11

VEKİL SUNUCULAR VE VEKİL SUNUCULAR VE GÜVENLİK DUVARLARIGÜVENLİK DUVARLARI

Yalçın TosunYalçın Tosun

704031015704031015

Güvenlik DuvarlarıGüvenlik Duvarları

Güvenlik DuvarlarıGüvenlik Duvarları

• 3’e ayrılırlar:3’e ayrılırlar:– Paket Filtreleyici Güvenlik Duvarları Paket Filtreleyici Güvenlik Duvarları

(Packet Filtering Firewalls)(Packet Filtering Firewalls)– Devre Düzeyinde Güvenlik Duvarları Devre Düzeyinde Güvenlik Duvarları

(Circuit-Level Firewalls)(Circuit-Level Firewalls)– Uygulama Düzeyinde Güvenlik Duvarları Uygulama Düzeyinde Güvenlik Duvarları

veya Vekil Sunucular (Application-Level veya Vekil Sunucular (Application-Level Firewalls or Proxy Servers)Firewalls or Proxy Servers)

Paket Filtreleyici Güvenlik Paket Filtreleyici Güvenlik DuvarlarıDuvarları

• İlgilendikleri başlık bilgileriİlgilendikleri başlık bilgileri– Kaynak ve hedef IP adresleriKaynak ve hedef IP adresleri– Kaynak ve hedef port numaralarıKaynak ve hedef port numaraları– TCP bağlantı bayraklarıTCP bağlantı bayrakları

Paket Filtreleyici Güvenlik Paket Filtreleyici Güvenlik DuvarlarıDuvarları• Paket filtreleme yapan yönlendiricilere perdeleyici Paket filtreleme yapan yönlendiricilere perdeleyici

yönlendiriciler (screening routers) deniryönlendiriciler (screening routers) denir– Örneğin,Örneğin,

Standart izin listesiStandart izin listesi----------------------------------------------------------------------------------------Interface Ethernet0Interface Ethernet0Ip address 172.16.1.1 255.255.255.0Ip address 172.16.1.1 255.255.255.0Ip access-group 1Ip access-group 1Access-list 1 deny host 172.16.3.10Access-list 1 deny host 172.16.3.10Access-list 1 permit anyAccess-list 1 permit any

• Paket filtreleyiciler yönlendirme yapmak zorunda değildirlerPaket filtreleyiciler yönlendirme yapmak zorunda değildirler

Paket Filtreleyici Güvenlik Paket Filtreleyici Güvenlik DuvarlarıDuvarları

• İkiye ayrılırlar:İkiye ayrılırlar:– Durumsuz (Stateless)Durumsuz (Stateless)– Durumlu (Stateful)Durumlu (Stateful)

• Durumsuz olanlarda pratikte Durumsuz olanlarda pratikte problemler yaşanmaktadır.problemler yaşanmaktadır.

• Bu problemleri engellemek için Bu problemleri engellemek için “stateful inspection” yöntemi “stateful inspection” yöntemi kullanılır.kullanılır.

Paket Filtreleyici Güvenlik Paket Filtreleyici Güvenlik DuvarlarıDuvarları

• Stateful inspectionStateful inspection– Checkpoint Software Technologies Checkpoint Software Technologies

tarafından bulunmuştur.tarafından bulunmuştur.– Eski IP paketlerine ait bilgiler saklanır.Eski IP paketlerine ait bilgiler saklanır.– Arkadan gelen paketler daha hızlı Arkadan gelen paketler daha hızlı

geçerlergeçerler

Paket Filtreleyici Güvenlik Paket Filtreleyici Güvenlik DuvarlarıDuvarları

• DezavantajlarıDezavantajları– Sistem yöneticisinin saldırıları anlamasına yardımcı Sistem yöneticisinin saldırıları anlamasına yardımcı

olabilecek kayıt tutma (logging) kabiliyeti çok azdır.olabilecek kayıt tutma (logging) kabiliyeti çok azdır.– Paket filtreleme kuralları doğrudan test edilmek için Paket filtreleme kuralları doğrudan test edilmek için

zordurlar. Dolayısıyla, test edilemeyen açık noktalar zordurlar. Dolayısıyla, test edilemeyen açık noktalar kalabilmektedir. kalabilmektedir.

– Eğer karışık filtreleme kuralları gerekirse bunlar Eğer karışık filtreleme kuralları gerekirse bunlar yönetilemez bir hale gelebilirler. yönetilemez bir hale gelebilirler.

• Çoğu kablo/DSL cihazları bu güvenlik Çoğu kablo/DSL cihazları bu güvenlik duvarlarını korumalarının bir parçası olarak duvarlarını korumalarının bir parçası olarak kullanırlar.kullanırlar.

Devre Düzeyinde Güvenlik Devre Düzeyinde Güvenlik DuvarlarıDuvarları• Dışarıdan bilgi akışına sadece içerideki Dışarıdan bilgi akışına sadece içerideki

bilgisayarlardan istek geldiğinde izin verir .bilgisayarlardan istek geldiğinde izin verir .• Dışarıya giden isteklerin kaydı tutulur ve sadece Dışarıya giden isteklerin kaydı tutulur ve sadece

isteğe karşılık gelen cevaba izin verilir isteğe karşılık gelen cevaba izin verilir • Dışarıdakiler bütün bir ağı sadece güvenlik Dışarıdakiler bütün bir ağı sadece güvenlik

duvarının adresi olarak görürduvarının adresi olarak görür• Güvenlik duvarı açan kadar bütün portlar Güvenlik duvarı açan kadar bütün portlar

kapalıdır kapalıdır • Diğer filtreleme yöntemleriyle birleştirilmediği Diğer filtreleme yöntemleriyle birleştirilmediği

takdirde içerien gelen herhangi bir veri isteğine takdirde içerien gelen herhangi bir veri isteğine izin veririzin verir

Devre Düzeyinde Güvenlik Devre Düzeyinde Güvenlik DuvarlarıDuvarları

• İnternet paylaşımını sağlarlarİnternet paylaşımını sağlarlar

• Kablo/DSL yönlendiricileri bu yöntemi Kablo/DSL yönlendiricileri bu yöntemi birincil olarak kullanırlar birincil olarak kullanırlar

• İnternet paylaşımlı devre düzeyinde İnternet paylaşımlı devre düzeyinde ağ geçitlerinin bir kombinezonu olan ağ geçitlerinin bir kombinezonu olan NAT (Network Address Translation) NAT (Network Address Translation) kullanırlar kullanırlar

• SOCKS yaygın olarak kullanılmaktadır SOCKS yaygın olarak kullanılmaktadır

SOCKSSOCKS

• İstemci yazılımına ve/veya TCP/IP İstemci yazılımına ve/veya TCP/IP yığınına modifikasyon gerektirir yığınına modifikasyon gerektirir

• İki parçadan oluşurİki parçadan oluşur– SOCKS sunucusu (daemon)SOCKS sunucusu (daemon)– SOCKS istemcisi (kütüphanesi)SOCKS istemcisi (kütüphanesi)

SOCKSSOCKS

• SOCKS sunucusu SOCKS sunucusu uygulama uygulama katmanında çalışırkatmanında çalışır

• SOCKS istemcisi SOCKS istemcisi uygulama ve uygulama ve ulaşım katmanları ulaşım katmanları arasında çalışır arasında çalışır

SOCKSSOCKS

• SOCKS’un iki versiyonu vardırSOCKS’un iki versiyonu vardır– SOCKS V.4SOCKS V.4– SOCKS V.5 SOCKS V.5

• SOCKS V.5’in temel farkları:SOCKS V.5’in temel farkları:– V.5’te istemci ile SOCKS sunucu arasında V.5’te istemci ile SOCKS sunucu arasında

asıllama yöntemi hakkında bir el sıkışma asıllama yöntemi hakkında bir el sıkışma desteği vardır desteği vardır

– RFC’de 2 çeşit asıllama yöntemi vardır: RFC’de 2 çeşit asıllama yöntemi vardır: şifre-temelli asıllama ve Kerberos V5 GSS-şifre-temelli asıllama ve Kerberos V5 GSS-API API

SOCKSSOCKS

• SOCKS V.5’in temel farkları:SOCKS V.5’in temel farkları:– V.5 UDP bağlantıları için de “stateful V.5 UDP bağlantıları için de “stateful

inspection”a benzer bir yaklaşımla inspection”a benzer bir yaklaşımla destek vermektedir destek vermektedir

– SOCKS V.5, desteklediği adres SOCKS V.5, desteklediği adres çözümlemesi sayesinde DNS yönetimini çözümlemesi sayesinde DNS yönetimini ve IP adres saklamasını ve IP adres saklamasını kolaylaştırmaktadır kolaylaştırmaktadır

SOCKSSOCKS

• SOCKS yapısının SOCKS yapısının kontrol akış kontrol akış diyagramı diyagramı

Uygulama Düzeyinde Uygulama Düzeyinde Güvenlik DuvarlarıGüvenlik Duvarları

• Devre düzeyindeki güvenlik duvarlarına Devre düzeyindeki güvenlik duvarlarına benzerlerbenzerler

• Güvenlik duvarı arkasındaki bağlantıya Güvenlik duvarı arkasındaki bağlantıya doğrudan izin vermezlerdoğrudan izin vermezler

• Verinin içeriğine bakarlarVerinin içeriğine bakarlar• Diğer güvenlik duvarlarına göre yavaştırlar Diğer güvenlik duvarlarına göre yavaştırlar • İstemci bilgisayarlara dışarıdaki İstemci bilgisayarlara dışarıdaki

kaynaklara erişim için proxy kaynaklara erişim için proxy konfigürasyonları yapılması gerekirkonfigürasyonları yapılması gerekir

Uygulama Düzeyinde Ağ Uygulama Düzeyinde Ağ GeçitleriGeçitleri • Kullanıcı asıllama ve yetkilendirmesi yapılırKullanıcı asıllama ve yetkilendirmesi yapılır• Kullanıcı asıllama için gerekli bilgiler başka Kullanıcı asıllama için gerekli bilgiler başka

bir güvenlik sunucusunda tutulabilirbir güvenlik sunucusunda tutulabilir• Bunun için en çok kullanılan protokollerBunun için en çok kullanılan protokoller

– Livingston Enterprises firmasına ait olan RADIUS Livingston Enterprises firmasına ait olan RADIUS – Cisco firmasına ait olan TACACS Cisco firmasına ait olan TACACS

• Bir sunucuya bağlanmadan önce uygulama Bir sunucuya bağlanmadan önce uygulama düzeyinde bir ağ geçidine bağlanmak işlemi düzeyinde bir ağ geçidine bağlanmak işlemi saydamlaştırılabilir. Buna “saydam vekillik saydamlaştırılabilir. Buna “saydam vekillik (transparent proxy)” denir (transparent proxy)” denir

Uygulama Düzeyinde Ağ Uygulama Düzeyinde Ağ GeçitleriGeçitleri

• Saydam vekillilikSaydam vekillilik– Daha geleneksel anlamıyla, saydam vekillikte bir Daha geleneksel anlamıyla, saydam vekillikte bir

kullanıcı doğrudan kaynağa bağlanmakla bir kullanıcı doğrudan kaynağa bağlanmakla bir vekil sunucu üzerinden bağlanmak arasında bir vekil sunucu üzerinden bağlanmak arasında bir zorluk yaşamaz. Bunun yerine istemci yazılımları zorluk yaşamaz. Bunun yerine istemci yazılımları bunu sağlayacak şekilde modifiye edilmelidirler. bunu sağlayacak şekilde modifiye edilmelidirler. SOCKS bu yaklaşımı kullanmaktadır SOCKS bu yaklaşımı kullanmaktadır

– Diğer anlamında ise, istemci yazılımı vekil Diğer anlamında ise, istemci yazılımı vekil sunuculardan haberdar olmak zorunda değildir. sunuculardan haberdar olmak zorunda değildir. Erişim yönlendiricileri (Access Routers) herhangi Erişim yönlendiricileri (Access Routers) herhangi bir isteği vekil sunucuya yönlendirmek için bir isteği vekil sunucuya yönlendirmek için ayarlanırlar.. ayarlanırlar..

Güvenlik Duvarı Güvenlik Duvarı KonfigürasyonlarıKonfigürasyonları

• Değişik çeşitleri vardır.Değişik çeşitleri vardır.

• En yaygın kullanılan ikisi:En yaygın kullanılan ikisi:– Çift-Evli Güvenlik Duvarları (Dual-Homed Çift-Evli Güvenlik Duvarları (Dual-Homed

Firewalls)Firewalls)– Perdelenmiş Alt Ağ Güvenlik Duvarı Perdelenmiş Alt Ağ Güvenlik Duvarı

(Screened Subnet Firewall)(Screened Subnet Firewall)

Çift-Evli Güvenlik Duvarları Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls)(Dual-Homed Firewalls)

• İki ağ arayüzlü, IP İki ağ arayüzlü, IP yönlendirme özelliği yönlendirme özelliği etkisizleştirilmiş bir etkisizleştirilmiş bir vekil sunucusuvekil sunucusu

• 2 filtreleme 2 filtreleme yapabilen yapabilen (perdeleyici) (perdeleyici) yönlendirici bulunuryönlendirici bulunur

Internet

Vekil sunucu

Intranet

Çift-Evli Güvenlik Duvarları Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls)(Dual-Homed Firewalls)

• Güvenlik duvarı (ağ geçidi) DNS Güvenlik duvarı (ağ geçidi) DNS bilgilerini saklar bilgilerini saklar

• Dışarıdan hiç kimse korunan ağdaki Dışarıdan hiç kimse korunan ağdaki ip adreslerini ve isimleri bilemez ip adreslerini ve isimleri bilemez

• Güvenlik duvarında gerekli asıllama Güvenlik duvarında gerekli asıllama ve yetkilendirme bilgileri tutulabilir ve yetkilendirme bilgileri tutulabilir

• Erişim kayıtları da tutularak saldırı Erişim kayıtları da tutularak saldırı aktiviteleri izlenebilir aktiviteleri izlenebilir

Çift-Evli Güvenlik Duvarları Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls)(Dual-Homed Firewalls)

Internet

Intranet

Yönlendirici

Yönlendirici

Vekil Sunucu

Dış ağ bölümü

İç ağ bölümü

Kaynak Adresi:Vekil sunucunun IP’si

Hedef adres:Vekil sunucunun IP’si

İzin verilen trafik

Kaynak Adresi:Vekil sunucunun IP’si

Hedef adres:Vekil sunucunun IP’si

Çift-Evli Güvenlik Duvarları Çift-Evli Güvenlik Duvarları (Dual-Homed Firewalls)(Dual-Homed Firewalls)• Uygulama ağ geçidi ile yönlendirici arasına başka Uygulama ağ geçidi ile yönlendirici arasına başka

hizmetler veren sunucular yerleştirilebilir hizmetler veren sunucular yerleştirilebilir • Bu sunucular, dışarıya IP adresi ve ismi Bu sunucular, dışarıya IP adresi ve ismi

verilmeden, uygulama ağ geçidi üzerinden dışarı verilmeden, uygulama ağ geçidi üzerinden dışarı bağlanabilirler. Fakat bunun şöyle dezavantajları bağlanabilirler. Fakat bunun şöyle dezavantajları vardır:vardır:– olmaları ağ geçidi üzerinde yoğun bir trafik oluşurolmaları ağ geçidi üzerinde yoğun bir trafik oluşur– bazı hizmetler veren sunucular (LOTUS Notes, SQLnet bazı hizmetler veren sunucular (LOTUS Notes, SQLnet

gibi) için proxy desteği olmadığından korunan ağdan gibi) için proxy desteği olmadığından korunan ağdan bunlara erişilemez bunlara erişilemez

• Doğrudan dışarıdan gelen istekleri de alabilirler. Doğrudan dışarıdan gelen istekleri de alabilirler. Bu herhangi bir güvenlik sorunu oluşturmaz.Bu herhangi bir güvenlik sorunu oluşturmaz.

Perdelenmiş Alt Ağ Güvenlik Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Duvarı (Screened Subnet Firewall)Firewall)• İki perdeleyici yönlendirici kullanılır İki perdeleyici yönlendirici kullanılır

• Bunların arasında kalan alana Bunların arasında kalan alana perdelenmiş alt ağ veya askerden perdelenmiş alt ağ veya askerden arındırılmış bölge (DMZ – arındırılmış bölge (DMZ – Demilitarized Zone) denir Demilitarized Zone) denir

• Bu bölgede birkaç tane uygulama ağ Bu bölgede birkaç tane uygulama ağ geçidi ve istenirse diğer hizmetleri geçidi ve istenirse diğer hizmetleri veren bazı sunucular bulunur veren bazı sunucular bulunur

Perdelenmiş Alt Ağ Güvenlik Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Duvarı (Screened Subnet Firewall)Firewall)• Korunan ağdan dışarı çıkmak isteyenler, Korunan ağdan dışarı çıkmak isteyenler,

yönlendiricilerden ilki tarafından uygulama ağ yönlendiricilerden ilki tarafından uygulama ağ geçidine yönlendirilirler geçidine yönlendirilirler

• DMZ’de bulunan diğer sunuculardan hizmet almak DMZ’de bulunan diğer sunuculardan hizmet almak istiyorlarsa, yönlendirici tarafından uygulama ağ istiyorlarsa, yönlendirici tarafından uygulama ağ geçidine uğramadan bu sunuculara yönlendirilirler geçidine uğramadan bu sunuculara yönlendirilirler

• Bunun avantajları:Bunun avantajları:– Çift-evli güvenlik duvarı konfigürasyonuna göre daha Çift-evli güvenlik duvarı konfigürasyonuna göre daha

esnek bir yapı sağlar. esnek bir yapı sağlar. – Uygulama ağ geçidi üzerinden yükü azaltarak Uygulama ağ geçidi üzerinden yükü azaltarak

performans artışını sağlar. Ancak, DMZ’de bulunan diğer performans artışını sağlar. Ancak, DMZ’de bulunan diğer sunucuların çok iyi korunması gerekir sunucuların çok iyi korunması gerekir

Perdelenmiş Alt Ağ Güvenlik Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Duvarı (Screened Subnet Firewall)Firewall)

Internet

Vekil Sunucu

Intranet

Yönlendirici

Yönlendirici

Perdelenmiş Alt Ağ

SONUÇSONUÇ

• Paket filtreleyici güvenlik duvarları basit bir Paket filtreleyici güvenlik duvarları basit bir güvenlik çözümü sağlarlar ve paketlerdeki verinin güvenlik çözümü sağlarlar ve paketlerdeki verinin içeriğine bakmazlar içeriğine bakmazlar

• Devre düzeyindeki güvenlik duvarları dışarıdan Devre düzeyindeki güvenlik duvarları dışarıdan gelen paketler için tek giriş noktasıdır. Dışarıdaki gelen paketler için tek giriş noktasıdır. Dışarıdaki bilgisayarlar sadece bunun adresini bilirler. bilgisayarlar sadece bunun adresini bilirler. Böylelikle, arkasındaki ağı güvenli bir şekilde Böylelikle, arkasındaki ağı güvenli bir şekilde korur. Ayrıca, asıllama ve yetkilendirme de yapılır. korur. Ayrıca, asıllama ve yetkilendirme de yapılır. Burada da verinin içeriğine bakılmaz Burada da verinin içeriğine bakılmaz

• Uygulama düzeyindeki güvenlik duvarları ise Uygulama düzeyindeki güvenlik duvarları ise bilginin içeriğine bakarak paketi geçirip bilginin içeriğine bakarak paketi geçirip geçirmeyeceğine karar verir. Asıllama ve geçirmeyeceğine karar verir. Asıllama ve yetkilendirme mekanizmaları kullanır. yetkilendirme mekanizmaları kullanır.

SONUÇSONUÇ

• Çift-evli güvenlik duvarları daha Çift-evli güvenlik duvarları daha güvenli bir yapı sunarken performans güvenli bir yapı sunarken performans ve esneklik bakımından perdelenmiş ve esneklik bakımından perdelenmiş alt ağ güvenlik duvarlarından daha alt ağ güvenlik duvarlarından daha düşük seviyededirler.düşük seviyededirler.

KaynaklarKaynaklar

• http://www.cyber.ust.hk/fw-report1/i_intro3.htmlhttp://www.cyber.ust.hk/fw-report1/i_intro3.html, 19.03.2003, 19.03.2003• http:// http:// www.cs.columbia.edu/sip/drafts/Ther0005_SIP.pdfwww.cs.columbia.edu/sip/drafts/Ther0005_SIP.pdf, 19.03.2003, 19.03.2003• http://www.pcstats.com/articleview.cfm?articleid=1450&page=3http://www.pcstats.com/articleview.cfm?articleid=1450&page=3, ,

19.03.200319.03.2003• http://www.pcstats.com/articleview.cfm?articleid=1450&page=4http://www.pcstats.com/articleview.cfm?articleid=1450&page=4, ,

19.03.200319.03.2003• http://www.pcstats.com/articleview.cfm?articleid=1450&page=5http://www.pcstats.com/articleview.cfm?articleid=1450&page=5, ,

19.03.200319.03.2003• http://www.socks.permeo.com/AboutSOCKS/SOCKSOverview.asphttp://www.socks.permeo.com/AboutSOCKS/SOCKSOverview.asp, ,

20.03.200320.03.2003• http://www.socks.permeo.com/AboutSOCKS/WhySOCKS.asphttp://www.socks.permeo.com/AboutSOCKS/WhySOCKS.asp, ,

20.03.200320.03.2003• http://www.socks.permeo.com/AboutSOCKS/SOCKSvE.asphttp://www.socks.permeo.com/AboutSOCKS/SOCKSvE.asp, 20.03.2003, 20.03.2003• http://www.socks.permeo.com/AboutSOCKS/SOCKSvF.asphttp://www.socks.permeo.com/AboutSOCKS/SOCKSvF.asp, 20.03.2003, 20.03.2003• Oppliger, R. “Oppliger, R. “Security Technologies for WWWSecurity Technologies for WWW”, Artech House, 1999”, Artech House, 1999