Uygulama seviyesi güvenlik duvarlarının sunduğu güvenlik servisleri
Özet
Günümüzde uygulamaların karmaşıklaşması klasik güvenlik duvarlarını
yetersiz hale gelmiştir. Artık güvenlik duvarlarından, işlevselliği
engellemeden siber tehditleri önlemesi ve uygulama seviyesinde koruma
sağlaması beklenmektedir. Bu dokümanda yeni nesil güvenlik duvarlarında
uygulama seviyesinde sunulan güvenlik servislerinden bahsedilecektir.
Giriş
Yeni nesil güvenlik duvarları OSI Modelinde uygulama katmanı düzeyinde
çalışır. En sık kullanılan güvenlik duvarı tekniğidir. Uygulama
katmanındaki güvenlik duvarı, gelen paketin veri kısmına kadar olan tüm
paket başlıklarını açıp kontrol edebilir ve filtreleyebilir. Uygulama
katmanında filtreleme yapmanın en önemli avantajı bazı uygulamalar ve
protokollerin anlaşılır olmasıdır (FTP, DNS, HTTP gibi). Günümüzdeki
güvenlik duvarları da sadece port kapamak amaçlı kullanılmıyor. Yeni nesil
güvenlik duvarları da U.T.M. (Unified Threat Management) (güvenlik duvarı,
antivirüs, antispam, IDS/IPS, VPN, yönlendirici (router) gibi özellikleri
olan) tümleşik cihazlardır.
Uygulamaların kullanımı, kullanıcı davranışı ve ağ altyapısındaki temel
değişiklikler, geleneksel port tabanlı ağ güvenliği yapısındaki
zayıflıkları açığa çıkaran bir tehdit alanı oluşturur. Kullanıcılar, geniş
bir cihaz türleri yelpazesinde çalışan ve sayısı gittikçe artan farklı
uygulamalara erişmek ister, fakat iş ya da güvenlik risklerini genellikle
çok önemsemezler. Aynı zamanda veri merkezi genişlemesi, ağ segmentasyonu,
sanallaştırma ve mobilite girişimleri, bir yandan geleneksel güvenlik
mekanizmalarından kaçan, yeni ve daha karmaşık bir gelişmiş tehditler
sınıfından ağınızı korurken diğer yandan da sizi uygulamalara ve verilere
nasıl erişim sağlayacağınız konusunda yeniden düşünmeye zorlamaktadır.
Geçmişte iki temel seçenek vardı; ağ güvenliği açısından her şeyi
engellemek ya da verimlilik adına her şeyi etkinleştirmek. Bu seçenekler,
kullanıcılarla uzlaşma için çok az alan bırakıyordu. Yeni nesil güvenlik
duvarları, siber güvenlik tehditlerini önlerken bir yandan da erişime izin
vererek kullanıcıların gereksinim duyduğu uygulamaları güvenli bir şekilde
etkinleştirebilmeyi sağlar. Yeni nesil güvenlik duvarı, (uygulamaları,
tehditleri ve içeriği kapsayacak şekilde) tüm trafiği inceler ve bunu,
konumdan ya da cihaz türünden bağımsız olarak kullanıcıya bağlar. İşin
yürütülmesini sağlayan öğeler olan uygulama, içerik ve kullanıcı, kurumsal
güvenlik politikasına karşı bir tehdit oluşturmamış olur. Böylece,
güvenlikten taviz vermeden uygulamaları kullanarak verimlilikte sağlanmış
olur.
1. Yeni Nesil Güvenlik Duvarlarının özellikleri
Yeni nesil güvenlik duvarlarında;
· Tüm trafiği sınıflandırarak, iş kullanımı durumunu tanımlayarak ve ilgili
uygulamalara erişim izni veren ve koruyan politikalar atayarak
uygulamaları, kullanıcıları ve içeriği güvenle etkinleştirebilir.
· Tehdit ayak izini azaltmak için istenmeyen uygulamaları devre dışı
bırakarak tehditleri önleyebilir ve hedefli güvenlik politikaları
uygulayarak bilinen güvenlik açığı istismarları (vulnerability exploits),
virüsler, casus yazılımlar, botnet’ler ve bilinmeyen kötü amaçlı yazılımlar
(Advanced Persistent Threat-APT’ler) engellenebilir.
· Veri merkezlerini; uygulamaların doğrulanması, verilerin ayrılması
(izolasyon), hileli uygulamalar üzerinde denetim sağlama ve yüksek hızlı
tehdit önleme gibi hizmetlerle koruma yeteneğine sahiptir.
· Halka açık ve özel bulut bilişim ortamlarını, geliştirilmiş görünürlük ve
denetim ile güven altına alabilir; güvenlik politikaları, sanal makinelerde
aynı hızda uygulayıp sürdürülebilir.
Yeni nesil güvenlik duvarları, tüm portlar genelinde trafiğin tamamının tüm
fonksiyonlar kullanılarak tek geçişli incelenmesini (single pass
inspection) gerçekleştirir; böylece güvenlik politikası için temel olarak
uygulama, ilgili içerik ve kullanıcı kimliği bağlamında karar almayı
sağlar.
Şekil-1: Uygulama seviyesi güvenlik duvarında uygulama filtreleme
- Günümüzde, uygulamalar ve onlarla ilgili içerikler, çeşitli teknikler kullanarak port tabanlı bir güvenlik duvarını kolayca geçebilir. Yeni Nesil (uygulama seviyesinde) güvenlik duvarı ile uygulamaları, tehditleri ve kötü amaçlı yazılımları belirlemek için, doğal bir biçimde trafik akışına birden fazla sınıflandırma mekanizması uygulanır. Tüm trafik, port, şifreleme (SSL ya da SSH) ya da kullanılan kaçınma tekniklerinden (evasive techniques) bağımsız olarak sınıflandırılır. Tanımlanamayan uygulamalar (genellikle, trafiğin küçük bir yüzdesini oluşturmakla birlikte risk potansiyeli yüksektir), otomatik olarak sistemli yönetim için sınıflandırılır
- Trafik tamamen sınıflandırıldıktan sonra, belirli uygulamalara izin verip diğerlerini reddederek ağ tehdidi ayak izi azaltılabilir. Bu durumda, bilinen kötü amaçlı yazılım sitelerini engellemek ve güvenlik açığı istismarlarını (vulnerability exploits), virüsleri, casus yazılımları ve kötü amaçlı DNS sorgulamalarını önlemek için eş güdümlü siber saldırı koruması uygulanabilir. Her özel ya da bilinmeyen kötü amaçlı yazılım, dosyaları çalıştırarak ve bunların sanal bir sandbox ortamındaki kötü amaçlı davranışlarını doğrudan gözlemleyerek analiz edilir ve tanımlanır. Yeni bir kötü amaçlı yazılım keşfedildiğinde virüs bulaşan dosya ve ilgili kötü amaçlı yazılım trafiği için otomatik olarak bir imza oluşturulur ve size gönderilir.
- Güvenlik duruşunu iyileştirmek ve olay yanıt sürelerini (incident response time) azaltmak için uygulama kullanımını kullanıcı ve cihaz türüyle eşleştirmek ve bu bağlamı güvenlik politikalarını uygulayabilmek çok önemlidir. Geniş çaplı kurumsal kullanıcı havuzlarıyla entegrasyon, uygulamaya erişen Microsoft Windows, Mac OS X, Linux, Android ya da iOS kullanıcısının ve cihazının kimliğini sağlar. Hem kullanıcılar hem de cihazlar üzerindeki birleştirilmiş görünürlük ve denetim, kullanıcı nerede olursa olsun ya da hangi cihazı kullanırsa kullansın ağdan geçen her uygulamanın kullanımını, güvenle etkinleştirebilmesini sağlar.
- Kullanımdaki belirli uygulamaların, içerik ya da taşıyor olabileceği tehdidin ve ilişkili kullanıcı ya da cihazın ilişkisini bu bağlamda oluşturarak, politika yönetimini kolaylaştırmaya, güvenlik duruşunu iyileştirmeye ve olay soruşturmasını (incident investigation) hızlandırmaya yardımcı olur.
2. Yeni Nesil Güvenlik Duvarlarında sağlanan güvenlik servisleri
Antivirus:
Gelen ve giden mail eklentilerini, tüm ftp ve http trafiğini (web tabanlı
mailler dahil) tarar. Antivirüs getaway gelen virus ve wormları networke
girmeden önce kestiğinden zarar
verebilecek durumları önceden önlemiş olur. Gerçek zamanlı update olarak
belirli zaman periyotları ile değil virus çıktığı anda update yapılmış
olur.
Güvenlik Duvarı:
Policy bazlı kural yazma ile tek bir kuralda birçok kontrol sağlar. Tek bir
kuralda kaynağı, hedefi ve kullandığı servisi belirtilmiş paket nat, traffic shaping, loglama Autentication (Active
directory, local, lap, radius) ve protection profile uygulanabilir.
Protection profile sayesinde kurala uyan paketlere antivirüs taraması,
antispam taraması, web filtering, ips/ids ve im/p2p kontrolü yapılabilir.
Intrusion Detection:
Uyarı tabanlı binlerce bilinen saldırı barındıran özelleştirilebilir
veritabanı mevcuttur. Host tabanlı antivirus programlarından kaçan
saldırıları durdurur. Antivirus güncellemelerinde olduğu gibi saldırı
imzaları güncellemeleri de gerçekleştirilir. Bu sayede yeni saldırı çıkar
çıkmaz update yapılır güncelleme süresinin dolması beklenmez.
VPN:
Ipsec, PPTP, L2TP, based ve SSL VPN esnek bir şekilde yapılmaktadır. VPN 2 lokasyon arasında yapılabileceği gibi dışardan
dial-up kullanıcıları da güvenli bir şekilde VPN yapabilmektedir. Gelen VPN
paketlerin protection profile uygulama bildiğinden, ips, antivirus, proxy
serverlarını kullanacak olanlar için URL filtering gibi denetlemeler
uygulanarak tam koruma sağlanmış olunur.
AntiSpam:
Blacklist website ve domain tabanlı, kelime taraması (her kullanıcı için
ayrı configure edilebilirlik) ve dinamik
puanlama sistemi ile güçlü ve doğru sonuç alınabilir.
Traffic Shaping:
Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs.
kriterlere göre kısıtlama yapılabilir. Böylece
iş önceliğine göre trafik şekillendirilebilir. Ftp ve web hızını düşürüp
SQL bağlantılarının performansı garanti altına alınabilir.
Web Filtering:
Milyonlarca domain ve milyarlarca web sayfası ile URL filtrelemede etkili
bir kontrol sağlanır. Kategori bazlı
filtreleme imkânı sunulabilir. Ayrıca kelime ve kara liste oluşturma
imkânıyla da filtreleme yapılabilir.
IM/p2p:
Chat araçlarının en popülerleri olan aim, icq, msn ve yahoo paylaşım
programlarında bitTorrent, eDonkey,
gnutella, kazaa, skype, winNY programlarının logon, file transfer (dosya
boyutu belirtilebilir), audio kontrolleri
yapılabilmektedir. Ayrıca standart portlar dışında çalışan benzer
programlar kontrol edilebilir. Bu programlar
aracılığı ile gelen paketler protection da belirtilen virus vb.
taramalardan geçirilebilir. Yasaklanan programları
kullanan kullanıcıların listesi gelmektedir. Bu listeden istenilen
kullanıcılara izin verilebilir veya engellenebilir.
Şekil-3: Yeni Nesil Fortinet Firewall temel özellikleri
3. Kaynakça
[1] PaloAlto Networks Next Generation Firewalls[2] Fortinet NGFW Specifications
[3] Wikipedia.org