Afşin Taşkıran

Istanbul Bilgi Universitesi’nde duzenlenen Ozgur Yazilim ve Acik Kaynak Gunleri etkinliginde 4 Mart 2007 Pazar gunu saat 15:00 de “Linux Uzerinde Ileri Duzey Guvenlik Duvari Uygulamalari” baslikli bir sunum yapacagim. Sunumda deyinecegim ana basliklardan soz etmek gerekirse;

Kopru modunda Linux
ebtables ile L2 paket filtreleme
Iptables ile paket filtreleme ve NAT işlemleri
Patch-o-matic
L7-filter ile güvenlik duvarı işlemleri
Linux ile trafik kontrolü ve QOS
Cluster yapıda Linux güvenlik duvarı

Ayrica EnderUnix ekibinden Baris Simsek‘in “Acik Kod Voip Cozumleri” ve Huzeyfe Onal‘in da “Ozgur Güvenlik Yazilimlari ile Sinir Güvenligi - Ozgur Yazilimlar Ne Kadar Yeterlidir? ” baslikli sunumlari olacak.

27 Subat 2007 gunu Swiss Otel’de IDC IT Security Roadshow 2007 etkinligi duzenleniyor. Turkiye’de duzenlenen guvenlik temelli en profesyonel etkinlik olmasi nedeniyle guvenlik uzmanlarini bir araya getirecegi tahmin ediliyor.

OpenSolaris projesinin acik kod dunyasina kattigi en buyuk yazilimlardan biri hic kuskusuz ZFS (Zettabyte File System) oldu.

ZFS; guvenlik, kararlilik, kolay yonetilebilirlik gibi bir cok ozelligi ile var olan dosya sistemlerinin onune geciyor. ZFS’e bu ismin verilmesinin nedeni ise alfabedeki son harfin “Z” olmasi. Yani mukemmellik olarak bundan sonrasi olamaz anlamina geliyor.

Lisanslama turu olarak OpenSolaris ve Solaris’de oldugu gibi ozel bir acik kod lisansı olan CDDL kullaniliyor.

ZFS’in getirdiklerini ana hatlariyla siralamak gerekirse;

- Pooled storage modeli
- Veri bozulmalarına karsi tam koruma
- Es zamanli veri temizleme
- Disk sifreleme desteği
- Hizli yerel yedekleme ve geri alma
- Yuksek olceklenebilirlik
- Yerlesik sIkIstirma
- Kolay yonetim

ZFS, 128 bit yapisiyla karsimiza geliyor. Guvenilirlik o kadar on plandaki elektrik kesintileri, dosya islemleri vb olasi durumlarda veri butunlugu garanti ediliyor.

Guncel Solaris ve OpenSolaris sistemlerde ZFS kullanilabilir durumda. ZFS’in diger isletim sistemlerinde kullanilmasina DragonFLY BSD ile baslandi diyebiliriz. Gectigimiz yilin Google yaz kampinda da Linux’a tasinmasi gerceklesti. FreeBSD isletim sistemininde 7x surumunde gelmesi bekleniyor.

Nat, Ip paketlerinin kaynak veya hedef adreslerinin port veya IP bilgilerinin değiştirilmesi işlemidir.

Iptables, tam olarak NAT’ı desteklemektedir. Kaynak ve hedef adreslerinin değiştirilmesine imkan sağlamaktadır.

NAT ve paket yönlendirme birlikte kullanılmasına rağmen çok farklı teknolojilerdir. Bir cok yonetici NAT islemi ile yonlendirme isleminin de gerceklesecegini dusunmektedir.

• Paket yönlendirme, iletim fonksiyonudur. Paket yönlendirme işlemleri filter tablosundaki FORWARD zinciri tarafından kontrol edilir.
• Nat ise nat tablosundaki çevrim fonksiyonudur. nat tablosu POSTROUTING, PREROUTING ve OUTPUT zincirlerini kullanır.

Kaynak ve hedef adreslerinin değiştirilmesine dayanan iki tür NAT vardır.

Kaynak NAT, paket yönlendirmesi gerçekleştikten sonra POSTROUTING zinciri ile yapılır. Hedef NAT ise paket yönlendirmesi gerçekleşmeden önce PREROUTING zinciri ile yapılır.

One-time-passwd adi verilen tek kullanimlik sifrelerin kullanimi oldukca artti. Yazilim uygulamarindan guvenlik duvari, sunucu girislerine kadar heryerde tek kullanimlik sifre uygulamasina gecilmeye calisiliyor.

Calisma yapisi olarak tum kimlik dogrulama bir Radius sunucudan gerceklesiyor. Yani sisteminizi ya da uygulamanizi Radius’dan sifre soracak sekilde ayarlamaniz gerekiyor. Kutu urunlerde one-time-passwd kullanimi daha kolay olsa da Linux ve BSD sistemlerde biraz sancili olabiliyor.

Linux sistemlerde Pam yardımı ile Radius sunucusu üzerinden kimlik doğrulama yapabilmek için pam_radius_auth modülünün kurulu olması gerekiyor. Aşağıdaki adresten bu modülü indirebilirsiniz.

http://www.freeradius.org/pam_radius_auth/

Kurulum asamasinda pam kutuphanelerinin yapilandirmasina dikkat etmeniz gerekiyor.

Juniper’in ag ve guvenlik gibi bir cok alanda sertifikasi mevcut. Juniper Router larin ve Netscreen Firewall larin profesyonel ortamlarda kullanilmasiyla bu cihazlara hakim kisilerin yetkinlikleri de onem kazaniyor.

Resmi olarak duyurulmamakla birlikte Netscreen tarafinda varolan Juniper Networks Certified Internet Associate (JNCIA-FWV) ve Juniper Networks Certified Internet Specialist (JNCIS-FWV) sertifikalarinin yanina bir de Juniper Networks Certified Internet Expert (JNCIE-FW) sertifikasi ekleniyor.

juniper firmasi bu sertifikalari uzmanlarin yetismesi ve bilgilerini belgelemeleri icin kullaniyor. Bunun yaninda cesitli is ortakliklari icin de bu belgelere sahip uzmanlarin bulunmasini sart kosuyor.

Cok saglam bir guvenlik duvari olan Netscreen’in ulkemizde de yayginlasmasiyla birlikte bunlara vakif uzman kisilere olan ihtiyacin da artmasi bekleniyor.

Bu siralar all-in-one security diye tabir edilen guvenlik cozumleri moda olmaya basladi. Kisaca tabirden bahsetmek gerekirse hepsi bir arada guvenlik cozumlerinden kasit; guvenlik duvari, IDS/IPS, URL icerik filtreleme, virus tarama, VPN vb. ag sunucusu islevlerinin tek kutuda birlestirilmesi. Her cozum bir ihtiyactan ortaya cikiyor tabi ki. Bunlara ihtiyac duyulan yerler ise kucuk ve orta olcekli isletmeler ile guvenlik butcelerinin ve gereksinimlerinin kisitli olmasi.

Hepsi bir arada guvenlik cozumleri, donanim maliyeti bakimindan ciddi kazanclar saglayabiliyor. Guvenlik duvari, IDS/IPS gibi islevleri olan sunuculari ayri cihazlara kurmaktansa ya da satin almaktansa tek sunucuda bunlari halledebiliyorsunuz. Ancak guvenlik acisindan ciddi sikintilar da yasatabiliyorlar. Idealde bir IDP nin L2 modda calismasi gerekirken L3 de bulunmasi gereken bir guvenlik duvariniz oldugundan bu islevden feragat ediyorsunuz, orta yolu bulmaya calisiyorsunuz. Ayrica ayrik guvenlik anlayisini da hice sayan bir model gibi karsimiza cikiyor. Sunucu uzerinde bir cok yazilim calistigindan herhangi birinde cikabilecek olasi guvenlik acigindan tum sisteminiz etkilenebiliyor.

Olayin ic yuzune bakarsak Linux ve BSD tabanli cogu guvenlik duvari uzerinde proxy, icerik filtreleme ve IDP gibi ozellikler eskiden beri ayni anda calistiriliyordu. Ancak ticari guvenlik cozumleri hem maliyetleri hem de teknik nedenler ile bu sekilde calistirilamiyordu. Bu siralar tekrar gundeme gelmesinin nedeni ise ticari guvenlik firmalarinin bu pazara da girmesi. Check Point ile ISS firmasinin all-in-one cozumleri ipi gogusleyenler arasinda. Check Point’in UTM-1 kutusu gercekten incelemeye deger gercekten. Check Point FW’nin ayrik mimarisi ve yazilimsal bir cozum olmasi nedeniyle kucuk isletmelerde kullanimi zordu. Ancak UTM-1 kutusu ile hepsi bir arada guvenlik anlayisi ve ek bir donanim gerektirmemesi bir arti sunuyor. Kim bilir belki Check Point’in en buyuk eksilerinden biri olarak gordugum standart bir donanim ile butunlesik calismayisina da bir cozum getirilebilecek. Ayni sekilde ISS’ in M serisi guvenlik cozumleri de bunlardan biri. Her ne kadar Linux isletim sistemi uzerine kurulu bir yapi olsa da daha da gelismesini bekliyorum. Tum bunlar bize gosteriyor ki ticari guvenlik firmalari da artik KOBI pazarina inmeye calisiyor.

Daha once Solaris Express in Community Release ini kullanmistim. SECR kullanmaktaki amac ise OpenSolaris icin alt yapi olusturmakti. Ancak Solaris Express in oyle de bir surumu var ki tam olarak yazilim gelistiriciler icin.

Solaris Express Developer Edition, OpenSolaris temelli bir sistem. Solaris, Java ve Web 2.0 icin uygulamalar gelistirebiliyorsunuz. Ayni zamanda Solaris API leri icin test ortami da sunuyor.

Son surumu olan 2/07 ise simdilik sadece x86 tabanli sistemlerde calisabiliyor.

SEDE’ a asagidaki adresten sahip olabilirsiniz.

http://developers.sun.com/solaris/downloads/solexpdev/

Bugun haber listelerinde cok yanki bulan bir guvenlik acigi yayinlandi.

http://www.securityfocus.com/bid/22512/

Guvenlik acigina gore telnet servisi calistiran Solaris 10 isletim sistemlere uzaktan cok kolay bir sekilde erisilebiliyor. Solaris 8 ve 9 olan sistemlerde bu acigi denedim ama calismadi.

Kisa vadede yapilmasi gereken ise, Solaris 10 olan sistemlerde telnet servisini kapatip ssh (OpenSSH veya SunSSH) kullanmaya baslamak.

svcadm disable telnet

Solaris’in son surumu olan S10 11/06 ise telnet servisi ontanimli kapali geliyor. OpenSolaris sistemler de bu aciktan etkileniyor.

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır.

Ağ geçidi olarak çalışan güvenlik duvarlarının farklı ağ katmanlarında IP adresi olması gerektiğinden ağ geçidinin gizliliği soz konusu olamaz. Varolan bir ağ yapısına güvenlik duvarı konumlandırılmak istendiğinde ağ katmanlarının ayrılması ve en az iki ağ katmanı oluşturulması gerekir. Adres yönlendirme gerekmeyen ağlarda güvenlik duvarının ilgili ağ arayüzünde IP adresi olmadan çalıştırılabilmesi, bu gibi güvenlik ve yapılandırma problemlerine çözüm getirmektedir. Güvenlik duvarının bu şekilde çalıştırılmasına köprü modu da ( bridge mode ) denmektedir.Ayrıca köprü modunda çalıştırılırken kullanıcılara hissettirmeden trafik kontrolu yapılabilmektedir. Layer 7 paket filtreleme ve IDS/IPS sistemler için ideal yapıdır.

Bu belgeye kişisel web adresimden ve EnderUnix belge deposundan erişebilirsiniz.