Merhaba,
Yakın zamanda bir Cisco PIX Firewall ile uğraştım, kenarından köşesinden de olsa. Hazır bunun üzerinde uğraşmış iken, şu cihazın temel çalışma mantığından biraz bahsedeyim istedim.
Aslında bahsedecek olduğum “Firewall nasıl çalışır” kısmı, sadece PIX’in nasıl çalıştığını değil temel anlamda tüm firewall’ların nasıl çalıştığını anlatacak.
Kurduğumuz network’leri korumak için firewall’lar kullanıyoruz. Bu firewall’lar sayesinde, iç network’umuz ile dış network arasında bir ayrım yapmış oluyoruz. Bilindiği üzere, iç network “sakınmamız gereken, kıymetli makinalarımızın olduğu network”, dış network ise “Internet veya iç network’e erişmesini istemediğimi network” demek. Bu iki bölgeyi birbirinden ayırmak için bir firewall kullanmalıyız. Bu sayede, daha az güvenli olan network’ten daha çok güvenli olan network’e erişim sağlanmayacak. Ama tersi geçerli olacak. Yani çok güvenli network’teki bir makina, daha az güvenli bir bölgedeki makinaya istediği gibi erişebilecek.
Burada dikkat etmemiz gereken nokta şu: Örnek olarak, biz iç network dahilindeyiz ve dış network’e ulaşmaya çalışıyoruz. Bunu yapmamız mümkün, biz dış ortamdaki herhangi bir makinaya bağlanabiliriz ama o makina bize bağlanamaz. Ancak burada özellikle vurgulamak istediğim nokta, “connection-bağlantı”. Biz iç network’ten dışarıya doğru bir bağlantı açtığımız zaman, o bağlantıyı içeriden biz başlattığımız için, o bağlantıya gelecek cevapların iç network’e gelmesi mümkün. Ama dışarıdaki bir makinanın, “durup dururken” iç network’teki bir makinaya veri göndermesi mümkün değil.
İşte temel manada, Cisco PIX veya diğer firewall’lar böyle çalışıyorlar. İç network’ten dışarıya bağlanmak isteyenlerin listesini tutuyorlar ve bu bağlantı isteklerine karşılık gelecek verilerin içeri girmesine izin verirken, durup dururken dışarıdan içeriye girmeye çalışan paketlere izin vermiyorlar.
Sonuçta, firewall, dışarı çıkmak isteyen iç network’teki bir bilgisayar için, dışarı çıkış anında bir connection slot yaratıyor. Buna xlate deniyor. Bu xlate bilgisi, firewall tarafından akılda tutularak, bu bağlantıya dönen cevaplara izin veriliyor fakat bu xlate tablosunda varolmayan paketlere izin verilmiyor.
Cisco PIX’lerde, tüm bu mekanizmanın temelinde ASA algoritması yatıyor. PIX cihazlar ASA algoritması sayesinde bahsettiğim “connection list” işlemini yürütüyor. Diğer firewall’larda da temel mantık bu şekilde. Diğer anti-virus, anti-spam, content filtering vs işlemleri, bu mekanizmanın üzerine bindirilmiş diğer ek özellikler.
Şimdi şu soruya geçelim. Yukarıda, az güvenli bölgeden ve çok güvenli bölgeden bahsettik. Kural olarak, çok güvenlik bölge az güvenli bölgeye istediği gibi bağlantı başlatabiliyor ve cevabını alabiliyorken (yani sağlıklı bir biçimde haberleşebiliyorken) az güvenli bölge çok güvenli bölgeye hiç bağlantı başlatamıyordu (ama oradan başlatılan isteklere cevap dönebiliyordu) Peki sadece iki adet mi güvenlik bölgesi var. Sadece az ve çok diye iki adet mi? Hayır. Çok sayıda güvenlik bölgesi oluşturup, bunlara değişik güvenlik seviyeleri verebiliriz. Peki bu nasıl olacak?
Çok güvenli diye kastettiğimiz iç network’un güvenlik seviyesi 100 olsun. Güvensiz olarak addettiğimiz dış network’un güvenlik seviyesi ise 0 olsun. Biz “50” güvenlik seviyesine sahip bir bölge yaratabiliriz. Bu bölge tam olarak “iki arada bir derede” olacak. Tahmin edileceği üzere, bu bölge, “50” güvenlik seviyesine sahip olduğu için, güvenlik seviyesi 0 olan dış network’e istediği gibi gidecek ancak “100” güvenlik seviyesine sahip iç network’e bağlantı kuramayacak.
Şimdilik, temelde “Cisco PIX Adaptive Security Algorithm”i anlatmış olduğum bu yazı bitiyor. Daha sonra Cisco PIX veya Cisco ASA cihazlarda adres dönüşümü işlemlerini anlatacağım.
Oğuzhan Eren
