Bir güvenlik duvarı, yerel ağ aygıtlarını dış saldırılardan korumak için tasarlanmıştır. Varsayılan olarak, tüm ev ağı bilgisayarları, yerleşik bir güvenlik duvarı ve NAT adres çeviricisi tarafından İnternet kullanıcılarından gizlenir.
NAT ağ adresi çeviri mekanizması, LAN bilgisayarlarının adreslerini harici arayüzün tek bir adresinin arkasına gizler. Kaynak ve hedef adreslerini değiştirerek doğrudan çerçeve içeriğiyle çalışır.
Güvenlik duvarı, adres çevirisi ve yönlendirme sonrasında gelen trafikle etkileşime girer ve IP adreslerine göre belirlenen kurallara göre trafiği kontrol eder ve filtreler.
Yönlendiricinin yerleşik güvenlik duvarı, ev arayüzlerinden (LAN'lar) genel ağlara (WAN'lar) bağlantılara izin verir ve bunların ters yönde olmasını engeller. Güvenlik seçeneklerini değiştirmek için özel ayarlar kullanılabilir: belirli ana bilgisayarlara veya ağ hizmetlerine erişime izin verin veya erişimi engelleyin.
Varsayılan olarak, harici ağlara bağlanmak veya İnternete erişmek için tasarlanan arayüz herkese açıktır (harici). Örneğin, bu tür arayüzler şunlardır:
— özel Ethernet bağlantısı;
— 3G/4G/LTE mobil İnternet USB modemi üzerinden kablosuz bağlantı;
— PPPoE/PPTP/L2TP protokollerine dayalı kimlik doğrulamalı bağlantı.
Özel (yerel, ev) ev ağı arayüzleri (Ethernet ve Wi-Fi aracılığıyla Keenetic cihazına bağlı istemciler) ve misafir kablosuz ağ arayüzleridir.
Varsayılan olarak, bir Keenetic yönlendirici yalnızca özel arayüzlerden gelen ağ bağlantılarını kabul eder. Özel arayüzlerden, yönlendiricide etkinleştirilen hizmetlere (FTP, İletim, USB'nin ağ kullanımı) yönetim ve erişim için genel arayüzlere ve cihazın kendisine bağlantılar kurulmasına izin verilir. Misafir ağının istemcileri için yönlendiriciye ve hizmetlerine erişim reddedilir.
Özel arayüzler arasındaki bağlantıya varsayılan olarak izin verilmez, ancak gerektiğinde erişim verilebilir.
Genel arayüzlerden başka arayüzlere ve cihazın kendisine bağlantı kurulması yasaktır.
Önemli! Varsayılan olarak, harici ağdan cihaz yönetimine (web arayüzü) erişim engellenmiştir.
- Güvenlik duvarı nasıl uygulanır?
Basitleştirmek gerekirse, bir güvenlik duvarı, kullanıcı tarafından tanımlanan kuralların daha yüksek yürütme önceliğine sahip olduğu, önceden yapılandırılmış ve kullanıcı tarafından tanımlanan filtreler kümesi olarak temsil edilebilir.
Güvenlik duvarı aşağıdaki ayarlarla çalışır:
— IP parametreleri (filtreleme kurallarının temel ölçütleri): IP adresi/Alt ağ, Protokol, Bağlantı noktası numarası;
— Bu kuralların ağ trafiği paketleri üzerindeki eylemleri (Reddet veya İzin Ver);
— Belirli bir arayüze bağlanan kurallar.
Keenetic güvenlik duvarının kullanıcı kısmı, belirli bir arayüz için oluşturulan filtreleme kurallarını uygular. Bir güvenlik duvarı kuralı oluştururken, kuralın oluşturulacağı arayüzü doğru bir şekilde tanımlamak çok önemlidir. Gerçek şu ki, kuralların arayüze bağlanması, bu kuralların uygulanacağı trafik akışının yönünü de tanımlar. Kurallar, bir WAN veya LAN arayüzünün gelen veya giden trafiği için yürütülebilir.
Gelen yön (içeri) — her zaman cihaza, giden yön (dışarı) — her zaman cihazdan.
Arayüz açısından akış yönü şu şekilde tanımlanır:
— WAN portundaki harici ağdan yerel ağa giden trafik için gelen yön (içeri), LAN arayüzleri için bu yön gidendir (dışarı);
— WAN arayüzleri için yerel ağdan harici ağa giden akış gidendir (dışarı) ve LAN arayüzleri için gelendir (içeri).
Verilen şemaya göre, harici ağdan WAN arayüzündeki yerel ağa gelen bir paketin bir güvenlik duvarı kuralı için gelen bir yönü vardır. Yine de, LAN arayüzünde, bu trafiği kontrol eden bir kural gidendir (out).
Önemli! Keenetic yönlendiricilerde, güvenlik duvarı kuralları 'paket tabanlı' değildir, ancak bir oturum (bağlantı) içinde uygulanır. Bu nedenle, bir yere erişimi engellediğinizde, bu isteklere verilen yanıtlar yerine, isteği başlatan kişiden gelen paket hareketini yasaklamanız gerekir. Örneğin, yerel ana bilgisayarlardan 77.88.99.10 harici adresine HTTP üzerinden erişimi engellemek için, oturum başlatıcısı (gelen trafik) yerel ağda olduğundan yerel LAN arayüzünde bir kural oluşturmanız gerekir.
Ayrıca, bir oturum zaten yüklenmişse ve bundan sonra güvenlik duvarı kuralının yapılandırması bu oturumdaki trafiğe uygulanırsa; bu mevcut oturum güvenlik duvarı tarafından kontrol edilmeyecektir. Kural, geçerli oturum sonlandırıldıktan sonra (zorla veya oturum ömrünün sonunda) geçerli olacaktır.
Yeni oluşturulan kuralın doğru çalışması için (geçerli/etkin bağlantıları sıfırlamak için), uygulandığı arayüz devre dışı bırakılmalı ve tekrar etkinleştirilmelidir.
- Güvenlik duvarı kurallarını yapılandırma
Güvenlik duvarı kuralları listede belirtilen sıraya göre yürütülür: önce en üstteki ve sonra daha aşağısı. Herhangi bir kural için (aslında herhangi bir kural grubu veya Erişim Kontrol Listesi için), yürütülecekleri arayüz tanımlanmalıdır.
Her kural şunları belirtmelidir:
— trafik kaynağı ve hedefi ağı (ana bilgisayarların veya alt ağların IP adresleri);
— yapılandırma için bir protokol (TCP, UDP, ICMP);
— TCP ve UDP protokolleri için bir port numarası gereklidir;
— bir paket üzerinde gerçekleştirilecek eylem: reddet veya izin ver.
Önemli! Keenetic cihazlarda, güvenlik duvarı kuralları Ağ Adresi Çevirisi (NAT) kurallarından sonra işlenir. Bu nedenle, güvenlik duvarı kuralları oluştururken, adres çevirisinden sonra ana bilgisayarın IP adresini belirtmek gerekir.
- Web arayüzünden kuralları yapılandırma
Yönlendirici web arayüzü, güvenlik duvarı kurallarını yönetmek için en rahat yolu sağlar. Ancak bir sınırlama vardır: web arayüzü aracılığıyla oluşturulan kurallar yalnızca gelen (içeri) yöne uygulanır. Giden (dışarı) yönü için kurallar yapılandıramazsınız. Bir Keenetic yönlendiricinin komut satırı arayüzü (CLI) aracılığıyla herhangi bir yön için kurallar oluşturmak mümkündür.
Güvenlik duvarı kuralları 'Güvenlik Duvarı' sayfasında ayarlanır. Bir kural eklediğinizde veya düzenlediğinizde, 'Ayarlar' penceresinde 'İzin Ver' veya 'Reddet' eylemini seçersiniz ve bu eylemlerin ne zaman gerçekleştirileceğiyle ilgili ölçüt-koşulları belirtirsiniz.
İpuçları:
— Filtrelenen trafiğin oturumu başlattığı arayüz için kurallar oluşturulmalıdır;
— Reddetme filtreleri oluştururken, izin kuralları reddetme kurallarının üstüne yerleştirilmelidir;
— Kuralları ayarlarken yalnızca IP adreslerini kullanabilirsiniz (kaynak veya hedef adresi belirtirken etki alanı adlarını kullanamazsınız).
Web arayüzünden güvenlik duvarı kurallarını yapılandırma hakkında bilgi için Güvenlik Duvarı talimatlarına bakın.
- Güvenlik duvarı istisnaları
Keenetic yönlendiricilerindeki bazı uygulamalar (servisler) kendi başlarına çalışmaları için güvenlik politikalarını değiştirir. Bunlara, örneğin, VPN ve FTP sunucuları, harici bir arayüzden yerel ağdaki bir bilgisayara NAT'ta port yönlendirmeyi ayarlama veya UPnP servisi (yerel ağdaki ana bilgisayarlara portları otomatik olarak açan bir mekanizma) dahildir. Bir kullanıcıdan ek ayar gerekmez ve gerekli izinler otomatik olarak eklenir (örneğin, NAT'ta port yönlendirmeyi yapılandırırken, güvenlik duvarında ek kurallar oluşturmanıza gerek yoktur, erişim izinleri otomatik olarak oluşturulur).
Ancak gerekirse, otomatik olarak açılan yollardan gelen trafiği sınırlamak için özel kurallar kullanabilir ve yalnızca gerekli olanı bırakabilirsiniz. Bu tür sınırlamaların genel mantığı, 'ihtiyacınız olana izin verin, diğer her şeyi yasaklayın'dır.
Örneğin, etkinleştirilmiş bir PPTP VPN sunucusu, her etkin cihaz arayüzünde gelen TCP/1723 portunu otomatik olarak açar. İnternette belirli adreslerden gelen bağlantıları kısıtlamanız gerekiyorsa, harici arayüzde, hedef port 1723'teki TCP protokolünün gerekli kaynak adreslerinden gelmesine izin veren kurallar oluşturmalı ve ardından port 1723'teki TCP protokolünün diğer tüm ana bilgisayarlardan gelmesini yasaklamalısınız...
by Keenetic
Makale dilimize çevirilmiştir...