Daha fazla
- Cinsiyet
- Erkek
- Profil Kapağı
- 1522743131
Hiç kimse davetsiz misafirleri sevmez. Özellikle de ağ üzerinde hiç istenmezler. Davetsiz misafirleri durdurmanın yollarından biri de güvenlik duvarından geçmekte. Bu konuda dikkat etmeniz gereken noktaları ayrıntılarıyla açıklıyoruz.
Normal şartlar altında güvenlik duvarı yönlendiricilere aittir. Ancak ,işlevlerin farklılaşması, her üreticinin farklı strateji izlemesine yol açmıştır. Yönlendiriciniz size uygun güvenlik duvarı ayarları konusunda kısıtlı imkan sunuyorsa sorun değil. Sağlamlaştırılmış bir güvenlik duvarı vasıtası ile kablosuz ağınızı kolayca saldırılardan koryabilirsiniz.
Kimler erişebilir?
Kullanıcıların, genellikle özel kullanım için tek bir IP adresi sunan servis sağlayıcılar üzerinden internet erişimleri vardır. DSL yönlendirici ya da erişim noktası bu IP adreslerini alır ve böylece internete girmeniz mümkün olur.
Bu adres üzerinden sadece bir cihaz internete erişebilir, yani her bir adres sadece bir modem tarafından kullanılabilir. Öte yandan yerel ağa bağlı bilgisayarınızın “192.168” ile başlayan yerel bir adresi mevcuttur. Bu adreslere ise internetten doğrudan ulaşılamaz zira iletişim kurulan adres, servis sağlayıcınız tarafından erişim noktanıza veya modeminize atanan IP adresinizden başkası değildir.
Bazı yönlendiriciler dışarıdan gelebilecek davetsiz misafirler için erişimi kapatma seçeneği sunmaktadırlar.
Bu sayede sadece yönlendirici iki taraf ile de iletişime geçebilir. Yönlendirici aynı zamanda yerel bilgisayardan gelen sorgulamaları internete gönderen cihaz konumundadır.
Önemli olan neredeyse bütün yönlendiricilerin port yönlendirme aracılıgı ile internetten gelen paketleri yerel ağa aktarabilmesidir. Port yönlendirme özellikle kendi web sunucunuzu kurmak istediğinizde yâda dosyalarınızı internette paylaşıma açtığınızda devreye giren bir teknolojidir.
İnternet üzerinden yapılan saldırılardan korunmak için artık daha fazla erişim noktası güvenlik duvarları ile donatılmaktadır. Öte yandan bazı yönlendiriciler Denial of Service saldırılarını dahi engelleyebilmektedirler.
Başarılı Port Engelleme
Portlar, üzerlerinden belirli servislerin kullanılmasını mümkün kılan sanal adreslerdir. Doğal olarak da buralardan gelecek verileri bekleyen sunucu hizmetleri mevcuttur. Portların engellenmesi ile bu portu kullanan servis devre dışı kaldığı gibi port üzerinden yapılacak saldırlar da engellenmiş olur. İşte tam da internet ile ağda bulunan bilgisayarınız arasında söz konusu güvenlik duvarı yer almaktadır.
Ama kural gereği her zaman ve her şeyi bloke etmek istemeyebilirsiniz. Servis sağlayıcı olarak isterseniz sadece birkaç kişinin isterseniz de herkesin sunduğunuz hizmetten yararlanmasını sağlayabilirsiniz. Örneğin bilgisayarınızda bir web sayfası var ve internetteki herkesin bu sayfaya erişebilmesini istiyorsunuz. Bu durumda bilgisayarınızın kalıcı olarak internete bağlı kalacağını garantilemelisiniz. Örneğin Linksys WAG160N’de bu ayarı yapılandırmak için “Securtiy” sekmesi altında yer alan “Firewall” kısmına girmeniz gerek. Yine port yönlendirme işlemleri için de “Application & Gaming” sekmesi altında yer alan “Single Port Forwarding” kısmında istediğiniz portu açıp kapayabilirsiniz.
Erişim noktası arayüzüne girerek istediğiniz portu kapatabilir bu sayede o port üzerinden gelebilecek saldırıları engelleyebilirsiniz.
DoS: Ortak Saldırılar
Çoğu zaman medyada bütün ağı felce uğratan Denial of Service saldırları ile ilgili haberler yapılmakta. Basit bir şekilde DoS saldırıları, sunucuya aşırı yüklenmeyi hedeflemektedir. Bilgisayarlar genelde çökene kadar bu saldırıya maruz kalmaktadırlar. Böyle bir durumda bilgisayarınızda barındırdığınız web sitesi ulaşılamaz hale gelecektir zira yönlendiriciniz saldırı sonucu gelen sorgulara cevap veremez hale gelecektir. Bu tür saldırılardan kaçınmak için bazı yönlendiriciler sorgu sayısına sınır koyabilme özelliği ile gelirler. Bu durumda gelen sorgular reddedilecektir ve bu sorguların yeniden yapılması gerekmektedir. Bu noktada bu tedbir şirketlerin güvenlik duvarında da yer alan kayda değer bir koruma yöntemidir.
Yönlendiriciniz DMZ destekliyorsa elle port ayarlamaktan kurtulabilirsiniz.
Daha kolay ikinci bir koruma olasılığı ise Router’ın çok yoğun bir sorgu sonrasında uzun süre hiçbir sorguyu kabul etmemesi olacaktır. Bu durumda bütün bağlantı bloke edileceği için erişim bütünüyle kapatılmış olacaktır.
DMZ’yi Kurmak
DMZ (Demilitarized Zone) hizmetini sunan yönlendiriciler de bulunmaktadır. Temel prensip: yerel ağa bağlı olan bir bilgisayarı DMZ sunucusu olarak ayarlarlaşarak bu bilgisayarın internet ile ev ağınız arasında tampon görevi görmesini sağlarsınız. Yönlendirici artık internet üzerinden gelen sorguların hiç birini hedef bilgisayara gönderemez, zira sorgular her halükarda DMZ sunucusuna gelir.
Avantajı: herbir portu tek tek yönlendirmeye gerek yoktur. Yapmanız gereken tek şey sunucunun IP adresini vermektir. Fakat daha sonrasında portları değiştirme söz konusu değildir. Örneğin içerideki 192.168.1.10 IP adresi üzerindeki Port 80’i 81’e yönlendiremezsiniz.
Ağda Sunucu Hizmeti
Port yönlendirme desteğine sahip bir ADSL modeminiz ve sabit bir ADSL aboneliğiniz mi var? O zaman kendi web sunucunuzu internetten ulaşılabilecek şekilde açabilirsiniz.
Sunucu üzerindeki hizmetler port numaraları üzerinden tanımlanır. Sabit portlar FTP için 21, HTTP için 80 ve Mail gönderimi ve alımı için 25 ve 110’dur. Bu örnekte oluşturmak istediğiniz sunucuyu kolayca internete bağlayabilmeniz için bazı kısıtlamalara gidiyoruz. Protokol olarak TCP’yi tercih ediyoruz ve UDP’yi de kolay olması için gerektiğinde devreye sokuyoruz.
Bir web sunucusu yukarıda da bahsedildiği içeriği 80 numaralı port üzerinden içerik sunar. Burada her web sunucusu bir adet IP adresine sahiptir. Örneğin bir yerel web sunucusu 192.168.1.10 ve port 80 adresi üstünde yer alır.
Web tarayıcılar ile yaptığınız sorgulamalar doğrudan 80. Port üzerinden yapıldığı için burada sadece ulaşmak istediğiniz sunucunun IP adresini girmeniz yeterlidir.
Daha önceden de tanımlandığı gibi internet üzerinden yönlendiriciye gelen ve 80. porta yapılan bir sorgu dikkate alınmayacaktır. Zira yönlendiricinin gelen sorguyu ilgili sunucuya iletilebilmesi gerekmektedir. Bu da ancak sunucunun IP adresi ile mümkün olmaktadır ki buradaki örneğimizde bu adres 192.168.1.10’dur.
Eğer güvenli bir bağlantı sağlamak istiyorsanız o zaman her halükarda 443 numaralı portu devreye sokmalısınız. Bu port güvenli HTTPS bağlantısı için ayrılmıştır ve tarayıcıdan yapılan girdilerde https:// takısı kullanılmalıdır.
Bu durumda isteğe bağlı olarak hizmetlerinizi paylaşabilirsiniz. Bir örnek vermek gerekirse, web hizmetleri için ayrı bir sunucu, bir adet mail için, hatta internet ten erişim yani dışarıdan gelen bağlantılar için SSH (port 22 ) üzerinden bağlanan ve harici bir IP adresi kullanan bir başka sunucu dahi kullanabilirsiniz.
Alternatif Olarak TCP veya UDP
Cihazlar destekledikleri protokollere göre de farklılaşmaktadırlar. Zira yönlendiriciler TCP ve UPD’yi ayrı bir biçimde sunmazlar. Peki, fark nerede yatıyor? Daha doğrusu: neden standart TCP protokolünün yerine başka bir protokol kullanasınız?
Basit bir şekilde anlatmak gerekirse bir UDP bağlantısı, paketi edinmek için TCP’nin aksine onaylama beklemez. Bu yüzden birçok hizmette (Mail, Web sayfaları) TCP kullanılmaktadır. Zira internet üzerinden veriyi gönderen taraf için, karşı tarafın veri paketlerini aldığını garanti etmesi gerekmektedir.
UDP, Voice over IP gibi birebir naklin önemli olmadığı IP üzerinden ses aktarımı ve hızın önemli olmadığı durumlarda kullanılan bir teknolojidir. Web sayfaları çağırılırken 80 numaralı port kullanıldığı için ve bu port da TCP protokolü üzerinden çalıştığı için endişe etmenize gerek yok. Herhangi bir belirsizlik durumunda TCP ve UDP fark etmeksizin gelen bütün paketler sunucuya yönlendirilecektir. Yine normal şartlar altında UDP paketlerinin 80. Port üzerinden başka bir sunucuya iletilmesi mümkün olmadığı gibi bu konuda herhangi bir ayar yapmaya da gerek yoktur.
Bilgi:
Port Yönlendirmenin Sınırları
Bazı yönlendiriciler ağ içerisindeki IP adresi ile port numarasını ayıramayabiliyorlar. Bu bağlamda 80. port üzerinden çalışan dâhili bir web sunucusu dışarıdan da 80. port üzerinden ulaşılabilmelidir. Fakat bu pratikte bütünüyle bir sorun teşkil edebilir: ağdaki farklı IP üzerinden fakat aynı 80. Port kullanılarak ulaşılan bir başka web sunucusu bu port halihazırda kullanıldığı için artık ulaşılmayabilir.
Normal şartlar altında güvenlik duvarı yönlendiricilere aittir. Ancak ,işlevlerin farklılaşması, her üreticinin farklı strateji izlemesine yol açmıştır. Yönlendiriciniz size uygun güvenlik duvarı ayarları konusunda kısıtlı imkan sunuyorsa sorun değil. Sağlamlaştırılmış bir güvenlik duvarı vasıtası ile kablosuz ağınızı kolayca saldırılardan koryabilirsiniz.
Kimler erişebilir?
Kullanıcıların, genellikle özel kullanım için tek bir IP adresi sunan servis sağlayıcılar üzerinden internet erişimleri vardır. DSL yönlendirici ya da erişim noktası bu IP adreslerini alır ve böylece internete girmeniz mümkün olur.
Bu adres üzerinden sadece bir cihaz internete erişebilir, yani her bir adres sadece bir modem tarafından kullanılabilir. Öte yandan yerel ağa bağlı bilgisayarınızın “192.168” ile başlayan yerel bir adresi mevcuttur. Bu adreslere ise internetten doğrudan ulaşılamaz zira iletişim kurulan adres, servis sağlayıcınız tarafından erişim noktanıza veya modeminize atanan IP adresinizden başkası değildir.
Bazı yönlendiriciler dışarıdan gelebilecek davetsiz misafirler için erişimi kapatma seçeneği sunmaktadırlar.
Bu sayede sadece yönlendirici iki taraf ile de iletişime geçebilir. Yönlendirici aynı zamanda yerel bilgisayardan gelen sorgulamaları internete gönderen cihaz konumundadır.
Önemli olan neredeyse bütün yönlendiricilerin port yönlendirme aracılıgı ile internetten gelen paketleri yerel ağa aktarabilmesidir. Port yönlendirme özellikle kendi web sunucunuzu kurmak istediğinizde yâda dosyalarınızı internette paylaşıma açtığınızda devreye giren bir teknolojidir.
İnternet üzerinden yapılan saldırılardan korunmak için artık daha fazla erişim noktası güvenlik duvarları ile donatılmaktadır. Öte yandan bazı yönlendiriciler Denial of Service saldırılarını dahi engelleyebilmektedirler.
Başarılı Port Engelleme
Portlar, üzerlerinden belirli servislerin kullanılmasını mümkün kılan sanal adreslerdir. Doğal olarak da buralardan gelecek verileri bekleyen sunucu hizmetleri mevcuttur. Portların engellenmesi ile bu portu kullanan servis devre dışı kaldığı gibi port üzerinden yapılacak saldırlar da engellenmiş olur. İşte tam da internet ile ağda bulunan bilgisayarınız arasında söz konusu güvenlik duvarı yer almaktadır.
Ama kural gereği her zaman ve her şeyi bloke etmek istemeyebilirsiniz. Servis sağlayıcı olarak isterseniz sadece birkaç kişinin isterseniz de herkesin sunduğunuz hizmetten yararlanmasını sağlayabilirsiniz. Örneğin bilgisayarınızda bir web sayfası var ve internetteki herkesin bu sayfaya erişebilmesini istiyorsunuz. Bu durumda bilgisayarınızın kalıcı olarak internete bağlı kalacağını garantilemelisiniz. Örneğin Linksys WAG160N’de bu ayarı yapılandırmak için “Securtiy” sekmesi altında yer alan “Firewall” kısmına girmeniz gerek. Yine port yönlendirme işlemleri için de “Application & Gaming” sekmesi altında yer alan “Single Port Forwarding” kısmında istediğiniz portu açıp kapayabilirsiniz.
Erişim noktası arayüzüne girerek istediğiniz portu kapatabilir bu sayede o port üzerinden gelebilecek saldırıları engelleyebilirsiniz.
DoS: Ortak Saldırılar
Çoğu zaman medyada bütün ağı felce uğratan Denial of Service saldırları ile ilgili haberler yapılmakta. Basit bir şekilde DoS saldırıları, sunucuya aşırı yüklenmeyi hedeflemektedir. Bilgisayarlar genelde çökene kadar bu saldırıya maruz kalmaktadırlar. Böyle bir durumda bilgisayarınızda barındırdığınız web sitesi ulaşılamaz hale gelecektir zira yönlendiriciniz saldırı sonucu gelen sorgulara cevap veremez hale gelecektir. Bu tür saldırılardan kaçınmak için bazı yönlendiriciler sorgu sayısına sınır koyabilme özelliği ile gelirler. Bu durumda gelen sorgular reddedilecektir ve bu sorguların yeniden yapılması gerekmektedir. Bu noktada bu tedbir şirketlerin güvenlik duvarında da yer alan kayda değer bir koruma yöntemidir.
Yönlendiriciniz DMZ destekliyorsa elle port ayarlamaktan kurtulabilirsiniz.
Daha kolay ikinci bir koruma olasılığı ise Router’ın çok yoğun bir sorgu sonrasında uzun süre hiçbir sorguyu kabul etmemesi olacaktır. Bu durumda bütün bağlantı bloke edileceği için erişim bütünüyle kapatılmış olacaktır.
DMZ’yi Kurmak
DMZ (Demilitarized Zone) hizmetini sunan yönlendiriciler de bulunmaktadır. Temel prensip: yerel ağa bağlı olan bir bilgisayarı DMZ sunucusu olarak ayarlarlaşarak bu bilgisayarın internet ile ev ağınız arasında tampon görevi görmesini sağlarsınız. Yönlendirici artık internet üzerinden gelen sorguların hiç birini hedef bilgisayara gönderemez, zira sorgular her halükarda DMZ sunucusuna gelir.
Avantajı: herbir portu tek tek yönlendirmeye gerek yoktur. Yapmanız gereken tek şey sunucunun IP adresini vermektir. Fakat daha sonrasında portları değiştirme söz konusu değildir. Örneğin içerideki 192.168.1.10 IP adresi üzerindeki Port 80’i 81’e yönlendiremezsiniz.
Ağda Sunucu Hizmeti
Port yönlendirme desteğine sahip bir ADSL modeminiz ve sabit bir ADSL aboneliğiniz mi var? O zaman kendi web sunucunuzu internetten ulaşılabilecek şekilde açabilirsiniz.
Sunucu üzerindeki hizmetler port numaraları üzerinden tanımlanır. Sabit portlar FTP için 21, HTTP için 80 ve Mail gönderimi ve alımı için 25 ve 110’dur. Bu örnekte oluşturmak istediğiniz sunucuyu kolayca internete bağlayabilmeniz için bazı kısıtlamalara gidiyoruz. Protokol olarak TCP’yi tercih ediyoruz ve UDP’yi de kolay olması için gerektiğinde devreye sokuyoruz.
Bir web sunucusu yukarıda da bahsedildiği içeriği 80 numaralı port üzerinden içerik sunar. Burada her web sunucusu bir adet IP adresine sahiptir. Örneğin bir yerel web sunucusu 192.168.1.10 ve port 80 adresi üstünde yer alır.
Web tarayıcılar ile yaptığınız sorgulamalar doğrudan 80. Port üzerinden yapıldığı için burada sadece ulaşmak istediğiniz sunucunun IP adresini girmeniz yeterlidir.
Daha önceden de tanımlandığı gibi internet üzerinden yönlendiriciye gelen ve 80. porta yapılan bir sorgu dikkate alınmayacaktır. Zira yönlendiricinin gelen sorguyu ilgili sunucuya iletilebilmesi gerekmektedir. Bu da ancak sunucunun IP adresi ile mümkün olmaktadır ki buradaki örneğimizde bu adres 192.168.1.10’dur.
Eğer güvenli bir bağlantı sağlamak istiyorsanız o zaman her halükarda 443 numaralı portu devreye sokmalısınız. Bu port güvenli HTTPS bağlantısı için ayrılmıştır ve tarayıcıdan yapılan girdilerde https:// takısı kullanılmalıdır.
Bu durumda isteğe bağlı olarak hizmetlerinizi paylaşabilirsiniz. Bir örnek vermek gerekirse, web hizmetleri için ayrı bir sunucu, bir adet mail için, hatta internet ten erişim yani dışarıdan gelen bağlantılar için SSH (port 22 ) üzerinden bağlanan ve harici bir IP adresi kullanan bir başka sunucu dahi kullanabilirsiniz.
Alternatif Olarak TCP veya UDP
Cihazlar destekledikleri protokollere göre de farklılaşmaktadırlar. Zira yönlendiriciler TCP ve UPD’yi ayrı bir biçimde sunmazlar. Peki, fark nerede yatıyor? Daha doğrusu: neden standart TCP protokolünün yerine başka bir protokol kullanasınız?
Basit bir şekilde anlatmak gerekirse bir UDP bağlantısı, paketi edinmek için TCP’nin aksine onaylama beklemez. Bu yüzden birçok hizmette (Mail, Web sayfaları) TCP kullanılmaktadır. Zira internet üzerinden veriyi gönderen taraf için, karşı tarafın veri paketlerini aldığını garanti etmesi gerekmektedir.
UDP, Voice over IP gibi birebir naklin önemli olmadığı IP üzerinden ses aktarımı ve hızın önemli olmadığı durumlarda kullanılan bir teknolojidir. Web sayfaları çağırılırken 80 numaralı port kullanıldığı için ve bu port da TCP protokolü üzerinden çalıştığı için endişe etmenize gerek yok. Herhangi bir belirsizlik durumunda TCP ve UDP fark etmeksizin gelen bütün paketler sunucuya yönlendirilecektir. Yine normal şartlar altında UDP paketlerinin 80. Port üzerinden başka bir sunucuya iletilmesi mümkün olmadığı gibi bu konuda herhangi bir ayar yapmaya da gerek yoktur.
Bilgi:
Port Yönlendirmenin Sınırları
Bazı yönlendiriciler ağ içerisindeki IP adresi ile port numarasını ayıramayabiliyorlar. Bu bağlamda 80. port üzerinden çalışan dâhili bir web sunucusu dışarıdan da 80. port üzerinden ulaşılabilmelidir. Fakat bu pratikte bütünüyle bir sorun teşkil edebilir: ağdaki farklı IP üzerinden fakat aynı 80. Port kullanılarak ulaşılan bir başka web sunucusu bu port halihazırda kullanıldığı için artık ulaşılmayabilir.
