Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme Mustafa Coşar1, İsmail Arık2 1Hitit Üniversitesi Bilgi İşlem Daire Başkanlığı, Çorum 2Hitit Üniversitesi Bilgi İşlem Daire Başkanlığı, Çorum mustafacosar@hitit.edu.tr, ismailarik@hitit.edu.tr Özet: Yeni nesil güvenlik duvarlarında geleneksel güvenlik duvarı özelliğinin yanı sıra etkin içerik filtreleme, SSL VPN sistemi, saldırı tespit ve engelleme sistemi (IDS/IPS), bant genişliği yönetimi, uygulama tanıma ve kontrolü sistemi, Virüs/zararlı içerik kontrolü, güvenlik ve performansı dengeleme, URL kategori ve içerik filtreleme gibi özelliklerinin olması beklenmektedir. Kurumsal internet trafiğinin performansının yüksek tutulabilmesi için yeni nesil güvenlik önlemlerinin alınması da gerekmektedir. Bu önlemler arasında kullanıcı ve Vlan bazında bant genişliğinin sınırlandırılması, adres filtreleme, kelime bazlı filtreleme gibi sistemleri yaygın olarak kullanılmaktadır. Ancak tek başına alınan bu önlemler yeterince etkin olmayabilmektedir. Bunun için yeni nesil güvenlik önlemlerinden uygulama bazlı sınırlandırma ya da engelleme öne çıkmaktadır. Bilgi İşlem Daire Başkanlığı olarak yaptığımız örnek uygulamalar ve yazılım donanım çözümleri ve karşılaşılan durumlar hakkında bilgilerin sunulacağı bu çalışmada Ip, port, web adresi ve uygulama bazlı sınırlandırmalar hakkında bilgiler verilmeye çalışılmıştır. Anahtar Kelimeler: Güvenlik duvarı, Yeni nesil güvenlik duvarı, Filtreleme Abstract: The new generation firewalls traditional firewall functionality, as well as active content filtering, SSL VPN system, intrusion detection and prevention system (IDS / IPS), bandwidth management, application detection and control system, virus / malicious content control, security, and performance balancing, URL category and are expected to have features such as content filtering. Corporate Internet traffic in order to maintain the high performance of the new generation of safety measures is also required. Of these measures on the basis of the user and the VLAN bandwidth limiting, address filtering, the word-based systems has been widely used as filtration. However, these measures alone may not be effective enough. For this new generation of security measures to limit or block-based applications stand out. Information Technology Department as we sample applications and software and hardware solutions will be presented with information about conditions encountered in this study, IP, port, web address and have tried to provide information about application-based restrictions. Keywords: Firewall, Next-Generation firewall, Filtering. Giriş 2.Geleneksel Güvenlik Önlemleri 1.Ağ Güvenliği ve Önemi Genel özellikler Günümüzde kurumsal ağlardaki veri miktarları her geçen gün artmaktadır. Bunun yanında bu verilerin ilgili kurum ya da kişilerle veya şirketlerle paylaşılması için bilişim ağları genişletilmiştir ve yeni teknolojiler bu yapıya uygulanmıştır. Bu hızlı gelişen ve değişen teknolojiler kurumsal ağlar için bilgi güvenliğini zorunlu kılmaktadır. Firewall (güvenlik duvarı) günümüz ağ sistemlerinde, güvenilir olmayan ağlardan gelecek saldırıları önlemenin ve veri ağının güvenliğini sağlamanın en etkili yolları arasında yer almaktadır. Klasik güvenlik duvarlarında kullanıcı ip bilgisi, kullanılan port ve ulaşılmaya çalışılan ip bilgisinin yanında port/protokol kontrolü, NAT, VPN özellikleri ön plana çıkmaktadır. Geleneksel güvenlik duvarları ağ geçidinde trafiği kaynak ve hedef adreslerine, kullanılan port/servise ve protokole göre izin vermek veya engellemek üzere ayarlanmış cihazlardır. Bu yöntem yeni nesil tehditler ve artan saldırılar sebebiyle yeterliliğini kaybetmektedir. Geleneksel güvenlik duvarlarında ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanmış durumdadır. 1 Geleneksel güvenlik önlemlerinde port, ip bazlı güvenlik kuralları yazılarak engellenmek istenen ip ve ip adresinin geleceği port, dışarıdan içeri doğru basit bir kural yazılarak engellenmekte ya da istek reddedilmektedir. tehlikeli veya kullanılması istenmeyen uygulamaların farklı portlar ile internete erişim sağlaması engellenmiş olur. Geleneksel metotta yetersizliğin hissedildiği noktaların başında uygulama kontrolü gelmektedir. Geleneksel yapılarda sadece port bazlı kısıtlamalar gerçekleştirilebildiğinden izin verilen diğer portlardan uygulamalar çalışabilmektedir. TCP 80 portu üzerinden gelişmiş teknolojilerde birçok uygulama geçebilmektedir ve geleneksel yapıda bunun kontrolü sağlanamamaktadır. Bu uygulamalar ancak Uygulama Kontrol Sensörleri ve IPS imzaları tarafından kontrol edilebilmektedir. 3.Yeni Nesil Güvenlik Önlemleri Şekil.2. Filtreleme kategorileri Yeni nesil güvenlik duvarlarında veri akışının engellenmesi yanında veri trafiğini sınırlamak ve trafiği düzenleyerek etkin olarak kullanılması önem kazanmaktadır. Yeni Nesil Güvenlik duvarının en önemli özelliği trafiği oluşturan uygulamaları tanıyabilen bir mimariye sahip olmasıdır. Bu özellik uygulamaların ayrıştırılmasına ve iş kurallarına göre belirlenmiş kurumsal politikalar oluşturulmasını olanak sağlamaktadır. SSL ve SSH Kontrolü: Üzerinden geçen SSH ve SSL ile şifrelenmiş trafiği tarayabilmektedir. Şifreyi açarak trafiği kontrol edebilme yeteneğine sahiptir. Şifreli trafikten geçen gerçek uygulamayı bulur ve bu uygulamaya göre davrandıktan sonra trafiği tekrar şifreler. Böylece şifreli trafik kullanarak güvenlik duvarını atlatmak isteyen her türlü zararlı uygulama engellenmiş olur. Saldırı Tespit ve Önleme Sistemi (IDS/IPS): Derin trafik analizi sayesinde kurumların ayrı bir IPS cihazı kullanmasına gerek bırakmayacak saldırı tespit etme ve önleme özellikleri içermektedir. Bu sistem Dos ve DDOS koruması, protokol çözümlemesi ve imza tabanlı koruma sağlar. Kullanıcı Veritabanı ile Entegrasyon: Uygulamaları kullanıcı ve grup tabanlı yönetebilmek amacı ile Active Directory ve LDAP ile entegrasyon sağlayabilmektedir. Zararlı Yazılım Filtreleme: Günümüzde son derece önemli bir tehdit haline gelen Spyware ve Malware karşısında korunma amaçlı yazılımlar kullanmak zorunlu hale gelmiştir. Yeni nesil güvenlik duvarları da bu trafiği süzerek koruma sağlamaktadır. Şekil.1. Örnek uygulama güvenlik senaryosu UTM (Unified Threat Management) sistemleri güvenlik sistemi gereksinimlerini tek bir kutuda karşılamış ve kurumlar tarafında maliyeti ve iş gücünü azaltmaktadır. UTM’ler güvenlik işlevlerini çalıştırmak için cihaz içinde sanal motorlar kullanır. Bir veri paketlerinin ağa geçişinin onaylanması için birkaç kez farklı motorlardan geçmesi gerekebilmektedir. Yapılan bu işlem, gecikme süresinin uzamasına ve ağ performansının düşmesine sebep olabilmektedir. Bu sebeple UTM sistemleri tercih noktasında kurumların fiyat / performans değerlendirmesi yaparak uygun tercihi yapmalarını gerektirir. URL Kategori, İçerik Filtreleme: Ulaşılmak istenen URL adresleri belirli kategorilere göre gruplandırılarak bu gruplar ya da grup içindeki ilgili URL adreslerin içerikleri filtrelenebilmektedir. DLP (Data Loss Prevension): Ağ temelli veri sızma denetimi yaparak veri sızıntısını ve veri kaybını önlemek amaçlanmaktadır. 5.Hitit Üniversitesinde Uygulanan Güvenlik Önlemleri 4.Yeni Nesil Güvenlik Cihazları Özellikleri Kurum ağının güvenliği için yeni nesil güvenlik cihazı kullanılmakta ve kurum ağında birbirinden farklı IP havuzları oluşturularak bu havuzlara ilgili güvenlik politikaları uygulanmaktadır. Uygulama Tanımlama ve Filtreleme: Bu özellik yeni nesil güvenlik cihazlarının en önemli özelliklerindendir. Uygulama tanımlama ve uygulamaya göre davranma port / protokol engellemenin bir adım ötesine taşır. Böylece 2 Kenar Switchlerde Güvenlik: Kenar switchlerde Port Security, DHCP snooping, Arp instection vb. özellikler aktif edilerek bu saldırılara karşı önlemler alınmıştır. Vlan Kullanımı: Kurum ağı içinde akademik ve idari birimler alt ağlara bölünerek bu ağların güvenliği sağlanmıştır. Şekil.5. Vlan adreslerine tanımlanan kurallar DMZ Güvenliği: DMZ tarafında bulunan sunucular için hem outside-DMZ ve inside-DMZ kuralları uygulanmaktadır. SSL VPN : Dışarıdan iç ağa erişim için şifreli tünelleme kullanılmaktadır. Bant Genişliği Yönetimi: Kurum ağında bulunan birimlerin kullandığı internet trafiği sınırlandırılmış, hangi uygulama için ne kadar trafiğe izin verileceği belirlenmiştir. Sınırlanan uygulama ya da protokol trafiğin devam etmesi durumunda otomatik olarak bu trafik yarıya düşürülmektedir. Şekil.6. En fazla bant genişliği harcayan URL adresleri Şekil.7. En fazla bloklanan web kategorileri Şekil.3. Bant genişliği analizi Sınırlandırma : Ip ve protokol bazlı internet trafiği sınırlandırması yapılmıştır. Stream ve download trafiği sınırlandırılmıştır. Şekil.8. En fazla zaman geçirilen web alanları 6.Sonuç ve Öneriler Trafik Şekillendirme: İşle ilgili uygulamalara ağda öncelik verilerek Messenger, Skype gibi çok gerekli olmayan uygulamalara düşük bant genişliği ayrılmıştır. Kurum ağını iç ağlara bölerek yönetmek güvenliğin yanı sıra sorun çözümünde de kolaylık sağlamaktadır. İstenmeyen trafik engellenmelidir. Uygulama Kontrolü: Kurum içinde kullanılan Skype, Http Proxy gibi uygulamalara izin verilerek istenmeyen botnet, P2P ve diğer proxy uygulamaları engellenmiştir. Sosyal media ve video uygulamaları ise monitör edilmektedir. sınırlandırılmalı ya da tamamen Kablolu ve kablosuz ağlar için kabul edilebilir kullanım politikaları belirlenmelidir. Filtreleme, sınırlandırma ya da engelleme gibi özellikler kurum ağının güvenliğini artırmak için yapılmalıdır. Çok katı kuralların uygulanması kullanıcılardan gelen geri dönüşleri artıracaktır. Bu sebeple kuralların makul ölçüde planlanması gerekmektedir. İnternet trafiğinin ne amaçla kullanıldığı kurumlar için önemlidir. Şekil.4. Uygulama kontrolü Katagori Sınırlama / Engelleme: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P uygulamalar (Kazaa, bitTorrent, eDonkey, Gnutella vb.) ile risk taşıyan zararlı web sayfalarının yanı sıra reklam, phishing, spam URL ve pornogrofik içerik web kategorileri engellenmiştir. Trafiğin ne amaçla kullanıldığına ilişkin istatistiksel bilgiler çıkarılarak analizler yapılmalıdır. Youtube gibi yüksek bant genişliği harcayan uygulamaları sınırlandırarak video konferans, IP telefon gibi kritik uygulamalara öncelik verilmelidir. 3 Yeni nesil güvenlik politikaları hem kişisel hem de kurumsal internet trafiğini olumlu ölçüde rahatlatırken güvenli bir ağ oluşturulmasına yardımcı olabilir. [2] Labris Networks : http://labrisnetworks.com [3] Mehmet Şahin KURU Kişisel Web Sayfası : http://www.sahinkuru.com.tr Kaynaklar [4] Çözümpark : http://www.cözümpark.com [1] Bilgi Güvenliği Akademisi : http://bga.com.tr 4
© Copyright 2024 Paperzz