541.35 KB - Inet-tr

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı
Filtreleme
Mustafa Coşar1, İsmail Arık2
1Hitit
Üniversitesi Bilgi İşlem Daire Başkanlığı, Çorum
2Hitit
Üniversitesi Bilgi İşlem Daire Başkanlığı, Çorum
mustafacosar@hitit.edu.tr, ismailarik@hitit.edu.tr
Özet: Yeni nesil güvenlik duvarlarında geleneksel güvenlik duvarı özelliğinin yanı sıra etkin içerik filtreleme, SSL VPN sistemi,
saldırı tespit ve engelleme sistemi (IDS/IPS), bant genişliği yönetimi, uygulama tanıma ve kontrolü sistemi, Virüs/zararlı içerik
kontrolü, güvenlik ve performansı dengeleme, URL kategori ve içerik filtreleme gibi özelliklerinin olması beklenmektedir.
Kurumsal internet trafiğinin performansının yüksek tutulabilmesi için yeni nesil güvenlik önlemlerinin alınması da
gerekmektedir. Bu önlemler arasında kullanıcı ve Vlan bazında bant genişliğinin sınırlandırılması, adres filtreleme, kelime bazlı
filtreleme gibi sistemleri yaygın olarak kullanılmaktadır. Ancak tek başına alınan bu önlemler yeterince etkin olmayabilmektedir.
Bunun için yeni nesil güvenlik önlemlerinden uygulama bazlı sınırlandırma ya da engelleme öne çıkmaktadır.
Bilgi İşlem Daire Başkanlığı olarak yaptığımız örnek uygulamalar ve yazılım donanım çözümleri ve karşılaşılan durumlar
hakkında bilgilerin sunulacağı bu çalışmada Ip, port, web adresi ve uygulama bazlı sınırlandırmalar hakkında bilgiler verilmeye
çalışılmıştır.
Anahtar Kelimeler: Güvenlik duvarı, Yeni nesil güvenlik duvarı, Filtreleme
Abstract: The new generation firewalls traditional firewall functionality, as well as active content filtering, SSL VPN system,
intrusion detection and prevention system (IDS / IPS), bandwidth management, application detection and control system, virus
/ malicious content control, security, and performance balancing, URL category and are expected to have features such as content
filtering.
Corporate Internet traffic in order to maintain the high performance of the new generation of safety measures is also required.
Of these measures on the basis of the user and the VLAN bandwidth limiting, address filtering, the word-based systems has been
widely used as filtration. However, these measures alone may not be effective enough. For this new generation of security
measures to limit or block-based applications stand out.
Information Technology Department as we sample applications and software and hardware solutions will be presented with
information about conditions encountered in this study, IP, port, web address and have tried to provide information about
application-based restrictions.
Keywords: Firewall, Next-Generation firewall, Filtering.
Giriş
2.Geleneksel Güvenlik Önlemleri
1.Ağ Güvenliği ve Önemi
Genel özellikler
Günümüzde kurumsal ağlardaki veri miktarları her geçen
gün artmaktadır. Bunun yanında bu verilerin ilgili kurum ya
da kişilerle veya şirketlerle paylaşılması için bilişim ağları
genişletilmiştir ve yeni teknolojiler bu yapıya uygulanmıştır.
Bu hızlı gelişen ve değişen teknolojiler kurumsal ağlar için
bilgi güvenliğini zorunlu kılmaktadır. Firewall (güvenlik
duvarı) günümüz ağ sistemlerinde, güvenilir olmayan
ağlardan gelecek saldırıları önlemenin ve veri ağının
güvenliğini sağlamanın en etkili yolları arasında yer
almaktadır.
Klasik güvenlik duvarlarında kullanıcı ip bilgisi, kullanılan
port ve ulaşılmaya çalışılan ip bilgisinin yanında
port/protokol kontrolü, NAT, VPN özellikleri ön plana
çıkmaktadır.
Geleneksel güvenlik duvarları ağ geçidinde trafiği kaynak ve
hedef adreslerine, kullanılan port/servise ve protokole göre
izin vermek veya engellemek üzere ayarlanmış cihazlardır.
Bu yöntem yeni nesil tehditler ve artan saldırılar sebebiyle
yeterliliğini kaybetmektedir.
Geleneksel güvenlik duvarlarında ağdan dışarıya erişim
serbest iken dışarıdan ağa erişim kısıtlanmış durumdadır.
1
Geleneksel güvenlik önlemlerinde port, ip bazlı güvenlik
kuralları yazılarak engellenmek istenen ip ve ip adresinin
geleceği port, dışarıdan içeri doğru basit bir kural yazılarak
engellenmekte ya da istek reddedilmektedir.
tehlikeli veya kullanılması istenmeyen uygulamaların farklı
portlar ile internete erişim sağlaması engellenmiş olur.
Geleneksel metotta yetersizliğin hissedildiği noktaların
başında uygulama kontrolü gelmektedir. Geleneksel
yapılarda
sadece
port
bazlı
kısıtlamalar
gerçekleştirilebildiğinden izin verilen diğer portlardan
uygulamalar çalışabilmektedir. TCP 80 portu üzerinden
gelişmiş teknolojilerde birçok uygulama geçebilmektedir ve
geleneksel yapıda bunun kontrolü sağlanamamaktadır. Bu
uygulamalar ancak Uygulama Kontrol Sensörleri ve IPS
imzaları tarafından kontrol edilebilmektedir.
3.Yeni Nesil Güvenlik Önlemleri
Şekil.2. Filtreleme kategorileri
Yeni nesil güvenlik duvarlarında veri akışının engellenmesi
yanında veri trafiğini sınırlamak ve trafiği düzenleyerek
etkin olarak kullanılması önem kazanmaktadır. Yeni Nesil
Güvenlik duvarının en önemli özelliği trafiği oluşturan
uygulamaları tanıyabilen bir mimariye sahip olmasıdır. Bu
özellik uygulamaların ayrıştırılmasına ve iş kurallarına göre
belirlenmiş kurumsal politikalar oluşturulmasını olanak
sağlamaktadır.
SSL ve SSH Kontrolü: Üzerinden geçen SSH ve SSL ile
şifrelenmiş trafiği tarayabilmektedir. Şifreyi açarak trafiği
kontrol edebilme yeteneğine sahiptir. Şifreli trafikten geçen
gerçek uygulamayı bulur ve bu uygulamaya göre
davrandıktan sonra trafiği tekrar şifreler. Böylece şifreli
trafik kullanarak güvenlik duvarını atlatmak isteyen her türlü
zararlı uygulama engellenmiş olur.
Saldırı Tespit ve Önleme Sistemi (IDS/IPS): Derin trafik
analizi sayesinde kurumların ayrı bir IPS cihazı
kullanmasına gerek bırakmayacak saldırı tespit etme ve
önleme özellikleri içermektedir. Bu sistem Dos ve DDOS
koruması, protokol çözümlemesi ve imza tabanlı koruma
sağlar.
Kullanıcı Veritabanı ile Entegrasyon: Uygulamaları
kullanıcı ve grup tabanlı yönetebilmek amacı ile Active
Directory ve LDAP ile entegrasyon sağlayabilmektedir.
Zararlı Yazılım Filtreleme: Günümüzde son derece
önemli bir tehdit haline gelen Spyware ve Malware
karşısında korunma amaçlı yazılımlar kullanmak zorunlu
hale gelmiştir. Yeni nesil güvenlik duvarları da bu trafiği
süzerek koruma sağlamaktadır.
Şekil.1. Örnek uygulama güvenlik senaryosu
UTM (Unified Threat Management) sistemleri güvenlik
sistemi gereksinimlerini tek bir kutuda karşılamış ve
kurumlar tarafında maliyeti ve iş gücünü azaltmaktadır.
UTM’ler güvenlik işlevlerini çalıştırmak için cihaz içinde
sanal motorlar kullanır. Bir veri paketlerinin ağa geçişinin
onaylanması için birkaç kez farklı motorlardan geçmesi
gerekebilmektedir. Yapılan bu işlem, gecikme süresinin
uzamasına ve ağ performansının düşmesine sebep
olabilmektedir. Bu sebeple UTM sistemleri tercih noktasında
kurumların fiyat / performans değerlendirmesi yaparak
uygun tercihi yapmalarını gerektirir.
URL Kategori, İçerik Filtreleme: Ulaşılmak istenen URL
adresleri belirli kategorilere göre gruplandırılarak bu gruplar
ya da grup içindeki ilgili URL adreslerin içerikleri
filtrelenebilmektedir.
DLP (Data Loss Prevension): Ağ temelli veri sızma
denetimi yaparak veri sızıntısını ve veri kaybını önlemek
amaçlanmaktadır.
5.Hitit Üniversitesinde Uygulanan Güvenlik Önlemleri
4.Yeni Nesil Güvenlik Cihazları Özellikleri
Kurum ağının güvenliği için yeni nesil güvenlik cihazı
kullanılmakta ve kurum ağında birbirinden farklı IP
havuzları oluşturularak bu havuzlara ilgili güvenlik
politikaları uygulanmaktadır.
Uygulama Tanımlama ve Filtreleme: Bu özellik yeni nesil
güvenlik cihazlarının en önemli özelliklerindendir.
Uygulama tanımlama ve uygulamaya göre davranma port /
protokol engellemenin bir adım ötesine taşır. Böylece
2
Kenar Switchlerde Güvenlik: Kenar switchlerde Port
Security, DHCP snooping, Arp instection vb. özellikler aktif
edilerek bu saldırılara karşı önlemler alınmıştır.
Vlan Kullanımı: Kurum ağı içinde akademik ve idari
birimler alt ağlara bölünerek bu ağların güvenliği
sağlanmıştır.
Şekil.5. Vlan adreslerine tanımlanan kurallar
DMZ Güvenliği: DMZ tarafında bulunan sunucular için
hem
outside-DMZ
ve
inside-DMZ
kuralları
uygulanmaktadır.
SSL VPN : Dışarıdan iç ağa erişim için şifreli tünelleme
kullanılmaktadır.
Bant Genişliği Yönetimi: Kurum ağında bulunan birimlerin
kullandığı internet trafiği sınırlandırılmış, hangi uygulama
için ne kadar trafiğe izin verileceği belirlenmiştir. Sınırlanan
uygulama ya da protokol trafiğin devam etmesi durumunda
otomatik olarak bu trafik yarıya düşürülmektedir.
Şekil.6. En fazla bant genişliği harcayan URL adresleri
Şekil.7. En fazla bloklanan web kategorileri
Şekil.3. Bant genişliği analizi
Sınırlandırma : Ip ve protokol bazlı internet trafiği
sınırlandırması yapılmıştır. Stream ve download trafiği
sınırlandırılmıştır.
Şekil.8. En fazla zaman geçirilen web alanları
6.Sonuç ve Öneriler
Trafik Şekillendirme: İşle ilgili uygulamalara ağda öncelik
verilerek Messenger, Skype gibi çok gerekli olmayan
uygulamalara düşük bant genişliği ayrılmıştır.
Kurum ağını iç ağlara bölerek yönetmek güvenliğin yanı sıra
sorun çözümünde de kolaylık sağlamaktadır.
İstenmeyen trafik
engellenmelidir.
Uygulama Kontrolü: Kurum içinde kullanılan Skype, Http
Proxy gibi uygulamalara izin verilerek istenmeyen botnet,
P2P ve diğer proxy uygulamaları engellenmiştir. Sosyal
media ve video uygulamaları ise monitör edilmektedir.
sınırlandırılmalı
ya
da
tamamen
Kablolu ve kablosuz ağlar için kabul edilebilir kullanım
politikaları belirlenmelidir. Filtreleme, sınırlandırma ya da
engelleme gibi özellikler kurum ağının güvenliğini artırmak
için yapılmalıdır.
Çok katı kuralların uygulanması kullanıcılardan gelen geri
dönüşleri artıracaktır. Bu sebeple kuralların makul ölçüde
planlanması gerekmektedir.
İnternet trafiğinin ne amaçla kullanıldığı kurumlar için
önemlidir.
Şekil.4. Uygulama kontrolü
Katagori Sınırlama / Engelleme: Kullanıcılar arası veri
alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de
yayılmasına neden olan P2P uygulamalar (Kazaa, bitTorrent,
eDonkey, Gnutella vb.) ile risk taşıyan zararlı web
sayfalarının yanı sıra reklam, phishing, spam URL ve
pornogrofik içerik web kategorileri engellenmiştir.
Trafiğin ne amaçla kullanıldığına ilişkin istatistiksel bilgiler
çıkarılarak analizler yapılmalıdır.
Youtube gibi yüksek bant genişliği harcayan uygulamaları
sınırlandırarak video konferans, IP telefon gibi kritik
uygulamalara öncelik verilmelidir.
3
Yeni nesil güvenlik politikaları hem kişisel hem de kurumsal
internet trafiğini olumlu ölçüde rahatlatırken güvenli bir ağ
oluşturulmasına yardımcı olabilir.
[2] Labris Networks : http://labrisnetworks.com
[3] Mehmet Şahin KURU Kişisel Web Sayfası :
http://www.sahinkuru.com.tr
Kaynaklar
[4] Çözümpark : http://www.cözümpark.com
[1] Bilgi Güvenliği Akademisi : http://bga.com.tr
4