Güvenlik duvarı olarak adlandırdığımız firewall cihazları, bilgisayarınız veya iç ağınız ile dış dünya arasındaki bir güvenlik noktasıdır. Gelen ve giden tüm paketleri incelereyek içerisindeki kural setine göre izin veya red işlemleri gerçekleştiren güvenlik uygulamalarıdır.
Bu ürünler donanımsal olarak bir cihaz / kutu şeklinde sunulabildiği gibi, yazılımsal olarak da kullanılabilir.
Firewall cihazları (güvenlik duvarları) gelen ve giden paketleri incelerken aşağıdaki yöntemlerden birini veya daha fazlasını kullanarak üretilmektedirler.
- Paket filtrelemeli firewall
- Durum bilgisi olan paket filtreleme
- Kullanıcı doğrulama
- İstemci uygulaması kimlik doğrulaması
Güvenlik duvarı firewall üzerinden geçen paketleri paket boyutu, kaynak IP adresi, protokol ve hedef bağlantı noktası gibi parametrelere göre filtreleyecektir.
Linux veya Windows işletim sistemleri de yerleşik ve basit bir güvenlik duvarı ile birlikte gelir. Bu güvenlik duvarlarını kendinize göre ayarlarabilir ve işletim sisteminiz ile ethernet kartınız arasında bir sınır koyabilirsiniz.
Sophos, Berqnet, Norton, Glasswire ve McAfee gibi firmalar da bilgisayarlar için kişisel güvenlik duvarı çözümleri sunmaktadır. Bu güvenlik duvarları kişilere özel veya kurumlara özel olarak işletim sistemleri üzerine kurulan bireysel veya kurumsal yazılım ürünleridir.
Büyük ağlar için ise daha gelişmiş çözümler kullanılır. Bir kurum ortamında, ağınızla dış dünya arasında özel bir güvenlik duvarı kullanmak zorundasınız. Bu cihazlar genelde yeni nesil firewall ürünleri olarak tanımlanır ve paket filtrelemenin yanı sıra, IPS, IDS, Antivirüs, Hotspot, SSL VPN gibi özellikleri de beraberinde sunmaktadır.
Güvenlik Duvarı (Firewall) Türleri
Paket filtreleme güvenlik duvarları en basit ve genellikle en ucuz güvenlik duvarı türüdür. Elbette ki diğerlerine göre kendi avantajlarını ve dezavantajları bulunur. Temel güvenlik duvarı türleri ise şu şekildedir.
- Paket filtreleme firewall
- Uygulama ağ geçidi firewall
- Devre seviyesi ağ geçidi firewall
- Durum bilgisi olan paket denetimi firewall
Paket Filtreleme Firewall
Paket filtreleme güvenlik duvarı en temel güvenlik duvarı türüdür. Paket filtreleme güvenlik duvarında, gelen her paket incelenir. Yalnızca belirlediğiniz ölçütlere uyan paketlere izin verilir. Yani varsayılan olarak gelen paketler reddedilir ve bir paketin geçişi için izin vermek gerekir. Windows istemcileri (Windows 8 ve 10 gibi) ve birçok Linux dağıtımı gibi birçok işletim sistemiyle birlikte temel paket filtreleme yazılımı kullanabilirsiniz. İşletim sistemi üzerinde gelen bu uygulamalar sayesinde gelen ve giden paketleri denetleyebilirsiniz.
Paket filtreleme güvenlik duvarları, tarama güvenlik duvarları olarak da adlandırılır. Paketleri paket boyutu, kullanılan protokol, kaynak IP adresi ve diğer birçok parametreye göre filtreleyebilirler. Bazı yönlendiriciler, normal yönlendirme işlevlerine ek olarak bu tür güvenlik duvarı koruması da sunar.
Paket filtreleme güvenlik duvarları, paketin kaynak adresini, hedef adresini, kaynak bağlantı noktasını, hedef bağlantı noktasını ve protokol türünü inceleyerek çalışır. Bu faktörlere ve güvenlik duvarının kullanmak üzere yapılandırıldığı kurallara bağlı olarak, pakete geçişe izin verir veya vermez. Bu güvenlik duvarlarının yapılandırılması çok kolaydır ve ucuzdur. Windows 10 ve Linux gibi bazı işletim sistemleri yerleşik paket filtreleme yetenekleri içerir.
Paket filtreleme güvenlik duvarlarının birkaç dezavantajı vardır. Dezavantajlara bakıldığında bir paketi inceleyememek veya önceki paketlerle karıştırabilmek gibi durumlar olasıdır. Bu nedenle, bir Ping flood veya SYN flood için oldukça hassastırlar.
Diğer bir yandan herhangi bir kullanıcı için kimlik doğrulaması sunmazlar. Bu tür güvenlik duvarları incelemede yalnızca paket başlığına baktığından, paket içeriği hakkında hiçbir bilgiye sahip olamazlar. Doğal olarak oğrulama mekanizması bulunmamaktadır.
Ayrıca daha önceki paketleri izlemediğinden, paketler hakkında hiçbir bilgisi yoktur. Bu nedenle, kısa bir süre içinde aynı IP adresinden binlerce paket geldiyse, bunun bir olağandışı durum olduğunu fark edemezler. Elbette ki DDOS saldırısı gelip gelmediğini de fark edemeyecektir.
Paket filtreleme güvenlik duvarını yapılandırmak için uygun filtreleme kurallarını oluşturmanız yeterlidir. Belirli bir güvenlik duvarı için bir dizi kuralın aşağıdaki durumları kapsaması gerekir.
- Hangi tür protokollere izin (FTP, SMTP, POP3, gibi) verilmeli?
- Hangi kaynak bağlantı noktalarına izin verilmeli?
- Hangi hedef bağlantı noktalarına izin verilmeli?
- Hangi kaynak IP adreslerine izin verilmeli?
Bu kurallar, güvenlik duvarının hangi trafiğe izin vereceğini ve hangi trafiğin engelleneceğini belirlemeyi sağlar. Bu tür bir güvenlik duvarı yalnızca çok sınırlı sistem kaynakları kullandığından, yapılandırılması nispeten kolaydır. Aynı zamanda uygun fiyata veya ücretsiz olarak piyasadan temin edebilirsiniz.
Ücretsiz veya Demo Firewall Uygulamaları
- PfSense
- OpenSense
- Sophos Firewall
- Norton Firewall
- Comodo Firewall
- TinyWall
- Netdefender
- Glasswire
- PeerBlock
- AVS Firewall
- OpenDNS Home
- Privatefirewall
Durumlu (SPI) Paket Denetimi Firewall
Durum bilgisi olan paket denetimi (SPI) güvenlik duvarı, temel paket filtrelemesinde bir gelişmedir. Bu tür güvenlik duvarı her paketi inceleyecek, yalnızca geçerli paketin incelenmesine değil, aynı zamanda konuşmadaki önceki paketlerden elde edilen verilere dayanarak erişimi reddedecek veya izin verecektir. Elbette ki bu durum paket filtreleme firewalllara göre avantaj sağlamaktadır.
Bu güvenlik duvarının belirli bir paketin gönderildiği bağlamdan haberdar olduğu anlamına gelir. Aynı zamanda ping flood veya SYN flood’a karşı daha az duyarlı hale getirmenin yanı sıra kimlik sahtekarlığına da koruma asğlar.
SPI adını verdiğimiz Durumlu Paket Denetimi Güvenlik Duvarları aşağıdaki nedenlerden dolayı bu saldırılara karşı hassastır.
- Paketin belirli bir IP adresinden anormal derecede büyük bir paket akışının bir parçası olup olmadığını söyleyebilir, böylece devam eden olası bir DOS saldırısını göstermektedir.
- Paketin güvenlik duvarından gelmiş gibi görünen bir kaynak IP adresine sahip olup olmadığını söyleyebilir. Böylece IP sızdırma işleminin devam ettiğini gösterir.
- Paketin gerçek içeriğine de bakabilir ve bazı çok gelişmiş filtreleme yeteneklerine izin verebilirler.
Günümüzde çoğu güvenlik duvarı, durum bilgisi olan paket inceleme yöntemini kullanır. Elbette ki yaygın bir biçimde kullanılmakta ve sıkça tercih edilmektedir. Durum bilgisi olan paket denetimi adı, paketin incelenmesine ek olarak, güvenlik duvarının tüm IP ileti dizisi ile ilişkili olarak paketin durumunu incelemesi gerçeğinden kaynaklanır. Bu, güvenlik duvarının önceki paketlere ve bu paketlerin içeriğine, kaynağına ve hedefine başvurabileceği anlamına gelir.
Uygulama Ağ Geçidi Firewall
Uygulama ağ geçidi (uygulama proxy’si veya uygulama düzeyi proxy olarak da bilinir), güvenlik duvarında çalışan bir programdır. Bu tür güvenlik duvarı, trafiğinin güvenlik duvarını geçmesine izin vermek için çeşitli uygulama türleriyle müzakere ederek çalışmaktadır. Proxy güvenlik duvarı olarak adlandırılan bu firewallar, mesajları uygulama katmanında filtreleyerek ağ kaynaklarını koruyan bir ağ güvenlik sistemidir . Bir proxy güvenlik duvarı, uygulama güvenlik duvarı veya ağ geçidi güvenlik duvarı olarak da adlandırılır .
Ağ oluşturma terminolojisinde müzakere, kimlik doğrulama ve doğrulama sürecini ifade etmek için kullanılan bir terimdir. Diğer bir deyişle, paketin kullandığı protokole ve bağlantı noktasına bakmak yerine, bir uygulama ağ geçidi istemci uygulamasını ve bağlanmaya çalıştığı sunucu tarafı uygulamasını inceler.
Ardından, söz konusu istemci uygulamasının trafiğine güvenlik duvarı üzerinden izin verilip verilmediğini belirler. Bu, paketleri inceleyen ve ne tür bir uygulamanın bunları gönderdiğine dair bilgisi olmayan bir paket filtreleme güvenlik duvarından önemli ölçüde farklıdır. Uygulama ağ geçitleri yöneticinin yalnızca web tarayıcıları veya FTP istemcileri gibi belirli uygulama türlerine erişmesine izin vermesini sağlar.
Web tarayıcısı gibi bir istemci programı, web sunucusu gibi bir hedef hizmetle bağlantı kurduğunda, bir uygulama ağ geçidine veya proxy’ye bağlanır. İstemci daha sonra hedef hizmete erişmek için proxy sunucusuyla görüşür.
Gerçekte proxy, güvenlik duvarının arkasındaki hedefle bağlantı kurar ve istemci adına hareket eder, ağdaki güvenlik duvarlarının arkasındaki bilgisayarları tek tek gizler ve korur.
Bu işlem aslında iki bağlantı oluşturur. İstemci ile proxy sunucu arasında bir bağlantı ve proxy sunucu ile hedef arasında başka bir bağlantı vardır. Bir bağlantı kurulduktan sonra, uygulama ağ geçidi hangi paketlerin iletileceği hakkında tüm kararları alır. Tüm iletişim proxy sunucusu üzerinden gerçekleştirildiğinden, güvenlik duvarının arkasındaki bilgisayarlar korunmuş olacaktır.
Bu tür bir güvenlik duvarı, bireysel tarafta trafik üzerinde kimlik doğrulamasına izin verir. Bu durum bir avantaja dönüşür ve istenmeyen trafiği engellemede oldukça etkili kılar. Bununla birlikte, bir dezavantaj ise bu güvenlik duvarlarının çok fazla sistem kaynağı kullanmasıdır. İstemci uygulamalarının kimlik doğrulaması işlemi, basit paket filtrelemeden daha fazla bellek ve CPU kullanmasına neden olmaktadır. Doğal olarak sistem kaynakları geniş verilmeli ve tüketime dikkat edilmelidir.
Uygulama ağ geçitleri de iki nedenle çeşitli Flood saldırılarına (SYN , ping gibi) karşı hassastır. Bu noktada hem istemci uygulamasının hem de kullanıcının kimliğinin doğrulanması gerekebileceğini unutmayın.
Bu nedenle, bir dizi bağlantı isteği güvenlik duvarını zorlayabilir ve meşru isteklere yanıt vermesini engelleyebilir. Uygulama ağ geçitleri flood saldırılarına karşı daha hassas olabilir, çünkü bir kez bağlantı kurulduğunda paketler kontrol edilmez. Bir bağlantı kurulursa, bu bağlantı bağlı olduğu sunucuya bir web sunucusu veya e-posta sunucusu gibi bir flood saldırısı göndermek için kullanılabilir.
Bu güvenlik açığı, kullanıcıların kimliği doğrulanarak bir şekilde azaltılabilir. Kullanıcı oturum açma yönteminin güvenli olması koşuluyla (uygun parolalar, şifreli iletim, ve benzeri…), Bir kişinin flood saldırısı için bir uygulama ağ geçidi üzerinden meşru bir bağlantı kullanabilme olasılığını azaltır.
Devre Seviyesi Ağ Geçidi Firewall
Devre seviyesi ağ geçidi güvenlik duvarları uygulama ağ geçitlerine benzer, ancak daha güvenlidir ve genellikle üst düzey ekipmanlara uygulanır. Bu tür güvenlik duvarları da kullanıcı kimlik doğrulaması kullanır, ancak bu işlemi çok daha önce yaparlar.
Bir uygulama ağ geçidiyle, ilk önce istemci uygulamasına erişim izni verilip verilmeyeceğini kontrol eder ve ardından kullanıcının kimliği doğrulanır. Devre seviyesi ağ geçitlerinde, kullanıcının kimliğini doğrulamak ilk adımdır. Kullanıcının oturum açma kimliği ve parolası denetlenir ve yönlendiriciye bağlantı kurulmadan önce kullanıcıya erişim izni verilir.
Bu herhangi bir iletişimin gerçekleşebilmesi için kullanıcı adı veya IP adresine göre her bireyin doğrulanması gerektiği anlamına gelir.
Bu doğrulama gerçekleştikten ve kaynak ile hedef arasındaki bağlantı kurulduktan sonra, güvenlik duvarı sistemler arasında bayt bayt iletir. Dahili istemci ile proxy sunucusu arasında sanal bir “devre” vardır. İnternet istekleri bu devreden proxy sunucusuna geçer ve proxy sunucusu IP isteklerini değiştirdikten sonra bu istekleri Internet’e iletir. Harici kullanıcılar yalnızca proxy sunucusunun IP adresini görür.
Yanıtlar daha sonra proxy sunucusu tarafından alınır ve devre aracılığıyla istemciye geri gönderilir. Devre seviyesi ağ geçidini güvenli kılan bu sanal devredir.
İstemci uygulaması ile güvenlik duvarı arasındaki özel güvenli bağlantı, basit paket filtreleme güvenlik duvarı ve uygulama ağ geçidi gibi diğer seçeneklerden daha güvenli bir çözümdür. Trafiğe izin verilirken, harici sistemler dahili sistemleri görmez.
Yeni Nesil (Firewall) Güvenlik Duvarlarları (NGFW)
Geleneksel güvenlik duvarı teknolojisi, şifreli trafik inceleme, saldırı önleme sistemleri, antivirüs ve daha pek çok ek işlevi beraberinde getirmektedir. En önemlisi de derin paket denetleme (DPI) özelliğine sahiptirler. Standart güvenlik duvarları yalnızca paket başlıklarına bakarken, derin paket denetleme gereken güvenlik duvarları kötü amaçlı kod içeren paketleri de belirleyebilir, kategorize edebilir veya durdurulmasını sağlar.
Gelişmekte olan tehditler, genişleyen sistemler ve siber saldırganların etkili ve çok yönlü saldırı vektörleri kullanıcıları köklü çözümler kullanmaya zorlamaktadır. Yeni nesil güvenlik duvarları, geleneksel bir güvenlik duvarının özelliklerini ağ izinsiz giriş engelleme sistemleriyle birleştirerek kontrol altında tutmaktadır.
Yeni nesil güvenlik duvarları, gelişmiş kötü amaçlı yazılım gibi tehlikeleri daha detaylı olarak incelemek ve tespit etmek için tasarlanmıştır. Sunmuş oldukları özellikler sayesinde de komplike bir çözüm sağlarlar. Genel olarak NGFW (Next Generation Firewall) olarak adlandırılan bu gelişmiş, yeni nesil firewall cihazları işletmeler veya büyük ağlar üzerinde sıklıkla kullanılır.