Güvenlik duvarı özel ağ güvenlik sisteminizin önemli bir parçasıdır. Bir güvenlik duvarı özel ağınız ile Internet gibi herkesin kullanımına açık ağ arasında güvenlik sağlar. Bu iki ağ arasındaki tüm trafik güvenlik duvarı tarafından incelenmelidir.
Güvenlik duvarından sadece izin verilen trafik geçebileceğinden Internet ile özel ağınız arasındaki haberleşmenin serbestlik seviyesini kontrol etmede kullanabilirsiniz. Örneğin, hangi servislerin ağınıza girişine ve hangilerinin çıkışına izin verileceğine karar verebilirsiniz. Ayrıca dahili servislerinize kimlerin erişebileceğini belirleyebilirsiniz. Güvenlik duvarınızı ayarlarken nelerin yasaklanacağını belirleyebilir ve geri kalan herşeye izin verebilirsiniz. Bu ufak bir ağ için esnek ve uygundur. Fakat büyük bir ağı bu şekilde korumak zordur. Alternatif olarak, güvenlik duvarınızda hangi servislere izin verileceğini belirleyip diğer herşeyi bloklayabilirsiniz. Bu kullanıcılarıza sınırlama getirse de bu metod daha güvenlidir. İdeal olarak güvenlik duvarınız nelerin filtreleneceği konusundaki tanımlamalarınıza ince ayar yapabilmenize izin vermelidir. Güvenlik duvarının kullanımı kolay olmalı, belki bir grafik kullanıcı arayüzü ile (GUI). Ve basitçe yetkisiz istekleri durdurmak yerine, denemeleri kayıt etmeli, tanımlamya çalışmalı ve denemeyi hemen rapor etmelidir.

Bir güvenlik duvarının etkili olabilmesi için kendisine sızılmasına izin vermemelidir. Bununla beraber bir güvenlik duvarı tek başına özel ağınızı korumada tüm ihtiyacınız olan güvenliği sağlayamaz. Örneğin ağınızı veri kaynaklı (zararsız görünüp intranetinize girdikten sonra sisteminize içerden saldıran) saldırılardan koruyamaz.

Kullanıcıların bir güvenlik duvarını kullanmadan (bypass) etmesi mümkündür. Bunu basitçe ağdaki makinelerine bir modem takarak ISS`e (Internet Servis Sağlayıcı) kendi bağlantılarını kurarak gerçekleştirebilirler. Fakat bu izlenmeyen bağlantılar aynı zamanda Internet saldırganlarının içeri girebilmeleri içinde bir yol sağlar. Bazı güvenlik duvarları e-postaları virüs tehditi için izler fakat virüs bulaşmış yazılımlara karşı bir koruma sağlamazlar. Ve firma çalışanlarının önemli bilgileri dışarı göndermemesini garantileyemez. Bu sebeple güvenlik duvarını anti-virüs çözümü, kriptolama ve çalışanların eğitilmesi gibi güvenlik önlemleri ile birlikte kullanmalısınız.

Bir güvenlik duvarı uygularken harcamaları düşünmelisiniz. Buna sadece başlangıçtaki donanım ve yazılımı almak değil sürecek olan bakımı, güncellemeler, yönetim ve eğitim harcamaları da dahil olmalıdır. Ve ağ trafiğini kontrol etmek zaman alacağından her güvenlik duvarı uygulanışı ile alakalı olarak bir performans harcaması da söz konusudur.

Haberleşmeyi yavaşlatmak Internet`in amacına ters düşmektedir. Fakat bunun alternatifi de dışardakilere dahili ağınıza tam, izlenmeyen bir erişim izni vermektir. Veya intranet`iniz ile Internet arasında hiçbir bağ kurmamaktır.

Bir güvenlik duvarı firmanızın Internet kullanımını izleyip kayıtlarını tutabilmenizi sağladığından Internet bağlantınızı geliştirmede kullanabilirsiniz. Kayıtları inceleyerek problemleri ve yeni gereksinimleri görebilirsiniz.

Bir güvenlik duvarı ağ adresi çevrimi (NAT - Network Address Translation) olarak da bilinen IP adres maskelemesi yapabilmenizi sağlar. IP adres maskelemesi ile ağınızdaki makinelerin adresleri harici kullanıcılar tarafından bilinmez. Bunun yerine harici kullanıcılar haberleşmeleri ağ-geçidinizin (gateway) IP adresine gönderirler ve ordanda doğru kişiye yönlendirilirler.

IP adres maskeleme sadece güvenlik sağlamakla kalmaz, aynı zamanda IP adreslerinin yetmediği durumlarda çözüm sağlar. Ayrıca başka bir Internet Servis Sağlayıcısına geçildiğinde ağdaki tüm makinelerin IP adreslerinin değiştirilmesi gerekmez.

Güvenlik duvarları sadece intranet ile Internet arasındaki haberleşmede kullanılmaz. Aynı zamanda intranet içerisindeki trafiği kontrol etmede ve izlemede de kullanılabilir. Dahili güvenlik duvarları uygulamak intranet`inizi 'güvenlik alanları'na (security domains-bir güvenlik alanı aynı güvenlik seviyesine sahip makineler grubudur) ayırır. Eğer firmanızda tüm dahili bilgilere erişmemesi gereken kişiler varsa ağınızı güvenlik alanlarına bölebilirsiniz. Örneğin, kullanıcı hesapları, pazarlama stratejisi veya ürün geliştirme hakkındaki önemli bilgilerin korunması gerekir. Bu özellikle çalışanların rakiplere bilgi sızdırmaya eğilimli oldukları durumlarda geçerlidir (FBI`ın bir anketine göre tüm bilgisayar suçlarının %80`i içerden gerçekleştirilmiştir).

Eğer sadece bir güvenlik duvarınız varsa ve bir saldırgan onu geçmeyi başarırsa ağdaki tüm bilgilere erişebilir. Fakat dahili güvenlik duvarlarınız varsa saldırgan ağınızın sadece bir bölümüne erişebilir. Bu sebeple saldırganın gerçekten istediği bilgilere erişebilmesi için çeşitli güvenlik duvarlarını aşması gerekecektir.

Bir güvenlik duvarı çeşitli donanım ve yazılım parçalarından oluşur.
Güvenlik duvarları bastion host`lar, paket-filtreleme router`ları, uygulama-seviyesi (application-level) ağgeçitleri ve devre-seviyesi (circuit-level) ağgeçitleri olabilir. Kombinasyon hangi ürünü aldığınıza bağlı.
'Bastion-host' dahili ağınızı harici bir ağa bağlayan bir ağ-geçidi makinesidir. İki ağ arabirim kartına sahip çift-evli (dual-homed) bir makine bastion-host`a örnek olarak verilebilir. Güvenli olması gerektiğinden bastion host`u yakından izlemek iyi bir fikirdir.

Ağ adres çevrimi (NAT) daha önce bahsettiğimiz gibi dahili IP`leri gizli tutarak güvenliği artırır. Ve teki bir kayıtlı IP adresiniz olsa bile ağınızdaki farklı makineler Internet ile bireysel olarak haberleşebilirler.
Sıradan bir router IP paketlerini alıp adreslerine bağlı olarak en verimli yolu kullanarak yönlendirir. Her adresi inceler, en iyi yolun hangisi olduğuna karar verir ve sonrasında mesajı otomatik olarak yönlendirir. Karar hangi yolun en kısa olduğuna, en ucuz olduğuna bağlı olabilir veya ağ yöneticisi tarafından belirlenmiş olan önceliklere bağlı olabilir.

Bir paket-filtreleme router`ı her paketi yönlendirilip yönlendirilmeyeceğine karar vermek için inceler (paket-filtreleyiciye bazen izlenen router (screened router) da denir. Genelde paketin içeriğini incelemez, paket başlığı bilgilerine bakar. Paket filtreleyici, tarafınızdan sağlanan kabul edilebilirler listesine göre paketin kaynak ve hedef adresini, protokolü, servisi ve diğer bilgileri kontrol eder. Eğer politikanız pakete izin veriyorsa en uygun yola yönlendirilir. Aksi takdirde atılır.
Çoğu Internet güvenlik duvarları tek başına paket-filtreleyen router kullanır. Fakat, paket filtreleyici router`lar paketlerin içeriğini incelemediği için veriye-dayalı saldırılara karşı koruma sağlamazlar. Paket filtrelemenin kullanımı kolaydır fakat aynı zamanda saldırılması da kolaydır. Ve hangi paketlere izin verilmeyeceğine siz karar verdiğinizden her hata güvenlik duvarını güçsüzleştirir.

Bir Uygulama-seviyesi ağgeçidi bir bastion-host üzerinde çalışabilir ve e-posta gibi belirli uygulamalara olan trafikte kısıtlamalar yapabilir. Tüm ağ trafiği için genel amaçlı bir kod kullanımı yerine proxy serivisi adı verilen özel bir kod kullanır. Güvenlik duvarınızdan geçmesini istediğiniz her uygulama için ağ-geçidi üzerine bir proxy servisi kurarsınız. Sadece proxy kodu kurulan servisler uygulama ağ-geçidinden geçebilir. Ve bir uygulama için proxy kodunu uygulamanın sadece belirli özelliklerini destekleyecek şekilde ayarlayabilirsiniz.
Uygulama-seviyesi ağ-geçitleri katı bir güvenlik politikasını yürütmek için iyi bir seçimdir çünkü ağınızdan erişilen her servisi kontrol edebilmenize izin verir. Ayrıca kullanıcı kimlik tanılamasını desteklerler ve detaylı kayıt (log) bilgisi sağlarlar. Ayarlanmaları bir paket-filtreleyici router`dan daha karmaşık olsa da bakımları daha kolaydır.

Paket filtreleyici router`ların aksine uygulama ağgeçitlerinin kurulumu pahalıdır. Ve performansı yavaşlatabilirler.
Proxy sunucusu bir uygulama-seviyesi ağ-geçidi tipidir. Bir uygulama ağ-geçidi gibi proxy sunucusu transfer edilen verileri kontrol eder. Ayrıca kullanıcı ismi ve şifrelerin geçerliliğini de kontrol edebilir. Ve sık istek yapılan web sayfalarının kopyalarını saklayarak kullanıcıların daha hızlı erişmesini sağlayabilir.
Devre-seviyesi ağ-geçidi, bir bastion-host üzerinde uygulama-seviyesi ağ-geçidi veya bir proxy sunucusu ile birlikte bulunan özelleştirilmiş bir fonksiyondur. Bir devre ağ-geçidi basitçe dahili makineleri harici TCP/IP portlarına bağlar. Transfer ettiği verileri veya servisleri incelemez. Devre-seviyesi bir ağ-geçidi Internet`e direk erişim sağladığından sadece güvenilen dahili kişilerden dışarıya giden haberleşmelerde kullanırsınız. İçeri gelen bağlantılar için hala bir uygulama-seviyesi ağ-geçidi kullanırsınız. Bu yolla güvenilen kullanıcılardan dışarı giden bağlantıları hızlandırırken ağınızı harici saldırılardan koruyabilirsiniz.

Paket Filtreleme
** Devam Edecek **

__________________________