Günümüzde Firewall sistemleri genel olarak 3 ayrı yapı ile birbirlerinden ayrılmaktadırlar. Bu yapılar Firewall’lara çeşitli artılar ve eksiler kazandırmaktadır. Bu bölümde 3 yapı hakkında çeşitli bilgiler verilerek ve karşılaştırmalar yapılarak Firewall’lar arasındaki farklar incelenecektir.

İlk mimari, statik paket filtreleme teknolojisidir. Bu mimari eskimiş olmasına rağmen halen Linux IPChains gibi bazı Firewall sistemlerinde kullanılmaktadır. Gelen ve giden paketleri sadece geldiği yer , erişmek istediği port numarası , protokolü gibi değerleri ile inceler ve bu değerlerden paketin erişimine izin olup olmadığının saptamasını yapar. Örneğin bir http isteği eline geldiğinde erişmek isteği portun 80, protokolün TCP ve geldiği yerin 1.2.3.4 IP’si olduğunu görür ve içerideki sunucuya ulaşmasına izin verilmişse, bu paketin içerideki sunucuya gitmesine izin verir. Basit bir mimaridir. Günümüzde ticari Firewall sistemlerinde kullanılmamaktadır. En büyük zayıflığı paketleri ilk gönderen sistemi yani oturumu ilk başlatan sistemi saptayamıyor olmasıdır. Bu durum ciddi riskler oluşturmaktadır, kaynak portu taramaları ve bağlantıları bu risklere örnektir. Bir örnek ile incelemek gerekirse ağdaki bir çalışanın FTP portundan iletişim kurabilmesi için izin verilmiştir. Oturumun işleyişi ise önce çalışanın 21/TCP portunu hedef port olarak belirleyerek bir sisteme dosya isteği göndermesi ile başlar, hedef sistem, kaynağı portu 20/TCP olan paketler ile çalışana dosya transferi yapar. Böyle bir durumda saldırgan ağa kaynak portu 20/TCP olan bir paket gönderdiğinde Firewall sistemi bu paketi görecek ve içeriden bu pakete istek gelmeseydi bu paket gönderilmezdi mantığına dayanacak ve paketin içeriye girmesine izin verecektir. Firewall’un paketin hedef portuna bakmaması sebebiyle saldırgan kaynak portu 20/TCP olan paketlerle içerideki herhangi bir sistemin örneğin 139/TCP portuna ulaşabilecektir. Böylece Firewall üzerindeki erişim kontrol listeleri etkisiz kalacaktır. Bu sebeple oturumun baştan sona takip edilmesi , kimin ne istediği ve kimin ne gönderdiği bir tabloda tutulacak ve karşılaştırılacak bir sistem yaratılmıştır ; dinamik paket filtreleme sistemi – stateful inspection.

Dinamik paket filtreleme mimarisindeki Firewall’larda yukarıdaki örnekte anlatıldığı gibi klasik paket filtrelemenin yanısıra oturumu takip etme özelliğide vardır. Checkpoint firmasının ürettiği bu teknoloji yine bu firmanın tescilli markası olan Stateful Inspection ismiyle anılmaktadır. Günümüz Firewall sistemleri genelde bu sistem ile çalışmaktadırlar. Temel olarak TCP oturumları bir başı , ortası ve sonu olan oturumlardır. Hiçbir oturum başından veya ortasından kurulamaz. Bu durumda Firewall’lar kuralları sadece SYN flag’ıyla gönderilen paketlere (nereden gönderildiği önemli değil) uygular ve geriye kalan paketler oturumun tutulduğu tabloya bakılarak takip edilir. Böylece örneğin FIN veya SYN/ACK flag’lı paketlerin bir oturumun devamı olmadığından geçişi engellenebilir. Oturumun SYN flag’lı paketler ile başlayacağını düşünerek tasarlanan bu sistemin kuralları bu paketlere uygulaması oldukça mantıklı ve güvenlidir. Ayrıca TCP için olan bu oturum izleme işlemi ICMP ve UDP paketlerine de uygulanabilmektedir. Kaynak port taraması ile ilgili daha fazla bilgiye Firewall Penetration Testleri ve Ağ Haritalama Teknikleri isimli dökümanlarından ulaşılabilir. Ticari olmayan ürünlerden IPFilter (*BSD) , ticari ürünlerden Checkpoint FW-1 , Netscreen , Cisco PIX gibi birçok Firewall bu teknolojiye dayanır. Ancak bu teknolojinin zayıflıkları da vardır, paketlerin içeriğini kontrol etmemeleri bu zayıflıklarının başlıca sebebidir, ayrıca FTP protokolünün proxy özelliğini desteklemesi ve bunun kötüye kullanım oranın oldukça fazla olması Stateful Firewall sistemlerinin en üyük dezavantajlarındandır.

Proxy mimarisini destekleyen Firewall’larda ise oturum başlatan ve hedef arasında gerçekleşmez. Oturum açmak isteyen taraf isteği Firewall’a gönderir ve Firewall bu paketi hedefe ulaştırır, hedeften cevap yine Firewall’a gelir ve Firewall tarafından oturumu açmak isteyen tarafa iletilir. Oturum açıldıktan sonrada aynı şekilde devam eder. Böylece 2 sistem arası tamamen yalıtılır ve Firewall paketlerin gerek içeriklerine , gerek hedef ve kaynak portlarına gerekse de gönderenin IP adresine müdahale edebilir. Paketlerin içeriğini kontrol edebilme Proxy Firewall’ların en büyük artılarındandır, böylece istenmeyen komutlar (HTTP paketlerinde POST komutunun kullanılmaması gibi) veya içerik (Java , ActiveX gibi) filtrelenebilir. Özellikle FTP Protokolü kesinlikle proxy olarak hizmet vermelidir, aksi taktirde FTP prtokolünün pasif FTP seçeneği ile saldırgan FTP sunucusundan içerideki sistemlere ulaşabilir, FTP Proxy kullanımı bu tür isteklerin Firewall tarafından filtrelenmesini sağlamaktadır. Stateful Firewall’lar gibi oturumu takip etmek zorunda değildir ; çünkü oturum zaten kendisi tarafından devam ettirilmektedir. Bu proxy’ler transparan (görünmeyen) proxy’ler olabileceği gibi normal proxy’lerde olabilmektedir. Yetersiz olduğu noktalara gelince araya girmesi ve paketleri kendisinin iletmesinin doğal sonucu olan yavaşlık ortaya çıkmaktadır. Ciddi bir yavaşlık olmamasına rağmen artan bağlantı sayısı ve yoğun ağlardaki veri trafiği , hızı olumsuz yönde etkilemektedir.

Bu mimarilerin 2 veya daha fazlasını barındıran Firewall sistemleride bulunmaktadır, bu sistemlere Hybrid sistemler denir. Bazı protokoller için proxy (Örneğin FTP, SMTP,HTTP) diğer protokoller için ise Stateful çalışabilen yada sürekli Stateful çalışabilen gereğinde proxy kullanılabilecek sistemlerdir. Yoğun ağlarda Stateful Firewall’lar , daha az yoğun yada güvenliğin önemli olduğu noktalarda Proxy Firewall’lar tercih edilmektedir.

Reklamlar