Buradasınız: Anasayfa / Teknoloji / Ateş Duvarı Nedir

Ateş Duvarı Nedir

Sponsor Bağlantılar

Ateş Duvarı Ne Demektir?

Ateş duvarı hakkında kısaca bilgiler

  1. Ateş Duvarı sisteminde İnternet’ten gelen mesajlar incelendikten sonra yerel ağa aktarılır.
  2. Ateş duvarı yazılımının çalışması için yüksek kapasiteli bilgisayarlara gereksinim vardır.
  3. Ateş duvarı bir yerel ağdaki bilgisayarın İnternet’e erişim hızını düşüre bilir.
  4. Bu sistem İnternet’e erişen kişileri izlemek için kullanılabilir.

Ateş Duvarı (Firewall)
Ates duvarları ağın içinden veya dısından gelen yetkisiz erisimleri engelleyen, süzen
ve izin denetimi sağlayan yazılımlar veya donanımlardır. Ates duvarlarını yazılımsal,
donanımsal veya her ikisinin de bir arada oldugu gruplara ayırabiliriz. Aslına
bakarsanız donanımsal olanların üstünde de bir çesit gömülü yazılım (firmware),
BIOS vs ismi altında yazılımlar çalısmaktadır.

Ates duvarı deyince sadece bizi dısarıdan gelen saldırılara karsı koruyan birsey
düsünmemek gerekir. Gelismis ates duvarları bunların dısında NAT (Ağ Adres
Çevrimi), VPN (Virtual Private Networking – Sanal Özel Ağ) gibi teknolojileri de bize
sunarlar. Fakat simdilik bu konulara girmeyeceğiz.
Koruma sağlamak için çesitli ates duvarı tipleri/teknolojileri vardır. Bunlardan en
çok kullanılanları sunlardır;

Uygulama Katmanlı Ates Duvarı – Application Level Firewall
Bu tip ates duvarları içeri veya dısarı gidecek OSI modelinde uygulama (application)
katmanında çalısan belli iletisim kurallarına bakarlar (OSI modeli ağ ortamında
bilgisayarların birbirleriyle haberlesirken kullandıkları yedi katmanlı bir standarttır).
Programcılar ve ağ cihazlarını üreten firmalar bu standarta uyarak ürünleri bize
sunarlar. Đsteseler uymazlar da ama o zamanda standart dısında kalacakları için
yaptıkları bir ise yaramayacaktır. OSI modelini daha fazla uzatmayalım. Baska bir
makalede yedi katmanı da detaylı anlatırım. Konumuza dönelim.
FTP,HTTP,SMTP,POP3,IMAP,TELNET,FINGER,DNS…. Uygulama katmanında çalısan
iletisim kurallarından bazılarıdır.

Uygulama Katmanlı Ates Duvarı – Application Level Firewall
Đç ağdaki (LAN) bir kisi Internet Epxlorer’ı açtı “www.google.com.tr” yazdı giris
tusuna bastı diyelim. Yazılım dıs ağdaki (Internet) sunucuya bağlanmak isteyecektir
ve 80 numaralı portu hedef olarak gösterecektir. Bu paket ates duvarına geldiğinde
tamam iyi güzel paket 80 numaralı porta gidiyor ama içinde HTTP var mı yok mu ona
bakar. Varsa HTTP’nin içinde istemediğim bir sey var mı yok mu ona da bakabilir.
Đstemciler bunu yapabilmek için bir yazılım kullanırlar. Bu yazılımda IP paketi
içerisine kendisi ile ilgili bilgiyi yerlestirir. Bu sefer yönlendirici bölümünde
bahsettiğimiz gibi IP baslığına değil de uygulama baslığına (application header) koyar.
Ates duvarı da IP paketini açar bakar ve bu baslık ile ilgilenir (Bütün ates duvarları
paketleri açıp içlerine bakarlar. Sadece baktıkları yerler veya kullandıkları
teknolojiler farklılık gösterir). Bu tip ates duvarlarını MSN’yi dısarıya engellemek için
kullanılabiliriz.

Burada siz MSN’de A harfine bastınız diyelim. Dünyanın her yerinde yediden bire
kadar olan sıra izlenir. Bire gelindiğinde A harfiniz artık elektriğe dönüsmüstür ve
karsı tarafa gönderilir. Karsı taraf da birden yediye kadar olan sırayı izler ve
karsısında A harfini (uygulama katmanında) görür. Her katman bir üst veya alt
katman ile ilgilenir. Đki üstü ile ilgilenmez. Bir sıra izlenmelidir. Đletisim kuralları
(protocol) ve yapılan islemler sadece örnek olsun diye yazılmıstır. Bunların dısında
daha pek çok islem ve iletisim kuralı vardır.

Paket Süzen Ates Duvarı (Packet Filtering Firewall)
Bu tip ates duvarları IP iletisim kuralını (protocol), IP adresini ve port numarasını
denetleyen eden bizim tarafımızdan belirlenen bazı kurallar (rule) içerirler. O yüzden
ayarlarını çok iyi yapmamız gerekmektedir. Diğer türlere nazaran daha zahmetlidir.
Bu tip ates duvarları paketlerin uygulama olup olmadığıyla değil ağ tarafı ile
ilgilenirler. IP paketini açıp IP baslığına yani kaynak (source) hedef (target), iletisim
kuralı, port vs bakarlar.

Bunun bir kötü tarafı vardır. Örneğin ağ sunucunuz var diyelim. Her seyi engelleyip
sadece web trafiğini açarsınız. Buraya kadar her sey güzel. Herkes web sunucunuza
erisiyor. Baska hiçbir sey yapamıyorlar ama sizin web sunucunuza saldıran da
erisiyor gezinti yapan da. Bunu ayırt edebilmesi için IDS (Intrusion Detection System
– Saldırı Denetleme Sistemi) veya IPS (Intrusion Prevention System – Saldırı Önleme
Sistemi) özelliginin olması gerekir. Paket süzen ates duvarları bu farkı algılayamazlar.
Ayrıca bu tip ates duvarları stateful packet inspection (ip paket denetleme)
yapamazlar. Yani paketlerin gerçekten istenilen iletisim kuralı (protocol), port ve ip
den gelip gelmediğini anlayamazlar. Biraz daha açmak gerekirse paketin daha
önceden kurulmus bir bağlantıdan mı geldiğini anlayamazlar. Eklediğimiz kural ne
diyorsa ona bakarlar. Yani bu tip ates duvarına “sadece dısardan gelen paketlere izin
ver ama bağlantı daha önceden kurulmus olsun” diyemiyoruz.

Bu biraz kafa karıstırıcı olabilir. Burada sunu anlamamız gerekiyor. Mesela A ve B
makinası TCP bağlantısı kurduğunda üç yollu el sıkısma (3-way handshake) diye bir
islem gerçeklesir. Basit olarak anlatacak olursak, bu islemde A makinası B
makinasına (1)SYN paketi gönderir. B makinası karsılık olarak (2)SYN/ACK gönderir.
Ondan sonra A makinası B’ye (3)ACK paketi gönderir ve bağlantı kurulmus olur. Siz
bilgisayarınızda baslat/çalıstır a “cmd” yazıp komut isteminde “netstat -an”
yazarsanız gördüğünüz “ESTABLISHED” bağlantılar bu islemin gerçeklestigini
göstermektedir. Daha fazla ayrıntıya girmek istemiyorum. Sonuç olarak herhangi bir
A makinası böyle bir islem olmadan paket süzen bir ates duvarının zaafından
yararlanabilir. Mesela saldıran biri durmadan SYN gönderebilir. IP yanıltma
(spoofing) yapabilir.

Durum Denetlemeli Ates Duvarı (Stateful Firewall)
Bunlar paket süzen ates duvarları gibilerdir ama daha akıllılardır. 90’larda
Checkpoint firması tarafından gelistirilmistir. Zamanla bir standart haline gelmistir.
OSI modelinde ağ katmanına ve iletim katmanına bakarlar (bazen tüm paketi daha
iyi incelemek için üst katmanlara da bakarlar).
Örnek verecek olursak yine bir ağ sunucunuz var diyelim. Siz kural eklersiniz ve
kullanıcılar sunucuya bağlanır. Bu noktada bu tip ates duvarları gelen isteğin
gerçekten bağlantı kurulacak IP olup olmadığına, iletisim kuralına kaynak ve hedef
portlarına bakarlar. Ondan sonra üç yollu el sıkısma (3-way handshake) gerçeklesir
ve bağlantı kurulur. Mesela saldırgan yanıltma (spoofing) yapıyorsa (yani kendi ip
adresini, iletisim kuralını veya portunu olması gerektiğinden farklı gösteriyorsa)
bunu anlarlar ve karsı tarafa SYN/ACK göndermezler ve paket karsı tarafa herhangi
bir bilgi göndermeden düsürülür (Drop). Bu olmasa ne olurki diyeceksiniz. Mesela
eğer böyle bir sey olmazsa saldırgan on binlerce yanıltıcı paket gönderip sizin ağ
sunucunuzu gelecek gerçek SYN paketlerine SYN/ACK gönderemez hale getirebilir.
Sonuç olarak kimse sunucuya erisemez.

Yine de bu ates duvarları hala iyi ve kötü trafiği algılayamazlar. IDS veya IPS
gereklidir. Bu noktada IDS veya IPS’inde tabiri caizse kul yapımı olduğunu belirtmek
gerekiyor. Yani bunlar bilmedikleri kötü trafik için bisey yapamazlar. Bazı firmalar
kendi IDS veya IPS sistemlerinin akıllı olduklarını ve bilinmeyen saldırılara karsı
önlem alabildiklerini iddia etseler de ne kadar basarılı olduğu konusunda süphe
duymak gerekir. IDS/IPS demisken ates duvarı ile ilgili bir teknoloji daha var. Buna
da Deep Packet Inspection(Derin Paket Đnceleme) diyoruz. Bu IDS/IPS ile tümlesik
çalısan bir teknolojidir. Simdilik bu konuya değinmeyeceğiz. Durum denetimi yapan
(Stateful) ates duvarına tanıdık bir örnek verecek olursak Windows’umuzun o basit
ates duvarı bu türdendir.

Sonuç olarak ev kullanıcılarına gelecek olursak. Evde bilgisayarımızda kullandığımız
yazılımsal ates duvarları genelde bunların hepsini bir arada bulundururlar veya
birkaç tanesini içlerinde bulundururlar. Zaten ürünün özelliklerine baktınızda
görürsünüz uygulama denetimi yaparım, durum denetimi (stateful) yaparım, IP
kuralları ekleyebilirsiniz vs. Bende her sey var bana bisey olmaz derler. Çok
beklenmedik bir terslik olmadıkça ve ayarlarınız düzgün olduğu sürece buna
katılabilirim.

ADSL yönlendiricilerimize gelince orada ufak bir ates duvarı bilmecesi mevcut.
Bazıları bende ates duvarı var derken ADSL yönlendiricilerimizdeki NAT özelliğini
içeriden bir bağlantı olmadığı sürece dısardan gelenleri engellediği için ates
duvarıymıs gibi öne çıkarıyorlar. Ates Duvarı ile NAT ayrı ayrı seylerdir. Buraya
dikkat etmek gerekiyor. Gerçekten ates duvarı olanlarda var tabi ki. Bunlarda
genelde paket süzme yapıyorlar. Uygulama katmanlı olanları da mevcut.
Bu noktada evde kullandıgımız ates duvarını da kullanmayı bilmiyorsak oda bir ise
yaramaz. Ona hangi kuralı ekleyeceğimizi, hangi uygulamaya izin verecegimizi
bilmedikten sonra olmaz. Bir virüs bulastı diyelim. Ates duvarı uyarı verdi. Đnternete
bağlanmak isteyen bir uyugulama var izin vereyim mi vermeyim mi? Sizde bunun ne
olduğuna dikkat etmeden izin verirseniz ne kadar ates duvarınız olsa da bir ise
yaramaz.

Bu arada bu isi kötü niyetle yapanlar evde kullandığımız yazılımsal ates duvarlarına
(kisisel ates duvarları-personal firewalls) yakalanmamak içinde sızma (leaking) gibi
yöntemler kullanmaktadırlar. Bu sayede ates duvarını etkisiz hale getirip istediklerini
yapabilmektedirler. Ates duvarı üreticileri de buna karsı önlemlerini almaya devam
ediyorlar tabi ki.

Internet’in ülkemizde yaygınlastığı su günlerde internette geçirdiğimiz vakit de
artmakta. Artık bilgisayarlarımızı yalnızca bir oyun aracı değil özel islerimizi, alıs
verisimizi, banka aktarımlarını hatta isimizi yaptığımız para kazandığımız cihazlar
olarak kullanmaktayız. Sonuç olarak artık hayatımızın önemli bir parçası haline
geldiler. O yüzden kullandığımız bu cihazlara iyi bakmak, korumak, nasıl
haberlestiklerini öğrenmek gerekmektedir.

Sponsor Bağlantılar

Bir önceki yazımız olan USB'nin Koruması Nasıl Kaldırılır Başlıklı makalemizi de okumanızı öneririz.

Cevapla

E-posta hesabınız yayımlanmayacak.

Scroll To Top