From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Mon 18 Jun 2001 - 19:07:14 EEST
Özgür Özaslan wrote:
> Merhabalar,
> e-posta sunucu, www sunucu ve 200 kadar bilgisayar olan bir ağda gateway
> olarak kullanılan makinaya firewall kurmam ve bütün sunucu ve istemcilerde
> clientlerde ) default gateway olarak bu firewall olarak kurulu makinayı
> göstermem yerel ağımdaki tüm sunucu ve istemcilere dışarıdan gelecek
> saldırıları engeller mi? Firewall'ın esas mantığı bu mu? Herhangi biri
> dışarıdan benim etki alanımdaki bir makinaya o makinada tanımlanan default
> gateway üzereinden mi bağlanır? Gateway makinada Ip masquerading kullanmam
> gerekli mi güvenlik için... ( IP sıkıntısı olmayan bir yerel ağdayım
> internete çıkan her makinaya ip verebilmekteyim. )
> Şimdiden teşekkürler...
Merhaba,
Eminim bir cok birbirinden guzel yanit gelecektir ama belki farkli bir
bicimde
anlatip katki verebilirim diye ben de deneyeyim istedim...
Guvenlik duvari birden fazla ag arasinda yalitim saglamak icin
kullanilir.
Farkli derecelerde guvendiginiz bilgisayarlari, guveniniz olcusunde
gruplandirdiginizi ve ayri aglar olusturabildiginizi dusunun. Boyle bir
gruplama, az guvenilir olan bir agi daha cok guvenilir olan bir agdan
belli
bir duzeyde (ya da tumuyle) yalitmak amaci ile kullanilabilir.
Yani guvenlik duvari denilen teknigin temelinde biyolojide hucreleri
anlatirken
soyledikleri "secici gecirgenlik" kavrami vardir. Aginizi tasarlarken,
guvenligi
onemsiyor iseniz, guvenlik duzeyine gore "ag kompartmanlari" olusturur
ve bu
kompartmanlar arasinda gecisleri boyle bir secici gecirgen yapi
sayesinde
saglarsiniz. Bu durumda, ne aglari tumuyle birbirinden koparmis
olursunuz, ne de
dogrudan (hic denetimsiz) baglamis olmaniz nedeni ile ciddi riskler
alirsiniz.
Guvenlik duvarlarinin en yaygin kullanim bicimi bir agi uc parcaya bolen
ve
agirlikli olarak internet baglantisina sahip kurumlarda kullanilan
bicimdir.
Bu yontemde, internet en az guvenilen ag olarak ele alinir. Kurumun
sahip oldugu
bilgisayar sistemleri en cok guvenilen agi olusturur. Kurumun internet
hizmetlerinden faydalanabilmek icin sahip oldugu web sunucusu, e-posta
sunucusu
ve dns sunucusu gibi hizmetlerin verildigi bilgisayar sistemleri de
ucuncu bir
ag olusturur. Bu ucuncu ag, ne cok guvenilirdir ne de guvenilmezdir.
Agi bu bicimde bir kac parcaya ayirdiktan sonra sistemin kural-tanimlama
dili
yardimi ile ag gecis politikanizi tanimlarsiniz:
Kaynak Hedef Islem
------ -------- --------
Guvenilir Internet Izin ver
Sunucular Internet Yasakla
Sunucular Guvenilir Izin ver
Guvenilir Sunucular Izin ver
Internet Guvenilir Yasakla
Internet Sunucular Izin ver
(Kesinlikle yukaridaki gibi bir politikayi tavsiye etmiyorum, yalnizca
orneklemeye
calisiyorum). Cok basit ve cok yuksekten guvenlik duvarlarinin goruntusu
bu
bicimdedir...
Temel prensip olan secici gecirgenlik kaynak ve hedef IP adresleri ile
kaynak ve
hedef baglanti noktalari (port) baglaminda yapilabilir. Ancak bu
yontemin de bir
takim zaaflari bulunmaktadir.
Guvenlik teknolojilerinin gelip dayandigi noktada bir guvenlik duvari
sahibi
olmak, siradan ya da siradan alti saldirganlar disinda kimseyi
durdurmanizi
saglayamayacaktir. Guvenlik duvari teknolojisinin de yumusak karni
vardir...
Ciddi bir guvenlik saglayabilmek icin;
a. kurumun bilgi guvenligi konusunu onemsemesi (riskleri anlamasi ve
riskleri azaltmak konusunda istekli olmasi)
b. Ust yonetim destegi
c. Kurumsal bilgi guvenligi politikalarinin ve prosedurlerinin
olusturulmasi
d. Kurum calisanlarinin konu hakkinda bilgilendirilmesi (bu esnada
kendilerine yonelik tehditlerin ozellikle vurgulanmasi)
e. Teknolojik cozumlerden faydalanilmasi
gerekmektedir. Gordugunuz gibi, teknolojik boyutu isin yalnizca kucuk
bir
kismidir (onemsiz oldugunu soylemiyorum / iddia etmiyorum). Ancak kim ki
gelip
"bilgi guvenligi teknik bir problemdir, teknik cozumler ile cozulur"
der, ona
sakin inanmayin... :-)
Ilk dort maddeye yonelik herhangi bir girisimde bulunmadan dogrudan ve
yalnizca
besinci maddeye yonelik yapilan calismalar kisa surede gecersiz kalmaya
ve/veya
insanlar tarafindan dislanmaya mahkum olacaklardir.
Umarim herkes icin ise yarayacak 3-5 cumle cikar yukaridakilerden...
sevgiler, selamlar,
-bd
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------