Chapter 6

Copyright Pearson Prentice-Hall 2010  Chapter 5 covered many techniques for access control  This chapter will discuss an additional tool for access control—firewalls  Firewalls filter out traffic that consists of provable attack packets 2

Copyright Pearson Prentice-Hall 2010  Bölüm 5 de erişim kontrolü için birçok teknik anlatılacak  Bu bölümde erişim kontrolü-güvenlik duvarları için ek bir araç tartışılacak  Güvenlik duvarları kanıtlanabilir saldırı paketlerini içeren trafiği filtreler 3

Copyright Pearson Prentice-Hall

5

6

 The Problem ◦ If a firewall cannot filter all of the traffic passing through it, it drops packets it cannot process ◦ This is secure because it prevents attack packets from getting through ◦ This creates a self-inflicted DoS attack by dropping legitimate traffic 7

Copyright Pearson Prentice-Hall 2010  Problem ◦ Bir güvenlik duvarı üzerinden geçen trafiği filtreleyemezse, işlenmeyen bütün paketleri düşürür ◦ Bu güvenlidir, çünkü saldırı peketlerinin geçmesi engellenir ◦ Bu geçerli trafiği düşürerek bir kendi kendine DOS saldırısı oluşturur 8

Copyright Pearson Prentice-Hall 2010  Firewall Capacity ◦ Firewalls must have the capacity to handle the incoming traffic volume ◦ Some cannot handle traffic during heavy attacks! ◦ Firewalls must be able to handle incoming traffic at “wire speed”  the maximum speed of data coming into each port 9

Copyright Pearson Prentice-Hall 2010  Güvenlik duvarı Kapasitesi ◦ Güvenlik duvarları gelen trafik hacmini idare edebilecek kapasitede olmalıdır ◦ Bazı ağır saldırılar sırasında trafiği idare edemiyorlar! ◦ Güvenlik duvarları “kablo hızı" nda gelen trafiği idare edebilmesi gerekir  Her bir port için gelen verilerin maksimum hızı 10

Copyright Pearson Prentice-Hall 2010  Computer Processing Power Is Increasing Rapidly ◦ As processing power increases, more sophisticated filtering methods possible ◦ We can have unified threat management (UTM)  A single firewall can use many forms of filtering  including antivirus filtering and even spam filtering.  Increasing traffic is consumes much of processing power 11

Copyright Pearson Prentice-Hall 2010  Bilgisayar İşleme Gücü Hızla Artar ◦ Işlemci gücü arttıkça, daha sofistike filtreleme yöntemleri mümkün ◦ Biz (UTM) birleşik tehdit yönetimine sahip olabiliriz  Tek bir güvenlik duvarı birçok filtreleme formları kullanabilir  Antivirüs filtreleme ve hatta spam filtreleme dahil..  Trafik Artması çok işlemci gücü tüketir 12

Copyright Pearson Prentice-Hall 2010  Firewall Filtering Mechanisms ◦ There are many filteering types  Stateless filtering (packet inspection)  Stateful filtering (packet inspection) ◦ We focus on the stateful packet inspection (SPI) ◦ Single firewalls can use multiple filtering mechanisms 13

Copyright Pearson Prentice-Hall 2010  Güvenlik duvarı Mekanizmaları Filtreleme ◦ Birçok filteering türleri vardır  Stateless filtering (paket denetleme)  Stateful filtering (paket denetleme) ◦ Biz Stateful Packet Inspection (SPI) odaklanıyoruz ◦ Tek güvenlik duvarları birden fazla filtreleme mekanizması kullanabilir 14

15

Copyright Pearson Prentice-Hall 2010 ◦ Earliest firewall filtering mechanism, but has Limitations  Examines packets one at a time, in isolation  Only looks at some internet and transport headers  Unable to stop many types of attacks ◦ The firewall must pass packets containing SYN/ACK ◦ If it receives a packet containing a SYN/ACK, this may be a legitimate response to an internally initiated SYN segment ◦ Also, a SYN/ACK could be an external attack  A static packet filtering firewall cannot stop this attack 16

Copyright Pearson Prentice-Hall 2010 ◦ eski güvenlik duvarı filtreleme mekanizma, ama Sınırlamalar var  Izole edilmiş durumda, birim zamanda bir paket inceler  Sadece bazı internet ve ulaşım başlıklarına bakar  Saldırılarının birçok çeşidi durdurulamıyor ◦ Güvenlik duvarı SYN / ACK içeren paketleri geçirmelidir ◦ Bir SYN / ACK içeren bir paket alırsa, SYN segment inin başlattığı geçerli bir yanıt olabilir ◦ Ayrıca, bir SYN / ACK harici bir saldırı olabilir  Bir statik paket filtreleme güvenlik duvarı bu saldırıyı durduramaz 17

Copyright Pearson Prentice-Hall

Copyright Pearson Prentice-Hall 2010 Attacks that can be detected by static packet filtering ◦ Incoming ICMP echo packets and other scanning probe packets ◦ Outgoing responses to scanning probe packets ◦ Packets with spoofed IP addresses 19

Copyright Pearson Prentice-Hall 2010 Saldırı, statik paket filtreleme ile tespit edilebilir ◦ Gelen ICMP echo paketleri ve diğer prob tarama paketleri ◦ Prob paketlerini giden cevaplar ile tarama ◦ Sahte IP adresleri ile paketler ◦ 20

Copyright Pearson Prentice-Hall 2010  Market Status of Static Packet Filtering ◦ No longer used as the main filtering mechanism for border firewalls ◦ May be used as a secondary filtering mechanism on main border firewalls ◦ It can stop simple, high-volume attacks  This reduce the load on the main border firewall 21

Copyright Pearson Prentice-Hall 2010  Statik Paket Filtreleme Piyasa Durumu ◦ Sınır güvenlik duvarları için artık ana filtreleme mekanizması olarak kullanımaz ◦ Ana sınır güvenlik duvarlarında ikinci filtreleme mekaznizması olarak kullanılabilir ◦ Basit, yüksek hacimli saldırıları durdurabilir  ana sınır duvarı üzerindeki yükü azaltır 22

23

Copyright Pearson Prentice-Hall 2010  Connections have distinct states or stages  Different states are subject to different attacks  Stateful firewalls use different filtering rules for different states 24 Connection Opening State Connection Opening State Ongoing Communication State Ongoing Communication State Connection Closing State Connection Closing State

Copyright Pearson Prentice-Hall 2010  Bağlantıların ayrı durumları veya aşamaları var  Farklı durumlarıfarklı saldırılara maruz kalır  Stateful güvenlik duvarları farklı ülkeler için farklı filtreleme kuralları kullanır 25 Connection Opening State Connection Opening State Ongoing Communication State Ongoing Communication State Connection Closing State Connection Closing State

Copyright Pearson Prentice-Hall

Copyright Pearson Prentice-Hall

Copyright Pearson Prentice-Hall

Copyright Pearson Prentice-Hall PortPrimary Protocol* Application 20TCPFTP Data Traffic 21TCPFTP Supervisory Connection 22TCPSecure Shell (SSH) 23TCPTelnet 25TCPSimple Mail Transfer Protocol (SMTP) 53TCPDomain Name System (DNS) Typically, applications use of either TCP or UDP However, in some cases both TCP and UDP can be used - in such cases, the same port number is used for both

Copyright Pearson Prentice-Hall PortPrimary Protocol* Application 20TCPFTP Data Traffic 21TCPFTP Supervisory Connection 22TCPSecure Shell (SSH) 23TCPTelnet 25TCPSimple Mail Transfer Protocol (SMTP) 53TCPDomain Name System (DNS) tipik olarak, uygulamalar TCP veya UDP kullanır bazı durumlarda ikiside beraber kullanılabilir - bazı durumlarda aynı port numarası ikisinide kullanır

Copyright Pearson Prentice-Hall PortPrimary Protocol Application 69UDPTrivial File Transfer Protocol (TFTP) 80TCPHypertext Transfer Protocol (HTTP) 110TCPPost Office Protocol (POP) TCPNETBIOS service for peer-to-peer file sharing in older versions of Windows 143TCPInternet Message Access Protocol (IMAP) 161UDPSimple Network Management Protocol (SNMP) 443TCPHTTP over SSL/TLS

Copyright Pearson Prentice-Hall PortPrimary Protocol Application 69UDPTrivial File Transfer Protocol (TFTP) 80TCPHypertext Transfer Protocol (HTTP) 110TCPPost Office Protocol (POP) TCPNETBIOS service for peer-to-peer file sharing in older versions of Windows 143TCPInternet Message Access Protocol (IMAP) 161UDPSimple Network Management Protocol (SNMP) 443TCPHTTP over SSL/TLS

Copyright Pearson Prentice-Hall 2010  Access Control List (ACL) Operation ◦ An ACL is a series of rules for allowing or disallowing connections ◦ The rules are executed in order  beginning with the first  If a rule DOES NOT apply to the connection,  the firewall goes to the next ACL rule  If the rule DOES apply,  the firewall follows the rule, no further rules are executed  If the firewall reaches the last rule in the ACL,  it follows that rule 33

Copyright Pearson Prentice-Hall 2010  Access Control List (ACL) Operasyonu ◦ ACL izin veya izin verilmeyen bağlantılar için bir dizi kurallardır ◦ Kurallar sırayla çalıştırılır  İlkiyle başlatılır  Eğer bir kural bağlantıyı kabul etmezse  Güvenlik duvarı ikinci ACL kuralına geçer  Eper kural kabul ederse,  Güvenlik duvarı kuralı takip eder, daha kural çalıştırılmaz  Eğer son kurala ulaşıldıysa,  Bu kural takip edilir 34

Copyright Pearson Prentice-Hall 2010  Ingress ACL’s Purpose ◦ The default behavior is to drop all attempts to open a connection from the outside (external) ◦ All ACL rules except for the last give exceptions to the default behavior under specified circumstances ◦ The last rule applies the default behavior to all connection  opening attempts that are not allowed by earlier rules are executed by this last rule 35

Copyright Pearson Prentice-Hall 2010  Girşi ACL’nin amacı ◦ Varsayılan davranış dışarıdan açılan bütün bağlantı girişimleri düşürmektir. ◦ All ACL rules except for the last give exceptions to the default behavior under specified circumstances ◦ Son kural tüm bağlantı için varsayılan davranışı uygular  önceki kurallar tarafından izin verilmeyen açma girişimleri bu son kural tarafından yürütülür 36

Copyright Pearson Prentice-Hall 2010  Simple Ingress ACL with Three Rules ◦ 1. If TCP destination port = 80 or TCP destination port = 443, then Allow Connection  [Permits connection to ALL internal webservers] ◦ 2. If TCP destination port = 25 AND IP destination address = , then Allow Connection  [Permits connections to A SINGLE internal mail server] ◦ 3. Disallow ALL Connections  [Disallows all other externally initiated connections; this is the default behavior] 37

Copyright Pearson Prentice-Hall 2010  Üç kurallı basit giriş ACL ◦ 1. TCP hedef port = 80 ya da TCP hedef bağlantı port = 443, sonra Bağlantıya izin ver [TÜM iç webserverlarda için bağlantı izini] ◦ 2. TCP hedef bağlantı noktası = 25 VE IP hedef adresi = , Bağlantıya izin ver [TEK iç posta sunucusuna bağlantı izini] ◦ 3. TÜM Bağlantıları engelle [tüm diğer dıştan başlatılan bağlantıları engelle, bu varsayılan davranıştır] 38

39

Copyright Pearson Prentice-Hall

41

Copyright Pearson Prentice-Hall

Copyright Pearson Prentice-Hall

Copyright Pearson Prentice-Hall 2010  Protections for Internal Clients against Malicious Webservers ◦ URL blacklists for known attack sites ◦ Protection against some or all scripts in webpages ◦ The disallowing of HTTP response messages with prohibited MIME types that indicate malware  Protections against Misbehaving Internal Clients ◦ Disallowing the HTTP POST method  which can be use to send out sensitive files  Protections for Internal Webservers against Malicious Clients ◦ Disallow HTTP POST methods, which could allow malware files to be placed on the server ◦ Indications of SQL injection attacks 44

Copyright Pearson Prentice-Hall 2010  Kötü niyetli webserverlara karşı İç Müşteriler için Korumalar ◦ Bilinen saldırı siteleri için URL karalistesi ◦ web sayfaların bazı kısımları veya tüm scriptlerine karşı koruma ◦ The disallowing of HTTP response messages with prohibited MIME types that indicate malware  İstenmeyen davranışlı iç Müşteriler karşısında Korumalar ◦ HTTP POST yöntemine izin vermemek,  hassas dosyaları göndermek için hangileri kullanılmış olabilir  Kötü niyetli istemcilere karşı İç webserverlar için Koruma ◦ Serverdaki kötü niyetli dosyalara izin veren HTTP POST methodlarını engelle ◦ SQL enjeksiyon saldırılarını içerir 45

Copyright Pearson Prentice-Hall 2010  Automatic Protections ◦ Hiding of internal host IP addresses from “sniffers” ◦ Header destruction  Data link, internet, and transport headers are discarded ◦ Protocol fidelity  If the client or server does not follow the protocol of the indicated port number, communication with the firewall automatically breaks down 46

Copyright Pearson Prentice-Hall 2010  Otomatik Koruma ◦ "izleyiciler“ den iç bilgisayar IP adreslerinin gizlenmesi ◦ Başlıkların yokedilmesi  Veri bağlantı, internet ve ulaşım başlıkları atılır ◦ Protocol fidelity  istemci veya sunucu belirtilen port numarasının protokol ünütakip etmezse, güvenlik duvarı ile iletişimi otomatik olarak ayırır 47

Intrusion Detection Systems and Intrusion Prevention Systems 48

Copyright Pearson Prentice-Hall 2010  Intrusion Detection Systems (IDSs) ◦ Firewalls drop provable attack packets only ◦ Intrusion detection systems (IDSs) look for suspicious traffic  Does not drop because the packet is suspicious  Sends an alarm message if the attack appears to be serious 49

Copyright Pearson Prentice-Hall 2010  Saldırı Tespit Sistemleri (IDSs) ◦ Güvenlik duvarları kanıtlanabilir saldırı paketleri sadece düşürür ◦ Saldırı tespit sistemleri (IDS 'lere) şüpheli trafik ararlar  Düşürmez paketi çünkü paket şüpheli  bir alarm mesajı gönderir saldırı ciddi olarak görünüyorsa 50

Copyright Pearson Prentice-Hall 2010  Intrusion Detection Systems (IDSs) ◦ Problem: If too many false positives (false alarms)  Alarms are ignored or the system is discontinued  Can reduce false positives by tuning the IDSs  Eliminate inapplicable rules  Reduce the number of rules allowed to generate alarms  Most alarms will still be false alarms 51

Copyright Pearson Prentice-Hall 2010  Saldırı Tespit Sistemleri (IDSs) ◦ Sorun: Eğer çok fazla yanlış pozitif (yanlış alarm)  Alarmlar göz ardı edilir veya sistem kesilir  Yanlış pozitif ler azaltılabilir IDSs lere ayar yapılarak  uygulanamaz kuralları ortadan kaldırmak  Alarm oluşturmaya izin veren kuralların sayısını azaltın  Pek çok alarm hala yanlış alaramdır 52

Copyright Pearson Prentice-Hall 2010  Intrusion Detection Systems (IDSs) ◦ Problem: Heavy processing requirements because of sophisticated filtering  Deep packet inspection  Looks at application content, transport and internet headers  Packet stream analysis  Looks at patterns across a series of packets 53

Copyright Pearson Prentice-Hall 2010  Saldırı Tespit Sistemleri(IDSs) ◦ Sorun: sofistike filtrelemeden dolayı Ağır işleme gereksinimleri  Derin paket inceleme  Uygulama içerik, ulaşım ve internet başlıkları bakar  Paket akışı analizi  Bir dizi Paketlerin içinden “desen” bakar 54

Copyright Pearson Prentice-Hall 2010  Intrusion Prevention Systems (IPSs) ◦ Attack confidence identification spectrum  Somewhat likely  Very likely  Provable ◦ May allow firewall to stop traffic at the high end of the attack confidence spectrum  Decides which attacks to stop  This allows it to manage its risks 55

Copyright Pearson Prentice-Hall 2010  Saldırı Önleme Sistemleri(IPSs) ◦ Saldırı güvenli kimlik spektrumu  Biraz olasılıkla  Büyük olasılıkla  Kanıtlanabilir ◦ Saldırı güvenlik spektrumunun en üst sonunda güvenlik duvarının trafiği durdurmasına izin verebilir  Hangi saldırının durdurulacağına karar verir  Bu riskleri yönetmek için izin verir 56

Copyright Pearson Prentice-Hall 2010  Possible Actions ◦ Droping packets  Risky for suspicious traffic even with high confidence ◦ Bandwidth limitation for certain types of traffic ◦ Limit to a certain percentage of all traffic  Less risky than dropping packets  Useful when confidence is lower 57

Copyright Pearson Prentice-Hall 2010  Mümkün Eylemler ◦ Paketlerin düşürülmesi  Yüksek güvende bile şüpheli trafik riskli ◦ Belirli Trafik türleri için Bayt sınırlama ◦ belli bir yüzdedeki tüm trafik için Limit  Paketleri düşürmekten daha riskli  Güven az olduğunda kullanışlıdır 58

59

Copyright Pearson Prentice-Hall  Traditional Firewalls Do Not Do Antivirus Filtering  They Pass Files Needing Filtering to an Antivirus Server

Copyright Pearson Prentice-Hall  Geleneksel Firewalllar Antivirus Filtreleme Yapmaz  Dosyaları Antivirüs sunucya filtrelenmek için gönderir

Copyright Pearson Prentice-Hall 2010  Unified Threat Management (UTM) Firewalls Go Beyond Traditional Firewall Filtering ◦ SPI ◦ VPNs ◦ DoS Protection ◦ NAT ◦ Antivirus Filtering 62

Copyright Pearson Prentice-Hall 2010  Birleştirilmiş Tehdit Yönetimi(UTM) güvenlik duvarları geleneksel güvenlik duvarlarının ötesine geçer ◦ SPI ◦ VPNs ◦ DoS Koruması ◦ NAT ◦ Antivirüs Filtreleme 63

64

Copyright Pearson Prentice-Hall 2010  Perspective ◦ Done by most main border firewalls ◦ DOS attacks are easy to detect but difficult to stop  because their traffic looks like legitimate packets 65

Copyright Pearson Prentice-Hall 2010  Perspektif ◦ en temel sınır güvenlik duvarları tarafından yapılır ◦ DOS saldırıları tespit etmek kolay ama durdurmak zor  çünkü onların trafiği doğru (meşru) paketleri gibi görünüyor 66

Copyright Pearson Prentice-Hall 2010  TCP Half-Opening Attacks ◦ Attacks  Attacker sends a TCP SYN segment to a port  The application program sends back a SYN/ACK segment and sets aside resources  The attacker never sends back an ACK  so the victim keeps the resources reserved  The victim soon runs out of resources  and crashes or can no longer serve legitimate traffic 67 SYN SYN/ ACK No ACK SYN

Copyright Pearson Prentice-Hall 2010  TCP Yarım-Açılış Saldırıları ◦ Saldırılar  Saldırgan, bir porta bir TCP SYN gönderir  uygulama programı geri SYN / ACK segmenti gönderir ve kaynakları bir kenara toplar  Saldırgan, hiç bir zaman ACK geri göndermez  kurban kaynakları ayrılmış olarak tutar  kurbanın yakında kaynakları tükenir  ve çöker ya da artık doğru trafik hizmeti veremez 68 SYN SYN/ ACK No ACK SYN

Copyright Pearson Prentice-Hall 2010  TCP Half- Opening Attacks ◦ Defenses  Firewall intercepts the SYN from an external host  Firewall sends back an SYN/ACK without passing the segment on to the target host  Only if the firewall receives a timely ACK, then it send the original SYN the destination host 69 SYN SYN/ ACK No ACK

Copyright Pearson Prentice-Hall 2010  TCP Yarım-Açılış Saldırıları ◦ Savunma  Firewall harici bir bilgisayardan SYN engeller  Güvenlik duvarı hedef üzerine geçmeden geri bir SYN / ACK gönderir  Sadece eğer güvenlik duvarı zamanlı ACK alırsa, o zaman orijinal SYN hedef host’a gönderir 70 SYN SYN/ ACK No ACK

Copyright Pearson Prentice-Hall 2010  Rate Limiting ◦ Set a limit on all traffic to a server  both legitimate and DoS attack packets ◦ Keeps the entire network from being overloaded  DoS Protection Is a Community Problem ◦ If an organization cannot solve the problem itself, its ISP or other upstream agencies must help 71

Copyright Pearson Prentice-Hall 2010  Oranı Sınırlama ◦ Bir sunucuya tüm trafiği üzerinde ayarlama sınırı  hem uygun hemde DoS saldırısı paketleri ◦ Aşırı yüklenmeden korur tüm ağı  DoS Koruma Toplum Sorun mu ◦ Bir organizasyon sorunu kendisi çözemezse, kendi ISP veya diğer upstream kuruluşları yardımcı olmalıdır 72

73

Copyright Pearson Prentice-Hall

Copyright Pearson Prentice-Hall 2010  DMZs Use Tri-Homed Main Firewalls ◦ One subnet to the border router ◦ One subnet to the DMZ ◦ accessible to the outside world ◦ One subnet to the internal network  Access from the internal subnet to the Internet is nonexistent or minimal  Access from the internal subnet to the DMZ is also strongly controlled 75 DMZ Internal Network Internal Network Border Router Border Router

Copyright Pearson Prentice-Hall 2010  DMZs Üç girişli Ana Firewall kullanır ◦ bir alt küme sınır yönlendirici ◦ bir alt küme DMZ ‘ ye ◦ dış dünya ya erişilebilir ◦ bir alt küme iç ağa  İç altağdan internete erişim yoktur veya çok azfır  İç altağdan DMZ ye erişim çok güçlü kontrol edilir 76 DMZ Internal Network Internal Network Border Router Border Router

Copyright Pearson Prentice-Hall 2010  Demilitarized Zone (DMZ) ◦ Subnet for servers and application proxy firewalls accessible via the Internet ◦ Hosts in the DMZ must be especially hardened  because they will be accessible to attackers on the Internet 77

Copyright Pearson Prentice-Hall 2010  Demilitarized Zone (DMZ) ◦ Suncuların alt ağları ve uygulama proxy firewall ları internete erişebilir ◦ DMZ deki makinalar güçlendirilmeldir  çünkü internette saldırganlar tarafında erişilebilirlerdir 78

Copyright Pearson Prentice-Hall 2010  Hosts in the DMZ ◦ Public servers (public webservers, FTP servers, etc.) ◦ Application proxy firewalls require all Internet traffic to pass through the DMZ ◦ External DNS server that knows only host names in the DMZ 79

Copyright Pearson Prentice-Hall 2010  DMZ deki makinalar ◦ Public servers (public webservers, FTP servers, etc.) ◦ Uygulama proxy firewalls DMZ üzerinden geçen bütün trafiğe ihtiyaç duyar ◦ Harici DNS server sadece DMZ deki host ların isimlerini bilir 80

81

Copyright Pearson Prentice-Hall 2010  Firewalls Are Ineffective Without Planning  Defining Firewall Policies ◦ Policies are high-level statements about what to do  E.g., HTTP connections from the Internet may only go to servers in the DMZ ◦ Policies are more comprehensible than actual firewall rules ◦ There may be multiple ways to implement a policy ◦ Defining policies (instead of specific rules) gives implementers freedom to choose the best way to implement a policy 82

Copyright Pearson Prentice-Hall 2010  Güvenlik duvarları Planlama olmadan Etkisiz dir  Güvenlik duvarı Politikaları tanımlama ◦ Politikaları ne yapılacağı hakkında ne üst düzey açıklamalardır  E.g., Örneğin, Internet'ten HTTP bağlantıları yalnızca DMZ sunucularda gidebilir ◦ Politikalar gerçek güvenlik duvarı kurallarından daha anlaşılır ◦ Bir politika uygulamak için birden fazla yol olabilir ◦ Politikaları tanımlamak (özel kurallar yerine) bir politika uygulamak için en iyi yolu seçmek için uygulayıcıya özgürlük verir 83

Copyright Pearson Prentice-Hall 2010  Implementation ◦ Firewall hardening  Firewall appliances are hardened at the manufacturer  Vendors sell software plus a server with a pre- hardened operating system (OS)  Firewall software on a general-purpose computer requires the most on-site hardening 84

Copyright Pearson Prentice-Hall 2010  Uygulama ◦ Güvenlik duvarı güçlendirme  Güvenlik duvarı cihazları üretici de güçlendirilir  Satıcılar bir ön güçlendirme işletim sistemi (OS) ile bir sunucu yazılım satar  Genel amaçlı bir bilgisayarda güvenlik duvarı yazılımı en yerinde güçlendirmleri yapılması gerekir 85

Copyright Pearson Prentice-Hall 2010  Implementation ◦ Central firewall management systems  Creates a policy database  Changes policies into ACL rules  Sends ACL rules out to individual firewalls 86 Policy Server Firewall Administrator Policy ACL Rule

Copyright Pearson Prentice-Hall 2010  Uygulama ◦ Merkezi güvenlik duvarı yönetim sistemleri  Bir politika veritabanı oluşturur  ACL kurallarında politikaları değiştirir  bireysel güvenlik duvarları için ACL kuralları gönderir 87 Policy Server Firewall Administrator Policy ACL Rule

Copyright Pearson Prentice-Hall 2010  Implementation ◦ Reading the firewall logs  Should be done frequently  Strategy is to find unusual traffic patterns  Top ten source IP addresses whose packets were dropped  Number of DNS failures today versus in an average day 88

Copyright Pearson Prentice-Hall 2010  Uygulama ◦ güvenlik duvarı günlükleri okunur  Sık sık yapılmalı  Strateji, alışılmadık trafik modelleri bulmaktır  düşen paketlerin ilk on kaynak IP adresleri  DNS başarısızlıklarının günlük ortalama sayısı 89

Copyright Pearson Prentice-Hall PolicySourceDestinationServiceActionTrackFirewalls 1InternalDNS Servers UDP dnsPassNoneAll 2ExternalInternalTCP httpDropLogAll 3ExternalDMZ webserver TCP httpPassNoneBorder 4InternalExternalTCP httpPassLogBorder 5InternalExternalICMPDropNoneBorder 6InternalMail ServerTCP smtpAuthenticateLog if Fail Central 7MarketingPlans Server TCP httpAuthenticateAlert if Fail Marketing 8AnyPlans Server TCP httpDropLogMarketing 9Any DropLogAll

Copyright Pearson Prentice-Hall IDTimeRuleSource IPDestination IPService 115:34:005Echo Probe ICMP 215:34:007Echo Probe ICMP 315:34:008Forbidden Webserver Access HTTP 415:34:012External Access to Internal FTP Server FTP 515:34:015Echo Probe ICMP 615:34:020External Access to Internal FTP Server FTP 715:34:021Echo Probe ICMP 815:34:023External Access to Internal FTP Server FTP 915:34:040External Access to Internal FTP Server FTP

Copyright Pearson Prentice-Hall IDTimeRuleSource IPDestination IPService 1015:34:047Forbidden Webserver Access HTTP 1115:34:048Echo Probe ICMP 1215:34:057Echo Probe ICMP 1315:34:061External Packet with Private IP Source Address ICMP 1415:34:061External Access to Internal FTP Server FTP 1515:34:062Echo Probe ICMP 1615:34:063Insufficient Capacity DNS 1715:34:064Echo Probe ICMP 1815:34:065Forbidden Webserver Access HTTP

Death of the Perimeter The Need for Anomaly Detection 93

Copyright Pearson Prentice-Hall 2010  Protecting the Perimeter Is No Longer Possible ◦ There are too many ways to get through the perimeter ◦ Internal attackers are inside the firewall already ◦ Compromised internal hosts are inside the firewall ◦ Hackers enter through wireless access points that are inside the site ◦ Home notebooks, mobile phones, and media brought into the site 94

Copyright Pearson Prentice-Hall 2010  Çevre Koruma Artık Mümkün değil ◦ Çevrenin üstesinden gelmek için çok fazla yol vardır ◦ Iç saldırganlar zaten güvenlik duvarı içinde ◦ Tehlikeli host lar güvenlik duvarı içinde ◦ Hackerlar içeriye kablosuz erişim noktaları aracılığıyla girer ◦ Home notebooks, mobile phones, and media brought into the site 95

Copyright Pearson Prentice-Hall 2010  Extending the Perimeter ◦ Remote employees can be given access ◦ Consultants, outsourcers, customers, suppliers, and other subsidiaries must be given access ◦ Essentially, all of these tend to use VPNs to make external parties “internal” to your site 96

Copyright Pearson Prentice-Hall 2010  Çevreyi genişletme ◦ Uzaktan çalışanlara erişim verilebilir ◦ Danışmanlaı, işverenlee, müşteriler, tedarikçilei ve diğer iştiraklere erişim verilmelidir ◦ Esasen, tüm site harici partileri “dahili" yapmak için VPN'ler kullanımına gidilir 97

Copyright Pearson Prentice-Hall 2010  Most Filtering Methods Use Attack Signature Detection ◦ Each attack has a signature ◦ This attack signature is discovered ◦ The attack signature is added to the firewall ◦ But zero-day attacks are attacks without warning, since it occur before a signature is developed ◦ Signature defense cannot stop zero-day attacks 98

Copyright Pearson Prentice-Hall 2010  En fazla Filtreleme Yöntemleri Saldırı İmza Algılama kullanır ◦ Her saldırı bir imzaya sahip ◦ Bu saldırı imzası keşfedilir ◦ Saldırı imzası güvenlik duvarına eklenir ◦ Fakat zero-day saldırıları uyarı içermeyen saldırılardır, çünkü bir imza geliştirmeden önce oluşur ◦ İmza savunmaSI zero-day saldırıalrını durdurmaz 99

Copyright Pearson Prentice-Hall 2010  Anomaly Detection ◦ Detects an unusual pattern indicating a possible attack ◦ This is difficult, so there are many false positives ◦ Shrinking time needed to define signatures ◦ Anomaly detection is necessary in today’s firewalls 100

Copyright Pearson Prentice-Hall 2010  Anomaly Detection ◦ Olası bir saldırıyı gösteren bir model tespit eder ◦ Bu zor, böylece bu kadar çok yanlış oluşur ◦ Daralan zaman imza tanımlamak için gerekli ◦ Sapma tespiti bugünün güvenlik duvarı için gereklidir 101