PIX Firewall (6.1) özellikleri ve konfigürasyonu

Adaptive Security Algorithm(ASA)
PIX “Stateful” kontrol yaratmak icin kullanılan bu algoritma ile, dışarıdan iç(korunan) ağ’a doğru gelen her paketi ASA ve hafızada tutulan baglantı durumu bilgisini kontrol eder. TCP protokolü gereği korunan ağlardan yapılmış bir isteğe cevap niteliği taşıyan paketler, yada korunan ağlarda bulunan sunuculara (örneğin WEB) doğru gelen istekler dışındaki paketleri keser, izin verdigi paketlerin de paket yapısını kontrol edip içeri geçirir. Bu tarz bir güvenlik sistemi diğer firewall sistemlerine göre daha emniyetli kabul edilmektedir.
* Özellikle izin verilmezse bütün ICMP paketleri kesilir.
* UDP protocolu için de TCP’de olduğu gibi bir “istek yapan ip - cevap veren ip” tablosu oluşturulur. Ve bu tabloya yazılmış bir bağlantı durumuna ait olmayan bütün paketler kesilir.
NOT: Check Point ‘de de buna benzer bir sistem kullanılmaktadır.

Nat ve Pat
PIX diğer bütün firewall’lar gibi Nat (Network Address Translation) yapabilmektedir. Dinamik Nat icin DHCP sunucu kullanılabilir. Pat yani port address translation yapılabilir.

Cut-through Proxy
Performansı artırma amacı taşıyan bu uygulama ile, bir kimlik tanılama sunucusu tarafından onaylanan kullanıcılardan PIX’e gelen paketler, diğer tüm firewall’lardan farklı olarak OSI katmanındaki 7.ci seviye olan uygulama (application) seviyesinde kontrol edilmeksizin dogrudan paket akışına tabii olurlar. 7.ci katman uygulamalarının kontrolu zaman ve kaynak tüketen bir uygulama oldugu icin, Cut-through proxy imkanına hak verilmiş kullanıcılar için önemli oranda performans artırımı sağlanmış olur.

Access Control
PIX üzerinde, ağ kullanıcılarına, 3 ayrı şekilde hak tanımı yapılabilir.
* AAA Integration: Radius yada TACACS sunucular ile PIX’in entegre edilmesi mümkündür. Sunucularda tanımlanan kullanıcılara, “User” (kullanıcı) bazında haklar verilebilir.
* Access Lists: PIX uzerine Access-list (erişim listesi) yada access-group komutları ile yazılan access-list’lerle ip bazında haklar tanımlanabilir.
* Conduit : Access-list’lerle aynı işlevi gören conduit ve outbound komutları ile ip bazında haklar tanımlanabilir. Ancak access-listler daha çok tercih edilmektedir.

Ataklardan Korunma
PIX ile ağ aktivitesi gereğince yapılabilecek, aşağıdaki belli başlı bazı atak türlerinden korunma saglanabilir. Bunlara ek olarak PIX üzerinde kısıtlı bir atak türü (signature) veritabanı ile IDS savunması yapılabilmektedir. Bu konu sonraki bölümlerde anlatılacaktır.
* Unicast Reverse Path Forwarding: “Reverse Route Lookup” olarak da bilinen bu özellik ile içerden ve dışardan kaynaklanabilecek “Ip Spoofing” aktivitesini engellemeye yardımcı olmak amaçlanmıstır. Dışardan gelen paketler icin “source address” uyumlulugu kontrol edilir.Yani iç ağa ait bir “source ip” ile dışardan gelinemez. Ayrıca dışarı doğru giden paketlerin hedef ip’ye varsa en kısa yoldan gitmeleri amaçlanır. Tabii ki bunun icin route tablosuna hedef ip için tanımlama yapmak gereklidir.
* Flood Guard: Bu özellik AAA servisinin cevaplanmayan login girişimlerindeki bekleme süresini kontrol eder. Böylece AAA servisi üzerinden gelebilecek bir DoS (denial of service) atağını engellemek amaçlanır. Ve AAA servisinin optimum şekilde kullanılması sağlanır.
Default olarak aktiftir, floodguard 1 komutuyla kontrol edilir.
* Flood Defender: Bu ozellik iç sistemlere TCP SYN paketleri kullanılarak yapılabilecek DoS ataklarına karşı geliştirilmiştir. Nat ve static komutlarına “maximum embryonic connections” opsiyonu set edilerek kullanılır. Bir iç sistemle kurulabilecek maksimum bağlantı sayısı (“maximum embryonic connections”) sistemin kapasitesine göre belirlenir, bu sayı aşıldıktan sonra başka bağlantıya izin verilmez.
* FragGuard and Virtual Re-Assembly: Bu özellik ile “teardrop.c” gibi saldırılarla bölünmüş ve bozulmuş ip paketlerinin sistemlere zarar vermesini engellemek amaçlanmıstır. PIX üzerinden yönlendirilen bozuk yada yarım paketler, sanal olarak düzeltilir ya da tamamlanır.
Aksi halde drop edilir. Bu özellik default olarak açıktır.
* DNS Control: Her zaman aktif olan bu özellikle iç ağdaki bir makinadan birden çok DNS sunucusuna yapılmış DNS isteğine, verilen ilk cevabın kabul edilmesi sağlanır. Diğer sunucuların cevapları kesilir.
* ActiveX Blocking: PIX, activex bloklama özelliği ile HTML web sayfasındaki HTML <object> komutlarını bloke eder. Bilindiği gibi ActiveX teknolojisi ağ kullanıcıları için pek çok potansiyel problem içermektedir.
* Java Filtering: Bu özellik korunan ağdaki bir sistemin, Java Aplet’lerini download etmesini engellemek için kullanılır.
* Url Filtering: PIX, NetPartners Websense ürünü ile beraber çalışarak Url Filtreleme yapmaktadır. Dışa doğru olan Url istekleri Websense sunucusuna yönlendirilir. Ve PIX Websense sunucu üzerinde tanımlanmış Url kurallarına(policy) göre davranır.
Daha fazla bilgi icin: http://www.websense.com

GELECEK BÖLÜM: Spesifik Protokoller Ve Uygulamalar
Kaynak: Cisco Web Sayfası
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_61/config/overvw.htm#xtocid227512