Home :: International :: Manuals :: Howto :: FAQ :: Man Pages :: Email Login
 
 

 
8. Ağ Güvenliği
Önceki Linux Güvenlik NASIL Sonraki

8. Ağ Güvenliği

Ağ güvenliği, insanların bağlı olduğu süre arttıkça, daha önemli hale gelmektedir. Ağ güvenliğini bozmak, fiziksel veya yerel güvenliği bozmaktan çok daha kolay, ve çok daha yaygındır.

Ağ güvenliğine yardımcı olan iyi araçlar var, ve Linux dağıtımlarıyla birlikte gelenlerin sayısı gittikçe artıyor.

8.1. Paket Koklayıcılar

Saldırganların, ağınız üzerinde daha fazla sisteme erişim kazanmasının en yaygın yollarından biri, güvenliği bozulan bilgisayarlardan birinin üzerinde bir paket koklayıcı çalıştırmasıdır. Bu "koklayıcı", paket akışı içinde passwd, login ve su gibi şeyler için Ethernet portunu dinler ve günlük tutar. Bu yolla saldırganlar, girmeye hiç kalkışmadıkları sistemlerin parolalarına dahi erişebilirler. Açık metin parolalar bu saldırıya karşı çok korunmasızdırlar.

Örnek: A Bilgisayarının güvenliği bozulmuş durumda. Saldırgan bir koklayıcı kurar. Koklayıcı, B Bilgisayarından C Bilgisayarına giriş yapan sisyön (sistem yöneticisi) parolasını ele geçirir. Sonra, sisyön bir sorunu çözmek için su yapar. Saldırganlar böylelikle B Bilgisayarındaki root parolasına da sahip olur. Daha sonra sisyön, herhangi bir kişiye, hesabından Z Bilgisayarına telnet ile bağlanmasına izin verir. Artık saldırgan Z Bilgisayarında da bir parola/giriş bilgisine sahiptir.

Günümüzde bir saldırganın bunu yapabilmesi için bir sistemin güvenliğini bozmasına dahi gerek yoktur: Kendi kişisel veya dizüstü bilgisayarlarını bir binaya getirip ağınıza saplanabilirler.

ssh veya diğer şifreli parola yöntemlerini kullanarak, bu saldırının önüne geçilebilir. POP hesapları iin APOP gibi şeyler bu saldırıyı engeller (Olağan POP girişleri, ağ üzerinde açık metin parola gönderen herşey gibi, bu saldırıya karşı çok korunmasızdır).

8.2. Sistem servisleri ve tcp_wrappers

Linux sisteminizi HERHANGİ bir ağ üzerine koymadan önce, bakmanız gereken ilk şey hangi servisleri sunmanız gerektiğidir. Sunmanız gerekmeyen servisler kapatılmalı, ki her gereksiz servisin kapatılışı, endişelenmeniz gereken ve saldırganların delik arayacağı şeylerin bir azalması anlamına gelir.

Linux'ta servisleri kapatmanın bir kaç yolu vardır. /etc/inetd.conf dosyasına bakarak inetd tarafından hangi servislerin sunulduğunu görebilirsiniz. Gereksinim duymadıklarınızı açıklama haline getirerek (o satırın başına # koyarak), ve sonrasında inetd işlemine bir SIGHUP sinyali göndererek kapatabilirsiniz.

Bunun yanısıra, /etc/services dosyasındaki servisleri silebilirsiniz (ya da açıklama haline getirebilirsiniz). Bu, yerel istemcilerin de servisi kullanamaması anlamına gelir (yani ftp satırını siler, sonra o makineden uzaktaki bir siteye ftp bağlantısı yapmaya çalışırsanız, işlem "bilinmeyen servis" mesajı vererek başarısız olacaktır. Genellikle /etc/services dosyasındaki servisleri kaldırarak çıkacak sorunlarla uğraşmaya değmez, çünkü ek bir güvenlik getirisi yoktur. Eğer yerel bir kullanıcı, kaldırmış olmanıza rağmen ftp kullanmak isterse, yaygın ftp portunu kullanan kendi istemcisini yapıp bunu başarabilir.

Çalışır durumda olmasını isteyebileceğiniz servislerden bazıları:
  • ftp

  • telnet (veya ssh)

  • mail, örneğin pop-3 veya imap

  • identd

Eğer belirli bir paketi kullanmayacağınızdan eminseniz, toptan kaldırma yolunu da seçebilirsiniz. Red Hat Linux altında rpm -e paketismi komutu ile bütün paketi silmeniz mümkündür. Debian altında dpkg --remove komutu aynı işi görecektir.

Ek olarak, gerçekten rsh/rlogin/rcp gereçlerini /etc/inetd.conf dosyasını kullanarak kapatmak isteyebilirsiniz; buna login (rlogin tarafından kullanılan), shell (rcp tarafından kullanılan), ve exec (rsh tarafından kullanılır) de dahildir. Bu protokoller aşırı derecede güvensizdir ve geçmişte bir çok açığın sebebi olmuştur.

/etc/rc.d/rc[0-9].d (Red Hat) veya /etc/rc[0-9].d (Debian) başlangıç dizinlerini kontrol ederek, herhangi bir sunucunun çalıştırılıp çalıştırılmadığını görebilirsiniz. Bu dizindeki dosyalar aslında /etc/rc.d/init.d (Red Hat) dizinindeki dosyalara simgesel bağlardır (Debian'da /etc/init.d). init.d dizinindeki dosyaların isimlerini değiştirmek, o dosyaya bağlı olan simgesel bağları etkisiz hale getirir. Eğer belirli bir çalışma düzeyindeki servisi kapatmak istiyorsanız, ilgili simgesel bağın ismindeki büyük S harfini küçük s harfiyle değiştirebilirsiniz: 

    root#  cd /etc/rc6.d
    root#  mv S45dhcpd s45dhcpd

Eğer BSD-tarzı başlangıç dosyalarınız varsa, ihtiyacınız olmayan programlar için /etc/rc* dizinini kontrol etmek isteyebilirsiniz.

Çoğu Linux dağıtımı, tüm TCP servislerinizi "örten" tcp_wrappers [23] ile birlikte gelir. Gerçek sunucunun yerine bir tcp_wrapper (tcpd) çalıştırılır, tcpd servisi isteyen bilgisayarı kontrol eder, ya gerçek sunucuyu çalıştırır, veya o bilgisayardan erişimi reddeder. tcpd, TCP servislerinize erişimi kısıtlamanızı sağlar. /etc/hosts.allow dosyası oluşturmalı, ve sadece makinenize erişime gereksinim duyan bilgisayarları eklemelisiniz.

Evden bağlanan bir çevirmeli ağ kullanıcı iseniz, önerimiz her bağlantıyı reddetmenizdir. tcpd aynı zamanda başarısız olan bağlantı girişimlerinin de günlüğünü tutar, bu şekilde bir saldırı geldiğinde haberiniz olur. Eğer yeni TCP-tabanlı servisler eklerseniz, tcp_wrappers kullanacak şekilde yapılandırmalısınız. Örneğin, olağan çevirmeli ağ kullanıcıları dışarıdakilerin kendi makinelerine bağlanmasını engelleyebilir, ama aynı zamanda mektup alma, ve İnternete ağ bağlantısı kurma işlemlerini de gerçekleştirebilir. Bunu yapmak için, /etc/hosts.allow dosyanıza:

ALL: 127.

satırını ekleyebilirsiniz. Elbette /etc/hosts.deny dosyanız da

ALL: ALL

satırını bulundurmalı. Bu şekilde makinenize dışarıdan gelen tüm bağlantıları engeller, bununla birlikte içerde İnternetteki servislere bağlanmanıza izin verirsiniz.

tcp_wrappers'ın diğer bir kaç diğer servis dışında, sadece inetd tarafından çalıştırılan servisleri koruduğunu unutmayın. Makinenizde çalışan pekala diğer servisler de olabilir. netstat -ta komutunu kullanarak makinenizde sunulan tüm servislerin bir listesini görebilirsiniz.

8.3. DNS Bilgisinin Doğrulanması

Ağınızdaki bütün bilgisayarların DNS bilgisinin güncel tutulması, güvenliğin artırılmasında yardımcı olabilir. Eğer izinsiz bir bilgisayar ağınıza bağlanırsa, DNS girişinin olmamasından tanyabilirsiniz. Bir çok serviste, sadece geçerli bir DNS girişi olduğunda bağlantıya izin verilmesi şeklinde bir yapılandırma gerçekleştirmek mümkündür.

8.4. identd

identd, inetd sunucunuzun dışında çalışan küçük bir programdır. Hangi kullanıcının hangi TCP servisini çalıştırdığını izler, ve istendiğinde rapor verir.

Bir çok kişi identd'nin yararlılığını yanlş anlamakta, dolayısıyla kapatmakta veya site dışı tüm isteklerin önünü kesmektedir. identd, uzak sitelere yardım etmek için değildir. Uzak identd servisinden alınan verinin doğru olup olmadığını bilmenin bir yolu yoktur. identd isteklerinde kimlik doğrulama yoktur.

O zaman neden çalıştırmak isteyebilirsiniz? Çünkü size yardım eder, ve izlemede diğer bir veri-noktasıdır. Eğer bozulmamışsa, bilirsiniz ki identd servisiniz uzak sitelere TCP servisini kullanan kullanıcı ismi ya da kullanıcı kimliğini bildirmektedir. Uzak sitenin sisyönü gelir ve sisteminizdeki kullanıcının sitelerini kırmaya çalıştığını söylerse, kolaylıkla bu kullanıcıya karı tavır alabilirsiniz. identd çalıştırmıyorsanız, çok ama çok fazla günlük dosyasına bakmanız, ve o anda kimin sistemde olduğunu bulmanız gerekir, genelde bu, kullanıcının kim olduğunun belirlenmesini çok daha uzatır.

Çoğu dağıtımla birlikte gelen identd, bir çok kişinin tahmin ettiğinden çok daha yaplandırılabilir durumdadır. Belirli kullanıcılar için kapatabilir (bir .noident dosyası yaratabilirler), bütün identd isteklerinin günlüğünü tutabilir (öneriyoruz), hatta identd tarafından döndürülen bilginin kullanıcı ismi yerine kullanıcı kimliği olmasını ya da NO-USER (KULLANICI-YOK) olmasını sağlayabilirsiniz.

8.5. Postfix Posta Dağıtım Aracının yapılandırılması ve güvenli hale getirilmesi

Postfix posta sunucusu, Postfix ile beraber diğer İnternet güvenlik ürünlerinin yazarı olan Wietse Venema tarafından, yaygın olarak kullanılan Sendmail programına bir alternatif sağlamak amacıyla yazılmıştır. Postfix'in temel hedefi, hızlı, kolay yönetilebilen ve güvenli olması umulan, bunları sağlarken de kullanıcıların rahatı açısından olabildiğince sendmail ile uyumlu bir posta dağıtım aracı olmaktır.

Postfix hakkında daha fazla bilgi için Postfix Ana sayfasıve Postfix'in Yapılandırılması ve Güvenli Hale Getirilmesi adreslerine göz atmak isteyebilirsiniz.

8.6. SATAN, ISS, ve Diğer Ağ Tarayıcıları

Makinelerde veya ağlarda port ve servis tabanlı tarama yapan bir kaç farklı yazılım paketleri mevcut. SATAN, ISS, ve Nessus, iyi bilinenlerden bazıları. Bu yazılımlar hedef makineye bağlanır, ve hangi servisin çalıştığını belirlemeye çalışır. Bu bilgiye dayanarak, makinedeki servislerin bir açığı olup olmadığını söyleyebilirsiniz.

SATAN (Security Administrator's Tool for Analyzing Networks - Ağların Çözümlenmesi İçin Güvenlik Yöneticisi Aracı). Herhangi bir makine veya ağda hafif, orta, veya güçlü kontroller yapmak üzere yapılandırılabilir. SATAN ile makinenizi veya ağınızı tarayarak bulduğu sorunları düzeltmek iyi bir fikirdir. SATAN'ı metalab'dan veya tanınmış başka bir FTP veya WWW sitesinden aldığınızdan emin olun. Çünkü SATAN'ın İnternet üzerinde dolaşan bir de truva atı kopyası mevcut: http://www.trouble.org/~zen/satan/satan.html.

SATAN oldukça uzun bir süredir güncellenmiyor ve aşağıdaki diğer bazı araçlar daha çok işe yarayabilir.

ISS (Internet Security Scanner - İnternet Güvenlik Tarayıcı), başka bir port-tabanlı tarayıcıdır. Satan'dan daha hızlıdır, dolayısıyla büyük ağlar için daha uygun olabilir. Bununla birlikte SATAN daha fazla bilgi verme eğilimindedir.

Abacus, bilgisayar-tabanlı güvenlik ve izinsiz giriş belirleme aracıdır. İnternet sayfasında daha fazla bilgi bulabilirsiniz: http://www.psionic.com/abacus/

SAINT, SATAN'ın güncellenmiş bir sürümü. WWW-tabanlı ve SATAN'dan daha çok güncel testlere sahip. Daha fazla bilgi için: http://www.wwdsi.com/~saint

Nessus, ücretsiz bir güvenlik tarayacıdır. GTK çizgesel arabirimi ile kolay kullanıma sahiptir. Ayrıca yeni port-tarayan testler için çok hoş bir eklenti ayar sitemi birlikte tasarlanmıştır. Daha fazla bilgi için: http://www.nessus.org

8.6.1. Port Taramalarını Belirleme

SATAN, ISS ve diğer tarayıcı yazılımların yoklamaları durumunda sizi uyaracak bazı araçlar da vardır. Bununla birlkite, eğer tcp_wrappers kullanıyor ve günlük dosyalarınıza düzenli olarak bakıyorsanız, bu tür yoklamaları farketmeniz zor olmaz. En düşük ayarda bile SATAN Red Hat günlüklerinde iz bırakır.

Ayrıca "gizli" port tarayıcıları da vardır. TCP ACK biti 1 olan bir paket (bağlantı kurulurken yapıldığı gibi) büyük olasılıkla paket-süzen bir ateşduvarını aşacaktır. Kurulmuş hiçbir bağlantısı olmayan bir porttan döndürülen RST paketi, o portta hayat olduğunun bir kanıtı olarak görülebilir. TCP örtü programlarının bunu farkedeceğini sanmıyorum.

Ayrıca, serbest bir IDS (Intrusion Detection System - Saldırı Belirleme Sistemi) olan SNORT'a da bir göz atabilirsiniz. SNORT, ağa yapılan diğer bazı izinsiz girişleri/saldırıları da belirleyebilir: http://www.snort.org

8.7. sendmail, qmail ve MTA'lar

Sağlayabileceğiniz en önemli servislerden biri posta servisidir. Ne yazık ki, saldırıya en korumasız olanlardan biri de budur. Bunun sebebi basitçe yerine getirmek zorunda olduğu görevlerin sayısı ve bunlar için gereken yetkilerdir.

sendmail kullanıyorsanız, güncel sürümlerini takip etmek çok önem taşıyor. sendmail'in güvenlik açıkları konusunda çok uzun bir tarihi var. Daima en güncel sürümünü çalıştırdığınızdan http://www.sendmail.org/ adresine bakarak emin olun.

Unutmayın ki mektup atabilmeniz için sendmail'in çalışıyor olması gerekmiyor. Ev kullanıcı iseniz, sendmail'i bütünüyle kapatabilir, ve posta istemcinizi mektup göndermek amacıyla kullanabilirsiniz. Sendmail başlangıç dosyasındaki "-bd" bayrağını kaldırarak posta için dışarıdan gelen istekleri engellemeniz de mümkün. Diğer bir deyişle, başlangıç dosyanızda sendmail'i aşağıdaki komut ile çalıştırabilirsiniz: 
    # /usr/lib/sendmail -q15m
Bu, sendmail'in mektup kuyruğunda bekleyen ve ilk girişimde dağıtılamayan tüm mesajların 15 dakikada bir boşaltmasını sağlar.

Bir çok yönetici sendmail yerine diğer posta dağıtım araçlarını kullanmayı tercih ediyor. Siz de sendmail yerine qmail kullanmayı düşünebilirsiniz. qmail, temelde güvenlik düşüncesi ile sıfırdan tasarlanmıştır. Hızlı, kararlı, ve güvenlidir. Qmail http://www.qmail.org adresinde bulunabilir.

Qmail ile doğrudan rekabet içinde olan bir başka program da, tcp_wrappers ve diğer güvenlik araçlarının yazarı tarafından yazılmış olan "postfix". Önceki vmailer isimli, ve sponsorluğu IBM tarafından yapılan bu program da sıfırdan güvenlik düşünülerek yazılmış bir posta dağıtım aracı. Postfix hakkında daha fazla bilgiyi http://www.postfix.org adresinden bulabilirsiniz.

8.8. Servis Reddi Saldırıları

Bir "Servis Reddi" saldırısı, saldırganın bazı kaynakları aşırı meşgul etmesi yoluyla servisin meşru isteklere cevap verememesini, veya meşru kullanıcıların makineye erişimlerinin reddedilmesini sağlamasıdır.

Servis reddi saldırıları son yıllarda oldukça fazlalaştı. Bazı yeni ve gözde olanları aşağıda listelenmiştir. Unutmayın ki bunlar sadece bir kaç örnek, her geçen gün yenileri ortaya çıkıyor. Daha güncel bilgi için Linux güvenlik ve bugtraq listelerine ve arşivlerine göz atın.
  • SYN Seli - SYN seli, bir ağ servis reddi saldırısıdır. TCP bağlantılarının oluşturulma şeklindeki bir boşluktan yararlanır. Yeni Linux çekirdekleri (2.0.30 ve yukarısı) SYN seli saldırılarının insanların makinenize ya da servislerine erişimini reddetmesini engellemek için yapılandırılabilir seçeneklere sahiptir. Uygun çekirdek koruma seçenekleri için Çekirdek Güvenliği'ne bakın.

  • Pentium "F00F" Böceği - Yakın zamanda, gerçek bir Intel Pentium işlemcisine gönderilen bazı Assembly programlama dili kodlarınının makineyi yeniden başlatabileceği keşfedildi. Bu, çalışan işletim sisteminin ne olduğu farketmeksizin, Pentium işlemcili (Pentium Pro, Pentium III, veya Pentium benzeri işlemciler değil) her makineyi etkiliyor. Linux çekirdeklerinin 2.0.32 ve yukarısı sürümlerinde bu böceğin makineyi kilitlemesini engelleyen bir önlem mevcut. Kernel 2.0.33, bu çekirdek çözümünün gelişmiş bir sürümünü içeriyor, 2.0.32'ye tercih edilmesi önerilir. Eğer Pentium işlemci üzerinde çalışıyorsanız, hemen güncellemelisiniz![24]

  • Ping Seli - Ping seli, basit bir kaba-kuvvet servis reddi saldırısı. Saldırgan makinenize ICMP paketlerinden oluşan bir "sel" gönderir. Eğer bunu bant genişliği sizinkinden daha iyi olan bir bilgisayardan yapıyorsa, makineniz ağ üzerine hiçbir şey yollayamaz hale gelecektir. Bu saldırının bir değişik şekli, "şirince", dönüş adresi sizin makinenizin IP adresi olan ICMP paketleri gönderir, böylelikle yollanan sel baskınının kimin tarafından olduğunun belirlenmesi de güçleşir. "Şirin" saldırısı ile ilgili daha fazla bilgiyi http://www.quadrunner.com/~chuegen/smurf.txt adresinde bulabilirsiniz.

    Eğer bir ping seli saldırısına maruz kalırsanız, paketlerin nerden geldiğini (ya da nerden geliyor gibi göründüğünü) belirlemek için tcpdump gibi bir araç kullanın, ve servis sağlayıcınızla bu bilgi ile birlikte iletişim kurun. Ping selleri, en kolay şekilde yöneltici düzeyinde veya bir ateşduvarı kullanarak durdurulabilir.

  • Ölüm Pingi - Ölüm pingi saldırısı, çekirdekte bulunan, ICMP ECHO REQUEST paketlerini tutmakla görevli veri yapısına uymayacak kadar büyük bir paket gönderir. Tek ve büyük bir paket (65,510 bayt) göndererek çoğu sistemin kilitlenmesine, hatta göçmesine yol açan bu sorun kısa zamanda "Ölüm Pingi" olarak adlandırılmıştır. Bu sorun çok uzun süre önce çözülmüştür, ve artık endişelenecek bir şey yoktur.

  • Gözyaşı / Yeni Gözyaşı - En yeni açıklardan birisi, Linux ve Windows platformlarındaki IP parçalama kodunda bulunan bir böcektir. Çekirdek 2.0.33 sürümünde onarılmış, ve onarımdan yararlanmak için herhangi bir çekirdek derleme-zamanı seçeneğini seçmeye gerek yoktur. "Yeni Gözyaşı" açığına karşı ise, Linux'ta görünüşte böyle bir tehlike yoktur.

Açıklardan yararlanan kodları, ve nasıl çalıştıkları konusundaki detaylı açıklamaları http://www.rootshell.com adresinde, arama motorunu kullanarak bulabilirsiniz.

8.9. NFS (Ağ Dosya Sistemi) Güvenliği

NFS, yaygın olarak kullanılan bir paylaşım protokolüdür. nfsd ve mountd çalıştıran sunucuların dosya sistemlerinin tamamının, çekirdeklerinde NFS dosya sistemi desteği bulunan (veya Linux makine değilse diğer istemci desteği bulunan) diğer makinelere ihraç edilmesini sağlar. mountd, /etc/mtab dosyasındaki bağlanmış dosya sistemlerini takip eder, ve showmount komut ile bunları görüntüler.

Çoğu site NFS'i kullanıcılara ev dizinleri vermek için kullanır, böylelikle bilgisayar demetindeki hangi makineye giriş yaparlarsa yapsınlar, evlerindeki dosyalara ulaşabilirler.

Dosya sistemlerinin dışa açılmasında küçük bir miktar güvenliğe izin verilir. nfsd sunucunuzun uzak root kullanıcısını (uid=0) nobody kullanıcısına karşılık getirmesini, böylelikle dışa açılan tüm dosyalara erişiminin reddedilmesini sağlayabilirsiniz. Bununla birlikte, bireysel kullanıcılar kendi dosyalarına (en azından uid'si aynı olanlara) erişebileceği için uzak root kullanıcısı, kullanıcıların hesaplarına giriş veya su yaparak onların dosyalarına erişebilir. Bu, dışa açtığınız dosya sistemlerini bağlayabilen bir saldırgan için sadece küçük bir engeldir.

Eğer kaçınılmaz şekilde NFS kullanmanız gerekiyorsa, dosya sistemlerini gerçekten sadece gereken makinelere açtığınıza emin olun. Asla kök dizininizin tamamını dışa açmayın; sadece gereken dizinleri açın.

NFS hakkında daha fazla bilgi için, http://metalab.unc.edu/mdw/HOWTO/NFS-HOWTO.html adresindeki NFS HOWTO (NFS NASIL) belgesine bakabilirsiniz.

8.10. NIS (Ağ Bilgi Servisi) (Önceki Sarı Sayfalar, YP)

Ağ Bilgi Servisi (YP), bir makineler grubu arasında bilginin dağıtılması için bir yoldur. NIS sunucusu bilgi tablolarını tutar ve onları NIS harita dosyalarına çevirir. Bu haritalar daha sonra ağ üzerinde NIS istemci makinelerinin giriş, parola, ve ev dizinleri ile kabuk bilgilerinin (hepsi standart bir /etc/passwd dosyasındadır) alınmasına hizmet eder. Bu, kullanıcının bir makinede parolasını değitirdiğinde diğer bütün NIS alanındaki makinelerde de bu değişikliğin geçerli olmasını sağlar.

NIS kesinlikle gvenli değildir. Hiç bir zaman olması düşünülmemiştir. Kolay kullanılır ve yararlı olması amacı güdülmüştür. NIS alanınızın adını tahmin edebilen (İnternette herhangi bir yerdeki) herkes passwd dosyasınızın bir kopyasını alabilir, ve "Crack" ve "John the Ripper" programlarını kullanıcılarınızın parolaları üzerinde kullanabilir. Ayrıca, NIS'i taklit etmek ve her çeşit yaramaz numaralar yapmak mümkündür. Eğer NIS'i kullanmak zorundaysanız, tehlikelerinin de farkında olduğunuzdan emin olun.

NIS'in yerine geçen çok daha güvenli bir program vardır: NIS+ Daha fazla bilgi için NIS HOWTO (NIS NASIL)belgesine bir göz atın: http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html

8.11. Ateşduvarları

Ateşduvarı, yerel ağınızın içine giren ve dışına çıkan bilgiyi denetim altında tutmanın bir yoludur. Tipik bir ateşduvarı, İnternete ve yerel ağınıza bağlanmış durumdadır, ve yerel ağınızdan İnternete tek çıkış yolu ateşduvarının içinden geçmektir. Bu yolla ateşduvarı yerel ağdan İnternete ya da İnternetten yerel ağa nelerin geçtiğini denetleyebilir.

Bir kaç ateşduvarı ve kurma yöntemi vardır. Linux makinelerden oldukça iyi ateşduvarı olur. Ateşduvarı kodu, 2.0 ve daha yukarı sürüm çekirdeğin içine tümleşik olabilir. Kullanıcı araçları, 2.0 çekirdek için ipfwadm, ve 2.2 çekirdek için ipchains, izin verdiğiniz ağ trafiği tiplerini çalışma kesilmeksizin değiştirebilmenizi sağlarlar.

Ateşduvarları, ağınızı güvenli hale getirmede çok yararlı ve önemli bir tekniktir. Bununla birlikte, bir ateşduvarınız varsa, arkasındaki makinelerin güvenliğini sağlamak gerekmediğini asla düşünmeyin. Bu ölümcül bir hatadır. Ateşduvarları ve Linux hakkında daha fazla bilgi için metalab arşivindeki http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html belgesine bir göz atın.

Daha fazla bilgi için IP-Maskeleme mini-nasıl belgesine de göz atabilirsiniz: http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html

ipfwadm hakkında daha fazla bilgiyi (güvenlik duvarınızın ayarlarını yapabileceğiniz bir araç) http://www.xos.nl/linux/ipfwadm/ adresinde bulabilirsiniz.

Eğer ateşduvarları ile daha önce hiç tecrübeniz yoksa, ve basit bir güvenlik politikasından daha fazlası için kurmayı planlıyorsanız, "O'Reilly and Associates"in "the Firewalls (Ateşduvarları)" kitabını, ya da İnternette bulunan diğer belgeleri okumanız şarttır. Daha fazla bilgi için http://www.ora.com adresine bir göz atın. NIST (The National Institute of Standards and Technology - Ulusal Standard ve Teknoloji Enstitüsü), ateşduvarları üzerine harika bir belge hazırlamıştır. 1995 tarihli olmasına rağmen, hala iyidir. Bu belgeyi http://csrc.nist.gov/nistpubs/800-10/main.htmladresinde bulabilirsiniz. Ayrıca ilgili olarak:

8.12. IP Chains - Linux 2.2.x Çekirdek ile Ateşduvarı Oluşturma

Linux IPChains, Linux 2.0 ateşduvarı sisteminin 2.2 çekirdek için güncellenmiş halidir. Önceki uygulamadan çok daha fazla özelliği vardır, bunların arasında:
  • Daha esnek paket yönetimi

  • Daha karmaşık muhasebe

  • Basit politika değişikliklerinin otomatik olarak değiştirilebilmesi

  • Parçaların açıkça engellenebilmesi, reddedilebilmesi vb.

  • Şüpheli paketlerin günlüğünün tutulması

  • ICMP/TCP/UDP dışındaki diğer protokolleri de idare edebilmesi.

sayılabilir.

Şu anda 2.0 çekirdeğinizde ipfwadm kullanıyorsanız, ipfwadm komut biçimini ipchains'de kullanılabilecek biçime dönüştüren betikler mevcuttur.

Daha fazla bilgi için IP Chains NASIL belgesini okuduğunuzdan emin olun: http://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html

8.13. Netfilter - Linux 2.4.x Çekirdek Ateşduvarı

Çekirdek IP paket süzüm kodu için bir başka gelişme de, netfilter programı tarafından kullanıcıların 2.4 çekirdeğinde paket süzümünün kurulum, bakım ve denetleme işlemlerini yapabilmesine olanak sağlanmasıdır.

Netfilter alt sistemi ipchains ve ipfwadm dahil olmak üzere tüm paket süzüm uygulamalarının yeniden yazılmış halidir. Netfilter çok sayıda geliştirilmiş özellik sunar, ve geniş şirket ağlarını korumada artık daha olgun ve kararlı bir çözüm olmuş durumdadır. 

    iptables
komutunu kullanarak çekirdek içindeki ateşduvarı tablolarını yönetebilirsiniz.

Netfilter, paketleri çekirdeğin çeşitli bölümlerinden geçerken yönetmenize olanak sağlayan ham bir çalışma ortamı sağlar. Bu çalışma ortamınının bir bölümü maskeleme, standart paket süzümü, ve ağ adres çevirisi için destek sağlar. Netfilter, aynı zamanda ateşduvarının arkasındaki bir grup sunucuda çalışan hizmet programlarına yönelik yapılan yük dengeleme istekleri için bile daha gelişmiş bir desteğe sahiptir.

Durum denetleme özellikleri gerçekten çok yararlı. Durum denetleme özelliği süzceçten geçen iletişim akışının izlenmesi ve denetlenmesine olanak tanır. Oturum hakkında durum ve bağlam bilgisinin izlenebilmesi kural koyma işlemini basitleştirir ve daha yüksek düzeydeki protokollerin yorumlamaya çalışır.

Ayrıca, paketlerin kullanıcı uzayındaki programlara geçirilip ilendikten sonra tekrar paket akışı içine geri döndürülmesi gibi belirli ek işlevleri yerine getirmek üzere küçük modüller geliştirilebilir. Bu programların kullanıcı uzayında geliştirilebilmesi, daha önceki bir zorunluluk olan çekirdek düzeyindeki değişikliğin yol açtığı karmaşıklığın azaltılmasını sağlar.

Diğer IP Tables referansları arasında:

8.14. VPN'ler - Sanal Özel Ağlar

VPN'ler, var olan bir ağın üstüne "sanal" bir ağ kurmanın bir yoludur. Bu sanal ağ, bazı durumlarda şifreli olup, sadece ağa katılmış olan ve kim olduğu bilinen bilgisayarlar arasındaki trafiğe izin verir. VPN'ler, çoğunlukla evde çalışan birini, herkese açık İnternet üzerinden dahili bir şirket ağına bağlamak için kullanılır.

Eğer bir Linux maskeleme ateşduvarınız varsa ve MS PPTP paketleri (Microsoft'un VPN noktadan-noktaya ürünü) geçirmeniz gerekiyorsa, bunu yapabilmeniz için gereken bir çekirdek yaması mevcut: ip-masq-vpn.

Linux'taki VPN çözümlerinden bir kaçı:

Daha fazla bilgi ve referans için IPSEC ile ilgili bölüme de bakın.


[23] Ç.N.: wrap örtmek, wrapper ise örtücü anlamına gelir.

[24] Ç.N.: Bu tür böcekler, çekirdeğin en son sürüm olması ile engellenebilir. Bu çeviri yapıldığında en son çekirdek sürümü 2.4.12 idi.

Önceki Üst Ana Başlık Sonraki
7. Çekirdek Güvenliği Başlangıç 9. Güvenlik Hazırlığı (Bağlanmadan Önce)
Bir Linux Kitaplığı Sayfası
 
 
 
 
Google
  Web Linuxinfor   
 

Home :: Copyright :: Privacy :: Credits :: Get a free Linuxinfor Email Account

Document on this page is part of "Linux Güvenlik NASIL". See Index Page for more info about Authorship and Copyright.

1999-2008 Linuxinfor.com. No rights reserved.