VEKİL SUNUCULAR VE GÜVENLİK DUVARLARI

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları ve İnternet
Advertisements

Bilgisayar Ağları Son Hafta
İNTERNET HABERLEŞME ARAÇLARI
BBY 302 Bilgi Teknolojisi ve Yönetimi
TEMEL AĞ TANIMLARI.
Bilgisayar Ağlarına Giriş
İNTERNET VE İLETİŞİM.
 Meltem KORCAY  Ayşe KUBİLAY
Bilgisayar Ağlarına Giriş
Örnek Kampüs Uygulamaları ODTÜ Ulaknet Sistem Yönetim Konferansı - Güvenlik.
Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
ARP DİNLEME.
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
İNTERNET VE AĞ GÜVENLİĞİ
Bölüm 1 Ağlar ve Verİ İletİşİmİ
2. HUB nedir? Swich nedir? Farkları nedir?
ALT AĞLAR.
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
BİLGİSAYAR AĞLARI.
YONT 172 BİLGİ TEKNOLOJİLERİNE GİRİŞ II
İnternet Teknolojisi Temel Kavramlar
MERKEZİ KULLANICI TANIMA SERVİSLERİ Mustafa Atakan ODTU-BIDB Teknik Destek Grubu.
ODTÜ Bilgi İşlem Merkezi Anti-Spam Çalışmaları Tayfun Asker ODTÜ-BİDB
TCP/IP Sorun Çözme ve Ağ Komutları
3. Bölüm Taşıma Katmanı Computer Networking: A Top Down Approach 4th edition. Jim Kurose, Keith Ross Addison-Wesley, July Transport Layer.
SAMED ÖZCAN T-12/D 2446
BLM619 Bilgisayar Ağları ve Uygulamaları
NAT: Network Address Translation (Ağ Adres Dönüşümü)
BİLGİSAYAR AĞLARINA GİRİŞ
TCP/IP – DHCP Nedir?.
Bilgisayar Ağlarına Giriş. Tarihsel Gelişim Main- frame OS yoktu Batch Systems (Toplu İşlem) Birden fazla işin arka arkaya çalıştırılması.
BİLGİSAYAR AĞLARINA GİRİŞ
İnternet Teknolojisi Temel Kavramlar
BTÖ 306 Bilgisayar Ağlarına Giriş Dr. Şirin Karadeniz Çelebi Uluyol.
Ağ Donanımları Cihazlar
TCP/IP Sorun Çözme ve Ağ Komutları
AĞ GÜVENLİĞİ Ağ ve Bilgi Güvenliği Yönetimi Güvenlik Duvarı (Firewall)
Ağ nedir?_____________________
Yönlendirici (Router) Güvenliği
Bilgisayar ve Ağ Güvenliği
BIM 101 Bilgi İşleme Giriş © 2006 Prentice-Hall, Inc.
KIRKLARELİ ÜNİVERSİTESİ
DİSASTER CENTER FELAKET MERKEZİ. Felaket Kurtarma (Disaster Recovery) Her kurum için, vermekte olduğu hizmeti herhangi bir nedenden dolayı veremez duruma.
ÖMER ÜNALDI EDUROAM.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Ağ Donanımları Ağ Nedir ? Ağ Donanımları Bridge Hub Switch Router
TCP/IP. Network Katmanı ● Bu katmanda IP'ye göre düzenlenmiş veri paketleri bulunur. ● İletim katmanından gelen veriler burada Internet paketleri haline.
AĞ TEMELLERİ.  Ağ cihazları bilgisayar veya benzeri sayısal sistemlerin birbirleriyle karşılıklı çalışmalarını, iletişim yapmalarını sağlayan ara cihazlardır.
Öğr.Gör.Volkan ALTINTAŞ
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
TCP /IP ADRESLEMESİ.
Bilgi İşlem Organizasyonu
DOMAIN SERVER DOMAIN NEDIR ?
HAZIRLAYAN HÜRREM SİNCAP
PROXY SERVER YASİN ÇAKIR
VEKİL SUNUCULAR VE GÜVENLİK DUVARLARI
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
Ağ Nedir IP Adresi DNS Sunucu
Bilgi İşlem Organizasyonu
TCP/IP PROTOKOLÜ.
Bilgisayar Mühendisliğine Giriş
HTTP Kullanıcı Asıllama ve Yetkilendirme
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
OSİ Modeli.
Sunum transkripti:

VEKİL SUNUCULAR VE GÜVENLİK DUVARLARI Yalçın Tosun 704031015

Güvenlik Duvarları

Güvenlik Duvarları 3’e ayrılırlar: Paket Filtreleyici Güvenlik Duvarları (Packet Filtering Firewalls) Devre Düzeyinde Güvenlik Duvarları (Circuit-Level Firewalls) Uygulama Düzeyinde Güvenlik Duvarları veya Vekil Sunucular (Application-Level Firewalls or Proxy Servers)

Paket Filtreleyici Güvenlik Duvarları İlgilendikleri başlık bilgileri Kaynak ve hedef IP adresleri Kaynak ve hedef port numaraları TCP bağlantı bayrakları

Paket Filtreleyici Güvenlik Duvarları Paket filtreleme yapan yönlendiricilere perdeleyici yönlendiriciler (screening routers) denir Örneğin, Standart izin listesi -------------------------------------------- Interface Ethernet0 Ip address 172.16.1.1 255.255.255.0 Ip access-group 1 Access-list 1 deny host 172.16.3.10 Access-list 1 permit any Paket filtreleyiciler yönlendirme yapmak zorunda değildirler

Paket Filtreleyici Güvenlik Duvarları İkiye ayrılırlar: Durumsuz (Stateless) Durumlu (Stateful) Durumsuz olanlarda pratikte problemler yaşanmaktadır. Bu problemleri engellemek için “stateful inspection” yöntemi kullanılır.

Paket Filtreleyici Güvenlik Duvarları Stateful inspection Checkpoint Software Technologies tarafından bulunmuştur. Eski IP paketlerine ait bilgiler saklanır. Arkadan gelen paketler daha hızlı geçerler

Paket Filtreleyici Güvenlik Duvarları Dezavantajları Sistem yöneticisinin saldırıları anlamasına yardımcı olabilecek kayıt tutma (logging) kabiliyeti çok azdır. Paket filtreleme kuralları doğrudan test edilmek için zordurlar. Dolayısıyla, test edilemeyen açık noktalar kalabilmektedir. Eğer karışık filtreleme kuralları gerekirse bunlar yönetilemez bir hale gelebilirler. Çoğu kablo/DSL cihazları bu güvenlik duvarlarını korumalarının bir parçası olarak kullanırlar.

Devre Düzeyinde Güvenlik Duvarları Dışarıdan bilgi akışına sadece içerideki bilgisayarlardan istek geldiğinde izin verir . Dışarıya giden isteklerin kaydı tutulur ve sadece isteğe karşılık gelen cevaba izin verilir Dışarıdakiler bütün bir ağı sadece güvenlik duvarının adresi olarak görür Güvenlik duvarı açan kadar bütün portlar kapalıdır Diğer filtreleme yöntemleriyle birleştirilmediği takdirde içerien gelen herhangi bir veri isteğine izin verir

Devre Düzeyinde Güvenlik Duvarları İnternet paylaşımını sağlarlar Kablo/DSL yönlendiricileri bu yöntemi birincil olarak kullanırlar İnternet paylaşımlı devre düzeyinde ağ geçitlerinin bir kombinezonu olan NAT (Network Address Translation) kullanırlar SOCKS yaygın olarak kullanılmaktadır

SOCKS İstemci yazılımına ve/veya TCP/IP yığınına modifikasyon gerektirir İki parçadan oluşur SOCKS sunucusu (daemon) SOCKS istemcisi (kütüphanesi)

SOCKS SOCKS sunucusu uygulama katmanında çalışır SOCKS istemcisi uygulama ve ulaşım katmanları arasında çalışır

SOCKS SOCKS’un iki versiyonu vardır SOCKS V.5’in temel farkları: V.5’te istemci ile SOCKS sunucu arasında asıllama yöntemi hakkında bir el sıkışma desteği vardır RFC’de 2 çeşit asıllama yöntemi vardır: şifre-temelli asıllama ve Kerberos V5 GSS-API

SOCKS SOCKS V.5’in temel farkları: V.5 UDP bağlantıları için de “stateful inspection”a benzer bir yaklaşımla destek vermektedir SOCKS V.5, desteklediği adres çözümlemesi sayesinde DNS yönetimini ve IP adres saklamasını kolaylaştırmaktadır

SOCKS SOCKS yapısının kontrol akış diyagramı

Uygulama Düzeyinde Güvenlik Duvarları Devre düzeyindeki güvenlik duvarlarına benzerler Güvenlik duvarı arkasındaki bağlantıya doğrudan izin vermezler Verinin içeriğine bakarlar Diğer güvenlik duvarlarına göre yavaştırlar İstemci bilgisayarlara dışarıdaki kaynaklara erişim için proxy konfigürasyonları yapılması gerekir

Uygulama Düzeyinde Ağ Geçitleri Kullanıcı asıllama ve yetkilendirmesi yapılır Kullanıcı asıllama için gerekli bilgiler başka bir güvenlik sunucusunda tutulabilir Bunun için en çok kullanılan protokoller Livingston Enterprises firmasına ait olan RADIUS Cisco firmasına ait olan TACACS Bir sunucuya bağlanmadan önce uygulama düzeyinde bir ağ geçidine bağlanmak işlemi saydamlaştırılabilir. Buna “saydam vekillik (transparent proxy)” denir

Uygulama Düzeyinde Ağ Geçitleri Saydam vekillilik Daha geleneksel anlamıyla, saydam vekillikte bir kullanıcı doğrudan kaynağa bağlanmakla bir vekil sunucu üzerinden bağlanmak arasında bir zorluk yaşamaz. Bunun yerine istemci yazılımları bunu sağlayacak şekilde modifiye edilmelidirler. SOCKS bu yaklaşımı kullanmaktadır Diğer anlamında ise, istemci yazılımı vekil sunuculardan haberdar olmak zorunda değildir. Erişim yönlendiricileri (Access Routers) herhangi bir isteği vekil sunucuya yönlendirmek için ayarlanırlar..

Güvenlik Duvarı Konfigürasyonları Değişik çeşitleri vardır. En yaygın kullanılan ikisi: Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls) Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Firewall)

Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls) İki ağ arayüzlü, IP yönlendirme özelliği etkisizleştirilmiş bir vekil sunucusu 2 filtreleme yapabilen (perdeleyici) yönlendirici bulunur Internet Vekil sunucu Intranet

Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls) Güvenlik duvarı (ağ geçidi) DNS bilgilerini saklar Dışarıdan hiç kimse korunan ağdaki ip adreslerini ve isimleri bilemez Güvenlik duvarında gerekli asıllama ve yetkilendirme bilgileri tutulabilir Erişim kayıtları da tutularak saldırı aktiviteleri izlenebilir

Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls) İzin verilen trafik Internet Kaynak Adresi: Vekil sunucunun IP’si Hedef adres: Yönlendirici Dış ağ bölümü Vekil Sunucu İç ağ bölümü Yönlendirici Kaynak Adresi: Vekil sunucunun IP’si Hedef adres: Intranet

Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls) Uygulama ağ geçidi ile yönlendirici arasına başka hizmetler veren sunucular yerleştirilebilir Bu sunucular, dışarıya IP adresi ve ismi verilmeden, uygulama ağ geçidi üzerinden dışarı bağlanabilirler. Fakat bunun şöyle dezavantajları vardır: olmaları ağ geçidi üzerinde yoğun bir trafik oluşur bazı hizmetler veren sunucular (LOTUS Notes, SQLnet gibi) için proxy desteği olmadığından korunan ağdan bunlara erişilemez Doğrudan dışarıdan gelen istekleri de alabilirler. Bu herhangi bir güvenlik sorunu oluşturmaz.

Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Firewall) İki perdeleyici yönlendirici kullanılır Bunların arasında kalan alana perdelenmiş alt ağ veya askerden arındırılmış bölge (DMZ – Demilitarized Zone) denir Bu bölgede birkaç tane uygulama ağ geçidi ve istenirse diğer hizmetleri veren bazı sunucular bulunur

Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Firewall) Korunan ağdan dışarı çıkmak isteyenler, yönlendiricilerden ilki tarafından uygulama ağ geçidine yönlendirilirler DMZ’de bulunan diğer sunuculardan hizmet almak istiyorlarsa, yönlendirici tarafından uygulama ağ geçidine uğramadan bu sunuculara yönlendirilirler Bunun avantajları: Çift-evli güvenlik duvarı konfigürasyonuna göre daha esnek bir yapı sağlar. Uygulama ağ geçidi üzerinden yükü azaltarak performans artışını sağlar. Ancak, DMZ’de bulunan diğer sunucuların çok iyi korunması gerekir

Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Firewall) Internet Vekil Sunucu Yönlendirici Perdelenmiş Alt Ağ Yönlendirici Intranet

SONUÇ Paket filtreleyici güvenlik duvarları basit bir güvenlik çözümü sağlarlar ve paketlerdeki verinin içeriğine bakmazlar Devre düzeyindeki güvenlik duvarları dışarıdan gelen paketler için tek giriş noktasıdır. Dışarıdaki bilgisayarlar sadece bunun adresini bilirler. Böylelikle, arkasındaki ağı güvenli bir şekilde korur. Ayrıca, asıllama ve yetkilendirme de yapılır. Burada da verinin içeriğine bakılmaz Uygulama düzeyindeki güvenlik duvarları ise bilginin içeriğine bakarak paketi geçirip geçirmeyeceğine karar verir. Asıllama ve yetkilendirme mekanizmaları kullanır.

SONUÇ Çift-evli güvenlik duvarları daha güvenli bir yapı sunarken performans ve esneklik bakımından perdelenmiş alt ağ güvenlik duvarlarından daha düşük seviyededirler.

Kaynaklar http://www.cyber.ust.hk/fw-report1/i_intro3.html, 19.03.2003 http:// www.cs.columbia.edu/sip/drafts/Ther0005_SIP.pdf, 19.03.2003 http://www.pcstats.com/articleview.cfm?articleid=1450&page=3, 19.03.2003 http://www.pcstats.com/articleview.cfm?articleid=1450&page=4, 19.03.2003 http://www.pcstats.com/articleview.cfm?articleid=1450&page=5, 19.03.2003 http://www.socks.permeo.com/AboutSOCKS/SOCKSOverview.asp, 20.03.2003 http://www.socks.permeo.com/AboutSOCKS/WhySOCKS.asp, 20.03.2003 http://www.socks.permeo.com/AboutSOCKS/SOCKSvE.asp, 20.03.2003 http://www.socks.permeo.com/AboutSOCKS/SOCKSvF.asp, 20.03.2003 Oppliger, R. “Security Technologies for WWW”, Artech House, 1999