Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Transkript

1 Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme Hitit Üniversitesi Bilgi İşlem Daire Başkanlığı, Çorum Özet: Yeni nesil güvenlik duvarlarında geleneksel güvenlik duvarı özelliğinin yanı sıra etkin içerik filtreleme, SSL VPN sistemi, saldırı tespit ve engelleme sistemi (IDS/IPS), bant genişliği yönetimi, uygulama tanıma ve kontrolü sistemi, Virüs/zararlı içerik kontrolü, güvenlik ve performansı dengeleme, URL kategori ve içerik filtreleme gibi özelliklerinin olması beklenmektedir. Kurumsal internet trafiğinin performansının yüksek tutulabilmesi için yeni nesil güvenlik önlemlerinin alınması da gerekmektedir. Bu önlemler arasında kullanıcı ve Vlan bazında bant genişliğinin sınırlandırılması, adres filtreleme, kelime bazlı filtreleme gibi sistemleri yaygın olarak kullanılmaktadır. Ancak tek başına alınan bu önlemler yeterince etkin olmayabilmektedir. Bunun için yeni nesil güvenlik önlemlerinden uygulama bazlı sınırlandırma ya da engelleme öne çıkmaktadır. Bilgi İşlem Daire Başkanlığı olarak yaptığımız örnek uygulamalar ve yazılım donanım çözümleri ve karşılaşılan durumlar hakkında bilgilerin sunulacağı bu çalışmada Ip, port, web adresi ve uygulama bazlı sınırlandırmalar hakkında bilgiler verilmeye çalışılmıştır. Anahtar Kelimeler: Güvenlik duvarı, Yeni nesil güvenlik duvarı, Filtreleme Abstract: The new generation firewalls traditional firewall functionality, as well as active content filtering, SSL VPN system, intrusion detection and prevention system (IDS / IPS), bandwidth management, application detection and control system, virus / malicious content control, security, and performance balancing, URL category and are expected to have features such as content filtering. Corporate Internet traffic in order to maintain the high performance of the new generation of safety measures is also required. Of these measures on the basis of the user and the VLAN bandwidth limiting, address filtering, the word-based systems has been widely used as filtration. However, these measures alone may not be effective enough. For this new generation of security measures to limit or block-based applications stand out. Information Technology Department as we sample applications and software and hardware solutions will be presented with information about conditions encountered in this study, IP, port, web address and have tried to provide information about application-based restrictions. Keywords: Firewall, Next-Generation firewall, Filtering. 1. Ağ Güvenliği ve Önemi 149 Günümüzde kurumsal ağlardaki veri miktarları her geçen gün artmaktadır. Bunun yanında bu verilerin ilgili kurum ya da kişilerle veya şirketlerle paylaşılması için bilişim ağları genişletilmiştir ve yeni teknolojiler bu yapıya uygulanmıştır. Bu hızlı gelişen ve değişen teknolojiler kurumsal

2 Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme ağlar için bilgi güvenliğini zorunlu kılmaktadır. Firewall (güvenlik duvarı) günümüz ağ sistemlerinde, güvenilir olmayan ağlardan gelecek saldırıları önlemenin ve veri ağının güvenliğini sağlamanın en etkili yolları arasında yer almaktadır. 2. Geleneksel Güvenlik Önlemleri Genel özellikler Klasik güvenlik duvarlarında kullanıcı ip bilgisi, kullanılan port ve ulaşılmaya çalışılan ip bilgisinin yanında port/protokol kontrolü, NAT, VPN özellikleri ön plana çıkmaktadır. Geleneksel güvenlik duvarları ağ geçidinde trafiği kaynak ve hedef adreslerine, kullanılan port/servise ve protokole göre izin vermek veya engellemek üzere ayarlanmış cihazlardır. Bu yöntem yeni nesil tehditler ve artan saldırılar sebebiyle yeterliliğini kaybetmektedir. Geleneksel güvenlik duvarlarında ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanmış durumdadır. Geleneksel güvenlik önlemlerinde port, ip bazlı güvenlik kuralları yazılarak engellenmek istenen ip ve ip adresinin geleceği port, dışarıdan içeri doğru basit bir kural yazılarak engellenmekte ya da istek reddedilmektedir. Geleneksel metotta yetersizliğin hissedildiği noktaların başında uygulama kontrolü gelmektedir. Geleneksel yapılarda sadece port bazlı kısıtlamalar gerçekleştirilebildiğinden izin verilen diğer portlardan uygulamalar çalışabilmektedir. TCP 80 portu üzerinden gelişmiş teknolojilerde birçok uygulama geçebilmektedir ve geleneksel yapıda bunun kontrolü sağlanamamaktadır. Bu uygulamalar ancak Uygulama Kontrol Sensörleri ve IPS imzaları tarafından kontrol edilebilmektedir. 3. Yeni Nesil Güvenlik Önlemleri Yeni nesil tehditler ve artış gösteren saldırılar sebebi ile daha detaylı güvenlik ihtiyacı ortaya çıkmıştır. Veri akışının engellenmesi yanında veri trafiğini sınırlamak ve trafiği düzenleyerek etkin olarak kullanılması önem kazanmaktadır. Bu ihtiyaçlar sebebi ile Yeni Nesil Güvenlik duvarları ortaya çıkmıştır. Yeni Nesil Güvenlik duvarının en önemli özelliği trafiği oluşturan uygulamaları tanıyabilen bir mimariye sahip olmasıdır. Bu özellik uygulamaların ayrıştırılmasına ve iş kurallarına göre belirlenmiş kurumsal politikalar oluşturulmasını olanak sağlamaktadır. Şekil.1. Örnek uygulama güvenlik senaryosu [1] 150

3 Örnek olarak Şekil.1. de görüldüğü gibi bir güvenlik senaryosu düşünecek olursak merkeze DDOS koruma, IPS, merkezi bir firewall ve Sunucu ve kullanıcı bilgisayarları önüne ise her sistem için özel olarak yapılandırılmış güvenlik çözümleri konumlandırılması gerekmektedir. Yeni Nesil Güvenlik duvarları bu özelliklerin hemen hemen hepsini içerisinde barındıran bir yapıya sahip olmakla beraber her sistem için ayrı bir maliyet, yönetim ve uygulama güçlüğü sorunlarını ortadan kaldırmaktadır. UTM (Unified Threat Management) sistemleri güvenlik sistemi gereksinimlerini tek bir kutuda karşılamış ve kurumlar tarafında maliyeti ve iş gücünü azaltmaktadır. UTM ler güvenlik işlevlerini çalıştırmak için cihaz içinde sanal motorlar kullanır. Bir veri paketlerinin ağa geçişinin onaylanması için birkaç kez farklı motorlardan geçmesi gerekebilmektedir. Yapılan bu işlem, gecikme süresinin uzamasına ve ağ performansının düşmesine sebep olabilmektedir. Bu sebeple UTM sistemleri tercih noktasında kurumların fiyat / performans değerlendirmesi yaparak uygun tercihi yapmalarını gerektirir [2]. 4. Yeni Nesil Güvenlik Cihazları Özellikleri Uygulama Tanımlama ve Filtreleme: Bu özellik yeni nesil güvenlik cihazlarının en önemli özelliklerindendir. Uygulama tanımlama ve uygulamaya göre davranma port / protokol engellemenin bir adım ötesine taşır. Böylece tehlikeli veya kullanılması istenmeyen uygulamaların farklı portlar ile internete erişim sağlaması engellenmiş olur. SSL ve SSH Kontrolü: Üzerinden geçen SSH ve SSL ile şifrelenmiş trafiği tarayabilmektedir. Şifreyi açarak trafiği kontrol edebilme yeteneğine sahiptir. Şifreli trafikten geçen gerçek uygulamayı bulur ve bu uygulamaya göre davrandıktan sonra trafiği tekrar şifreler. Böylece şifreli trafik kullanarak güvenlik duvarını atlatmak isteyen her türlü zararlı uygulama engellenmiş olur. Şekil.2. Filtreleme kategorileri Saldırı Tespit ve Önleme Sistemi (IDS/IPS): Derin trafik analizi sayesinde kurumların ayrı bir IPS cihazı kullanmasına gerek bırakmayacak saldırı tespit etme ve önleme özellikleri içermektedir. Bu sistem Dos ve DDOS koruması, protokol çözümlemesi ve imza tabanlı koruma sağlar. Kullanıcı Veritabanı ile Entegrasyon: Uygulamaları kullanıcı ve grup tabanlı yönetebilmek amacı ile Active Directory ve LDAP ile entegrasyon sağlayabilmektedir. Zararlı Yazılım Filtreleme: Günümüzde son derece önemli bir tehdit haline gelen Spyware ve Malware karşısında korunma amaçlı yazılımlar kullanmak zorunlu hale gelmiştir. Yeni nesil güvenlik duvarları da bu trafiği süzerek koruma sağlamaktadır [3]. URL Kategori, İçerik Filtreleme: Ulaşılmak istenen URL adresleri belirli kategorilere göre gruplandırılarak bu gruplar ya da grup içindeki ilgili URL adreslerin içerikleri filtrelenebilmektedir. DLP (Data Loss Prevension): Ağ temelli veri sızma denetimi yaparak veri sızıntısını ve veri kaybını önlemek amaçlanmaktadır [4]. 151

4 Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme 5. Hitit Üniversitesinde Uygulanan Güvenlik Önlemleri Kurum ağının güvenliği için yeni nesil güvenlik cihazı kullanılmakta ve kurum ağında birbirinden farklı IP havuzları oluşturularak bu havuzlara ilgili güvenlik politikaları uygulanmaktadır. Kenar Switchlerde Güvenlik: Switchler üzerinde sınırlı sayıda mac adresi kayıt altına alınabilir. Eğer kenar switchlerde bir güvenlik önlemi kullanılmıyorsa bu durum bir saldırgan için atak yapılabilecek bir açık olarak değerlendirilebilir. Switche bağlı kişi çok kısa sürede çokça kez mac adresini değiştirerek Dhcp sunucusundan IP isteğinde bulunur, bu sayede hem Dhcp havuzunu hem de switch üzerindeki mac adres tablosunu doldurabilir. Switch üzerindeki mac addreslerinin tutulduğu veritabanı dolunca switch artık hub olarak görev yapmaya başlar. Artık switch üzerindeki tüm trafik dinlenebilecek duruma gelir. Bu sebeple kenar switchlerde güvenlik önlemlerinin alınması gerekmektedir [5]. Böyle bir durumla karşılaşmamak için kenar switchlerde Port Security, DHCP snooping, Arp instection vb. özellikler aktif edilerek saldırılarak karşı güvenlik önlemleri alınmıştır. Vlan Kullanımı: Kurum ağı içinde akademik ve idari birimler alt ağlara bölünerek hem broadcast trafiği azaltılmış hem de alt ağların güvenliği sağlanmıştır. Firewall üzerinde yazılan kurallar bu Vlanlara tanımlanmıştır. DMZ Güvenliği: DMZ tarafında bulunan sunucular için outside-dmz ve inside-dmz kuralları ayrı ayrı uygulanmaktadır. SSL VPN: Dışarıdan iç ağa erişim için şifreli tünelleme kullanılmaktadır. Bant Genişliği Yönetimi: Kurum ağında bulunan birimlerin kullandığı internet trafiği sınırlandırılmış, hangi uygulama için ne kadar trafiğe izin verileceği belirlenmiştir. Sınırlanan uygulama ya da protokol trafiğin devam etmesi durumunda otomatik olarak bu trafik yarıya düşürülmektedir. Şekil.4. Bant genişliği analizi Sınırlandırma: Ip ve protokol bazlı internet trafiği sınırlandırması yapılmıştır. Yüksek bant genişliği kullanan Stream ve download trafikleri sınırlandırılmıştır. Trafik Şekillendirme: İşle ilgili uygulamalara ağda öncelik verilerek Messenger, Skype gibi çok fazla kullanılmayan uygulamalara düşük bant genişliği ayrılmıştır. Şekil.3. Kenar switchlerde alınan güvenlik önlemleri Uygulama Kontrolü: Kurum içinde kullanılan Skype, Http Proxy gibi uygulamalara izin verilerek istenmeyen botnet, P2P ve diğer proxy uygulamaları engellenmiştir. Sosyal media ve video uygulamaları ise monitör edilmektedir. 152

5 En fazla bant genişliği harcayan URL adresi olarak mail.ru öne çıkmaktadır. Şekil.5. Uygulama kontrolü Katagori Sınırlama / Engelleme: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P uygulamalar (Kazaa, bittorrent, edonkey, Gnutella vb.) ile risk taşıyan zararlı web sayfalarının yanı sıra reklam, phishing, spam URL ve pornogrofik içerik web kategorileri engellenmiştir. Uygulanan bu yöntem Vlanlara göre değişiklik gösterebilmektedir. Şekil.8. En fazla bloklanan web kategorileri Engellenen kategorilere bakıldığında ise son bir hafta içinde en fazla reklamların engellendiği görülmüştür. Şekil.9. En fazla zaman geçirilen web alanları Şekil.6. Vlan adreslerine tanımlanan kurallar 6. Analiz Güvenlik duvarını kurallar yazmak değil aynı zamanda iyi bir şekilde yönetmek gerekir. Yönetim için ise ağ haritasının çıkarılarak o ağda neler olup bittiğinin analizinin yapılması gerekmektedir. Yapılan analizler sonucunda gerekiyorsa kurallar revize edilmelidir. Kurum güvenlik duvarında uyguladığımız kurallar sonucunda analizler yapılmıştır. Son bir haftayı kapsayan analizler sonucunda ise elde edilen sonuçlar çıkarılmıştır. Personellerin son bir hafta içinde en fazla facebook URL adreslerinde zaman geçirildiği gözlemlenmiştir. Bu analizler sonucunda ilgili kurallarda değişiklik yapılarak bant genişliğinin daha verimli kullanılması sağlanmıştır. 7. Güvenlik Duvarı Seçiminde Dikkat Edilmesi Gereken Hususlar Networklerin güvenliğini sağlamak için birçok ürün piyasa bulunmaktadır. Bu ürünler network yapısının büyüklüğüne ve ihtiyacına göre değişiklik göstermektedir. Geniş yelpazesi olan ürünler içinden ihtiyaca göre en uygununu seçmek için aşağıdaki hususlara dikkat edilmesi gerekmektedir. Şekil.7. En fazla bant genişliği harcayan URL adresleri 153 Kullanım ve Konfigürasyon Kolaylığı: Bir cihazın ara yüzü ne kadar karmamış olursa yönetim ve müdahale de o kadar zorlaşacaktır. Bu sebeple tercih edilecek firewall kolay bir şekilde yönetilebilmeli, yönetim ve konfigürasyon bakımından karmaşık bir yapıda olmamalıdır. Gerektiğinde kurallar rahat bir şekilde yazılabilmeli ve değiştirilebilmelidir.

6 Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme Performans: Güvenlik duvarı, kullanıcıların ağ üzerindeki iletişimini mümkün olduğunca az yavaşlatmalıdır. Bunun için sistemin hızlı çalışıyor olması gerekmektedir. Çözümün uygulanacağı ağda ne kadar reel veri akışı olacağı, birim zamanda kaç kullanıcının internete çıkacağı ve kaç bağlantının oluşacağı hesaplanmalı ya da tahmin edilmelidir. Güvenlik duvarında yazılacak kurallar ve verilen servisler arttıkça gereken işlemci gücü artacaktır. Bu sebeple firewall seçiminde performans faktörü en kritik noktaların başında gelmektedir. Ölçeklenebilirlik: Artan ihtiyaçlar da göz önünde bulundurularak, sistemin bir kaç senelik plan içinde yeni koşullara ayak uydurabilmesi için genişletilebilirdik özelliklerini destekleyip desteklemediği de incelenmelidir. firewall cihazına ne kadar süre boyunca destek verdiği öğrenilmelidir. Karşılaşılabilecek problemlere en hızlı şekilde müdahale edilmesi gerekmektedir. Firmanın müdahale anlamında yeterli deneyime ve teknik donanıma sahip birden fazla personele sahip olması önemlidir. Mümkünse hizmeti satan firma tarafından kurulum yapılmalı ve kurum personellerine kurulum ve bakım konusunda yeterli eğitim verilmelidir [6]. 8. Sonuç ve Öneriler Kurum ağını iç ağlara bölerek yönetmek güvenliğin yanı sıra sorun çözümünde de kolaylık sağlamaktadır. İstenmeyen trafik sınırlandırılmalı ya da tamamen engellenmelidir. Maliyet: Çözüm için kullanılacak güvenlik duvarının bir maliyeti olacaktır. Tercih konusunda maliyet her zaman önemli bir kriterdir. Eldeki bütçenin alabileceği en iyi sistemin kurulması önem arz etmektedir. Konulacak sistemin sadece bugünü kurtarması hedeflenmemeli, ağın genişleme durumuna göre birkaç yıllık planlama yapılarak uygun firewall seçimi yapılmalıdır. Sahip olma maliyeti dikkate alınarak uzun vadede bu ürünün yıllık yenileme ve teknik destek ücretleri hesaba katılmalıdır. Daha yüksek fiyatlar her zaman daha iyi güvenlik anlamına gelmemektedir. Kurum ihtiyacı olmayan özellikler için pahalı çözümlerden kaçınılmalıdır. Raporlama: Tercih noktasında diğer önemli noktalardan biri de raporlamadır. Güvenlik duvarının raporlama seçeneklerinin fazla olması ya da ihtiyaca göre raporlar çıkarabilmesi yapılacak analizin de iyi olacağı anlamına gelmektedir. Yapılacak analizler sonucunda ise problemler daha kolay bir şekilde çözüme kavuşabilecektir. Teknik Destek: Uygun marka seçiminde firewall özelliklerinin yanı sıra uygun bir de firma tercih edilmelidir. Bu firmanın belirlenen 154 Kablolu ve kablosuz ağlar için kabul edilebilir kullanım politikaları belirlenmelidir. Filtreleme, sınırlandırma ya da engelleme gibi özellikler kurum ağının güvenliğini artırmak için yapılmalıdır. Çok katı kuralların uygulanması kullanıcılardan gelen geri dönüşleri artıracaktır. Bu sebeple kuralların makul ölçüde planlanması gerekmektedir. İnternet trafiğinin ne amaçla kullanıldığı kurumlar için önemlidir. Trafiğin ne amaçla kullanıldığına ilişkin istatistiksel bilgiler çıkarılarak analizler yapılmalıdır. Youtube gibi yüksek bant genişliği harcayan uygulamaları sınırlandırarak video konferans, IP telefon gibi kritik uygulamalara öncelik verilmelidir. Yeni nesil güvenlik politikaları hem kişisel hem de kurumsal internet trafiğini olumlu ölçüde rahatlatırken güvenli bir ağ oluşturulmasına yardımcı olabilir.

7 Kaynaklar [1] [2] İnternet Adresi: tr/blog-tr-yeni-nesil-guvenlik-duvari-ngfwnext-generation-firewall/. Erişim Tarihi: 15 Temmuz 2014 [3] İnternet Adresi: com/palo-alto-networks-ngfw-nextgeneration-firewall-nedir/. Erişim Tarihi: 15 Ağustos 2014 [4] Mehmet Şahin KURU Kişisel Web Sayfası : Erişim Tarihi: 18 Ağustos 2014 [5] İnternet Adresi net/ index.php/guvenlik/layer-2-guvenlikyontemleri-bolum-2/. Erişim Tarihi: 12 Ağustos 2014 [6] İnternet Adresi: ag-guvenlik-duvari-cozumu-olustururkendikkat-edilmesi-gereken-hususlar. Erişim Tarihi: 20 Temmuz