Afşin Taşkıran

Istanbul Bilgi Universitesi’nde duzenlenen Ozgur Yazilim ve Acik Kaynak Gunleri etkinliginde 4 Mart 2007 Pazar gunu saat 15:00 de “Linux Uzerinde Ileri Duzey Guvenlik Duvari Uygulamalari” baslikli bir sunum yapacagim. Sunumda deyinecegim ana basliklardan soz etmek gerekirse;

Kopru modunda Linux
ebtables ile L2 paket filtreleme
Iptables ile paket filtreleme ve NAT işlemleri
Patch-o-matic
L7-filter ile güvenlik duvarı işlemleri
Linux ile trafik kontrolü ve QOS
Cluster yapıda Linux güvenlik duvarı

Ayrica EnderUnix ekibinden Baris Simsek‘in “Acik Kod Voip Cozumleri” ve Huzeyfe Onal‘in da “Ozgur Güvenlik Yazilimlari ile Sinir Güvenligi - Ozgur Yazilimlar Ne Kadar Yeterlidir? ” baslikli sunumlari olacak.

Nat, Ip paketlerinin kaynak veya hedef adreslerinin port veya IP bilgilerinin değiştirilmesi işlemidir.

Iptables, tam olarak NAT’ı desteklemektedir. Kaynak ve hedef adreslerinin değiştirilmesine imkan sağlamaktadır.

NAT ve paket yönlendirme birlikte kullanılmasına rağmen çok farklı teknolojilerdir. Bir cok yonetici NAT islemi ile yonlendirme isleminin de gerceklesecegini dusunmektedir.

• Paket yönlendirme, iletim fonksiyonudur. Paket yönlendirme işlemleri filter tablosundaki FORWARD zinciri tarafından kontrol edilir.
• Nat ise nat tablosundaki çevrim fonksiyonudur. nat tablosu POSTROUTING, PREROUTING ve OUTPUT zincirlerini kullanır.

Kaynak ve hedef adreslerinin değiştirilmesine dayanan iki tür NAT vardır.

Kaynak NAT, paket yönlendirmesi gerçekleştikten sonra POSTROUTING zinciri ile yapılır. Hedef NAT ise paket yönlendirmesi gerçekleşmeden önce PREROUTING zinciri ile yapılır.

Güvenlik duvarlarının çıkış amacı gelen ve giden paketleri kontrol altında tutabilmek ve dolayısıyla paket filtreleme yapmaktı. Ancak gelişen ihtiyaçlar ile birlikte güvenlik duvarları birden fazla ağ katmanı arasında yönlendirici cihazlar gibi konumlandırılmaya başlandı. Böylece güvenlik duvarına gelen ve güvenlik duvarından giden paketlerin kontrolünün dışında hedefi farklı ağ katmanlarındaki sistemler olan paketler üzerinde kontrol yapılmaya başlandı. Günümüzde çalışan bir çok güvenlik duvarı da bu mantığa göre çalışmaktadır.

Ağ geçidi olarak çalışan güvenlik duvarlarının farklı ağ katmanlarında IP adresi olması gerektiğinden ağ geçidinin gizliliği soz konusu olamaz. Varolan bir ağ yapısına güvenlik duvarı konumlandırılmak istendiğinde ağ katmanlarının ayrılması ve en az iki ağ katmanı oluşturulması gerekir. Adres yönlendirme gerekmeyen ağlarda güvenlik duvarının ilgili ağ arayüzünde IP adresi olmadan çalıştırılabilmesi, bu gibi güvenlik ve yapılandırma problemlerine çözüm getirmektedir. Güvenlik duvarının bu şekilde çalıştırılmasına köprü modu da ( bridge mode ) denmektedir.Ayrıca köprü modunda çalıştırılırken kullanıcılara hissettirmeden trafik kontrolu yapılabilmektedir. Layer 7 paket filtreleme ve IDS/IPS sistemler için ideal yapıdır.

Bu belgeye kişisel web adresimden ve EnderUnix belge deposundan erişebilirsiniz.