Linux İşletim Sisteminin Köprü Modunda Çalıştırılması Ve Güvenlik Duvarı İşlemleri

[megabros]

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır.

 

Standart Güvenlik Duvarı Yapısı

Ağ geçidi olarak çalışan güvenlik duvarlarının farklı ağ katmanlarında IP adresi olması gerektiğinden ağ geçidinin gizliliği soz konusu olamaz. Varolan bir ağ yapısına güvenlik duvarı konumlandırılmak istendiğinde ağ katmanlarının ayrılması ve en az iki ağ katmanı oluşturulması gerekir. Adres yönlendirme gerekmeyen ağlarda güvenlik duvarının ilgili ağ arayüzünde IP adresi olmadan çalıştırılabilmesi, bu gibi güvenlik ve yapılandırma problemlerine çözüm getirmektedir. Güvenlik duvarının bu şekilde çalıştırılmasına köprü modu da ( bridge mode ) denmektedir.Ayrıca köprü modunda çalıştırılırken kullanıcılara hissettirmeden trafik kontrolu yapılabilmektedir. Layer 7 paket filtreleme ve IDS/IPS sistemler için ideal yapıdır.

Güvenlik duvarının köprü modunda çalışabilmesi için mac adresleri kullanılmaktadır. Bundan dolayı çalışma seviyesi Layer-2 dir.

 

Köprü modunda çalışan güvenlik duvarı

Linux sistemin köprü modunda çalıştırılabilmesi için bridge (bridge.sf.net) projesi kullanılmaktadır. Standart linux çekirdeğinde bridge desteği bulunmadığından çekirdeğe bu desteğin verilmesi gerekir.Köprü Modunda Çalışırken MAC Adresleri

Ethernet çalışan yapılar ağ içerisinde haberleşme yaparken mac adreslerini kullanmaktadır. Yukarıdaki yapıda güvenlik duvarı L-2 modunda çalıştığından normal şartlarda ağ arayüzleri arasında mac adreslerinin geçişi söz konusu olmaz. Bu durumda Sunuculardan biri yönlendiri cihaza ulaşmak istediğinde mac adresi bilinemediğinden ulaşamayacaktır.

Güvenlik duvarında bu gibi problemleri engelleme amacıyla arp proxy denen yapılar kullanılmaktadır. Arp proxy sayesinde ağ arayüzleri birbirlerine gelen arp adreslerini karşılıklı olarak anons ederler.

 

Köprü modunda çalışan güvenlik duvarında proxy arp

Yukarıdaki örneğimizden de görüldüğü gibi yönlendirici cihaz 10.10.10.67 IP li sunucuya erişmek istediğinde mac adresini soracak güvenlik duvarından dönüş olacaktır. Aynı şekilde sunucu sistem de yönlendirici cihaza erişmek istediğinde güvenlik duvarı tarafından mac adresi duyurulacaktır. Her iki durumda da paketlerin güvenlik duvarına gelmesi sağlanır.

Konunun Devamını Görmek istiyorsanız

 

 

uploads/20090823_023900_Linux_İşletim_S.rar

 

 

Saygılar..