Root > Documents > Web Güvenlik Açıkları > Network Security-Clues
Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları > Network Security-Clues
Madde
  Yazar : Anon
  Date : 23.11.2004 16:16:30
 
# Network Security-Clues
 
Ag Güvenlik Duvari Çözümü Olustururken
Dikkat Edilmesi Gereken Hususlar
Ag güvenlik duvari (network firewall), kurumun agi ile dis aglar arasinda bir geçit olarak görev yapan ve internet baglantisinda kurumun karsilasabilecegi sorunlari çözmek üzere tasarlanan çözümlerdir. Bu çözümler yazilim veya donanimla yazilimin entegrasyonu seklinde olabilir. Güvenlik duvari çözümü açik sistemler üzerinde bedava dagitilan modüllerle saglanabilecegi gibi, fiyatlari sunduklari servislerle orantili olarak artan ticari ürünlerle de saglanabilir. Bu bildiride bu tür çözümlerin tanimlari yapilmis ve güvenlik duvari çözümü seçerken dikkat edilmesi gerekenler belirtilmistir.
SORUNLAR
Internet baglantisinda bir kurumun karsilasabilecegi sorunlar asagidaki gibidir [1]:
• Dis dünyadan kurum agina (içeriye) yapilacak saldirilar.
• Internette dolasirken kullanici bilgisayarina, bilgisayardan da sisteme virüs bulasmasi.
• Imesh, edonkey, overnet gibi programlarla dosya paylasiminin yapilmasi ve bandgenisliginin (internet veriyolu kapasitesinin) maksadi disinda kullanilmasi.
• Internette özellikle vakit kaybettirici bazi sitelere ulasimin kurum içerisinde, kurum zamaninda (mesai saatlerinde) yapilmasi.
• Içeriden yetkisiz kisilerin disariya bilgi göndermesi.
• Yetkisiz kullanicilarin Internette gezinmesi.
GÜVENLIK DUVARI ve BILESENLERI
Güvenlik duvari, bir sistemin özel bölümlerini halka açik (public) bölümlerden ayiran, kullanicilarin ancak kendilerine taninan haklar düzeyinde sistemden yararlanmasini saglayan çözümlerdir. Güvenlik duvari belirli bir makinayi denetlemek için o makina üzerine (host-based) kurulabilecegi gibi, bir bilgisayar agini denetlemek için de kurulabilir. Bu bildiride ag güvenligini saglamak üzere kullanilan ag güvenlik duvari çözümleri üzerinde durulmustur.
Ag güvenlik duvari, içeride birbirlerine güvenen, az korumali makinalarin oldugu bir kurum agi ile dis aglar (Internet) arasina yerlestirilir ve aradaki fiziksel baglanti yalnizca güvenlik duvari tarafindan saglanir. Güvenlik duvarlari salt dis saldirilara karsi sistemi korumakla kalmaz, performans arttirici ve izin politikasi uygulayici amaçlar için de kullanilirlar. Yukarida belirtilen sorunlari çözmek için bir antivirüs sunucusu veya web adresi denetleyicisi sunucusu ile ortak olarak çalisabilirler. Ag güvenlik duvari, yazilim veya donanimla yazilimin entegre oldugu çözümler seklinde olabilir.

Bir güvenlik duvari çözümünde verilebilecek servislere örnek olarak asagidakiler sayilabilir:
• NAT (Network Address Translation): Iç agda internete çikamayacak özel ip semalari (10.0.0.0/8, 192.168.0.0/16 vb) tanimlanir ve dis baglantilarda NAT sunucusunun reel ip’si kullanilarak iç ag konusunda saldirganin bilgi saglamasi engellenir. Güvenlik için artilari olmakla beraber, NAT çogunlukla adres yönetimi için kullanilmaktadir.
• Paket Filtreleme: En basit güvenlik duvaridir. Router, modem gibi cihazlarla birlikte gelir. Erisim listelerinin (access list) kullandiklari yöntemdir. Bu yöntemle güvenlik duvarindan geçen her üçüncü seviye (IP, IPX ..vb) paketine bakilir ve ancak belli sartlara uyarsa bu paketin geçisine izin verilir. Paket filtreleme, güvenlik duvarinin her fiziksel baglantisi üzerinde ayri ayri ve yöne bagli (disariya çikis, içeriye giris) olarak uygulanabilir. Uygulamalarin baglanti için kullandiklari portlar (icq, imesh ..vb portlari) baz alinarak hangi aglarin veya kisilerin ne zaman bu uygulamalarla baglanti kurabilecegi belirlenebilir. Paket filtrelemede birim zamanda tek bir pakete bakildigi ve önceki paketler hakkinda bir bilgiye sahip olunmadigi için bu yöntemin çesitli zayifliklari bulunmaktadir [2].
• Dinamik (Stateful) Filtreleme: Paket filtrelemeden farki, paketin sirf protokolüne bakarak karar verilmesi yerine, güvenlik duvarinin bir baglantiyi hangi tarafin baslattigini takip etmesi ve çift yönlü paket geçislerine buna göre karar vermesidir. Her baglanti için durum bilgisi tablolarda tutuldugu için paket filtrelemedeki zayifliklar bulunmamaktadir. Dezavantaji ise dinamik filtrelemenin çok daha fazla islemci gücüne ve bellege ihtiyaç duymasidir. Özellikle baglanti(connection) sayisi arttikça islem ihtiyaci da artacaktir[2]. Paket filtreleme yerine dinamik filtreleme tercih edilmelidir.
• DMZ (Silahtan Arindirilmis Bölge): Dis dünyaya hizmet verecek sunucular buraya yerlestirilmektedir. Özellikle iç agda NAT uygulamasi yapiliyorsa dis dünyaya hizmet veren cihazlar reel ip’lerle burada konumlandirilacaklardir.
• Proxy: Proxy bir baglanti uygulamasinda araya giren ve baglantiyi istemci (client) için kendisi gerçeklestiren bir servistir. Proxy’nin kullanimi, uygulama temelli (application-level) güvenlik duvari olarak da adlandirilabilir. Bu tür bir uygulama ayni zamanda su amaçlar için kullanilabilir:
o Kimlerin bu servisleri kullanacagini belirlemek
o Performans amaçli olarak özellikle ayni isteklerin bir defaya indirgeyerek baglanti sayisini azaltmak ve bandgenisliginin daha etkin kullanilmasini saglamak.
• Anti-Virus çözümleri: HTTP, FTP ve SMTP trafigini üzerinden geçirerek virüs taramasini yapmayi ve kullaniciya gelmeden önce virüslerden temizlemeyi hedefleyen sistemlerdir.
• Içerik Filtreleme (content filtering): Çesitli yazilimlarla ulasilmak istenen web sayfalarini, gelen e-posta’lari filtrelemeye yarayan sistemlerdir.
• VPN: Ortak kullanima açik veri aglari (public data network) üzerinden kurum agina baglantilarin daha güvenilir olmasi için VPN kullanilmaktadir. Iletilen bilgilerin sifrelenerek gönderilmesi esas olarak alinir. Public/Private anahtar kullanimi ile saglanir.
• Saldiri Tespiti (ID): Süpheli olaylari ve saldirilari tespit etmeyi hedefleyen bir servistir. Saldiri tespit sistemleri(IDS), süpheli durumlarda e-posta veya çagri cihazi gibi yöntemlerle sistem yöneticisini haberdar edebilmektedir.
• Loglama ve Raporlama: Kayitlama (log) ve etkinlik raporlari birçok güvenlik duvari tarafindan saglanmaktadir. Bu kayitlar çok detayli ve çok fazla veri içerebilmektedir. Bazi güvenlik duvarlari bu loglarin incelenmesini kolaylastirmak için çesitli analiz ve raporlama servisleri sunmaktadir. Kayitlar sistemlerin zayifliklarinin ve saldirilarin belirlenmesinde ise yaramaktadir.
IHTIYAÇLARIN BELIRLENMESI (ANALIZ)
Bir ag için güvenlik duvari çözümüne gidilirken ihtiyaçlar belirlenmeli ve agdaki hangi alanlarin daha çok güvenliginin saglanilmasi gerektigi tespit edilmelidir. Ag yöneticisi güvenlik duvarini seçmeden önce iç aginda bulunan (alt) aglari listelemeli, güvenlik matriksi (security matrix) olusturarak hangi aglarin hangi aglara ve sunuculara ulasacagini ve ne tür haklar taninacagini belirlemelidir. Buna göre bir alt agi güvenlik duvarinin bir bacagina (ag arabirimine) alip almamaya da karar verilebilmektedir. MRTG ve Saldiri Tespit Sistemleri (IDS) gibi çözümlerle ag takip edilmeli ve agin belirli noktalarindan geçen tafik, trafigin cinsi ve baglanti sayisi ölçülmelidir. Kurum böylece agdaki veri akisi hakkinda bilgi edinebilecektir. Analiz süreci tabii ki burada özetlendigi kadar basit degildir. Her türlü verinin analitik methodlarla incelenmesi ve irdelenmesi gerekmektedir. Mümkünse profesyonel bir destekten yararlanilmalidir.
YAZILIM VE DONANIM ÇÖZÜMLERI
Güvenlik duvari çözümü yazilim veya donanimla yazilimin entegre oldugu sistemler seklinde olabilmektedir. Bu tür çözümlerin birbirine çesitli artilari ve eksileri bulunmaktadir.
Isletim Sistemi Üzerinde Çalisan Çözümler:
Isletim sistemi üzerinde çalisan çözümlerin artilari asagidaki gibidir:
• Çok detayli raporlamalar alinabilir.
• Ince detaylara kadar kullanicilari ayristirmak ve takip etmek mümkündür

Bu tür sistemlerin üzerinde çalistigi isletim sisteminin açiklari en büyük eksigidir. Burda su da belirtilmelidir ki bu isletim sistemleri genelde öz (core) olarak kurulduklarindan üzerlerindeki servisler kisitlidir. Güvenlik duvarlari da üzerlerinde çalistiklari isletim sistemlerinin bazi açiklarini kapatirlar. Isletim sistemi üzerinde çalisan sistemlerin eksileri olarak asagidakileri belirtmek mümkündür:
• Bakim Problemleri: Güvenlik duvarinin üzerinde çalistigi isletim sisteminin de ayrica bakimi gerekecektir.
• Kurulum: Isletim sisteminin dogru kurulmasi gereklidir. Gerekmeyen servislerin kaldirilmasi ve bazi yamalarin (patch) uygulanmasi gerekmektedir. Kurulum süresi, kutu çözümlerine göre daha uzun sürmektedir.
• Isletim Sisteminin Güvenligi: Güvenlik duvarinin üzerinde kuruldugu isletim sisteminin öncelikle güvenligi saglanmalidir. Isletim sistemini seçerken o sistemle birlikte gelen güvenlik açiklari ve zayifliklari arastirilmali ve çesitli ayarlamalarla güvenligin saglanabilecegi sistemler seçilmelidir.
Kutu (Donanim) Çözümleri:
Kutu çözümleri kullanildiklari yerin özelligine göre ikiye ayrilabilir:
• Küçük kutu çözümleri: Bunlarin üzerinde genellikle Ev/Küçük Isletmeler (Home/Small Bussiness) çözümleri çalisir ve bu siniftaki ürünlerin üzerindeki yazilimlar islev ve genisletilebilirlik açisindan kisitli sürümlerdir. Genellikle donanimsal genisletilebilirlikleri yoktur.
• Performans kutulari: Bunlarin üzerinde (100+ kullanici) kurumsal sürümler çalisir ve bunlar Isletim Sistemi üzerinde çalisan sürümlerle aynidir. Ana fark, bu donanimlarin sözkonusu yazilim için ayarlanmis (tune) edilmis özerk (proprietary) donanimlar olmasidir. Bu nedenle ayni kosullardaki isletim sistemi tabanli versiyonlardan daha performansli çalismaktadirlar.
Kutu çözümlerin artilari asagidaki gibidir:
• Uygulama için özel gelistirilmis entegre devrelere (ASIC) sahip olduklarindan daha yüksek performans elde edilebilmektedir.
• Genelde en kötü saldirilarda dahi cihazi kapatip açinca yeniden çalismaya devam ederler.
• Versiyon yükseltmeleri (upgrade) diger sistemlere göre daha çabuk yapilir.
• Hizmet disi kalma süreleri (downtime) azdir.
• Isletim sistemleri bilinmediginden (Genelde UNIX türevleridir) ve az kullanildigindan açiklari fazla bilinmez.
Kutu çözümlerin eksileri asagidaki gibidir:
• Yazilabilecek kurallar cihazin versiyonu ve kapasitesi ile sinirlidir.
• Küçük kutu çözümlerinin donanimsal genisletilebilirlik özellikleri yoktur. Daha güçlü bir cihaz için büyük olasilikla bir üst versiyonun alinmasi gerekecektir. Performans kutularinda ise islemci ve bellek terfileri zor ve pahalidir.
• Raporlamalari genelde çok sinirlidir.
• Özellikle küçük kutu çözümlerinde, degisik saldirilara karsi yeni çözümler çok çabuk çikmaz.
• Versiyon yükseltmeleri (upgrade) mutlaka açilip kapanma gerektir.
• Performans kutulari isletim sistemi üzerinde çalisan çözümlerden daha pahaliya mal olabilmektedir.
ÜRÜNLER HAKKINDA BILGI TOPLAMA
Ürünler hakkinda internet üzerinden bilgi alinabilecek kaynak gruplari asagida siralanmistir [4]:
• Haber Gruplari: Bu konudaki haber gruplarina http://groups.google.com adresinden ulasip gerekli aramalar yapilabilir. Ana haber grubu comp.security.firewalls ‘dir.
• E-posta Gruplari: Güvenlik duvarlarinin performanslarinin ve güvenlik servislerinin tartisildigi gruplara örnek olarak “firewalls-digest” verilebilir. Üye olmak için [email protected] adresine mesaj kisminda “subscribe firewalls-digest” içeren bir e-posta göndermek yeterlidir. Örnegin firewall-wizards ve firewalls listelerine asagidaki adreslerden ulasmak mümkündür:
http://lists.insecure.org/lists/firewall-wizards/2003/Jan/
http://www.isc.org/services/public/lists/firewalls.html
• Web Sayfalari: Internet üzerinde birçok sitede güvenlik duvarlari ile ilgili çalismalar bulunmaktadir. Bunlara örnek olarak asagidakiler verilebilir:
o Test sonuçlari yayinlayan siteler: “Data Communications”, “InfoSecurity News” ve “Network World” gibi magazinler periyodik olarak güvenlik duvarlarini çesitli kriterlere göre test etmektedirler. Güvenlik duvari karsilastirma tablosu örnegi için bakiniz [5].
o Coast Arastirma Enstitüsünün güvenlik duvari ile ilgili sayfalari için bakiniz [6].
o Çesitli güvenlik duvari ürünleri ve adresleri için bakiniz [7].
o Çokça sorulan sorular (FAQ) için bakiniz [8].
Eger ticari bir ürün alinacaksa mümkünse teknik bir yetkili tarafindan ürünün sunumu yapilmali ve ürünün yetenekleri hakkinda daha detayli bilgiye ulasilmaya çalisilmalidir.
SEÇIM SIRASINDA DIKKATE ALINMASI GEREKENLER
Güvenlik duvari çözümünde kullanilacak ürünleri (yazilim veya donanim) seçerken dikkat edilmesi gereken hususlar asagida siralanmistir:
• Güvenlik Alaninda Deneyim
• Verilecek Servisler
• Performans
• Ölçeklenebilirlik
• Kullanim ve Konfigürasyon Kolayligi
• Maliyet
• Teknik Destek
Güvenlik Alaninda Deneyim:
Ürünü gelistiren firmanin veya güvenlik çözümünü sunan firmanin ne kadar süredir bu konuyla ugrastigi ve bu konudaki deneyimi önemli bir kriter olarak karsimiza çikmaktadir. Bu ürünün hangi kurumlarda kullanildigi (bu gizli tutulmasi istenebilir) veya kaç degisik kurumda kullanildigi da önemlidir.
Verilecek Servisler:
Verilecek servisler ve dikkat edilmesi gerekenler asagidaki gibidir:
• Saldiri engelleme: Ürünün hangi saldirilari nasil engelledigi de seçim asamasinda önemli bir kriter olarak karsimiza çikmaktadir.
• Dinamik (Stateful) Filtreleme: Dinamik filtrelemede takip edilen verinin zenginligi ve ne kadar detayli incelendigi güvenlik seviyesini belirlemektedir. Birçok firma dinamik filtrelemeyi uyguladigini iddia etmektedir ama bütün uygulamalar öne sürüldügü kadar dinamik ve güvenli degildir. Detayli bilgi için bakiniz [9].
• DMZ: DMZ uygulamasinda bu ag için ayri bir ag arabirimi (bacak) gerekecektir.
• VPN: Birim zamanda yapilacak VPN baglanti sayisi alinan cihazda desteklenip desteklenmedigi kontrol edilmelidir. VPN ile baglantilarin çok olacagi aglarda, ürünün VPN için kullanici sayisina göre ek ücret talep edip etmedigi kontrol edilmeldir. Ayrica VPN sifreleme kullandigindan makinaya eksta yük getirecegi de unutulmamalidir.
• NAT uygulamasi: NAT uygulamasinin özellikle büyük aglarda makinayi oldukça yoracagi düsünüldügünde, NAT islevini yürütmek için ayri bir sunucu ayirmak daha iyi olabilecektir.
• Üçüncü parti (Third party) Yazilimlarla Iletisim: Anti-virüs veya içerik filtreleme gibi servisleri sunan cihazlarla iletisimin nasil saglandigi, hangi protokolün kullanildigi (CVP veya benzerleri) ve isleyisindeki performans incelenmelidir.
• Saldiri Tespit Sistemleri(IDS): Saldiri tespiti sistemi, güvenlik duvari cihazindan ayri bir cihazda çalisabilir. Ayri bir sistem olarak çalistiginda iki çözümün entegre çalisabiliyor olmasi önemli bir tercih nedeni olmalidir. IDS’de sistem yöneticisini saldirilardan haberdar etmek için kullanilan alarm yöntemleri ve alarm durumlari ayarlanabiliyor olmalidir.
• Log tutma ve raporlama: Güvenlik duvarinin, kayitlarin analizini saglayacak ve gereksiz kayitlari temizleyerek daha öz sonuçlar sunacak servisler sunup sunmadigi arastirilmalidir.
Performans:
Güvenlik duvari, kullanicilarin ag üzerindeki iletisimini mümkün oldugunca az yavaslatmalidir. Bunun için sistemin hizli çalisiyor olmasi gerekmektedir.
Çözümün uygulanacagi agda ne kadar reel veri akisi (throughput) olacagi, birim zamanda kaç kullanicinin internete çikacagi ve kaç baglantinin (connection) olusacagi hesaplanmali veya tahmin edilmelidir. Baglanti sayisi kullanilan programlara göre degismektedir. Örnegin icq, imesh gibi programlarin birden fazla baglanti kurdugu unutulmamalidir. Güvenlik duvarinda yazilacak kurallar ve verilen servisler arttikça gereken islemci gücü artacaktir. Ayni zamanda sisteme olacak baglanti sayisi da hem islemci hem de bellek harcayacaktir. Bu hizmetleri karsilayabilecek islemciye ve bellege sahip çözümlere gidilmelidir.
Her geçen gün kurumlarin bandgenisligi büyüklügü artmaktadir. Aslinda performans azalmasina yol açan faktörün, güvenlik duvari üzerinden geçen trafikten çok, baglantilarin durum tablolarinin yönetimidir. B Sinifi adresi büyüklügünde (65,535 ayri IP adresi) bir yükün güvenlik duvarinin çökmesine yol açabilecegi gözlenmistir [10].
Eger isletim sistemi üzerinde çalisan bir çözüme gidilecekse; Sistem güçlü bir sunucu (server) üzerinde çalismali, mümkünse bu cihazin bir yedegi bulunmalidir. Büyük bir kampüs agi (>1000 bilgisayar) düsünüldügünde en az iki islemcili ve 2 Gigabyte bellege sahip sunucu mimarisinde bir cihaz seçilmesi önümüzdeki birkaç sene için temel servislerin sunulmasini saglayabilecektir. Bu cihazin yedeklemeli (redundant) birimleri olmasi sistemin daha güvenilir çalismasini saglayacaktir. Bu cihaz enerjiyi kesintisiz güç kaynagindan (UPS) almali, mümkün oldugu kadar bu cihaza fiziksel erisim kisitlanmalidir.
Ölçeklenebilirlik:
Artan ihtiyaçlar da göz önünde bulundurularak, sistemin bir kaç senelik plan içinde yeni kosullara ayak uydurabilmesi için genisletilebilirlik özelliklerini destekleyip desteklemedigi de incelenmelidir.
Kullanim ve Konfigürasyon Kolayligi:
Grafik arabirimlerle kurallarin ve kurallarin uygulanacagi objelerin tanimlanmasinin kolayligi, yapilacak isin daha hizli olmasini saglayacagindan bir tercih konusu olabilmektedir.
Maliyet:
Çözüm için ister ticari bir ürün kullanilsin, isterse açik sistemler (open systems) kullanilsin kuruma bir maliyeti olacaktir. Maliyet her zaman tercih durumunda önemli bir kriterdir. Burada eldeki bütçenin alabilecegi en iyi sistemin kurulmasi söz konusudur. Konulacak sistemin sadece bugünü kurtarmasi hedeflenmemeli, birkaç yillik agin genisleme durumu da dikkate alinarak buna göre bir seçim gerçeklestirilmelidir. Sahip olma maliyeti (cost of ownership) de dikkate alinmali ve uzun vadede bu ürünün yillik yenilemeleri, yama (patch) ücretleri de planlanmalidir. Teknik destek ücreti de hesaba katilmalidir.
Daha yüksek fiyatlar her zaman daha iyi güvenlik anlamina gelmemektedir. Kurum deger/maliyet analizi yaparken saglikli bir süphecilik içinde olmali ve ürünün hangi özelligi nedeniyle daha pahali oldugunu firmadan ögrenmelidir [4].
Teknik Destek:
Güvenlik duvari endüstrisi uzmani olan Marcus Ranum’un da belirttigi gibi ticari bir güvenlik duvari almanin en önemli nedenlerinden biri firmadan destek alabilmektir [4]. Bazi firmalar bu tür çözümlerin kurulumu, bakimi, egitimi ve danismanlik hizmetlerini de sunmaktadirlar. Bu tür hizmetlerin hangilerinin yapilan anlasmada olduguna dikkat edilmelidir. Terfi ve yama (patch) uygulamalarinin nasil saglanacagi ve ne tür bir teknik destegin ne kadar ücretle temin edilebilecegi mutlaka incelenmelidir. Yazilimsal veya donanimsal ne tür garantilerin oldugu mutlaka belirlenmelidir. Hizmet alinan firmanin bu çözümü ne kadar süredir sundugu, kaç firmaya bu hizmeti verdigi ögrenilmelidir. Firmanin tam gün çalisan kaç tane destek mühendisine sahip oldugu, bu kisilerin sertifikalari, bu kisilere hangi saatler arasinda erisilebilecegi gibi bilgiler de önem kazanmaktadir. Sinirsiz e-posta destegi ve telefon desteginin birçok durumda ise yaramayacagi ve yerinde müdahale için destek gerekebilecegi de unutulmamalidir.
Mümkünse güvenlik sistemi kuruma hizmeti sunan firma tarafindan kurulmali, ilk ayarlar yapilmali ve kurum personeli konfigürasyon ve bakim isleri hakkinda bilgilendirilmelidir. Teknik bir sorundan dolayi güvenlik duvarinin çalisamamasi durumunda en geç bir hafta içinde bu sorunun halledilmesini içeren bir madde de anlasmaya koyulmali ve maddi yaptirimlar da belirtilmelidir.
YENI TEKNOLOJILER ve YENI IHTIYAÇLAR
Kurumun kritik bilgilerini korumak için sadece bir güvenlik duvari kurmak yerine daha karmasik(complex) çözümlere gidebilir. Eger böyle bir sistem kurulmasi planlaniyorsa, alinacak güvenlik duvarinin da bunu desteklemesi gerekecektir. Örnegin saldirganin isini zorlastirmak için agda çoklu bariyer kullanarak derinine savunma (defense in depth) yapilabilir. Ayrintili bilgi için bakiniz [11]. Bir donanimla sanal çoklu güvenlik duvari olusturmak üzerine de çalismalar yapilmaktadir. Çoklu kiracili (multitenant) sistemlerle farkli müsterilere farkli konfigürasyon ve kurallar uygulanabilmektedir. Ayrintili bilgi için bakiniz [10].
SONUÇ
Güvenlik duvarlari, sistemin ve agin devamliligini saglamak için vazgeçilmez bir hale gelmektedir. Bu bildiride güvenlik duvari çözümüne gidilirken dikkat edilmesi gereken hususlar belirtilmistir. Kurumun sistemden beklentilerine ve elindeki bütçeye göre kurulabilecek sistemler degisebilmektedir. Aslinda kurulacak sistemden çok, onun nasil kuruldugu ve nasil yönetildigi önemlidir. Ticari bir ürün almanin en önemli nedenlerinden birinin firmadan destek almak oldugu unutulmamalidir. Ticari bir ürün alindiginda, ürünün alindigi firmayla bakim anlasmasinin sartlari detayli olarak konusulmalidir.
Güvenlik duvari çözümlerinin, sistem güvenliginin elemanlarindan sadece biri oldugu unutulmamalidir.
YARARLANILAN KAYNAKLAR
[1] Internete Baglanirken Gerekenler: Proxy ve Firewall, Deniz Akkus http://www.arayan.com/da/yazi/proxy.html
[2] A Rookie’s Guide to Defensive Blocks, 2002, Mike DeMaria
http://www.networkcomputing.com/1313/1313ws1.html
[3] Multi Router Traffic Grapher,
http://people.ee.ethz.ch/~oetiker/webtools/mrtg
[4] Smoking Out The Facts on Firewalls, Amy Thompson http://www.securitymanagement.com/library/000296.html
[5] Firewall Evaluation Checklist
http://www.fortified.com/html/free_checklist.html
[6] Internet Firewalls - Resources
http://www.cerias.purdue.edu/coast/firewalls/
[7] Firewall Product Overview
http://www.thegild.com/firewall/index.html
[8] Internet Firewalls: Frequently Asked Questions, Matt Curtin and Marcus J. Ranum, http://www.ranum.com/pubs/fwfaq/
[9] Why all stateful Firewalls are not Created Equal
http://www.sapphire.net/docs/stateful inspection comp white paper.pdf
[10] Defense Mechansims, 2001, Mike Frotto
http://www.networkcomputing.com/1223/1223f1.html
[11] Building an In-Depth Defense, 2001, Brooke Paul
http://www.networkcomputing.com/1214/1214ws1.html
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©