1. Ana Sayfa
  2. Bilim ve Teknoloji
  3. PORT PORT PORT NEDİR BU PORT DENEN ŞEY

PORT PORT PORT NEDİR BU PORT DENEN ŞEY

Son güncelleme: 12.06.2008 17:36
O.N.C.S O.N.C.S foto
  • yeni den aynı konuya değinmek ve bilgi edinmek istiyorum nedir bu port avaz avaz portları acık bırakmayın deniyo iyide nasıl acılır nasıl kapanır ne yapmalıyız bir programı varmı lütfen acil bilgi
#10.05.2005 16:55 0 0 0
alperenercan alperenercan foto
  • Kısaca veri akışını sağlamak için kullanılan bağlantılardır. Ve bunları sadece firewall a kapatabilirsin.

    İnternette güvenlik ile ilgili konular arasında adı sık sık geçen FIREWALL kavramı esas olarak yazılım ile oluşturulup, internet üzerinden bir sisteme girişleri kısıtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantısını sağlayan servis - ağ geçidi) olarak çalışan bir bilgisayar üzerinde bulunan güvenlik sistemine verilen genel addır.
    Fırewall internet ağından yerel ağı korumanın çeşitli yollarından birisidir. Genel olarak iki türlü firewall yapısından bahsedebiliriz; veri trafiği engelleyen türler ve veri trafiğine izin veren türler. Bazı firewall tiplerinde veri akışının engellenmesi esas iken bazılarında da veri trafiğini düzenlemek ve sınırlamak önem kazanır. Genellikle fırewallar dışarıdan ağa yetkisiz erişimleri engellemek için düzenlenir. Ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanır. Bazı fırewallar sadece e-maıl trafiğine izin verirken diğerleri farklı cinsden veri iletimine izin vermekle birlikte problem olabilecek servisleri (FTP, NFS, X-Windows gibi) ve bazı iletişim türlerini bloke ederler. Bu tür seçimler ve erişim izinleri tamamen kullanıcıların tercihlerine göre belirlenir.

    Fırewall'un esas amacı ağa zarar vermek yada sızmak isteyenleri engellemektir. Genel olarak şirketler ve veri merkezleri için firewall sıkça kullanılan bir güvenlik metodudur.

    Fırewallar güvenlik ve denetim için bir tür geçit noktası oluşturur. Ayrıca sisteme modem ile bağlantı kurulmak istendiğinde fırewall bu bağlantıyı kontrol edip izleyebilme imkanına da sahiptir.

    Firewall ile birlikte çeşitli kullanıcı erişimi denetleme ve yetkilendirme mekanizmalarının kullanılmasıda (one time password gibi) yerel ağın güvenliğini arttıran bir unsurdur. Firewall bu türden, kullanıcı şifre ve yetkilerinin tanımlanıp kullanılması ve bu bilgilerin ağlar arasındaki trafiğinin gizlenmesi konusunda extra özellikler sunar.

    Firewall'un bazı dezavantajları ve kusurlarıda eksik değildir tabiiki. Bu problemleri şöyle özetleyebiliriz:

    Fırewall için en büyük dezavantaj kullanıcıların bazı çok kullanılan (telnet, ftp, x-wındows, nfs gibi) servislere erişiminin kısıtlanmasıdır. Ancak, bu dezavantaj fırewall'a özgü değildir. Fırewall ile network erişimi, yerel ağların güvenlik planına bağlı olarak, host (kullanıcı) düzeyinde çeşitli opsiyonlar ile kısıtlanılabilir. Kullanıcı ihtiyaçları ile güvenlik şartlarını dengeleyen iyi planlanmış güvenlik planı, bu tür kısıtlanmış erişim problemlerini çözebilir. Bazı durumlarda yerel ağ sistemleri fırewall'a uygun olmayan topolojiye sahip olabilirler veya fırewall kullanıldığında, sistemin yeniden yapılandırılmasının gerektiği NFS gibi servisleri kullanabilirler. Örneğin, bir yerel ağ, ağ geçitleri (gateway) arasında NFS ve NISA protokollerini kulanmak zorunda ise, fırewallı eklemenin bedeli, hack'lanabilirliklerin bedeli ile karşılaştırılmalı ve risk analizi yapılmalıdır. Bu durumlarda alternatif çözümler (Kerberos gibi) daha uygun olabilir.

    Fırewall, trojan türü data içeren veri paketlerine karşı da ağı koruyamaz. İçinde bir hacker tarafından yerleştirilmiş programlar bulunan veri paketleri ile yapılan saldırılarda (backdoor oluşturan programlar) firewall için potansiyel bir tehlike mevcuttur. Bu metodla istemci, sunucudaki erişim kontrollarını değiştirip gizli dosyaları açabilecek programları bizzat sunucu yani server tarafında çalıştırabilir. Saldırıların bu türü sendmail'in çeşitli versiyonlarına karşı geçmişde çok defa yapılmıştı.

    Eğer fırewall tarafından korunan ağın içine sınırsız modem erişimi izini verilirse, saldıran kişiler fırewall'u rahatça geçebilir. Modem hızları , slip ( serial line ip ) ve ppp ( point point protokol ) için oldukça yüksektir. Güvenli sanılan alt ağlar içindeki slip veya ppp bağlantıları, aslında diğer networklere bağlantı kurulabilecek gedikler ve potansiyel backdoor'lardır.

    Fırewall genellikle ağın içerisinden gelen tehditlere karşı koruma sağlamaz.

    Multicast video ve ses içeren IP paketleri de firewall tarafından filtre edilmediğinden ayrı bir potansiyel tehlike kaynağıdır.

    Fırewallar virüsler içinde bir güvenlik sağlamaz. çünkü internetten indirilen yada e-mail ile gelen paketler içinde virüsler kolaylıkla şifre edilebilirler veya sıkıştırılabilirler. Fırewall virüs imzalarını aramak için böyle programları taramaz.

    Firewall konusunun daha açık anlaşılabilmesi için bazı firewall türlerinin yapısını incelemek faydalı olabilir. Ancak bu incelemeye geçmeden önce PROXY ve PACKET FILTERING konularını kısaca açıklamakta fayda var.

    PACKET FILTERING (Veri paketleri Filtresi)

    IP paketleri filtreleme işlemi, yönlendirici (Router) ara birimleri arasında geçen veri paketlerini süzmek için tasarlanmış bir yönlendirici (Router) kullanılarak yapılır. Paket filtreleme yönlendiricisi (Packet Filtering Router), aşağıdaki kriterlerin hepsine veya bazısına göre IP paketlerinin trafiğini süzebilir.

    Kaynak (source) IP adresleri
    hedef (destination) IP adresleri
    kaynak tcp/udp portu
    hedef tcp/udp portu

    Tüm paket filtreleme yönlendiricileri sadece kaynak tcp/udp portlarını süzmekle kalmayıp, bazı yönlendiriciler, yönlendirici arabirimine bir veri paketi geldiğinde bu paketin nasıl kullanılacağını da incelerler. Fıltreleme ağdaki veya ana makinadaki bağlantıları bloke etmek için kullanılan çeşitli metodlardan birisidir ve belirli portlar için bu portlardan yapılacak veri iletişimini bloke eder. Bir ağ, güvenilmez olarak tanımladığı ana makina veya ağlardan (belirli adreslerden) bağlantı yapılmasını engellemek isteyebilir yada dışarıdan gelen tüm trafiği (e-mail, smtp gibi malum istisnalar dışında) bloke etmek isteyebilir.
#25.05.2005 13:31 0 0 0
alperenercan alperenercan foto
  • IP adres filtresine, tcp ve udp port filtresi ekleyerek sistem daha esnek hale getirilebilir. Eğer bir fırewall tcp veya udp portlarının bağlantısını bloke edebiliyorsa belli makinalar için yapılan belirli bağlantı tiplerinide yönlendirebilir. Örneğin bir ağ, firewall'a bağlı olanlar dışındaki makinalaralara giren bütün bağlantıları engelleyebilir. Yada bir sistem için telnet veya ftp bağlantıları serbest iken bir diğeri için sadece smtp bağlantısı açık olabilir. Tcp veya udp portlarının süzülmesi yolu ile bu tür seçimlerin uygulanması, paket filtreleme kapasitesine sahip host yoluyla veya paket filtreleme yönlendiricisi tarafından yapılır.

    Bununla birlikte paket filtreleme metodu herhangi bir veri içeriği kontrolu yapmadığından birtakım dezavantajlarada sahiptir. Ayrıca portların veri transferi aşamasındaki yönlendirilmeleri ve yönetimleri ile de ilgili bazı problemler olduğu bilinmektedir.

    PROXY SERVER ( bazan uygulama geçidi - applıcatıon gateway olarakda adlandırılır)

    Proxy servisi, internet üzerindeki yerel bir ağ (ya da internete bağlı bir bilgisayar) ile, dış dünya arasındaki ilişkiyi sağlayan bir yardımcı geçit (gateway) sistemidir. Proxy'ler sık sık yönlendirici (router) makinaların yerine, benzeri bir işlev ile ağlar arası trafiği kontrol etmek amacıyla kullanılır. Aynı zamanda bir çok proxy server, kullanıcı erişimleri için denetleme ve destek de sağlar. Proxy server'lar kullanılan uygulama protokollerine hakim olmaları nedeniyle bazı özel güvenlik protokollerinide uygulayabilirler. Örneğin bir ftp proxy server'ı, ftp protokolü üstünden giriş yada çıkışları denetleyecek ve bloke edecek şekilde konfigüre edilebilir.

    Proxy server özel bir uygulamadır. Proxy yoluyla yeni bir protokolu desteklemek için, o protokole özel bir proxy yapısı geliştirilmelidir. (Soketler, bir fırewall gibi çalışması için, istemci tarafındaki uygulamalar için oluşturulmuş proxy sistemleridir. Avantajı , kullanım kolaylığıdır. Ama proxy'ler gibi erişim kontrolüne ve özel protokol kullanma olanağına sahip değildir.)

    Bir proxy servisi (sunucusu), sizin adınıza (proxy'nin kelime anlamı vekil'dir) sizden aldığı "internet'ten bilgi alma" isteklerini yürütür ve sonucu yine size iletir. ancak, aynı anda, bu bilgilerin bir kopyası da (cache),bu proxy sunucusu üzerinde tutulur ve bir dahaki erişimde kullanıcının istediği bilgiler doğrudan ilgili siteden değil de, proxy servisinden gelir; dolayısıyla, iletişim daha hızlı olur. ınternet'e erişim için mutlaka bir proxy servisine ihtiyaç yoktur, ancak, size en yakın bir servis noktasındaki proxy servisini kullanmanız, internet erişiminizi birhayli hızlandıracaktır.

    FIREWALL ÖRNEKLERİ

    Firewall'un temel parçalarını incelenileyecek olursak bazı örnekleri konuyu daha iyi anlamak amacıyla irdelemekte (kurcalamakta J ) fayda var. Bazı genel fırewall tipleri:

    Paket filtreleme yapan Firewall türü - Packet Filtering Firewall.

    Çift taraflı Geçit tipindeki Firewall türü - Dual-homed gateway firewall.

    Perdelenmiş kullanıcı tipindeki Firewall türü - Screened host firewall.

    Perdelenmiş alt ağ tipindeki Firewall - Screened subnet firewall.

    Ek olarak fırewall ile modem erişiminde bağlantıları entegre etmek için kullanılan metodları da ayrı bir bölümde değerlendirebiliriz

    1- Packet Fıltering Firewall:

    Packet Fılterıng, küçük ve basit siteler ve ağlar için en yaygın ve en kolay metoddur. ancak bir çok dezavantajlarından dolayı diğer fırewall türlerine göre pek tercih edilmez. Basit olarak, bir ınternet ağ geçidinde (gateway), packet fılterıng yönlendiricisi (router) kurulur ve sonra , protokollar ve adresleri engellemek veya süzmek için yönlendiricide gerekli ayarlar yapılır. İnternetden sisteme erişim engellenilirken, sistemden ınternete erişim genellikle serbest bırakılır. Bununla beraber yönlendirici (router) güvenlik planına bağlı olarak sistemler ve servislere kısıtlı erişimlere izin verebilir. nıs nfs ve x-wındows gibi tehlikeli olabilecek servisler için genellikle erişim ve trafik bloke edilir.
#25.05.2005 13:32 0 0 0
alperenercan alperenercan foto
  • Packet Filtering Firewall yapısı

    Packet Filterıng Firewall için de yönlendiricilerde ki dezavantajlar geçerlidir. Yerel ve korunması gereken ağların güvenlik ihtiyaçları daha karmaşık olduğundan sorun dahada büyüktür. Bu sorunlar:

    Erişim denetleme yetenekleri sınırlıdır. ağ yöneticisi saldırıyı anında farkedemez.

    Packet fılterıng kuralları, bilinmeyen türden saldırılara karşı ağı test edebilme yeteneğine sahip değildir.

    Eğer karmaşık filtre kuralları ve düzenlemeleri istenirse sistemin idaresi zor olabilir.

    2- Çift Taraflı Geçit (Dual-Homed Gateway):

    Bu tür, "paket fıltrelemeli firewall"a karşı iyi bir alternatifdir. İki network ara birimi ile IP iletişimi engellenen bir terminalden oluşur. Burada terminal artık veri paketlerini direk olarak iki ağ arasında iletemez. Ayrıca bu sistemde packet fılterıng yönlendiricisi internet bağlantısı üzerine, ek bir koruma sağlamak için yerleştirilebilir. Bu yönlendirici sayesinde bilgi sunucusu (information server) ve modem gibi sistemleri tanımlamak için kullanılabilen dahili ve perdelenmiş bir alt ağ yaratılır. "Paket filtrelemeli fırewall"dan farklı olarak, "çift taraflı geçit" mekanizması, internet ile ağ arasında IP trafiğini tamamen bloke eder (proxy tarafından kullanılan servisler hariç tabii). Servisler ve sistemlere erişim, bu geçitteki (gateway'deki) proxy sunucusu tarafından sağlanır. Basit ve emniyetli bir firewall türüdür.

    Alt ağ (subnet) sadece firewall tarafından bilinir ve algılanır. İnternet üzerinde bu ağa ait bir bilgi bulunmaz.

    Bu sayede ağ içindeki isimler ve ıp adresleri internet sistemlerinden saklanılır. Çünkü fırewall DNS bilgisini geçirmez.


    Şekil 4: Yönlendirici ile desteklenmiş bir Dual-Homed Firewall genel yapısı.

    "Çift taraflı geçit" sisteminin kurulumunda telnet, ftp, ve merkezi e-maıl servisi için bir proxy server düzenlenmelidir. Bu sistemde ek olarak fırewall davetsiz misafirlerin faaliyetini ve sisteme erişim çabalarını izleyebilir.

    "Çift taraflı geçit" tipindeki fırewall, ağa gelen ve giden veriler ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi sunucusu,şekilde gösterildiği gibi geçit-gateway ile yönlendirici-router arasında alt ağa yerleştirilir. Ağ geçidinin (gateway) bilgi sunucusu için uygun proxy servisleri sağladığını farzedersek

    (ftp , gopher veya http gibi) yönlendiric (router), fırewall'a doğrudan erişimi önleyebilir ve erişimleri fırewallun denetlemesine tabi tutar. Bilgi sunucusunun bu şekilde yerleştirilmesi, davetsiz misafirlerin bilgi sunucusuna erişimine imkan vermediğinden ve çift taraflı geçit mekanizması ile de ağ sistemlerine ulaşımın engellenmesinden dolayı daha emniyetli bir metoddur.

    Çift taraflı geçidin esnek olmayan yapısı bazı ağlarda dezavantaj olabilir. Proxy haricinde bütün servisler bloke edildiği için var olan diğer servislere erişim imkanı olmaz. Erişilmesi gereken servisler için bu servisleri veya sistemleri geçidin internet tarafına yerleştirmek gerekir. Ancak ayrı bir yönlendirici, geçit ile asıl yönlendirici arasında bir alt ağ oluşturacak şekilde kurulabilir ve ekstra hizmetler gerektiren sistemler burada devreye sokulabilir.

    Diğer önemli bir nokta firewall'un güvenli bir makina ve işletim sistemi üzerine kurulması gerekliliğidir. Ana sistemdeki açıklar firewall için boşa harcanan para demektir.


    3- Perdelenmiş Kullanıcı Tipindeki Firewall - Screened Host Firewall:

    "Çift taraflı geçit" tipindeki fırewall'dan daha esnekdir. Ancak her zamanki gibi esneklik, güvenlik adına verilen bazı bedeller ile sağlanmıştır.

    "Perdelemeli fırewall", yönlendiricinin korunmalı durumdaki alt ağ tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara birimine ihtiyaç duyar . uygulama geçitlerinin proxy servisleri ağ sistemindeki bazı proxyler için telnet ftp ve diğer veri paketlerini geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama geçiti ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi gereken protokollerdir ve uygulama trafiğini aşağıdaki şekilde yönlendirirler

    Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen trafik kabul edilir,

    İnternet ağlarından gelen diğer tüm trafik geri çevrilir.

    Uygulama geçitiden gelmedikçe, yönlendirici içeriden gelen herhangi bir uygulama trafiğini reddeder.

    "Çift taraflı geçitl" türü fırewall'dan farklı olarak, bu sistemdeki uygulama geçiti sadece bir network ara birimine ihtiyaç duyar ve uygulama geçiti ile yönlendirici arasında ayrı bir alt ağ (subnet) gerektirmez. Bu durum daha esnek ama daha emniyetsiz bir yapıdır. Örneğin ntp gibi daha az tehlikeli servisler, ağ sistemlerine yönlendiricinin içinden geçiş izni verebilirler. Eğer alt ağ sistemleri internet sistemlerine dns erişimi gerektirirse dns protokolü bu alt ağa erişimi mümkün kılabilir.
#25.05.2005 13:34 0 0 0
alperenercan alperenercan foto
  • Screened Host Firewall yapısı

    4-Perdelenmiş Alt Ağ tipi Fırewall - Screened Subnet Firewall:

    Perdelenmiş alt ağ tipi fırewall , "çift taraflı geçit" ile "perdelenmiş host tipi fırewall"un birleşimidir.

    5- Firewall ile modemin entegrasyonu:

    Bir çok ağda, ağdaki modemlere telefon hattından erişim mümkündür. Bu, potansiyel bir backdoor açığıdır ve firewall ile kurulan korumayı tamamen etkisiz duruma getirir. Böyle durumları önlemenin yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde toparlamaktır. Ana modem girişi düzenlemesi, modemlerin ağa bağlantısını sağlamak amacıyla yapılmış bir terminal sunucu üzerinden gerçekleştirilebilir

    Modem kullanıcıları önce terminal sunucusuna bağlanır, oradadan da diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de sağlarlar. Bir diğer alternatif de, terminal sunucusuı, modemlerin bağlandığı bir ana makinada olabilir.

    "Perdelemeli Firewall" için Ana Modem uygulaması

    Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu fırewall'un dışında oluşturmak, modemle yapılacak bağlantılar firewall içinden geçeceğinden emniyetli bir yöntemdir.

    Perdelenmiş Alt Ağ" ve "Çift Taraflı Geçit" tipi Firewall için Modem bağlantısı düzenlemeleri.

    Ayrıca uygulama geçitinin gelişmiş erişim denetleme yeteneği, internetden olduğu gibi modemden bağlanan kullanıcıların erişim yetkilerini doğrulamakta kullanılabilir. Paket filtreleme yönlendiriciside dahili sisteme ana modem sunucusundan yapılacak bağlantıları önlemek için kullanılabilir .

    Sistemin dezavantajı ise, modem sunucusunun internete doğrudan bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara yapılacak bu tür bağlantıları engellenebilmelidir.
#25.05.2005 13:36 0 0 0
O.N.C.S O.N.C.S foto
  • ne kadar tesekkür etsem az cok tesekkürler emeklerine ellerine sağlık bi çok döküman okudum bu konuda ama en anlaşılır buydu cok güzel.tekrar tesekkür ederim
#25.05.2005 16:07 0 0 0
O.N.C.S O.N.C.S foto
  • ne kadar tesekkür etsem az cok tesekkürler emeklerine ellerine sağlık bi çok döküman okudum bu konuda ama en anlaşılır buydu cok güzel.tekrar tesekkür ederim
#25.05.2005 16:09 0 0 0
salamurayaprak salamurayaprak foto
  • bilgiler için saol dostum.........
#03.06.2005 06:36 0 0 0
onejackall onejackall foto
  • kardeş valla ii cevap yazmışsın sağolasın bizde bilgilendik istifade ettik sağol
#04.06.2005 16:57 0 0 0
MILGC30 MILGC30 foto
  • Ellerine sağlık üstad.
#26.11.2006 17:29 0 0 0
temsi temsi foto
  • çok kapsamlı bir açıklama saygı ve hürmetlerimi sunuyorum
#03.08.2007 14:24 0 0 0
sadık87 sadık87 foto
  • verdiğiniz bilgiler için teşekkürler
#12.06.2008 17:36 0 0 0