Feb 15, 11:22 PM
Linux Firewall Firestarter
Linux da firewall ve antivirus kullanmıyordum ama eksiklikleri rahatsız ediyordu. Firestarter’ a yüzeysel olarak bakmış basitliği karşısında şaşırmış ve diğer linux firewall’ arınıda incelemek üzere bu ihtiyacımı ertelemiştim. İnternet bağlantımda yaşadığım büyük verimsizlik karşısında bunu daha fazla ertelememem gerektiğini gördüm.
Firestarter hem basitliği ki bu basitlik sadece kullanımı değil, internet bağlantımızdaki temel güvenlik anlayışında da karşımıza çıkıyor ve bizim de olan biteni kolayca anlamamıza yardımcı oluyor, hem kullanıcılardan detayları gizliyor hem de gerekli politikaları kolayca oluşturmamıza olanak sağlıyor olması bizi basitliğin altında bir derinliğe ve öğrenmeye itiyor. Şimdi firestarter’ a birlikte bir göz atalım:
Öncelikle firestarter sadece asıl firewall’ a bir arayüz yani siz firestarter’ ı yükledikten sonra firewall her açılışta otomatik olarak başlıyor ve siz firestarter programını sonlandırsanız bile firewall’ ınız altta çalışmaya devam ediyor.
Firestarter’ ı kurduktan sonra bir wizard size otomatik olarak algıladığı network device’ sınızı (ethernet kartınızı) ya da dial up bağlantı için ppp0’ ı seçmenizi sağlıyor. Lokal internet ağınız için otomatik ip dağıtımı kullanıyorsanız veya internet bağlantınızı paylaşmak istiyorsanız bu seçenekleri sunuyor. En sonunda da firewall’ ı başlatma seçeneği ile sonlanan 3 adımlık bir wizard bu.
İş windows firewallar’ ından biraz farklı sürekli etkileşim içinde değilsiniz sadece genel politikayı bilip gerektiğinde gerekli service’ leri açmanız yetiyor. Default değerler normal internet kullanımına olanak veren bir yapıda; outbound acces serbest, inbound connection’ ların hepsi yasak hariç eğer inbound’ dan giden bir isteğe cevap olarak gelmiyorsa bağlantı.
Üç ana sekme Status, Events, Policy. Her sekmeye özel üstlerinde gelen seçenekler. Status Sekmesi yukarısında bu sekmeyle birlikte preferences, lock firewall, stop firewall gibi firewall ın durumunda değişikliklere gitmemizi sağlayan seçenekler beliriyor. Lock firewall seçeneği bütün internet bağlantınızı blokluyor. Stop firewall firewallınızı iptal ediyor ve start firewall seçeneğine dönüyor.
Status firewallınızın durumunu bir simge ile gösteriyor ve Events kısmında inbound ve outbound da gerçekleşen bağlantı denemelerini Total(toplam) ve Serious(tehlikeli) olarak gösteriyor. Ayrıca network araçlarımız ve bunlardaki girdiler, çıktılar ve şu anki aktiviteler gösteriliyor. Active Connections kısmında yaptığınız outbound bağlantılarınız izlenebiliyor.
Events Tab ında politika kurallarına göre engellenen bağlantıları görebiliyoruz. Eğer kırmızı ile ifade ediliyorsa bu tür bağlantı girişimleri dikkatle incelenmeli ve saldırı dediğimiz cinsten olma ihtimalleri yüksektir. Siyah ile ifade edilenler normal bir bağlantı isteği ve reddidir. Gri ile ifade edilenler ise genelde broadcast girişimler olup harmless(zararsız) bağlantı girişimleridir. Bu bağlantılar üzerine sağ tıkladığımızda bu bağlantılara izinler verebiliyor ya da bu olaylara ait günlüğün tutulması engellenebiliyor. En son seçenek olarak da ip adresinin hangi kaynağa ait olduğunu öğrememiz için bir seçenek bulunuyor tabiki ulaşılabiliyorsa.
Ayrıca üstte Save List, Clear, Reload seçenekleri çıkıp mevcut event listenizin kayıt altına alınması yani bizim okuyabileceğimiz .txt dosyası şeklinde, listenin temizlenmesi sadece ekrandan siliniyor yoksa listeniz yok olmuyor, Reload da ise listeniz tamamen geri yükleniyorki siz save yapmamış olsanız bile aslında bu olay(event) listenizin kayıt altında tutulması sağlanıyor.
Policy Tab ında inbound(dışardan gelen trafik) ve oubound(dışarı doğru olan trafik) için iki bölüm yer alıyor. Inbound için default bir yaklaşım var ve bütün bağlantılar yasaklı bir şekilde ayarlı. Yukarda da dediğimiz gibi bir isteğe (outbound bağlantısı) cevap olarak geliyorsa aynen internet bağlantımızda olduğu gibi (port:80 yapılan istekler ve buna karşılık gelen bağlantılar bunun sonucunda web site ziyaretleri) izin veriliyor.
Allow connections from host ile belli bir kaynaktan (bilgisayar ki ip adresi genelde tanımlar onu) yapılan bağlantılara izin verilmesi ve Allow service | port da da çalışan servicelerinize mesela tomcat sunucunuza 8080 portundan herkes tarafından ulaşılabilmesini burdan sağlıyoruz. Forward service de de firewalla gelen bağlantıları içerdeki network’ ünüzde ki başka bir bilgisayara ve porta yönlendirebiliyoruz eğer Enable internet connection sharing (internet bağlantısının iç networkte paylaşılması, dışarıya tek bir bilgisayar gibi gözükmesi) seçeneği işaretlenmemişse bu seçenek kapalı konumda kalıyor.
Outbound trafic policy de ise dışarıya yaptığınız bağlantıların kurallarını belirliyorsunuz. Permissive (izin verici) seçenekte outbound access tamamen serbest olup kara listeye sahipsiniz. Yani izin vermemek istediğiniz bağlantıları aşağıda ki seçeneklerle ya tek bir bilgisayara ya da service ulaşılmasını engelleyebilirsiniz. Enable internet connection sharing işaretli ise iç network’ ünüzdeki bilgisayarların internete ulaşımını da engelliyebiliyorsunuz. Restrictive (Kısıtlayıcı) seçenekte ise internet bağlantınız tamamen bloklanıp beyaz listeler oluşturuyorsunuz. Böylece ister tek bir bilgisayar, tek bir service ya da tek bir bilgisayarın dışarıya ulaşmasına netwok’ ünüzden izin verebiliyorsunuz.
Preferences kısmında iki bölüm bulunmaktadır interface(arayüz) ve firewall(ateş duvarı) ile alaklıdır bunlar. İnterface de çalışan programlarınız arasında simge olarak görülmesini ve program başladığında direk minimize olmasını sağlayacak seçenekler bulunuyor. Events sekmesinde Skip redundant entries ile aynı olayların tekrar ile event listesinde gösterilmesini engelliyor yoksa bloklamaya devam ediyor. Dont log events for the following ile sadece belirtilen kaynaklara ait eventlerin logunun tutulmasını engelliyorsunuz yoksa yine o bağlantı bloklanıyor.
Firewall kısmında firestarter’ ı başlattığınızda, dial up connection’ ınız koptuğunda ya da network’ ünüzde DHCP ile dinamik ip dağıtımı yapıyorsanız belli süreler ile bu bilgiler tazeleniyor dolayısı ise ip adresiniz değişebilir ki adsl kullanıcıları da bu şekilde telekomdan alıyorlar ip adreslerini firewallın doğru kaynağı koruyabilmesi içinyeniden başlatılması ve bilgilerinin tazelenmesi için seçenekler bulunuyor.
Network settings de tekarardan network ayarlarınız yapılandırılması ICMP filtring gibi daha detaylı ayarlar yapmanızı sağlayacak seçenekler bulunuyor. Ama burada dikkatli olunması gerekir çünkü bazı serviceler bu ICMP paketlerini kullanarak devamlılıklarını sağlıyorlar. Mesela ping, tracerout gibi bilindik requestleri engelleyebilirsiniz ama bunlar bir çok service tarafından kullanıldığı için engellenmeleri tavsiye olunmuyor.
TOS (type of service) ile bilgisayarınızın server’ a, workstation’ a göre politikalarının ayarlanmasını sağlayabiliyorsunuz ya da bağlantınızın performansa, güvenilirliğe veya etkileşime göre ayarlanmasını throughput, reliability, interactivity ile sağlıyabiliyorsunuz. Advanced kısmında ise broadcast bağlantıları yönetebiliyor ve bilgisayarınızın gelen paketleri reddetme şeklini seçebiliyorsunuz ki bu sizin bilgisayarınızın varlığından haberdar olunup olunamamasını sağlıyor.
Firestarter’ ın dokümantasyonu gerçekten çok güzel hazırlanmış o da tıpkı ürün gibi basit, sade ve anlaşılır. Şimdilik üstün körü bir geçiş yaptım ama oradaki dökümanı birebir TR yapmayı düşünüyorum. Gördüğüm kadarı ile yok ama varsa haberdar ediniz.
Birde hatırlatılması gereken nokta firestarterı sizde benim gibi açılışta çalışır vaziyette görmek istiyorsanız minimize olarak bunu sıkça sorulan sorular kısmında dökümantasyonun açıklamışlar ama ubuntu(6.10) kullanıyorum ve ordaki açıklamada eksik kalan bir şey var ki oda visudo ile /etc/sudoers dosyasını dedikleri şekilde değiştirirken
#Defaults
Defaults !lecture,tty_tickets,!fqdn,env_keep+=“DISPLAY HOME XAUTHORIZATION”
bu kısmınında belirttiğim şekilde olması gerekiyor yoksa sizde benim gibi forum forum dolaşırsınız.
Not: Bu konu ile ilgili sorularınız olursa cevaplamaya çalışacağım ayrıca ekleme çıkarmalarınızıda bekliyorum.
Feb 15, 11:22 PM