Computer & Network Security Firewalls Güvenlik Duvarı Dr.Yuksel Celik
Firewalls Computer & Network Security Definition Güvenlik duvarı, korunan özel ağa girmeye veya ayrılmaya çalışan trafik paketlerini izleyen ve süzen bir donanım, yazılım veya her ikisinin birleşimidir. Korumasız bir ağ veya bir ağın bir bölümünü ve artık giderek artan bir şekilde kullanıcı PC'sini korumasız bir ağdan - İnternet gibi "kötü ağ" - ayıran bir araçtır. Çoğu durumda, "kötü ağ" şirket ağının bir parçası bile olabilir. Güvenlik duvarlarının çoğu, iki temel güvenlik işlevi gerçekleştirir: • Güvenlik politikasının kurallarına dayanan politikanın kabul edilmesine veya reddine dayanan paket filtreleme • İç kullanıcılara hizmet veren ve aynı zamanda her bir ana makineyi "kötü" dış kullanıcılardan koruyan uygulama proxy geçitlerini düzenler A firewall is a hardware, software, or a combination of both that monitors and filters traffic packets that attempt to either enter or leave the protected private network. It is a tool that separates a protected network or part of a network, and now increasingly a user PC, from an unprotected network – the “bad network” like the Internet. In many cases, the “bad network” may even be part of the company network. Most firewalls perform two basic security functions: • Packet filtering based on accept or deny policy that is itself based on rules of the security policy • Application proxy gateways that provide services to the inside users and at the same time protect each individual host from the “bad” outside users.
Firewalls Computer & Network Security Definition
Firewalls Computer & Network Security Definition
Firewalls Types of Firewalls Computer & Network Security Types of Firewalls Paket denetimi veya filtreleme yönlendiricisi: Bu güvenlik duvarı, tek tek paketleri iletip yönlendirmeyeceğinizi belirlemek için bir dizi kural kullanır. Paket denetleme yönlendiricisi, birden fazla ağ arabirimine sahip basit bir makine veya çok işlevli karmaşık bir makine olabilir. Uygulama denetimi veya proxy sunucusu: Proxy sunucusu, kimlik doğrulama ve paketleri iletmek için belirli uygulamalar simgelerini temel alır. Kimlik doğrulama ve sanal özel ağlar (VPN). VPN, genel ağda çalışan özel bir ağdaki şifrelenmiş bir bağlantıdır. Küçük ofis veya ev (SOHO) güvenlik duvarı Ağ adresi çevirisi (NAT). Packet inspection or filtering router: This type of firewall uses a set of rules to determine whether to forward or block individual packets. A packet inspection router could be a simple machine with multiple network interfaces or a sophisticated one with multiple functionalities. The application inspection or proxy server: The proxy server is based on specific application daemons to provide authentication and to forward packets. The authentication and virtual private networks (VPN). A VPN is an encrypted link in a private network running on a public network. The small office or home (SOHO) firewall The network address translation (NAT).
Firewall services based on network protocol layers Computer & Network Security Definition Firewall services based on network protocol layers Güvenlik duvarının Ağ katmalarındaki işlevleri
Work at the network level of the OSI model Firewalls Computer & Network Security Packet Filter Work at the network level of the OSI model Each packet is compared to a set of criteria before it is forwarded Packet filtering firewalls is low cost and low impact on network performance OSI modelinin ağ düzeyinde çalışır Her paket, iletilmeden önce bir dizi ölçütle karşılaştırılır Paket filtreleme güvenlik duvarları düşük maliyetlidir ve ağ performansı üzerinde etkisi düşüktür
Yalnızca taşıma katmanı bilgilerini kullanır Firewalls Computer & Network Security Packet Filter Yalnızca taşıma katmanı bilgilerini kullanır IP Kaynak Adresi, Hedef Adres Protokol / Sonraki Başlık (TCP, UDP, ICMP, vb.) TCP veya UDP kaynak ve hedef portları TCP Bayrakları (SYN, ACK, FIN, RST, PSH, vb.) ICMP ileti türü Uses transport-layer information only IP Source Address, Destination Address Protocol/Next Header (TCP, UDP, ICMP, etc) TCP or UDP source & destination ports TCP Flags (SYN, ACK, FIN, RST, PSH, etc) ICMP message type
Firewalls Circuit level Computer & Network Security Circuit level Circuit level gateways work at the session layer of the OSI model, or the TCP layer of TCP/IP Monitor TCP handshaking between packets to determine whether a requested session is legitimate. Devre seviyesi ağ geçitleri, OSI modelinin oturum katmanında veya TCP / IP'nin TCP katmanı üzerinde çalışır İstenen bir oturumun meşru olup olmadığını belirlemek için paketler arasındaki TCP el sıkışmasını izler.
Firewalls Computer & Network Security Circuit level
Firewalls Application Level Computer & Network Security Application Level Application level gateways, also called proxies, are similar to circuit-level gateways except that they are application specific Gateway that is configured to be a web proxy will not allow any ftp, gopher, telnet or other traffic through Proxy olarak da adlandırılan uygulama seviyesi ağ geçitleri, devre seviyesindeki ağ geçitlerine benzer, ancak uygulama özelliklerine sahiplerdir. Bir web proxy olacak şekilde yapılandırılmış ağ geçidi, herhangi bir ftp, gopher, telnet veya diğer trafiğe izin vermez
App-level Firewall Architecture Firewalls Computer & Network Security App-level Firewall Architecture Network Connection Telnet daemon SMTP daemon FTP daemon Telnet proxy FTP proxy SMTP proxy
Stateful (Duruma dayalı) Multilayer Firewalls Computer & Network Security Stateful (Duruma dayalı) Multilayer Stateful multilayer inspection firewalls combine the aspects of the other three types of firewalls They filter packets at the network layer, determine whether session packets are legitimate and evaluate contents of packets at the application layer Duruma dayalı çok katmanlı güvenlik duvarları, diğer üç güvenlik duvarının özelliklerini birleştirir. Paketleri ağ katmanında filtrelerler, oturum paketlerinin meşru olup olmadığını belirler ve paketlerin içeriğini uygulama katmanında değerlendirirler
Stateful (Duruma dayalı) Multilayer Firewalls Computer & Network Security Stateful (Duruma dayalı) Multilayer Duruma dayalı filtreleme aşamaları
Firewalls Computer & Network Security General Performance
Pass in on $external from any proto tcp to 134.71.1.25 port = 80 Firewalls Computer & Network Security Sample rules Pass in on $external from any proto tcp to 134.71.1.25 port = 80 Pass in on $external from any proto tcp to 134.71.1.25 port = 53 Pass in on $external from any proto udp to 134.71.1.25 port = 53 Pass in on $external from any proto tcp to 134.71.1.25 port = 25 Block in log on $external from any to 134.71.1.25 Block in on $external from any to 134.71.1.0/24 Pass in on $external from any proto tcp to 134.71.1.25 port = 22 Pass out on $internal from 134.71.1.0/24 to any keep state
Firewalls Sample log file Computer & Network Security Sample log file Jul 31 11:50:27 kd2 ipmon[14110]: 11:50:27.778617 xl0 @0:3 b 213.244.12.136,2260 -> 134.71.203.185,80 PR tcp len 20 44 -S IN Jul 31 11:50:30 kd2 ipmon[14110]: 11:50:30.771581 xl0 @0:3 b 213.244.12.136,2243 -> 134.71.203.168,80 PR tcp len 20 44 -S IN Jul 31 11:50:30 kd2 ipmon[14110]: 11:50:30.772833 xl0 @0:3 b 213.244.12.136,2260 -> 134.71.203.185,80 PR tcp len 20 44 -S IN Jul 31 11:52:48 kd2 ipmon[14110]: 11:52:47.511993 xl0 @1:10 b 207.45.69.69,1610 -> 134.71.202.57,113 PR tcp len 20 44 -S IN Jul 31 11:52:51 kd2 ipmon[14110]: 11:52:50.501969 xl0 @1:10 b 207.45.69.69,1610 -> 134.71.202.57,113 PR tcp len 20 44 -S IN Jul 31 11:52:54 kd2 ipmon[14110]: 11:52:53.501498 xl0 @1:10 b 207.45.69.69,1610 -> 134.71.202.57,113 PR tcp len 20 44 -S IN Jul 31 11:52:56 kd2 ipmon[14110]: 11:52:55.703527 xl0 @1:10 b 142.163.9.225,6346 -> 134.71.202.57,3343 PR tcp len 20 40 -A IN Jul 31 11:52:57 kd2 ipmon[14110]: 11:52:56.500682 xl0 @1:10 b 207.45.69.69,1610 -> 134.71.202.57,113 PR tcp len 20 44 -S IN Jul 31 11:53:00 kd2 ipmon[14110]: 11:52:59.500694 xl0 @1:10 b 207.45.69.69,1610 -> 134.71.202.57,113 PR tcp len 20 44 -S IN Jul 31 12:00:24 kd2 ipmon[14110]: 12:00:24.220209 xl0 @1:10 b 65.31.146.125,55989 -> 134.71.202.57,10336 PR tcp len 20 48 -S IN Jul 31 12:00:26 kd2 ipmon[14110]: 12:00:26.040009 xl0 @1:10 b 65.31.146.125,55989 -> 134.71.202.57,10336 PR tcp len 20 48 -S IN Jul 31 12:00:28 kd2 ipmon[14110]: 12:00:28.794944 xl0 @1:10 b 65.31.146.125,55989 -> 134.71.202.57,10336 PR tcp len 20 48 -S IN Jul 31 12:00:34 kd2 ipmon[14110]: 12:00:34.302899 xl0 @1:10 b 65.31.146.125,55989 -> 134.71.202.57,10336 PR tcp len 20 48 -S IN Jul 31 12:00:46 kd2 ipmon[14110]: 12:00:45.284181 xl0 @1:10 b 65.31.146.125,55989 -> 134.71.202.57,10336 PR tcp len 20 48 -S IN
Firewall set up to protect your LAN Computer & Network Security Firewalls and DMZs A standard way to configure multiple firewalls for a single organization Used when organization runs machines with different openness needs Basically, use firewalls to divide your network into segments Your production LAN Your web server The Internet Firewall set up to protect your LAN Firewall set up to protect your web server DMZ Tek bir kuruluş için birden çok güvenlik duvarı yapılandırmanın standart bir yolu Kuruluş, farklı açıklık gereksinimlerine sahip makineleri çalıştığında kullanılır Temel olarak, ağınızı bölümlere ayırmak için güvenlik duvarlarını kullanın
Advantages of DMZ Approach Firewalls Computer & Network Security Advantages of DMZ Approach Farklı amaçlar için güvenlik duvarlarını özelleştirebilir Farklı ağ alanlarında trafik analizini özelleştirebilir Doğal olarak daha az güvenli trafiğin kritik kaynaklardan uzak tutulmasını sağlar Can customize firewalls for different purposes Can customize traffic analysis in different areas of network Keeps inherently less safe traffic away from critical resources Dangers of a DMZ Things in the DMZ aren’t well protected If they’re compromised, provide a foothold into your network One problem in DMZ might compromise all machines there Vital that main network doesn’t treat machines in DMZ as trusted Must avoid back doors from DMZ to network DMZ'deki şeyler iyi korunmuyorsa Eğer tehlikeye atılırlarsa, ağınıza bir dayanak oluşturun. DMZ'deki bir sorun orada bütün makinelere zarar verebilir Ana şebeke, DMZ'deki makinelere güvenilir olarak davranmamalı DMZ'den ağa arka kapılardan kaçınmalısınız
Firewall Services : Firewalls Firewall Services and Limitations Computer & Network Security Firewall Services and Limitations Firewall Services : Service control – where the firewall may filter traffic on the basis of IP addresses, TCP, UDP, port numbers, and DNS and FTP protocols in addition to providing proxy software that receives and interprets each service request before passing it on. Direction control – where permission for traffic flow is determined from the direction of the requests. User control – where access is granted based on which user is attempting to access the internal protected network, which may also be used on incoming traffic. Behavior control – in which access is granted based on how particular services are used, for example, filtering e-mail to eliminate spam. Servis kontrolü - güvenlik duvarı IP adresleri, TCP, UDP, port numaraları ve DNS ve FTP protokolleri temelinde trafiğe filtre uygulayabilir ve ayrıca her hizmet talebini alana geçmeden önce gelen ve gönderen proxy yazılımlar sağlayabilir. Yön kontrolü - trafik akışı için izinlerin istekler yönünden belirlendiği yer. Kullanıcı kontrolü - hangi kullanıcı tarafından dahili olarak korunan ağa erişmeye çalışıldığına göre erişim sağlanır ve bu da gelen trafikte de kullanılabilir. Davranış denetimi - belirli hizmetlerin nasıl kullanıldığına bağlı olarak erişim izni verilen, örneğin e-postayı e-postaları spam ortadan kaldırmak için filtrelemek gibi.
Firewall Services and Limitations Limitations of Firewalls: Computer & Network Security Firewall Services and Limitations Limitations of Firewalls: Firewalls cannot protect against a threat that bypasses it, such as a dial-in using a mobile host. Firewalls do not provide data integrity because it is not possible, especially in large networks, to have the firewall examine each and every incoming and outgoing data packet for anything. Firewalls cannot ensure data confidentiality because, even though newer firewalls include encryption tools, it is not easy to use these tools. It can only work if the receiver of the packet also has the same firewall. Firewalls do not protect against internal threats. Firewalls cannot protect against transfer of virus-infected programs or files. Güvenlik duvarları, atlayan bir tehdide karşı koruma sağlamaz, örn. Bir mobil ana bilgisayar kullanan bir çevirmeli bağlantı. Güvenlik duvarları veri bütünlüğü sağlamaz, çünkü özellikle büyük ağlarda güvenlik duvarının her gelen ve giden veri paketini her şey için incelemesi mümkün değildir. Güvenlik duvarları veri gizliliğini sağlayamaz çünkü yeni güvenlik duvarları şifreleme araçları içerse de bu araçları kullanmak kolay değildir. Paketin alıcısı aynı güvenlik duvarına sahipse çalışır. Güvenlik duvarları dahili tehditlere karşı koruma sağlamaz. Güvenlik duvarları, virüs bulaşmış programların veya dosyaların aktarılmasına karşı koruma sağlayamaz.
Firewalls Computer & Network Security Thanks
Firewalls References: Computer & Network Security References: Kizza, Joseph Migga, Guide to Computer Network Security, Springer,2014 Hareesh Pattipati, Firewalls Presentation Peter Reiher, Network Security, Continued ,Computer Security , October 30, 2012