Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Computer & Network Security

YayınlayanBerna Akalın Değiştirilmiş 6 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Computer & Network Security"— Sunum transkripti:

1 Computer & Network Security
Firewalls Güvenlik Duvarı Dr.Yuksel Celik

2 Firewalls Computer & Network Security Definition Güvenlik duvarı, korunan özel ağa girmeye veya ayrılmaya çalışan trafik paketlerini izleyen ve süzen bir donanım, yazılım veya her ikisinin birleşimidir. Korumasız bir ağ veya bir ağın bir bölümünü ve artık giderek artan bir şekilde kullanıcı PC'sini korumasız bir ağdan - İnternet gibi "kötü ağ" - ayıran bir araçtır. Çoğu durumda, "kötü ağ" şirket ağının bir parçası bile olabilir. Güvenlik duvarlarının çoğu, iki temel güvenlik işlevi gerçekleştirir: • Güvenlik politikasının kurallarına dayanan politikanın kabul edilmesine veya reddine dayanan paket filtreleme • İç kullanıcılara hizmet veren ve aynı zamanda her bir ana makineyi "kötü" dış kullanıcılardan koruyan uygulama proxy geçitlerini düzenler A firewall is a hardware, software, or a combination of both that monitors and filters traffic packets that attempt to either enter or leave the protected private network. It is a tool that separates a protected network or part of a network, and now increasingly a user PC, from an unprotected network – the “bad network” like the Internet. In many cases, the “bad network” may even be part of the company network. Most firewalls perform two basic security functions: • Packet filtering based on accept or deny policy that is itself based on rules of the security policy • Application proxy gateways that provide services to the inside users and at the same time protect each individual host from the “bad” outside users.

3 Firewalls Computer & Network Security Definition

4 Firewalls Computer & Network Security Definition

5 Firewalls Types of Firewalls
Computer & Network Security Types of Firewalls Paket denetimi veya filtreleme yönlendiricisi: Bu güvenlik duvarı, tek tek paketleri iletip yönlendirmeyeceğinizi belirlemek için bir dizi kural kullanır. Paket denetleme yönlendiricisi, birden fazla ağ arabirimine sahip basit bir makine veya çok işlevli karmaşık bir makine olabilir. Uygulama denetimi veya proxy sunucusu: Proxy sunucusu, kimlik doğrulama ve paketleri iletmek için belirli uygulamalar simgelerini temel alır. Kimlik doğrulama ve sanal özel ağlar (VPN). VPN, genel ağda çalışan özel bir ağdaki şifrelenmiş bir bağlantıdır. Küçük ofis veya ev (SOHO) güvenlik duvarı Ağ adresi çevirisi (NAT). Packet inspection or filtering router: This type of firewall uses a set of rules to determine whether to forward or block individual packets. A packet inspection router could be a simple machine with multiple network interfaces or a sophisticated one with multiple functionalities. The application inspection or proxy server: The proxy server is based on specific application daemons to provide authentication and to forward packets. The authentication and virtual private networks (VPN). A VPN is an encrypted link in a private network running on a public network. The small office or home (SOHO) firewall The network address translation (NAT).

6 Firewall services based on network protocol layers
Computer & Network Security Definition Firewall services based on network protocol layers Güvenlik duvarının Ağ katmalarındaki işlevleri

7 Work at the network level of the OSI model
Firewalls Computer & Network Security Packet Filter Work at the network level of the OSI model Each packet is compared to a set of criteria before it is forwarded Packet filtering firewalls is low cost and low impact on network performance OSI modelinin ağ düzeyinde çalışır Her paket, iletilmeden önce bir dizi ölçütle karşılaştırılır Paket filtreleme güvenlik duvarları düşük maliyetlidir ve ağ performansı üzerinde etkisi düşüktür

8 Yalnızca taşıma katmanı bilgilerini kullanır
Firewalls Computer & Network Security Packet Filter Yalnızca taşıma katmanı bilgilerini kullanır IP Kaynak Adresi, Hedef Adres Protokol / Sonraki Başlık (TCP, UDP, ICMP, vb.) TCP veya UDP kaynak ve hedef portları TCP Bayrakları (SYN, ACK, FIN, RST, PSH, vb.) ICMP ileti türü Uses transport-layer information only IP Source Address, Destination Address Protocol/Next Header (TCP, UDP, ICMP, etc) TCP or UDP source & destination ports TCP Flags (SYN, ACK, FIN, RST, PSH, etc) ICMP message type

9 Firewalls Circuit level
Computer & Network Security Circuit level Circuit level gateways work at the session layer of the OSI model, or the TCP layer of TCP/IP Monitor TCP handshaking between packets to determine whether a requested session is legitimate. Devre seviyesi ağ geçitleri, OSI modelinin oturum katmanında veya TCP / IP'nin TCP katmanı üzerinde çalışır İstenen bir oturumun meşru olup olmadığını belirlemek için paketler arasındaki TCP el sıkışmasını izler.

10 Firewalls Computer & Network Security Circuit level

11 Firewalls Application Level
Computer & Network Security Application Level Application level gateways, also called proxies, are similar to circuit-level gateways except that they are application specific Gateway that is configured to be a web proxy will not allow any ftp, gopher, telnet or other traffic through Proxy olarak da adlandırılan uygulama seviyesi ağ geçitleri, devre seviyesindeki ağ geçitlerine benzer, ancak uygulama özelliklerine sahiplerdir. Bir web proxy olacak şekilde yapılandırılmış ağ geçidi, herhangi bir ftp, gopher, telnet veya diğer trafiğe izin vermez

12 App-level Firewall Architecture
Firewalls Computer & Network Security App-level Firewall Architecture Network Connection Telnet daemon SMTP daemon FTP daemon Telnet proxy FTP proxy SMTP proxy

13 Stateful (Duruma dayalı) Multilayer
Firewalls Computer & Network Security Stateful (Duruma dayalı) Multilayer Stateful multilayer inspection firewalls combine the aspects of the other three types of firewalls They filter packets at the network layer, determine whether session packets are legitimate and evaluate contents of packets at the application layer Duruma dayalı çok katmanlı güvenlik duvarları, diğer üç güvenlik duvarının özelliklerini birleştirir. Paketleri ağ katmanında filtrelerler, oturum paketlerinin meşru olup olmadığını belirler ve paketlerin içeriğini uygulama katmanında değerlendirirler

14 Stateful (Duruma dayalı) Multilayer
Firewalls Computer & Network Security Stateful (Duruma dayalı) Multilayer Duruma dayalı filtreleme aşamaları

15 Firewalls Computer & Network Security General Performance

16 Pass in on $external from any proto tcp to 134.71.1.25 port = 80
Firewalls Computer & Network Security Sample rules Pass in on $external from any proto tcp to port = 80 Pass in on $external from any proto tcp to port = 53 Pass in on $external from any proto udp to port = 53 Pass in on $external from any proto tcp to port = 25 Block in log on $external from any to Block in on $external from any to /24 Pass in on $external from any proto tcp to port = 22 Pass out on $internal from /24 to any keep state

17 Firewalls Sample log file
Computer & Network Security Sample log file Jul 31 11:50:27 kd2 ipmon[14110]: 11:50: b ,2260 -> ,80 PR tcp len S IN Jul 31 11:50:30 kd2 ipmon[14110]: 11:50: b ,2243 -> ,80 PR tcp len S IN Jul 31 11:50:30 kd2 ipmon[14110]: 11:50: b ,2260 -> ,80 PR tcp len S IN Jul 31 11:52:48 kd2 ipmon[14110]: 11:52: b ,1610 -> ,113 PR tcp len S IN Jul 31 11:52:51 kd2 ipmon[14110]: 11:52: b ,1610 -> ,113 PR tcp len S IN Jul 31 11:52:54 kd2 ipmon[14110]: 11:52: b ,1610 -> ,113 PR tcp len S IN Jul 31 11:52:56 kd2 ipmon[14110]: 11:52: b ,6346 -> ,3343 PR tcp len A IN Jul 31 11:52:57 kd2 ipmon[14110]: 11:52: b ,1610 -> ,113 PR tcp len S IN Jul 31 11:53:00 kd2 ipmon[14110]: 11:52: b ,1610 -> ,113 PR tcp len S IN Jul 31 12:00:24 kd2 ipmon[14110]: 12:00: b , > ,10336 PR tcp len S IN Jul 31 12:00:26 kd2 ipmon[14110]: 12:00: b , > ,10336 PR tcp len S IN Jul 31 12:00:28 kd2 ipmon[14110]: 12:00: b , > ,10336 PR tcp len S IN Jul 31 12:00:34 kd2 ipmon[14110]: 12:00: b , > ,10336 PR tcp len S IN Jul 31 12:00:46 kd2 ipmon[14110]: 12:00: b , > ,10336 PR tcp len S IN

18 Firewall set up to protect your LAN
Computer & Network Security Firewalls and DMZs A standard way to configure multiple firewalls for a single organization Used when organization runs machines with different openness needs Basically, use firewalls to divide your network into segments Your production LAN Your web server The Internet Firewall set up to protect your LAN Firewall set up to protect your web server DMZ Tek bir kuruluş için birden çok güvenlik duvarı yapılandırmanın standart bir yolu Kuruluş, farklı açıklık gereksinimlerine sahip makineleri çalıştığında kullanılır Temel olarak, ağınızı bölümlere ayırmak için güvenlik duvarlarını kullanın

19 Advantages of DMZ Approach
Firewalls Computer & Network Security Advantages of DMZ Approach Farklı amaçlar için güvenlik duvarlarını özelleştirebilir Farklı ağ alanlarında trafik analizini özelleştirebilir Doğal olarak daha az güvenli trafiğin kritik kaynaklardan uzak tutulmasını sağlar Can customize firewalls for different purposes Can customize traffic analysis in different areas of network Keeps inherently less safe traffic away from critical resources Dangers of a DMZ Things in the DMZ aren’t well protected If they’re compromised, provide a foothold into your network One problem in DMZ might compromise all machines there Vital that main network doesn’t treat machines in DMZ as trusted Must avoid back doors from DMZ to network DMZ'deki şeyler iyi korunmuyorsa Eğer tehlikeye atılırlarsa, ağınıza bir dayanak oluşturun. DMZ'deki bir sorun orada bütün makinelere zarar verebilir Ana şebeke, DMZ'deki makinelere güvenilir olarak davranmamalı DMZ'den ağa arka kapılardan kaçınmalısınız

20 Firewall Services : Firewalls Firewall Services and Limitations
Computer & Network Security Firewall Services and Limitations Firewall Services : Service control – where the firewall may filter traffic on the basis of IP addresses, TCP, UDP, port numbers, and DNS and FTP protocols in addition to providing proxy software that receives and interprets each service request before passing it on. Direction control – where permission for traffic flow is determined from the direction of the requests. User control – where access is granted based on which user is attempting to access the internal protected network, which may also be used on incoming traffic. Behavior control – in which access is granted based on how particular services are used, for example, filtering to eliminate spam. Servis kontrolü - güvenlik duvarı IP adresleri, TCP, UDP, port numaraları ve DNS ve FTP protokolleri temelinde trafiğe filtre uygulayabilir ve ayrıca her hizmet talebini alana geçmeden önce gelen ve gönderen proxy yazılımlar sağlayabilir. Yön kontrolü - trafik akışı için izinlerin istekler yönünden belirlendiği yer. Kullanıcı kontrolü - hangi kullanıcı tarafından dahili olarak korunan ağa erişmeye çalışıldığına göre erişim sağlanır ve bu da gelen trafikte de kullanılabilir. Davranış denetimi - belirli hizmetlerin nasıl kullanıldığına bağlı olarak erişim izni verilen, örneğin e-postayı e-postaları spam ortadan kaldırmak için filtrelemek gibi.

21 Firewall Services and Limitations Limitations of Firewalls:
Computer & Network Security Firewall Services and Limitations Limitations of Firewalls: Firewalls cannot protect against a threat that bypasses it, such as a dial-in using a mobile host. Firewalls do not provide data integrity because it is not possible, especially in large networks, to have the firewall examine each and every incoming and outgoing data packet for anything. Firewalls cannot ensure data confidentiality because, even though newer firewalls include encryption tools, it is not easy to use these tools. It can only work if the receiver of the packet also has the same firewall. Firewalls do not protect against internal threats. Firewalls cannot protect against transfer of virus-infected programs or files. Güvenlik duvarları, atlayan bir tehdide karşı koruma sağlamaz, örn. Bir mobil ana bilgisayar kullanan bir çevirmeli bağlantı. Güvenlik duvarları veri bütünlüğü sağlamaz, çünkü özellikle büyük ağlarda güvenlik duvarının her gelen ve giden veri paketini her şey için incelemesi mümkün değildir. Güvenlik duvarları veri gizliliğini sağlayamaz çünkü yeni güvenlik duvarları şifreleme araçları içerse de bu araçları kullanmak kolay değildir. Paketin alıcısı aynı güvenlik duvarına sahipse çalışır. Güvenlik duvarları dahili tehditlere karşı koruma sağlamaz. Güvenlik duvarları, virüs bulaşmış programların veya dosyaların aktarılmasına karşı koruma sağlayamaz.

22 Firewalls Computer & Network Security Thanks

23 Firewalls References:
Computer & Network Security References: Kizza, Joseph Migga, Guide to Computer Network Security, Springer,2014 Hareesh Pattipati, Firewalls Presentation Peter Reiher, Network Security, Continued ,Computer Security , October 30, 2012

"Computer & Network Security" indir ppt

Benzer bir sunumlar

Bilgisayar Ağları Son Hafta

Bilgisayar Ağları Son Hafta
Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği

Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği
OSI Referans Modeli Açık Sistem Bağlantıları (Open Systems Interconnection - OSI ) Bilgisayarlar arası iletişimin başladığı günden itibaren farklı bilgisayar.

OSI Referans Modeli Açık Sistem Bağlantıları (Open Systems Interconnection - OSI ) Bilgisayarlar arası iletişimin başladığı günden itibaren farklı bilgisayar.
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.

IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
TCP (Transmission Control Protocol)

TCP (Transmission Control Protocol)
TCP/IP Protokolü.

TCP/IP Protokolü.
VEKİL SUNUCULAR VE GÜVENLİK DUVARLARI

VEKİL SUNUCULAR VE GÜVENLİK DUVARLARI
Spam Protection with OpenBSD and PF (spamd)‏ Gökhan ALKAN 19-10-2007.

Spam Protection with OpenBSD and PF (spamd)‏ Gökhan ALKAN
Proxy-DNS Nedir?.

Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.

AĞ PROTOKOLÜ.
2- OSI BAŞVURU MODELİ & TCP/IP MODELİ

2- OSI BAŞVURU MODELİ & TCP/IP MODELİ
Open Systems Interconnection

Open Systems Interconnection
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ

(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
İNTERNET VE AĞ GÜVENLİĞİ

İNTERNET VE AĞ GÜVENLİĞİ
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları

Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
Logical Design Farid Rajabli.

Logical Design Farid Rajabli.
Öğr. Gör. Dr. Şirin Karadeniz

Öğr. Gör. Dr. Şirin Karadeniz
3. Bölüm Taşıma Katmanı Computer Networking: A Top Down Approach 4th edition. Jim Kurose, Keith Ross Addison-Wesley, July 2007. Transport Layer.

3. Bölüm Taşıma Katmanı Computer Networking: A Top Down Approach 4th edition. Jim Kurose, Keith Ross Addison-Wesley, July Transport Layer.
SAMED ÖZCAN T-12/D 2446 samet1134@hotmail.com.

SAMED ÖZCAN T-12/D 2446
Taşıma Katmanı Öğr. Gör. Mustafa SARIÖZ

Taşıma Katmanı Öğr. Gör. Mustafa SARIÖZ

Benzer bir sunumlar

Google Reklamları