Threshold Based SPI Firewall Sistemleri
Firewall (Ateş Duvarı) olarak anılan network cihazları temel olarak çalışmakta oldukları OSI katmanına göre bir kaynaktan bir hedefe yapılan bağlantıları limitleme yapan sistemlerdir. Gerçek hayatta örnek vermek gerekirse trafik polisleri en iyi örnek olacaktır, fakat Firewall sistemleride yıllar içinde kendilerini güncellemiştir. En baz sistemler stateless olarak geçen firewallardır, güncell ve kullanımda olanlar is stateful firewall sistemleridir, bunun bir üstü ise application bazlı firewall sistemleridir.
RESIM 1 (Firewall Stateless)
Resim 1 de görülen polis memuru stateless olarak tanımlanan firewall sistemlerine en iyi örnektir, amacı sadece trafiği düzenlemektir ve hiçbir şekilde trafik içindeki araçlar ile uğraşmaz. Bu memur için trafiğin durumu, yoğunluğu, araçların tipi, rengi yada kapasitesi herhangi bir önem taşımaz onun için öneli olan trafiğe yön vermek ve durdurulması gereken şeritleri durdurmaktır gerisi ile ilgilenmez. Firewall kuralı olarak tabir edildiğinde “x” kaynağından gelen “y” hedefine giden şeklinde bir tarifin kesilmesi yada izin verilmesi durumu söz konusudur. Basitce “192.168.1.10” IP adresinden “33.33.33.33” IP adresine giden herhangi bir durumdaki paket şeklinde tabir edilebilir, aynı firewall tipi PORT bazında çalışma yapabilse de aslında portun içeriğini kontrol edemez. Bu firewall sistemleri günümüzde kullanışsız ve ihtiyaçları kesinlikle karşılamayan bir yapıdır fakat bir çok basit modem üzerinde ev kullanıcısı ihtiyaçlarını karşılamak için kullanılır.
RESIM 2 (SPI Firewall Stateful)
Resim 2 de görülen Polis memuru stateful sistemine örnek verilebilir. Bu memur tipi bir aracın “x” noktasından “y” noktasına gidişinde aracın her bilgisi ile kendisine verilen emir düzeyinde ilgilenir. Örnek olarak vermek gerekirse Ankara’dan Afyon’a gitmekte olan araçlarda 06VHS** plakalı araç kontrol edilmeli kontrol zamanında aynı yolu kullanacak olan Cumhurbaşkanına ise transit yol açılmalıdır gibi bir işlem yapabilir. Çalışma katman aralığına göre MAC adresi yada IP adresleri trafiğin yönüne göre hedef yada kaynak olarak verilebilir. Kural olarak örnek vermek gerekirse “00-50-56-C0-00-08” MAC adresi dışında kalan “33.33.33.33” IP adresine “HTTP” servisi kullanarak yeni bağlantı isteklerine 12:00 – 13:00 arasında izin ver fakat içerikte “silah” kelimesi geçerse izin verme şeklinde bir kural tanımlanabilir. Bunu uygun örnek vermek gerekirse “00-50-56-C0-00-08” MAC adresi Cumhurbaşkanını temsil eder ve hangi araçta olduğu fark etmez, eğer araçta Cumhurbaşkanı var ise koşulsuz geçiş hakkına sahiptir, “33.33.33.33” ise Afyon Karahisar ilimizdir yani hedeftir ve özel olarak Ankara, Afyon arası yol için tanımlanmış bir kuraldır diğer şehir bağlantılarını kapsamaz, “HTTP” ise karayolunu tabir eder yani bu yolculuk karayolundan yapılıyor ise bu kural geçerlidir ve uçak ile seyahat eden insanları etkilemez ayrıca vermiş olduğumuz 12:00 – 13:00 zaman aralığı ile bu zaman aralığını kapsayacak şekilde ayarlama yapmışızdır. ” yeni bağlantı” kelimesi de önemli bir kıstastır ve stateful firewall sisteminin önemli özelliklerindendir, bu kelime anlam olarak şunu tabir eder araç bu saatlerin dışında karayoluna giriş yapmış ise bu aracı takip etme aynı şey bu saatler dışında giriş yapmış tüm araçları durdur olarak da tabir edilebilir ve son olarak “silah” kelimesi ise bu seyahat halindeki araçların içinde her ne durumda olursa olsun silah bulunuyorsa kesinlikle durdur demektir. SPI Firewall sistemleri oldukça yetenekli cihazlardır ve düşük donanım ihtiyacı nedeni ile oldukça uygun maliyetlere sahiptirler ve çok düşük donanımlarda çok yüksek kullanıcı sayısını ve bağlantıyı destekleyebilirler.
RESIM 3 ( UTM )
Resim 3 de görülen polis memuru ise UTM (Unified Threat Management / Birleşik Tehdit Yönetimi) sistemlerine iyi bir örnektir. UTM sistemleri adından anlaşılacağı gibi birçok özelliği kendi içinde birleştirmiş toplam çözümler sunmaya çalışan yapılardır. İçinde barındırdığı SPI Firewall sistemleri ile paketin tüm geçiş şartlarını sağlaması durumunda AntiVirüs/AntiSpam/IPS/IDS sistemlerince handle edilir yani işlenir, içerikte risk içeren durum var ise bunu gideceği yere teslim etmez ve bağlantıyı keser yada içeriği değiştirerek zararlı kısmı alarak paketi teslim eder bu tamamen sistem yöneticisinin yazdığı kurallar ve iletişim sistemi ile alakalıdır. Örnek olarak Mail bağlantısında SPAM içeriği olan bir mail işleme sokularak başlık kısmı değiştirilerek kullanıcıya teslim edilebilirken bu HTTP üzerinden download edilen bir dosya için geçerli değildir, bunun nedeni dosyada ki zararlı kısımlar silindiğinde dosya bütünlüğünün bozulacağıdır. Bir diğer örnek ise; IPS sistemi WEB Sunucunuzu ziyaret eden bir kullanıcının istemli yada istemsiz olarak yaptığı saldırı olarak değerlendirilebilecek bir durumda sitenin tamamı kullanıcıya kapatabilir basitçe eski tip bir explorer kullanması ve TLS yerine SSL V* kullanması bile buna örnek gösterilebilir. UTM cihazları üzerinde çalıştırdıkları servislerin ihtiyaç duyduğu yüksek işlemci gücü, ön ve kalıcı hafıza ihtiyaçları nedeni ile donanım maliyetleri yüksektir ayrıca hizmete sunulan her servis sürekli geliştirilmekte olan bir databases sisteminden güncelleme gerektirir buda üretici firma için maliyettir ve genelde lisans bedelleri olarak son kullanıcıya yansıtılır ve bunlarda ciddi ücretlerdir, güncellenmeyen bir sistem ise sadece SPI Firewall özellikleri ile genel olarak devam edebilir elbette üretici firma kendisine özel cihazın lisansız çalışmasını durdurabilecek bir yapıda kurmuş olabilir.
Hangi firewall tipinde olursa olsun sistem iki yolla yürümektedir, birinci yöntem Firewall ve SPI Firewall sistemlerinde ki yapıdır ve paketin uygun şartları sağlaması durumunda kabulüdür buda WEB sunucunuza normal yollarla HTTP isteği yapan kullanıcıların sunucuya erişimine izin verileceği anlamı taşır. Saldırgan bunu sunucunuzu overflow (taşma / hizmet verememe) durumuna sokması için kullanabilir. Basitçe bir inbound NAPT (network adress port translation / virtual server / NAT) yaptım ve cihazımın WAN tarafında bulunan X Public IP adresine gelen ve hedefi 80 ( HTTP ) portu olan istekleri yerel ağımda ki Y IP sine forvarding (Source IP Adresi değiştirilmeden) ile iletmesini istedim, sonuçta ana kıstasım http://x:80 isteği yapan kullanıcının http://y:80 ulaştırılması ve herhangi bir ek kıstasım yok ve gelen istekler aynı anda sunucuya iletilir buda sorunsuz olması gereken bir kısım fakat aynı anda bir milyon istek gelirse hizmeti veren WEB Sunucu (örnek Apache/IIS/LightHTTP) doğal olarak overflov olacaktır. Yazılımsal olarak overflow olmasa bile donanımsal olarak sunucu cevap veremez duruma da getirilebilir, tamamen bu iş için ayırdığımız donanım kıstasına bağlıdır. UTM tarafında bu iş daha farklı yürüyecektir, UTM bu paketi öncelikle kabul edecek sonra servislerden geçirecektir ve uygunsa sunucuya iletecektir normal bir istek şeklinde ise iletimde sorun olmaz bu SPI Firewall sistemindeki sunucuya iletilir ve sunucunun yazılımsal yada donanımsal olarak overflow olmasına neden olur, eğer yapılan bu işlem IPS tarafındaki bir imza ile uyuşursa UTM bu isteği sunucuya iletmeden kesecektir, tabi bu durumda şuda olayda geçerlidir UTM donanım ve yazılımı bu kadar yoğun isteği kaldırabilir olmalıdır ki buda maliyettir.
Hem Firewall hemde UTM cihazlarında doğal olarak DDOS atakları için korumalar var ve anlık paket sayım mekanizması ile eşik değeri aşıldığında trafiği kesebiliyor. Düşük işlemcili cihazlar bunu genel, yüksek işlemcili cihazlar ise bunu kaynak adresi yada hedef bazında ayırarak yapabiliyor bu sayede belli bir zaman aralığında belli bir paket sayısına ulaşıldığında trafik sunucuya gönderilmeyerek sunucunun overflow olması önlenebiliyor. Her iki durumda da cihaz paketleri handle ettiği için donanım kaynağı ve donanımı süren yazılımın bu işi yapabilecek kapasitede olması gerekiyor. Ayrıca atak yapan insanlar yada yazdıkları programlar hiç de aptal değiller ve DDOS mekanizmalarını atlatabilmek için threshold (eşik) değerini test ediyorlar, DDOS sistemlerinde bir black list olmadığı için eşşik değerindeki paket sayısı aşılmadığı sürecede bu isteklere çevap veriyorlar.
Şuana kadar bahsettiğimiz sistemlerde istekleri ya izin veriyor yada direk kesiyor yada UTM servisleri ile kontrol edip duruma göre işlem yapıyorduk yada DDOS tarafında eşik değerleri ile ayarlama yaparak sistemlerimizi korumaya çalışıyorduk, fakat hepsinde ana sorun paketlerin sisteme kabul edilmesi, işlenmesi ve bu nedenle sürekli olarak donanım ihtiyacının artması idi. Donanım ihtiyacının artması ise doru orantılı olarak maliyeti arttıracaktır ayrıca DDOS sistemleri çok güçlü bir donanım ve bunu idare edebilecek bir yazılım sisteminde çalışmıyorsa kendisi başlı başına bir sorun haline geliyor çünkü hizmeti komple kesiyor, kaynak bazlı çalışanlar dahi kaynaklar geographic (coğrafi / ülkesel) ya da IP aralığına özel ayarlandığı için hizmete atak tekbir IP adresinden gelsede içinde bulunduğu IP aralığının hepsi yada bulunduğu ülkenin hepsine kesiliyor ve verilmek istenen servis ya verilemiyor yada servis kalitesi etkileniyor. Bu durumda bize servis kalitesini hep en üst seviyede tutacak ayrıca sürekliliğini etkilemeyecek bir yapı lazım. Servis sürekliliği için öncelikle paketleri güvenlik cihazlarının servislerin haricinde işlemeye başlamalıyız bu nedenle eşik değerimiz aşıldığında bu paketler DDOS sistemine sürekli olarak gönderilmemelidir ki servisin count sayısı düşsün ve hizmeti tekrar aktifleştirsin, ayrıca bir IP adresinden dolayı bir IP bloku / Bir IP aralığı / Bir ülkenin tüm bağlantısı kesilerek servis sürekliliği etkilenmesin. Bazı yeni sistemler DDOS yapısından bağımsız özel bir eşik değerine sahip oluyorlar ve bu eşik değerinin aşıldığı durumlarda gönderici adresinin paketleri direk olarak drop ediliyor bu şekilde hiçbir servis gereksiz yere meşgul olmuyor ayrıca bu sistem /32 yani host bazında yapıldığı ve host bazında bir black list (kara liste) tutulduğu için bir IP bloku / Bir IP aralığı / Bir ülkenin etkilenmesinin önüne geçiliyor ve genel olarak sistem black list olarak adlandırılıyor.
RESIM 4 (Threshold Based SPI Firewall Stateful)
Resim 4 yapılan işlem suçlunun tutuklanmasıdır bu resim konumuz olan black list sistemini iyi bir şekilde açıklamaktadır çünkü tutuklama bir soyutlama işlemidir ki Black list sistemide tam olarak bunu yapmaktadır ve atak yapan IP adresini tamamen soyutlamaktadır ve bu şekilde düşük uygun donanımla oldukça yüksek trafiklere cevap verebilen uygun maliyetli bir yapı kurmak olası olmaktadır. DrayTek gibi uygun maliyetli ve uygun donanımlı SPI Firewall sistemleri artık standart DDOS ve SPI Firewall sisteminin yanında Firewall sistemlerini Threshold bazlı yapılara çevirmektedir. Bu yapılar Firewall kurallarına entegre çalıştığı için is kara liste sistemi içerden dışarı yada dışarıdan içeri MAC/IP/IP Aralığı / IP Bloku / Ülke / Kullanıcı Adı na göre özelleştirilebilir, kapsar şekilde ayarlanabilir ayrıca bu kapsama içinde sadece işlemi yapan kullanıcının etkilenmesi sağlanabilir. Bu sistemler sayesinde servis sürekliliği ve servis kalitesi sürekliliği sağlanabilir.
RESIM 5
Resim 5 yapılan işlem DrayTek 3900 modelinde örnek bir Black List uygulanmış Firewall kuralıdır. Bu kuralın yaptığı işlem; Öncelikli olarak Action olarak herhangi bir drop işlemi uygulamaz ve default olarak bağlantıya izin verir, Limit Packets değerinde belirtildiği üzere bağlantı limiti 10001 değerine ulaştığında eğer Limit Penalty aktif değilse önceki bağlantılar sonlana kadar yeni bağlantıya izin vermez fakat seçili ise 10001 adet bağlantıyı oluşturan IP adresini Black Liste atar ve Block Time kısmında belirtilen süre boyunca ondan gelen tüm paketleri herhangi bir kurala ya da sisteme iletmeden direk olarak drop eder ki drop etmek önemlidir çünkü karşı tarafada bir bildirim yapmaz bu şekilde cihaz bant genişliğinide kullanmaz ki paketi BLOCK yada DROP edebilme özelliği SPI Firewall özelliğidir. Limit Mode kısmı ise bu limitlemenin herkes için mi yoksa sadece bir kişi içinmi olacağını bildirir eğer share seçilirse bu kural WAN1 den herhangi bir LAN üstündeki IP gidişlerdeki her kaynağı bloklar, eğer Each seçilirse sistem sadece 10001 adet bağlantı yapan kaynağı durduracaktır. Ayrıca bu kuralın bir özelliğide cihazın SPI Firewall içermesinden dolayı sadece yeni bağlantılara bunu uygulayacak olmasıdır yani ESTABLISHED yada RELATED bağlantılara müdahale etmez. İstenilirse bu kural Object bölümünden MAC Adresi (sadece lan to wan) /IP Adresi / IP bloku / Bir IP aralığı / Ülkesel / Servis tipi / Kullanıcı Adı / Zaman Aralığı şeklin dede özelleştirilebilir. Sistem SPI Firewall olduğu için eğer Firewall object kısmında Advanced Setting kısmında “Clear Session When Secheduler on” seçilirse ve bu kurala zaman aralığı uygulanırsa aktif olmadığı süredeki bağlantıları otomatik olarak temizler ve tüm istemcileri yeni bağlantıya zorlar. Bu sistem hacker guruplarının yapacağı ataklarda şaşırtma olarakta kullanılabilir; yapılması gereken farklı Limit Packet değerlerinde ki kuralların farklı zamanlarda çalıştırılarak bu zaman aralıklarında saldırı yapanların kara listeye alınması ve uzun vade bu kısımda tutulması ayrıca bu taktikle atak yapan ve threshold değerlerimizi öğrenmeye çalışan hacker larıda şaşırtabiliriz. Ciddi alamda uğraşılan bir sistem var ise bu durumda işi ülkesel olarak özelleştirip sürekli hizmet verdiğimiz ülkelere daha esnek limitler tanımlayarak geri kalanına daha ağır kurallar uygulayabilir bu şekilde asıl hedef kitlemize sunduğumuz hizmetlerimizin etkilenmesini de önleriz bu şekilde hizmet kalitemizi sürekli sabit tutabiliriz.
Tüm bu bilginin ardından görülen şudur ki artık SPI Firewall sistemleri de ek güvelik önlemleri olmada sistemlerimizi koruyamaz duruma gelmektedir.
ERTAN ERBEK – Üretim Proje ve ARGE Müdürü – Simet Teknoloji