Firewall Nedir ? ( Güvenlik Duvarı )
Firewall Nedir ? Bu makalemizde bu konular üzerinde duracağız. Öncelikle Firewall (Güvenlik Duvarı ) tanımı ile başlayalım.
Güvenlik duvarı, bir ağa veya bilgisayara gelen veya giden veriler için filtre görevi gören bir yazılımsal veya donanımsal aygıtlardır. Güvenlik duvarlarını bir siteye kimin girip kimin çıktığı bilgisini tutan bir güvenlik görevlisi olarak da düşünebiliriz. Güvenlik duvarları ağ bağlantı noktalarını engelleyerek veya kısıtlayarak çalışmaktadır. Güvenlik duvarları hem şirket hemde ev ağlarına yetkisiz erişimleri engellemek için kullanılabilir.
Güvenlik duvarı, güvenilmeyen bir bölge ve güvenilir bölge arasındaki trafik akışlarına ağ erişimi veren yada reddeden bir ağ güvenlik aygıtıdır. Tüm iletişimin firewall üzerinden akması ve trafiğin geçmesine izin verildiği veya reddedildiği yer olduğu için, ağdaki sınır noktası veya trafik polisi olarak da hareket etmektedir.
Erişim kontrollerini, yanlızca gğvenlik politikasında tanımlanan trafiğe ağa izin verildiğini ifade eden pozitif bir kontrol modeli aracılığıyla uygularlar, diğer tüm trafikler reddedilir. Bu özellik varsayılan olarak reddet(default deny) olarak da bilinir.
Erişim Kontrol Listeleri
İlk başlarda, güvenlik duvarı işlemleri genellikle yönlendirici(router) cihazlarında Erişim Denetim Listeleri(ACL) tarafından gerçekleştirildi. ACL’ler, ağ erişiminin belirli IP adreslerine verilmesinin veya reddedilmesinin gerekip gerekmediğini belirleyen kurallardır. Örnek verecek olursak bir ACL 10.1.1.0/24 ağından gelen tüm trafiği engelleyebilir veya sadece belirli portundan erişim izni verebilir. ACL^ler ölçeklenebilir ve yüksek performans nedeniyle avantajlıdır, ancak trafik hakkında yanlızca temel bilgiler sağlayan geçmiş paket başlıklarını okuyamaz. Bu nedenle, ACL paket filtrelemesinin tek başına tehditleri ağımızdan uzak tutma kapasitesi yoktur.
Proxy Güvenlik Duvarları
Proxy güvenlik duvarları aracı olarak hareket etmektedir, ağ içindeki trafiğin gerçek alıcısını taklit ederek ağa gelen tüm istekleri kabul ederler. Bir denetlemeden sonra, erişim izni vermeye karar verir ise, proxy bilgileri hedef bilgisayara gönderir. Hedef bilgisayarın yanıtı, proxy sunucusunun kaynak adresiyle bilgileri yeniden paketleyen proxy’ye gönderilir.Bu süreç boyunca, vekil iki bilgisayar arasındaki bağlantıyı koparır(veya sonlandırır), böylece ağdaki dış dünya ile konuşan tek makine olur.
Proxy güvenlik duvarları, içeri tamamen denetleyebilir ve daha spesifik, ayrıntılı bilgiler temelinde erişim kararları verebilir. Bu güvenlik duvarı herkesin ilgisini çekebilir fakat her uygulama düzeyinde kendi proxy’si gerekir. Bu ağlarda ayrıca, bozulmuş trafik performansı ve uygulama desteği ve genel işlevsellikteki birçok sınırlama bulunmaktadır. Bu sonuçta, başarılı uygulamayı çekmey zorlaştıran ölçeklenebilirlik sorunlarına yol açar. Bu nedenle, vekiller yaygın olarak kabul edilmemiştir.
Durumsal Denetim Güvenlik Duvarları (Stateful Inspection Firewalls)
Durumsal denetim veya durumsal filtreleme, üçüncü nesil güvenlik duvarları olarak kabul edilir. Durumsal filtreleme iki şey yapar:
- Hedef bağlantı noktasına bakarak trafiği sınıflandırır. ( Örnek : TCP /80 = http)
- Bu bağlantı kapatılıncaya kadar her bir bağlantının her bir etkileşimini izleyerek trafiğin durumunu izler
Bu özellikler sadece bağlantı noktası ve protokolü değil, aynı zamanda paketin durum tablosundaki geçmişini de temel alarak erişimi reddetme veya reddetme yeteneğine sahip olduğundan, daha fazla işlevsellik sağlar. Bir paket alındığında, bir bağlantının önceden kurulmuş olup olmadığına veya gelen paket için bir iç host tarafından bir talepte bulunulduğunu saptamak için durum tablosunu kontrol ederler.Hiçbiri bulunmaz ise, paketin erişim güvenlik politikasının kararına tabidir.
Durumsal filtreleme, kullanıcılar için ölçeklenebilir ve saydam olsa da, ekstra koruma katmanı ağ güvenliği altyapısına karmaşıklık katar ve durum bilgisi olan güvenlik duvarları ses protokollerinde zorluklar ile karşılaşırlar.
Birleşik Tehdit Yönetimi (Unified Threat Management)
Birleşik Tehdit Yönetimi (UTM) çözümleri başlangıçta, durumsal denetim güvenlik duvarlarının, antivirüs ve IPS’nin tek bir cihazda birleştirilmesi olarak tanımlandı. Zamanla, UTM tanımı diğer birçok ağ güvenliği işlevini içerecek şekilde genişletilmiştir.
UTM’lerin başarısının, tüm bileşen işlevlerinden önce gelen durumsal denetime dayalı güvenlik duvarı kararının etkinliğine bağlı olduğunu belirtmek önemlidir. Bunun nedeni, UTM bileşenlerinin tek bir cihazda etkin bir şekilde aşağı yönlü güvenlik hizmetleri olmasıdır. Böylece, ağ içindeki tüm güvenlik bileşenlerinin iş yükü, erişim kontrolünün gücü ile belirlenir. UTM’ler bir üründe bir dizi güvenlik işlevi sağlasa da, temel erişim kontrol teknolojisi değişmeden kalır.
Yeni Nesil Güvenlik Duvarları ( Next-Generation Firewalls)
Yeni nesil güvenlik duvarları (NGFW’ler), uygulamaların ve kötü amaçlı yazılımların gelişen karmaşıklığına yanıt olarak oluşturuldu. Uygulama ve kötü amaçlı yazılım geliştiricileri, bağlantı noktası kaçakçılığı tekniklerini programlara yerleştirerek, uzun zamandır portun temel aldığı trafik sınıflandırmasına büyük ölçüde maruz kalmıştır. günümüzde, kötü amaçlı yazılımlar, bu uygulamaların ağlara girmesini ve giderek daha fazla kendilerini ağa bağlanmasını sağlamaktadır.
NGFW’ler ağ güvenliği politikası uygulaması ve ağ trafiği denetimi için bir platform görevi görmektedir. Özellikleri aşağıdaki şekildedir:
- Birinci nesil güvenlik duvarının standart özellikleri: paket filtreleme, durum bilgisi protokol denetimi, ağ çeviricisi (NAT), VPN bağlantısı vb.
- Gerçekten entegre saldırı önleme: Bu, hem savunmasızlık hemde tehdit içeren imzalar için destek içerir ve IPS etkinliğine dayalı kurallar önerir. NGFW ile işbirliği yapan bu iki fonksiyonun toplamı, ayrı parçalardan daha büyüktür.
- Tam yığın görünürlüğü ve uygulama kimliği: Uygulama katmanındaki ilkeyi, bağlantı noktasından ve protokolden bapımsız olarak uygulama becerisi.
- Extra Zeka: Dış kaynaklardan bilgi alma ve iyileştirilmiş kararlar verme yeteneği. Örnekler; kara listelerin veya beyaz listelerin oluşturulmasunı ve etkin dizini kullanan kullanıcılara ve gruplara trafiği haritalayabilmeyi içerir.
- Modern tehdit ortamına adapte edilebilirlik: yeni bilgi akışlarının entegrasyonu için yükseltme yollarını ve gelecekteki tehditleri ele almak için yeni teknikleri destekler
- Minumum performans düşüşü veya ağ operasyonarında kesinti sağlayabilirler.