AG GÜVENLİGi ağını en - Sakarya Üniversitesi Fen Bilimleri

advertisement
SAU Fen Bilimleri Enstitüsü Dergisi
7 .Ci lt,
A� Güvenliği
T.Fırlar
l.Sayı (Mart 2003)
AG GÜVENLİGi
Talat Fırlar
••
Ozet-Bu çalışmada IP ağlarındaki güvenlik sorunları
incelenmiş ve bu sorunun çözümü için bir
mekanizma önerilmiştir. Bu çerçevede, genel olarak
ağ güvenliği kavrann üzerinde durulmuş, Internet,
Ethernet Ağları ve IP Ağlarındaki güvenlik
konusunda bilgiler verilmiştir. Bu çalışma, sadece IP
Ağlarındaki güvenlik probleminin tanımını yapnıak
ve bir çözüm mekanizması ortaya çıkarmak için
hazırlaonuştır. Gerçek uygulama geleceğe bırakılmış
bunun yanında gerçek uygulama için öneriler
sunulmuştur. Bu makale, insanların Internet'teki
bilgi ve kaynaklarını korumak için kullandıkları
farklı güvenlik modellerini tanımlayacağız
alırunadığı takdirde güvenli değildir. Aynı
.
zamanda Intemet'e bağlı bir ağın yine gerekli önlemler
önlemler
alınmadan güvenli olduğu söylenemez.
Internet ile beraber toplumların iletişim yapısı büyük bir
değişikliğe uğramıştır. İletişim ve haberleşme, yüzyıllar
önce başlayan posta sistermnden günümüz Internet'ine
kadar büyük bir yolculuk geçinniştir ve bu yolculuk hala
devam etmektedir.Bu büyük yolculuk ve değişimin ana
kaynağı Intemet'tir. Internet, iki güçlü müttefik olan,
bilişin1 ve iletişimi, öne sürmektedir. Telefon şebekeleri
ya da radyo ağı gibi tek bir hizmet için işletilen iletişim
ağlan yerine, Internet bilişimin gücünü kullanarak, tek bir
iletişim ağım birçok uygulama için kullanmaktadır. Bu
sistem aynı anda mesajlaşma, genel yayınlama, ses ve
Anahtar Kelimeler-Güvenlik, Doğr11luğunu Onayl.ama,
Yei"el A4lan Ağları, I�ıternet,
Sürücü,
video, gerçek zamanlı paylaşım ve daha birçok uzlaşma
TCP/IP, Şifreleme, Paket
gerektiren
Web güvenliği, Web tarayıcı güvenliği, Aktif
ve
hizmet sektörleri arasındaki sınırlar giderek belirginliğini
yitirmeye başlamıştır.
Benzer bir şekilde bu birliktelik; bilişim dünyasına da
değişiklikler getiııniştir. Genelde veri işleme cihazı olarak
kabul edilen bilgisayar, yerini sayısal asistanlara, Web
TV'lere,
ve
kameralanna
ileti.sim
yeteneklerini
tanımlarsak tanımlayahrn, karşı çıkamayacağı!lli-_: tek bir
konu vardır ki; o da iletişim ve bilişim endüstrisindeki
büyük gelişme ve değişimdir. Bu değişimin en büyük itici
gücü Internet
bilgisayar ağı ve onunla berber gelen
Intranet, elektronik ticaret, Internet servis sağlayıcı gibi
yeni oluşumlardır. Bu da bize gelecekte, iletişin1 ve
haberleşmenin giderek daha büyük bir hızla bilgisayar
Access Control, Authentication,
Local
Area
Networks,
TCPIIP,
Internet,
Encipherment, Pac ket Driver.
ağlan
üzerine
kayacağını
göstemı.ektedir.
Elektronik
ticaret gibi gerçek zamanda yapılan ve para transferinin
söz konusu olduğu işlerde; performansın, doğruluğun ve
güvenliğin en üst düzeyde olması gerekir. Bu nedenle, bu
!.GİRİŞ
tip uygulamaların yapılacağı
Intranet 'Ierin
nternet'in en büyük avantajını oluşturan, tüm dünyanın
bilgisayar
>ağlı olduğu veri ağı olma özelliği, aynı zamanda en
oluşturur;
ağ
kullanan diğer aygıtıara bırakmıştır. Bu gelişmeleri nası1
Keywords: Security-
da
İletişim
değişime neden olmuştur ve bu kapsamda farklı iletişim
Absıract-In this study, the security probleıns in IP
Networks is investigated and a mechanism for solving
this problem is proposed. Within this scope, the
general network security coııcept is explained, and
some information about security problem in IP
networks and Ethernet, Internet Networks are given.
This study is prepared just for defining the security
problenı in IP networks and to obtain a solution
mecbanism. The real life implementation is
postponed as a future work. But the proposals for the
reaJ life implementation are presented.we deseribe
different models of security people have used to
protect tbeir data and resources on the Internet.
noktayı
desteklemektedir.
bilişimin bu birlikteliği, iletişim dünyasında büyük bir
içerik teluıojüerinin güvenliği.
�ayıf olduğu
uygulamayı
anlaşılması
GÜVENLİK!.
ve
gerekmektedir.
nternet üzerinde hareket eden hiçbir veri gerekli
her
kuruluş ta
yönetiminin
öneminin
olduğu
ağı
ınternet
kolay,
hızlı,
bağ1antısı olan
konunun
iyi
yani
şekilde
uygulanabilir
olması
en
Bunu sağlayabilmek için bilgisayar ağı
yönetüni konusunun bileşenlerinin ve öneminin çok iyi
anlaşılması gereklidir. Bilgisayar ağı yönetimi konusu, en
genel biçimiyle; ağ mimarisi, performans yönetiıni, hata
�.Ftrlar;İ.Ü.Teknik Bilin1ler M .Y .O,Avcılar İstanbul
yönetinti,
kurulum
yönetimi,
kullanıcı
yönetimi, güvenlik yönetimi gibi bir bilgisayar
9
hizmetleri
ağını
en
Ağ Güvenliği
SAU Fen Bilimleri Enstitüsü Dergisi
T.Fırlar
?.Cilt, l.Sayı (Mart 2003)
etkin biçimde işietebilmek için gereken temel alanları
Ayrıca,
içermektedir.
bilgisayai
ağı
hizmetlerinin
kalitesi, kriptografi, sanal özel ağlar (virtual private
networks), Internet hizmetleri rnühendislik ve işletme
stratejileri ile Internet ve toplum politikaları gibi konular
da herhangi bir bilgisayar ağınJn yönetimini etkileyen
faktörleri oluşturmaktadır. Bu çalışmada; bu konular
daha detaylı bir biçimde incelenmekte ve ülkemizde de
gerek
gerekse
akademik
sanayi
bu
sektörlerinin
gelişmelerin dışında ya da gerisinde kalmamaları için
neler
yapılması
gerektiğine
önerilerde
ilişkin
bulunulmaktadır.
Bu
makalede,
etkileyen
son
yıllarda
web' de
sörf
yapanlan
kişinin mahremiyetini ihlal etmeye, kullandığı sistemin
bütünlüğünü bozmaya, sistemin yararlı hizmet vermesini
engellemeye veya sadece rahatsızlık vermeye yönelik
yapılan saldırılar, sebepleri ile birlikte açıklanmaktadır.
Güvenlik problemlerinin birçoğunun web tarayıcılannın
kaynak kodunda yer alan hatalardan veya
JavaScript,
ActiveX ve Java gibi aktif içerik sağlayan teknolojilerin
güvenlik boşluklarından istifade edilerek
yapıldığı sonucu ortaya çıkmaktadır.Bazen de bu tür
aktif
içerik
teknolojilerinin
tarayıcılarla
etkileşimi
sırasında ortaya güvenlik boşlukları çıkabilmektedir
Internet
erişim
bilgiye
yayınlanmasında
teknolojik
yeni
gelişme.
sağlayan
yollar
Fakat
sunan
aynı
ve
bilginin
muhteşem
zamanda
bir
bilginin
kirletilmesi ve yok edilnıesi için yeni yollar sunan büyük
bir tehlike. Bu makale, insanlarm Internet'teki bilgi ve
kaynaklarını korumak için kullandıkları farklı güvenlik
modellerini
tanımlayacağız.
Makalede
üzerinde
durduğumuz nokta ağ güvenliği modeli ve genelde,
Internet
duvarı
güvenlik
bir
ağın
duvarları
Intemet'e
kullanımı.
Bir
bağlanmasını
güvenlik
sağlarken
güvenliği belirli seviyede tutan bir korunma biçimidir.
Burada "Bir Internet Güvenlik Duvarı Nedir?" güvenlik
duvarlarının ilkeleıini ve sitenizi güven1i yapmak için
neler
yapıp
yapamadıkları
anlatılıyor.
Bir
güvenlik
duvarı ile neler yapabileceğimizi tartışmadan önce neden
bir güvenlik duvarına ihtiyacımız olduğu belirtilmelidir.
Sistemlerimizde neleri koruyabiliriz.. Günümüzde ne tip
saldırı ve saldırganlar görebiliriz,sitemizi korumak için
ne tip güvenlik çözümleri kullanabiliriz.
Bii güvenlik duvarı basitçe koıuyucu bir cihazdır. Eğer
bir güvenlik duvan inşa ediyorsanız ilk düşünmemiz
gereken
neyi
Bütünlüğü:
diğer
insanların
değiştirmesini
onu
istemezsiniz.
Mevcudiyeti: mutlaka kendiniz kullanınak isteyeceksiniz.
İnsanlar gizlilik ile ilgili riskiere odaktanırlar ve bunların
büyük risk olduğu doğrudur. Çoğu firma
en
önemli
sırlarını - ürünl erinin dizaynı, finans kayıtları veya öğrenci
kayıtları-
bilgisayarlarında
tutarlar.
Diğer
taraftan
sitenizde bu tip gizli bilgiler içeren makineleri Intemet'e
bağlanan makinelerden ayun1anın çok kolay olduğunu
web güvenliği problemlerinden sörf yapan
doğurduğu
Gizlilik: diğer insanların onu bilmesini istemeyebilirsiniz.
korumaya
çalıştığımızdır.
Intemet'e
bağiandığımızda üç şeyi riske atıyoruz:
varsayalım
Bu
dunımda
neden
değil.
şey
Hala
düşünmelisiniz.
bütünlük
Sonuçta
ve
eğer
[1]:
mevcudiyet
bilgiler
konusunu
gizli
değilse,
erişemediği de un1urunuzda değilse, neden onun için yer
harcıyorsunuz?.Bilgiler gizli olmasa da, o yok edildiğinde
yada değiştitildiğinde oluşacak sonuçlar sizi etkileyebilir.
Bu sonuçlann bazıları hazır hesaplanabilir giderlerdir.
eğer bilgi kaybederseniz, tekrar yapılandırılması için para
ödemeniz gerekir, o bilgiyi herhangi bir şekilde satma yı
planlıyorsanız, bilgi direk olarak sattığınız bir şey olmasa
da satış kaybı olur. Ayrıca güvenlik problemleri ile ilgili
gözle görülmeyen giderler de vardır. En önemlisi güven
kaybıdır
(kullanıcı
güveni,
müşteri
güveni,
yatırımcı
güveni, ekip güveni, öğrenci güveni, halkın güveni).
Güvenlik suçlan diğer suç tİplerinden farklıdır çünkü
saptanması
zordur.
Bazen
birinizin
sitenize
girdiğini
bu lmanız uzun zaman alabilir. Bazen de hiç bilmezsiniz.
Birisi sisteminize girip sisteme yada bilgiye hiçbir şey
yapmasa da, onların bir şey yapmadığ
:u
onaylayana kadar
zaman (saatler veya günler) kaybedersiniz. Çoğu zanıan
lı�r ş�y�-zar �r ver saldırısı yapan birisi ile uğraşmak
.
sıste mınıze gırıp zarar veııneyen biri ile uğraşmaktan daha
kolaydır. Eğer her şeye zarar verirlerse üzerine bir bardak
su
içip
? �
yedeklerden
açarsınız
ve
hayatımza
devz:: .
e ers �· Fakat hiçbir şey yapmamış gibi göıünü yorlarsa
sıstemınıze yada bilgileriniz zarar vermediklerine emin
olmak için uzun zaman inceleme yaparsınız.Bir '3aldırgan
�
�
I �temet•te sizin irnliğiniz ile bulunuyor. Yaptığı her şey
.
sızden gelıyor gı i gö nüy?r. Sonuçlan nelerdir? .Çoğu
�
za�n, s onuçlar dığe � sıtelerın - yada güvenlik güçlerinin
.
.
- nıyc sıstemlerıne gıımeye çalıştığınızı arayıp sormaya
değildir.
kadar nadir
bir
durum
Sıkça bu tip vakalarla karşılaşılu.)Bazen, bu
sahtekarlar size zamandan fazlasını kaybettirirler. Sizden
yada yabancılara
hayatı
zorlaştırınaktan
alan bir saldırgan haber gruplarına yada başka
yerl�r�
Unümüz
konusunda
değiştirilmesi umurunuzda değilse ve birilerinin ona erişip
zevk
••
güvenlik
endişelenesiniz ki? Çünkü gizlilik tek koıumanız gereken
hoşlanmayan
Kaynaklarınnz: bilgisayarların kendileri
ve
Internet'ten erişilebilen hiçbir bilginin gizlilik içennediğini
başlanıası dır. (Bu göründüğü
Bilgilerimiz: bilgisayarları mızda tuttuğumuz bilgiler
Bilginin korunma sı gereken üç ayrı özelliği vardır
edebilirsiniz. Bilgilerinizi bu yolla ayırdığııuzı
fark
sizden
geliyormuş
gibi
görünen
mesajlar
atabılırler. Genelde, bunu yapanlar inanılmasından çok
.
nefretı hedeflerler fakat bu mesajiara çok az insan inansa
da durumun temizlenmesi uzun ve zor olabilir. Bu tip
lO
SAU fen Bllimleri Enstitüsü
7 .Ci lt. l.Sayı (Mart 2003)
Dergisi
Ağ Güvenliği
T.Fırlar·
olaylar ününüze kalıcı zarar verebilir.Bir siteye erişim
Bilgisayarlannız ve ağlarınız n e
kazanmadan elektronik mesaj göndermek mümkün fakat
olsun, her bir parçasına,
eğer mesaj site dışından gönderilmişse sahte olduğunu
daha kolaydır.
göstermek
Sitenize
erişimi
olan
kadar kanşık olursa
özneler, nesneler ve erış1m
kontrolü terimleri ile yaklaşabilirsiniz.
bir
salclırganın gönderdiği sahte mesaj sizden geliyor gibi
1.3-Temele Dönüş: Klasik güvenlik modeli
görünecektir, çünkü sizden gelmektedir. Ayrıca mesaj
listeleriniz ve kimlere mesaj gönderdiğiniz gibi bilgilere
Evren kanşık bir canavar, fakat 'subatomic' seviyede bir
eıişen bir saldırganın sitenize erişimi olmadan sahte
kaç
basit
fiil
sıfatıara
ve
ve
indirgenebilir,
işe
avantajı
gidebilmeniz için evreni bu seviyede anlamanıza gerek
olacaktır.Bir saldırgan sizin kimliğinizi kullanmasa da
yoktur. Bilgisayar güvenlik çözüml eri uygulamak için ve
sitenize izinsiz giriş ününüz için iyi değildir. İnsanların
güvenlik açıklarından kaçınmak için sistemlerinizin her
firmanıza olan güvenini sarsar. Ek olarak çoğu saldırgan
parçasının detaylarını düşünmek zorundasın1z. Sitenizdeki
mesaj
bir
gönderen
çok
birinden
bilgisayardan
diğerine
daha
geçerler
fazla
ve
bir
parçaları anlamalı ve 'Bunun altında ne var?' gibi soruları
sonraki
bir
kendinize sormalısınız. Eğer biri size gelirde yeni bir
platform olduğunu düşünmesini sağlar. Çoğu saldırgan
uygulama kurmak istediğini belirtirse her seferinde aynı
kurbanın sizin sitenizin bilgisayar
sistemleri
girdikleri
korsan
suçluları
yazılım
ve
için
sorularla
pomografı
diğer
sald1rıJara,
yazılım
durumunda
karışması
pornografiye
korsanlığına
sorumlu?
ve
bunların
II.AG GÜVENLİGİ
sonuçlanndan kurtul mak zordur.
Bilgisayar ağından beklenen hizmet üriinleri ve hizmet
1.1-izinsiz-Girme Saptamasından Önce: Geleneksel
bilgisayar Ggüvenliği
insan
Birçok
bilgisayar
güvenliğinin
olmasını engellemek olarak düşünür.
yanlış
kalitesi
tipteki
yaniarım
güvenlik
bilmek
ürünlerinin
iletişim
şeyler
izinsiz-girme
ve
saptamanın
gerçekleştirebilmek
Yani
kullanılabilecek
bir
Standart
Bu
Güvenlik
sistemlerinin
erişim
bilgilerini
herkese
zorunda kalmakta
ve
açık
ortamdan
kendi ağını herkesin
durumda
veya kurumlar için
da kişiler, frrmalar
Bu
bölümde
ağ
güvenliğinin
nasıl
kontrol
·
Güvenilir Sistem
Güven li Sistem
.... Güvenlik düzeyleri
Firewall' ların ve diğer tekniklerin ağ güvenliğinizi
- Özel sanal ağlar, VPN
nasıl güçlendirdiği ve niye yeterli olmadığı
•
ağlarından
sağlanacağı sorunu ortaya çıkmaktadu
yetenekleri ve bunların savunmanızı nasıl güçlendireceği
•
özel
çıkmaktadır.
·
standart
bilgisayar
sayısal
gizliliği ve güvenliğinin nasıl sağlanacağı sorunu ortaya
çözebUdiğini yada çözernediğini
İşletin1
türlü
yaşamsal sayılabilecek özel bilgi ve diğer kaynakların
Tanılanıa ve doğrulan1a ütünlerinin problemleri nasıl
•
karşılanması
her
kullandığı ağa fiziksel bağlanmak zorunda kalınaktadır.
Modeli
•
kendi
geçim1ek
Ürünlerin stratejinize nasıl uyacağını kritik olarak
düşünınede
ihtiyacının
duyulan
bilgisayar
global ağlardan olabildiğince yararlanmaya çalışmaktadır.
sitenize
öğreneceksiniz:
•
gereksinim
dolayısıyla
önceden var olan Internet gibi tüm dünyaya yayılmJş
zayıf
aşağıdakileri
için
artmıştır;
fırmalar hem kendi alt yapılarını güçlendirmekte hem de
sağlayacağı getirileri daha iyi gönnenizi sağlayacaktır.
Bm1u
da
beklemnektedir.Bunu karşılamak amacıyla da kurumlar,
Yalan geçmişte
güçlü
daha
uygulamasında
bile, firewall' lara rağmen, bu yaklaşım başarılı olmadı.
Farklı
kullanacak? Nesneler
K.inıler
neler? Erişimler nasıl ayarlanıyor? Güvenliğinden kiın
dağıtımı için kullanırlar. Sizin hatanız olsa d a olmasa da,
isminizin
başlamalısınız:
-Güvenlik duvarı, Fire W all
Bütün bu savunma mekaniznıalarına rağmen niye hala
. Kısıtlama- İzin Verme Yöntemi
izinsiz-girme saptama' ya ihtiyacınız olduğu.
. Güvenlik Duvan Türleri
-Paket süzmeli güvenlik duvarı
- Devre düzeyli geçit yolu
-Uygulama düzeyli geçit yolu
1.2. İzinsiz-Girme Saptama (IDS) ve Klasik Güvenlik
Modeli
Internet'in genişlemesi ile beraber ağ uygulaması da
beklenmedik şekilde genişlemiştir; bu gelişmeye paralel
İzinsiz-giriş saptama sıcak bir konu. Geçtiğimiz aylarda,
olarak ağ kurulup işletmeye alındıktan soma, ağ yönetimi
çeşitli
daha
büyük
ve ağ güvenliği büyük önem kazanmış ve ağın güvenilir
almdılar.
Bütün
biçimde çalıştırılması anahtar sözcük konumuna gelmiştir.
firmalar güvenlik ürünlerinin rakiplerininlcilerden farklı
Çünkü komple bir ağ o günün teknolojisi ile en iyi
olmasını istiyordu ve ürünlerine izinsiz-giriş saptama
biçimde projelendirilip kurulduktan sonra iş bitmemekte,
sisteıni eklemek yapılacak şeylerden biriydi. Fakat, niye
ağ
IDS'e ihtiyaç duyulsun ki? Cevabı gerçekten anlamak
olmalıdır.Güvenilir
için teınele dönmelisiniz.Bilgisayar güvenliği karışık bir
tamamen farklı anlamJan olan, ancak birbiriyle sürekli
konu. Söylediklerinizin ve diğerlerinin söylediklerinin
karıştırılan
kesin olınası için basit terimler]e düşünmek gerekiyor.
denetirnli anJaırundadır.
izinsiz-giriş
güvenlik
firmalan
saptama
tarafından
şirketleri
satın
11
performanslı,
iki
güvenilir
ve
ve
güvenli
sözcüktür.
güveııJiği
sözcükleri,
Güvenilir
güçlü,
sağlanmış
aslında
güvenli
Ağ Güvenliği
SAU Fen Bilinıleri Enstitüsü Dergisi
T.FII'lar
7 .Ci lt, l.Sayı (Mart 2003)
11.1-
11.4 Terminoloji
Güvenilir Sistem
Göndericinin
Güvenilir sistem güçlü sistem demektir; yoğun trafikte
bile
tüm sistem kendisinden beklenen performansı
sergiler ve herhangi bir tıkanmaya,
çökmeye sebep
olmaz. Bunun için sistemde kullanılan aktif cihazıarın
uygulamaya dönük dikkatli seçilmiş olması ve daha da
önemlisi konfıgüı·asyonunun iyi ve bilinçli bir şekilde
yapılnuş olması gerekir.
alıcıy a
mesaj
bir
istediğini
göndennek
varsayalım. Ve dahası bu gönderen nıesajı güvenli olarak
göndermek istiyor. Başka bir k ims enin bu n1esaja göz
atmadığından
emin
d eğiş tiriln 1esi
işlemine
nıe�aj düz� a�ı
(plaintext/ cleartext) dır. Mesajın anlamını gız]emek ıç� n
olmak
istiyor.Bir
en cr yp tion
d enır
:
.
Şifretenmiş bir yazı şifre li yazı (ciphertext) dır. Şıfrelı
yazı 'yı
tekrar
(şifreleme)
i ş l eıni ne
çevirrne
düzyazıya
deşifrelerne/şifre çözme ( decryption) denir [2]. (Eğer ISO
II.2-Güvenli Sistem
7498-2 standardını takip etmek istiyorsanız, enc iph er ve
decipher ' terimlerini kullamn. Bazı kültürler 'encrypt' ve
'
'
'
Güvenli sistem denetimi sistem demektir; Internet gibi
genele açık bir ağa bağlanan kurumsal ağların dışandan
gelebilecek tehlikelere karşı korunması, kurumun sahip
olduğu bilgi ve veri lere izin verildiği ölçüde erişilmesi
ve kurumun kendi elemanları tarafından y apılacak iç ve
dış
erişimierin
denedenebilmesini
belirtir.
Bir
ağ,
Internet' e bağlandıktan sonra iç ve dış erişimler için
koruma duvan ( fue wall ) herhangi bir güvenlik sistemi
i çermi yorsa sahip olunan bilgiler tehdit altındadır.
,
Böyle bir
koruma
duvarı koyn1adan kendi ağınuzı
kamuya açık bir ağa eklersek, ardından birtakım sorunlar
da kendiliğinden gelir. Nasıl olsa sistemlere girilirken
sistemlerim kullarncı adı ve şifre sorgulaması yapıyor
güvenlik
dememeli,
konusunda
önle mler
ciddi
'decrypt' kelimelerini ölü vücutlanyla alakah olduğundan
rahatsız edici bu 1uy or l ar). B u Mesajları güvenli saklama
sanatı
ldşile re
ve
bilimi
'cryptography'
ilgilenen
bununla
'cryptographer' adı verilmektedir. Cryptan al y sfler
(şifre analizcileri) cryptanaly sis ile yani şifreli yazı' ları
kırma sanatı ve bilimi ile uğraşanlardır. Matematiğin bu
her iki alaronda ( cryptography ve cryptanalysis) kapsayan
dalında cryptology (kriptoloji) ve bu alanla ilgilenenlere
de
denmektedir.
cryptologist
Modem
kriptolojisiler
genelde teorik matematik eğitimi almaktadırlar.
D üzyazı mesaj i ç in M ile normal düzyazı için ise P ile
gösterilmektedir. Bit akışı, metin dosyası, bitmap, dijitize
bir ses akışı, dij ital bir video görüntüsü olabilir. Bilgisayar
ile alakab olduğu sürece
alınmalıdır.
ve
, M basitçe ikili bilgidir.
Düzyazı göndermek için yada depolama için kullamlabilir.
ll.3 -Güvenlik Düzeyleri
Her du rumd a,
Güvenlik düzeyi, özel bilginin saklı olduğu yerde hangi
düzeyde korunacağını gösterir. Bilgi çeşitli düzeylerde
konıma altında alınabilir. En alt düzeyi veri kaydı
düzeyinde
koruma
altına
almaktadır.
Örneğin
bir
veıitabanına ait veri kaydının belirli alanlar şifrelenerek,
o bilgilere erişilmesi denetim altına alınabilir. Böylece,
koruma altına alınmış olan alanlara yalmzca erişim hakkı
olan veya o ra ya erişmek için şifre anahtanna sahip
kullanıcılar erişebiliır. Bu koruma düzeyinin bir üstü veri
kaydının bir kısmını değil de tamanunı korumaktır. Daha
sonra diğer güvenlik düzeyleri gelir . . . .
Kayıt alanı
düzeyinde veya V eri kayd ı düzeyinde
koruma en sıkt korumayı sağlar; iyi bir şjfreleme ve şifre
anahtarı
algoritması
üretme
bağlanınayı
veya
sorgulama ise
programına
Bilgisayara
diğeri
kaynaklarını
bilgisayar
sistemine
E, C
Intemet'e
eklenen
LAN'ın
ağa
bilgisayara bağlaımıayı sorgulama
sağlamr.
giriş
ve
ile
şifreleme
yi üretir . Yada matematiksel yazılımla[l]:
işlemde,
Tersi
i.izerine
C
uygı.lanan
deşifreleme
fonksiyonu D M yi üretir.
D(C) =M
Mesajı
şifreledikten
sonra
deşifrelemenin
tek
amacı
orijinal düzyazıyı bulmak olduğundan aşağıdaki yazılım
doğıu ol malıd ır:
D(E(M)) =M
Kimlik-Doğrulama, Bütünlük, ve İnkar-ederneme
Gizliliği sağlamaya ek olarak, cryptography'nin �enellikle
aşağıdakilerde sağlaması istenmektedir:
-Kimlik-Doğıulama
girişi
(Authentication)
Bir
mesajın
alıcısımn mesajın kaynağından emin olması gerekir; kötü
hizmet türleri açısından veya
tarafından
sıkıştırma
E(M)=C
amaçlı bir kimse kendisini başkası gibi gösteren1emelidir.
-Bütünlük (Integr ity). Bir
mesajın alıcısımn mesajın
yolda değiştirilmediğinden emin olması gerekir; kötü
denetler; bu güvenlik düzeyleri genel olarak koruma
wall)
( şifreleıneyi
bunu yapmaz.) M üzerine uygu la na n şifreleme fonksiyon u
bağlamnayı ve ağ üzerinde sunulan hizmetlere erişimi
(fire
büyük .
daha
birleştirerek, C M den daha küçük olabilir. Fakat
ağa girişi sorgulama da ise genel olarak ağa dışarıdau
duvarları
de
bazen
düzeyind e
programı
mesajdır.Şifreli yazı C ile
gösterilir. Ayrıca ikili bilgidir: bazen M ile aynı boyutta
birbirine benzer biri ilgili uygulama
girişi,
denetler. Ağ
uygulama
kullanılır.
M şi frelene cek
amaçlı bir kimse orijinal mesajın içeriğini değiştirdikten
örneğin
s oma yollayamamalıdır.
sorgulama­
-İnkar-edememe
ağ kaynakları
(Nomepudiation).
Mesajı
gönderen
daha som·a mesajı gönderdiğini inkar edememelidir.
hizmet türleri açısından korunması için bii güvenlik
Bunlar b ilgisayarlardaki sosyal etkileşimler için hayati
duvarı kullanılabilir.
gereksinimlerdir ve yüz-yüze etkileşimlere benzerdir. Bir
kişi
12
olduğunu
söylediği
kişidir..
bir
kişinin
kimlik
Enstitüsü Dergisi
2003)
SAU Fen Bilimleri
7 .Cilt, l.Sayı (�tart
belgeleri - sürücü
Ağ Güvenli�i
T.Fırlar
belges�
pasaport-
geçerlidir.
Bir
11.4.2-Simetrik Algoritmalar
kişiden gelen doküman gerçekten o kişiden gelmiştir ..
Bunlar
kimlik-doğrulama,
ve
bütünlük
inkar-
T Anahtara dayalı algoritmalann iki genel çeşidi vardır:
edernemenin sağladıklarıdır.
simetrik ve genel-anahtar. Simetrik algoritmalar, bazen
geleneksel algoritmalar diye de adlandırılırlar, şifreleme
anahtarımn deşifreleme anahtarından hesaplanabileceği
TI.4.1-Algoritmalar ve Anahtarlar
algoritmalardu. Birçok simetrik algoritrnada şifreleme ve
deşifreleme
Bir kripto grafik algoritma, ( cipher da denir) şifreleme
deşifreleme
ve
kullanılan
için
zamanda
matematiksel
için
diğeri
deşifrelerne
de
algoritmannı g üvenliği
için.).Eğer
bir
önce bir
gerektirir.
bağlı ise bu bir sınırlı (restricted) algorihnadır. Sınırlı
algoritmaların
bir ilgisi vardu
tarihi
bağlıdır,
fakat bugünün
kullanıcı
kitlesi
onları
kullanaınaz,
çünkü
gerektiği
bir
gizliliği
geçmek
bozarsa
zorundadır.
Eğer
birisi
algoritmasını
herkes
Simetrik
kazara
anahtarın
sürece
değiştiımek
tercih ediliyor
bir
cryptographer
değilse
güvenli
anahtar
gizli
kalmalıdır.Simetrik
DK(C)= M
AG
[3] ;
VPN (Virtual Private Network/Özel
S�nal Ağ). Bu yeni çözüm daha esnek ve en önemlisi çok
ve
daha düşük nıaliyetler ile geleneksel WAN çözümlerinin
uygulamalarını yazmak zorundadırlar. Eğer gıuptaki hiç
iyi
şifrelenip
mesajlann
hızla tan1nıyor ve her geçen gün daha çok fırnıa tarafından
yazılımlan kullanınazlar, başka biriside aynı ürünü alıp
kimse
anahtara
Tüm dünyada yeni bir tür WAN (geniş alan ağı) çözümü
zorundadır. Bu tip bir grup herkesin kullandığı cihaz ve
algoritma
bilinmesi
güvenliği
lll -ÖZEL SANAL
kullarncı grubu kendi eşsiz algoritmalarını kullanmak
Kendi
birliğine varmalarını
algoritınanın
gösterilir: EK(M)=C;
kontrolü yada standartlaştırmaya izin vermezler. Her
öğrenebilir.
tek-anahtar
algoritınaları da denir)
anahtar üzerinde karar
zorundadır.Daha da kötüsü, srmrlı algoritmalar kalite
algoritmayı
algoritmalan,
algoritma ile şifreleme ve deşifreleme aşağıdaki gibi
kullanıcı gruptan ayrıld1ğında diğer herkes başka bir
algoritınaya
(aynı
algoritmalar,
deşifrelenmesine izin verir. Haberleşmenin gizli kalması
standartları için uygun değillerdir. Geniş yada değişen
bir
gizli-anahtar
Bu
gönderen ve alıcımn güvenli bir şekilde haberleşmeden
algoritnıanın gizli olmasına
o
aynıdır.
algoritmalan yada bir-anahtar
fonksiyondur. (Genelde, iki ilgili fonksiyon olur, biri
şifreleme
anahtan
tüm işlevlerini yerine getiriyor. IP ağlarının gelişinden
bir
önce özellikle büyük ölçekli kuruluşlar, şube ve bayileri
algoritmaya sahip o!duklarım hiç bilemezler.
arasında veri iletişimini sağlamak için kendilerine ait
Bu büyük dezavantajlarına rağn1en, sınırlı algoritmalar
geniş alan ağları kurarlardı. Bu yapıyı kurmak ve sürekli
düşük-güvenliklı
ölçüde
çalışır durumda olmasını sağlayabilmek için büyük zaman
güvenlik
ve kaynak ( ekipnıan, teknik personel, eğitim) ayırmak
problemlerini y a fark etmezler yada aldırış etmezler.
zorunda kalırlardı. Bugünkü eğilim ise daha mantıklı ve
popülerdirler.
uygulamaları
Kullanıcılar
için
büyük
sistemlerindeki
Modem kriptoloji bu problenı.i (K ile gösterilen) bir
ekonomik olan entegre IP omurgasına doğru gidiyor.
anahtar
Firmalar ·dahil i ağlar kurmak, ses/veri paketleri taşımak
ile
çözüyor.
Bu
anahtar
geniş
ölçüdeki
değerlerden herhangi birisi olabilir. Anahtarın muhten1el
için
değerlerinin
fonksiyonları intranet ve extranet, veya VOIP (voice over
menziline
anahtar-alanı
(keyspace)
adı
IP) forml_arında
verilir. Hem şifreleıne hem de deşifreleme işlemleri bu
anahtarı kullanır.
dayalıdır
ve
k
alt-belirteci
ile
network'ler
IP
kurmak
network'leri
yerine,
üzerinde
artık
bu
t� .:gulamayı
tercih ediyorlar [ 4].
(örneğin: her iki işlernde anahtara
bu
bağımsız
gösterilir.)
Günümüzde sadece büyük kunıluşJar değil küçük ve ortr
fonksiyonlarımız ise şitndi aşağıdaki gibidir:
boylu
EK(M)=C, DK(C)=M, DK(EK(M))=M
bayi lerini,
firınalar da ofısleı-ini,
iş ortaklannı
kolayca v e ekononlİk yoldan birbirine bağlayarak veri,
ve
hatta ses veya video iletişimi sağlanıa ihtiyacı duyuyor.
d.eşifreleme anahtarı kullanırlar. Buda şifreleme anahtan
Bu network yapısını fırmaların kendi başına kurmalan son
K 1 buna karşılık gelen deşifrelenen anahtarı K2 den
derece yüksek maliyetli ve zahmetli olduğundan fırmalar,
farklıdır. Bu durumda:
bağlantı
Bazı
algoritmalar
EKl(M) =C,
Bu
farklı
bir
şifreleme
anahtan
anahtarlara) dayalıdır;
bütün
güvenlik
anahtara
VPN'ler
maliyetler karşılığında,
DK2(C) =M, DK2(EK1 (M))= M
algoritmalardalci
ihtiyaçlannı
ülke
sayesinde
daha
düşük
geneline dağılmış eıişim
noktalarına ve yüksek performanslı bir ulusal omurgaya
(yada
sahip İSS'ler aracılığı ile karşılamayı tercih ediyorlar.
algoritmamn detayıanna bağlı
değildir. Bu demektir ki algoritma yayınlanabilir ve
Özel sanal ağ ( Virtua1 Private Networks ), kısaca \lNP,
analiz edilebilir. Algoritmayı kullanan ürünler topluca
kişiye veya kuruma ait özel bilgi ve verinin herkese açık
üretilebilirler.
şebekeler
Kötü
anıaçlı
birisinin
algoritmanızı
bilmesi önemli değildir; eğer anahtarınızı bilıniyorsa
ı11esajlarınızı
mümkün
okuyamaz.Bir
düzyazılan,
cryptosystem
şifreli-yazılan,
ve
veya
Internet
gibi
global
ağlar
üzerinden
aktarılmasını sağlar. Inten1et gibi geniş bir alana yayılrruş
bütün
bir ağın,
anahtarlan
ofislerinin
içeren bir algoritmadır.
kurun1Sal
veya
bir işletmenin
trafik yoğunluğu
çok
çok uzaktaki
çok fazla olmayan
şubelerinin güvenli bir iletişinı yapılacak biçimde Internet
13
Ağ Güvenliği
SAU Fen Bilimleri Enstitüsü Dergisi
T.Fırlar
7.Cilt, l.Say1 (Mart 2003)
üzerinden bağlanması sanal ağ oluşturulması a rılanuna
gelir. Yanda ki şekilde bir kuruluşun merkezi ile şubeleri
arasındaki
bağlantının
üzerinden
Internet
dış
gözlerden
yöneticisine
gizlene
tüm
denetlellıllesi
ağa
bilir.
olan
olanağını
Güvenlik
erişimierin
sağlar.
ağ
duvarı
noktadan
bir
dışarıdan
Böylece
gerçekleştirilmesi görülmektedir; görüldüğü gibi n1erkez
gelebilecek saldırılar önlenebildiği gibi aynı zaman da
ve şubelerin Internet' e çıkışlannda birer güvenlik duvarı
edilmesinde
sistemin işleyişi ile
yapılacak
iletişim
noktalar
arasında
çıkarılmadan
Internet'e
şifretenmiş
paketlerden
Dolayısıyla
\lNP
şifrelenir
önce
gerçek
ve
Yazılım
tünel
oluşturmasıdır .Bu tünel üzerinden, özel bilgi ve ve!i
gelen
veya
donarum
tabanlı
olarak
geliştirilebilen
güvenlik duvarları genel olarak aşağıdaki görevleri yerine
getirir.
veri
elde
ediLir.
Kullanıcı sınırlaması
en
önemli
konu,
Erişlın Kısıtlaması
uygulamasında
elde
kullamhr.
vardır. Güvenlik duvarlarının, böyle bir uygula1nadaki
işlevi,
bilgilerin
ilgili
- İçeri erişim kısıtlaması
aktarılacak bilgi ve verinin şifrelenmesidir.
- Dışarı erişim kısıtlaması
VPN (Özel Sanal Ağ) teknolojisi, fırınaların şubeleri ve
Gözleme
·
iş ortakları ile aralarında veri iletişimini güvenilir, kolay
�Dışarıdan yapılan erişimierin gözlenmesi
ve ekonomik biçimde sağlamasına oLanak veren bir
-İçeriden yapılan erişimierin gözlenmesi
tünelleme teknolojisidir. VPN teknolojisinde, noktalar
arası ekonomik
ve
güvenilir
bağlantılar
Şifreleme
·
- Bilginin şifrelenmesi
- Sanal özel ağ o luşturulması
kınulurken
iletişim maliyetini minimum seviyede tutahilrnek için
internet ortamı "iletişim omurgası" olarak kullandır
[4).
Adres Dönüşümü Yapılması
·
VFN'lerde kullanılan ağ kamuya açık bir ağdır, ancak
- Kayıtsız kayıtlı adres dönüşümü yapılması
ileti bir noktadan diğer noktaya kadar özel bir tünel
- Ağın dışarıdan gizlenmesi
aracılığı ile şifretenerek ulaşır. Gerek Intranet/Extranet
gerekse
VPN•ıerde
remote
güvenlik,
çözümlerinde
Access/dial
"tünelleme
VPN
teknolojisi"
ile
Güvenlik duvarı özel ağ ile Internet arasına konan ve
istenmeyen erişimleri engelleyen bir sistemdir; bununla ağ
tam
güvenliği
olarak
sağlanır
ve
hakları
erişim
garanti edilmektedir. Temel olarak, VPN trafiği ISS'nin
düzenlenebilir. Ancak güvenlik duvarı k urulurken dikkat
İnternet omurgasında güvenli ve kapsüllenmiş/kapalı bir
edilmesi ve göz önüne alınması gereken bazı noktalar
tünel içinde dolanu. Bu tünele giriş veya tünelden çıkış
vardır. Bunların en önemlisi güvenlik duvarımn belirli bir
noktası sadece kwum tarafindaki güvenli router veya ağ
str.atejiye göre hazırlanrnasıdır; kurulmadan önce ne tür
güvenljk sunucusudur (firewall server).
bilgilerin koıunacağı, ne derece bir güvenlik uygulanacağı
ve
Özel
sanal
ağ
uygulamasında,
temelde,
biri
kullanılacak
belirlenmelidir [6].
güvenlik
algoritmaları
önceden
kullanıcı/geçit yolu diğeri geçit yolu/geçit yolu olarak
adlandırılan iki tür bağlantı yapılır. Kullanıcı/geçit yolu
Güvenlik duvarının sistem üzerinde tam olarak etkili
bağlantısında ( ki daha çok gezici
olabilmesi için, ağ ortarnı ile Internet arasındaki tüm
kullanıcılar için
gereklidir ) doğrudan kullanıcı bilgisayarı ile geçit yolu
trafiğin güvenlik duvarı üzerinden geçirilmesi gerekir.
arsında bir şiirelenmiş tünel kurulur. Kullanıcı tarafından
yüklü olan yazılım gönderme işleminden önce veriyi
Güvenlik
şifreler ve VPN üzerinden alıcı taraftaki geçit yoluna
nedenlerden
gönderir. Geçit yolu, önce kullamcınm geçerli biri olup
Address Translation
olmadığını
paketi
ile tüm ağ kullanıcıları Internet' e çıkabilir ve yerel ap
gönderir;
ortamındaki IP adresleri tamamen Internet ortamındau
alıcının verdiği yanıt ta yine önce geçit yoluna gider ve
yalıtılmış şekilde kullanılabilir. Böylece herhangi bir ISS
yine orada şifrelenerek kullanıcıya
(Internet Servis Sağlayıcı ) değişikliğinde iç IP adresler�
çözerek
sınar
içerde
ve
gönderilen
şifrelemııiş
korunmuş alandaki
yolu/geçit
yolu
bulunacak
sistemler,
bağlantısında
kendi
alıcı ya
gönderilir.
birbirleriyle
tarafında.
Geçit
iletişimde
bulunan
duvarlarının tercih
biride
adres
)
edilmesi için
dönüşünı
(NAT,
geçit
Bir
güvenlik duvarı
seçiminde
ağ
yöneticisi nin
önünde t'utması gereken birkaç durum vardır.
iletişimde
bulunurlar.
yerlerdeki
o
Performans
LAN 'ların
Internet
üzerinden
o
Güvenlik Düzeyi ve işlevsellik
o
Yönetim ve Raporlama Özellikleri
o
Karşılıklı Çalışabilirlik
gibi
herkese
farklı
açık
ağ
Network
özelliğidir. Sadece tek bir IP adresi
yoluna gönderir ve onlar kendi aralarında şifreli olarak
durum,
büyük
değişikliğine gerek kalmaz[7].
yoluna başvunırlar; kullanıcı sistemleri verilerini geçit
Bu
r·n
güvenli bir şekilde bağlanması için kullamlır [5].
goz
••
IV-GÜVENLİK DUVARI
•
IV.l-Kısıtlama- Izin Verme Yöntemi
Herhangi bir noktası kamuya açık bir şebekeye bağlı
olan bir ağın güvenliğinin sağlanması için ağın giriş çıkış
Bir güvenlik duvarının
noktasına güvenlik duvarı (Free
denetleme
\Vall)
koyulması gerekir.
Böylece ağa olan erişimler denetlene bilir, ağın iç yapısı
tasarianırken
getireceği kısıtlama,
yerleştitileceği
yapacağı
ağa
göre
düşünülmelidir. Kısıtlama koymak için bir çok yol vardır.
14
SAU Fen Bilimleri Enstitüsü Dergisi
Ağ Güvenliği
7 .Cilt, l .Sayı (Mart 2003)
T.Fırlar
Ancak aşağıdaki iki durum çok kullamlır ve başlangıç
bağlantılan 23. TCP portundan, SMTP sunucu sistemi ise
noktasını tarif eder.
2 5 .TCP portu üzerinden dinleme işlemi yaparlar. Bu
(B elirli hizrnetler dışında tüm sistem
o Engelleme
erişiminin engellenmesi )
o Serbest B ırakma
sistemde izin verilmiş olan ana makine (host ) listesi
bulunur. Yalmzca, bu listede bulunan ana makinelere
(Belirli
hizmetler dışında tüm sistem erişimin serbest
uygun port numarasıyla gelen paketlere geçiş izni verilir.
olması )
Diğerlerinin geçişi engellenir.
IV.2- Güvenlik Duvarı Türleri
IV.3.2-PFFW için Değerlendirme
GüvenJik duvarı tasarunı için çeşitli teknikler vardır;
Eğer kaıınaşık bir süzgeçleme ku1lanılırsa konfigürasyon
kullanılan teknik doğrudan güvenlik duvarının türünü
gösteriri Örneğin paket süzme tekniğine
işlemi gittikçe zorlaşır. Genellikle süzgeçleme arttıkça,
da yana bir
yönlendirici
üzerinden
geçen
paket
sayısı
azalır.
güvenlik duvarı paket süzmeli güvenlik duvarı ( packet­
Yönlendirici güvenlik duvarı işlevini yerine getirirken
fıltering fue wall ) olarak adlandırılır. Güvenlik duvan
kendi
türleri:
yönlendirıne tablosunda arama işlemi yanında,
görevi
yanında,
yani
paketin
başlık
bilgisini
süzme
o
Paket Süzmcli Güvenlik Duvarı
o
Devre Düzeli Geçit yolu
yapmak için yönlendiricinin CPU'yu kullanması gerekir.
o
U ygulama Düzenli Geçit yolu
Bu da perfonnansta bir düşük:lüğe yol açabilir.
işlemlerini de o pakete uygulamalıdır. Bu durumda süzme
PFWR
IV.3-Paket Süzmeli Güvenlik Duvarı ( PFFW )
kullammında
denetimi
Paket süzme, güvenlik duvarı oluşturmanın en kolay
yoludur.
Paketierin
başlık
alanı
içindeki
tablosu o luş turulur.
belirtilen
uymayan
paketleri
yapıldığından
ve
seviyesinde
uygulama
erişiın
seviyesine
çıkılamadığından bazı uygulamalar için yetersiz kalabilir.
bilgilere
bakılarak istenmeyen paketler karşı tarafa geçirilmez. Bu
amaçla bir kurallar
IP
Bu
IV.3.3-Devre Düzenli Geçit yolu
tabloda
tarafa
Devre düzeyli geçit yolları, OSI başvuru modelinin 4 .
geçirilmeyip süzülür. Belirli bir düzeyde koruma sağlar,
katmanı olan otuıum katmanı ( session layer ) düzeyinde
ancak çok sıkı bir koruma sağlamaya bilir.
çalışır; özel ağın güvenliği için arada vekil ( proxy )
kurallara
paketler
karşı
sistem kullanılır. Devre düzenli geçit yolunda, oturum bir
Paket süzmeli güvenlik duvarı oluşturmamn OSI başvuru
n1odeline
göre
3.
kez kabul edilip kurulduktan sonra, her paket için denetim
seviye güvenlik duvan olarak da
yapılmaz; paketler kurulan sanal devre üzerinden akar.
anılırlar ( yetenekleri bu katınana atanmış olan işlevlerle
duvarı
Paket süzıneli güvenlik duvarına göre daha sıkı konıma
edilebilir bir
sağlar. Otwum kurulurken ilgili port sınamalan yapılır ve
yönlendirici kullanılmaktadır. Bilindiği gibi yönlerine
oturum kurulduktan sonra o portu, otuıumun kurulmasını
bakarak, ağlar arası ortam içinde gelen paketierin alıcı ve
baş latan taraf sonlarına kadar sürekli açık tutarEn önemli
gönderici adreslerine bakarak, yönlendirmeyi ona göre
özelliği iç kullanıcı ile dış bir sunuc,u arasında doğrudan
yaparlar. Paket süzmeli güvenlik duvarlan da benzer
bağlantı olmamasıdır. Özel ağın yapısını dışan'{la karşı iyi
yapıda çalışırlar; gelen paketler, başlık alanı içerisindeki
gizler.
sınırlıdır)
Dolayısıyla
oluştuonanın
en
kolay
bu
tür
güvenlik
yolu konfıgüre
bilgi lere bakılarak analiz edilir ve ona göre geçirilir veya
atılır; veya gönder1ciye bir mesaj gönderilir. Başlık alanı
IV.3.4-Uygulama Düzeyli Geçit yolu
içerisindeki bilgi ]er genel olarak aşağıda listelendiği
gibidir[8].
Uygulama düzeyli geçit yolları e n sıkı koruma yapan
o
Alıcı ve Göndeıici IP Adresleri
güvenlik duvarı telmiğidir.OSI başvuru modeline göre
o
Taraflardaki Port Numaraları
uygulama
o
Paket Türleri ( UDP-TCP-. . . )
denetim
o
katınam
yapma
düzeyinde
imkanı
çalışır;
sunar.
dolayu,ıyla
Uygulama
tam
düzeyinde
denetim yapılabilir. Genel olarak güçlü bir iş istasyonu
Hizmet Protokolleri (TelNet-http -SMTP-IP Tunnel..)
Uygulamada hemen hemen tüm IP yönlendmciler paket
üzerine yüklenen yazılımla gerçekleştinlir. Bu tür geçit
süzmcli güvenlik duvan yeteneğini desteklemektedir. Bu
yollan devre düzeyli geçit yollarına benzer; ancak oturum
yetenek ya yönlendiriciyle beraber hazır olarak gelmekte
kurulduktan sonra bile paketierin sınaması yapılır. Bu da
ya
da
daha
sonra
yazılım
güncellernesi
beklenmedik saldınlara karşı koruma yı kuvvetlendirir.
yapılarak
yönlendiriciye yüklenir.
Bu
yöntem,ağ
koıuma
PFFW'de
kullanılan
algoritmaya
göre
süzmeli
ve
devre
sağlama
imkanı
verir.
istenen
programiann
çalışmasına izin verirken, yasak olanlar ise engellenir. Bu
çalışırlar; ancak sadece belirli bir hizmet portu üzerinden
iş1em yaparlar.
paket
düzeyli geçit yoluna göre daha güvenli, daha sıkı bir
IV.3.1-Belirli Servise Bağlı PFFW
Normalde
yöneticisine,
tür
Örneğin TelNet sunucu sistemi uzak
15
güvenlik
Duvarı
kullanılınası
duıumunda
ağ
A ğ Güvenliği
SAU Fen Bilimleri Enstitüsü Dergisi
T.F1rlar
7.Cilt, ! .Sayı (Mart 2003)
yöneticisine büyük bir sorumluluk düşer; gerekli olan
konfıgürasyonu kendisi yapmalıdır.
Uygulanm düzeyli geçit yolunda, kabul edilecek veya
kabul edilmeyecek kuralları içeren bir tablo oluşturur.
Bu tablo üzerindeki bir kurala uyan ve geçme hakka elde
eden paketler karşı tarafa geçirilir.Aksi durumda
engellenir.
V-SONUÇ
Ağ güvenliği; Internet ve özel sanal ağ ( VNP )
uygulamalarının
yaygınlaşmasıyla
oldukça önem
kazanmıştır. Fiıma iç işleri için hazırlaıınuş bir LAN'ın
Internet gibi herkese açık bir ağa bağlanması, özel
bilgilerin korunması konusunu gündeme getimıiştir; aynı
ağ ile hem fırma içi iletişim kororunası konusunu
gündeme getirmiştir; aynı ağ ile hem fırma içi iletişim
kurulsun, hem de dış kaynaklardan yararlanılsın
istenilmektedir. Güvenlik duvan ( fırewall ) ağ
güvenliğini sağlamak için kullanılan cihazın genel
adıdır. Hem dışarıdan gelecek tehlikeleri önlemeye
çalışır henı de özel ağın iç yapısını dışarıdan gizler; en
önemli unsurlarından iki tanesi şifreleme yeteneği ve
adres dönüşüm ( NAT ) özelliğidir.
Her site bilginin nasıl kullanılacağını anlatan iyi
tanımlannuş bir güvenlik politikası 'na sahip olmalı. Bu
güvenlik politikası farklı güvenlik modellerinden
oluşturulmuş olabilir, çünkü bir güvenlik modeli çeşitli
yollar ile uygulanabilen genel bir modeldir. Bir güvenlik
modelini gerçekleştiren bir ürün güvenlik politikasını
uygulamanıza yarayan bir araç sunar. Aynı güvenlik
modeli diğer güvenlik politikalarını da destekleyebilir.
Sitenizin güvenliğini arttırmak için kullandığınız her
ürün kendi güvenlik modelini sunmalı. Birçok model,
ürünler sitede birleştirildiğinde birbirini etkiler. Örneğin
bir fırewall ve işletim sistemi beraber çalışarak şirketiniz
için güvenli bir internet bağlantısı sunarlar. Fire\vall ve
işletim sistemi toplam çözümü sunmacia farklı rollere ve
sorumluluklara sahiptirler. Firewall, kendisinin güvenli
bir ortamda çalışması için işletim sistemine bağımlıdır.
Eğer işletim sisteminde güvenlik açığı varsa firewall'un
güvenliği sağlamasına güvenilemez. Bu tip etkiler
yüzünden, bir genel güvenlik modelinin nelerden
oluştuğunu ve nasıl uygulayabileceğinizi bilmeniz
gerekir.Kısaca, bir güvenlik modeli bireyleri ve bu
bireylerin
birbirleriyle
nasıl
etkileştiğini
ve
yardıınlaştığını belirler. Ağlarımzdaki birçok bireyi zaten
biliyorsunuz - kullarucılar, gruplar, dosyalar, router' lar,
workstation 'lar, yazıcılar, disk süıücüleri, uygulama
programlan, istemciler, sunucular ve ağ adaptörleri. Bu
bireyler bilgisayar ağlarında birbirleriyle çok farklı
yollarda birbirleriyle etkileşirler. Sık rastladığımz bir
erişim kontrol kuralı, bir bilgisayardaki dosyayı hangi
kullanıcılarm okuyabileceği olabilir. Daha başka
örneklerde aklınıza gelebilir, ki buda güvenlik modeli
fikrini zaten bildiğinizi gösterir. Genel güvenlik
modelini araştırmadan önce, güvenliğe niye birinci
derecede ihtiyaç duyulduğunu düşünün. Bir veya daha
fazla ürün tarafından uygulanan bir güvenlik modeli, 3 ana
amaca hizmet etmelidir.
Bilgisayar güvenliğinin amaçları; İzinsiz-giriş saptama
üıünlerinin güvenl iği arttırmada niye kullanılma ya
başladığını anlamak için güvenlik ütünlerinin sağlan1aya
çalıştığı amaçları bilmelisiniz. Bu amaçlar geleneksel
ürünlerle sağlanamadığı için kuruluşlar izinsiz-giriş
saptama çözümlerine eğiliyorlar
Intemet'e bağlanmak isteyen her şirket için, Internet
üzerinde geçerli olan IP adreslerine ihtiyaç vardır. Bu
adresler iç network'te kullanılması durumunda, Internet
üzerinden bu network'e giriş daha kolay bir hale
gelmektedir. Bunun engellenmesi için iç network'te
Internet'te kayıtlı olmayan IP adresleri (unregistered IP's)
kullanılır. Bu yüzden içerinden Internet'e giden trafiğin IP
adreslerinin bir noktada değiştirilmesi gerekmektedir. Bu
tür bir IP değişimi router veya firewall üzerinde
yapılabilir. Firewall, İntemet'e açık ağların İnternet
üzerinden gelebilecek saldırılan veya izinsiz yerel ağa
girişleri engellemek amacı ile kurulan yerel ağ (LAN) ve
İnternet arasında yer alan sunucuya yüklenen güvenlik
yazılımlarına verilen genel isimdir. Firewall yazılımları
İnternet güvenliğinin en üst düzeye çıkarılmasını sağlar.
Diğer güvenlik hizmetleri ; E-mail virüs tarama sistemleri
, Proxy , Microsoft Proxy Server 2 .0. Proxy'ler
firewall'lara benzer fakat genel güvenlik kurallannı
desteklerler ve fırewall 'lar kadar kapsamlı değildir]er.
Proxy'ler çift network kart ile desteklendikleri takdirde
önemli ölçüde ağ güvenliğini s ağlarlar.
KAYNAKLAR
[ 1 ] - Schneier, Bruce (Çeviıi: Ertan Kurt) ;Applied
Cryptography (Güvenlik-Şifreleme),200 1 .
[2]- Escamilla, Terry (Çeviri: Brtau Kurt); Intrus ian
Deteetion (Firewall un ötesinde ağ güvenliği),200 l .
[3]- Braun,H.W., Chinoy,B., Claffy, K.C., Polyzos, G.C.,
Analysis and Modeliing of Wide Area Networks:Annual
Status Report. Technical Report.Applied Network
Research.San Diego Supercomputer Center and Computer
System Laboratory U CSD .February 1 993 .
[4]- Kosiur, David (Çeviri :Tansel Akyüz); Özel Sanal
Ağlar [VPN} inşa etme ve yönetme,200 1 .
[5]- IBM Document number GG24-3 1 78-03."Local Area
Network Concept and Products". January, 1 994.
[6]- Chapman, D.Brent & Zwicky, Elizabeth D.
(Çeviri:Ertan Kurt) ;ISBN 1 -56592-1 24-0,Güvenlik
Duvarı inşa Etmek (Building Internet Firev1alls),200 1 .
[7]- IBM Document number GG24-3816-0 l ."High-Speed
Net\vorking Technology ·: An Introductory Survey" .June
1 993.
[8]- ŞENTÜRK, Muzaffer;, IP ağlannda güvenlik ve
doğruluk onaylayıcı hizmet b irimi tasarımı" ,Yükse k
Lisans tezi, B . Ü. Elektrik ve Elektronik Mühendisliği
Bölürnü,Eylül 1 995.
16
Download