet verecek sunucular buraya yerleştirilmektedir. Özellikle iç ağda NAT uygulaması yapılıyorsa dış dünyaya hizmet veren cihazlar reel ip’lerle burada konumlandırılacaklardır.
• Proxy: Proxy bir bağlantı uygulamasında araya giren ve bağlantıyı istemci (client) için kendisi gerçekleştiren bir servistir. Proxy’nin kullanımı, uygulama temelli (application-level) güvenlik duvarı olarak da adlandırılabilir. Bu tür bir uygulama aynı zamanda şu amaçlar için kullanılabilir:
o Kimlerin bu servisleri kullanacağını belirlemek
o Performans amaçlı olarak özellikle aynı isteklerin bir defaya indirgeyerek bağlantı sayısını azaltmak ve bandgenişliğinin daha etkin kullanılmasını sağlamak.
• Anti-Virus çözümleri: HTTP, FTP ve SMTP trafiğini üzerinden geçirerek virüs taramasını yapmayı ve kullanıcıya gelmeden önce virüslerden temizlemeyi hedefleyen sistemlerdir.
• İçerik Filtreleme (content filtering): Çeşitli yazılımlarla ulaşılmak istenen web sayfalarını, gelen e-posta’ları filtrelemeye yarayan sistemlerdir.
• VPN: Ortak kullanıma açık veri ağları (public data network) üzerinden kurum ağına bağlantıların daha güvenilir olması için VPN kullanılmaktadır. İletilen bilgilerin şifrelenerek gönderilmesi esas olarak alınır. Public/Private anahtar kullanımı ile sağlanır.
• Saldırı Tespiti (ID): Şüpheli olayları ve saldırıları tespit etmeyi hedefleyen bir servistir. Saldırı tespit sistemleri(IDS), şüpheli durumlarda e-posta veya çağrı cihazı gibi yöntemlerle sistem yöneticisini haberdar edebilmektedir.
• Loglama ve Raporlama: Kayıtlama (log) ve etkinlik raporları birçok güvenlik duvarı tarafından sağlanmaktadır. Bu kayıtlar çok detaylı ve çok fazla veri içerebilmektedir. Bazı güvenlik duvarları bu logların incelenmesini kolaylaştırmak için çeşitli analiz ve raporlama servisleri sunmaktadır. Kayıtlar sistemlerin zayıflıklarının ve saldırıların belirlenmesinde işe yaramaktadır.
İHTİYAÇLARIN BELİRLENMESİ (ANALİZ)
Bir ağ için güvenlik duvarı çözümüne gidilirken ihtiyaçlar belirlenmeli ve ağdaki hangi alanların daha çok güvenliğinin sağlanılması gerektiği tespit edilmelidir. Ağ yöneticisi güvenlik duvarını seçmeden önce iç ağında bulunan (alt) ağları listelemeli, güvenlik matriksi (security matrix) oluşturarak hangi ağların hangi ağlara ve sunuculara ulaşacağını ve ne tür haklar tanınacağını belirlemelidir. Buna göre bir alt ağı güvenlik duvarının bir bacağına (ağ arabirimine) alıp almamaya da karar verilebilmektedir. MRTG ve Saldırı Tespit Sistemleri (IDS) gibi çözümlerle ağ takip edilmeli ve ağın belirli noktalarından geçen tafik, trafiğin cinsi ve bağlantı sayısı ölçülmelidir. Kurum böylece ağdaki veri akışı hakkında bilgi edinebilecektir. Analiz süreci tabii ki burada özetlendiği kadar basit değildir. Her türlü verinin analitik methodlarla incelenmesi ve irdelenmesi gerekmektedir. Mümkünse profesyonel bir destekten yararlanılmalıdır.
YAZILIM VE DONANIM ÇÖZÜMLERİ
Güvenlik duvarı çözümü yazılım veya donanımla yazılımın entegre olduğu sistemler şeklinde olabilmektedir. Bu tür çözümlerin birbirine çeşitli artıları ve eksileri bulunmaktadır.
İşletim Sistemi Üzerinde Çalışan Çözümler:
İşletim sistemi üzerinde çalışan çözümlerin artıları aşağıdaki gibidir:
• Çok detaylı raporlamalar alınabilir.
• İnce detaylara kadar kullanıcıları ayrıştırmak ve takip etmek mümkündür
Bu tür sistemlerin üzerinde çalıştığı işletim sisteminin açıkları en büyük eksiğidir. Burda şu da belirtilmelidir ki bu işletim sistemleri genelde öz (core) olarak kurulduklarından üzerlerindeki servisler kısıtlıdır. Güvenlik duvarları da üzerlerinde çalıştıkları işletim sistemlerinin bazı açıklarını kapatırlar. İşletim sistemi üzerinde çalışan sistemlerin eksileri olarak aşağıdakileri belirtmek mümkündür:
• Bakım Problemleri: Güvenlik duvarının üzerinde çalıştığı işletim sisteminin de ayrıca bakımı gerekecektir.
• Kurulum: İşletim sisteminin doğru kurulması gereklidir. Gerekmeyen servislerin kaldırılması ve bazı yamaların (patch) uygulanması gerekmektedir. Kurulum süresi, kutu çözümlerine göre daha uzun sürmektedir.
• İşletim Sisteminin Güvenliği: Güvenlik duvarının üzerinde kurulduğu işletim sisteminin öncelikle güvenliği sağlanmalıdır. İşletim sistemini seçerken o sistemle birlikte gelen güvenlik açıkları ve zayıflıkları araştırılmalı ve çeşitli ayarlamalarla güvenliğin sağlanabileceği sistemler seçilmelidir.
Kutu (Donanım) Çözümleri:
Kutu çözümleri kullanıldıkları yerin özelliğine göre ikiye ayrılabilir:
• Küçük kutu çözümleri: Bunların üzerinde genellikle Ev/Küçük İşletmeler (Home/Small Bussiness) çözümleri çalışır ve bu sınıftaki ürünlerin üzerindeki yazılımlar işlev ve genişletilebilirlik açısından kısıtlı sürümlerdir. Genellikle donanımsal genişletilebilirlikleri yoktur.
• Performans kutuları: Bunların üzerinde (100+ kullanıcı) kurumsal sürümler çalışır ve bunlar İşletim Sistemi üzerinde çalışan sürümlerle aynıdır. Ana fark, bu donanımların sözkonusu yazılım için ayarlanmış (tune) edilmiş özerk (proprietary) donanımlar olmasıdır. Bu nedenle aynı koşullardaki işletim sistemi tabanlı versiyonlardan daha performanslı çalışmaktadırlar.
Kutu çözümlerin artıları aşağıdaki gibidir:
• Uygulama için özel geliştirilmiş entegre devrelere (ASIC) sahip olduklarından daha yüksek performans elde edilebilmektedir.
• Genelde en kötü saldırılarda dahi cihazı kapatıp açınca yeniden çalışmaya devam ederler.
• Versiyon yükseltmeleri (upgrade) diğer sistemlere göre daha çabuk yapılır.
• Hizmet dışı kalma süreleri (downtime) azdır.
• İşletim sistemleri bilinmediğinden (Genelde UNIX türevleridir) ve az kullanıldığından açıkları fazla bilinmez.
Kutu çözümlerin eksileri aşağıdaki gibidir:
• Yazılabilecek kurallar cihazın versiyonu ve kapasitesi ile sınırlıdır.
• Küçük kutu çözümlerinin donanımsal genişletilebilirlik özellikleri yoktur. Daha güçlü bir cihaz için büyük olasılıkla bir üst versiyonun alınması gerekecektir. Performans kutularında ise işlemci ve bellek terfileri zor ve pahalıdır.
• Raporlamaları genelde çok sınırlıdır.
• Özellikle küçük kutu çözümlerinde, değişik saldırılara karşı yeni çözümler çok çabuk çıkmaz.
• Versiyon yükseltmeleri (upgrade) mutlaka açılıp kapanma gerektir.
• Performans kutuları işletim sistemi üzerinde çalışan çözümlerden daha pahalıya mal olabilmektedir.
ÜRÜNLER HAKKINDA BİLGİ TOPLAMA
Ürünler hakkında internet üzerinden bilgi alınabilecek kaynak grupları aşağıda sıralanmıştır [4]:
• Haber Grupları: Bu konudaki haber gruplarınahttp://groups.google.com adresinden ulaşıp gerekli aramalar yapılabilir. Ana haber grubu comp.security.firewalls ‘dır.
• E-posta Grupları: Güvenlik duvarlarının performanslarının ve güvenlik servislerinin tartışıldığı gruplara örnek olarak “firewalls-digest” verilebilir. Üye olmak için majordomo@greatcircle.com adresine mesaj kısmında “subscribe firewalls-digest” içeren bir e-posta göndermek yeterlidir. Örneğin firewall-wizards ve firewalls listelerine aşağıdaki adreslerden ulaşmak mümkündür:
http://lists.insecure.org/lists/firewall-wizards/2003/Jan/
http://www.isc.org/services/public/lists/firewalls.html
• Web Sayfaları: İnternet üzerinde birçok sitede güvenlik duvarları ile ilgili çalışmalar bulunmaktadır. Bunlara örnek olarak aşağıdakiler verilebilir:
o Test sonuçları yayınlayan siteler: “Data Communications”, “InfoSecurity News” ve “Network World” gibi magazinler periyodik olarak güvenlik duvarlarını çeşitli kriterlere göre test etmektedirler. Güvenlik duvarı karşılaştırma tablosu örneği için bakınız [5].
o Coast Araştırma Enstitüsünün güvenlik duvarı ile ilgili sayfaları için bakınız [6].
o Çeşitli güvenlik duvarı ürünleri ve adresleri için bakınız [7].
o Çokça sorulan sorular (FAQ) için bakınız [8].
Eğer ticari bir ürün alınacaksa mümkünse teknik bir yetkili tarafından ürünün sunumu yapılmalı ve ürünün yetenekleri hakkında daha detaylı bilgiye ulaşılmaya çalışılmalıdır.
SEÇİM SIRASINDA DİKKATE ALINMASI GEREKENLER
Güvenlik duvarı çözümünde kullanılacak ürünleri (yazılım veya donanım) seçerken dikkat edilmesi gereken hususlar aşağıda sıralanmıştır:
• Güvenlik Alanında Deneyim
• Verilecek Servisler
• Performans
• Ölçeklenebilirlik
• Kullanım ve Konfigürasyon Kolaylığı
• Maliyet
• Teknik Destek
Güvenlik Alanında Deneyim:
Ürünü geliştiren firmanın veya güvenlik çözümünü sunan firmanın ne kadar süredir bu konuyla uğraştığı ve bu konudaki deneyimi önemli bir kriter olarak karşımıza çıkmaktadır. Bu ürünün hangi kurumlarda kullanıldığı (bu gizli tutulması istenebilir) veya kaç değişik kurumda kullanıldığı da önemlidir.
Verilecek Servisler:
Verilecek servisler ve dikkat edilmesi gerekenler aşağıdaki gibidir:
• Saldırı engelleme: Ürünün hangi saldırıları nasıl engellediği de seçim aşamasında önemli bir kriter olarak karşımıza çıkmaktadır.
• Dinamik (Stateful) Filtreleme: Dinamik filtrelemede takip edilen verinin zenginliği ve ne kadar detaylı incelendiği güvenlik seviyesini belirlemektedir. Birçok firma dinamik filtrelemeyi uyguladığını iddia etmektedir ama bütün uygulamalar öne sürüldüğü kadar dinamik ve güvenli değildir. Detaylı bilgi için bakınız [9].
• DMZ: DMZ uygulamasında bu ağ için ayrı bir ağ arabirimi (bacak) gerekecektir.
• VPN: Birim zamanda yapılacak VPN bağlantı sayısı alınan cihazda desteklenip desteklenmediği kontrol edilmelidir. VPN ile bağlantıların çok olacağı ağlarda, ürünün VPN için kullanıcı sayısına göre ek ücret talep edip etmediği kontrol edilmeldir. Ayrıca VPN şifreleme kullandığından makinaya eksta yük getireceği de unutulmamalıdır.
• NAT uygulaması: NAT uygulamasının özellikle büyük ağlarda makinayı oldukça yoracağı düşünüldüğünde, NAT işlevini yürütmek için ayrı bir sunucu ayırmak daha iyi olabilecektir.
• Üçüncü parti (Third party) Yazılımlarla İletişim: Anti-virüs veya içerik filtreleme gibi servisleri sunan cihazlarla iletişimin nasıl sağlandığı, hangi protokolün kullanıldığı (CVP veya benzerleri) ve işleyişindeki performans incelenmelidir.
• Saldırı Tespit Sistemleri(IDS): Saldırı tespiti sistemi, güvenlik duvarı cihazından ayrı bir cihazda çalışabilir. Ayrı bir sistem olarak çalıştığında iki çözümün entegre çalışabiliyor olması önemli bir tercih nedeni olmalıdır. IDS’de sistem yöneticisini saldırılardan haberdar etmek için kullanılan alarm yöntemleri ve alarm durumları ayarlanabiliyor olmalıdır.
• Log tutma ve raporlama: Güvenlik duvarının, kayıtların analizini sağlayacak ve gereksiz kayıtları temizleyerek daha öz sonuçlar sunacak servisler sunup sunmadığı araştırılmalıdır.
Performans:
Güvenlik duvarı, kullanıcıların ağ üzerindeki iletişimini mümkün olduğunca az yavaşlatmalıdır. Bunun için sistemin hızlı çalışıyor olması gerekmektedir.
Çözümün uygulanacağı ağda ne kadar reel veri akışı (throughput) olacağı, birim zamanda kaç kullanıcının internete çıkacağı ve kaç bağlantının (connection) oluşacağı hesaplanmalı veya tahmin edilmelidir. Bağlantı sayısı kullanılan programlara göre değişmektedir. Örneğin icq, imesh gibi programların birden fazla bağlantı kurduğu unutulmamalıdır. Güvenlik duvarında yazılacak kurallar ve verilen servisler arttıkça gereken işlemci gücü artacaktır. Aynı zamanda sisteme olacak bağlantı sayısı da hem işlemci hem de bellek harcayacaktır. Bu hizmetleri karşılayabilecek işlemciye ve belleğe sahip çözümlere gidilmelidir.
Her geçen gün kurumların bandgenişliği büyüklüğü artmaktadır. Aslında performans azalmasına yol açan faktörün, güvenlik duvarı üzerinden geçen trafikten çok, bağlantıların durum tablolarının yönetimidir. B Sınıfı adresi büyüklüğünde (65,535 ayrı IP adresi) bir yükün güvenlik duvarının çökmesine yol açabileceği gözlenmiştir [10].
Eğer işletim sistemi üzerinde çalışan bir çözüme gidilecekse; Sistem güçlü bir sunucu (server) üzerinde çalışmalı, mümkünse bu cihazın bir yedeği bulunmalıdır. Büyük bir kampüs ağı (>1000 bilgisayar) düşünüldüğünde en az iki işlemcili ve 2 Gigabyte belleğe sahip sunucu mimarisinde bir cihaz seçilmesi önümüzdeki birkaç sene için temel servislerin sunulmasını sağlayabilecektir. Bu cihazın yedeklemeli (redundant) birimleri olması sistemin daha güvenilir çalışmasını sağlayacaktır. Bu cihaz enerjiyi kesintisiz güç kaynağından (UPS) almalı, mümkün olduğu kadar bu cihaza fiziksel erişim kısıtlanmalıdır.
Ölçeklenebilirlik:
Artan ihtiyaçlar da göz önünde bulundurularak, sistemin bir kaç senelik plan içinde yeni koşullara ayak uydurabilmesi için genişletilebilirlik özelliklerini destekleyip desteklemediği de incelenmelidir.
Kullanım ve Konfigürasyon Kolaylığı:
Grafik arabirimlerle kuralların ve kuralların uygulanacağı objelerin tanımlanmasının kolaylığı, yapılacak işin daha hızlı olmasını sağlayacağından bir tercih konusu olabilmektedir.
Maliyet:
Çözüm için ister ticari bir ürün kullanılsın, isterse açık sistemler (open systems) kullanılsın kuruma bir maliyeti olacaktır. Maliyet her zaman tercih durumunda önemli bir kriterdir. Burada eldeki bütçenin alabileceği en iyi sistemin kurulması söz konusudur. Konulacak sistemin sadece bugünü kurtarması hedeflenmemeli, birkaç yıllık ağın genişleme durumu da dikkate alınarak buna göre bir seçim gerçekleştirilmelidir. Sahip olma maliyeti (cost of ownership) de dikkate alınmalı ve uzun vadede bu ürünün yıllık yenilemeleri, yama (patch) ücretleri de planlanmalıdır. Teknik destek ücreti de hesaba katılmalıdır.
Daha yüksek fiyatlar her zaman daha iyi güvenlik anlamına gelmemektedir. Kurum değer/maliyet analizi yaparken sağlıklı bir şüphecilik içinde olmalı ve ürünün hangi özelliği nedeniyle daha pahalı olduğunu firmadan öğrenmelidir [4].
Teknik Destek:
Güvenlik duvarı endüstrisi uzmanı olan Marcus Ranum’un da belirttiği gibi ticari bir güvenlik duvarı almanın en önemli nedenlerinden biri firmadan destek alabilmektir [4]. Bazı firmalar bu tür çözümlerin kurulumu, bakımı, eğitimi ve danışmanlık hizmetlerini de sunmaktadırlar. Bu tür hizmetlerin hangilerinin yapılan anlaşmada olduğuna dikkat edilmelidir. Terfi ve yama (patch) uygulamalarının nasıl sağlanacağı ve ne tür bir teknik desteğin ne kadar ücretle temin edilebileceği mutlaka incelenmelidir. Yazılımsal veya donanımsal ne tür garantilerin olduğu mutlaka belirlenmelidir. Hizmet alınan firmanın bu çözümü ne kadar süredir sunduğu, kaç firmaya bu hizmeti verdiği öğrenilmelidir. Firmanın tam gün çalışan kaç tane destek mühendisine sahip olduğu, bu kişilerin sertifikaları, bu kişilere hangi saatler arasında erişilebileceği gibi bilgiler de önem kazanmaktadır. Sınırsız e-posta desteği ve telefon desteğinin birçok durumda işe yaramayacağı ve yerinde müdahale için destek gerekebileceği de unutulmamalıdır.
Mümkünse güvenlik sistemi kuruma hizmeti sunan firma tarafından kurulmalı, ilk ayarlar yapılmalı ve kurum personeli konfigürasyon ve bakım işleri hakkında bilgilendirilmelidir. Teknik bir sorundan dolayı güvenlik duvarının çalışamaması durumunda en geç bir hafta içinde bu sorunun halledilmesini içeren bir madde de anlaşmaya koyulmalı ve maddi yaptırımlar da belirtilmelidir.
YENİ TEKNOLOJİLER ve YENİ İHTİYAÇLAR
Kurumun kritik bilgilerini korumak için sadece bir güvenlik duvarı kurmak yerine daha karmaşık(complex) çözümlere gidebilir. Eğer böyle bir sistem kurulması planlanıyorsa, alınacak güvenlik duvarının da bunu desteklemesi gerekecektir. Örneğin saldırganın işini zorlaştırmak için ağda çoklu bariyer kullanarak derinine savunma (defense in depth) yapılabilir. Ayrıntılı bilgi için bakınız [11]. Bir donanımla sanal çoklu güvenlik duvarı oluşturmak üzerine de çalışmalar yapılmaktadır. Çoklu kiracılı (multitenant) sistemlerle farklı müşterilere farklı konfigürasyon ve kurallar uygulanabilmektedir. Ayrıntılı bilgi için bakınız [10].
SONUÇ
Güvenlik duvarları, sistemin ve ağın devamlılığını sağlamak için vazgeçilmez bir hale gelmektedir. Bu bildiride güvenlik duvarı çözümüne gidilirken dikkat edilmesi gereken hususlar belirtilmiştir. Kurumun sistemden beklentilerine ve elindeki bütçeye göre kurulabilecek sistemler değişebilmektedir. Aslında kurulacak sistemden çok, onun nasıl kurulduğu ve nasıl yönetildiği önemlidir. Ticari bir ürün almanın en önemli nedenlerinden birinin firmadan destek almak olduğu unutulmamalıdır. Ticari bir ürün alındığında, ürünün alındığı firmayla bakım anlaşmasının şartları detaylı olarak konuşulmalıdır.
Güvenlik duvarı çözümlerinin, sistem güvenliğinin elemanlarından sadece biri olduğu unutulmamalıdır.
YARARLANILAN KAYNAKLAR
[1] Internete Bağlanırken Gerekenler: Proxy ve Firewall,Soulflyhttp://www.arayan.com/da/yazi/proxy.html
[2] A Rookie’s Guide to Defensive Blocks, 2002, Mike DeMaria
http://www.networkcomputing.com/1313/1313ws1.html
[3] Multi Router Traffic Grapher,
http://people.ee.ethz.ch/~oetiker/webtools/mrtg
[4] Smoking Out The Facts on Firewalls, Amy Thompsonhttp://www.securitymanagement.com/library/000296.html
[5] Firewall Evaluation Checklist
http://www.fortified.com/html/free_checklist.html
[6] Internet Firewalls - Resources
http://www.cerias.purdue.edu/coast/firewalls/
[7] Firewall Product Overview
http://www.thegild.com/firewall/index.html
[8] Internet Firewalls: Frequently Asked Questions, Matt Curtin and Marcus J. Ranum,http://www.ranum.com/pubs/fwfaq/
[9] Why all stateful Firewalls are not Created Equal
http://www.sapphire.net/docs/stateful inspection comp white paper.pdf
[10] Defense Mechansims, 2001, Mike Frotto
http://www.networkcomputing.com/1223/1223f1.html
[11] Building an In-Depth Defense, 2001, Brooke Paul
http://www.networkcomputing.com/1214/1214ws1.html
Hadi kolay gelsin..[frndsp]