[MaSTeR060]

Güvenlik/Firewall

Güvenlik ve kullanılabilirlik aslında birbirine zıt kavramlardır. En güvenli sistem dışarıyla hiçbir bağlantısı olmayan sistemdir. Ancak o zaman da, kullanılabilirliği sıfıra iner. O zaman güvenlik ve kullanılabilirlik dengeli bir şekilde ayarlanmalı ve hem yapmak istediğimiz işi yaparken, hem de güvenliğimizi mümkün olan en üst düzeyde tutmalıyız.

7/24, üstelikte yüksek hızda İnternet’e bağlı bir sistem sürekli tehdit altındadır. Oturup güvenlik loglarına baktığımızda aşağı yukarı her on dakika da bir birilerinin port taraması veya benzeri yöntemlerle sistemimize ulaşmaya çalıştığını görürüz.

ADSL bağlantısına karar veren bir kullanıcı, hele ki bir iş ortamında birden fazla bilgisayarı bağlayacaksa güvenlik konusunu iyice düşünmelidir. Güvenlik çok boyutlu bir konu olduğu için burada ayrıntılı olarak incelememiz mümkün değil. Ancak en azından alacağınız ADSL modemde kolay ayarlanabilir bir firewall olmasına dikkat edin ve modemi kurarken bu firewall’ı inceleyin, varsayılan ayarlarının sizin için yeterli olup olmadığına dikkat edin. Mümkünse, firewall içinde önce tüm iletişimi kısıtlayıp, sonra adım adım kullandığınız servisler için gereken portları (ama sadece gerekenler) açın. Sadece modem üzerindeki firewall’a güvenmeyin, bilgisayarınıza da mutlaka iyi bir firewall ve sürekli güncellenen bir antivirus kurun.

Windows XP kullanıyorsanız Servis Paketi 2’yi yüklemenizi şiddetle tavsiye ediyorum. İşletim sistemi güncellemelerini otomatiğe alın ve sürekli güncel kaldığınızdan emin olun.

Her modemin firewall ayarı farklı farklı olduğu için size standart bir ayar vermem mümkün değil, ancak altta örnek olması için Alcatel Speed Touch ADSL modemin firewall ayarlarını veriyorum. Tabii ki bu benim ihtiyaçlarıma göre ayarlanmış, sizin ki farklı olabilir .



Firewall eğer “Packet Firewall” özelliğine sahipse, sisteme giren ve çıkan her ip paketini inceler ve sizin oluşturduğunuz kurallara göre izin verir veya vermez.

Yukarıdaki listede, kurallar üstten aşağıya doğru taranıyor. Ip paketi bu kurallardan birisine uyuyorsa izin veriliyor, en alttaki kural “drop/iptal etl” komutu ile ile yukarıdan aşağıya doğru hiçbir kurala uymayan paketi siliyor.

İnternet’e bağlı makineların temel servisleri (http, ftp, mail https vb kullanabilmesi için ilk iki kuralı tanımlamışım. Çünkü bu servisler 13-443 arası portları kullanıyorlar. Aşağıda sık kullanılan bazı protokollerin portlarını veriyorum:

HTTP 80

HHTPS 443

FTP 20 ve 21

SMTP 25

POP3 110

NNTP 119

Uzak Masaüstü (Terminal Servisleri) 3389


İlk kuralı inceleyelim:


İkinci kurala bakalım:

Source (paketin geldiği yer)
Lan (yerel ağ)

Destination (paketin gittiği yer)
Wan (İnternet)

Protocol
13-443 arası portlar (tcp)

Action (yapılacak şey)
Accept (izin ver)

İlk kural; yerel ağ’dan gelen, internete doğru 13-443 arası portlara giden tcp paketlerine izin ver diyor.


İkinci kurala bakalım:

Source (paketin geldiği yer)
Wan (İnternet)

Destination (paketin gittiği yer)
Lan (yerel ağ)

Protocol
13-443 arası portlar (tcp)

Action (yapılacak şey)
Accept (izin ver)


İkinci kural ise, birincinin tersi gibi, İnternet’ten 13-443 arası portlardan gelen tcp paketlerinin yerel ağa geçmesine izin ver diyor.

Şimdi bu noktada ufak bir bilgi verelim, bir bilgisayar üzerindeki servislere ilgili servisin portundan bağlanıyoruz. Örneğin web sunuculara 80 numaralı porttan bağlanıyoruz. Ancak aslında web sunucu da bizim bilgisayarımıza 1024-65536 arası rastgele bir porttan bağlantı kuruyor. Firewall, her paketi incelediği için bağlantıya çift yönlü olarak izin vermeliyiz.

Örneğin yerel ağı İnternet’te 80 numaralı porta açmak için aynı zamanda web sunucunun içerideki makinelere doğru erişimini de tanımlamalıyız. Bazı firewall’lar bu geri dönüş bağlantılarını ya hiç kontrol etmezler veya kuralı kendisi otomatik oluştururlar. Biz burada bunu da tanımlamışız.

ADSL modeminiz üzerindeki firewall sizin için yetersizse veya daha ayrıntılı ayarlamalar yapmak istiyorsanız, yerel ağınızla ADSL arasına üzerinde Firewall/Proxy yazılımı (ISA Server gibi) çalışan bir bilgisayar koyup, onun üzerinde çok daha ayrıntılı ayarlamalar yapmanız mümkün olabilir.

Nat/Pat
Yok, yok bir yazım hatası söz konusu değil, bu bölümün başlığı gerçekten nat/pat. Hayır, size saçma bir Japon çizgi filminden bahsedecek değilim, nat ve pat bizim işimize yarayan ağ teknolojilerinin isimleri ve birazdan kısaca tanıyacağız.

Nat, Network Address Translation kelimelerinin kısaltması. Bunu "ağ adresi çevrimi" gibi Türkçeleştirebiliriz. Nat şöyle ortaya çıkmış, 90'lı yılların sonlarına doğru, ip adres blokları hızla tükenmeye başlamış. Yani A, B ve C sınıfı gerçek ip adresleri İnternet'in çok hızlı büyümesiyle, isteyen kurum ve kuruluşlara dağıtıldıkça bu gidişle dağıtılacak ip adresi kalmayacağı farkedilmiş. 100-150 Pc'den oluşan bir bilgisayar ağının İnternete çıkabilmesi için her bir Pc'ye ayrı ve gerçek bir IP adresi vermek yerine, İnternet ile yerel ağ arasında aracılık görevi gören bir yönlendiricinin gerçek IP adresine sahip olması ile tüm yerel ağın İnternet'e çıkabileceği nat sistemi geliştirilmiş.



Yerel ağdaki bilgisayarlar Nat yapan bilgisayarı/yönlendiriciyi varsayılan ağ geçidi olarak görürler. Böylece İnternet'e doğru her paketi bu cihaza yollarlar. Nat yapan makina, kendine gelen bu IP paketlerinin "kaynak IP adresi" bölümünü değiştirip, kendisinin gerçek IP adresini yazar ve İnternet'e gönderir. Bu paketin cevabı İnternet'ten geldiğinde de, en başta bu paketi gönderen yerel ağdaki PC'ye bu paketi iletir. Böylece yerel ağdaki bilgisayarlar kendileri gerçek bir İnternet IP adresine sahip olmasalar da, İnternet'e çıkabilmiş olurlar.

Pat, "Port Adress Translation" ise Nat yapan yönlendiricilerin yapabildikleri diğer bir iştir. Eğer İnternet üzerinden iç ağa doğru beklenmeyen (yani iç ağdan yapılmış bir isteğin cevabı olarak değil) bir talep gelirse, Pat yapan yönlendirici önceden ayarlandığı gibi bu isteği içerideki bir bilgisayara iletir.

Örneğin, sizin iç ağda 10.0.0.1 gibi bir IP adresine sahip bir web sunucunuz varsa ve İnternet'ten bu bilgisayarın üzerindeki web sitesine ulaşılabilmesini istiyorsanız, aradaki yönlendirici cihazda (ADSL router mesela) Pat ayarlarını yaparsınız.

"Dışarıdan (İnternet'ten) 80 numaralı porta gelen istekleri, iç ağdaki 10.0.0.1 IP adresine sahip bilgisayarın 80 numaralı portuna yolla" dersiniz

[kamilkaya]

linkler için çok solun arkadaşlar

[●[öмєя]●]

Paylasım için saol TŞK

[baran_7]

tşklerrrrrrrr

[BeR1]

eyw kardes emegi,ne saglık

[tufan34]

ellerine saglık teşekkürler

[metriks44]

teşekkürler dostum saol

[webcimurat]

paylaşım için çook teşekkürler...

[hakan_63]

teşekkürler arkadaşım güzel paylaşım

[torpedo]

emeğine sağlık

[ssaygi]

paylaşım için teşekkürler

[cilgin99]

emegine saglık