Firewall Nedir?

Her yerde görürüz, duyariz bu firewall’u. Ama çogumuz firewall nedir, ne degildir bilmez. Bu yazida firewall hakkinda temel bilgiler yer almaktadir.



Bilgisyar dünyasina yeni girenlerin sik sik duydugu ancak ne oldugunu pek bilmedigi bir terimdir "Firewall". Kelime olarak "ates duvari" demektir. Aslinda bu isim onun görevini tam olarak açiklamaktadir. Sizi disaridan gelen saldirilardan (ates toplarindan) korur. Tabi ayni zamanda sizin disarida istediginiz internet ortamina erismenize izin verir. Bilgisayar dünyasinda önemli olan kullanicinin rahati bozulmadan bilgisyari mümkün oldugunca korumaktir. Yoksa "En güvenli sistem, fisi çekili sistemdir" sözü güvenlik konusunu yeterince açiklar.
Mesela bir örnek vererek Firewall’un sizi nasil korudugunu anlatiyim, daha sonrasinda ayrintilari ile inceleyecegiz.

Internet dünyasinda; bir bilginin, bir bilgisayardan bir digerine gitmesi için arada bir baglanti kurulmasi gerekmektedir. Bu baglantiya "socket" denir. "socket" in yapisina bakarsak çok daha anlamli olur. Bir socket 4 ana parçadan olusur: "hedef bilgisayarin ip numarasi" : "hedef bilgisayarin port numarasi" : "kaynak bilgisayarin ip numarasi" : "kaynak bilgisayarin port numarasi".
Buradaki "ip&q
uot; numaralari bütün "internet"te bilgisayarin bulunmasini saglamaktadir. Port numarisi ise, o verinin, o bilgisayarda hangi uygulamaya gönderilecegini belirler. Bu socket yapisi sayesinde bir bilgisayardan ayni anda birden fazla baglanti yapilabilmektedir. Düsünsenize bu yapi olmasaydi google’a baglanmak için siraya girip saatlerce beklememiz gerekirdi.

Bu dört sayi, iki bilgisayar arasindaki baglantiyi tanimlar. mesela internete baglandiniz ip’niz "85.12.45.67" ve www.google.com ’a baglanmak istiyorsunuz. google’in ip’si salliyorum "45.65.12.34" olsun. sonuçta bir web sayfasina baglaniyoruz, dolayisi ile biz google’in "80" portuna baglanmak istiyoruz. Genelde hedef portu biliriz, kaynak port ise isletim sistemi tarafindan o anda uygun olan bir port tahsis edilir. sonuç itibari ile söyle bir durum olusur.

"45.65.12.34" + "80" + "85.12.45.67" + "13543&qu
ot;
"hedef ip" + "hedef port" + "kaynak ip" + "kaynak port"

"13543" portu isletim sistemi tarafindan otomatik olarak verilir. Bu paket internette bir yerden baska bir yere giderken paketin kimden kime gittigi bilinir ve ona göre uygun yollardan gider. iste bu 4 tane sayi bizim kendi bilgisayarimizdan google’a olan baglantimizi tanimlayan socket’i olusturur.

Fireall sizin ile internet arasinda bulunan bir makina veya bir program olabilir. Sonuç itibari ile sizin internete gönderdiginiz ve internette sizen gelen bütün paketler bu makina veya yazilim üzerinden geçmektedir. Bu sistemi ayarlayan yani yöneten kisi, google’a erisilmemesini istedigi taktirde, socket’lerden içerisinde google’un ip’si "45.65.12.34" bulunan paketleri internete iletmemesini ve "45.65.12.34" adresinden gelen cevaplari içeriye iletmemesini ayarlar. bu sayede google’a erisiminiz yasaklanmis olur. ip ile benze olarak çesitli port numaralari da yasaklanabilir. kullandigimiz çogu uygulamanin kendilerine özgü port numaralari vardir. örnegin bir internet sayfasini açmak istediginizde bilgisayarinizdaki "web browser&quo
t;, "http" protokolünü kullanarak http://www.ls-labs.com/ adresini baglanir. http protokolünün default port numarasi "80"dir. yani sizin browser’iniz "http"yi görünce karsidaki bilgisayarin "80" portuna baglanarak oradan web sayfasini ister. ayni sekilde ftp://www.ls-labs.com adresine baglanmak istediginizde "ftp"yi görünce karsidaki bilgisayarin "21" portuna baglanarak çalisir. benzer sekilde "icq"nun portu "5190"
;, &
quot;telnet" 23, "pop3" 110 ve digerler baglanti türleri de buna benzer port numaralari kullanirlar örnekler ayni sekilde firewall’u yöneten kisi icq’yu yasaklamak için sadece 5190 portunu yasaklar bu sayede, icq baglantilari engellenmis olur.

normal zamanda firewall disaridan içeriye gelen istekleri kabul etmez, ancak siz bir yere baglanti kurmak için içeriden karsidaki bilgisayara "baglanti açma istegi" gönderdiginizde, olusan socket’teki "hedef ip" ve "hedef port"tan sizin bilgisayarinizin, "kaynak ip" ve "jaynak portu"na bilgi gelmesine izin verir. baglanti sonlandiginda ise tekrar bu izni hafizasindan siler. dolayisiyla her firewall, bu bilgileri tutmak için içerisinde bir bellege ihtiyaç duymaktadir.

buraya kadar olan kisim firewall’un ne oldugu idi. simdi sira geldi firewall’un ne olmadigina.

Daha önce belirttigim gibi firewall normalde disaridan sizin bigisayariniza gelen baglanti isteklerini engeller, takii sizin bilgisayariniz bir baglanti isteginde bulunana kadar. iste sorun burada olusuyor, eger bir virus çesitli port’lardan baglanti isteklerinde bulunursa, firewall bu portlardan gelecek olan verileri engellemez, zira ona göre bu baglantilar tamamen legal görünmektedir. buradaki çözüm de her programin ayri ayri izin tablolarinin tutulmasi olmustur ve günümüzde ServicePack2 ile gelen firewall da bu sekildedir.

ayni sekilde normalde "80" portu web için kullanilmaktadir. ancak birisi icq baglantisini &q
uot;80" portundan çalisacak sekilde ayarlar ise ve firewall’u yöneten kisi sadece "5190" portunu kapatarak icq’yu durdurabilecegine inanan birisi ise 80 portundan yapilan icq baglantisi çok da güzel olarak çalisir, tabii ki bunun için icq server’larinin 5190 portu yerine 80 portundan dinlemeleri veya 80 portundan gelen istekleri aynen 5190 portuna gelmis gibi degerlendirmeleri gerekir.

firewall, engellemelerini socket içerisinde bulunan bilgiler dogrultusunda yapabilir. yoksa içerisinde geçen bir metin’e göre engelleme vb yapamaz. protokol tabanli sinirlarmalari yapamaz, sadece o protokol’e has olan port numarisini engelleyebilir ve bu bir çözüm degildir, bir proxy ile desteklendigi taktirde tam bir denetim halini almaktadir.

her sistem gibi firewall’larin da açiklari olabilmektedir ve uzaktan veya içerideki bir virus sebebiyle çökebilmektedirler. disaridan yapilan bu saldirilarin genel sekli çok fazla baglanti istegi yaparak firewall’un bütün zamanini bu istekleri degerlendirip ret etmek ile geçirerek içerideki kullanicilara cevap verememesini saglamaktir. bu saldiriya "DOS (Deny Of Service) attack" denir. içeriden yapilan saldirilar ise, hem DOS attack hem de asiri sayida baglanti olusturmak olarak iki sekilde yapilabilir. birincisi, disaridan yapilan saldiri ile aynidir. ikincisi ise firewall’un ayarlarina göre basarili olabilir veya DOS attack gibi service’in durmasina neden olabilir. hatirlarsaniz her firewall’un içerisinde baglantilari tutmak için bir bellegi vardir. içeriden yapilacak çok sayidaki baglanti sonucunda bu bellek dolar ve firewall ayarlarina göre ya service durmasin diye her gelen istege izin verir, veya güvenlik amaçli olarak hiçbir baglantiya izin vermiyor ve sistem baglanti isteklerini geri çeviriyor.

örnegin sizin evinizde bulunan bir adsl modeminiz olsun ve onun içerisinde bir firewall olsun. disaridan yapilan bir DOS attack sonucu sizin internetiniz durma noktasina gelebilir ve firewall’un iyi bir yazilima sahip olmamasi sonucunda bütün baglantilara izin verebilir ve sizi bütün dünyanin baglanti yapabilecegi bir hale getirir. ayni sey büyük bir sirkette oldugunda o sirket, firewall’un kapatilip açilmasi süresince veya DOS attack sonucu hizmet veremedigi süre boyunca inanilmaz bir prestij kaybina ugramaktadir.


Dogrusu elimden geldigince size Firewall’u anlatmaya çalistim, umarim isinize yarar.