Paket Filtreleme Güvenlik Duvarları, ağ trafiğini belirli kurallara ve ilkelere göre kontrol etmek için kullanılan temel ancak kritik bir güvenlik duvarı türüdür. OSI modelinin ağ katmanında çalışır ve bir ağ üzerinden seyahat eden veri paketlerini incelemek üzere tasarlanmıştır. Paket filtreleme güvenlik duvarının temel işlevi, her paketin geçmesine izin verilip verilmeyeceğini veya engellenip engellenmeyeceğini belirleyen bir dizi kurala göre değerlendirilmesidir. Bu kurallar, paketin başlığında bulunan kaynak ve hedef IP adresleri, bağlantı noktası numaraları ve kullanılan protokol gibi bilgilere dayanır.
Paket filtreleme güvenlik duvarları, durum bilgisi olan güvenlik duvarları veya yeni nesil güvenlik duvarları (ngfw’ler) gibi daha gelişmiş güvenlik duvarı türlerine kıyasla nispeten basit olsa da, istenmeyen veya potansiyel olarak tehlikeli trafiği filtreleyerek ağların güvenliğini sağlamada önemli bir rol oynarlar. Bu makalede, paket filtreleme güvenlik duvarları kavramını, bunların işleyişini, avantajlarını, sınırlamalarını ve kullanım durumlarını daha ayrıntılı olarak inceleyeceğiz.
Paket Filtreleme Güvenlik Duvarları Nasıl Çalışır?
Paket filtreleme güvenlik duvarları, ağa bağlı iki sistem arasında akan veri paketlerini inceleyerek çalışır. Paket, hem yükü (gerçek verileri) hem de kaynak ve hedef IP adresleri, kaynak ve hedef bağlantı noktası numaraları gibi önemli bilgileri içeren paket başlığını içeren, bir ağ üzerinden iletilen biçimlendirilmiş bir veri birimidir. ve protokol (ör. TCP, UDP).
Bir paket bir ağa girdiğinde, güvenlik duvarı, paketin önceden tanımlanmış filtreleme kurallarına uyup uymadığını belirlemek için başlığını inceler. Bu kurallar ağ yöneticileri tarafından oluşturulur ve çeşitli kriterlere göre ne tür trafiğe izin verildiğini veya engellendiğini tanımlar.
Paket filtreleme işlemi genellikle aşağıdaki gibi çalışır:
Paket Gelişi: Güvenlik duvarına bir veri paketi gelir.
Kural Denetimi: Güvenlik duvarı, paketin başlığını güvenlik kuralları kümesine karşı denetler.
Karar Verme: Paketin özniteliklerinin (kaynak / hedef IP adresleri, bağlantı noktası numaraları ve protokol türü gibi) değerlendirilmesine dayanarak, güvenlik duvarı ya:
Paketin güvenlik duvarından geçmesine izin verir.
Paketin ağa girmesini veya ağdan çıkmasını engelleyerek engeller.
Günlüğe Kaydetme (İsteğe bağlı): Birçok güvenlik duvarı, paketin kaynağı ve hedefi ve izin verilip verilmediği veya engellenip engellenmediği gibi trafikle ilgili ayrıntıları günlüğe kaydeder.
Paket filtreleme kuralları aşağıdakilere göre yapılandırılabilir:
Kaynak IP Adresi: Paketin kaynaklandığı adres.
Hedef IP Adresi: Paketin amaçlanan hedefinin adresi.
Protokol: TCP (İletim Kontrol Protokolü), UDP (Kullanıcı Datagram Protokolü) veya ICMP (İnternet Kontrol Mesajı Protokolü) gibi kullanılan protokol.
Kaynak Bağlantı Noktası Numarası: Paketin gönderildiği bağlantı noktası.
Hedef Bağlantı Noktası Numarası: Paketin gönderildiği bağlantı noktası.
Paket Filtreleme Güvenlik Duvarının Temel Bileşenleri
Paket filtreleme güvenlik duvarı, paketleri trafiğe izin verilip verilmeyeceğini veya reddedilip reddedilmeyeceğini belirlemeye yardımcı olan belirli özniteliklere göre değerlendirir. Bu bileşenler, paket filtreleme güvenlik duvarının nasıl çalıştığı için kritik öneme sahiptir:
Erişim Kontrol Listesi (ACL)
Erişim Kontrol Listesi (ACL), ne tür trafiğe izin verildiğini veya reddedildiğini tanımlayan bir kurallar kümesidir. Genellikle her kuralın birbiri ardına kontrol edildiği sıralı bir sırayla uygulanır. Güvenlik duvarı gelen paketleri işler ve bunları ACL kurallarıyla karşılaştırır.
Bir acl’deki her kural genellikle aşağıdakilere dayalı koşullar içerir:
Kaynak IP adresi
Hedef IP adresi
Kaynak bağlantı noktası numarası
Hedef bağlantı noktası numarası
Protokol (örn. TCP, UDP, ICMP)
Bir paket bir kuralla eşleşirse, güvenlik duvarı trafiğe izin vermek veya trafiği reddetmek gibi belirtilen eylemi zorlar. Bir paketin herhangi bir kuralla eşleşmemesi durumunda, güvenlik duvarı genellikle paketi engelleme gibi varsayılan bir eylem uygular.
Vatansız Denetim
Paket filtreleme güvenlik duvarı, etkin bağlantıların durumu hakkında herhangi bir kayıt tutmadığı için genellikle durum bilgisi olmayan bir güvenlik duvarı olarak adlandırılır. Bunun yerine, yalnızca tek tek paketleri bağımsız olarak inceler. Bir paketin devam eden bir iletişimin parçası olup olmadığını veya bağlantının meşru olup olmadığını dikkate almaz.
Bu, bir paket filtreleme güvenlik duvarının, TCP bağlantısı ele geçirme veya oturum sabitleme saldırıları gibi devam eden bir bağlantı bağlamına dayanan karmaşık saldırıları algılayamadığı anlamına gelir. Bu nedenle, güvenlik duvarı yalnızca paketin başlık özniteliklerine bakar ve bu bilgilere dayanarak kararlar alır.
Paket Başlığı Denetimi
Paket filtreleme güvenlik duvarları öncelikle başlık denetimi gerçekleştirir, yani yalnızca paketin başlığında bulunan bilgileri inceler ve gerçek verileri (yük) analiz etmezler. Başlık hakkında bilgi içerir:
Kaynak IP Adresi: Paketin kaynaklandığı yer.
Hedef IP Adresi: Paketin nereye gittiği.
Protokol: Paketin TCP, UDP, ICMP veya diğer protokolleri kullanıp kullanmadığı.
Kaynak ve Hedef Bağlantı Noktası Numaraları: Paketin ilişkili olduğu belirli uygulama veya hizmet (örneğin, HTTP 80 numaralı bağlantı noktasını kullanır, HTTPS 443 numaralı bağlantı noktasını kullanır).
Bu basit denetim, temel ağ parametrelerine dayalı kararlar alınmasına yardımcı olur.
Paket Filtreleme Güvenlik Duvarlarının Avantajları
Paket filtreleme güvenlik duvarlarının belirli sınırlamaları olmasına rağmen, özellikle basitlik, hız ve işlevsellik açısından çeşitli avantajlar sunarlar:
Basitlik ve Yapılandırma Kolaylığı
Paket filtreleme güvenlik duvarlarının yapılandırılması ve yönetilmesi nispeten kolaydır, bu da onları karmaşık güvenlik duvarı özelliklerinin gerekli olmayabileceği küçük ve orta ölçekli ağlar için ideal kılar. Yöneticiler, minimum çabayla IP adreslerine, bağlantı noktalarına ve protokollere dayalı temel kurallar oluşturabilir.
Yüksek Performans
Paket filtreleme güvenlik duvarları yalnızca paket üstbilgilerini incelediğinden ve oturum durumlarını korumadığından veya paket içeriğini derinlemesine incelemediğinden, trafiği yüksek hızlarda işleyebilir ve ağ performansı üzerinde minimum etkiye sahip olabilirler. Bu, paket filtreleme güvenlik duvarlarını hızlı trafik filtrelemesi gerektiren yüksek verimli ortamlar için uygun hale getirir.
Düşük Kaynak Tüketimi
Paket filtreleme güvenlik duvarları, durum bilgisi olan güvenlik duvarları veya yeni nesil güvenlik duvarları gibi daha karmaşık güvenlik duvarlarına kıyasla genellikle daha az sistem kaynağı (ör. CPU ve bellek) tüketir. Bu, onları sınırlı donanım kaynaklarına sahip ortamlarda veya performansın önemli bir husus olduğu ortamlarda kullanım için ideal kılar.
Temel Koruma
Paket filtreleme güvenlik duvarları, IP adreslerine ve bağlantı noktası numaralarına dayalı yetkisiz erişimi engelleyerek ağlar için temel bir güvenlik düzeyi sağlar. Gibi temel saldırılara karşı koruma sağlayabilirler:
Bağlantı noktası taraması: Bir saldırganın yararlanılabilecek açık bağlantı noktalarını bulmak için bir ağı taradığı yer.
IP adresi sahteciliği: Bir saldırganın yetkisiz erişim elde etmek için güvenilen bir IP adresinin kimliğine bürünmeye çalıştığı yer.
Düşük Maliyetli
Paket filtreleme güvenlik duvarlarının dağıtımı ve bakımı nispeten basit olduğundan, diğer daha karmaşık güvenlik duvarı çözümlerine kıyasla genellikle daha ucuzdur. Bu, onları daha küçük ağlar veya daha gelişmiş korumanın gerekli olmadığı durumlar için uygun maliyetli bir seçim haline getirir.
Paket Filtreleme Güvenlik Duvarlarının Sınırlamaları
Paket filtreleme güvenlik duvarları temel ağ güvenliği için yararlı olsa da, bir dizi sınırlama ile birlikte gelirler:
Derin Paket Denetimi Eksikliği
Paket filtreleme güvenlik duvarlarının birincil sınırlamalarından biri, derin paket denetimi (DPI) gerçekleştirememeleridir. DPI, başlığa ek olarak paketin içeriğini veya yükünü incelemeyi içerir. Bu, paket filtreleme güvenlik duvarlarının paketin yükü içinde gizlenen tehditleri algılayamayacağı anlamına gelir, örneğin:
Kötü amaçlı Yazılım: Paketler, yalnızca başlık denetimi tarafından tanımlanmayan kötü amaçlı yükler taşıyabilir.
SQL enjeksiyonu: Paketin verileri içinde gizlenmiş kötü amaçlı SQL sorguları.
Web trafiğinde siteler arası komut dosyası oluşturma (XSS) saldırıları.
Bağlamsal Farkındalık Yok
Paket filtreleme güvenlik duvarları ağ bağlantılarının durumunu izlemez, bu nedenle iletişim bağlamını analiz edemezler. Örneğin, devam eden bir bağlantıyı tanıyamazlar, bu da saldırganların meşru görünen ancak daha karmaşık bir saldırının parçası olan paketler göndererek güvenliği atlamasını kolaylaştırır.
Sahtecilik ve DoS Saldırılarına Karşı Güvenlik Açığı
Paket filtreleme güvenlik duvarları, filtreleme kararları için paket başlıklarına dayandığından, aşağıdaki gibi saldırılara karşı savunmasızdırlar:
IP sahteciliği: Saldırganlar, bir paketin kaynak IP adresini, güvenilir bir kaynaktan geliyormuş gibi görünmesi için taklit edebilir ve böylece güvenlik kurallarını atlayabilir.
Hizmet Reddi (DoS) saldırıları: Saldırganlar, güvenlik duvarını yüksek miktarda trafikle boğarak yasal trafiğin engellenmesine veya yavaşlamasına neden olabilir.
Sınırlı Taneciklik
Paket filtreleme güvenlik duvarları, trafiği kontrol etme söz konusu olduğunda sınırlı ayrıntı düzeyi sunar. Örneğin, belirli uygulamaları denetleyemezler veya karmaşık uygulama katmanı saldırılarını algılayamazlar. Yeni nesil güvenlik duvarları (ngfw’ler) gibi daha gelişmiş güvenlik duvarları, trafiği daha ayrıntılı inceleyerek daha derin koruma sağlayabilir.
Paket Filtreleme Güvenlik Duvarları için Kullanım Durumları
Sınırlamalarına rağmen, paket filtreleme güvenlik duvarları hala çeşitli ağ güvenliği bağlamlarında yaygın olarak kullanılmaktadır:
Küçük işletmeler ve ev ağları: Paket filtreleme güvenlik duvarları uygun maliyetli ve uygulanması kolaydır, bu da onları daha gelişmiş güvenlik önlemlerinin karmaşıklığına ihtiyaç duymayan küçük ölçekli ağlar için ideal kılar.
Kenar koruması: Birçok kuruluş, dış tehditlere karşı ilk savunma hattını sağlamak için ağlarının kenarındaki paket filtreleme güvenlik duvarlarını kullanır. İstenmeyen gelen trafiği engellemeye ve dahili sistemleri korumaya yardımcı olurlar.
Temel trafik kontrolü: IP adresi ve bağlantı noktası numaralarına dayalı temel trafik filtrelemeye ihtiyaç duyan kuruluşlar için paket filtreleme güvenlik duvarları, gereksiz karmaşıklık eklemeden yeterli güvenlik sağlar.
