I. Windows Firewall Nedir ?

Firewall hackerlar, virüsler ve solucanlar gibi bilgisayarınız üzerinden internete erişmeye çalışanları filtreleyen bir uygulamadır. Windows Firewall Windows Server 2003 (Service Pack 1)ve Windows XP (Service Pack 2) itibariyle tüm Windows bilgisayarlarda çalışmakta ve ağ üzerinden gelebilecek saldırıları engellemek için güvenlik sağlamaktadır.

II.Firewall Profili Oluşturma

Windows domain, private ve public olmak üzere 3 ağ profiline sahiptir. Work ve home benzerdir ve private firewall araçlarının altında yer almaktadır. Private, bilgisayarlar ve diğer donanım araçlarının birbirini bulabilmesini sağlayan bir ağ profilidir. Public ise en güvenli profildir. Bu sebeple kafelerde, havalimanlarında vs. kullanılması tavsiye edilen profildir. Eğer ağınızda güvenli olduğundan emin olmadığınız bir bilgisayar varsa, ağ profilinizi “public” olarak ayarlamalısınız. Domain profilini kullanıcılar tarafından seçilemez, bilgisayarınız domain’e katıldıktan sonra kullanılır. Windows Hardening’e başladığımızdan beri, en güvenli ayarları istiyoruz ve Windows’un sadece istendiği zaman iletişim kurmasını sağlamaya çalışıyoruz. Bu sebeple bir domain’e katıldığınızda private ya da public profillerini amacınıza göre seçiniz. Ethernet kablonuzu taktığınızda, en kısıtlayıcı ve güvenli olan Public profilini seçiniz.
Not: Eğer daha önceden Private profilini seçmişseniz ve Public profiline değiştirmek istiyorsanız Windows 10 için tek yöntem PowerShell yardımı ile yapmaktır.

PowerShell’e sağ tıklayıp Yönetici olarak çalıştır seçeneği ile açın.

Sonrasında Get-NetConnectionProfile kodunu yazın ve resimdekine benzer bir çıktı elde edeceksiniz. NetworkCategory : Private olacak sizin çıktınızda.
Sonra ağ adınızı kaydedin ve şunu yazın:
Set-NetConnectionProfile -name “eduroam” -NetworkCategory public burada da eduroam yerine kendi ağınızın adı yer alacak.

III. Windows Advanced Firewall ve Giden Veri Trafiğini Engellemek ve Loglamak

A. Outbound Blocking

Firewall’ların basit ayarları default deny, yani siz izin vermediğiniz sürece tüm trafiği engellidir. Sizin izin verdiğiniz kurallar grubuna da whitelist denir. Windows Firewall’un default ayarları gelenleri engelle ve gidenlere izin ver şeklindedir. “Outbound allow all” konfigurasyonu kolaylaştırır ve engelleme prensibini kullanmaz ki pek ideal değildir çünkü biz zararlı yazılımların yönetici ana serverlarına geri ulaşabilmesini istemeyiz. Outbound Blokcing’i aktif ettiğinizde sadece sizin izin verdiğimiz programlar ve servisler internete erişebilir. Zararlı yazılımlar raporlarını serverlarını ulaştırmakta zorlanırlar. Bu sebeplerden dolayı internete erişmesi gereken bir program kurduğunuzda, antivirüs gibi, tüm exe dosyalarını bir bir kontrol edip hangisinin internete erişmekten sorumlu olduğunu bulmalı ve Windows Firewall Outbound Blocking’de o exe dosyasına ayrıcalık vermelisiniz.

Windows Outbound Blocking’i aktif etmek için Başlat > Arama kısmından Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı’nı açın. Alt kısımda bulunan Windows Güvenlik Duvarı Özellikleri’ne tıklayın.

Yukarıda ki Domain ( Etki alanı ), Private ( Özel) ve Public ( Ortak ) profillerinin her biri için;

1- Giden bağlantılar’ı Engelle moduna getirin.

2- Tek noktaya yayın yanıtına izin ver seçeneğini Hayır’a değiştirin.

3- a. Boyut sınırı’nı max. olan 32.767 KB’a getirin.
b. Bırakılan paketleri günlüğe kaydet’i de Evet seçeneğine getirin.Eğer Automated Configuration Pack denilen otomatik konfigure paketiniz varsa sağ tık > yönetici çalıştır diyerek tüm Firewall kural ve profil ayarlarınızı yapabilirsiniz.
B) Firewall Rules

1.Windows servislerini Outbound istisnalarına eklemek için:

Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı penceresinde sol tarafta bulunan Giden Kuralları sekmesine tıklayın.

Gelen pencerenin sağ tarafında Yeni Kural… butonuna tıklayıp gelen pencereden Özel seçeneğimi seçin. İleri dedikten sonra Hizmetler’in yanında bulunan özelleştir… butonuna tıklayın.

Bu hizmete uygula seçeneğini işaretledikten sonra Windows Update’i bulun ve Tamam ile çıkın. İleri ile devam edin Protokol ve Bağl. Nokt. Ve Kapsam sekmelerini bir değişiklik yapmadan geçin.

Eylem sekmesinde Bağlantıya izin ver seçeneğini işaretleyin ve devam edin.

Profil sekmesinde tüm seçenekleri işaretleyin ve Ad sekmesinde Rule’a (Kuralınıza) bir isim verin. Örnek “X servisine izin ver”.

2. Bir Programı Outbound istisnalarına eklemek için yine Giden Kuralları sekmeksinden Yeni Kural… butonuna tıklayın.

Gelen ekrandan Program seçeneğini işaretleyip devam edin.

Bu programın yolu seçeneğinden Gözat ile programın .exe uzantılı çalıştırılabilir dosyasını bulup, seçin ve devam edin ve Eylem sekmesine kadar bir değişiklik yapmayın.

Bağlantıya izin ver seçeneğini seçip devam ettikten sonra Profil sekmesindeki tüm seçenekleri işaretleyin.İleyleyip kuralınıza bir isim verdikten sonra bitirin. Örnek “X Programına izin ver”.

3. Outbound Blocking’de hedef port ve IP adrese izin vermek için:

Giden Kuralları sekmesinden Yeni Kural… butonuna tıklayarak açılan pencerede Özel seçeneiğini işaretleyin.

Program sekmesinden Tüm programlar seçeneğini işaretleyin.

1- Protokol ve Bağl. Nokt. Sekmesinde Protokol türü seçeneği için duruma göre TCP ya da UCP seçin.
2- Uzak bağlantı noktası seçeneğinden Belirli bağlantı noktalarını seçip portları girin boşluğa. İleri.

Kapsam sekmesinden Bu kural hangi uzak IP adreslerine uygulanıyor? ‘un altında bulunan Bu IP adresleri seçeneğini işaretleyip Ekle… butonuna tıklayın.

Açılan pencerede Bu IP adresi veya alt ağ seçeneğinin altındaki boşluğa IP adreslerini girin.

Bağlantıya izin ver seçeneğini işaretleyin. İleri. Profil sekmesinde tüm seçenekleri işaretleyin. Ve son olarak porta veya IP adresine verdiğiniz kurala isim verin. Örnek “X portu izni, Y IP’si izni”.

TR | Windows Firewall Sıkılaştırması CypmUni İYTE

Firewall Nedir?

Firewall,  ağa  gelen, giden paket trafiğini kontrol eden, ağ sistemlerimizi internet ortamından  gelebilecek  her  türlü tehlikeye karşı koruyan  güvenlik sistemidir.  Her türlü tehlike derken anlatmak istediğimiz virüsler, zararlı yazılımlar, Truva yazılımları ve olumsuz içerikli web siteleridir.

Güvenlik duvarları kullanılarak, gelen ve giden ağ trafiği kontrol altına alınarak, bilgisayar ve bilgisayar ağlarına istenmeyen ve yetkisiz erişimler engellenmiş olur. Evimizde veya ofisimizde kullandığımız bilgisayarlarda  firewalllar sayesinde kilit noktaları oluşturarak kendimizi güvence altına almış oluruz. Kısaca yerel ağımızı internet ağından korumuş oluruz.

Firewall, donanımsal ve yazılımsal olarak ikiye ayrılabilir. Yazılımsal firewall daha çok ev kullanıcıları içinken donanımsal firewall ağ sistemlerini korumak için kullanılır. İkisini maliyet, performans ve güvenlik  bakımından  karşılaştırdığımızda donanımsal firewall daha üstündür.

Donanımsal Firewall Nedir?

Donanımsal firewall’lar router, modem vb. donanıma entegre  edilmiş  firewall’lardır. Yalnızca  güvenlik  duvarı özelliği ile kullanılan geniş bantları karşılayabilen, OSI  1-2-3-4. katmanlarında çalışabilen güvenlik çözümleridir. Tipik olarak paket filtreleme yöntemini  kullanırlar.

Avantajları

• Tek bir firewall tüm ağınızı,dolayısıyla ağınızdaki bütün bilgisayarları koruma altına alır.
• Bilgisayarınızda çalışmadığı için yani çevresel donanım olduğu için sisteminizin performansını ve hızını etkilemezler.
• Donanımsal firewall’lar geniş bant kullanan kurumlar için daha verimlidir.
• Donanımsal firewall’lar yazılımsal firewall’lar gibi zararlı yazılımlar(virüs, kurtçuk vb.) kolayca devre dışı bırakılamazlar.
• Bir kurum için her bir  bilgisayar için lisanslı firewall almaktansa bir tane donanımsal firewall kullanmak maliyeti önemli ölçüde düşürür.
• Disk kullanmadıkları için arıza oranı da az olur.
• Genelede daha az yer kaplarlar, daha az elektirik sarf ederler ve daha sessiz olurlar.

Dezavantajları

• Kullanım alanlarına ve tiplerine göre oldukça pahalı olabilirler.
• Yeni kullanıcılar için donanımsal firewall ayarını yapmak oldukça zor olabilir.
• Donanımsal firewall’lar ağınızdan çıkan veriyi güvenli olarak nitelendirdikleri için, ağınız da bulunan zararlı bir yazılımın internete bağlanmasına müsade ederler.

Yazılımsal Firewall Nedir?

Bu çeşit firewall herhangi bir bilgisayara yazılım olarak rahatça kurulabilir.Bilgisayar gelen verinin istenen  veri olup olmadığını kontrol ederler ve çoğu zaman bilgisayardan çıkan verinin kontrol edilebilmesi  için ayarlanabilirler

Avantajları

• En iyi yazılımsal Firewall’lar  bile Donanımsal Firewall’lara göre oldukça ucuz olduğundan dolayı az sayıda bilgisayar içeren ağlar için idealdirler.
• Kullanımı kolaydır.Kurulumu birkaç tıklamayla tamamlanıp ayarlarını yapmak da kolaydır.
• Hangi uygulamanın internete erişim hakkı olduğunu belirleyebilirsiniz.Kendi mail sunucularını kuran zararlı yazılımlar(MyDoom) gibi potansiyel senaryolarda donanımsal firewall’lara göre çok daha güvenlidir.Bu tür yazılımlar kendi mail sunucusunu kurduğu için,donanımsal firewall’lar bu yazılımları güvenli olarak algılayıp bu zararlı yazılımların dışarıya olan veri trafiğini engellemezler.
• İstenilen her yere bilgisayar ile birlikte taşınabilir.

Dezavantajları

• Yazılımsal oldukları için sisteminizin belleğini,işlemcisini vb kaynakları kullandıkları için performans hızını düşürürler
• Geniş bir ağınız varsa her bilgisayar için lisanslı firewall kullanılacağından maliyet yüksek olabilir.
• Yazılımsal firewall’lar IP adresinizi maskeleymezler bunun yerine kullanılmayan portları kapatırlar.

Yazılımsal Firewall’e Göre Donanımsal Firewall

• Maliyet(TCO): Maliyetleri nettir. Kutu ve güncelleme fiyatları vardır.
• Performans: Firewalla Özel tasarlandığı için donanım performansları yüksektir.Ayrıca genel bir işletim sistemi olmadığından daha hızlıdır.Bazı ürünlerde birçok işlem donanım tabanlı çözüldüğünden yüksek performans sağlar(ASIC).
• Güvenlik: Firewall özel tasarlandığı için güvenlik çok yüksektir.Sadece belli portlar açıktır.
• Yetenek: Tüm donanım ve yazılım altyapısı ürünün kendine ait olduğundan çok yetenekli özellikler eklenebilmiştir.(PKI,LDAP,AD vb desteği gibi)
• Kurulum: Kurulumu kolaydır. Genelde tek bir arabirim üzerinden işlem yapılabilir.
• Bakım: Güncelleme kolaydır. Tek bir firmware yüklenir.
• Yükseltme: Genelde yükselteme yapılmamaktadır  bazı modellerde ram yükseltilebilmektedir.
• Entegrasyon: Üzerinde taşıdığı  tüm servisler(AV, Firewall,IDS, IPS, Filtering vb) birbirine entegre çalışır.
• Lisans : Genelde lisans kullanıcı bazlı değildir.

Firewall’lar Nasıl Çalışır?

Firewall paket filtrelemesi yaparak hangi paketlerin duvardan geçip geçemeyeceğine karar verir. Bu filtreleme ile bazen veri akışı engellenirken bazense veri trafiği düzenlenir veya sınırlandırılır. Bazı firewallar e-mail trafiğine izin verirken bazıları da problem olabilecek servisleri(FTP,NFS, X-Windows gibi ) bloke eder. Ayrıca sisteme modem ile bağlantı kurulmak istendiğinde firewall bu bağlantıyı kontrol ederek izleyebilme imkanına da sahiptir. Bunun yanında, kullanıcı şifre ve yetkilerini tanımlayarak firewallar bu bilgileri ağ trafiğinde gizlemiş olur.

Firewalların avantajları olduğu gibi dezavantajları da vardır. Bunların başında kullanıcıların çok kullanılan servislere erişiminin kısıtlanması gelmektedir. Bu servisler telnet, ftp, nfs gibi servislerdir. Telnet güvensiz bir protol olduğu için firewall tarafından engellenir. Ancak internet ağı üzerindeki çok kullanıcılı bir makineye uzaktaki başka bir makineden bağlanmak için geliştirilmiştir. Aynı şekilde ftp de dosya ve komut transferi için değişik portlar kullandığı için firewall tarafından engellenir. Fakat bu kısıtlama, kullanıcı(host) ihtiyacına göre güvenlik şartlarını iyi bir şekilde planlayarak kaldırılabilir.

Bazı durumlarda firewall kullanılsa bile hacklenme olasılığı vardır. Böyle durumlarda risk analizi yapılmalıdır. Bunu için Kerberos gibi alternatif çözümler oluşturulabilir.

Firewall trojan türü data içeren veri paketlerine karşı ağı koruyamaz. Hackerlar backdoor oluşturan programlar aracılığıyla saldırı gerçekleştirdiğinde firewall bir koruma sağlayamaz. Burada istemci, sunucudaki erişim kontrollerini değiştirerek gizli dosyaları açabilen programları server tarafında çalıştırır. Burada firewallın truva yazılımlarını engellemeye çalışması ağ izleme yani Network Monitör özelliğidir.

Firewall tarafından korunan ağa sınırsız modem erişim izni verilirse, saldırganlar bu güvenlik duvarını geçebilirler. Güvenli zannettiğimiz ağlardaki slip ve ppp(modem hızları) bağlantıları diğer networklerle bağlantı kurabilecek backdoorlardır. Buradan anladığımız gibi firewallar ağdan gelen tehditlere karşı bir koruma sağlayamaz.

Firewallar virüsler için de koruma sağlayamaz. Çünkü virüsler kolaylıkla sıkıştırılıp, şifrelenebilirler. Tüm yazılım bileşenlerini denetim altına alarak, zararlı kod içerip içermediklerini sürekli kontrol ederler. Bu özelliğiyle bileşenleri gözleme yani Component Monitör özelliğine sahiptir.

Firewallın sistemimizde çalışan programları kontrol ederek firewall izni olmayan hiçbir programın çalışmasına izin vermemesi de uygulama izleme yani Application Monitör özelliğidir.

Yazılımın uygulama davranışlarını denetim altına alarak sürekli olarak yazılımı test edip uygulamanın en iyi şekilde çalışmasını sağlaması ise firewallın uygulama davranış analizi yani Application Behaviour Analysis özelliğidir.

Güvenlik duvarı, belirli trafik türlerinin engellenebilmesini sağlayarak tüm gelen ve giden trafiği izler. Bunu ise aşağıdaki ölçütlere dayanarak yapar.

• Yön(gelen veya giden)
• Protokol(TCP/UDP/ICMP)
• Hedef bağlantı noktaları
• Hedef bilgisayar

Şimdi firewall türlerinin yapısını (proxy ve packet filtering) inceleyelim.

PACKET FILTERING (Veri paketleri Filtresi)

IP paketlerini filtreleme, yönlendiriciler arasında geçen veri paketlerini süzmek için geliştirilmiş bir router kullanılarak yapılır. Bu sayede kaynak(source) – hedef(destination) IP adresleri ve TCP/UDP kriterlerine göre IP paketlerinin trafiği süzülebilir.

Filtreleme sayesinde ağdaki veya ana makinedeki bağlantılar veya belirli portlar bloke edilmiş olur. IP adres filtresine, TCP ve UDP port filtresi ekleyerek sistem daha esnek hale getirilebilir. Örneğin bir ağ, firewall’a bağlı olmayan makinelere giren bütün bağlantıları engelleyebilir ya da bir sistem için telnet veya FTP bağlantıları serbest iken bir diğeri için sadece SMTP bağlantısı açık olabilir. TCP veya UDP portlarının süzülmesi yolu ile bu tür seçimlerin uygulanması, paket filtreleme kapasitesine sahip host yoluyla veya paket filtreleme yönlendiricisi tarafından yapılır. Ancak bu yönlendirmeler yapılırken veri transferi esnasında karşılaşılacak problemler paket filtrelemenin dezavantajıdır.

Paket filtrelemeyi destekleyen yönlendiricilere perdeleyici yönlendiriciler (screening routers) de denilmektedir. Örneğin, Cisco yönlendiriciler, paket filtrelemesi için basit bir yapı kullanmaktadırlar. Her bir ağ ara yüzü, bir izin grubuna dâhil edilir ve her grup için izin listesi tanımlanır.

PROXY SERVER (Vekil Sunucu- Application Getaway)

Uygulama geçidi olarak da bilinir. Vekil sunucular yerel ağ ile dış dünya arasındaki ilişkiyi sağlayan getaway(yardımcı geçit) sistemleridir ve ağlar arası trafiği kontrol etmek için kullanılır. Aynı zamanda kullanıcı erişimleri için denetleme ve destek de sağlar. Bir FTP proxy serverı, FTP protokolü üstünden giriş ya da çıkışları denetleyecek ve bloke edecek şekilde konfigüre edilebilir. Vekil servisleri kısaca verinin bir firewalla gönderildikten sonra alınması olayıdır.

Avantajı kullanımının kolay olmasıdır. Ama Proxy’ler gibi erişim kontrolüne ve özel protokol kullanma olanağına sahip değildir.

Bir Proxy servisi sizden aldığı “internet’ten bilgi alma” isteklerini yürütür ve sonucu yine size iletir. Ancak aynı anda, bu bilgilerin bir kopyası da (cache), bu Proxy sunucusu üzerinde tutulur. Böylece bir dahaki erişimde kullanıcının istediği bilgiler, doğrudan ilgili siteden değil de Proxy servisinden gelir. Dolayısıyla, iletişim daha hızlı olmuş olur.

Firewallar ön tanımlı bir konfigürasyonla gelir fakat belli başlı filtreleme kuralları vardır. Yönetici bu kuralları değiştirebilir. Kurallar aşağıdaki gibidir.

• Ip adresleri,
• Alan adları(domain names)
• Protokoller
• IP,TCP,http,FTP,UDP,ICMP,SMTP,SNMP,TELNET
• Portlar

Biraz da firewall örneklerine değinelim:

• Paket filtreleme yapan Firewall türü – Packet Filtering Firewall
• Çift taraflı Geçit tipindeki Firewall türü – Dual-homed gateway firewall
• Perdelenmiş kullanıcı tipindeki Firewall türü – Screened host firewall
• Perdelenmiş alt ağ tipindeki Firewall – Screened subnet firewall

1)Packet Filtering Firewall

Bu firewall türünden bahsetmiştik. Kısaca bir paket, güvenlik duvarından geçtiği sırada eğer başlık bilgisi, güvenlik duvarı tarafından daha önceden tanımlanmış olan firewall paket filtresi ile eşleşirse paket atılır veya kaynağa hata mesajı gönderilir, paketin var olan ağ akışının bir parçası olup olmadığına bakılmaz.

2)Dual-Homed Gateway Firewall

Çift taraflı geçit tipinde firewall türüdür. Paket filtrelemeli fırewalldan farklı olarak, çift taraflı geçit mekanizması, internet ile ağ arasındaki IP trafiğini (Proxy tarafından kullanılan servisler hariç) tamamen bloke eder. Servisler ve sistemlere erişim, bu geçitteki (gateway’deki) Proxy sunucusu tarafından sağlanır. Basit ve emniyetli bir firewall türüdür. Bu yapıda Proxy tarafından izin verilmeyen hiçbir hizmet kabul edilmez. Dışarıdan gelen hiçbir paketin vekil sunucuyu geçmeden korunan ağa girmesi mümkün değildir.

Bu firewall türü IP yönlendirme özelliği etkisizleştirilmiş bir uygulama düzeyinde çalışan ağ geçidinden ve filtreleme yapabilen (perdeleyici) yönlendiriciden oluşur. Bu yönlendirici sayesinde, içerisinde değişik sunucuların bulunduğu, perdelenmiş bir alt ağ oluşturulur.

Alt ağ (subnet) sadece firewall tarafından bilinir ve algılanır. İnternet üzerinde bu ağa ait bir bilgi bulunmaz. Bu sayede ağ içindeki isimler ve IP adresleri internet sistemlerinden saklanır. Çünkü firewall DNS bilgilerini saklar ve dışarıdan hiç kimse korunan ağdaki ip adreslerini ve isimleri bilemez.

Bu firewall türü ağa gelen ve giden veriler ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi sunucusu, geçit-gateway ile yönlendirici-router arasında alt ağa yerleştirilir. Ağ geçidinin (gateway) bilgi sunucusu için uygun proxy servisleri sağladığını farzedersek (ftp , gopher veya http gibi) yönlendirici (router), firewall’a doğrudan erişimi önleyebilir ve erişimleri firewall’un denetlemesine tabi tutar. Bilgi sunucusunun bu şekilde yerleştirilmesi ağ sistemlerine ulaşımı engellediğinden dolayı emniyetli bir metottur.

Bu yapıda vekil sunucu, TELNET, FTP ve merkezi e-posta gibi hizmetlere izin verebilir. Güvenlik duvarında gerekli as+ıllama ve yetkilendirme bilgileri tutulabilir. Ayrıca, erişim kayıtları da tutularak saldırı aktiviteleri izlenebilir. Uygulama ağ geçidi ile yönlendirici arasına başka hizmetler veren sunucular yerleştirilebilir. Bu sunucular, dışarıya IP adresi ve ismi verilmeden, uygulama ağ geçidi üzerinden dışarı bağlanabilecekleri gibi (eğer vekil sunucu bu hizmet desteğini veriyorsa), doğrudan dışarıdan gelen istekleri de alabilirler. İkinci durumda ise diğer hizmetleri veren sunuculara yapılacak olan saldırılarda, uygulama ağ geçidine takılacaklarından korunan ağa bir saldırı gerçekleştirilemez.

Bu firewall türünün bir dezavantajı vardır. Korunan ağdaki istemcilerin diğer sunuculardan hizmet alabilmek için uygulama ağ geçidinden geçmek zorunda olmaları, ağ geçidi üzerinde yoğun bir trafik oluşturur. Bu da performans düşüklüğüne neden olur. Ayrıca, bazı hizmet veren sunucular (LOTUS Notes, SQLnet gibi) için Proxy desteği bulunmadığından, korunan ağdan bunlara erişim yapılamaz. Erişilmesi gereken servisler için bu servisleri veya sistemleri geçidin internet tarafına yerleştirmek gerekir. Bunu ayrı bir yönlendirici geçit ile asıl yönlendirici arasında bir alt ağ oluşturacak şekilde gerçekleştirebilir.

3)Screened Host Firewall

Perdelenmiş kullanıcı tipindedir. Güvenlik alanında çift taraflı geçit tipindeki firewalllara göre daha esnektir. Yönlendiricinin korunmalı durumdaki alt ağ tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara birimine ihtiyaç duyar. Uygulama geçitlerinin proxy servisleri, ağ sistemindeki bazı proxyler için telnet, ftp ve diğer veri paketlerini geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama geçidi ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi gereken protokollerdir ve uygulama trafiğini yönlendirirler.

Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen trafik kabul edilir. İnternet ağlarından gelen diğer tüm trafik geri çevrilir. Uygulama geçidinden gelmedikçe, yönlendirici içeriden gelen herhangi bir uygulama trafiğini reddeder.

4) Screened Subnet Firewall

Çift taraflı geçit ile perdelenmiş host tipi güvenlik duvarının birleşimidir.

Bu yapıda perdelenmiş bir alt ağ oluşturmak için iki perdeleyici yönlendirici kullanılır. Bunların arasında kalan alana perdelenmiş alt ağ veya askerden arındırılmış bölge (DMZ – Demilitarized Zone) denir. Bu bölgede birkaç tane uygulama ağ geçidi ve istenirse diğer hizmetleri veren bazı sunucular bulunur. Korunan ağdan dışarı çıkmak isteyenler, yönlendiricilerden ilki tarafından uygulama ağ geçidine yönlendirilirler. Eğer DMZ’de bulunan diğer sunuculardan hizmet almak istiyorlarsa, yönlendirici tarafından uygulama ağ geçidine uğramadan bu sunuculara yönlendirilirler. Bu, dual-homed firewall türüne göre daha esnek bir yapı sağlar. Ayrıca, uygulama ağ geçidi üzerinden yükü azaltarak performans artışını sağlar. Ancak, DMZ’de bulunan diğer sunucuların çok iyi korunması gerekir.

Firewall ile modemin entegrasyonu da önemli bir konudur. Biraz da bundan bahsedelim.

Birçok ağda, ağdaki modemlere telefon hattından erişmek backdoor açığıdır. Bu firewall ile kurulan korumayı tamamen etkisiz duruma getirir. Bunu önlemenin yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde toparlamaktır. Ana modem girişi düzenlemesi, modemlerin ağa bağlantısını sağlamak amacıyla yapılmış bir terminal sunucu üzerinden gerçekleştirilebilir.

Modem kullanıcıları önce terminal sunucusuna bağlanır, oradan da diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de sağlarlar. Bir diğer alternatif de, terminal sunucusuı, modemlerin bağlandığı bir ana makine de olabilir.

Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu fırewallun dışında oluşturmak gerekir. Böylece modemle yapılacak bağlantılar firewall içinden geçeceği için güvenlik sağlanmış olur.

Sistemin dezavantajı ise, modem sunucusunun internete doğrudan bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara yapılacak bu tür bağlantılar engellenebilmelidir.

Bilgisayar kullanıcıları sadece virüs tehdidi altında değildir. Aynı zamanda bilgisayarımızda bulunan kişisel verilerimizin tümü güvenlik riski oluşturur. Firewallar sayesinde tamamen korunamasak da bu tehdidi en aza indirmiş oluruz. Güvenlik duvarı sayesinde korunabileceğimiz diğer tehditlerse şunlardır:

• Remote Login – Uzaktan Erişim
• Aplication backdoors – Arkakapı uygulamaları
• Dos (denial of service) attacks – Servis reddi atakları
• Smtp Session Hijacking – Eposta protokolü oturum çalınması
• Operating system bugs – İşletim sistemi hataları
• Email bombs – Eposta bombaları
• Macros – Makrolar
• Bilgisayar Virüsleri
• Spam – Zararlı epostalar
• Source rating – Kaynak Saptırma
• Redirect Bombs

Kısaca anlatmak istediğimiz şudur:
Paket filtreleyici güvenlik duvarları basit bir güvenlik çözümü sağlarlar ve paketlerdeki verinin içeriğine bakmazlar.

Devre düzeyindeki güvenlik duvarları dışarıdan gelen paketler için tek giriş noktasıdır. Dışarıdaki bilgisayarlar sadece bunun adresini bilirler. Böylelikle, arkasındaki ağı güvenli bir şekilde korur.

Uygulama düzeyindeki güvenlik duvarları ise bilginin içeriğine bakarak paketi geçirip geçirmeyeceğine karar verir. Asıllama ve yetkilendirme mekanizmaları kullanır.

Güvenlik duvarları kullanılarak değişik güvenlik yapıları oluşturmak mümkündür. Çift-geçit tipi güvenlik duvarları daha güvenli bir yapı sunarken, performans ve esneklik bakımından perdelenmiş alt ağ güvenlik duvarlarından daha düşük seviyededirler.

Güvenlik hayatımızın her alanında aradığımız ilk koşuldur. Kendimizi, bilgilerimizi güvence altına almak için de firewallara ihtiyacımız vardır. Güvenlik duvarları sayesinde bilgisayar ağlarımızı ve internete bağlı olan araçlarımızı korumuş oluruz.

Tıpkı Wayne Dyner’in dediği gibi ‘Sadece güvensiz güvenlik olmaması için çaba harcıyoruz’.

TR | Enine Boyuna Firewall CypmUni OMÜ

IPTables Nedir?

Kernel bazında çalışan ağ paketlerini inceleyebileceğimiz müdahalede bulunabileceğimiz,Linux üzerinde çalışan bir güvenlik duvarı( ateş duvarı (firewall))dır.Oldukça kullanışlı bir araçtır kendisi.Linux üzerinde ki hangi tool/yazılım değil ki ?

Bilinmesi Gereken Komutlar & Kavramlar.

• ACCEPT : Gelen giden paketleri kabul etmek için kullanılır.
• DROP : Gelen giden paketleri düşürmek için kullanılır.
• REJECT : Gelen giden paketleri reddetmek için kullanılır.Drop’dan farkı kullanıcıya bunun hakkında bilgi verilir.
• FORWARD : Gelen giden paketleri yönlendirmek için kullanılır.
• INPUT : Gelen paketler için kullanılır.
• OUTPUT : Giden paketler için kullanılır.

Biraz Pratik

Sıfır bir iptables ayarlarına bir göz atalım isterseniz.

iptables -L -n --line-numbers

Tam halini görmek için : defaultrules.txt on github

1. -L :  Kuralları listeler.
2. -n : Burada ip ve portlarını bize göstermesini istediğimizi belirtiyoruz.DNS isim çözümlemesi kullanmaz bu yüzden hızlı bir şekilde listeleme yapar.
3. –line-numbers : Kuralları kural tipine göre satır numaralarıyla birlikte gösterir.

Bir ip adresini drop edelim isterseniz.Şuan elimde web for pentesterın imajı var.Hemen ip almasını sağlayalım.

Gördüğünüz gibi 192.168.1.42 ip’sini almış.

iptables -I OUTPUT -d 192.168.1.42 -j DROP

Bu kodu şimdi aşama aşama görelim.

• -I : Insert kelimesinin ilk harfi yani burada kural eklemek istediğimizi söylüyoruz.
• OUTPUT : Verdiğimiz ip adresine veri gönderimini engellesin.
• -d : Destination kelimesinin ilk harfidir.Yani hedefi 192.168.1.42 olan paketleri engelle.
• -j : Jump kelimesinin kısaltması olarak kullanılmış.Kural için hedef gösteriliyor burda.Yani bu kurala uyan paket drop edilsin şeklinde hikayeleştirilebilir sanırım.

Şimdide bir domain engelleyelim isterseniz.

iptables -I OUTPUT -d https://www.canyoupwn.me -j DROP

İyi hoş güzel biz engelliyoruz ama lazım oldu bunu kaldırmak istedik o zaman nasıl yapacağız ?

O zaman ilk önce şöyle komut gireceğiz.

iptables -L -n --line-number | grep “ipadresi”

Şaka şaka evet bu yöntemi de kullanabilirsiniz ama kurallarınız çoğaldığın da bu bir sorun olacak.

Iptables -L OUTPUT -n --line-number

Bu şekilde eklediğiniz kuralları görebiliyorsunuz.”–line-number” komutunu verdik ki silerken satır satır silmemizde bize kolaylık sağlasın diye.

Silmek için aşağıda ki komut yeterlidir.

iptables -D OUTPUT 1

Kodumuza daha yakından bakalım.

• -D : Delete’in ilk harfi.Yani silmek istediğimizi belirtiyoruz.
• OUTPUT : Çıkış yapan paketleri engellemek istediğimizi belirtiyoruz.
• 1 : 1.Numaralı satır demektir.

Şu ana kadar hep engellerken -d parametresini kullandık.İsterseniz source’un ilk harfi olan -s i kullanabilirsiniz.Bu da şu anlama gelir.Şöyle örnekle açıklayalım.

iptables -I INPUT -s 192.168.1.42 -j REJECT

Burada kaynağı yani bize paket gönderen 192.168.1.42 olur ise onu reddet diyoruz.

IPTables ile istersek belirli portalara gelen istekleri veya giden istekleri de engelleyebiliyoruz.Mesela bir şirkette çalıştığımızı düşünelim ve 80 portunun çıkışını engelleyelim ama girişi olsun.

iptables -I OUTPUT -p tcp --dport 80 -j DROP

Bu şekilde engelleyebiliyoruz.Ama bilirsiniz uzak bir ülkede telekom firması da bu şekilde 3 ay boyunca borcunuzu ödemediğiniz takdirde 80 portunu kapatıyordu fakat bir sorun vardı https üzerinden internete ( yavaşda olsa ) çıkabiliyorduk.İşte yukarıda yazdığımız kod ile biz de böyle bir artık açık mı  dersiniz ne dersiniz ona sebebiyet verdik :).Burada –dport yerine –sport da kullanarak source port ( kaynak port ) engelleyebilirsiniz.

Aslında bu şekilde kişisel bilgisayarınızda bir kod ile bunu sağlar iseniz ssl sertifikası olmayan siteye girmemiş olursunuz.

İsterseniz şimdide bize ping atanları engelleyelim ne dersiniz ? Yani sadece ping atmalarını engelleyeceğiz diğer her işlevi yapabilicekler.( Fişi çekmekten iyidir )

iptables -I INPUT -p icmp --icmp-type echo-reply -j DROP

Eğer bizden bir ping çıkmasın istiyorsanız.

iptables -I OUTPUT -p icmp --icmp-type echo-request -j DROP

Genel anlamda aslında iptables ın tüm argümanlarına değindik.Değişek tek şey ip’ler ve protokoller ( tcp / udp ) . Bahsetmediğimiz birkaç şey kaldı bunlarda interface seçmek,load-balancing,time limit ve port yönlendirme.

İnterface seçimi :
INPUT interface:

iptables -I OUTPUT -d 192.168.1.43 -i wlan1 -j DROP

Kod tamamen örnek amaçlıdır.Burada -i input interface(Paketin alındığı arayüz) anlamına gelir.

OUTPUT interface

iptables -I OUTPUT -d 192.168.1.43 -o wlan1 -j ACCEPT

Burada -o output interface ( Paketin gönderildiği arayüz )  anlamına geliyor.

Time-limit:

Bu kodumuzda ise paketlerin alınma veya yollanma sıklığını belirleyebiliyoruz.

Kodumuza şöyle birşey eklerisek yeterli gelicektir.

iptables -m limit --limit sıklık/zaman(Hour veya Second cinsinden )

iptables -m limit --limit 10/5s -j DROP

Load-Balancing ( yük dengeleme ) :

Bazı sistemlerde yük dengelemeye ihtiyaç duyulabilir ki duyulması da gerekir aksi takdirde yük dağıtımı olmadığı zaman sistemin çalışmasında sıkıntılar meydana gelecektir.İşte bu gibi durumlar içinde iptables da argümanlarımız bulunuyor.

iptables -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1 

iptables -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2

Burada hedefi 80 olan tüm paketleri iki sunucu arasında paylaştırdık.

Port yönlendirme :

iptables -t NAT -I PREROUTING -p tcp -d 192.168.1.5 --dport 500 -j DNAT --to 192.168.1.100:300

Burada -t argümanı table ( tablo ) dan gelmektedir.Yani nat tablosuna ekliyoruz bu kuralı.

Burada hedefi 192.168.1.5:500 olan bir isteği 192.168.1.100:300 e yönlendirdik.



Herhangi bir yerde hata görürseniz bildirmekten çekinmeyiniz teşekkür ederim.

• Fiziksel / GRUB Güvenliği
• Disk Güvenliği
• Dosya Güvenliği
• Kullanıcı Güvenliği
• Root Güvenliği
• Gereksiz Servislerin Kapatılması
• PAM Modülü
• IP Tables
• TCP Wrappers
• ssh Sıkılaştırması
• History Formatının Düzenlenmesi
• BASH Aktivitelerinin Loglanması
• Varnish
• Mod Evasive
• Apache Sıkılaştırması
• PHP Sıkılaştırması

TR | IPTables Enes ERGÜN