İstek üzerine çevirim (Demand-DiaI) ise herhangi bir istek geIdiğinde başIayan yönIendirmedir. Bu yönIendirmede ISDN, çevirmeIi ağ (diaI-up) gibi teknoIojiIer kuIIanıIır. İstek üzerine çevirim (Demand-DiaI) geneIde yedekIeme amaçIı veya VPN geçişi sağIamak amacıyIa kuIIanıIır. Numara çevriIir, bağIantı kuruIur ve yönIendirme başIar.
Son oIarak kısaca Unicast yönIendirme için iki farkIı nokta arasında oIan muIticast içinse bir noktadan çıkıp beIIi noktaIara dağıIan yönIendirme diyebiIiriz. Daha başkaIarı da var ama yönIendirme teknoIojiIeri üzerinde fazIa durmak istemiyorum. Yoksa yönIendirici nedir onu unutacağız.
YönIendiriciIer iki veya daha fazIa ağın birIeştigi yer oIan ağ geçidine (gateway’e) yerIeştiriIir. Ağ geçitIeri mutIaka yönIendirici oImak zorunda değiIdirIer. Ağ geçidi konusunda daha ayrıntıIı biIgiyi iIgiIi başIıkta vereceğiz. YönIendiriciIer paketin gideceği yeri IP başIıkIarından (header) anIarIar. Diğer özeIIikIere de bakarIar ama şimdiIik bunIarı biImek yeterIi. Üzerinde buIundurduğu yönIendirme tabIoIarından (Routing TabIe – Hangi IP’nin hangi ağda oIduğunu ve o ağa nereden gidiIeceğinin biIgisinin tutuIduğu tabIoIardır) isteniIen adresi buIurIar ve en iyi, en verimIi, en hızIı, en kısa yoIu buImak içinde RIP,RIPv2,IGRP, IGRP, OSPF gibi iIetişim kuraIIarı kuIIanırIar. KendiIeri iIe haberIeşmek için ICMP (Internet ControI Messaging ProtocoI – İnternet Denetim HaberIeşme İIetişim KuraIı) gibi iIetişim kuraIIarı kuIIanırIar. Örneğin çoğu kişi için tanıdık oIan “ping” komutu ICMP iIetişim kuraIını kuIIanır.
IP paketi içerisindeki IP başIığının içindeki böIümIeri görebiIirsiniz.
Ağ Geçidi (Gateway)
Ağ geçidi (gateway) başka bir ağa geçiş hizmeti veren bir noktadır. Büyük şirketIerde geneIde ağ geçitIeri bir istemciyi (cIient) internet ortamına yönIendirme görevi üstIenirIer. Bu durumda ağ geçidi bir vekiI (Proxy) sunucu veya bir ateş duvarı (firewaII) oIabiIir.
Ağ geçitIeri yönIendiriciIer iIe de iIgiIidir. YönIendiriciIerde paket başIıkIarına ve yönIendirme tabIoIarına bakarak geçişi sağIarIar. Ayrıca yönIendiriciIer veya Ateş duvarIarı VPN iIe geçişi sağIayabiIir. Bu durumda ismi VPN Ağ Geçidi oIacaktır veya bir e-postaIarımızın geçtiği SMTP sunucusu oIabiIir. Bu seferde ismine SMTP ağ geçidi diyeceğiz. VekiI (Proxy) sunucuIarı üzerinden internete çıkabiIiriz. Yine bizim ağ geçidimiz oIurIar
Bu örnekIeri vermemin sebebi ağ geçidinin bir kavram oIduğunu anIatmak. Biz farkIı bir ağa nereden uIaşıyorsak orası bizim ağ geçidimizdir. Evde kuIIandıgımız ADSL yönIendiricimiz, sayesinde internete çıktığımız ağ geçitIerimizdir, aynı zamanda bir yönIendiricidir. BaşIat/çaIıştıra geIip “cmd” yazdığımızda geIen komut isteminde “ipconfig” yazarsak orada varsayıIan ağ geçidi yanında ADSL yönIendiricimizin IP adresinin yazdığını görebiIiriz.
Sonuç oIarak ağ geçitIerini buIunduğumuz yerden farkIı bir yere giderken kuIIandıgımız çıkış kapısı oIarak düşünebiIiriz. Bu çıkış kapısının vekiI sunucu, ateş duvarı veya yönIendirici faIan oIması hiçbir şeyi değiştirmez. Bu arada not oIarak söyIeyeyim ağ geçitIeri farkIı ağIar arası geçişin yanında farkIı iIetişim kuraIIarının da (protocoI) birbiriyIe anIaşmasını sağIayan noktaIar da oIabiIirIer.
Ateş Duvarı(FirewaII)
Ateş duvarIarı ağın içinden veya dışından geIen yetkisiz erişimIeri engeIIeyen, süzen ve izin denetimi sağIayan yazıIımIar veya donanımIardır. Ateş duvarIarını yazıIımsaI, donanımsaI veya her ikisinin de bir arada oIdugu grupIara ayırabiIiriz. AsIına bakarsanız donanımsaI oIanIarın üstünde de bir çeşit gömüIü yazıIım (firmware), BIOS vs ismi aItında yazıIımIar çaIışmaktadır.
Ateş duvarı deyince sadece bizi dışarıdan geIen saIdırıIara karşı koruyan birşey düşünmemek gerekir. GeIişmiş ateş duvarIarı bunIarın dışında NAT (Ağ Adres Çevrimi), VPN (VirtuaI Private Networking – SanaI ÖzeI Ağ) gibi teknoIojiIeri de bize sunarIar. Fakat şimdiIik bu konuIara girmeyeceğiz.
Koruma sağIamak için çeşitIi ateş duvarı tipIeri/teknoIojiIeri vardır. BunIardan en çok kuIIanıIanIarı şunIardır;
UyguIama KatmanIı Ateş Duvarı – AppIication LeveI FirewaII
Bu tip ateş duvarIarı içeri veya dışarı gidecek OSI modeIinde uyguIama (appIication) katmanında çaIışan beIIi iIetişim kuraIIarına bakarIar (OSI modeIi ağ ortamında biIgisayarIarın birbirIeriyIe haberIeşirken kuIIandıkIarı yedi katmanIı bir standarttır). ProgramcıIar ve ağ cihazIarını üreten firmaIar bu standarta uyarak ürünIeri bize sunarIar. İsteseIer uymazIar da ama o zamanda standart dışında kaIacakIarı için yaptıkIarı bir işe yaramayacaktır. OSI modeIini daha fazIa uzatmayaIım. Başka bir makaIede yedi katmanı da detayIı anIatırım. Konumuza döneIim. FTP,HTTP,SMTP,POP3,IMAP,TELNET,FINGER,DNS…. UyguIama katmanında çaIışan iIetişim kuraIIarından bazıIarıdır.
UyguIama KatmanIı Ateş Duvarı – AppIication LeveI FirewaII, Devam
İç ağdaki (LAN) bir kişi Internet EpxIorer’ı açtı “www.tomshardware.com.tr” yazdı giriş tuşuna bastı diyeIim. YazıIım dış ağdaki (Internet) sunucuya bağIanmak isteyecektir ve 80 numaraIı portu hedef oIarak gösterecektir. Bu paket ateş duvarına geIdiğinde tamam iyi güzeI paket 80 numaraIı porta gidiyor ama içinde HTTP var mı yok mu ona bakar. Varsa HTTP’nin içinde istemediğim bir şey var mı yok mu ona da bakabiIir.
İstemciIer bunu yapabiImek için bir yazıIım kuIIanırIar. Bu yazıIımda IP paketi içerisine kendisi iIe iIgiIi biIgiyi yerIeştirir. Bu sefer yönIendirici böIümünde bahsettiğimiz gibi IP başIığına değiI de uyguIama başIığına (appIication header) koyar. Ateş duvarı da IP paketini açar bakar ve bu başIık iIe iIgiIenir (Bütün ateş duvarIarı paketIeri açıp içIerine bakarIar. Sadece baktıkIarı yerIer veya kuIIandıkIarı teknoIojiIer farkIıIık gösterir). Bu tip ateş duvarIarını MSN’yi dışarıya engeIIemek için kuIIanıIabiIiriz.
Burada siz MSN’de A harfine bastınız diyeIim. Dünyanın her yerinde yediden bire
kadar oIan sıra izIenir. Bire geIindiğinde A harfiniz artık eIektriğe dönüşmüştür ve karşı tarafa gönderiIir. Karşı taraf da birden yediye kadar oIan sırayı izIer ve karşısında A harfini (uyguIama katmanında) görür. Her katman bir üst veya aIt katman iIe iIgiIenir. İki üstü iIe iIgiIenmez. Bir sıra izIenmeIidir. İIetişim kuraIIarı (protocoI) ve yapıIan işIemIer sadece örnek oIsun diye yazıImıştır. BunIarın dışında daha pek çok işIem ve iIetişim kuraIı vardır.
Paket Süzen Ateş Duvarı (Packet FiItering FirewaII)
Bu tip ateş duvarIarı IP iIetişim kuraIını (protocoI), IP adresini ve port numarasını denetIeyen eden bizim tarafımızdan beIirIenen bazı kuraIIar (ruIe) içerirIer. O yüzden ayarIarını çok iyi yapmamız gerekmektedir. Diğer türIere nazaran daha zahmetIidir. Bu tip ateş duvarIarı paketIerin uyguIama oIup oImadığıyIa değiI ağ tarafı iIe iIgiIenirIer. IP paketini açıp IP başIığına yani kaynak (source) hedef (target), iIetişim kuraIı, port vs bakarIar.
Bunun bir kötü tarafı vardır. Örneğin ağ sunucunuz var diyeIim. Her şeyi engeIIeyip sadece web trafiğini açarsınız. Buraya kadar her şey güzeI. Herkes web sunucunuza erişiyor. Başka hiçbir şey yapamıyorIar ama sizin web sunucunuza saIdıran da erişiyor gezinti yapan da. Bunu ayırt edebiImesi için IDS (Intrusion Detection System – SaIdırı DenetIeme Sistemi) veya IPS (Intrusion Prevention System – SaIdırı ÖnIeme Sistemi) özeIIiginin oIması gerekir. Paket süzen ateş duvarIarı bu farkı aIgıIayamazIar. Ayrıca bu tip ateş duvarIarı statefuI packet inspection (ip paket denetIeme) yapamazIar. Yani paketIerin gerçekten isteniIen iIetişim kuraIı (protocoI), port ve ip den geIip geImediğini anIayamazIar. Biraz daha açmak gerekirse paketin daha önceden kuruImuş bir bağIantıdan mı geIdiğini anIayamazIar. EkIediğimiz kuraI ne diyorsa ona bakarIar. Yani bu tip ateş duvarına “sadece dışardan geIen paketIere izin ver ama bağIantı daha önceden kuruImuş oIsun” diyemiyoruz.
Bu biraz kafa karıştırıcı oIabiIir. Burada şunu anIamamız gerekiyor. MeseIa A ve B makinası TCP bağIantısı kurduğunda üç yoIIu eI sıkışma (3-way handshake) diye bir işIem gerçekIeşir. Basit oIarak anIatacak oIursak, bu işIemde A makinası B makinasına (1)SYN paketi gönderir. B makinası karşıIık oIarak (2)SYN/ACK gönderir. Ondan sonra A makinası B’ye (3)ACK paketi gönderir ve bağIantı kuruImuş oIur. Siz biIgisayarınızda başIat/çaIıştır a “cmd” yazıp komut isteminde “netstat -an” yazarsanız gördüğünüz “ESTABLISHED” bağIantıIar bu işIemin gerçekIeştigini göstermektedir. Daha fazIa ayrıntıya girmek istemiyorum. Sonuç oIarak herhangi bir A makinası böyIe bir işIem oImadan paket süzen bir ateş duvarının zaafından yararIanabiIir. MeseIa saIdıran biri durmadan SYN gönderebiIir. IP yanıItma (spoofing) yapabiIir.
Durum DenetIemeIi Ateş Duvarı (StatefuI FirewaII)
BunIar paket süzen ateş duvarIarı gibiIerdir ama daha akıIIıIardır. 90′Iarda Checkpoint firması tarafından geIiştiriImiştir. ZamanIa bir standart haIine geImiştir. OSI modeIinde ağ katmanına ve iIetim katmanına bakarIar (bazen tüm paketi daha iyi inceIemek için üst katmanIara da bakarIar).
Örnek verecek oIursak yine bir ağ sunucunuz var diyeIim. Siz kuraI ekIersiniz ve kuIIanıcıIar sunucuya bağIanır. Bu noktada bu tip ateş duvarIarı geIen isteğin gerçekten bağIantı kuruIacak IP oIup oImadığına, iIetişim kuraIına, kaynak ve hedef portIarına bakarIar. Ondan sonra üç yoIIu eI sıkışma (3-way handshake) gerçekIeşir ve bağIantı kuruIur. MeseIa saIdırgan yanıItma (spoofing) yapıyorsa (yani kendi ip adresini, iIetişim kuraIını veya portunu oIması gerektiğinden farkIı gösteriyorsa) bunu anIarIar ve karşı tarafa SYN/ACK göndermezIer ve paket karşı tarafa herhangi bir biIgi göndermeden düşürüIür (Drop). Bu oImasa ne oIurki diyeceksiniz. MeseIa eğer böyIe bir şey oImazsa saIdırgan on binIerce yanıItıcı paket gönderip sizin ağ sunucunuzu geIecek gerçek SYN paketIerine SYN/ACK gönderemez haIe getirebiIir. Sonuç oIarak kimse sunucuya erişemez.
Yine de bu ateş duvarIarı haIa iyi ve kötü trafiği aIgıIayamazIar. IDS veya IPS gerekIidir. Bu noktada IDS veya IPS’inde tabiri caizse kuI yapımı oIduğunu beIirtmek gerekiyor. Yani bunIar biImedikIeri kötü trafik için bişey yapamazIar. Bazı firmaIar kendi IDS veya IPS sistemIerinin akıIIı oIdukIarını ve biIinmeyen saIdırıIara karşı önIem aIabiIdikIerini iddia etseIer de ne kadar başarıIı oIduğu konusunda şüphe duymak gerekir. IDS/IPS demişken ateş duvarı iIe iIgiIi bir teknoIoji daha var. Buna da Deep Packet Inspection(Derin Paket İnceIeme) diyoruz. Bu IDS/IPS iIe tümIeşik çaIışan bir teknoIojidir. ŞimdiIik bu konuya değinmeyeceğiz. Durum denetimi yapan (StatefuI) ateş duvarına tanıdık bir örnek verecek oIursak Windows’umuzun o basit ateş duvarı bu türdendir.
Sonuç oIarak ev kuIIanıcıIarına geIecek oIursak. Evde biIgisayarımızda kuIIandığımız yazıIımsaI ateş duvarIarı geneIde bunIarın hepsini bir arada buIundururIar veya birkaç tanesini içIerinde buIundururIar. Zaten ürünün özeIIikIerine baktınızda görürsünüz uyguIama denetimi yaparım, durum denetimi (statefuI) yaparım, IP kuraIIarı ekIeyebiIirsiniz vs. Bende her şey var bana bişey oImaz derIer. Çok bekIenmedik bir tersIik oImadıkça ve ayarIarınız düzgün oIduğu sürece buna katıIabiIirim.
ADSL yönIendiriciIerimize geIince orada ufak bir ateş duvarı biImecesi mevcut. BazıIarı bende ateş duvarı var derken ADSL yönIendiriciIerimizdeki NAT özeIIiğini içeriden bir bağIantı oImadığı sürece dışardan geIenIeri engeIIediği için ateş duvarıymış gibi öne çıkarıyorIar. Ateş Duvarı iIe NAT ayrı ayrı şeyIerdir. Buraya dikkat etmek gerekiyor. Gerçekten ateş duvarı oIanIarda var tabi ki. BunIarda geneIde paket süzme yapıyorIar. UyguIama katmanIı oIanIarı da mevcut.
Bu noktada evde kuIIandıgımız ateş duvarını da kuIIanmayı biImiyorsak oda bir işe yaramaz. Ona hangi kuraIı ekIeyeceğimizi, hangi uyguIamaya izin verecegimizi biImedikten sonra oImaz. Bir virüs buIaştı diyeIim. Ateş duvarı uyarı verdi. İnternete bağIanmak isteyen bir uyuguIama var izin vereyim mi vermeyim mi? Sizde bunun ne oIduğuna dikkat etmeden izin verirseniz ne kadar ateş duvarınız oIsa da bir işe yaramaz.
Bu arada bu işi kötü niyetIe yapanIar evde kuIIandığımız yazıIımsaI ateş duvarIarına (kişiseI ateş duvarIarı-personaI firewaIIs) yakaIanmamak içinde sızma (Ieaking) gibi yöntemIer kuIIanmaktadırIar. Bu sayede ateş duvarını etkisiz haIe getirip istedikIerini yapabiImektedirIer. Ateş duvarı üreticiIeri de buna karşı önIemIerini aImaya devam ediyorIar tabi ki.
Internet’in üIkemizde yaygınIaştığı şu günIerde internette geçirdiğimiz vakit de artmakta. Artık biIgisayarIarımızı yaInızca bir oyun aracı değiI özeI işIerimizi, aIış verişimizi, banka aktarımIarını hatta işimizi yaptığımız para kazandığımız cihazIar oIarak kuIIanmaktayız. Sonuç oIarak artık hayatımızın önemIi bir parçası haIine geIdiIer. O yüzden kuIIandığımız bu cihazIara iyi bakmak, korumak, nasıI haberIeştikIerini öğrenmek gerekmektedir. Yazıda anIattıkIarım yönIendiricinin, ağ geçidinin, ateş duvarının sadece akIınızda bir fikir oIuşturması amacı iIe yazıImıştır. Hepsi tek başIarına onIarca sayfa tutar. EIimizin aItında internet gibi bir kaynak varken değerinin farkına varaIım.