Linux'ta güvenlik duvarları
Hemen hemen tüm sistem ve ağ yöneticisi olan kişiler bu konu üzerinde durmuş aynı tartışmaları yapmıştır. Kodu kapalı uygulamların ticari olarak gelişitirlmiş olmasının sakıncaları ve yararları ile açık kaynak kodlu uygulamaların yararları ve sakıncaları tartışılmıştır. Kapalı kodlu sistemler açısından ele aldığımızda Windows işletim sistemi ailesi için bir firewal çözümü aramak ve uygulamak her zaman için pahalı ibr seçeneketir. Öte yandan da sürekli artan terfi maliyetleri ile bütçe sıkıntıları yaşanır. Elinizdeki sınırlı bütçe ile çözüm üretmek ve karar vermek durumunda kalırsınız. Öte yandan da kullandığınızyaılımda ortya çıkan güvenlik açıklarınınm kapanması içinde geliştirici-üretici şirketin çalışma programına göre yama çıkarmasını beklersiniz. GNU/Linux tabanlı bir firewall çözümü arıyorsanız neler bilmeniz gerekir?
Her ağ ve sistem yöneticsinin kullandığı veya sorumlu olduğu sisteme uygun bir koruma ve kontrol sistemi geliştirmesi gereklidir. Bu açıdan bakıldığında bir firewall sistem ve ağ güvenliği dışında tek başına düşünülecek bir konu olmaktan çıkmaktadır. Ancak konunun kapsamını sınırlamak ve firewall çözümleri üzerinde durmak için konu kapsamını açık kaynak kodlu yazıolım ve sistemlerin firewall olarak kullanılmasını olarak sınırlıyoruz. Gözden kaçırılmaması gereken ise güvenlik konusunun firewall ve diğer sistemler ile birlikte ele alınması ve kapsamlı bir plan geliştirilmesinin gerekliliğidir.
Bu yazı kapsamında firewall sistematiğini ve linux tabanlı bir çözümün değerlendirilmesinde dikkate alınacak olan noktalar üzerinde duracağız.
Firewall Temel Prensipler
Firewal iki farklı öğenin bileşenidir: Ağ geçidi ve vekil sunucu (gateway ve proxy). Ağ geçidi basit anlamda yardımıc bir öğedir. Ağınızda yer alan bir bilgisayar dışarıdaki yani intenette yer alan bir başka bilgisayar ile iletişime geçmeden önce bu bilgisayara nasıl erişebileceğini ve bağlantıyı nasıl kuracağını tanımlayabilmelidir. Ağın dışına-internete veya diğer ağdaki bilgisayarlara giden trafik ağ geçidi üzerinden geçer.
Vekil sunucu ise bir aracı olarak görevini yapar. İki bilgisayarın doğrudan iletişim kurmasına izin vermez, tersine iki bilgisayar arasında aracılık yapar. Bu şekilde iki bilgisayar arasındaki iletişim kontrol edilebilir. Vekil sunucular istenmeyen iletişimi engelleyebilir, genel olarak bilgisayarlar arasındaki iletişimi düzenleyici rol oynar.
Firewall uygulaması da bu şekilde çalışır. Geçit olarak diğer bilgisayarlar ile iletişimi kurmaya olanak sağlarken, düzenleyici olarak da iletişimi kontrol eder.
Firewall düzenlemenizin karmaşıklığı veya basitliği düzenlemek durumunda olduğunuz ağ trafiğine bağlıdır. Ağ trafiği genel olarak iki bölüme ayrılır: Birincisi özel uygulamaları kapsayan (session-based), diğeride geneldir. Özel uygulamalar (VPN gibi) için gelişitirilen çözümler karmaşık olurken, genel ağ traiğini düzenlemeye yönelik (portların yönetilmesi, erişimler ve kısıtlamalar vs) gibi çözümler ise daha basit uygulamalardır.
Genel ve Özel
Genel, olarak tanımladığımız düzenlemeler de sunucu gelen bir isteği yanıtlarken, önceki isteklere dikkat etmek durumunda değildir. Basit bir örnek olarak bir web sayfasının sunucudan çağrılmasını örnek verebiliriz. Sunucu sitenen sayfa ile ilgili dosyaları derler ve isteyen bilgisayara gönderir. Bu durumda isteği gönderen bilgisayarın daha önceden istekte bulunmuş olmasının bir önemi yoktur.
Genelde internet üzerindeki trafiğin önemli bir bölümü özel olarak sınıflandırılabilir. VPN uygulamaları, e-ticaret, uzak veri tabanlarına erişim ve benzeri uygulamalar bu sınıfta yer almakatadır. Bazı durumlarda ise orturum tabanlı işlevler uygulama temelinde kullanılır. Örneğin, çerezler bu işlemler için kullanılır.Ancak çoğunlukla oturum özellikleri ağ temelinde dikkate alınmalıdır. VPN uygulamaları bu tür ağ temelindeki işlevlere örnek verilebilir.
Eğer kullanıcılar ağ genelinde e-posta ve internet sitelerine erişim hizmetlerine gereksinim duyuyorsa sistemin size sağladığı firewall çözümleri yeterli olacaktır. Eğer tersine olarak uzakta bulunan ağlara erişim ve veri tabnalrı ve benzeri kaynakların paylaşımına gereksinim duyuluyorsa bu durumda teknik personelin yapacağı işlemler aratacak veya ticari bir GNU/Linux dağıtımına gereksiniminiz olacaktır.
Linux Firewall Çözümlerinin Gelişimi
Firewall çözümlerinin sistem geneline eklenmesi eskiye dayanmaktadır. Alan Cox, BSD yer alan ipfw uygulamasını 1.1 çekirdeğine ekleyerek ilk firewall çözümünü uygulamaya komuştur. İzleyen süreçte ise ipfwadmin geliştirilerek ipfw uygulaması geliştirilmiştir. İlerleyen amanda ise ipchains uygulamsı geliştirilmiş ve sistemdeki yerini almıştır. ipchains, iptables adlı ayar dosyası ve bir dizi komut ile gelişitirilmiştir. iptables ile uygulanacak kurallar ve durumlar tanımlanmıştır. uzun yıllar iptables ve ipchains GNU/linux dağıtımları için standart firewall çözümü olarak kullanılmıştır.
genel ağ trafiğin yönetmek için iptables yeterli olmaktadır. iptables ile kapatılcak olan ve açık bırakılacak olan portlar sistem yöneticisi tarafından tanımlanmaktadır. Bu tanımlama uyarınca belirli portlar açık bırakılmakta ve kapatılmaktadır. iptables ile dışarıdan gelen ve dışarıya gönderilen paketler incelenmekte ve sistem yöneticisi tarafından tanımlanmış kurallar çerçevesinde değerlendirerek gerekeni yapmaktadır. Kuralar yanımlanırken kullanılan ölçüler, kaynak ve hedef bilgisayarlar, port, paketlerin başlık dosyalarının özellikleri veya bunların farklı birleşimleri olabilmektedir. iptables ile paketler teker teker ele alınmaktadır. Bu düzenleme genel ağ trafiğini düzenlemek için yeterli olmaktadır.
Bir çok durumda genel bir ağ trafiği düzenlemesi yeterli olmaktadır. Bu tür bir düzenleme basit ve kolayca yapılabilirken işlevsel özellikler eklemek ise olanaksız hale gelmektedir. Kabaca anlatacak olursak, evinizin prencerelerini, kapılarını kilitleyip sadece bir kapıyı açık bırakmak ve bu kapıya da güvenilir neöbetçiler koyarsanzı bu genel bir düzenlemedir. Ancak güvendiğiniz birisi varsa, ona ikinci bir anahtar vererek başka bir kapıyı kullanmasına izin vermek ise genel bir uygulama değildir. Burada özel bir uygulamaya gitmektesiniz. Özel yaklaşımlar genel çözümlerden daha fazlasına gereksinim duyar.
Çekirdepğe eklenen yeni kuşak kod ile firewall çözümlerinde genelden özele doğru geçebiliyoruz. netfilter, geliştirilen kod ile çekirdeğe gereksinim duyulan modülleri yükleyerek oturum tabanlı ağ trafiği düzenlemelerinin yapılmasına olanak veriyor. Önemli bir noktada ağ ve sistem yönetiminden sorumlu olan personelin çekirdek derlemek ve ayarlarını düzenlemek konusunda yeterli bilgi ve deneyime sahip olması gerekliliğidir. Çekirdek ile modül bazında çalışmak, çekirdeğin bir bütün olarak yeniden düzenlenmesini gerektirmez.
Netfilter "yeni" olarak nitelendirebilir. 2.4 Çekirdek ile Ocak 2001'de kullanılmaya başlandı. Dolayısıyla da netfilter tabanlı firewall düzenleme yazılımlarının da yeni olduğunu söyleyebiliriz. Netfilter ipchains ve iptables ile geriye doğru uyumlu olduğu için, bu düzenleyici yazılımlarda temelde iptables ve ipchains uyumlu olmaktadır. Diğer bir değişle yeni firewall kodu olan netfilter oldukça güçlü olmakla birlikte bir çok yenilik sunsa da , iptables ve ipchains ile karşılaştırıldığında kullanımı zor olmaktadır.
Hangisi daha iyi?
Açık kaynak kodlu çözümleri değerlendirken karşılaşılan en büyük sorun bulacağınız çözüm sayısının çokluğu olmaktadır. Sourceforge ve freshmeat üzerinde "firewall" anahtar sözcüğü ile arama yaptığınızda karşınıza bir çok sonuç gelmektedir. Sonuçlar ise başlangıç düzeyindeki hobi amaçlı projelerden, olgunlaşmış ve teknik desteği olan ticari uygulamalara dek geniş bir yelpazede yer almaktadır. Bazı yazılımlar, çok amaçlı kullanılan bir GNU/Linux çalıştıran bilgisayar firewall özelliğinin eklenmesini sağlarken, bazıları ise salt firewall olarak kullanılmak üzere tasarlanmış uygulamalar olmaktadır. Bunların bazıları hatırı sayılı derecede Linux sisytem yönetimi bilgisi ve deneyimi gerektirirken bazıları ile grafik arabirim üzerinden ayarlarınızı bir fare tıklmasıyla yapmanıza olanak sağlayacak kadar basitleştirmektedir.
Seçimlerinizi yaparken dikkat etmeniz gereken nelerdir? Bazı uygulamalar eski donanımı değerlendirerek bir firewall çözümü sunmak için ileri düzeyde bilgi gerektirmektedir. Eğer kendi firewall çözümünüzü geliştirmek isityorsanzı bu durumda eğitim faaliyetlerini düzenlemek durumundasınız demektir.
Kutudan çıkan çözümler olarak nitelendirilen dağıtım ile gelen firewall çözümleri eğitim çalışmalrına gerek duyulmadan basit füzenlemler ile firewall yapılandırılmasını sağlamaya yöneliktir. Benzer çözümler Red Hat ve SUSE ve benzeri dağıtımlar ile sunulmaktadır. Benzer bir durumda ticari uygılamlar için geçerlidir. Bu durumda personeli eğitmek için kaynak gereksinimleri azalırken, fiyat önemli bir etkene dönüşmektedir.
Toplam Sahip Olma maliyeti açısından bakılırken yukarıda saydıklarımızın hepsi ve daha fazlası da dikkate alınmak durumundadır. Açık kaynak kodlu uygulamalar maliyet olarak düşük olsa da, kurumsal kullanıcılar düzeyinde sistem ve ağ yönetiminden sorumlu olan personelin sisteme dair yeterli bilgisinin olmaması durumunda eğitim faaliyetleri daha fazla kaynak ayrılmasına, dolaylı olarak da maliyetlerin artmasına neden olmaktadır. Diğer bir etkende kullanılan ticari uygulamalrın sistem ile olan uyumsuzluklarının yaratacağı problemler olacaktır. Bu uyumluluk sorunu da ciddi maliyet artışları anlamına gelecektir.
Gerçi firewall uygulmalrı sistem bütününden ayrı olarak ele alınabileceği için IT alanında çalışanlar için Linux dünyasına adım atmak için iyi bir başlangıç noktası oluşturmaktadırlar. Linux tabanlı firewall çözümlerinin kullanıcı dostu arabirime sahip olmaktan uzak kaldığını ileri sürebilirler. Bu yargı belkide iç veya dört yıl önce dopru kabul edilebilirdi. Günümüzde ise grafik arabirim alanında yürütülen çalışmalar ile kullanıcı dostı olan bir web veya garfik arabirimleri kullanabiliyoruz. Dolayısıylada firewall çözümleri de artık kullanıcı dostu olmaya başladı.
Daha fazla bilgi almak için forumları, posta listelerini ve internet sitelerinden yararlanabilirsiniz. Bu yaklaşım bazı çevrelerce küçümsense de açık kaynak kodu dünyası için doğaldır. Gelişitriciler ve kullanıcılar ile kurulacak olan iletişim yardımcı olacaktır.
Firewall Uygulamaları için Örnekler
Burda adı geçen bazı uygulamar ile ilgili olarak grafik arabirime sahip olan uygulamalardan söz edelim. Firestarter ve knetfilter netfilter tabanlı iki uygulamadır. Bunlardan başka Perl ile hazırlanmış olan ve grefik arabirim kullanmayan doğrudan konsol üzerinden düzenleyebileceğiniz PCX Firewall, grafik arabime sahip olan ve dağıtımlarda sıklıkla yer alan Shorewall, IPcop firewall olarak başarılı örnekledir.
Shorewall, her nekadar yeni bir proje olsada, diğerleri ile karşılaştırıldığında netfilter tabanlı olması ile diğerlerinden ayrılmaktadır. Netfilterin önemli bileşenlerini kullanabilmekte ve oturum temelli düzenlemelr yapılmasına olanak vermektedir. Shorewall uygulaması aslında netfilter için bir arayüz olarak çalışmaktadır. Uygulama ile ayarlamalar yapılmaktadır. Shorewall diğerleri ile karşılaştırıldığında oldukça iyi hazırlanmış belgelendirme dosyaları ile gelmektedir. İyi düzenlenmiş bir belgenin önemimi tüm sistem yöneticileri gayet iyi bilir.
Ticari uygulamalar açısında ise özel amaçlı olarak kullanılan uygulamalar tercih edilebilir. Smoothwall Express bu amaçla geliştirilmiş olan hem ticari hem de ücretsiz olarak hazırlanan iki sürüüm bulunan bir uygulamadır. Bir bilgisayarı tamamen firewall olark kullanabilirsiniz. SmoothwallGuardian özel amaçlı ağ yönetimi için uygun bir çözüm olmaktadır. Eklenebilen modüller ile farklı çözümler geliştirlebilmektedir.
Sonuç
Eğer kendi kurumunuz beya bireysel ağınız için bir çözüm arıyorsanız açık kaynak kodlu çözümler bulabilirsiniz. Özel çözümler için her zaman yer olmakla birlikte eğer benzer bir sorun ile daha önce karşılşamış birileri varsa mutlaka açık kaynak kodlu bir çözüm de bulunmaktadır.
Hemen hemen tüm sistem ve ağ yöneticisi olan kişiler bu konu üzerinde durmuş aynı tartışmaları yapmıştır. Kodu kapalı uygulamların ticari olarak gelişitirlmiş olmasının sakıncaları ve yararları ile açık kaynak kodlu uygulamaların yararları ve sakıncaları tartışılmıştır. Kapalı kodlu sistemler açısından ele aldığımızda Windows işletim sistemi ailesi için bir firewal çözümü aramak ve uygulamak her zaman için pahalı ibr seçeneketir. Öte yandan da sürekli artan terfi maliyetleri ile bütçe sıkıntıları yaşanır. Elinizdeki sınırlı bütçe ile çözüm üretmek ve karar vermek durumunda kalırsınız. Öte yandan da kullandığınızyaılımda ortya çıkan güvenlik açıklarınınm kapanması içinde geliştirici-üretici şirketin çalışma programına göre yama çıkarmasını beklersiniz. GNU/Linux tabanlı bir firewall çözümü arıyorsanız neler bilmeniz gerekir?
Her ağ ve sistem yöneticsinin kullandığı veya sorumlu olduğu sisteme uygun bir koruma ve kontrol sistemi geliştirmesi gereklidir. Bu açıdan bakıldığında bir firewall sistem ve ağ güvenliği dışında tek başına düşünülecek bir konu olmaktan çıkmaktadır. Ancak konunun kapsamını sınırlamak ve firewall çözümleri üzerinde durmak için konu kapsamını açık kaynak kodlu yazıolım ve sistemlerin firewall olarak kullanılmasını olarak sınırlıyoruz. Gözden kaçırılmaması gereken ise güvenlik konusunun firewall ve diğer sistemler ile birlikte ele alınması ve kapsamlı bir plan geliştirilmesinin gerekliliğidir.
Bu yazı kapsamında firewall sistematiğini ve linux tabanlı bir çözümün değerlendirilmesinde dikkate alınacak olan noktalar üzerinde duracağız.
Firewall Temel Prensipler
Firewal iki farklı öğenin bileşenidir: Ağ geçidi ve vekil sunucu (gateway ve proxy). Ağ geçidi basit anlamda yardımıc bir öğedir. Ağınızda yer alan bir bilgisayar dışarıdaki yani intenette yer alan bir başka bilgisayar ile iletişime geçmeden önce bu bilgisayara nasıl erişebileceğini ve bağlantıyı nasıl kuracağını tanımlayabilmelidir. Ağın dışına-internete veya diğer ağdaki bilgisayarlara giden trafik ağ geçidi üzerinden geçer.
Vekil sunucu ise bir aracı olarak görevini yapar. İki bilgisayarın doğrudan iletişim kurmasına izin vermez, tersine iki bilgisayar arasında aracılık yapar. Bu şekilde iki bilgisayar arasındaki iletişim kontrol edilebilir. Vekil sunucular istenmeyen iletişimi engelleyebilir, genel olarak bilgisayarlar arasındaki iletişimi düzenleyici rol oynar.
Firewall uygulaması da bu şekilde çalışır. Geçit olarak diğer bilgisayarlar ile iletişimi kurmaya olanak sağlarken, düzenleyici olarak da iletişimi kontrol eder.
Firewall düzenlemenizin karmaşıklığı veya basitliği düzenlemek durumunda olduğunuz ağ trafiğine bağlıdır. Ağ trafiği genel olarak iki bölüme ayrılır: Birincisi özel uygulamaları kapsayan (session-based), diğeride geneldir. Özel uygulamalar (VPN gibi) için gelişitirilen çözümler karmaşık olurken, genel ağ traiğini düzenlemeye yönelik (portların yönetilmesi, erişimler ve kısıtlamalar vs) gibi çözümler ise daha basit uygulamalardır.
Genel ve Özel
Genel, olarak tanımladığımız düzenlemeler de sunucu gelen bir isteği yanıtlarken, önceki isteklere dikkat etmek durumunda değildir. Basit bir örnek olarak bir web sayfasının sunucudan çağrılmasını örnek verebiliriz. Sunucu sitenen sayfa ile ilgili dosyaları derler ve isteyen bilgisayara gönderir. Bu durumda isteği gönderen bilgisayarın daha önceden istekte bulunmuş olmasının bir önemi yoktur.
Genelde internet üzerindeki trafiğin önemli bir bölümü özel olarak sınıflandırılabilir. VPN uygulamaları, e-ticaret, uzak veri tabanlarına erişim ve benzeri uygulamalar bu sınıfta yer almakatadır. Bazı durumlarda ise orturum tabanlı işlevler uygulama temelinde kullanılır. Örneğin, çerezler bu işlemler için kullanılır.Ancak çoğunlukla oturum özellikleri ağ temelinde dikkate alınmalıdır. VPN uygulamaları bu tür ağ temelindeki işlevlere örnek verilebilir.
Eğer kullanıcılar ağ genelinde e-posta ve internet sitelerine erişim hizmetlerine gereksinim duyuyorsa sistemin size sağladığı firewall çözümleri yeterli olacaktır. Eğer tersine olarak uzakta bulunan ağlara erişim ve veri tabnalrı ve benzeri kaynakların paylaşımına gereksinim duyuluyorsa bu durumda teknik personelin yapacağı işlemler aratacak veya ticari bir GNU/Linux dağıtımına gereksiniminiz olacaktır.
Linux Firewall Çözümlerinin Gelişimi
Firewall çözümlerinin sistem geneline eklenmesi eskiye dayanmaktadır. Alan Cox, BSD yer alan ipfw uygulamasını 1.1 çekirdeğine ekleyerek ilk firewall çözümünü uygulamaya komuştur. İzleyen süreçte ise ipfwadmin geliştirilerek ipfw uygulaması geliştirilmiştir. İlerleyen amanda ise ipchains uygulamsı geliştirilmiş ve sistemdeki yerini almıştır. ipchains, iptables adlı ayar dosyası ve bir dizi komut ile gelişitirilmiştir. iptables ile uygulanacak kurallar ve durumlar tanımlanmıştır. uzun yıllar iptables ve ipchains GNU/linux dağıtımları için standart firewall çözümü olarak kullanılmıştır.
genel ağ trafiğin yönetmek için iptables yeterli olmaktadır. iptables ile kapatılcak olan ve açık bırakılacak olan portlar sistem yöneticisi tarafından tanımlanmaktadır. Bu tanımlama uyarınca belirli portlar açık bırakılmakta ve kapatılmaktadır. iptables ile dışarıdan gelen ve dışarıya gönderilen paketler incelenmekte ve sistem yöneticisi tarafından tanımlanmış kurallar çerçevesinde değerlendirerek gerekeni yapmaktadır. Kuralar yanımlanırken kullanılan ölçüler, kaynak ve hedef bilgisayarlar, port, paketlerin başlık dosyalarının özellikleri veya bunların farklı birleşimleri olabilmektedir. iptables ile paketler teker teker ele alınmaktadır. Bu düzenleme genel ağ trafiğini düzenlemek için yeterli olmaktadır.
Bir çok durumda genel bir ağ trafiği düzenlemesi yeterli olmaktadır. Bu tür bir düzenleme basit ve kolayca yapılabilirken işlevsel özellikler eklemek ise olanaksız hale gelmektedir. Kabaca anlatacak olursak, evinizin prencerelerini, kapılarını kilitleyip sadece bir kapıyı açık bırakmak ve bu kapıya da güvenilir neöbetçiler koyarsanzı bu genel bir düzenlemedir. Ancak güvendiğiniz birisi varsa, ona ikinci bir anahtar vererek başka bir kapıyı kullanmasına izin vermek ise genel bir uygulama değildir. Burada özel bir uygulamaya gitmektesiniz. Özel yaklaşımlar genel çözümlerden daha fazlasına gereksinim duyar.
Çekirdepğe eklenen yeni kuşak kod ile firewall çözümlerinde genelden özele doğru geçebiliyoruz. netfilter, geliştirilen kod ile çekirdeğe gereksinim duyulan modülleri yükleyerek oturum tabanlı ağ trafiği düzenlemelerinin yapılmasına olanak veriyor. Önemli bir noktada ağ ve sistem yönetiminden sorumlu olan personelin çekirdek derlemek ve ayarlarını düzenlemek konusunda yeterli bilgi ve deneyime sahip olması gerekliliğidir. Çekirdek ile modül bazında çalışmak, çekirdeğin bir bütün olarak yeniden düzenlenmesini gerektirmez.
Netfilter "yeni" olarak nitelendirebilir. 2.4 Çekirdek ile Ocak 2001'de kullanılmaya başlandı. Dolayısıyla da netfilter tabanlı firewall düzenleme yazılımlarının da yeni olduğunu söyleyebiliriz. Netfilter ipchains ve iptables ile geriye doğru uyumlu olduğu için, bu düzenleyici yazılımlarda temelde iptables ve ipchains uyumlu olmaktadır. Diğer bir değişle yeni firewall kodu olan netfilter oldukça güçlü olmakla birlikte bir çok yenilik sunsa da , iptables ve ipchains ile karşılaştırıldığında kullanımı zor olmaktadır.
Hangisi daha iyi?
Açık kaynak kodlu çözümleri değerlendirken karşılaşılan en büyük sorun bulacağınız çözüm sayısının çokluğu olmaktadır. Sourceforge ve freshmeat üzerinde "firewall" anahtar sözcüğü ile arama yaptığınızda karşınıza bir çok sonuç gelmektedir. Sonuçlar ise başlangıç düzeyindeki hobi amaçlı projelerden, olgunlaşmış ve teknik desteği olan ticari uygulamalara dek geniş bir yelpazede yer almaktadır. Bazı yazılımlar, çok amaçlı kullanılan bir GNU/Linux çalıştıran bilgisayar firewall özelliğinin eklenmesini sağlarken, bazıları ise salt firewall olarak kullanılmak üzere tasarlanmış uygulamalar olmaktadır. Bunların bazıları hatırı sayılı derecede Linux sisytem yönetimi bilgisi ve deneyimi gerektirirken bazıları ile grafik arabirim üzerinden ayarlarınızı bir fare tıklmasıyla yapmanıza olanak sağlayacak kadar basitleştirmektedir.
Seçimlerinizi yaparken dikkat etmeniz gereken nelerdir? Bazı uygulamalar eski donanımı değerlendirerek bir firewall çözümü sunmak için ileri düzeyde bilgi gerektirmektedir. Eğer kendi firewall çözümünüzü geliştirmek isityorsanzı bu durumda eğitim faaliyetlerini düzenlemek durumundasınız demektir.
Kutudan çıkan çözümler olarak nitelendirilen dağıtım ile gelen firewall çözümleri eğitim çalışmalrına gerek duyulmadan basit füzenlemler ile firewall yapılandırılmasını sağlamaya yöneliktir. Benzer çözümler Red Hat ve SUSE ve benzeri dağıtımlar ile sunulmaktadır. Benzer bir durumda ticari uygılamlar için geçerlidir. Bu durumda personeli eğitmek için kaynak gereksinimleri azalırken, fiyat önemli bir etkene dönüşmektedir.
Toplam Sahip Olma maliyeti açısından bakılırken yukarıda saydıklarımızın hepsi ve daha fazlası da dikkate alınmak durumundadır. Açık kaynak kodlu uygulamalar maliyet olarak düşük olsa da, kurumsal kullanıcılar düzeyinde sistem ve ağ yönetiminden sorumlu olan personelin sisteme dair yeterli bilgisinin olmaması durumunda eğitim faaliyetleri daha fazla kaynak ayrılmasına, dolaylı olarak da maliyetlerin artmasına neden olmaktadır. Diğer bir etkende kullanılan ticari uygulamalrın sistem ile olan uyumsuzluklarının yaratacağı problemler olacaktır. Bu uyumluluk sorunu da ciddi maliyet artışları anlamına gelecektir.
Gerçi firewall uygulmalrı sistem bütününden ayrı olarak ele alınabileceği için IT alanında çalışanlar için Linux dünyasına adım atmak için iyi bir başlangıç noktası oluşturmaktadırlar. Linux tabanlı firewall çözümlerinin kullanıcı dostu arabirime sahip olmaktan uzak kaldığını ileri sürebilirler. Bu yargı belkide iç veya dört yıl önce dopru kabul edilebilirdi. Günümüzde ise grafik arabirim alanında yürütülen çalışmalar ile kullanıcı dostı olan bir web veya garfik arabirimleri kullanabiliyoruz. Dolayısıylada firewall çözümleri de artık kullanıcı dostu olmaya başladı.
Daha fazla bilgi almak için forumları, posta listelerini ve internet sitelerinden yararlanabilirsiniz. Bu yaklaşım bazı çevrelerce küçümsense de açık kaynak kodu dünyası için doğaldır. Gelişitriciler ve kullanıcılar ile kurulacak olan iletişim yardımcı olacaktır.
Firewall Uygulamaları için Örnekler
Burda adı geçen bazı uygulamar ile ilgili olarak grafik arabirime sahip olan uygulamalardan söz edelim. Firestarter ve knetfilter netfilter tabanlı iki uygulamadır. Bunlardan başka Perl ile hazırlanmış olan ve grefik arabirim kullanmayan doğrudan konsol üzerinden düzenleyebileceğiniz PCX Firewall, grafik arabime sahip olan ve dağıtımlarda sıklıkla yer alan Shorewall, IPcop firewall olarak başarılı örnekledir.
Shorewall, her nekadar yeni bir proje olsada, diğerleri ile karşılaştırıldığında netfilter tabanlı olması ile diğerlerinden ayrılmaktadır. Netfilterin önemli bileşenlerini kullanabilmekte ve oturum temelli düzenlemelr yapılmasına olanak vermektedir. Shorewall uygulaması aslında netfilter için bir arayüz olarak çalışmaktadır. Uygulama ile ayarlamalar yapılmaktadır. Shorewall diğerleri ile karşılaştırıldığında oldukça iyi hazırlanmış belgelendirme dosyaları ile gelmektedir. İyi düzenlenmiş bir belgenin önemimi tüm sistem yöneticileri gayet iyi bilir.
Ticari uygulamalar açısında ise özel amaçlı olarak kullanılan uygulamalar tercih edilebilir. Smoothwall Express bu amaçla geliştirilmiş olan hem ticari hem de ücretsiz olarak hazırlanan iki sürüüm bulunan bir uygulamadır. Bir bilgisayarı tamamen firewall olark kullanabilirsiniz. SmoothwallGuardian özel amaçlı ağ yönetimi için uygun bir çözüm olmaktadır. Eklenebilen modüller ile farklı çözümler geliştirlebilmektedir.
Sonuç
Eğer kendi kurumunuz beya bireysel ağınız için bir çözüm arıyorsanız açık kaynak kodlu çözümler bulabilirsiniz. Özel çözümler için her zaman yer olmakla birlikte eğer benzer bir sorun ile daha önce karşılşamış birileri varsa mutlaka açık kaynak kodlu bir çözüm de bulunmaktadır.