Günlük internet kullanımınızı hiç merak ettiniz mi ya da merak ediyor musunuz? Aslına bakarsanız, yalnızca sosyal medyada geçirdiğimiz zamanının analizini çıkarsak dahi bireysel bazda çok yüksek bir tüketime sahip olduğumuzu göreceksiniz. Peki, sadece boş zamanımızı geçirmek için kullandığımız uygulamalarda bile yüksek internet tüketimine sahipken internetteki güvenliğimizi sağlamak için ne yapmalıyız?
Şöyle bir düşünelim; gezip, dolaşmak, eğlenmek ve kültürünü keşfetmeyi planladığınız o harika şehirdesiniz. Orada bulunmaktan büyük bir keyif alıyorsunuz. Fakat öte yandan şehrin sokaklarını gezdikçe kapkaça, dolandırıcılığa ve daha da ilerisi tehditlerle karşılaşıyorsunuz. Büyük bir hayal kırıklığı olurdu, değil mi? Peki, sadece görmek istediklerinizi görebileceğiniz, gezmek istediğiniz yerleri gezebileceğiniz şekilde o şehri kendi filtrelemelerinize göre planlayabilseydiniz? Hayalini kurmak bile harika geliyor, değil mi? 🙂 Peki, bunu dijital dünyaya uyarlamak mümkün mü dersiniz? Elbette. O zaman akıllara ‘nasıl olacak?’ sorusu gelecek. Yanıt, firewall(güvenlik duvarı) ile.
Bu örneklemden sonra sorular silsilesinin gelmesi de pektabi normaldir. Bu sorular; ‘firewall nedir, firewall ne işe yarar, güvenlik duvarları internet erişimimizi kısıtlar mı…’ diye listelenecektir. Keşfetmeye hazır mısınız? Öyleyse hemen bu konunun detaylarına girelim.
Firewall Nedir?
Yukarıdaki senaryoyu zihninizde canlandırdıysanız, gayet verimli bir içerik olacağını düşünüyorum. İnternet üzerinde görmek istemediğiniz veya sizin yararlı sanıp aslında arka planda zararlı olan bir içeriğe erişmenizi engelleyen güvenlik cihazına firewall denir. Peki, firewall bunu nasıl yapıyor?
Firewall Ne İşe Yarar?
Bu yazıyı okurken şu an da neredesiniz? Belki evde, belki bir kafede, belki de iş yerindesiniz. Yanıtınız fark etmeksizin internet üzerinde yaptığınız bütün sorgularınız bir ağ trafiği oluşturur. Karşılıklı giden ve gelen paketlerden oluşan bu trafik, kimi zaman araya giren kötü niyetli kişi(ler)ce, kimi zaman da istek attığınız ilgili sayfa/uygulamadan indirdiğiniz zararlı yazılımla tehlike altında olabilir.
Bu gibi durumların önüne geçmek ve güvenliğinizi sağlamak amacıyla güvenlik duvarları kullanılmaktadır. En temel seviyede firewall’ın yetkinliğinin bu doğrultuda çalıştığını analiz etmiş olduk. Peki, tüm bunlarla birlikte güvenlik duvarları, siber güvenliği sağlama kapsamında tek bir hedefe mi hizmet etmektedir? Yoksa bunun birçok alt kırılımı olduğunu da söyleyebilir miyiz? Yanıt, tahmin edebileceğiniz üzere birden fazla spesifik alanı gözetmektedir. Hazır bu konuya da değinmişken sizlere firewall’ın türlerinden ve bu türlerin ne işe yaradığından bahsetmekte fayda var.
Firewall Türleri
Herhangi bir siteye veya uygulamaya erişmeye çalıştığınızı düşünelim. Bunun 2 türlü sonucu olabilir;
1- Erişim sağlayabilirsiniz,
2- Erişim sağlayamazsınız.
İnternet bağlantınızı ve ilgili sitenin bakımda/sorunlu olması ihtimallerini bir kenara bırakırsak neden erişemediğiniz konusunda bir tahmin yürütebilir miyiz? Aklınıza tam olarak, konu başlığımız olan “firewall” geldi, değil mi? Haklısınız.
Güvenlik duvarlarının çalışma biçimleri genel mantığı ile 3 branşa ayrılmaktadır. Bunlar;
- Bu içeriğin başından itibaren değindiğimiz “filtreleme kuralları”,
- Filtreleme kurallarını takip eden “bağlantı izlemeleri”,
- Genel tanımı ile kullanıcıların hareketlerini kaydeden “audit logs(denetim günlükleri).
Bahsettiğim bu 3 kategorinin her biri farklı OSI katmanlarında çalışmaktadır.
Static Packet Filtering Firewall
Öncelikle şunu belirtmek isterim ki, konunun anlaşılır bir şekilde kavranması adına başlıkları, elimden geldiğince adım adım ve örneklerle size aktaracağım.
Static Packet Filtering firewallar, OSI’nin 3. katmanı yani ağ katmanında çalışmaktadır. Bu tür güvenlik duvarları, gelen her isteğin/paketin “başlığını” incelemektedir. Başlık bilgisi altında analiz edilen içerikler ise şunlardır;
- Kaynak adres(Source Address),
- Hedef adres(Destination Address),
- Bağlantı noktaları,
- Kullanılan protokol(ICMP, TCP, UDP gibi)
Peki, Firewall’ın gerçekleştirdiği bu paket inceleme işleminin ardından trafiğe neye istinaden izin verilir veya engellenir? Yanıt, ağ güvenliği uzmanı veya kurumun IT sorumlusu tarafından hazırlanan Access Control List(ACL)’e göre yeşil veya kırmızı ışık yanar.
Tüm bunlarla beraber static packet filtering firewallarda “durumsuzluk” söz konusudur. Yani, daha evvelinden 10.x.x.x IP’si ile 25 portundan bir istek geldiyse ve yine aynı IP ve port ile istek gelirse, kontrol mekanizmasını her seferinde aynı şekilde uygulamaya devam etmektedir.
Örnek Packet Filtering Firewall Kuralı Senaryosu:
Hadi gelin sizinle static packet filtering firewall’ın çalışma mantığına uygun bir örnek yapalım. Bir web siteniz olduğunu düşünün ve bu sitenin yalnızca güvenli protokol servisi üzerinden trafiğe açık olmasını istiyorsunuz(doğal olarak). Firewall tarafında bununla alakalı nasıl bir kural yazabiliriz?
Kuralımızın sözlü kodu şu şekilde olacak; 443 portundan gelen (TCP) trafiğine izin ver.
Bu kuralı yazdıktan sonra, gelen trafikte 80 portundan erişim izinleri düşerken(drop), 443(https) servisinden gelen istekler onaylanarak(accept) olarak erişimi sağlayacaktır.
Dezavantajları Nelerdir?
Static Packet Filtering Firewallar, başlık bilgilerini iyi bir şekilde analiz edebilirken, bu analiz kategorisinin maalesef ötesine geçememektedir. Dolayısıyla farklı tekniklerle denenecek kötü niyetli ataklarda yetersiz kalabilmektedir.
Bir sitenin veya uygulamanın birden fazla yönlendirmesi ve farklı servislerle çalışıyor olması da muhtemel bir durum(günümüz teknolojisini göz önünde bulundurursak). Bu anlamda dinamik protokoller için sürekli yeni kural revizeleri gerekmektedir. Bu husus her ne kadar küçük ölçekli topolojilerde sorun olmasa da, orta ve büyük ölçekli topolojilerde zamandan ve işten kaybetme anlamına gelmektedir.
Circuit Level Gateway Firewall
Bu firewall tipi OSI’nin 5. katmanında(oturum) çalışmaktadır. Circuit Level Gateway(Devre Düzeyinde Ağ Geçidi) Firewall, bağlantıların güvenli bir biçimde gerçekleşmesine odaklanmaktadır.
Circuit Level Gateway Firewall Çalışma Senaryosu:
Örnek üzerinden bu firewall türünün nasıl çalıştığını zihnimizde canlandıralım.
dogukan.karadag kullanıcısının uzaktaki bir sunucuya ssh ile bağlantı yapmak istediğini ele alalım. Circuit Level Gateway Firewall’ın olduğu bu senaryoda adımlar şu şekilde ilerleyecektir;
- Circuit Level Gateway Firewall, kullanıcının cihazı ile uzaktaki sunucu arasında “oturum” kurar.
- Oturum kurma esnasında, ilgili kullanıcının sunucuya ssh yapma yetkisinin olup olmadığını doğrular. Böylece “kimlik doğrulama” güvenlik adımını da tamamlar.
- Static packet filtering firewall’ın aksine paketlerin içeriğinden ziyade bağlantının tamamını ele alarak güvenli trafiğin sağlanmasına odaklanmaktadır.
Yetkisi olan her bir kullanıcının farklı bağlantı türlerinden erişim sağlamaları için dinamik bir yapıya sahiptir. Dolayısıyla bu firewall türünün kullanıldığı topoloji fark etmeksizin esnekliği ile yönetilebilirliği kolaylaştırmaktadır.
Dezavantajları Nelerdir?
Sağlanan oturumlarda, paket incelemesi yerine bağlantının güvenli olmasına odaklandığını belirtmiştim. Peki, bunu göz önünde bulundurarak aklınıza gelen ilk dezavantaj ne olur(Yorumlar kısmında, farklı fikirlerinizi de belirtebilirsiniz :))? Evet, kesinlikle paketin incelenememesinden kaynaklı oluşabilecek muhtemel zafiyetler. Örneğin, yukarıdaki senaryoda bahsettiğim dogukan.karadag kullanıcısı kötü niyetli bir kişi tarafından ele geçirildi. Akabinde bu kullanıcının erişim yetkisi olduğu sunucuya bağlanarak zararlı komut isteklerinde bulundu. Bu anlamda paketin içeriğini incelemediğinden dezavantaj oluşturmaktadır.
Bununla birlikte gerçekleşen her bir oturum ve bağlantı yoğun kaynak tüketimine sebep olabileceğinden, maliyet yükselişine de neden olabilmektedir.
Stateful Inspection Firewall
İlk çıkışı itibari ile OSI’nin 4.katmanında(taşıma) çalışan stateful inspection firewallar, gelişen ve güncellenen yapısı ile OSI modelinin uygulama katmanı olan 7.katmanında da çalışmaktadır. Bu firewall tipi, hem aktif bağlantıları takip edebilmekte hem de geçmişe yönelik bağlantıları hatırlayabilme kabiliyeti ile static packet filtering firewall’dan ayrılmaktadır. Bu da stateful inspection firewall’ı ön plana çıkarmaktadır.
İsminden de anlaşılacağı üzere(durum denetimi), geçmiş bağlantılardan gelen paketlere dayalı olarak filtreleme kurallarını güncelleyebilmektedir. Bu yetkinliği biraz daha açıklayalım. Örneğin, bir uygulamaya 21 portundan sürekli istekler gelmekte ve bu firewall tarafından engellenmekte. Eğer bu durum false positive bir olaysa ve isteği yapan IP’ler belli bir bölgeden geliyorsa, stateful inspection firewall, bunu makine ve derin öğrenme yordamıyla tespit edip, ilgili trafiğe izin verebilmektedir. Tabii bu durum yalnızca otomatize edilmekle de yükümlü değildir. Kurumun Network Güvenliği sorumlusu tarafından da kurallar revize edilerek “öğrenme” metoduna yön verilebilmektedir.
Stateful Inspection Firewall Çalışma Senaryosu:
Bu firewall türü, aktif bağlantıların başlık analizini gerçekleştirerek bir durum tablosu tutmaktadır. Buna ek olarak bağlantının durumu ve bağlantı noktaları gibi kurulan bağlantı ile ilgili bilgileri de durum tablosuna kaydeder(SYN, ACK paketleri gibi).
Gelen ve giden paketleri inceleyen stateful inspection firewall, giden trafiğe istinaden (izin veren) kural(lar) tanımlayarak dinamik ve esnek bir ortam sunar.
Yeni bir bağlantı isteği geldiğinde, firewall durum tablosunu denetleyerek gelen isteğin geçerli bir oturumun parçası olup olmadığını tespit eder. Bunun akabinde trafiğe izin verir veya engeller.
Dezavantajları Nelerdir?
Eğer çok yoğun trafik alan bir uygulamanız/siteniz var ise stateful inspection firewall, sürekli olarak durum tablosunu kontrol ve revize edeceğinden kaynak tüketimini arttırmaktadır. Bu da ekstra bir maliyet ve güç tüketimi manasına gelmektedir.
Birkaç paragraf yukarıda verdiğim örnekte, bu firewall türünün makine öğrenmesi ile kuralları revize edeceğini açıklamıştım. Peki, hatalı bir konfigürasyon durumunda ne olur dersiniz? Sizin de tahmin edeceğiniz üzere böyle bir senaryoda, güvenlik zafiyetlerinin yaşanması kuvvetle muhtemeldir. Peki, bunun önüne geçmek için ne yapılmalı? Bu tür bir firewall’ın yönetiminde, muhakkak ki ilgili sorumlu kişiler de kuralların takibini ve korelasyonunu gerçekleştirmelidir.
OSI’nin ağ ve uygulama katmanlarında çalışabilmesine karşın, layer 7 seviyesine tam anlamıyla adaptasyonu söz konusu değildir. Bundan dolayı kötü niyetli kişiler tarafından denenebilecek olası bir zero day attack veya alternatif saldırılara karşı koyması her zaman mümkün olmayabilir.
Proxy Firewall
OSI’nin 7. Katmanında(uygulama) çalışmaktadır. Proxy firewall’ı en özet biçimiyle tanımlamak için hemen bir örneğe başvuralım, ne dersiniz? Proxy firewall kullanan bir kurumda çalıştığınızı düşünelim. İç ağdan dış ağdaki bir web sitesine bağlantı kurmak istiyorsunuz. Proxy, siz o siteye isteği gönderdiğiniz an da, zararlı bir içeriğin veya üstündeki kurallar çerçevesinde ilgili siteye erişim sağlayıp sağlayamayacağınızı test ediyor. Böylece bir nevi sizin isteğinizi klonlayarak bağlantıyı iletiyor. Bu sayede sizin muhtemel zararlardan etkilenmenizin önüne geçmektedir.
Bu örnek senaryo ile Proxy firewall’ın nasıl çalıştığını zihinlerimizde canlandırabildiğimizi düşünüyorum. Bununla birlikte bu firewall türünün kullanımdaki örneklerinden birkaçını size listelemek istiyorum. İlgisi olanların araştırmalarını derinleştireceğine inancım tam J
- SSL/TLS Proxy
- Web Proxy
- FTP Proxy
- E-Posta Proxy
Avantajları Nelerdir?
Tüm bunlarla birlikte proxy’nin getirdiği bazı avantajlar ise şu şekildedir;
- Uygulama katmanında ayrıntılı analiz ve kontrol mekanizması ile çalıştığından, yüksek güvenlik ve ek bariyer sağlamaktadır.
- Kurumun güvenlik prosedürleri doğrultusunda içerik filtrelemeleri yapılabilmektedir. Bu sayede zararlı olarak nitelendirilen veya tehdit unsuru arz edilen sitelere girişler engellenebilmektedir.
- Kimlik doğrulama modülü ile sadece yetki tanımlanmış kullanıcıların erişebileceği siteler/uygulamalar belirlenir ve diğer kullanıcıların erişim sağlanması engellenebilir. Örneğin, insan kaynakları departmanındaki bir çalışanın işi gereği kariyer sitelerine erişimi açıkken, diğer kullanıcıların bu sitelere erişiminin kapalı olması gibi. 🙂
Dezavantajları Nelerdir?
Bu firewall türü, gönderilen isteğin önüne geçerek önce kendisi denetlediği için bazı gecikme ve buna bağıl performans sorunları yaşatabilir.
Özellikle büyük çaplı ve karmaşık topolojilerde Proxy firewall kullanmak, sürekli senkron çalışmasını gerektirecek koordineli kurallar dizisini de beraberinde getirmelidir. Bu da ilgili ağ güvenliği yönetiminden sorumlu birimlerin işini daha komplike bir hale sokabilmektedir.
Next Generation Firewall(NGFW)
Şimdi geldik Turna’nın gözüne :)… Yeni nesil teknolojiden bahsedeceksek yeni nesil güvenliği de göz ardı etmek olmaz, değil mi? NGFW’ler, firewall teknolojisinin en kullanışlı ve en yetkin türüdür de diyebiliriz. Günümüzde büyük kuruluşların çok önemli bir kısmı NGFW kullanmaktadır. Neden mi? Bu güvenlik duvarı türünün niteliklerini keşfettiğiniz zaman bu duruma hak vereceğinize eminim.
NGFW Avantajları Nelerdir?
- Önceki firewall türlerinde bahsettiğim özelliklerin daha gelişmiş versiyonlarının hepsinin tek bir platformda birleştiğini düşünün. İşte size somut bir örneği; NGFW. Bahsetmiş olduğum diğer firewall türlerinde genel itibari ile halihazırda kullanılan teknolojilere göre paket filtrelemesi, izin verme-engelleme durumları söz konusuydu. Burada ise sadece ağ trafiğini analiz ve kontrol etmekle kalmayıp, birçok uygulamayı da tanıyarak güvenlik “kurallarını” oluşturabilmektedir.
- Ayrıca “saldırı önleme sistemi(Intrusion Prevention System – IPS)” sayesinde bilinmeyen tehditleri tespit edip engelleyebilmektedir. Bu da doğal olarak kötü niyetli kişilerin işlerini bir hayli zorlaştırmaktadır.
- Bahsetmeden olmaz… SOC veya siber güvenlikle ilgilenenler SIEM ürünlerine aşinadır. NGFW’ler, bu gibi ürünlerle de entegre olarak koordineli ve kapsamlı biçimde bilgi güvenliği operasyonlarının yürümesine olanak tanımaktadır.
- Zero Day Attack veya kurumunuzun fark edemediği ama zararlı bir site mi var? NGFW kullanıyorsanız bunu da sorun etmenize gerek yok. Çünkü gelişmiş tehdit istihbaratı(Advanced Threat Intelligence) senkronizasyonu ile olası zafiyet durumlarında, anlık olarak kuralların güncellenmesini sağlamaktadır. Böylece güvenlik zafiyeti oluşturabilecek olumsuz koşulların önü kapatılmış olmaktadır.
Dezavantajları Nelerdir?
Aslına bakarsanız belli başlı kalemler haricinde elle tutulur bir dezavantajı olduğunu söylemek, pek de doğru olmayacaktır(bence). Çünkü gelişen teknoloji ve buna bağlı gelişen siber atakların önünü almak için NGFW’ler de kendini sürekli güncellemekte ve dijital güvenlik ekosisteminde yerini korumaktadır.
Bununla birlikte sunmuş olduğu özellikler neticesinde NGFW’ler, diğer firewall türlerine göre daha maliyetlidir.
Yine çok kapsamlı içeriklerle ve niteliklerle donatıldığından yönetimi için kalifiye ve uzman çalışan bulmakta güçlük çekilebilmektedir.
Özelliklerinin bir çoğu kaynak ve performans açısından üst seviyede olduğu için yine maliyete etki eden durumları söz konusu olabilmektedir.
Firewalların ne için kullanıldığını, neden önemli ve elzem bir gereklilik olduğunu farklı perspektiflerden keşfettiğimizi düşünüyorum. Eğer internete açılan bir kapınız varsa(ki günümüzde internetle bağıntısı olmayan bir liste oluşturabilir miyiz dersiniz), muhakkak bunun güvenliğini de sağlamanız gerekir. En azından “farkındalık” hususunu göz ardı etmeden, neyin nasıl işlediğini süreçlerin keşfini doğru biçimde yapmak gerekmektedir.
Güvenlik duvarları hakkında sizin de düşüncelerinizi öğrenmek, görmek, duymak isterim :). Yorumlara bekliyorum…