Ana Sayfa

Genel Bilgi

Ülkemizde Ağ Yönetmelikleri

Ağlarda Saatlerin Ayarlanması

Ağlarda Otomatik IP Dağıtımı

Bir Güvenlik Duvarı Uygulaması

Vekil Sunucu Uygulaması

Saldırı Tespiti ve Önlenmesi

Ağ Trafiğinin İzlenmesi

Ağ cihazlarındaki Yük miktarının İzlenmesi

İletişim

Güvenlik Duvarı

Güvenlik Duvarı Nedir? : Güvenlik duvarı yazılımları sisteme gelen veya giden trafiği filtreleyen yazılımlardır. Ağa giren ya da çıkan paketler bir kurallar zincirine göre kontrol edilerek paketin geçişine izin verilir veya durdurulur. Bir güvenlik duvarı kuralı, paketin ne yapılacağına, paketin bir veya birden fazla karekteristiğine bakarak çalışır. Aşağıda örnek bir paket içeriği verilmiştir.

==================================================================

                 ÖRNEK BİR PAKET İÇERİĞİ

   06/11-11:45:21.073477 
   0:17:31:2D:F8:5F -> FF:FF:FF:FF:FF:FF 
           type:0x800 len:0xF3
   10.12.10.178:138 -> 10.12.10.255:138 
           UDP TTL:128 TOS:0x0 ID:13886 
           IpLen:20 DgmLen:229Len: 201
11 02 80 16 0A 0C 0A B2 00 8A 00 BB 00 00 20 45  .............. E
47 45 46 45 47 43 4E 45 4E 45 42 46 45 43 4E 45  GEFEGCNENEBFECNE
47 45 42 46 45 45 46 46 44 43 41 43 41 43 41 00  GEBFEEFFDCACACA.
20 45 47 45 46 45 47 43 41 43 41 43 41 43 41 43   EGEFEGCACACACAC
41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 42  ACACACACACACACAB
4E 00 FF 53 4D 42 25 00 00 00 00 00 00 00 00 00  N..SMB%.........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00 00 11 00 00 21 00 00 00 00 00 00 00 00 00 E8  .....!..........
03 00 00 00 00 00 00 00 00 21 00 56 00 03 00 01  .........!.V....
00 00 00 02 00 32 00 5C 4D 41 49 4C 53 4C 4F 54  .....2.\MAILSLOT
5C 42 52 4F 57 53 45 00 01 00 80 FC 0A 00 46 45  \BROWSE.......TE
46 2D 4D 41 54 2D 46 41 54 45 53 00 01 00 05 01  F-MAT-ATESF.....
03 10 00 00 0F 01 55 AA 00                       ......U..
==================================================================

Güvenlik duvarları bir istemci, bir sunucu veya bir ağın güvenliğini önemli şekilde arttırır. Güvenlik duvarları aşağıdaki amaçlarla kullanılabilir.

• İç ağdaki uygulamaları,servisleri ve iç ağdaki bilgisayarları internetten gelen istenmeyen trafiklerden korumak veya yalıtmak için kullanılabilir.
• İç ağdaki bilgisayarların internetteki servislere erişimlerini sınırlandırmak veya engellemek için kullanılabilir.
• İç ağlardaki özel ağ adreslerini NAT (Network Address Translation) ile dönüştürmek için kullanılabilir.

Örnek Bir Güvenlik Duvarı (IPFIREWALL, IPFW) : IPFW FreeBSD işletim sistemi ile birlikte gelen bir güvenlik duvarı uygulamasıdır. Ancak işletim sisteminde uygulama ya modül olarak çalıştırılır veya çekirdeğe firewall desteğinin verilmesi verilerek çalıştırılır. çekirdeğe verilmesi gereken seçenekler aşağıda verilmiştir.

options        IPFIREWALLⁱ
options        IPFIREWALL_VERBOSELⁱⁱ
options        IPFIREWALL_VERBOSE_LIMIT=100Lⁱⁱⁱ
options        IPFIREWALL_DEFAULT_TO_ACCEPTL^iv
options        IPDIVERT^v
options        DUMMYNET^vi
i : Firewall Desteğini vermek için
ii : Hangi kurala kaç paketin takıldığını ve neden takıldığını ayrıntılı görmek için
iii : Kurala takılan paketlerin loglanma işleminin kurala kaç paket takıldıktan sonra loglanmanın bitirileceği Bilgiler /var/log/security dosyasında toplanır. Sayaçlar sıfırlanırsa limite ulaşılıncaya kadar dosyaya yeniden yazılma işlemi başlar.
iv : ipfw da zincirin son halka kuralı 65535 tir. ve otomatik oluşur. Bu seçenek çekirdeğe eklenmezse gelen bütün paketler varsayılan (default) olarak reddedilir. Seçenek çekirdeğe eklenirse 65535 kurala gelen bütün paketler varsayılan (default) olarak kabul edilir.
v : Belli arayüzden gelen paketleri NAT ile dış ağa eriştirmek için kullanılır.
vi : Band genişliğini denetlemek için kullanılır.

IPFW ile Kuralların Verilmesi İçin Kullanılan Desenler : ipfw da kullanılan en temel desenlerden biri ;

ipfw [-N] komut [kural no] faaliyet [log] protokol adresler [options] dir.

N : Çıktıda adresleri ve servis isimlerini çözmek için kullanılır.

komut :
     add : güvenlik duvarına yeni kural eklemek için
     delete : güvenlik duvarıdaki bir kuralı silmek için

kural no : Kural numarası 1 ile 65535 arasında bir sayı. Paketlere önce düşük kural numaralı kurallar uygulanır. Paket kurala uygun değilde daha büyük index numaralı kural için paket kontrol edilir.

faaliyet :
     reject : Paket durdurulur. ve istemciye paketin hedefe erişmediğine dair ICMP paketi gönder.
     allow : Paketin geçmesine izin verilir.
     deny : Paketin geçmesine izin verilmez. ve herhangi bir paketler paket hedefine ulaşmadı diye haberde verilmez.
     count : Kurala uyan paket sayılır. Ancak pakete ne izin verilir ne de durdurulur.

log : Kuralla ilgili log tutmak için loglar /var/log/security dosyasında bulunur. Çalışabilmesi için çekirdeğe FIREWALL_VERBOSE seçeneğinin verilmiş olması gerekir.

protokol :
     ip : herhangi bir IP paketi
     icmp : ICMP paketleri
     tcp : TCP paketleri
     udp : UDP paketleri

adresler :
from adres/mask [port] to adres/mask [port] via arayüz
deseninde kullanılır.Bazı adres/mask [port] örnekleri;
any
me
192.168.1.5
192.168.1.0/26
192.168.1.5 80
192.168.1.0/25 80
Bazı arayüz örnekleri; (lo0 loop için, fxp0 veya em0 işletim sistemi tarafından bulunan ethernet kartının adı)
lo0
fxp0
em0

ipfw Kullanımı İçin Bazı Örnek Kurallar :
ipfw show : Güvenlik duvarındaki tüm kuralları gösterir.
ipfw show 5050-10000 : Güvenlik duvarındaki 5050 ile 10000 arasındaki tüm kuralları gösterir.
ipfw -f flush : Güvenlik duvarındaki tüm kuralları oyay istemeksizin siler. 65535 numaralı default kural hariç.
ipfw zero : Güvenlik duvarındaki tüm kuralların sayaçlarını sıfırlar.
ipfw add 50 allow ip from any to www.cozum.info.tr : herhangi bir adresten www.cozum.info.tr adresine paketlerin geçebilmesi için izin verilmiş.
ipfw add 1545 allow ip from 192.168.1.0/25 to any 80 : 25 bitlik 192.168.1.0/25 ağından herhangi bir adresin 80 (web trafiği)numaralı portlarına giden paketler yasaklanmış
ipfw add 40 divert natd all from any to any via fxp0 : herhangi bir adresten gelip fxp0 ethernet kartı üzerinden gidecek paketlere NAT uygulanmış.
ipfw add 6500 fwd 127.0.0.1,3128 log tcp from any to any 80 in recv rue0 : rue0 adlı ethernet kartı üzerinden gelen gelip herhangi bir adresin 80 numaralı portuna giden paketler güvenlik duvarının 3128 numaralı portuna yönlendirilmiş
ipfw pipe 2 config bw 256Kbit/s
ipfw add 900 pipe 2 tcp from 192.168.1.0/24 to any : 2 numaralı 256Kbps genişliğinde bir pipe (boru) tanımlanmış, 192.168.1.0 C sınıf ağındaki tüm bilgisayarların band genişlikleri 256 Kpbs a ayarlanmış.

KAYNAKLAR :
FreeBSD de IPFW Nasıl?

DUYURULAR