- Katılım
- 28 Temmuz 2013
- Mesajlar
- 47
- Tepkime puanı
- 9
- Puanları
- 0
- Konum
- Universe
- Web sitesi
- www.twitter.com
Bu tip ateş duvarları IP iletişim kuralını (protocol), IP adresini ve port numarasını denetleyen eden bizim tarafımızdan belirlenen bazı kurallar (rule) içerirler. O yüzden ayarlarını çok iyi yapmamız gerekmektedir. Diğer türlere nazaran daha zahmetlidir. Bu tip ateş duvarları paketlerin uygulama olup olmadığıyla değil ağ tarafı ile ilgilenirler. IP paketini açıp IP başlığına yani kaynak (source) hedef (target), iletişim kuralı, port vs bakarlar.
Bunun bir kötü tarafı vardır. Örneğin ağ sunucunuz var diyelim. Her şeyi engelleyip sadece web trafiğini açarsınız. Buraya kadar her şey güzel. Herkes web sunucunuza erişiyor. Başka hiçbir şey yapamıyorlar ama sizin web sunucunuza saldıran da erişiyor gezinti yapan da. Bunu ayırt edebilmesi için IDS (Intrusion Detection System - Saldırı Denetleme Sistemi) veya IPS (Intrusion Prevention System - Saldırı Önleme Sistemi) özelliginin olması gerekir. Paket süzen ateş duvarları bu farkı algılayamazlar. Ayrıca bu tip ateş duvarları stateful packet inspection (ip paket denetleme) yapamazlar. Yani paketlerin gerçekten istenilen iletişim kuralı (protocol), port ve ip den gelip gelmediğini anlayamazlar. Biraz daha açmak gerekirse paketin daha önceden kurulmuş bir bağlantıdan mı geldiğini anlayamazlar. Eklediğimiz kural ne diyorsa ona bakarlar. Yani bu tip ateş duvarına "sadece dışardan gelen paketlere izin ver ama bağlantı daha öncedenkurulmuş olsun" diyemiyoruz.
Bu biraz kafa karıştırıcı olabilir. Burada şunu anlamamız gerekiyor. Mesela A ve B makinası TCP bağlantısı kurduğunda üç yollu el sıkışma (3-way handshake) diye bir işlem gerçekleşir. Basit olarak anlatacak olursak, bu işlemde A makinası B makinasına (1)SYN paketi gönderir. B makinası karşılık olarak (2)SYN/ACK gönderir. Ondan sonra A makinası B'ye (3)ACK paketi gönderir ve bağlantı kurulmuş olur. Siz bilgisayarınızda başlat/çalıştır a "cmd" yazıp komut isteminde "netstat -an" yazarsanız gördüğünüz "ESTABLISHED" bağlantılar bu işlemin gerçekleştigini göstermektedir. Daha fazla ayrıntıya girmek istemiyorum. Sonuç olarak herhangi bir A makinası böyle bir işlem olmadan paket süzen bir ateş duvarının zaafından yararlanabilir. Mesela saldıran biri durmadan SYN gönderebilir. IP yanıltma (spoofing) yapabilir.
Bunun bir kötü tarafı vardır. Örneğin ağ sunucunuz var diyelim. Her şeyi engelleyip sadece web trafiğini açarsınız. Buraya kadar her şey güzel. Herkes web sunucunuza erişiyor. Başka hiçbir şey yapamıyorlar ama sizin web sunucunuza saldıran da erişiyor gezinti yapan da. Bunu ayırt edebilmesi için IDS (Intrusion Detection System - Saldırı Denetleme Sistemi) veya IPS (Intrusion Prevention System - Saldırı Önleme Sistemi) özelliginin olması gerekir. Paket süzen ateş duvarları bu farkı algılayamazlar. Ayrıca bu tip ateş duvarları stateful packet inspection (ip paket denetleme) yapamazlar. Yani paketlerin gerçekten istenilen iletişim kuralı (protocol), port ve ip den gelip gelmediğini anlayamazlar. Biraz daha açmak gerekirse paketin daha önceden kurulmuş bir bağlantıdan mı geldiğini anlayamazlar. Eklediğimiz kural ne diyorsa ona bakarlar. Yani bu tip ateş duvarına "sadece dışardan gelen paketlere izin ver ama bağlantı daha öncedenkurulmuş olsun" diyemiyoruz.
Bu biraz kafa karıştırıcı olabilir. Burada şunu anlamamız gerekiyor. Mesela A ve B makinası TCP bağlantısı kurduğunda üç yollu el sıkışma (3-way handshake) diye bir işlem gerçekleşir. Basit olarak anlatacak olursak, bu işlemde A makinası B makinasına (1)SYN paketi gönderir. B makinası karşılık olarak (2)SYN/ACK gönderir. Ondan sonra A makinası B'ye (3)ACK paketi gönderir ve bağlantı kurulmuş olur. Siz bilgisayarınızda başlat/çalıştır a "cmd" yazıp komut isteminde "netstat -an" yazarsanız gördüğünüz "ESTABLISHED" bağlantılar bu işlemin gerçekleştigini göstermektedir. Daha fazla ayrıntıya girmek istemiyorum. Sonuç olarak herhangi bir A makinası böyle bir işlem olmadan paket süzen bir ateş duvarının zaafından yararlanabilir. Mesela saldıran biri durmadan SYN gönderebilir. IP yanıltma (spoofing) yapabilir.