ATEŞ DUVARI NEDİR?
Ateş duvarı terimi bir bina parçasını veya binanın kendisini yangından korunmak amacıyla diğer binalardan ayıran bariyerden gelmektedir. Ağ ateş duverları ise ağlar arası bir bariyer görevi görüp istenmeyen veya yetkisiz trafiğin ağa girişini engeller.
Ağ ateş duvarının tek bir tanımı bulunmamaktadır. Geçmiş yıllarda , bir çok tanım geliştirilmiş ve kullanılmıştır. Tanımlamalar birbirinden farklı olabilmesine rağmen hepsi ortak bir temayı anlatmaktadır. Bu ödevin amacı doğrultusunda ağ ateş duvarı şu şekilde tanımlanmaktadır.
Tanım: Ağ ateş duvarı önceden tanımlanmış kuralları veya filtreleri kullanarak güvenilir ve güvenilir olmayan iki ağ arasında erişimi denetleyen bir sistem grubudur.


Ateş duvarları tek bir yönlendiriciden, birçok yönlendiriciden, tek bir host sisteminden veya üzerinde ateş duvarı yazılımı çalışan birçok hosttan, ateş duvarı hizmeti vermek için özel olarak tasarlanan donanım aygıtlarından veya bunların çeşitli kombinasyonlarından oluşabilir. Bu kombinasyonlar tasarım , fonksiyonelik, mimari yapı veya fiyata göre değişkenlik gösterirler. Bu yüzden her bir ateş duvarı çözümünün neyi yapıp neyi yapamadığını anlamak oldukça önemlidir.
Ateş duvarı çözümlerinin ağ üzerinde hem pozitif hem de negatif etkileri bulunmaktadır.

ATEŞ DUVARLARI NELERİ YAPABİLİR

1 Pozitif Etkiler
Doğru şekilde ugulandığında ateş duvarları ağa gelen ve ağdan giden trafiği kontrol edebilir. Yetkisi bulunmayan veya dış kullanıcıları iç ağa ve servislere erişimlerini engelleyebilir. Aynı zamanda iç kullanıcıların da dış veya yetkileri bulunmayan ağa veya servislere erişimlerini engelleyebilir. Departmanlar veya diğer özel ağlar servislerin erişim kontrollerini sağlamak amacı ile birçok ateş duvarı yapılandırılabilir.

Kullanıcı Kimlik Doğrulaması: Ateş duvarları kullanıcılardan kimlik bilgilerini talep edecek şekilde yapılandırılabilir. Bu ağ yöneticilerinin belirli kullanıcıların belirli servislere ve kaynaklara erişimini kontrol etmesine olanak sağlar. Kimlik doğrulama
ayrıca ağ yöneticilerinin kullanıcı aktivitesini ve izinsiz giriş denemelerini izlemesine olanak sağlar.

Denetleme ve Loglama: Ateş duvarları denetleme ve loglama olanakları sağlayabilir. Ateş duvarlarını bu şekilde yapılandırarak gerekli bilgiler ileriki günlerde incelenip analiz edilebilir. Ateş duvarları ayrıca topladıkları bilgilerden çeşitli istatistiklerde oluşturabilir. Bu istatistikler ağ erişimi ve kullanımı ile ilgili güvenlik kararlarını vermekte oldukça faydalı olabilir.

Güvenlik: Bazı ateş duvarları iç ve güvenilir ağları dış ve güvenilir olmayan ağlarda ayırmada kullanılır. Ek katman güvenliği servisleri istenmeyen taramalardan koruyabilir.

Negatif Etkiler
Ateş duvarı çözümlerinin birçok faydası olmasının yanında negatif etkileri de bulunmaktadır.

Trafik Darboğazı: Ateş duvarları bazı ağlarda trafik darboğazına sebep olabilir. Bütün ağ trafiğinin ateş duvarı üzerinden geçmesi zorunlu kılındığı durumlarda ağ trafiğinde tıkanıklık yaşanma ihtimali oldukça fazladır.

Tek Hata Noktası: Ağlar arası geçişin sadece ateş duvarı üzerinden yapıldığı durumlarda eğer ateş duvarı doğru yapılandırılmazsa ağlar arasındaki trafik akışında problemler yaşanır.

Kullanıcıyı Hayal Kırıklığına Uğratma: Ağ servislerine veya kaynaklarına erişim hakkı kısıtlanan kullanıcılarda veya erişim hakkı olupta gerekli şifrelerini hatırlayamayan kullanıcılarda ateş duvarları memnuniyetsizliğe yol açabilir.

Artan Yönetim Sorumluluğu:
Ateş duvarları fazla olan ağlarda yönetim sorumluluğu arttığı gibi herhangi bir problem olması durumunda bu problemin kaynağını bulmakta zorlaşabilir. Eğer ağ yöneticileri uyarıları ve logları incelemek için yeteri kadar zaman ayırmazlarsa ateş duvarının gerçekte işini yapıp yapmadığı hakkında kesin bir bilgiye sahip olamazlar. Bütün ateş duvarları devamlı yönetimsel desteğe, genel bakıma, yazılım güncellemelerine, güvenlik yamalarına ihtiyaç duymaları yöneticiler üzerine ek bir yük getirmektedir.

ATEŞ DUVARLARI NELERİ YAPAMAZ
Ateş duvarları hakkında en yaygın yanlış anlama ağ güvenliğini garanti etmesidir. Ateş duvarı ağınızın %100 güvenli olduğunu etmez ya da edemez. Daha fazla koruma sağlamak amacıyla ateş duvarı diğer güvenlik sistemleri ile ceraber kullanılabilirler. Bütün bunlara rağmen hiç bir sistem ağın %100 güvenli olduğunu garanti edemez.
Ateş duvarları içerisindeki ataklara karşı herhangi bir koruma sağlayamaz. Ateş duvarının etkin olması için bütün trafiğin onun üzerinden geçmesi gerekmektedir. Güvemilir ağda veya iç kullanıcılar genelde ateş duvarı üzerinden geçmeden servislere erişebilirler. Günümüzde güvenlik vakalarının büyük bir yüzdesi güvenli ağ içinde bulunan kullanıcılardan gelmektedir.
Ateş duvarları ağın arka kapısından gelen istenmeyen veya yetkisiz erişimleri engelleyemez. Arka kapılar genelde iç kullanıcılar güvenilir olmayan ağlara bağlandıklarında veya yetkisiz bir modem ile dışarıya eriştiklerinde oluşur.
Biçok yapılandırmada ateş duvarları virüslerre ve zararlı kodlara karşı koruma sağlayamazlar. Ateş duvarlarının çoğu paket içeriğini ve payload unu incelemediğinden bir tehtidin içeri girmekte olduğundan haberleri olmaz.
Sonuçta, hiçbir ateş duvarı yetersiz veya kötü yönetilen güvenlik politikasına karşı koruma sağlayamaz. Eğer bir şifre dıoşarı çıkarılırsa o ağ artık risk altındadır. Kullanıcıların makinalarını açık bırakmalarından veya dikkatsiz bir şekilde şifrelerini vermelerinden dolayı birçok güvenlik gediği oluşmaktadır. Kişilerin zarar vermeye yönelik herhangi bir amaçları olmamasına karşın ağ güvenliği üzerindeki sonuçları oldukça zarar verici olabilmektedir.


ATEŞ DUVARLARI NASIL ÇALIŞIR
Ateş duvarlarının neler yapıp yapamadığını inceledikten sonra çalışma prensiblerini inceleyebiliriz.
Ağ ateş duvarlatı erişim kontrol kararlarını verirken iki güvenlik mantığı yaklaşımını kullanır. Bu iki yaklaşımın mantığı zıt olmasına rağmen ikisininde amacı erişimi kontrol etmektir. Bu iki yaklaşım şunlardır:
• Özel olarak izin verilmeyen herşeyi reddet.
• Özel olarak reddedilmeyen herşeyi kabul et.
Her iki yaklaşımın da taraftarları olmasına rağmen en fazla tavsiye edilen “özel olarak izin verilmeyen herşeyi reddet” yaklaşımıdır. Bu yaklaşım istenmeyen ve izin verilmeyen erişimlere karşı ön bir koruma sağlar. Özel olarak bir erişime izin verilmediği sürece bütün erişim bu yaklaşım tarafından engellenir.
Zıt tasarım mantığı , özel olarak reddedilmeyen herşeyi kabul et, istenmeyen ve izin verilmeyen erişimlere karşı tepkisel bir tutum sergiler. İlk yaklaşıma göre daha az güvenlik sağlar fakat aynı zamanda ilk yaklaşıma göre daha esnektir.


ATEŞ DUVARI TÜRLERİ
Ateş duvarının güvenlik tasarım mantığı bir çeşit paket izleme metodunu kullanmayı zorunlu kılmaktadır. Herbir metod OSI modelinin değişik katmanlarındaki bilgileri kullanmaktadır. Bu metodlar ateş duvarlarının önceden tanımlı kuralları ve filtreleri kullanarak paketlerden ve oturumlardan aldıkları bilgiler doğrultusunda trafiği izin verip vermeme işlemini gerçekleştirir. En çok bilinen üç metod paket filtreleme, dinamik filtreleme ve uygulama geçitleri/vekil sunucular olarak sayılabilir.Hibrid paket izleme metodları ise daha fazla fonksiyonellik ve güvenlik sağlamak amacıyla bu metodların iki veya daha fazlasını birleştirilerek oluşturulur.



PAKET FİLTRELEME
Paket filtreleme en basit paket izleme metodudur. Paket filtreleme ateş duvarı tam olarak isminin çağrıştırdığı işi yapar – paketleri filtreler. En yaygın kullanımı yönlendirici veya dual-homed ağ geçitlerindedir. Paket filtreleme işlemi şu şekilde yapılmaktadır. Herbir paket ateş duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Kabul etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir. Herbir paket diğer paketlerden bağımsız bir şekilde incelenir.




Paket filtreleyen ateş duvarı genelde filtreleme ağ katmanında veya nakil katmanında yapıldığı için ağ katmanı ateş duvarı olarak da adlandırılır.



Paket filtreleme kuralları veya filtreleri aşağıdaki değişkenler doğrultusunda oluşturulur:
• Kaynak IP adresi
• Hedef IP adresi
• Protocol tipi (TCP/UDP)
• Kaynak port
• Hedef port
Not: Bütün ateş duvarları bir çeşit paket yönlendirme yeteneğine sahiptir


Güçlü Yanları
Paket filtreleme tipik olarak diğer paket izleme metodlarından daha hızlıdır , çünkü paket filtreleme OSI modelinin alt katmanlarında yapılır. Doğru şekilde konfigürasyonu yapıldığında paket filtreleri ağ performasına çok az etki eder.
Paket filtreleyen ateş duvarları açık olarak konfigüre edilebilir. İstemciler tarafında ek bir konfigürasyona ihtiyaç duyulmaz.
Paket filtreleyen ateş duvarları diğer sistemlere göre daha ucuzdur. Birçok donanım cihazı ve yazılım paketleri kendi standart paketleri içinde peket filtreleme özelliğini içermektedir. Packet filtering firewalls typically scale better than other types of firewalls.
Paket filtreleyen ateş duvarları uygulama bağımsız olarak çalışır. Karalar paketin başlık bilgisine göre verildiğinden herhangi bir uygulamaya bağlı değildir.

Zayıf Yanları
Paket filtreleyen ateş duvarları iki uç nokta arasında doğrudan bir bağlantıya izin verir. Bu çeşit paket görüntüleme iki ağ arasındaki trafiği geçirip engelleme olanağına sahip olsa da istemci/sunucu modeli hiçbir zaman bozulmaz.
Paket filtreleyen ateş duvarları hızlı olmasına ve ağ performansı üzerinde fazla bir olumsuz etki yapmamasına rağmen genellikle hepsi-hiçbiri yaklaşımını içerir. Portların açık olduğu durumlarda bu portlar üzerinden geçecek bütün trafiğe açık olduğundan ağ üzerinde güvenlik açığı oluşmasına engel olamamaktadır.
Paket filtreleyen ateş duvarlarında kurallar ve filtreler tanımlamak karışık bir iştir. Ağ yöneticisinin şirketinin güvenlik ihtiyaçları doğrultusunda kullanılacak servisleri ve protokolleri iyi bir şekilde belirleyip bunların doğrultusunda kuralları ve filtreleri belilemesi oldukça karışıktır. Bazı durumlarda kurallar veya filtrelerin oldukça karışık olması gerekli konfigürasyonun yapılmasını imkansız kılmaktadır. Uzun erişim kuralları veya filtreleri ağ performansı üzerinde olumsuz etkilere de neden olur. Kuralların veya filtrelerin sayısı arttıkça ateş duvarının gerekli karşılaştırma kararlarını vermesi daha uzun zaman almaktadır.
Paket filtreleyen ateş duvarlarındaki kararların veya filtrelerin test edilmesi oldukça zordur. Her ne kadar kurallar ve filtreler basit ve doğru gözükse de kuralların doğruluğunu test ederek doğrulamak oldukça zaman alıcı bir iştir. Bazı durumlarda ise test sonuçları hatalı ve yanıltıcı olabilir.
Paket filtreleyen ateş duvarları malum ataklara karşı eğilimlidir. Paket izleme paket başlık bilgisinden daha derine inemediğinden uygulama katmanı ataklarına karşı korumasızdır. Packet filtering firewalls are prone to certain types of attacks. Paket filtreleyen ateş duvarlarının hassas olduğu üç ana istismar yöntemi vardır. Bu yöntemler IP spoofing, tampon aşımı, ve ICMP tunneling dir. IP spoofing kaynak adresini kullanarak ateş duvarını aldatmak yolu ile kendi verilerini göndermektir. Tampon aşımı tamponun boyutunun ayrılan alanı aştığı durumlarda oluşur.ICMP tunneling bir hacker ın yasal ICMP paketi içine kendi verisini koymasına olanak sağlar.
Paket filtreleyen ateş duvarı kullanıcı kimlik doğrulaması gerçekleştirmez.


DİNAMİK (STATEFUL) PAKET İZLEME
Dinamik paket izleme paket filtrelemenin yaptığı bazı temel paket gözleme yöntemlerini kullanır. Buna ek olarak, ağ katmanından uygulama katmanına kadar paket başlık bilgisini inceleyerek paketin yasal bir bağlantıdan gelip gelmediğini ve protokollerin beklendiği gibi davranıp davranmadığını gözlemler.



Dinamik paket inceleme süreci şu şekilde gerçekleşir. Paket ateş duvarından geçerken paket başlık bilgisi incelenir ve dinaik durum tablosuna konur. Paketler önceden tanımlı olan kurallar ve filtreler doğrultusunda incelenip paketlerin geçip geçemeyeceği kararını verir. Daha sonra durum tablosundaki veri gelen paketlerin aynı bağlantının bir parçası olup olmadığını anlamak amacı ile kullanılır. Özet olarak dinamik paket inceleme paketlerin geçirilip geçirilmeyeceği kararını iki adımda verir. Bu metod kararlarını aşağıdaki değişkenler doğrultusunda verir:
• Kaynak IP adresi
• Hedef IP adresi
• Protokol tipi (TCP/UDP)
• Kaynak port
• Hedef port
• Bağlantı durumu
Bağlantı durumu önceki paketlerden elde edilen bilgilerden çıkartılır. Bu yeni bağlantı denemelerindeki kararlarda zorunlu bir faktördür. Dinamik paket inceleme paketleri kurallar veya filtreler doğrultusunda inceleyerek ve dinamik durum tablosundan paketlerin kurulu bağlantıdan gelip gelmediğini kontrol ederek karar verir. Bağlantının durumunu hatırlayabilme yeteneği sayesinde bu metod paket izleme standart paket izlemeye göre saldırılara karşı daha korumalıdır.




Dinamik paket inceleme çözümleri karmaşık karar verme yeteneklerine sahiptir ve az işlem yükü talep ettiklerinden diğer paket izleme metodlarından daha hızlı çalışırlar. İzin verip reddetme kararları OSI modelin daha alt katmanlarında yapılmaktadır.
Bazı yeni dinamik paket izleyen ateş duvarları daha gelişmiş bağlantı durum bilgisini tutabilir. Bazıları paketler ateş duvarı üzerinden geçerek ek içerik filtreleme işlemleri gerçekleştirebilir.


Güçlü Yanları
Dinamik paket inceleyen ateş duvarları, paket filtreleyen ateş duvarları gibi ağ performansı üzerinde çok az olumsuz etki gösterirler ve uygulama bağımsız davranabilirler. Dinamik paket inceleyen ateş duvarları basit paket filtreleyen ateş duvarlarına göre daha fazla güvenlik sağlarlar. Dinamik paket inceleyen ateş duvarları paket başlık bilgisini daha derinden incelediğinden istenmeyen veya hakkı olmayan erişimlere göre daha iyi bir koruma sağlarlar. Dinamik paket inceleme uygulama katmanı protokolünde olanlardan haberdardır. Paket başlık bilgisini daha derinden inceleme sayesinde bu metod paket izleme uygulama katmanı protokollerinin beklendiği gibi davranıp davranmadığının invelenmesine olanak sağlar. Durumsal paket inceleyen ateş duvarlarının bazı loglama yetenekleri vardır. Buradaki bilgiler ateş duvarından geçen değişik tipteki trafiği tanımlama ve inceleme olanağı sağlar.

Zayıf Yanları
Dinamik paket incelemede paket filtreleme gibi istemci/sunucu modelinin kırılmasına izin vermez ve bu sebepten ötürü iki uç nokta arasında doğrudan bir bağlantı kurar. Paket izleme metodundakli kurallar ve filtreler giderek karmaşıklaşabilir, yönetimi zorlaşabilir, hatalara eğilimlidir ve test edilmesi zordur