Güvenlik Duvarları (Firewall)

Güvenlik Duvarları (Firewall)

Şirketlerin önemli ve hassas verilerini internet, intranet ve extranet gibi ortamlarda saklamaları kurumsal veri güvenliğini tehdit eden önemli bir faktördür.

Yakın bir zamanda yapılan bir araştırmada (FBI/CSC Bilgisayar Suçları ve Güvenlik Kurumu), güvenlik deliklerinin çoğunun yerel ağlarda olduğu saptanmıştır. Firewall (Güvenlik duvarı) gibi uygulamalar kurumların verileri için dış etkenlere karşı bir koruma oluşturmasına rağmen ilave güvenlik katmanlarına gereksinim duyulacaktır.

Intel, IETF ( Internet Engineering Task Force) tarafından bir standart olarak kabul edilen IPSec (Internet Protokol Güvenliği) protokolünü destekleyen ağ yapı taşlarını sağlamaya başladı. IPSec, sadece güvenilir ve yetkilendirilmiş sistemlerin hassas ve önemli verilere ulaşabilmesini ağ katmanında sağlayabilen bir protokoldür.

Internet sanal ortamda şirketlerin ulaşabildiği müşteri sayısını arttırarak işlem hacimlerinin büyümelerine katkıda bulunduğu gibi bir takım güvenlik problemlerini de beraberinde getirmektedir. Geleneksel ortamda kurumlar, kiralık hatlar veya farklı ortamlar ile kapalı sistem denen iletişim hatları ve ortamları kullanırlar. Günümüzde herkesin verilere erişebildiği daha açık sistemler “Sanal Ağlar”ın kullanımının arttığını gözlemlemekteyiz. Bu yeni model tedarikçi ve müşterilerin aynı ağ üzerinde birlikte çalışabildiği “extranet"lerin gelişmesi ile ortaya çıkmıştır. Extranet, kurumun kapitalini ve hassas verilerini internet ortamına koymasını gerektirir. Teorik olarak bu önemli veri herkes tarafından ulaşılabilecek bir ortamda durmaktadır.

Kurumların veri iletimi için internet ortamını seçmelerinin diğer bir nedeni ise kiralık hatlar gibi uçtan uca bağlantılara göre çok daha ekonomik olmasıdır. Çok daha fazla verinin extranet’ler aracılığı ile şirketlere açıldığı gibi bu veriler aynı yerel ağ üzerinde bulunan diğer çalışanların daha rahat ulaşabileceği ortamda bulunması göz ardı edilmemelidir. Güvenlik sorunları, hacker’lar gibi kasten veriyi çalmak, ele geçirmek için kullanılan şahıslar tarafından meydana gelebilir ya da ağa erişim hakkı bulunan ve kurumun kuralları ve prosedürlerinden haberi olmayan yetkili kullanıcıların yapabileceği hatalardan oluşabilir.

Güvenilir Sanal Ağlar
WEB üzerinden satış ve ticaret yapmak, diğer şirketler ile elektronik ortamda iletişim şirketimizin büyümesine katkıda bulunacaktır. Kapalı sistemlerde sadece çalışanlar arasında veri iletişimi gündemde iken, internet ve web gibi açık sistemlerde dünyaya açılıyoruz. Aşağıdaki örnekler, neden güvenilir bir ağa gereksinimiz olduğunu daha iyi açıklayacaktır.

* İki farklı şirket düşünün. Bu şirketler yüksek teknolojiyi kullanıyorlar ve yeni bir ürünün piyasaya çıkartılması konusunda beraber çalışıyorlar. Ortak çalışabilmeleri için her şirket, hassas verilerinin diğer şirket tarafından kullanılmasına izin vermek durumundadır. Şirketler nasıl birbirlerine verinin tehlikeye girmeyeceği, veya yetkisiz bir personelin eline geçmeyeceği konusunda garanti verebilir?
* Günümüzde sözleşmeli veya geçici personel alımına talep artmaktadır. Şirketler, önemli verilerinin kısa dönemli çalıştırılacak olan personelden nasıl koruyabilir?
* Bir tedarikçi şirket düşünün ve bu şirket başka bir şirketin sadece üretim planlama sunucusuna bağlanabilme yetkisi verilmiş olsun. Bu sunucuda kendi ağlarındaki diğer sunuculara bağlı. Üretim planlama sunucusunu tedarikçi firmaya yetkilendiren şirket, tedarikçi şirketteki kullanıcıların üretim planlama sunucunu ağlarına bağlanmak için bir geçiş kapısı olarak kullanmalarını nasıl engelleyebilir?

Yukardaki örneklerde, önemli verinin karşılaştığı tehditler hep ağ güvenlik duvarının içindedir. Veri kaynağında, yani LAN içinde öncelikle korunmalıdır. WAN üzerinde güvenli iletişimde “Sanal ve Özel Ağlar” deyimini kullanıyorduk. LAN içinde de güvenli iletişim “Güvenilir Sanal Ağ” olarak adlandırılacaktır.

Yeni Bir Güvenlik Modeline Gereksinim

Güvenlik çözümlerinden biri, firewall (güvenlik duvarı) uygulamaları aktif olarak kullanılmaktadır. Firewall uygulamaları, kurumun elektronik kaynaklarına erişimi, IP paketlerine filtrelemeler ve kısıtlamalar getirerek kontrol eder. Fakat bu uygulamalar sadece dış tehditleri düşünmektedir. Bir alışveriş merkezinde, sadece kapıya bir güvenlik görevlisi koymak yeterli midir? Kameralar, hareketi algılayan özel donanımlar gibi ilave donanımlar ile iç güvenlik arttırılmalıdır.

Güvenilir Sanal Ağların Yapı Taşları

* Sunucu ve Masaüstü Seviyesinde LAN Güvenliği : Çoğu işyerinde veri iletişimi sunucu ve buna bağlı olarak çalışan masaüstü bilgisayarlar ve masaüstü bilgisayarlar arası sağlanmaktadır. Şifre doğrulama, entegrasyon ve şifreleme ağ arabirim karı tarafından uygulanarak daha güvenilir bir iletişim sağlanabilir.
* Router/Firewall ve mobil bilgisayarlar üzerinde erişim kontrolü: Personel ağa uzaktan erişmek isteyebilir ve firewall tarafından sağlanan korumaya ilave olarak internet üzerinden sanal ve özel ağ tünelleri kurulmalıdır.
* WAN/Internet Güvenliği: Merkezi ofis ile şubeler arası iletişim internet veya WAN üzerinden gerçekleşmesi durumunda içerdeki ve dışardan gelebilecek güvenlik deliklerine karşı önlemler alınmalıdır.
* Ağ Üzerinde Güvenlik Yönetimi: Günümüzde şirketler değişik üreticilere ait güvenlik çözümleri kullanmaktadır ve hepsinin yönetimi birbirlerine göre farklılık gösterir. Gelecekte tek bir merkezden ve birbirleri ile uyumlu güvenlik çözümleri yerini alacaktır. Çözümlerin başarılı olması için uluslar arası standartlar ile tam uyumlu çalışması gerekir.

Güvenlik yönetimi nedir? Örnek verecek olursak, “Ne zaman ve nasıl şifrelemeliyim?”. Çok yüksek önemde veri ile çalışırken 168-bit şifreleme gerekirken, hassas ve önemli veriler için 68-bit şifreleme yeterli olacaktır.

IPSec : Önemli bir yapıtaşı

Yukarda bahsedilen güvenlik problemlerinin çözümü IPSec adı verilen teknoloji ile giderilebilir. IPSec, diğer güvenlik teknolojilerinden farklı olarak uygulamalar tarafından gözükmeyen protokol yığınının üçüncü katmanında çalışmaktadır. Bu yüzden IPSec, uygulaması kolay ve ekonomik bir teknolojidir. Uygulamalar verinin şifrelenmesi veya değiştirilmesi işlemleri ile uğraşmayacaktır.

IPSec Nedir?

IETF (Internet Engineering Tak Force) tarafından bir standart haline getirilen IPSec, şifre doğrulama, ve IP şifreleme yapabilen bir protokoldür. İki çalışma metodu vardır– tünel metodu ve iletim metodu.

IPSec’in en önemli avantajlarından biri, IP paketlerinin, IP trafiğini destekleyen herhangi bir ağa anahtarlanabilmesi ve yönlendirilebilmesidir. İstemcilerde ve uygulamalarda herhangi bir donanım ve yazılım değişikliği yapmaya gerek yoktur. IPSec, VPN çözümleri ile tam uyumludur.

IPSec’in kullanıcılara sağladığı avantajlar

* Ekonomik Merkez-Şube bağlantısı
* Müşterilere ve tedarikçilere daha hızlı ve daha ekonomik bağlantı
* İçerden gelebilecek tehlikelere karşı daha güvenli yerel ağlar

Ağ arabirim kartları (NIC), IPSec teknolojisinin uygulanabileceği en iyi donanımdır. Şifreleme ve şifre doğrulama arabirim kartının üzerine yerleştirilebilecek bir entegre devre sayesinde uygulamalara ve sisteme yük getirmeden gerçekleştirilebilir. Bu entegre devrelere donanım hızlandırıcı işlemciler denir.

Nasıl Çalışır?

IETF tarafından tanımlanan IPSec, ağ iletişimini korumak için iki farklı eleman kullanır:

* Kaynak şifre doğrulama ve veri bütünlüğü sağlayarak, verinin yetkisiz istemciler tarafından erişilememesini sağlayan şifre doğrulama bilgisi (AH)
* Gizlilik ve verinin, okunmaması ve kopyalanamamasını sağlayan kapsüle edilmiş güvenlik bilgisi (ESP)

IPSec AH

IPSec AH iletim metodunda, şifre doğrulama bilgisi IP header ve payload’u arasına yerleştirilir. Bu gerekli şifre doğrulama verisini ve güvenli parametre endeksini sağlar.

IcPSe ESP

ESP iletim metodunda, ESP bilgisi IP header ve payload’u arasında yerleştirilir. ESP kuyruğu ve MAC adresi paketin sonuna eklenir. ESP tünel metodunda ise, tüm paket şifrelenir ve yeni bir ESP ve IP header yaratılır, şifreleme bilgisi olarak pakete ilave bir kuyruk eklenir.
Güvenlik Duvarları (Firewall)

İletim Metodu

İletim metodu intranet güvenliğini sağlamak için peer-to-peer denilen sunucu tabanlı olmayan iletişimde kullanılır. IP header’ı değişmediğinden standartları destekleyen herhangi bir donanım veya yazılım ile okunabilir.

Tünel Metodu

Tünel metodu uzak erişim ve VPN içeren WAN bağlantılarında kullanılır. Paket kapsüle edilerek yeni bir pkaet oluşturularak, korunulan ağın topolojisi gizlenir.

Gelişmiş Güvenlik ve Ekonomisi

Güvenilir sanal ağlarda IPSec uygulamasının en önemli avantajları çok katmanlı koruma ve hesaplı olmasıdır.

Intranet ve Şube Ofis Bağlantısı

Uzak kullanıcılar, merkezi ofislerine şehirlerarası veya milletlerarası telefon hatlarından bağlanıp veri iletişimi kurmak yerine, ISP üzerinden internete IPSec VPN çözümleri kullanarak yapacakları bağlantılarda maliyetleri düşürecektir.

Extranet

IPSec, kurumlara sanal ve güvenilir ağlar kurarak, üretici, müşteri ve iş ortakları ile bağlantılarının daha verimli olmasını sağlayacaktır. Elektronik ticaretin getirdiği, düşük satış ve stok maliyetleri, kolay sipariş alma ve atma vb. gibi tüm avantajlar şirketin büyümesine katkıda bulunacaktır.

Kurumsal Yerel Ağlar

IPSec, kurumların önemli ve kritik verilerinin, sanal ve güvenilir iş grupları yaratarak iç güvenliği sağlar. Örneğin bir şirkette bulunan araştırma ve geliştirme bölümüne ait gizli verilerin, muhasebe veya satış bölümü tarafından erişilmesine veya diğer departmanların insan kaynakları departmanının verilerine ulaşabilmesine engel olur.

kaynak:http://antivirus.nigde.edu.tr/index.php?option=content&task=view&id=32&Itemid=36

Saygılarımla...

ben güvenlik duvarı olarak sp 2 yi biliyordum bunu öğrenmem iyi oldu tşklerr