1.Paket-filtre Routerları(Koruma / Screening Router): Ağa girip çıkan her paketi inceleyerek kullanıcının belirlediği parametrelere göre filtreleme yapar. Geçmesi yasak paketleri engeller: Diğer paketler ise serbestçe geçebilir.
Verilerin gönderildiği paketler firewall tarafından ayıklanır. Böylece istenmeyen paketler geri gönderilebilir, yok edilebilir veya ağ içindeki belirli bir sisteme yönlendirilebilir. Paket filtreleme olayı paket filtre router’ı tarafından gerçekleştirilir. Paketler bu routerın arayüzleri arasında geçiş yaparken filtrelenirler. Paket filtreleme aşağıdaki parametrelerin bir veya birkaçına göre yapılır:
- Kaynak IP adresi
- Hedef IP adresi
- Kaynak TCP/UDP portu
- Hedef TCP/UDP portu
Router tiplerinin hepsi paket filtreleme yapamasa da yeni teknolojilerin büyük bir çoğunluğu bu yönde geliştirilmekte.Bazı routerlar paketin ilk ulaştığı arayüzü de belirleyerek ek bir kriter haline getiriyor. UNIX hostlarının çoğunluğu bu filtrelemeyi desteklemiyor.
Fitreleme birçok değişik şekilde gerçekleştirilebilir. Belirli hostlar ve ağlardan gelen paketler bloke edilebileceği gibi belli hostlara gelenler de bloke edilebilir. Güvensiz olduğuna inanılan bir adresten gelen paketler engellenebilir veya kaynak adresi ağ dışı olan tüm paketler engellenebilir.
Değişik TCP/UDP bağlantılarının genelde özel port numaraları vardır. Örneğin Telnet için port 23 kullanılır. Buna göre bir paket filtreleme yaparsak Telnet bağlantılarını başka , SMTP bağlantılarını başka bir özel sisteme bağlayabiliriz. Veya SMTP dışındaki tüm servisleri dışarıya kapatabiliriz.
Şekil2-Paket Filtreleme Router’ı
Protokollerden hangilerinin dışarıya açılıp hangilerinin bloke ediileceği direkt olarak Ağ Erişim Politikasına dayanır.Aşağadaki filtreler saldırılara imkan tanıyacak özelliklere sahiptir ve genellikle bloke edilirler:
- T-FTP- (Trivial File Transfer Protocol)Soket 69. Harddisksiz İş İstasyonları, Terminal Server ve Routerlarda kullanılır. Yanlış konfigurasyonda ağ içindeki tüm dosyalar okunabilir hale gelir.
- x-Windows : Soket 6000+, soket 2000, Grafik Arayüzlerinden tuş vuruşları dahil birçok bilgi sızdırılabilir.
- Rlogin: (Remote Login)Soket 513. Yanlış konfigurasyonda hesaplara ve de komutlara erişim mümkündür.
Aşağıdaki protokoller ise risk taşısın veya taşımasın genelde bloke edilir ve yalnızca kendilerine ait serverlara proxyler aracılığıyla bağlantıya izin verilir.
- TELNET: Soket 23. Erişime pek açılmaz. Nadiren bazı özel sistemlerde Telnet proxyleri aracılığıyla erişim serbest bırakılır.
- FTP (File Transfer Protocol) : Soket 20, 21. Telnet gibi genelde erişime açılmaz.Bunun yerine dosya transferi www serverlarla yapılır.
- SMTP (Send Mail Transfer Protocol) Soket 25. Sadece merkezi bir e-mail serverına girişi serbest bırakılır.
- DNS (Domain Name Server):Soket 53: DNS bölge transferi sırasında hackerlar tarafından host isimleri ve bilgileri elegeçirilebilir.
- NNTP (Network News Transfer Protocol) Soket 119. E-posta servisi gibi Haber Gruplarından gelen haberlerin transfer edildiği bir servistir.
- HTTP (Hyper Text Transfer protocol-www).Soket 80. Web sayfalarının görsel içeriğini belirleyen script dili bilgilerini transfer eden protokoldur. Sadece HTTP istemci programlarına(web browser)servis sunar. Özel bir proxy aracılığıyla erişim verilir.
Bu protokollerden TELNET ve FTP risk taşımasına rağmen tamamen bloke edilmeleri biraz abartılı bir politika olur. Yine de birçok site bu protokollere pek de ihtiyaç duymaz.
2.Proxy Sunucusu Gatewayler: İnternetten gelen paketleri ağ içindeki hedef adrese göndermeden önce bünyesinde tutar. Daha sonra hedef makine ile bağlantı kurarak paketi ulaştırır.
Şekil3-Proxy Server
2.1 Uygulama-seviyesi: Uygulamalara özel (telnet, FTP sunucusu) güvenlik mekanizmaları uygular. Gelen paketlerin hedef adresi gibi davranıp paketleri alır ve sonra gönderen makineymiş gibi hedefe taşır. Böylece esas ağ adresini saklamış olur..Hedefe taşıma aşamasında ait olduğu uygulamaya göre farklı işlevler de yerine getirebilir.
Bu proxy sıkı bir paket analizi de gerçekleştirir. Bu analiz her şekilde olabilir. Paketler içlerine hackerlar tarafından “saklanan” verilere, virüslere vb. tehlikelere karşı araştırılabilir. Hatta gelen e-posta ve haberleri “kötü” kelimeleri filtreleyen bir sistem kurmak mümkündür.
Eğer erişime açılacak servisler için proxy server kurulacaksa Telnet, FTP, HTTP gibi uygulamalardan her biri için ayrı bir sistem kurulmalıdır.
Uygulama Gatewayleri tek başına kullanılabilr fakat Paket filtreleme Routerı ile kullanılması daha yaygındır. Bunun bir sebebi router filtreleme kurallarının daha basit olmasıdır. :Router sadece belli hostlara giriş yapılabilmesini sağlar o hostla ilgili ileri güvenlik problemleriyle gateway ilgilenir. İkinci bir sebebi ise Uygulama Gatewayinin elindeki filtreleme kıstaslarının çokluğudur..
Örneğin FTP deki PUT komutu engellenebilir. Bu komut FTP sitesine ağ dışından veri transfer etmek içindir ve saldırganların çok işine yarar. Bu komutu paket filtreleme routerının filtre etmesi İmkansızdır.. Çünkü elimizdeki Filtre Routerlarında bulunmayan eleme kriterleri (kaynak ve hedef adreslerine ek olarak uygulamanın komutları vb.) filtreleme kuralları oluşturmamızda , uygulamamızda ve test etmemizde kolaylıklar sağlamaktadır.
Aynı zamanda proxy günlükleme yapabiliyor..Böylece sisteme yapılan saldırıdan erken haberdar olunabiliyor. Tutulacak istatistikler ise ağ güvenlik stratejistleri için değerli bilgiler içerecektir.
Uygulama gatewaylerinin avantajlarını özetlemek gerekirse:
- Bilgi saklama. Ağ dahilindeki sistemler dışarıya adreslenmez. Dışarıdaki kullanıcılar sadece Gatewayin adresinden haberdardır.
- Günlükleme. İstenmeyen paket veya bağlantı olduğunda gateway bunu ağın içine göndermeden önce günlükler böylece saldırıdan iş işten geçmeden haberdar olunur.
- Etkin Maliyet: Güvenlikle ilgili tüm yazılım ve donanımlar sadece gateway üzerinde kuruludur. Bu tüm makinelere birer sistem yerleştirmekten daha kolaydır.
- Filtreleme kurallarında Basitlik. Paket filtreleme routerıyla birlikte kullanıldığında güvenlik rolleri bölüneceğinden ve de yeni birçok kriteler ortaya çıkacağıdan filtreleme kuralları daha basitleşecek ve böylece güvenilirliği artacaktır.
Bunun yanında dezavantajı da bulunmaktadır:
- Bağlantısı için iki adım gerekir. Bu ise kullanıcının erişimini zorlaştıracak ve firewall saydamlığını bozacaktır.
Devre seviyesi: Paket filtreleme router kullanarak istenilen hostlar dışındakilere erişim engellenmiş olur fakat bu hostlar dışarıya açık olduğundan saldırganlar tarafından ağa sızmak için kullanılacaktır. Bunun için router ek olarak bir gateway kullanılır..Bu sistem TCP bağlantısı kurulana kadar güvenlik mekanizmalarını çalıştırır. Bağlantı kurulduktan sonra ise sadece byte geçişini sağlar. Bu noktadan sonra hiçbir ek işlem veya filtreleme yapmaz. Yaptığı tek şey içerdeki makine ile dışardaki arasında yapılan istem-yanıt alışverişlerinde içerdeki server IP adresi yerine kendi IP adresinin görünmesini sağlar bu sayede dışardaki kullanıcı gerçek server adreslerini asla öğrenemez. Bu gateway proxy server olarak isimlendirilir.
Örneğin Telnet bağlantısı için kullandığımız bir devre gateway esas host ile kullanıcı arasında bulunur. Böyle bir sistemde bu hosta erişim şu aşamalarla sağlanır:
1- Kullanıcı ağ dışından gatewaye telnet bağlantısı kurar ve bir iç host adı girer
2- Gateway kaynak IP adresine bakarak kabul veya red eder.
3- Gateway ile hedef host arası telnet bağlantısı kurulur.
4- Gateway üzerinden veri akmaya başlar.
- Devre gatewayine bir yaygın örnek de NNTP sunucudur. NNTP server tüm ağa dağıtılmak üzere gelen haberleri içinde buludurur. Ağ dahilindeki tüm kullanıcılar ayrı ayrı bu servera bağlanarak gerekli verileri alırlar. NNTP server bağlantı kurulduktan sonra hiçbir işlem yapmaz sadece veri geçişi sağlar.
Durum Teftişi Teknikleri: Paketleri, daha önce gelen ve güvenli olduğuna inanılan diğer paketlerle, değişik kriterlere göre karşılaştırıp ona göre güvenlik mekanizmaları uygulayan bir tekniktir. Bu teknik paketlerin içeriğini denetleme yerine, bit dokularını daha önce gelen ve güvenilliliğne inanılan diğer paketlerle karşılaştımaya dayanıyor.
Örneğin siz ağınızdan dış servislere bağlanırken, sizin istem paketlerinizin soket no, hedef ve kaynak IP’si gibi değişkenleri kaydedilir. Bu olaya “durum kaydı” denir. Dış sistem size yanıt gönderdiğinde paket sizin durum kayıtlarınızla karşılaştırılır ve geçip geçmeyeceğine karar verilir.
Tekniğin taşıdığı hız ve saydamlık gibi güzel özelliklerinin yanı sıra önemli bir dezavantajı vardır. Paketler dışarıya gitmek durumundadır. Böyle olunca ağdaki IP adresleri de dışarıya, potansiyel hacker gösterilmiş olur.
Uygulayıcılar bugün bu tekniklerle proxy bir arada kullanarak güvenliği yüksek firewal üretebiliyorlar.