|
|
#1
15 April 2009, 13:59
|
|||
|
|||
Uygulama AĞ GeÇİdİ/vekİl Sunucular
UYGULAMA AĞ GEÇİDİ/VEKİL SUNUCULAR
Uygulama ağ geçitleri/vekil sunucular en karmaşık paket izleme metodu olarak düşünülebilir. Bu tip ateş duvarının iki ağ arayüzü olan güvenli host sistemlerinde konfigüre edilmesi düşünülebilir. Uygulama ağ geçitleri/vekil sunucular iki uç nokta arasında bir aracı olarak düşünülebilir. Bu paket izleme metodu istemci/sunucu modelini kırar, dolayısıyla yeni durum iki bağlantıya ihtiyaç duyar: bir bağlantı kaynaktan ağ geçidi/vekil sunucuya ve diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ geçidi/vekil sunucu aracılığı ile görüşebilir. Bu tip ateş duvarı OSI modelinin uygulama katmanında çalışır. Kaynak ve hedef uç noktalarının birbirleriyle iletişim kurabilmesi için herbir uygulama protokolünde vekil sunucunun konfigürasyonu yapılmalıdır. Ağ geçidi/vekil sunucu iki ağ arasındaki bağlantıyı sağladığından gerekli güvenliği ve güvenilirliliği sağlamak amacı ile çok dikkatli bir şekilde tasarlanmalıdır. Bu doğrultuda vekil sunucu yazılımı da olabildiği kadar katı ve güvenli olmalıdır. Paket izlemenin diğer bir güçlü yanıda host sistemindeki arayüzün paketleri yönlendirmemesidir. Uygulama ağ geçidi/vekil sunucu ateş duvarı şe şekilde çalışır. Güvenilir olmayısan bir ağdan uygulama ağ geçidi/vekil sunucu ateş duvarına gelen bir istemci isteği geldiğinde gerekli bağlantı oluşturulur. Vekil sunucu kendi kuralları veya filtreleri doğrultusunda isteğin geçerli olup olmadığına karar verir ve istemci isteği doğrultusunda hedefe yeni bir istek gönderir. Bu metod kullanılarak güvenilir ağ ile güvenilmeyen ağda bulunan iki uç nokta arasında hiçbir şekilde doğrudan bir bağlantı oluşturulmamış olur. Talepte aynı çerçevede cevaplanır. Gelen cevap uygulama ağ geçidi/vekil sunucu tarafından incelenir ve geçerli olması durumunda istmciye gönderilir. İstemci / sunucu modelini kıran bu model sayesinde ateş duvarı güvenilir olan ve güvenilmeyen iki ağı bşrbşrşnden ayırabilir. Burada önemli olan nokta uygulama ağ geçidi/vekil sunucunun aslında bilinen komutlarlı kullanarak hedefe isteği göndermeden önce bunun kopyasını yaratmasıdır. Paket filtreleme ve dinamik paket izlemeden farklı olarak uygulama ağ geçidi / vekil sunucu uygulama katmanındaki bütün durumları görüntüleyebilir ve bu sayede daha ayrıntılı incelem yapabilir. Örneğin, bir yazı içeren posta mesajı ile resim içeren posta mesajı arasındaki farkı anlayabileceği gibi Java kullanan web sayfası ile kullanmayısan arasındaki farkı da bilir. Güvenlik açısından uygulama ağ geçidi/vekil sunucu izleme metodu diğer paket izleme metodlarına göre oldukça mükemmeldir. Bununla beraber bu metod herzaman kullanımda en pratik olanı değildir. Güçlü Yanları Uygulama ağ geçidi/vekil sunucuları uç noktalar arasında doğrudan bir bağlantı yapılmasına izin vermez. Bu sayede bu metod iç ve dış ağları tam anlamıyla birbirindn ayırır. Uygulama ağ geçidi/vekil sunucuları ağlar arası yönlendirme yapmaz. Bu durum iç ağın dış ağdan ayrı olmasını sağlar. Yönlendirme işlemi yapılamadığından bu metod bir çeşit Ağ Adres Dönüşümü(NAT) sağlar. Uygulama ağ geçidi/vekil sunucuları ateş duvarından geçen trafik üzerinde ağ yöneticisine oldukça yeterli kontrol olanağı sağlamaktadır. Özel uygulamayısa veya uygulamanın özel durumlarına göre izin verip kısıtlama yapabilirler. Birçok güvenlik uzmanı uygulama ağ geçidi/vekil sunucuların bu yapısı sayesinde daha güveilir olduğuna inanır. Uygulama ağ geçidi/vekil sunucuları genelde en iyi içerik filtreleme yeteneğine sahiptir. Paketlerin payload değerlerini inceleyebilmelerinden dolayı içerik bazlı kararlar verebilmektedirler. Uygulama ağ geçidi/vekil sunucu sağlam kullanıcı kimlik doğrulaması sağlamaktadır. Birçok durumda host sistem kullanıcı veritabanıyla entegre bir biçimde çalışarak yöneticinin kullanıcı/grup bilgilerini kullanmasına imkan tanır. Bu tip paket izleme metodunun aynı zamanda loglama yeteneğide bulunmaktadır. Değişik tip trafii ve kullanıcı aktivitesini loglayabilir. Bu güvenlik vakalarında ve güvenlik konfigürasyonu esnasında yöneticiye önemli bilgiler sağlar. Zayıf Yanları Uygulama ağ geçidi/vekil sunucuların en önemli zayıflığı veya dezavantajı performans üzerindeki olumsuz etkisidir. Bütün gelen ve giden trafik uygulama katmanı seviyesinde incelendiğinden ağ katmanında filtreleme yapan paket filtreleme ve dinamik paket izleme metodlarına göre daha yavaş çalışır. Trafiğin incelenebilmesi için OSI modelinin 7 katmanından da geçmesi gerekmektedir. Sonuç olarak, inceleme işlemi daha fazla işlem gücüne ihtiyaç duyup , ağ üzerinde darboğaz oluşması ihtimalini güçlendirir. Uygulama ağ geçidi/vekil sunucuların diğer bir eksikliği ise herbir protokol(HTTP,SMTP,etc.) için kendi uygulana geçidi/vekil sunucusunun olması gerekmesidir. Buna ek olarak herbir protıkol kendi ağ geçidi / vekil sunucusunu gerektirdiğinden yeni uygulama desteği problem haline gelebilmektedir. Uygulama ağ geçidi/vekil sunucuları ek bir istemci konfigürasyonu gerektirmektedir. Ağda bulunan istemciler uygulama ağ geçidi/vekil sunucuya bağlanabilmek için özel yazılıma veya konfigürasyon değişikliklerine ihtiyaç duyarlar. Bu çok sayıda istemciye sahip büyük ağlarda oldukça önemli bir problem teşkil eder. Ölçeklenebilirlik büyük ağlarda yapılandırılan uygulama ağ geçidi/vekil sunucularda bir problem olarak ortaya çıkabilir. Ağda buluna istemci sayısı veya uygulama ağ geçidi/vekil sunucu sayısı arttıkça performans düşüşü görülür. Bu tip paket izleme metodu Dos saldırılarına karşı daha hassastır. Eğer uygulama ağ geçidi/vekil sunucu üzerinden yeterli miktarda veri geçirilirse uygulama ağ geçidi/vekil sunucu çalışmasını durdurabilir. 
|
Normal
