Güvenlik Duvarı, yazılımsal ya da donanımsal olarak, belirlenen kurallar çerçevesinde ağ üzerinde gelen ve giden tüm trafiği kontrol eden bir teknolojidir. Bu teknoloji 1980’li yılların sonunda internetin bilgisayarlar arası iletişim için kullanılması ile ortaya çıkmıştır ve ilerleyen yıllar içinde Paket Filtre Güvenlik Duvarları, Devre Seviyesi Güvenlik Duvarları ve Uygulama Seviyesi Güvenlik Duvarları olacak şekilde 3 nesil oluşmuştur.
İlk Nesil Güvenlik Duvarları (Paket Filtre Güvenlik Duvarları)
Güvenlik Duvarları teknolojisi üzerine yazılmış bilinen ilk yazı 1988’de DEC’ten Jeff Mogul’un paket filtre güvenlik duvarı denen filtreyi geliştirmesiyle yayınlanmıştır. Oldukça basit olan bu sistem çok gelişecek ve oldukça karmaşıklaşacak internet güvenlik sistemleri ilk nesil örneğiydi. AT&T’den Bill Cheswick ve Steve Bellovin de bu ilk neslin mimarisi üzerine kendi kurumlarında kullanmak için çalışan bir filtre hazırladılar.
Günümüzde bu mimari eskimiş olmasına rağmen halen bazı sistemlerde kullanılmaktadır. Bu güvenlik duvarları trafikte akan verinin başlık (header) kısmına bakar ve bu kısımdaki bilgileri okuyarak analiz eder (kaynak adresi, hedef adresi, paketin erişmek istediği port, kullanacağı protokol gibi) ve analiz sonucuna göre önceden tanımlanmış yetkilere göre paketin geçisine izin verir ya da paketi engeller. Bu mimarinin en büyük eksisi paketi ilk gönderen sistemin yani paketin oturumunu açan sistemin bazen tespit edilemiyor olmasıdır. Bu tür güvenlik duvarları ağ katmanında (network layer) çalışırlar.
İkinci Nesil Güvenlik Duvarları (Devre Seviyesi Güvenlik Duvarları)
1980–1990 yılları arasında AT&T’nin Bell laboratuarlarında Dave Presetto ve Howard Trickey devre seviyesi güvenlik duvarı olarak bilinen ikinci nesil güvenlik duvarlarını geliştirdiler.
Devre seviyesi güvenlik duvarları bağlantı kurulduğu anda paketleri ufak bir denetimle taşıdıkları için bir hayli yüksek performans gösterirler. Bu tip güvenlik duvarlarında kaynak ile hedef arasında direk bir bağlantı kurulmaz. NAT (Network Address Translation) denen ağ adresinin farklı bir adrese dönüştürüldüğü tekniği kullanırlar. Ağ geçidi sistemin yerel ağdaki IP adresini dışarıya bağlı kaynaklardan gizler. Bu teknik, devre seviyesi güvenlik duvarların oldukça esnek olmasını sağlar. Bu sistemin de dezavantajları vardır. Örneğin, bu tip güvenlik duvarları kaynak ile hedef arasındaki paketleri analiz edemezler.
Üçüncü Nesil Güvenlik Duvarları (Uygulama Seviyesi Güvenlik Duvarları)
Üçüncü nesil güvenlik duvarı olarak bilinen uygulama seviyesi güvenlik duvarları ilk olarak Purdue Üniversitesi’nden Gene Spafford, AT&T’den Bill Cheswick ve Marcus Ranum’un yayınlarıyla tanımlanmıştır. Bu güvenlik duvarları uygulama seviyesi güvenlik duvarları veya proxy tabanlı güvenlik duvarları olarak da bilinir. Marcus Ranum’un bu teknoloji üzerindeki çalışmaları ilk ticari ürünün ortaya çıkmasına öncülük etmiştir. Bu ürün DEC tarafından “SEAL Product” (Tıkama Ürünü) olarak piyasaya sürülmüştür. DEC firmasının ilk büyük satışı 13 Haziran 1991 yılında Amerika’nın doğu sahillerinde bulunan bir kimya firmasına olmuştur.
Proxy destekli güvenlik duvarlarının özelliği oturumu kendisinin başlatmasıdır. Yani kaynak sistem oturum açmak istediğinde bu isteğini güvenlik duvarına gönderir. Güvenlik duvarıda isteği kaynağa iletir. Oturum açıldıktan sonra da işleyiş aynen devam eder. Proxy destekli güvenlik duvarları hedef ile kaynak arasında izolasyon görevi görür. Bu güvenlik duvarlarının paket içeriğini kontrol edebilmeleri en büyük artılarıdır. Bu tür güvenlik duvarları dinamik paket filtre güvenlik duvarları gibi oturumu takip etmezler. Çünkü oturumu zaten kendileri başlatırlar. Hedef ile kaynak arasına girdiği için ve paketleri kendisi ilettiği için özellikle veri trafiğinin yoğun olduğu alanlarda ciddi performans kayıpları olmaktadır.
Sonraki Nesil Güvenlik Duvarları
1992 yılında Bob Braden ve Güney Kaliforniya Üniversitesi’nden Annette DeSchon kendi dördüncü nesil paket filtrelerini geliştirdiler. Bu, renkli ve görsel bir arayüzün entegre edildiği ilk sistem olup “Visas” olarak bilinir. 1994 yılında bir İsrail firması olan CPST (Check Point Software Technologies) Visas’ı işe yarar bir yazılım haline getirdi ve bu yazılıma “Firewall–1” adını verdi.Proxy güvenlik duvarları ikinci nesli “Kernel Proxy” teknolojisi üzerine tasarlanmıştı ve bu tasarım sürekli evrim geçirmekteydi. Fakat kodları ve ana özellikleri hem ticari sürümlerde hem de ev kullanıcısı için olan sürümlerde geniş ölçekli olarak kullanılmıştır. İnternet güvenlik devlerinden olan Cisco ‘PIX’ isimli ürününü 1997 yılında piyasaya çıkarmıştır.
Güncel Güvenlik Duvarları, Uzaktan Erişim, Arka Kapı Uygulamaları, Servis Reddi Atakları, E-Posta Protokolü Oturum Çalınması, İşletim Sistemi Hataları, E-Posta Bombaları, Makrolar, Bilgisayar Virüsleri, Zararlı E-Postalar ve Kaynak Saptırma gibi tehditlere karşı koruma sağlayabilmektedir. Bunları aşağıda belirtilen fonksiyonları kullanarak sağlamaktadırlar;
- Uygulama Farkındalığı
- Durumsal İnceleme
- Entegre Saldırı Tespit Sistemi (IDS)
- Entegre Saldırı Koruma Sistemi (IPS)
- Kimlik Farkındalığı
- Virüs ve Zararlı İçerik Kontrolü
- URL Kategori ve İçerik Filtreleme
- Bant Genişliği Yönetim
Uygulama Farkındalığı
Geleneksel bir güvenlik duvarı ile bir yeni nesil güvenlik duvarı arasındaki en büyük fark, bu yeni cihazların uygulamaların farkında olmasıdır. Geleneksel güvenlik duvarları, çalışan uygulamaları ve izlenecek saldırı türlerini belirlemek için genelde kullanılan portları izler. Yeni nesil güvenlik duvarları, belirli bir uygulamanın belirli bir portta çalıştığı kabul edilmez, 2 ile 7 arasındaki ağ katmanlarından gelen trafiği izler ve ne tür trafik gönderilip alındığına göre trafiğe müdahale eder.
Durumsal İnceleme
Durum denetimi için paketler ağ katmanında (network layer), yüksek performans açısından statik paket filtre güvenlik duvarlarında olduğu gibi filtrelenir. Daha sonra verinin geldiği bütün katmanlara erişilir ve bu katmanlar yüksek güvenliği sağlamak için denetlenir. Yani aslında veri kaynaktan hedefe kadar takip edilir. Güvenlik duvarları sadece paketin başlığını incelemekle kalmaz aynı zamanda paketin içeriğini de kontrol ederek paket hakkında daha fazla bilgi elde eder. Ek güvenlik önlemi olarak bu güvenlik duvarları bütün portları kapalı tutar (port taramalarına karşı) sadece port için bir istek geldiği zaman eğer isteğe yetki verirse portu açar.
En büyük dezavantajlarından biri FTP protokolünün Proxy özelliği desteklememesidir. Bu açığının kötüye kullanım oranı da oldukça yüksektir. Stateful Inspection terimi ilk defa Check Point Software firmasının ürününün “Firewall–1” isimli ürününde kullanılmıştır.
Yeni Nesil Güvenlik Duvarları bundan çokta farklı bir şey yapmasada belirtilen süreçleri 2. ve 4. katmanlar arasında yapmak yerine, 2. ve 7. katmanlar arasında yaptadır. Bu durum sistem yöneticilerine çok daha detaylı güvenlik politikaları tanımlamasını sağlamaktadır.
Entegre Saldırı ve Tespit Koruma Sistemi
Saldırı Koruma Sistemi (IPS), tehdit imzaları, bilinen istismar saldırıları, anormal etkinlik ve trafik davranış analizi gibi çeşitli tekniklere dayanan saldırıları tespit etmekten sorumludur.
Geleneksel bir güvenlik duvarının kullanıldığı bir ağda, ayrıca bir Saldırı Tespit Sistemi (IDS) veya IPS'in de kullanıldığını görmek yaygındır. Yeni Nesil Güvenlik Duvarlarında IPS veya IDS tamamen entegre edilmelidir.
Kimlik Farkındalığı
Geleneksel bir güvenlik duvarı ile yeni nesil bir güvenlik duvarı arasındaki bir başka büyük fark, yeni nesil güvenlik duvarlarının mevcut kurumsal kimlik doğrulama sistemlerini (Active Directory, LDAP vb.) kullanarak, yerel trafik aygıtının ve kullanıcının kimliğini izleme yeteneğine sahip olmasıdır. Bu şekilde, sistem yöneticisi sadece ağa girmesine ve çıkmasına izin verilen trafik türlerini değil, aynı zamanda belirli bir kullanıcının gönderilmesine ve almasına izin verilen trafiği de kontrol edebilmektedir.
Makine Öğrenmesi
Makine öğrenmesi, güvenlik duvarlarının geliştirilmesinde de kullanılmaya başlanan bir araç haline gelmiştir. Makine öğrenme algoritmaları kendilerini belirli eğilimler temelinde ayarlar. Ağın kendi tarihsel güvenlik verilerine, eğer bu tür kendi kendine öğrenen algoritmalar tarafından erişilirse, tehditleri hafiflemekle birlikte hızlı ve olumlu kararlar alınmasına yardımcı olunur.
Makine öğrenmesi algoritmaların saldırı modelini belirlemelerini ve tüm tarihsel saldırılar arasında bir ilişki kurmalarını sağlayacaktır. Siber güvenlik çözümleri makine öğrenimi ile bütünleşecek ve zaman içindeki ağ değişikliklerini tespit edecektir, sonunda davranışlarını güncelleyecektir. Bu algoritmalar tehditleri daha önceki verilere dayanarak öngörürler, bu nedenle yanlış pozitif sonuçları da azaltırlar.
Enveri Kaan Alpsü
Kaynaklar
http://labrisnetworks.com/tr/blog-tr-yeni-nesil-guvenlik-duvari-ngfw-next-generation-GüvenlikDuvarı/
Yorumlar
Yorum Gönder