Güvenlik / Security Makaleleri - Firewall nedir, ne değildir?

Her yerde görürüz, duyarız bu firewall'u. Ama çoğumuz firewall nedir, ne değildir bilmez. Bu yazıda firewall hakkında temel bilgiler yer almaktadır.

Bilgisyar dünyasına yeni girenlerin sık sık duyduğu ancak ne olduğunu pek bilmediği bir terimdir "Firewall". Kelime olarak "ateş duvarı" demektir. Aslında bu isim onun görevini tam olarak açıklamaktadır. Sizi dışarıdan gelen saldırılardan (ateş toplarından) korur. Tabi aynı zamanda sizin dışarıda istediğiniz internet ortamına erişmenize izin verir. Bilgisayar dünyasında önemli olan kullanıcının rahatı bozulmadan bilgisyarı mümkün olduğunca korumaktır. Yoksa "En güvenli sistem, fişi çekili sistemdir" sözü güvenlik konusunu yeterince açıklar.

Mesela bir örnek vererek Firewall'un sizi nasıl koruduğunu anlatıyım, daha sonrasında ayrıntıları ile inceleyeceğiz.

İnternet dünyasında; bir bilginin, bir bilgisayardan bir diğerine gitmesi için arada bir bağlantı kurulması gerekmektedir. Bu bağlantıya "socket" denir. "socket" in yapısına bakarsak çok daha anlamlı olur. Bir socket 4 ana parçadan oluşur: "hedef bilgisayarın ip numarası" : "hedef bilgisayarın port numarası" : "kaynak bilgisayarın ip numarası" : "kaynak bilgisayarın port numarası".

Buradaki "ip&quo
t; numaraları bütün "internet"te bilgisayarın bulunmasını sağlamaktadır. Port numarısı ise, o verinin, o bilgisayarda hangi uygulamaya gönderileceğini belirler. Bu socket yapısı sayesinde bir bilgisayardan aynı anda birden fazla bağlantı yapılabilmektedir. Düşünsenize bu yapı olmasaydı google'a bağlanmak için sıraya girip saatlerce beklememiz gerekirdi.

Bu dört sayı, iki bilgisayar arasındaki bağlantıyı tanımlar. mesela internete bağlandınız ip'niz "85.12.45.67" ve 'a bağlanmak istiyorsunuz. google'ın ip'si sallıyorum "45.65.12.34" olsun. sonuçta bir web sayfasına bağlanıyoruz, dolayısı ile biz google'ın "80" portuna bağlanmak istiyoruz. Genelde hedef portu biliriz, kaynak port ise işletim sistemi tarafından o anda uygun olan bir port tahsis edilir. sonuç itibari ile şöyle bir durum oluşur.

"45.65.12.34" + "80" + "85.12.45.67" + "13543"
;
&
quot;hedef ip" + "hedef port" + "kaynak ip" + "kaynak port"

"13543" portu işletim sistemi tarafından otomatik olarak verilir. Bu paket internette bir yerden başka bir yere giderken paketin kimden kime gittiği bilinir ve ona göre uygun yollardan gider. işte bu 4 tane sayı bizim kendi bilgisayarımızdan google'a olan bağlantımızı tanımlayan socket'i oluşturur.

Fireall sizin ile internet arasında bulunan bir makina veya bir program olabilir. Sonuç itibari ile sizin internete gönderdiğiniz ve internette sizen gelen bütün paketler bu makina veya yazılım üzerinden geçmektedir. Bu sistemi ayarlayan yani yöneten kişi, google'a erişilmemesini istediği taktirde, socket'lerden içerisinde google'un ip'si "45.65.12.34" bulunan paketleri internete iletmemesini ve "45.65.12.34" adresinden gelen cevapları içeriye iletmemesini ayarlar. bu sayede google'a erişiminiz yasaklanmış olur. ip ile benze olarak çeşitli port numaraları da yasaklanabilir. kullandığımız çoğu uygulamanın kendilerine özgü port numaraları vardır. örneğin bir internet sayfasını açmak istediğinizde bilgisayarınızdaki "web browser", &q

uot;http" protokolünü kullanarak adresini bağlanır. http protokolünün default port numarası "80"dir. yani sizin browser'ınız "http"yi görünce karşıdaki bilgisayarın "80" portuna bağlanarak oradan web sayfasını ister. aynı şekildeadresine bağlanmak istediğinizde "ftp"yi görünce karşıdaki bilgisayarın "21" portuna bağlanarak çalışır. benzer şekilde "icq"nun portu "5190", &qu

ot;telnet" 23, "pop3" 110 ve diğerler bağlantı türleri de buna benzer port numaraları kullanırlar örnekler aynı şekilde firewall'u yöneten kişi icq'yu yasaklamak için sadece 5190 portunu yasaklar bu sayede, icq bağlantıları engellenmiş olur.

normal zamanda firewall dışarıdan içeriye gelen istekleri kabul etmez, ancak siz bir yere bağlantı kurmak için içeriden karşıdaki bilgisayara "bağlantı açma isteği" gönderdiğinizde, oluşan socket'teki "hedef ip" ve "hedef port"tan sizin bilgisayarınızın, "kaynak ip" ve "jaynak portu"na bilgi gelmesine izin verir. bağlantı sonlandığında ise tekrar bu izni hafızasından siler. dolayısıyla her firewall, bu bilgileri tutmak için içerisinde bir belleğe ihtiyaç duymaktadır.

buraya kadar olan kısım firewall'un ne olduğu idi. şimdi sıra geldi firewall'un ne olmadığına.

Daha önce belirttiğim gibi firewall normalde dışarıdan sizin bigisayarınıza gelen bağlantı isteklerini engeller, takii sizin bilgisayarınız bir bağlantı isteğinde bulunana kadar. işte sorun burada oluşuyor, eğer bir virus çeşitli port'lardan bağlantı isteklerinde bulunursa, firewall bu portlardan gelecek olan verileri engellemez, zira ona göre bu bağlantılar tamamen legal görünmektedir. buradaki çözüm de her programın ayrı ayrı izin tablolarının tutulması olmuştur ve günümüzde ServicePack2 ile gelen firewall da bu şekildedir.

aynı şekilde normalde "80" portu web için kullanılmaktadır. ancak birisi icq bağlantısını &quo
t;80" portundan çalışacak şekilde ayarlar ise ve firewall'u yöneten kişi sadece "5190" portunu kapatarak icq'yu durdurabileceğine inanan birisi ise 80 portundan yapılan icq bağlantısı çok da güzel olarak çalışır, tabii ki bunun için icq server'larının 5190 portu yerine 80 portundan dinlemeleri veya 80 portundan gelen istekleri aynen 5190 portuna gelmiş gibi değerlendirmeleri gerekir.

firewall, engellemelerini socket içerisinde bulunan bilgiler doğrultusunda yapabilir. yoksa içerisinde geçen bir metin'e göre engelleme vb yapamaz. protokol tabanlı sınırlarmaları yapamaz, sadece o protokol'e has olan port numarısını engelleyebilir ve bu bir çözüm değildir, bir proxy ile desteklendiği taktirde tam bir denetim halini almaktadır.

her sistem gibi firewall'ların da açıkları olabilmektedir ve uzaktan veya içerideki bir virus sebebiyle çökebilmektedirler. dışarıdan yapılan bu saldırıların genel şekli çok fazla bağlantı isteği yaparak firewall'un bütün zamanını bu istekleri değerlendirip ret etmek ile geçirerek içerideki kullanıcılara cevap verememesini sağlamaktır. bu saldırıya "DOS (Deny Of Service) attack" denir. içeriden yapılan saldırılar ise, hem DOS attack hem de aşırı sayıda bağlantı oluşturmak olarak iki şekilde yapılabilir. birincisi, dışarıdan yapılan saldırı ile aynıdır. ikincisi ise firewall'un ayarlarına göre başarılı olabilir veya DOS attack gibi service'in durmasına neden olabilir. hatırlarsanız her firewall'un içerisinde bağlantıları tutmak için bir belleği vardır. içeriden yapılacak çok sayıdaki bağlantı sonucunda bu bellek dolar ve firewall ayarlarına göre ya service durmasın diye her gelen isteğe izin verir, veya güvenlik amaçlı olarak hiçbir bağlantıya izin vermiyor ve sistem bağlantı isteklerini geri çeviriyor.

örneğin sizin evinizde bulunan bir adsl modeminiz olsun ve onun içerisinde bir firewall olsun. dışarıdan yapılan bir DOS attack sonucu sizin internetiniz durma noktasına gelebilir ve firewall'un iyi bir yazılıma sahip olmaması sonucunda bütün bağlantılara izin verebilir ve sizi bütün dünyanın bağlantı yapabileceği bir hale getirir. aynı şey büyük bir şirkette olduğunda o şirket, firewall'un kapatılıp açılması süresince veya DOS attack sonucu hizmet veremediği süre boyunca inanılmaz bir prestij kaybına uğramaktadır.