Ana içeriğe atla

Güncel Güvenlik Duvarları


Güvenlik Duvarı, yazılımsal ya da donanımsal olarak, belirlenen kurallar çerçevesinde ağ üzerinde gelen ve giden tüm trafiği kontrol eden bir teknolojidir. Bu teknoloji 1980’li yılların sonunda internetin bilgisayarlar arası iletişim için kullanılması ile ortaya çıkmıştır ve ilerleyen yıllar içinde Paket Filtre Güvenlik Duvarları, Devre Seviyesi Güvenlik Duvarları ve Uygulama Seviyesi Güvenlik Duvarları olacak şekilde 3 nesil oluşmuştur.


İlk Nesil Güvenlik Duvarları (Paket Filtre Güvenlik Duvarları)

Güvenlik Duvarları teknolojisi üzerine yazılmış bilinen ilk yazı 1988’de DEC’ten Jeff Mogul’un paket filtre güvenlik duvarı denen filtreyi geliştirmesiyle yayınlanmıştır. Oldukça basit olan bu sistem çok gelişecek ve oldukça karmaşıklaşacak internet güvenlik sistemleri ilk nesil örneğiydi. AT&T’den Bill Cheswick ve Steve Bellovin de bu ilk neslin mimarisi üzerine kendi kurumlarında kullanmak için çalışan bir filtre hazırladılar. 

Günümüzde bu mimari eskimiş olmasına rağmen halen bazı sistemlerde kullanılmaktadır. Bu güvenlik duvarları trafikte akan verinin başlık (header) kısmına bakar ve bu kısımdaki bilgileri okuyarak analiz eder (kaynak adresi, hedef adresi, paketin erişmek istediği port, kullanacağı protokol gibi) ve analiz sonucuna göre önceden tanımlanmış yetkilere göre paketin geçisine izin verir ya da paketi engeller. Bu mimarinin en büyük eksisi paketi ilk gönderen sistemin yani paketin oturumunu açan sistemin bazen tespit edilemiyor olmasıdır. Bu tür güvenlik duvarları ağ katmanında (network layer) çalışırlar.

İkinci Nesil Güvenlik Duvarları (Devre Seviyesi Güvenlik Duvarları)

1980–1990 yılları arasında AT&T’nin Bell laboratuarlarında Dave Presetto ve Howard Trickey devre seviyesi güvenlik duvarı olarak bilinen ikinci nesil güvenlik duvarlarını geliştirdiler. 

Devre seviyesi güvenlik duvarları bağlantı kurulduğu anda paketleri ufak bir denetimle taşıdıkları için bir hayli yüksek performans gösterirler. Bu tip güvenlik duvarlarında kaynak ile hedef arasında direk bir bağlantı kurulmaz. NAT (Network Address Translation) denen ağ adresinin farklı bir adrese dönüştürüldüğü tekniği kullanırlar. Ağ geçidi sistemin yerel ağdaki IP adresini dışarıya bağlı kaynaklardan gizler. Bu teknik, devre seviyesi güvenlik duvarların oldukça esnek olmasını sağlar. Bu sistemin de dezavantajları vardır. Örneğin, bu tip güvenlik duvarları kaynak ile hedef arasındaki paketleri analiz edemezler.

Üçüncü Nesil Güvenlik Duvarları (Uygulama Seviyesi Güvenlik Duvarları)

Üçüncü nesil güvenlik duvarı olarak bilinen uygulama seviyesi güvenlik duvarları ilk olarak Purdue Üniversitesi’nden Gene Spafford, AT&T’den Bill Cheswick ve Marcus Ranum’un yayınlarıyla tanımlanmıştır. Bu güvenlik duvarları uygulama seviyesi güvenlik duvarları veya proxy tabanlı güvenlik duvarları olarak da bilinir. Marcus Ranum’un bu teknoloji üzerindeki çalışmaları ilk ticari ürünün ortaya çıkmasına öncülük etmiştir. Bu ürün DEC tarafından “SEAL Product” (Tıkama Ürünü) olarak piyasaya sürülmüştür. DEC firmasının ilk büyük satışı 13 Haziran 1991 yılında Amerika’nın doğu sahillerinde bulunan bir kimya firmasına olmuştur. 

Proxy destekli güvenlik duvarlarının özelliği oturumu kendisinin başlatmasıdır. Yani kaynak sistem oturum açmak istediğinde bu isteğini güvenlik duvarına gönderir. Güvenlik duvarıda isteği kaynağa iletir. Oturum açıldıktan sonra da işleyiş aynen devam eder. Proxy destekli güvenlik duvarları hedef ile kaynak arasında izolasyon görevi görür. Bu güvenlik duvarlarının paket içeriğini kontrol edebilmeleri en büyük artılarıdır. Bu tür güvenlik duvarları dinamik paket filtre güvenlik duvarları gibi oturumu takip etmezler. Çünkü oturumu zaten kendileri başlatırlar. Hedef ile kaynak arasına girdiği için ve paketleri kendisi ilettiği için özellikle veri trafiğinin yoğun olduğu alanlarda ciddi performans kayıpları olmaktadır.

Sonraki Nesil Güvenlik Duvarları 

1992 yılında Bob Braden ve Güney Kaliforniya Üniversitesi’nden Annette DeSchon kendi dördüncü nesil paket filtrelerini geliştirdiler. Bu, renkli ve görsel bir arayüzün entegre edildiği ilk sistem olup “Visas” olarak bilinir. 1994 yılında bir İsrail firması olan CPST (Check Point Software Technologies) Visas’ı işe yarar bir yazılım haline getirdi ve bu yazılıma “Firewall–1” adını verdi.

Proxy güvenlik duvarları ikinci nesli “Kernel Proxy” teknolojisi üzerine tasarlanmıştı ve bu tasarım sürekli evrim geçirmekteydi. Fakat kodları ve ana özellikleri hem ticari sürümlerde hem de ev kullanıcısı için olan sürümlerde geniş ölçekli olarak kullanılmıştır. İnternet güvenlik devlerinden olan Cisco ‘PIX’ isimli ürününü 1997 yılında piyasaya çıkarmıştır.

Güncel Güvenlik Duvarları, Uzaktan Erişim, Arka Kapı Uygulamaları, Servis Reddi Atakları, E-Posta Protokolü Oturum Çalınması, İşletim Sistemi Hataları, E-Posta Bombaları, Makrolar, Bilgisayar Virüsleri, Zararlı E-Postalar ve Kaynak Saptırma gibi tehditlere karşı koruma sağlayabilmektedir. Bunları aşağıda belirtilen fonksiyonları kullanarak sağlamaktadırlar; 
  •  Uygulama Farkındalığı 
  •  Durumsal İnceleme 
  •  Entegre Saldırı Tespit Sistemi (IDS) 
  •  Entegre Saldırı Koruma Sistemi (IPS) 
  •  Kimlik Farkındalığı 
  •  Virüs ve Zararlı İçerik Kontrolü 
  •  URL Kategori ve İçerik Filtreleme 
  •  Bant Genişliği Yönetim

Uygulama Farkındalığı

Geleneksel bir güvenlik duvarı ile bir yeni nesil güvenlik duvarı arasındaki en büyük fark, bu yeni cihazların uygulamaların farkında olmasıdır. Geleneksel güvenlik duvarları, çalışan uygulamaları ve izlenecek saldırı türlerini belirlemek için genelde kullanılan portları izler. Yeni nesil güvenlik duvarları, belirli bir uygulamanın belirli bir portta çalıştığı kabul edilmez, 2 ile 7 arasındaki ağ katmanlarından gelen trafiği izler ve ne tür trafik gönderilip alındığına göre trafiğe müdahale eder.

Durumsal İnceleme

Durum denetimi için paketler ağ katmanında (network layer), yüksek performans açısından statik paket filtre güvenlik duvarlarında olduğu gibi filtrelenir. Daha sonra verinin geldiği bütün katmanlara erişilir ve bu katmanlar yüksek güvenliği sağlamak için denetlenir. Yani aslında veri kaynaktan hedefe kadar takip edilir. Güvenlik duvarları sadece paketin başlığını incelemekle kalmaz aynı zamanda paketin içeriğini de kontrol ederek paket hakkında daha fazla bilgi elde eder. Ek güvenlik önlemi olarak bu güvenlik duvarları bütün portları kapalı tutar (port taramalarına karşı) sadece port için bir istek geldiği zaman eğer isteğe yetki verirse portu açar. 

En büyük dezavantajlarından biri FTP protokolünün Proxy özelliği desteklememesidir. Bu açığının kötüye kullanım oranı da oldukça yüksektir. Stateful Inspection terimi ilk defa Check Point Software firmasının ürününün “Firewall–1” isimli ürününde kullanılmıştır. 

Yeni Nesil Güvenlik Duvarları bundan çokta farklı bir şey yapmasada belirtilen süreçleri 2. ve 4. katmanlar arasında yapmak yerine, 2. ve 7. katmanlar arasında yaptadır. Bu durum sistem yöneticilerine çok daha detaylı güvenlik politikaları tanımlamasını sağlamaktadır.

Entegre Saldırı ve Tespit Koruma Sistemi

Saldırı Koruma Sistemi (IPS), tehdit imzaları, bilinen istismar saldırıları, anormal etkinlik ve trafik davranış analizi gibi çeşitli tekniklere dayanan saldırıları tespit etmekten sorumludur. 

Geleneksel bir güvenlik duvarının kullanıldığı bir ağda, ayrıca bir Saldırı Tespit Sistemi (IDS) veya IPS'in de kullanıldığını görmek yaygındır. Yeni Nesil Güvenlik Duvarlarında IPS veya IDS tamamen entegre edilmelidir.

Kimlik Farkındalığı

Geleneksel bir güvenlik duvarı ile yeni nesil bir güvenlik duvarı arasındaki bir başka büyük fark, yeni nesil güvenlik duvarlarının mevcut kurumsal kimlik doğrulama sistemlerini (Active Directory, LDAP vb.) kullanarak, yerel trafik aygıtının ve kullanıcının kimliğini izleme yeteneğine sahip olmasıdır. Bu şekilde, sistem yöneticisi sadece ağa girmesine ve çıkmasına izin verilen trafik türlerini değil, aynı zamanda belirli bir kullanıcının gönderilmesine ve almasına izin verilen trafiği de kontrol edebilmektedir.

Makine Öğrenmesi

Makine öğrenmesi, güvenlik duvarlarının geliştirilmesinde de kullanılmaya başlanan bir araç haline gelmiştir. Makine öğrenme algoritmaları kendilerini belirli eğilimler temelinde ayarlar. Ağın kendi tarihsel güvenlik verilerine, eğer bu tür kendi kendine öğrenen algoritmalar tarafından erişilirse, tehditleri hafiflemekle birlikte hızlı ve olumlu kararlar alınmasına yardımcı olunur. 

Makine öğrenmesi algoritmaların saldırı modelini belirlemelerini ve tüm tarihsel saldırılar arasında bir ilişki kurmalarını sağlayacaktır. Siber güvenlik çözümleri makine öğrenimi ile bütünleşecek ve zaman içindeki ağ değişikliklerini tespit edecektir, sonunda davranışlarını güncelleyecektir. Bu algoritmalar tehditleri daha önceki verilere dayanarak öngörürler, bu nedenle yanlış pozitif sonuçları da azaltırlar.

Enveri Kaan Alpsü

Kaynaklar


Yorumlar

Bu blogdaki popüler yayınlar

UML ve Modelleme – Bölüm 3 (Use Case Diyagramlar)

Önceki iki makalemizde (1, 2) UML’e genel olarak değinip ve modellemede kullanacağımız dokuz diyagram hakkında bilgiler vermiştik. Bu makalemizde Use Case diyagramından detaylı bahsedeceğiz. Öncelikle, genel Use case diyagramının tanımını hatırlayalım. “Bir kullanıcı ve bir sistem arasındaki etkileşimi anlatan senaryo topluluğudur.” Ivar Jacobson Senaryo tanımı için der ki:
“Aktörle sistem arasında gerçekleştirilen, sonucunda aktöre farkedilir getirisi/ faydası oluşan etkileşimli diyalogdur. ” UML Use Case Diyagramları  sistemin işlevselliğini açıklamak amacıyla kullanılır. Sistemin birbirinden ayrı özelliklerinin detaylarını göstermekten ziyade, Use Case Diyagramlar, tüm mevcut işlevselliği göstermek için kullanılabilir. Buradaki en önemli noktalardan biri,   Use Case Diyagramlar temelde sequence diyagram ve akış diyagramlarından farklıdır. Use Case diyagramlar dört ana elemandan oluşmaktadır. Aktörler, Sistem (Proje kapsamını belirtir), Use Caseler ve bunlar arasındaki ilişkiler. Şekil…

UML ve Modelleme – Bölüm 4 (Class (Sınıf) Diyagramları)

Bir önceki makalemizde UML modellemede kullanılan ilk diyagram olan Use Case diyagramını incelemiştik. Bu makalemizde nesne tabanlı programlamada kullanılan sınıflar ve sınıfların arasındaki ilişkileri modelleyebileceğimiz diyagramlar olan Class(Sınıf) diyagramlarını inceleyeceğiz. UML’de sınıflar, nesne tabanlı programlama mantığı ile tasarlanmıştır. Sınıf diyagramının amacı bir model içerisinde sınıfların tasvir edilmesidir. Nesne tabanlı uygulamada, sınıfların kendi özellikleri (üye değişkenler), işlevleri (üye fonksiyonlar) ve diğer sınıflarla ilişkileri bulunmaktadır. UML’de sınıf diyagramlarının genel gösterimi aşağıdaki gibidir. Şekil 1. Class Diyagram Şekil1’de görüldüğü üzere bir dikdörtgeni 3 parçaya bölüyoruz. En üst bölüm sınıf adını, orta kısım özellik listesini (üye değişkenler) ve en son kısım, işlev listesini (üye fonksiyonlar) göstermektedir. Çoğu diyagramlarda alt iki bölüm çıkarılır. Genelde tüm özellik ve işlevler gösterilmemektedir. Amaç, diyagramın sadece belirli k…

Cluster ve clustering nedir? Cluster oluşturmanın faydaları nelerdir? (Bölüm I)

Cluster, basit anlamda benzer bir amaç için belirli bir konfigürasyon yapılarak aynı görevi birlikte ya da yedekli çalışmasını sağlayan servistir. Cluster farklı amaçlarla oluşturulabilir fakat son kullanıcı tarafından her zaman tek bir bilgisayar gibi gözükecektir. Bir cluster oluşturmak için en azından iki adet sunucuya ihtiyaç vardır ve bir cluster içindeki her bir sunucu “node” olarak adlandırılır. İhtiyaç olan hizmete göre çeşitli sayıda nodelar bir araya gelerek clusterları oluşturmaktadır. Bir cluster oluşturmak için gerekli sebepler daha fazla performans ihtiyacı, yüksek erişilebilirlik (high availability) ya da her ikisi birlikte olabilir. Şimdi cluster çeşitlerini çok fazla ayrıntıya girmeden biraz daha yakından inceleyelim. Yüksek erişilebilirlik (High-availability) clusterlarıBu tip cluster yapısında öncelik erişilebilirliği arttırmadır. Bunu tek bir sunucunun görevini herhangi bir donanım yada yazılım problemi oluştuğunda diğer bir sunucunun otomatik olarak devralması olara…