Firewall Nedir?

**Prof. Dr. Sinsi** · 07-31-2012

Firewall Nedir?

Her yerde görürüz, duyarız bu firewall’u

Ama çoğumuz firewall nedir, ne değildir bilmez

Bu yazıda firewall hakkında temel bilgiler yer almaktadır

Bilgisyar dünyasına yeni girenlerin sık sık duyduğu ancak ne olduğunu pek bilmediği bir terimdir "Firewall"

Kelime olarak "ateş duvarı" demektir

Aslında bu isim onun görevini tam olarak açıklamaktadır

Sizi dışarıdan gelen saldırılardan (ateş toplarından) korur

Tabi aynı zamanda sizin dışarıda istediğiniz internet ortamına erişmenize izin verir

Bilgisayar dünyasında önemli olan kullanıcının rahatı bozulmadan bilgisyarı mümkün olduğunca korumaktır

Yoksa "En güvenli sistem, fişi çekili sistemdir" sözü güvenlik konusunu yeterince açıklar

Mesela bir örnek vererek Firewall’un sizi nasıl koruduğunu anlatıyım, daha sonrasında ayrıntıları ile inceleyeceğiz

İnternet dünyasında; bir bilginin, bir bilgisayardan bir diğerine gitmesi için arada bir bağlantı kurulması gerekmektedir

Bu bağlantıya "socket" denir

"socket" in yapısına bakarsak çok daha anlamlı olur

Bir socket 4 ana parçadan oluşur: "hedef bilgisayarın ip numarası" : "hedef bilgisayarın port numarası" : "kaynak bilgisayarın ip numarası" : "kaynak bilgisayarın port numarası"

Buradaki "ip&q
uot; numaraları bütün "internet"te bilgisayarın bulunmasını sağlamaktadır

Port numarısı ise, o verinin, o bilgisayarda hangi uygulamaya gönderileceğini belirler

Bu socket yapısı sayesinde bir bilgisayardan aynı anda birden fazla bağlantı yapılabilmektedir

Düşünsenize bu yapı olmasaydı google’a bağlanmak için sıraya girip saatlerce beklememiz gerekirdi

Bu dört sayı, iki bilgisayar arasındaki bağlantıyı tanımlar

mesela internete bağlandınız ip’niz "85

12

45

67" ve www

google

com ’a bağlanmak istiyorsunuz

google’ın ip’si sallıyorum "45

65

12

34" olsun

sonuçta bir web sayfasına bağlanıyoruz, dolayısı ile biz google’ın "80" portuna bağlanmak istiyoruz

Genelde hedef portu biliriz, kaynak port ise işletim sistemi tarafından o anda uygun olan bir port tahsis edilir

sonuç itibari ile şöyle bir durum oluşur

"45

65

12

34" + "80" + "85

12

45

67" + "13543&qu
ot;
"hedef ip" + "hedef port" + "kaynak ip" + "kaynak port"

"13543" portu işletim sistemi tarafından otomatik olarak verilir

Bu paket internette bir yerden başka bir yere giderken paketin kimden kime gittiği bilinir ve ona göre uygun yollardan gider

işte bu 4 tane sayı bizim kendi bilgisayarımızdan google’a olan bağlantımızı tanımlayan socket’i oluşturur

Fireall sizin ile internet arasında bulunan bir makina veya bir program olabilir

Sonuç itibari ile sizin internete gönderdiğiniz ve internette sizen gelen bütün paketler bu makina veya yazılım üzerinden geçmektedir

Bu sistemi ayarlayan yani yöneten kişi, google’a erişilmemesini istediği taktirde, socket’lerden içerisinde google’un ip’si "45

65

12

34" bulunan paketleri internete iletmemesini ve "45

65

12

34" adresinden gelen cevapları içeriye iletmemesini ayarlar

bu sayede google’a erişiminiz yasaklanmış olur

ip ile benze olarak çeşitli port numaraları da yasaklanabilir

kullandığımız çoğu uygulamanın kendilerine özgü port numaraları vardır

örneğin bir internet sayfasını açmak istediğinizde bilgisayarınızdaki "web browser&quo
t;, "http" protokolünü kullanarak ls-labs

com adresini bağlanır

http protokolünün default port numarası "80"dir

yani sizin browser’ınız "http"yi görünce karşıdaki bilgisayarın "80" portuna bağlanarak oradan web sayfasını ister

aynı şekilde ftp://www

ls-labs

com adresine bağlanmak istediğinizde "ftp"yi görünce karşıdaki bilgisayarın "21" portuna bağlanarak çalışır

benzer şekilde "icq"nun portu "5190"
;, &
quot;telnet" 23, "pop3" 110 ve diğerler bağlantı türleri de buna benzer port numaraları kullanırlar örnekler aynı şekilde firewall’u yöneten kişi icq’yu yasaklamak için sadece 5190 portunu yasaklar bu sayede, icq bağlantıları engellenmiş olur

normal zamanda firewall dışarıdan içeriye gelen istekleri kabul etmez, ancak siz bir yere bağlantı kurmak için içeriden karşıdaki bilgisayara "bağlantı açma isteği" gönderdiğinizde, oluşan socket’teki "hedef ip" ve "hedef port"tan sizin bilgisayarınızın, "kaynak ip" ve "jaynak portu"na bilgi gelmesine izin verir

bağlantı sonlandığında ise tekrar bu izni hafızasından siler

dolayısıyla her firewall, bu bilgileri tutmak için içerisinde bir belleğe ihtiyaç duymaktadır

buraya kadar olan kısım firewall’un ne olduğu idi

şimdi sıra geldi firewall’un ne olmadığına

Daha önce belirttiğim gibi firewall normalde dışarıdan sizin bigisayarınıza gelen bağlantı isteklerini engeller, takii sizin bilgisayarınız bir bağlantı isteğinde bulunana kadar

işte sorun burada oluşuyor, eğer bir virus çeşitli port’lardan bağlantı isteklerinde bulunursa, firewall bu portlardan gelecek olan verileri engellemez, zira ona göre bu bağlantılar tamamen legal görünmektedir

buradaki çözüm de her programın ayrı ayrı izin tablolarının tutulması olmuştur ve günümüzde ServicePack2 ile gelen firewall da bu şekildedir

aynı şekilde normalde "80" portu web için kullanılmaktadır

ancak birisi icq bağlantısını &q
uot;80" portundan çalışacak şekilde ayarlar ise ve firewall’u yöneten kişi sadece "5190" portunu kapatarak icq’yu durdurabileceğine inanan birisi ise 80 portundan yapılan icq bağlantısı çok da güzel olarak çalışır, tabii ki bunun için icq server’larının 5190 portu yerine 80 portundan dinlemeleri veya 80 portundan gelen istekleri aynen 5190 portuna gelmiş gibi değerlendirmeleri gerekir

firewall, engellemelerini socket içerisinde bulunan bilgiler doğrultusunda yapabilir

yoksa içerisinde geçen bir metin’e göre engelleme vb yapamaz

protokol tabanlı sınırlarmaları yapamaz, sadece o protokol’e has olan port numarısını engelleyebilir ve bu bir çözüm değildir, bir proxy ile desteklendiği taktirde tam bir denetim halini almaktadır

her sistem gibi firewall’ların da açıkları olabilmektedir ve uzaktan veya içerideki bir virus sebebiyle çökebilmektedirler

dışarıdan yapılan bu saldırıların genel şekli çok fazla bağlantı isteği yaparak firewall’un bütün zamanını bu istekleri değerlendirip ret etmek ile geçirerek içerideki kullanıcılara cevap verememesini sağlamaktır

bu saldırıya "DOS (Deny Of Service) attack" denir

içeriden yapılan saldırılar ise, hem DOS attack hem de aşırı sayıda bağlantı oluşturmak olarak iki şekilde yapılabilir

birincisi, dışarıdan yapılan saldırı ile aynıdır

ikincisi ise firewall’un ayarlarına göre başarılı olabilir veya DOS attack gibi service’in durmasına neden olabilir

hatırlarsanız her firewall’un içerisinde bağlantıları tutmak için bir belleği vardır

içeriden yapılacak çok sayıdaki bağlantı sonucunda bu bellek dolar ve firewall ayarlarına göre ya service durmasın diye her gelen isteğe izin verir, veya güvenlik amaçlı olarak hiçbir bağlantıya izin vermiyor ve sistem bağlantı isteklerini geri çeviriyor

örneğin sizin evinizde bulunan bir adsl modeminiz olsun ve onun içerisinde bir firewall olsun

dışarıdan yapılan bir DOS attack sonucu sizin internetiniz durma noktasına gelebilir ve firewall’un iyi bir yazılıma sahip olmaması sonucunda bütün bağlantılara izin verebilir ve sizi bütün dünyanın bağlantı yapabileceği bir hale getirir

aynı şey büyük bir şirkette olduğunda o şirket, firewall’un kapatılıp açılması süresince veya DOS attack sonucu hizmet veremediği süre boyunca inanılmaz bir prestij kaybına uğramaktadır

07-31-2012	#1
Prof. Dr. Sinsi	Firewall Nedir? Firewall Nedir? Her yerde görürüz, duyarız bu firewall’u Ama çoğumuz firewall nedir, ne değildir bilmez Bu yazıda firewall hakkında temel bilgiler yer almaktadır Bilgisyar dünyasına yeni girenlerin sık sık duyduğu ancak ne olduğunu pek bilmediği bir terimdir "Firewall" Kelime olarak "ateş duvarı" demektir Aslında bu isim onun görevini tam olarak açıklamaktadır Sizi dışarıdan gelen saldırılardan (ateş toplarından) korur Tabi aynı zamanda sizin dışarıda istediğiniz internet ortamına erişmenize izin verir Bilgisayar dünyasında önemli olan kullanıcının rahatı bozulmadan bilgisyarı mümkün olduğunca korumaktır Yoksa "En güvenli sistem, fişi çekili sistemdir" sözü güvenlik konusunu yeterince açıklar Mesela bir örnek vererek Firewall’un sizi nasıl koruduğunu anlatıyım, daha sonrasında ayrıntıları ile inceleyeceğiz İnternet dünyasında; bir bilginin, bir bilgisayardan bir diğerine gitmesi için arada bir bağlantı kurulması gerekmektedir Bu bağlantıya "socket" denir "socket" in yapısına bakarsak çok daha anlamlı olur Bir socket 4 ana parçadan oluşur: "hedef bilgisayarın ip numarası" : "hedef bilgisayarın port numarası" : "kaynak bilgisayarın ip numarası" : "kaynak bilgisayarın port numarası" Buradaki "ip&q uot; numaraları bütün "internet"te bilgisayarın bulunmasını sağlamaktadır Port numarısı ise, o verinin, o bilgisayarda hangi uygulamaya gönderileceğini belirler Bu socket yapısı sayesinde bir bilgisayardan aynı anda birden fazla bağlantı yapılabilmektedir Düşünsenize bu yapı olmasaydı google’a bağlanmak için sıraya girip saatlerce beklememiz gerekirdi Bu dört sayı, iki bilgisayar arasındaki bağlantıyı tanımlar mesela internete bağlandınız ip’niz "85124567" ve wwwgooglecom ’a bağlanmak istiyorsunuz google’ın ip’si sallıyorum "45651234" olsun sonuçta bir web sayfasına bağlanıyoruz, dolayısı ile biz google’ın "80" portuna bağlanmak istiyoruz Genelde hedef portu biliriz, kaynak port ise işletim sistemi tarafından o anda uygun olan bir port tahsis edilir sonuç itibari ile şöyle bir durum oluşur "45651234" + "80" + "85124567" + "13543&qu ot; "hedef ip" + "hedef port" + "kaynak ip" + "kaynak port" "13543" portu işletim sistemi tarafından otomatik olarak verilir Bu paket internette bir yerden başka bir yere giderken paketin kimden kime gittiği bilinir ve ona göre uygun yollardan gider işte bu 4 tane sayı bizim kendi bilgisayarımızdan google’a olan bağlantımızı tanımlayan socket’i oluşturur Fireall sizin ile internet arasında bulunan bir makina veya bir program olabilir Sonuç itibari ile sizin internete gönderdiğiniz ve internette sizen gelen bütün paketler bu makina veya yazılım üzerinden geçmektedir Bu sistemi ayarlayan yani yöneten kişi, google’a erişilmemesini istediği taktirde, socket’lerden içerisinde google’un ip’si "45651234" bulunan paketleri internete iletmemesini ve "45651234" adresinden gelen cevapları içeriye iletmemesini ayarlar bu sayede google’a erişiminiz yasaklanmış olur ip ile benze olarak çeşitli port numaraları da yasaklanabilir kullandığımız çoğu uygulamanın kendilerine özgü port numaraları vardır örneğin bir internet sayfasını açmak istediğinizde bilgisayarınızdaki "web browser&quo t;, "http" protokolünü kullanarak ls-labscom adresini bağlanır http protokolünün default port numarası "80"dir yani sizin browser’ınız "http"yi görünce karşıdaki bilgisayarın "80" portuna bağlanarak oradan web sayfasını ister aynı şekilde ftp://wwwls-labscom adresine bağlanmak istediğinizde "ftp"yi görünce karşıdaki bilgisayarın "21" portuna bağlanarak çalışır benzer şekilde "icq"nun portu "5190" ;, & quot;telnet" 23, "pop3" 110 ve diğerler bağlantı türleri de buna benzer port numaraları kullanırlar örnekler aynı şekilde firewall’u yöneten kişi icq’yu yasaklamak için sadece 5190 portunu yasaklar bu sayede, icq bağlantıları engellenmiş olur normal zamanda firewall dışarıdan içeriye gelen istekleri kabul etmez, ancak siz bir yere bağlantı kurmak için içeriden karşıdaki bilgisayara "bağlantı açma isteği" gönderdiğinizde, oluşan socket’teki "hedef ip" ve "hedef port"tan sizin bilgisayarınızın, "kaynak ip" ve "jaynak portu"na bilgi gelmesine izin verir bağlantı sonlandığında ise tekrar bu izni hafızasından siler dolayısıyla her firewall, bu bilgileri tutmak için içerisinde bir belleğe ihtiyaç duymaktadır buraya kadar olan kısım firewall’un ne olduğu idi şimdi sıra geldi firewall’un ne olmadığına Daha önce belirttiğim gibi firewall normalde dışarıdan sizin bigisayarınıza gelen bağlantı isteklerini engeller, takii sizin bilgisayarınız bir bağlantı isteğinde bulunana kadar işte sorun burada oluşuyor, eğer bir virus çeşitli port’lardan bağlantı isteklerinde bulunursa, firewall bu portlardan gelecek olan verileri engellemez, zira ona göre bu bağlantılar tamamen legal görünmektedir buradaki çözüm de her programın ayrı ayrı izin tablolarının tutulması olmuştur ve günümüzde ServicePack2 ile gelen firewall da bu şekildedir aynı şekilde normalde "80" portu web için kullanılmaktadır ancak birisi icq bağlantısını &q uot;80" portundan çalışacak şekilde ayarlar ise ve firewall’u yöneten kişi sadece "5190" portunu kapatarak icq’yu durdurabileceğine inanan birisi ise 80 portundan yapılan icq bağlantısı çok da güzel olarak çalışır, tabii ki bunun için icq server’larının 5190 portu yerine 80 portundan dinlemeleri veya 80 portundan gelen istekleri aynen 5190 portuna gelmiş gibi değerlendirmeleri gerekir firewall, engellemelerini socket içerisinde bulunan bilgiler doğrultusunda yapabilir yoksa içerisinde geçen bir metin’e göre engelleme vb yapamaz protokol tabanlı sınırlarmaları yapamaz, sadece o protokol’e has olan port numarısını engelleyebilir ve bu bir çözüm değildir, bir proxy ile desteklendiği taktirde tam bir denetim halini almaktadır her sistem gibi firewall’ların da açıkları olabilmektedir ve uzaktan veya içerideki bir virus sebebiyle çökebilmektedirler dışarıdan yapılan bu saldırıların genel şekli çok fazla bağlantı isteği yaparak firewall’un bütün zamanını bu istekleri değerlendirip ret etmek ile geçirerek içerideki kullanıcılara cevap verememesini sağlamaktır bu saldırıya "DOS (Deny Of Service) attack" denir içeriden yapılan saldırılar ise, hem DOS attack hem de aşırı sayıda bağlantı oluşturmak olarak iki şekilde yapılabilir birincisi, dışarıdan yapılan saldırı ile aynıdır ikincisi ise firewall’un ayarlarına göre başarılı olabilir veya DOS attack gibi service’in durmasına neden olabilir hatırlarsanız her firewall’un içerisinde bağlantıları tutmak için bir belleği vardır içeriden yapılacak çok sayıdaki bağlantı sonucunda bu bellek dolar ve firewall ayarlarına göre ya service durmasın diye her gelen isteğe izin verir, veya güvenlik amaçlı olarak hiçbir bağlantıya izin vermiyor ve sistem bağlantı isteklerini geri çeviriyor örneğin sizin evinizde bulunan bir adsl modeminiz olsun ve onun içerisinde bir firewall olsun dışarıdan yapılan bir DOS attack sonucu sizin internetiniz durma noktasına gelebilir ve firewall’un iyi bir yazılıma sahip olmaması sonucunda bütün bağlantılara izin verebilir ve sizi bütün dünyanın bağlantı yapabileceği bir hale getirir aynı şey büyük bir şirkette olduğunda o şirket, firewall’un kapatılıp açılması süresince veya DOS attack sonucu hizmet veremediği süre boyunca inanılmaz bir prestij kaybına uğramaktadır