Linux ta güvenlik duvarları

[megabros]

Hemen hemen tüm sistem ve ağ yöneticisi olan kişiler bu konu üzerinde durmuş aynı tartışmaları yapmıştır. Kodu kapalı uygulamların ticari olarak gelişitirlmiş olmasının sakıncaları ve yararları ile açık kaynak kodlu uygulamaların yararları ve sakıncaları tartışılmıştır. Kapalı kodlu sistemler açısından ele aldığımızda Windows işletim sistemi ailesi için bir firewal çözümü aramak ve uygulamak her zaman için pahalı ibr seçeneketir. Öte yandan da sürekli artan terfi maliyetleri ile bütçe sıkıntıları yaşanır. Elinizdeki sınırlı bütçe ile çözüm üretmek ve karar vermek durumunda kalırsınız. Öte yandan da kullandığınızyaılımda ortya çıkan güvenlik açıklarınınm kapanması içinde geliştirici-üretici şirketin çalışma progr—– göre yama çıkarmasını beklersiniz. GNU/Linux tabanlı bir firewall çözümü arıyorsanız neler bilmeniz gerekir?

Her ağ ve sistem yöneticsinin kullandığı veya sorumlu olduğu sisteme uygun bir koruma ve kontrol sistemi geliştirmesi gereklidir. Bu açıdan bakıldığında bir firewall sistem ve ağ güvenliği dışında tek başına düşünülecek bir konu olmaktan çıkmaktadır. Ancak konunun kapsamını sınırlamak ve firewall çözümleri üzerinde durmak için konu kapsamını açık kaynak kodlu yazıolım ve sistemlerin firewall olarak kullanılmasını olarak sınırlıyoruz. Gözden kaçırılmaması gereken ise güvenlik konusunun firewall ve diğer sistemler ile birlikte ele alınması ve kapsamlı bir plan geliştirilmesinin gerekliliğidir.

Bu yazı kapsamında firewall sistematiğini ve linux tabanlı bir çözümün değerlendirilmesinde dikkate alınacak olan noktalar üzerinde duracağız.

Firewall Temel Prensipler

Firewal iki farklı öğenin bileşenidir: Ağ geçidi ve vekil sunucu (gateway ve proxy). Ağ geçidi basit anlamda yardımıc bir öğedir. Ağınızda yer alan bir bilgisayar dışarıdaki yani intenette yer alan bir başka bilgisayar ile iletişime geçmeden önce bu bilgisayara nasıl erişebileceğini ve bağlantıyı nasıl kuracağını tanımlayabilmelidir. Ağın dışına-internete veya diğer ağdaki bilgisayarlara giden trafik ağ geçidi üzerinden geçer.

Vekil sunucu ise bir aracı olarak görevini yapar. İki bilgisayarın doğrudan iletişim kurmasına izin vermez, tersine iki bilgisayar arasında aracılık yapar. Bu şekilde iki bilgisayar arasındaki iletişim kontrol edilebilir. Vekil sunucular istenmeyen iletişimi engelleyebilir, genel olarak bilgisayarlar arasındaki iletişimi düzenleyici rol oynar.

Firewall uygulaması da bu şekilde çalışır. Geçit olarak diğer bilgisayarlar ile iletişimi kurmaya olanak sağlarken, düzenleyici olarak da iletişimi kontrol eder.

Firewall düzenlemenizin karmaşıklığı veya basitliği düzenlemek durumunda olduğunuz ağ trafiğine bağlıdır. Ağ trafiği genel olarak iki bölüme ayrılır: Birincisi özel uygulamaları kapsayan (session-based), diğeride geneldir. Özel uygulamalar (VPN gibi) için gelişitirilen çözümler karmaşık olurken, genel ağ traiğini düzenlemeye yönelik (portların yönetilmesi, erişimler ve kısıtlamalar vs) gibi çözümler ise daha basit uygulamalardır.

Genel ve Özel

Genel, olarak tanımladığımız düzenlemeler de sunucu gelen bir isteği yanıtlarken, önceki isteklere dikkat etmek durumunda değildir. Basit bir örnek olarak bir web sayfasının sunucudan çağrılmasını örnek verebiliriz. Sunucu sitenen sayfa ile ilgili dosyaları derler ve isteyen bilgisayara gönderir. Bu durumda isteği gönderen bilgisayarın daha önceden istekte bulunmuş olmasının bir önemi yoktur.

Genelde internet üzerindeki trafiğin önemli bir bölümü özel olarak sınıflandırılabilir. VPN uygulamaları, e-ticaret, uzak veri tabanlarına erişim ve benzeri uygulamalar bu sınıfta yer almakatadır. Bazı durumlarda ise orturum tabanlı işlevler uygulama temelinde kullanılır. Örneğin, çerezler bu işlemler için kullanılır.Ancak çoğunlukla oturum özellikleri ağ temelinde dikkate alınmalıdır. VPN uygulamaları bu tür ağ temelindeki işlevlere örnek verilebilir.

Eğer kullanıcılar ağ genelinde e-posta ve internet sitelerine erişim hizmetlerine gereksinim duyuyorsa sistemin size sağladığı firewall çözümleri yeterli olacaktır. Eğer tersine olarak uzakta bulunan ağlara erişim ve veri tabnalrı ve benzeri kaynakların paylaşımına gereksinim duyuluyorsa bu durumda teknik personelin yapacağı işlemler aratacak veya ticari bir GNU/Linux dağıtımına gereksiniminiz olacaktır…

Saygılar.. megabros2009-08-23 03:24:41