Sunuyu indir
1
SAMED ÖZCAN T-12/D 2446
2
Neler Öğreneceğiz Güvenlik Duvarı Nedir ?
Güvenlik Duvarı Nasıl Çalışır ? Güvenlik Duvarı Türleri Nelerdir ? Paket Süzmeli Güvenlik Duvarı Nedir ? Paket Süzmeli Güvenlik Duvarı Nasıl Çalışır ? Belirli Bir Seviyeye Bağlı PFFW Nedir ? PFFW Yönlendirici Nedir ? Filtreleyici Host Nedir ? PFFW Güçlü Yanları Nelerdir ? PFFW Zayıf Yanları Nelerdir ? PFFW İçin Değerlendirme
3
Güvenlik Duvarı (Firewall)
Güvenlik duvarı, Internet'ten gelen bilgileri denetleyen ve ardından güvenlik duvarı ayarlarınıza göre engelleyen veya geçişine izin veren bir yazılım veya donanımdır. Güvenlik duvarı, saldırganlar veya zararlı yazılımlar'ın (solucanlar gibi) ağ veya Internet üzerinden bilgisayarınıza erişmelerini engellemeye yardımcı olabilir. Ayrıca, güvenlik duvarı bilgisayarınızın diğer bilgisayarlara zararlı yazılım göndermesine de engel olur. Aşağıdaki şekilde güvenlik duvarının nasıl çalıştığı gösterilmektedir:
4
Güvenlik (Ateş) Duvarları Nasıl Çalışır ?
Ağ ateş duvarları erişim kontrol kararlarını verirken iki güvenlik mantığı yaklaşımını kullanır. Bu iki yaklaşımın mantığı zıt olmasına rağmen iki sininde amacı erişimi kontrol etmektir. Bu iki yaklaşım şunlardır: • Özel olarak izin verilmeyen her şeyi reddet. • Özel olarak reddedilmeyen her şeyi kabul et. Her iki yaklaşımın da taraftarları olmasına rağmen en fazla tavsiye edilen “özel olarak izin verilmeyen her şeyi reddet” yaklaşımıdır. Bu yaklaşım istenmeyen ve izin verilmeyen erişimlere karşı ön bir koruma sağlar. Özel olarak bir erişime izin verilmediği sürece bütün erişim bu yaklaşım tarafından engellenir. Zıt tasarım mantığı , özel olarak reddedilmeyen her şeyi kabul et, istenmeyen ve izin verilmeyen erişimlere karşı tepkisel bir tutum sergiler. İlk yaklaşıma göre daha az güvenlik sağlar fakat aynı zamanda ilk yaklaşıma göre daha esnektir.
5
Güvenlik Duvarı Türleri
Güvenlik duvarı tasarımı için çeşitli teknikler vardır: kullanılan teknik doğrudan güvenlik duvarının türünü gösterir.Bu teknikler aşağıdaki gibidir. Paket Süzmeli Güvenlik Duvarı Kararlı Paket İzleme GD Uygulama Geçit Yolu GD Devre Düzeyli Geçit Yolu GD
6
PAKET SÜZMELİ GÜVENLİK DUVARI
Samed ÖZCAN
7
Paket Süzmeli Güvenlik Duvarı Nedir ?
Paket süzme, güvenlik duvarı oluşturmanın en kolay yoludur. Paketlerin başlık alanı içindeki bilgilere bakılarak istenmeyen paketler karşı tarafa geçirilmez. Bu amaçla ir kurallar tablosu oluşturulur. Bu tabloda belirtilen kurallara uymayan paketler karşı tarafa geçirilmeyip süzülür. Belirli bir düzeyde koruma sağlar, ancak çok sıkı bir koruma sağlamayabilir.
8
Paket Süzmeli Güvenlik Duvarı Nasıl Çalışır ?
Her bir paket ateş duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Kabul etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir. Her bir paket diğer paketlerden bağımsız bir şekilde incelenir.
9
Paket filtreleme kuralları veya filtreleri aşağıdaki değişkenler doğrultusunda oluşturulur: • Kaynak IP adresi • Hedef IP adresi • Protokol tipi (TCP/UDP) • Kaynak port • Hedef port Not: Bütün ateş duvarları bir çeşit paket yönlendirme yeteneğine sahiptir
10
Belirli Bir Seviyeye Bağlı PFFW Nedir ?
Normalde PFFW’de kullanılan algoritmaya göre çalışırlar; ancak , sadece belirli bir hizmetportu üzerinden işlem yaparlar. Örneğin telnet sunucu sistemi uzak bağlantıları 23. TCP portundan. SMTP sunucu sistemi ise 25. TCP portu üzerinden dinleme işlemi yaparlar. Bu sistemde izin verilmiş olan ana makine (host) listesi bulunur; yalnızca, bu listede bulunan ama makinalara uygun port numarasıyla gelen paketlere geçiş izni verilir. Diğerlerinin geçişi engellenir.
11
PFFW Yönlendirici Nedir ?
Paket filtreleyen yönlendirici iki ağ arasındaki paketleri izleyecek şekilde yapılandırılmış yönlendiricidir. İki ağ arasında trafiği paket filtreleme kuralları doğrultusunda yönlendirir. Bu yönlendirici aracılığı ile güvenliği sağlamak çok kolay değildir. Birçok yönlendirici ateş duvarı fonksiyonelliği dışında sadece paket yönlendirme amacı ile tasarlanır. Bu yüzden kural tanımlama ve filtreleme yapılandırılması kolay değildir.
12
Filtreleyici Host Nedir ?
Filtreleyici host, paket filtreleme kuralları doğrultusunda güvenilir ağı güvenilir olmayan ağdan ayırmaya yarar. Paket filtrelen yönlendiriciden gelen bütün trafik doğrudan filtreleyici hota gönderilir. Dışarıya giden trafik isteğe göre filtreleyici hosta yönlendirilebilir. Bu çeşit ateş duvarları genelde yazılım tabanlı olup güvenilir bir işletim sistemi üzerinde ayrı bir makinede çalıştırılmaktadır. Güvenlik genellikle uygulama katmanında gerçekleştirilir.
13
PFFW Güçlü Yanları Nelerdir ?
Paket filtreleme tipik olarak diğer paket izleme metotlarından daha hızlıdır , çünkü paket filtreleme OSI modelinin alt katmanlarında yapılır. Doğru şekilde konfigürasyonu yapıldığında paket filtreleri ağ performansına çok az etki eder. Paket filtreleyen ateş duvarları açık olarak kon figüre edilebilir. İstemciler tarafında ek bir konfigürasyona ihtiyaç duyulmaz. Paket filtreleyen ateş duvarları diğer sistemlere göre daha ucuzdur. Birçok donanım cihazı ve yazılım paketleri kendi standart paketleri içinde paket filtreleme özelliğini içermektedir. Paket filtreleyen ateş duvarları uygulama bağımsız olarak çalışır. Karalar paketin başlık bilgisine göre verildiğinden herhangi bir uygulamaya bağlı değildir
14
PFFW Zayıf Yanları Nelerdir ?
Paket filtreleyen ateş duvarlarında kurallar ve filtreler tanımlamak karışık bir iştir. Ağ yöneticisinin şirketinin güvenlik ihtiyaçları doğrultusunda kullanılacak servisleri ve protokolleri iyi bir şekilde belirleyip bunların doğrultusunda kuralları ve filtreleri belirlemesi oldukça karışıktır. Bazı durumlarda kurallar veya filtrelerin oldukça karışık olması gerekli konfigürasyonun yapılmasını imkansız kılmaktadır. Uzun erişim kuralları veya filtreleri ağ performansı üzerinde olumsuz etkilere de neden olur. Kuralların veya filtrelerin sayısı arttıkça ateş duvarının gerekli karşılaştırma kararlarını vermesi daha uzun zaman almaktadır. Paket filtreleyen ateş duvarlarının hassas olduğu üç ana istismar yöntemi vardır. Bu yöntemler IP spoofing, tampon aşımı, ve ICMP tunneling dir. IP spoofing kaynak adresini kullanarak ateş duvarını aldatmak yolu ile kendi verilerini göndermektir. Tampon aşımı tamponun boyutunun ayrılan alanı aştığı durumlarda oluşur.ICMP tunneling bir hacker ın yasal ICMP paketi içine kendi verisini koymasına olanak sağlar. Paket filtreleyen ateş duvarı kullanıcı kimlik doğrulaması gerçekleştirmez. Paket filtreleyen ateş duvarlarındaki kararların veya filtrelerin test edilmesi oldukça zordur.
15
PFFW İçin Değerlendirme
Eğer karmaşık bir süzgeçleme kullanılacaksa konfigürasyon işlemi gittikçe zorlaşır. Genellikle süzgeçleme arttıkça, yönlendirici üzerinden geçen paket sayısı azalır. Yönlendirici güvenlik duvarı işlevini yerine getirirken kendi görevi yanında, yani paketin başlık bilgisini yönlendirme tablosunda arama işlemi yanında, süzme işlemlerini de o pakete uygulamalıdır. Bu durumda süzme yapmak için yönlendiricinin CPU’yu kullanması gerekir. Bu da performansta bir düşüklüğe yol açabilir. PFWR kullanımında IP paketleri seviyesinde erişim denetimi yapıldığından ve uygulama seviyesine çıkılamadığından bazı uygulamalar için yetersiz kalabilir.
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.