Paket filtreleme ile ağ güvenliği

Abstract

ÖZET Bilgisayarlarla gerçekleştirilen elektronik ticaret ve bankacılık işlemleri sayısının hızlı artışı, yerel ve Internet bağlantılarında güvenlik arayışını da beraberinde getirmektedir. Çalışma gruplarının kaynak paylaşımı için tercih ettikleri yerel ağların kullanıldığı işletmelerdeki stratejik bilgilerin tutulduğu bilgisayar sistemlerine yapılan saldınlardaki artış, yerel ağların internete bağlantısını sağlayan yönlendiricilerde ağ trafiğinin filtre edilmesini gerekli kılmaktadır, internete bağlı bilgisayar sayısındaki artış bilgiye erişimi ve bilgi yayınlanmasını çok kolaylaştırmaktadır. Fakat aynı zamanda bu büyümenin getirdiği tehlike kaçınılmazdır. Çeşitli insanların yasal olmayan yollardan stratejik bilgilere ulaşıp, bu bilgileri istedikleri gibi kullanmaları ve bir çok sistemi felç etmeleri bu olumsuzlukların sadece bir başlangıcı olarak görülmektedir. Bu durumda bu olayları engellemek için çeşitli yazılım ve donanım ürünleri geHştirilmiştir. Fakat bu ürünler yine de beklenilen performans ve güvenliği sağlamakta yetersiz kalmaktadırlar. Bu çalışmada ağ güvenliği paket filtreleme ile sağlanmaya çalışılmıştır. Neden böyle bir güvenlik mekanizmasına gerek görüldüğü, ve paket filtreleyicinin nasıl yaratılıp modellendiği anlatılacaktır. Çalışma da C++ programlama dili kullanılmıştır. İlk önce ağda dolaşan paketlerin yakalanması ve bu paketler üzerinde işlemlerin gerçekleştirimi sağlanmıştır. Bu noktada istenilen kural tablosuna göre TCP, ICMP, UDP protokollerinin her biri ele alınmıştır. Burada iki alternatif durum vardır. Birincisi, geçmesine izin verilen paketler haricindeki tüm paketlerin ret edilmesidir. Yani açıkça izin verildiği belirtilmeyen hiçbir paket türü geçirilmeyecektir, ikincisi ise açıkça yasaklanmayan her paket türüne izin verilecektir. Bu çalışmada alternatif durumlardan birini seçmekten ziyade TCP protokolünde birinci şekilde, UDP'de ise ikinci şekilde bir modellenmeye gidilmiştir. Bu modellenmeye dayanarak da uygun görülmeyen uygulamalar, portlar yasaklanılmakta ayrıca genel kurallardan farklı olarak belirli makinelere alternatif kurallar yaranabilmektedir. Anahtar Kelimeler: Ağ Güvenliği, Protokoller, Paket Filtreleme vn

SUMMARY Network Security with Packet Filtering Deployment of e-business and Internet banking via computer networks resulted a quest for security among local network and internet users. Local area networks (LAN) are preferred to share data and resources but increasing number of attacks to computer systems that hold strategic information demand network traffic filtering on routers connecting corporate LANs to Internet. It becomes easier to access information as the number of computers attached to Internet increase. But the threat caused by fast growth of Internet is inevitable. Illegal access, modification, distrubution and misuse of strategic information by hackers cause many services to stop for some time or cause substantial damage. Numerous software and hardware were developed to remedy security problems. But these products are either inadequate to secure the network or lack the performance needed. Network security by means of packet filtering is implemented in this study. The reasons for developing security mechanism based on packet filtering is explained, modelled and coded in C++ for portability. Both network interfaces are set to promiscious mode in order to listen, process and forward packets to other network interface if rule tables let the packet pass through. There are seperate rules and tables for TCP, UDP and ICMP protocols. There exist two alternatives in filtering; default deny where all packets except allowed types are considered as potential threat is dropped, and default allow where all packets except denied types are considered as harmless and passed through. Instead of adopting the first or the second alternative, TCP and UDP packets were filtered by the first and second rules respectively. Also, packets from certain applications or hosts where both alternatives would fail are specified and denied or allowed for that port or address. Key Words: Network Security, Protocols vin