Merhaba TurkHackTeam üyeleri bugün Güvenlik Duvarı Politika Sorgularını inceleyeceğiz.
İçindekiler
1. Nedir?
2. Kuralları
Nedir?
Güvenlik duvarları ağ güvenliğinde çok önemli unsurlardır ve özel ağların güvenliğini sağlamak için çoğu işletme ve kurumda yaygın olarak kullanılmaktadır. Güvenlik duvarının işlevi, gelen ve giden her paketi incelemek ve politikasına göre paketi kabul edip etmemeye karar vermektir. Güvenlik duvarı politikalarını analiz etmek için araçların olmaması nedeniyle, İnternet'teki çoğu güvenlik duvarı politika hatalarıyla karşı karşıya kalmıştır. Bir güvenlik duvarı politika hatası, kötü niyetli trafiğin özel bir ağa gizlice girmesine izin verecek güvenlik açıkları oluşturur veya meşru trafiği engeller ve normal iş süreçlerini bozar ve bu da trajik olmasa da onarılamaz sonuçlara yol açabilir. Güvenlik duvarı yöneticilerinin güvenlik duvarlarının işlevini anlamalarına ve analiz etmelerine yardımcı olmanın etkili bir yolu, sorgular göndermektir. Güvenlik duvarı sorgusuna bir örnek vermek gerekirse TurkHackTeam üyeleri, "Özel ağdaki hangi bilgisayarlar, dış İnternet'teki kötü niyetli olduğu bilinen bir ana bilgisayardan paket alabilir?" şeklindedir. Güvenlik duvarı sorgularını pratik olarak kullanışlı hale getirmek için iki sorunun çözülmesi gerekir: bir güvenlik duvarı sorgusunun nasıl tanımlanacağı ve bir güvenlik duvarı sorgusunun nasıl işleneceği. Bu konumda, güvenlik duvarı sorgularını tanımlamak için ilk olarak, Yapılandırılmış Güvenlik Duvarı Sorgu Dili (SFQL) olarak adlandırılan, SQL benzeri basit ve etkili bir sorgu dilini anlatacağım. İkinci olarak, güvenlik duvarı sorgu işleme algoritmaları geliştirmenin temeli olarak Güvenlik Duvarı Sorgu Teoremi adı verilen bir teorem veriyorum. Üçüncüsü, temel veri yapısı olarak karar diyagramlarını kullanan verimli bir güvenlik duvarı sorgu işleme algoritması veriyorum. Dördüncüsü, güvenlik duvarı sorgu sonuçlarını optimize etmek için yöntemler öneriyorum.
Kuralları
Kötü niyetli saldırılara ve yetkisiz trafiğe karşı ilk savunma hattı olarak hizmet veren güvenlik duvarları, çoğu işletmenin, kurumun ve hatta ev ağlarının özel ağlarının güvenliğini sağlamada çok önemli unsurlardır. Özel bir ağ ile dış İnternet arasındaki giriş noktasına bir güvenlik duvarı yerleştirilir, böylece tüm gelen ve giden paketlerin içinden geçmesi gerekir. Bir paket, sınırlı sayıda alana sahip bir demet olarak görüntülenebilir; bu alanlara örnek olarak kaynak/hedef IP adresi, kaynak/hedef bağlantı noktası numarası ve protokol türü verilebilir. Bir güvenlik duvarı, gelen ve giden her paketi, politikasına (yani yapılandırmaya) göre bir karara eşler. Bir güvenlik duvarı politikası, bir dizi kural tarafından hangi paketlerin meşru ve hangilerinin gayri meşru olduğunu tanımlar.
Güvenlik duvarı politikasındaki her kural şu şekildedir:
predicate ve decision
Bir kuraldaki predicate, bazı paket alanları ve bir paketin geldiği ağ arabirim kartı (NIC) üzerindeki bir Boole ifadesidir. 1 Kısaca, her paketin, bir paketin geldiği ağ arabiriminin kimliğini içeren bir alanı olduğunu varsayıyorum. Bir kuralın decision'si kabul edilebilir veya reddedilebilir veya bu kararların günlüğe kaydetme seçeneği gibi diğer seçeneklerle birleşimi olabilir. Basitlik için, bir kuraldaki decision'nin kabul veya ıskarta olduğunu varsayıyorum.
Bir paket, ancak ve ancak paketin kuralın predicate karşılaması durumunda bir kuralla eşleşir. Güvenlik duvarındaki son kuralın yüklemi (predicate), genellikle her paketin güvenlik duvarında en az bir eşleşen kurala sahip olmasını sağlamak için bir totolojidir. Güvenlik duvarındaki kurallar genellikle çakışır. Bir güvenlik duvarındaki iki kural, ancak ve ancak örtüşüyorsa ve farklı kararları varsa çatışır. Kurallar arasındaki çatışmalar nedeniyle, bir paket güvenlik duvarında birden fazla kuralla eşleşebilir ve bir paketin eşleştiği kurallar farklı kararlar alabilir. Kurallar arasındaki çakışmaları çözmek için, gelen veya giden her paket için bir güvenlik duvarı, paketin eşleştiği ilk (yani en yüksek öncelikli) kuralın kararına eşler. Farklı kararlara sahip iki örtüşen kuralın sözdizimsel olarak çatıştığını, ancak ilk eşleşme semantiği nedeniyle anlamsal olarak çelişmediğini unutmayın. Bu konumda, güvenlik duvarı politikaları arasındaki “çatışma (conflict)” tanımı, kuralların sözdizimine dayanmaktadır.
Bir güvenlik duvarının işlevi (yani davranışı), bir dizi kuraldan oluşan ilkesinde belirtilir. Güvenlik duvarının politikası, güvenlik duvarının güvenliğini ve işlevselliğini sağlamada en önemli bileşendir. Bununla birlikte, Blaster ve Sapphire gibi iyi yapılandırılmış bir güvenlik duvarı tarafından kolayca engellenebilen solucan ve virüslerin başarısının da gösterdiği gibi, İnternet'teki çoğu güvenlik duvarı kötü yapılandırılmıştır. Güvenlik duvarı güvenlik ihlallerinin çoğunun yapılandırma hatalarından kaynaklandığı gözlemlenmiştir. Güvenlik duvarı ilkesindeki bir hata, bazı meşru olmayan paketlerin meşru olarak tanımlandığı veya bazı meşru paketlerin gayri meşru olarak tanımlandığı anlamına gelir. Böyle bir politika hatası, kötü niyetli trafiğin özel bir ağa sızmasına izin verecek güvenlik açıkları oluşturur veya yasal trafiği engeller ve normal iş süreçlerini bozar ve bu da trajik olmasa da onarılamaz sonuçlara yol açabilir. Açıkçası, bir güvenlik duvarı politikası dağıtılmadan önce iyi anlaşılmalı ve iyi analiz edilmelidir. Eğer bu dediklerim yapılmazsa kötü sonuçlar alabilirsiniz.
Ancak, bir güvenlik duvarındaki çok sayıda kuralın ve kurallar arasındaki çok sayıda çakışmanın olması nedeniyle, bir güvenlik duvarının işlevini anlamanın ve analiz etmenin çok zor olduğu bilinmektedir. Güvenlik duvarındaki herhangi bir kuralın anlamı, o kuralın üzerinde listelenen tüm kurallar incelenmeden anlaşılamaz. Güvenlik duvarlarını anlama ve analiz etmedeki zorluklara katkıda bulunan başka faktörler de vardır. Örneğin, bir kurumsal güvenlik duvarı genellikle farklı yöneticiler tarafından farklı zamanlarda ve farklı nedenlerle yazılan kurallardan oluşur. Yeni güvenlik duvarı yöneticilerinin, yazmadıkları her kuralın anlamını anlamaları zordur.
Yöneticilerin güvenlik duvarlarını anlamalarına ve analiz etmelerine yardımcı olmanın etkili bir yolu, güvenlik duvarı sorguları yayınlamaktır. Güvenlik duvarı sorguları, bir güvenlik duvarının işleviyle ilgili sorulardır. Örnek bir güvenlik duvarı sorgusu "Özel ağdaki hangi bilgisayarlar, dış İnternet'ten BOOTP paketlerini alabilir?" şeklindedir. Bu tür güvenlik duvarı sorgularına yanıt bulmak, güvenlik duvarı yöneticisinin güvenlik duvarının işlevini anlaması ve analiz etmesi için çok yardımcı olur. Örneğin, bir güvenlik duvarının belirtiminin, bilinen kötü niyetli bir ana bilgisayar dışında, İnternet dışındaki tüm bilgisayarların özel ağdaki posta sunucusuna e-posta gönderebilmesini gerektirdiğini varsayarsak; güvenlik duvarı yöneticisi, "İnternet dışındaki hangi bilgisayarlar özel ağdaki posta sunucusuna e-posta gönderemez?" güvenlik duvarı sorgusu yayınlayarak güvenlik duvarının bu gereksinimi karşılayıp karşılamadığını test edebilir. Bu sorgunun yanıtı tam olarak bilinen kötü amaçlı ana bilgisayarı içeriyorsa, güvenlik duvarı yöneticisi güvenlik duvarının bu gereksinimi karşıladığından emin olur. Aksi takdirde, güvenlik duvarı yöneticisi, güvenlik duvarının bu gereksinimi karşılayamadığını ve yeniden yapılandırılması gerektiğini bilir.
İçindekiler
1. Nedir?
2. Kuralları
Nedir?
Güvenlik duvarları ağ güvenliğinde çok önemli unsurlardır ve özel ağların güvenliğini sağlamak için çoğu işletme ve kurumda yaygın olarak kullanılmaktadır. Güvenlik duvarının işlevi, gelen ve giden her paketi incelemek ve politikasına göre paketi kabul edip etmemeye karar vermektir. Güvenlik duvarı politikalarını analiz etmek için araçların olmaması nedeniyle, İnternet'teki çoğu güvenlik duvarı politika hatalarıyla karşı karşıya kalmıştır. Bir güvenlik duvarı politika hatası, kötü niyetli trafiğin özel bir ağa gizlice girmesine izin verecek güvenlik açıkları oluşturur veya meşru trafiği engeller ve normal iş süreçlerini bozar ve bu da trajik olmasa da onarılamaz sonuçlara yol açabilir. Güvenlik duvarı yöneticilerinin güvenlik duvarlarının işlevini anlamalarına ve analiz etmelerine yardımcı olmanın etkili bir yolu, sorgular göndermektir. Güvenlik duvarı sorgusuna bir örnek vermek gerekirse TurkHackTeam üyeleri, "Özel ağdaki hangi bilgisayarlar, dış İnternet'teki kötü niyetli olduğu bilinen bir ana bilgisayardan paket alabilir?" şeklindedir. Güvenlik duvarı sorgularını pratik olarak kullanışlı hale getirmek için iki sorunun çözülmesi gerekir: bir güvenlik duvarı sorgusunun nasıl tanımlanacağı ve bir güvenlik duvarı sorgusunun nasıl işleneceği. Bu konumda, güvenlik duvarı sorgularını tanımlamak için ilk olarak, Yapılandırılmış Güvenlik Duvarı Sorgu Dili (SFQL) olarak adlandırılan, SQL benzeri basit ve etkili bir sorgu dilini anlatacağım. İkinci olarak, güvenlik duvarı sorgu işleme algoritmaları geliştirmenin temeli olarak Güvenlik Duvarı Sorgu Teoremi adı verilen bir teorem veriyorum. Üçüncüsü, temel veri yapısı olarak karar diyagramlarını kullanan verimli bir güvenlik duvarı sorgu işleme algoritması veriyorum. Dördüncüsü, güvenlik duvarı sorgu sonuçlarını optimize etmek için yöntemler öneriyorum.
Kuralları
Kötü niyetli saldırılara ve yetkisiz trafiğe karşı ilk savunma hattı olarak hizmet veren güvenlik duvarları, çoğu işletmenin, kurumun ve hatta ev ağlarının özel ağlarının güvenliğini sağlamada çok önemli unsurlardır. Özel bir ağ ile dış İnternet arasındaki giriş noktasına bir güvenlik duvarı yerleştirilir, böylece tüm gelen ve giden paketlerin içinden geçmesi gerekir. Bir paket, sınırlı sayıda alana sahip bir demet olarak görüntülenebilir; bu alanlara örnek olarak kaynak/hedef IP adresi, kaynak/hedef bağlantı noktası numarası ve protokol türü verilebilir. Bir güvenlik duvarı, gelen ve giden her paketi, politikasına (yani yapılandırmaya) göre bir karara eşler. Bir güvenlik duvarı politikası, bir dizi kural tarafından hangi paketlerin meşru ve hangilerinin gayri meşru olduğunu tanımlar.
Güvenlik duvarı politikasındaki her kural şu şekildedir:
predicate ve decision
Bir kuraldaki predicate, bazı paket alanları ve bir paketin geldiği ağ arabirim kartı (NIC) üzerindeki bir Boole ifadesidir. 1 Kısaca, her paketin, bir paketin geldiği ağ arabiriminin kimliğini içeren bir alanı olduğunu varsayıyorum. Bir kuralın decision'si kabul edilebilir veya reddedilebilir veya bu kararların günlüğe kaydetme seçeneği gibi diğer seçeneklerle birleşimi olabilir. Basitlik için, bir kuraldaki decision'nin kabul veya ıskarta olduğunu varsayıyorum.
Bir paket, ancak ve ancak paketin kuralın predicate karşılaması durumunda bir kuralla eşleşir. Güvenlik duvarındaki son kuralın yüklemi (predicate), genellikle her paketin güvenlik duvarında en az bir eşleşen kurala sahip olmasını sağlamak için bir totolojidir. Güvenlik duvarındaki kurallar genellikle çakışır. Bir güvenlik duvarındaki iki kural, ancak ve ancak örtüşüyorsa ve farklı kararları varsa çatışır. Kurallar arasındaki çatışmalar nedeniyle, bir paket güvenlik duvarında birden fazla kuralla eşleşebilir ve bir paketin eşleştiği kurallar farklı kararlar alabilir. Kurallar arasındaki çakışmaları çözmek için, gelen veya giden her paket için bir güvenlik duvarı, paketin eşleştiği ilk (yani en yüksek öncelikli) kuralın kararına eşler. Farklı kararlara sahip iki örtüşen kuralın sözdizimsel olarak çatıştığını, ancak ilk eşleşme semantiği nedeniyle anlamsal olarak çelişmediğini unutmayın. Bu konumda, güvenlik duvarı politikaları arasındaki “çatışma (conflict)” tanımı, kuralların sözdizimine dayanmaktadır.
Bir güvenlik duvarının işlevi (yani davranışı), bir dizi kuraldan oluşan ilkesinde belirtilir. Güvenlik duvarının politikası, güvenlik duvarının güvenliğini ve işlevselliğini sağlamada en önemli bileşendir. Bununla birlikte, Blaster ve Sapphire gibi iyi yapılandırılmış bir güvenlik duvarı tarafından kolayca engellenebilen solucan ve virüslerin başarısının da gösterdiği gibi, İnternet'teki çoğu güvenlik duvarı kötü yapılandırılmıştır. Güvenlik duvarı güvenlik ihlallerinin çoğunun yapılandırma hatalarından kaynaklandığı gözlemlenmiştir. Güvenlik duvarı ilkesindeki bir hata, bazı meşru olmayan paketlerin meşru olarak tanımlandığı veya bazı meşru paketlerin gayri meşru olarak tanımlandığı anlamına gelir. Böyle bir politika hatası, kötü niyetli trafiğin özel bir ağa sızmasına izin verecek güvenlik açıkları oluşturur veya yasal trafiği engeller ve normal iş süreçlerini bozar ve bu da trajik olmasa da onarılamaz sonuçlara yol açabilir. Açıkçası, bir güvenlik duvarı politikası dağıtılmadan önce iyi anlaşılmalı ve iyi analiz edilmelidir. Eğer bu dediklerim yapılmazsa kötü sonuçlar alabilirsiniz.
Ancak, bir güvenlik duvarındaki çok sayıda kuralın ve kurallar arasındaki çok sayıda çakışmanın olması nedeniyle, bir güvenlik duvarının işlevini anlamanın ve analiz etmenin çok zor olduğu bilinmektedir. Güvenlik duvarındaki herhangi bir kuralın anlamı, o kuralın üzerinde listelenen tüm kurallar incelenmeden anlaşılamaz. Güvenlik duvarlarını anlama ve analiz etmedeki zorluklara katkıda bulunan başka faktörler de vardır. Örneğin, bir kurumsal güvenlik duvarı genellikle farklı yöneticiler tarafından farklı zamanlarda ve farklı nedenlerle yazılan kurallardan oluşur. Yeni güvenlik duvarı yöneticilerinin, yazmadıkları her kuralın anlamını anlamaları zordur.
Yöneticilerin güvenlik duvarlarını anlamalarına ve analiz etmelerine yardımcı olmanın etkili bir yolu, güvenlik duvarı sorguları yayınlamaktır. Güvenlik duvarı sorguları, bir güvenlik duvarının işleviyle ilgili sorulardır. Örnek bir güvenlik duvarı sorgusu "Özel ağdaki hangi bilgisayarlar, dış İnternet'ten BOOTP paketlerini alabilir?" şeklindedir. Bu tür güvenlik duvarı sorgularına yanıt bulmak, güvenlik duvarı yöneticisinin güvenlik duvarının işlevini anlaması ve analiz etmesi için çok yardımcı olur. Örneğin, bir güvenlik duvarının belirtiminin, bilinen kötü niyetli bir ana bilgisayar dışında, İnternet dışındaki tüm bilgisayarların özel ağdaki posta sunucusuna e-posta gönderebilmesini gerektirdiğini varsayarsak; güvenlik duvarı yöneticisi, "İnternet dışındaki hangi bilgisayarlar özel ağdaki posta sunucusuna e-posta gönderemez?" güvenlik duvarı sorgusu yayınlayarak güvenlik duvarının bu gereksinimi karşılayıp karşılamadığını test edebilir. Bu sorgunun yanıtı tam olarak bilinen kötü amaçlı ana bilgisayarı içeriyorsa, güvenlik duvarı yöneticisi güvenlik duvarının bu gereksinimi karşıladığından emin olur. Aksi takdirde, güvenlik duvarı yöneticisi, güvenlik duvarının bu gereksinimi karşılayamadığını ve yeniden yapılandırılması gerektiğini bilir.
