Firewall: (Güvenlik duvarı)
Farklı katmanlardaki filtreleme kuralları ile çalışan
paketlerin geçiş yapıp yapamayacagına karar veren
donanımsal yada yazılımsal çözümlerdir.
Kişisel Firewall:
Yalnızca tek bir bilgisayarın güvenliğinden sorumlu olan ip ve port filtreleme gibi temel işlemleri yapabilen güvenlik duvarıdır. Sistem servisi olarak çalışırlar.
Örnek:
Sygate, Norton Internet Security, Kaspersky IS....
Network Firewall:
Workgroup yada
domain yapısında bir networkü merkezi olarak
kurallarla
yöneten 3 ve7 katmanlar arasında
çalışan donanımsal yada yazılımsal
güvenlik çözümleridir. Kurallar iki
türlüdür.
İzin ver (permit,allow)
engelle (deny).
Donanımsal Firewall Çözümleri:
Linkte kullanılan port ve soketler
üzerinden baglantıyı kontrol
eden genellikle 3.katman
çözümleridir. örnegin CISCO PIX, SonicWall,
JuniperFirewall, Checkpoint gibi markalar bu çözümleri sunar.
Avantajı: 3. katmanda çalıştıgı
için daha hızlıdır, ag trafigini
yavaşlatmaz, kesin güvenlik
çözümleri sunar.
dezavantajları: Yalnızca büyük
ölçekli networklerde idealdir,
fiyatları yüksektir, konfigurasyonları zordur.
Yazılımsal Firewallar:
Proxy mantıgında çalışan ip, port, protocol, mac filtreleme
yapabilen kısmen intrusion detection özelliğine
sahip güvenlik
çözümleridir.
İntrusion detection:
Saldırı anında firewalllardan farklı olarak
giden paketlerin takibini yapabilir
ve izleme yöntemleri ile
saldırganı lokasyon
olarak bulabilir.
MSISA server, checkpoint,
netscreen,
Stateful inspection:Ping of death olarak
adlandırılan DOS saldırını
engelleyebilir. 4. katmanda çalıştıgı için uygulamalara 3. katman
yazılımlarına göre daha fazla
hakimdir.
Bu özellikte firewallun anlık
karşılama yapabilecegi ve kesme
yapabilecegi (Cut-Through) paket sayısına bakılmalıdır.
100 MB bir baglantı için bu sayı
anlık 100.000 paket civarında
olması gerekir.
MS ISA SERVER 2006
Kurulum:
Kurulum sihirbazında "Setup Scenerios" sayfasında firewallun
storage server
a baglı olup olmama durumuna göre bir secenek yapılır.
Storage SERver:
ISA 2006 ile birikte gelen bir özelliktir. Networkde
birden fazla ISA server var ise
merkezi depolama sunucusunu ifade eder.
Eger ilk defa ISA server yapılıyorsa
"Install both
ISA server services and configuration Storage server"
secenegi secilir.
Enterprise Network: ISA 2006 ile
birlikte gelen storage serverda
tutulan ve enterprise
rule olarak kullanılan en üst düzey kuralların
her bilgisayara etki ettigi networkdür. Altta bulunan
ISA serverlar
bu kurallardan etkilenir.
ISA server Network Tanımlamaları:
Internal Network: Kontrol altında
tutulan iç ağı ifade eder.
Yapılandırmanın iç aga bakan ethernet arayüzüne gore yapılması
gerekir. DHCP varsa iç agda exclusive networklerden
169.254.0.0 networkü de eklenir.
DMZ (Demilatarized Zone): Yalıtılmış bölgedir. Dış aralıkta bulunan
bir iç agı
ifade eder.
External NEtwork:
Dış agı ifade eder.
VPN Network: External da bulunan vpn clientlarını ifade eder.
Local Host:
ISA Serverın kurulu oldugu makinayı
ifade eder.
Firewall Yapıları:
1.Edge Firewall Yapısı: Firewall iki ayrı aga bakar. Her iki agı birbirinden korur. En dış noktaya kurulur. Bu yapı için iki adet ethernet kartına gereksinim vardır.
internale
2.One Leg Perimeter Firewall: Tek ethernet kartı ile kullanıcılar proxy olarak firewallun üzerinden çıkar. Güvenli degildir!!!
3.3 LEg Perimeter Firewall: üç ethernet
kartı ile üç ag birbirinden yalıtılır.
4. Back ve Front Firewall Yapıları:
En az iki adet firewall kullanılır. ISA server duruma göre back yada front olarak yapılandırılır.
ISA server kurulurken network kart sayısına bağlı olarak bu yapılandırmayı seçer. İki adet
Ethernet kartı varsa EDGE Firewall olarak kurulur. Bu yapıyı değiştirmek için
—ISA Server Management
—Arrays
—Configuration
—Networks den yapı seçilir ve sihirbaz yardımı ile kurulum tamamlanır.
Orta ölçekli bir network için güvenlik Senaryoları:
Senaryo 1.
İç agda 200 adet bilgisayar olsun. Bir adet vpn baglantılarında kullanılan CISCO router, Bir 10 adet farklı görevlerde kullanılan server, 1 adet ISA server.
Senaryo 2.
Şube sayısı 2: Merkez, Pazarlama,
Her birinin kendi içinde DHCP sunucuları var. DNS sunucu ve Active Directory yapısı yalnızca merkez de. Her bir networkde bir adet ISA server var. RRAS üzerinden VPN ile birbirine baglılar.
Her bir networkde 300 er adet
kullanıcı var. IP yapılandırmasını hazırlayıp Network şemasını çiziniz.