Firewall Nedİr? - ReadBull.net

21-09-2019, 23:43:36

#1
Pluvious

Açık Profil bilgileri

Özel Mesaj Gönder

Pluvious tarafından gönderilen tüm mesajları bul

Pluvious'ı arkadaş olarak ekle

Genel Moderatör
Firewall
Firewall (ateş duvarı) şeklinde adını sıklıkla duyduğumuz şey, yerel ağın internet ile arasındaki iletişimi kontrol altında tutan, coğunlukla yazılım tabanlı bir sistemdir. Yerel alanımıza internet uzerinden gelen veya yerel alanımızdan internete cıkan her bir paket firewall sisteminin kontrolu altında hareket etmektedir. Bu sistemin amacı yerel ağımızdaki veri guvenliğini sağlamak, onu dış dunydan gelebilecek ve failini bulabilmenin muhtemelen imkansız olacağı her turlu tehlikeli eyleme karşı korumaktır.
Firewall sistemleri uzerinde genellikle basit bir takım kurallar tanımlanır. Orneğin; dış dunyadan yerel alana doğrudan erişmek isteyen her turlu veri paketini duşurmek, yerel ağdan dış dunyaya erişmek isteyen hicbir pakete mudahele etmemek vs. gibi...

Evet bazı temel kurallara hep beraber karar verebiliriz. Orneğin, dış dunyadan doğrudan gelen her turlu paket atılmalıdır. Eğer herhangi bir paketin masum bir amacla bile olsa doğrudan iceri girmesine izin verilirse, kotu niyetli bir hacker bu yolu kullanarak yaptığı her turlu zararlı işi, bu gorunuşte masum olan yolun icerisine gizleyebilir. Bu yolu kullanarak kotu amaclarına ulaşabilir. Oyleyse temel kuralımız cok kesin ve sert olmalıdır. Dışarıdan gelen hic bir direkt paket iceri giremeyecektir!.
Fakat diğer bir yandan bazı istemlerin iceriye girmesine musaade etmeye de mecburuz. Cunku web server, ftp server, mail server gibi kurumsal ağın bir takım parcaları dış dunyadan gelen istemlere cevap vermek zorundadırlar. Oyle ise ne tam ic dunya ne de tam dış dunya olarak tanımlayabildiğimiz bir ara bolge oluşturmalıyız. Bu bolgeye genellikle, askerden arındırılmış alan anlamından gelen Demilitary Zone kelimesi harflerinden DMZ adı verilir.
Şekilden de anlaşılabildiği uzere dış dunyadan bu bolgeye iletişim kısıtlandırılmıştır. Sadece o bolgede kurulmuş serverlara onların belirlenmiş port numaraları uzerinden erişime musaade vardır. Bunun haricinde gelen paketler atılır. Kurumsal ağdan DMZ' ye olan erişimlere ise musaade edilmelidir. Cunku, orneğin herhangi bir kullanıcı maillerini kontrol etmek ve onları belki de yerel ağdaki kendi bilgisayarına kopyalamak isteyecektir.
DMZ' ten ic ağa girişlere de kesinlikle izin verilmemelidir. Cunku bir hacker DMZ' deki kısıtlı hakların bir şekilde acıklarını yakalayarak DMZ' yi ele gecirebilir. Bu noktada iceriye geciş icin gene bir yol bulamamalıdır. Bu bilgilerden şunu da anlıyoruz ki bazı hackerların CIA, NASA vs. gibi yerlerin web sitelerine arada sırada gercekleştirdikleri saldırılar, bu kurumların cok gizli bilgilerini de sızdırabildikleri anlamına gelmemektedir.
Şekilde her ne kadar iceriden dışarıya her turlu erişime musaade ediliyor olarak gozukmekte ise de, son zamanlarda terorizm veya pornografik icerikli bolgelere olan erişimi kısıtlamaya dair eğilimler artmaktadır. Ayrıca dışarıdan iceriye download edilen dosyaların virus ve trojan kontrollerinin yapılması da sıklıkla firewall' a yuklenen bir gorevdir.
Buraya kadar verilen bilgilerden cıkarılacak bir sonuc da firewall' un aslında bir ceşit router olduğudur.
Sanal IP' ler ve NAT
Interneti duzenleyen kurumların bir universiteye ancak C sınıfı bir IP aralığı verebiliyor olmalarına rağmen(cunku uygun IP adreslerinden her isteyene istediği kadar verebilecek kaynak bulunmamaktadır), bir universitede 1000' lerce PC bilgisayar internet erişimine ihtiyac duyabilmektedir.
Eğer internet uzerinde orneğin A sınıfı bir adres aralığına sahip bir kuruma bağlanamamayı goze alabilirsek bu IP aralığını kendi yerel alanımızda kullanmamızda teorikte bir mahsur yokmuş gibi gozukuyor (ki aslında oyle değil. Bizim paketlerimiz doğru adrese ulaşabilseler bile, karşıdan gelen bilgiyi routerlar adresin gercek sahiplerine yonlendirecekler, onlar da boyle paketler talep etmedikleri icin paketleri atacaklardır.) Oyleyse interneti duzenleyen kurumlar bazı adres aralıklarını kimseye vermeseler ve dolayısıyla da internet uzerindeki hicbir router bu adreslere yonlendirme yapmasa butun bu sorunlar ortadan kaldırılmış, teknik konfigurasyonlarda kullanılabilecek, ihtiyac duyulan bu tur IP adresleri sağlanmış olur. Nitekim tarif ettiğimiz ozelliklerde bir takım IP aralıkları, yerel alanlarda kullanılabilmek maksadıyla boş bırakılmışlardır. Bu aralıklardan bazıları A sınıfı icin 10.0.0.0 ağı, C sınıfı icin 192.168.16.0 ağı gibidir. Bu IP aralıklarındaki IP numaralarına sanal IP diyoruz.
Evet, bu adresleri sorunsuzca ve pervasızca yerel alandaki sistemlerimize dağıttık. Ama az once sozunu ettiğimiz bir problem hala ortada duruyor. Bu paketler belki yerlerine ulaşacaklar ama geri donuş yolunda paketler, kendilerine dunya uzerinde hicbir router' ın (yerel router' lar dışında) yonlendirme yapmadığı ağları hedefleyen paketler nasıl olup da yollarını bulabilecekler?
Evet, demek ki bu paketlerin geri donebilmeleri icin paketin uzerinde yer alan ve kaynak IP adresini iceren bolgesinin gercek bir IP adresini icermesi gerekmektedir. Oyleyse bizim firewall' umuza şoyle bi kabiliyet daha kazandırsak: Dış dunyaya giden her paketi gercek IP aralığından belirli bir gecerli IP adresi icerecek şekilde yeniden duzenleyerek dış dunyaya gonderse ve cevap olarak gelen paketleri de tersi işlem yaparak doğrudan istemci sistemi hedefleyerek gonderilmiş gibi duzenlese... Tabii ki yapabiliyor. Bunun icin o kadar para sayıp alıyoruz.
Firewall ya da router sisteminin yaptığı bu adres kandırmacası işlemine Network Address Translation (ağ adres cevirisi/donuşumu) yani NAT adı verilir.

NAT aynı zamanda DMZ bolgesindeki serverlara da dış dunyadan gercek IP adresleri atama prosedurunde kullanılır. Evet, dış dunyaya acık her bir serverımızın gercek IP adresleri olması gerekmektedir.
Ayrıca, bu uc bolgenin de birbirlerinde farklı ağ adresleri olmalıdır ki firewall bu ucunun arasında gercek manada bir yonlendirme işini kontrollu olarak gercekleştirebilsin. Aksi halde orneğin, dış dunyaya kısıtlı bir acıklığı bulunan DMZ bolgesi bir hacker tarafından ele gecirilmiş olsa, bu hacker oradan da kurumsal ağ bolgesine rahatlıkla atlayabilir. Cunku iki bolge de aynı ağda tanımlanmıştır şeklinde bir kabulde bulunmuştuk.
Butun bu anlattıklarımızdan sonra, bir internet kafeye gittiğimizde nicin buyuk olasılıkla 192.168.16.0 ağından bir IP adresimiz PC makinamıza atanmış olduğunu yorumlayabiliyor olmamız gerek. Cunku internet kafelerin kullandıkları tek internet bağlantısını bir cok bilgisayara paylaştırma işini yapan cihaz olan Ip Sharer, firewall' un yerine getirdiğini soylediğimiz NAT işlemini gercekleştiren bir elektronik aygıttır ve aynı teorik altyapıya dayanmaktadır
__________________