İçeriğe atla

Uygulama katmanı güvenlik duvarı

Uygulama güvenlik duvarı (İngilizce: Application Firewall), girdi ve çıktıları bir uygulama veya hizmetle denetleyen bir güvenlik duvarı biçimidir . Güvenlik duvarının gerekliliklerini karşılamayan girdi,çıktı ve sistem servis çağrılarını engelleyerek çalışır. OSI Modelindeuygulama katmanı düzeyinde çalışır. OSI katmanı üzerindeki tüm ağ trafiğini uygulama katmanında kontrol etmek için oluşturulmuştur. Belirli bir uygulama olmadan ilgili ağ trafiğini kontrol edemeyen durumlu ağ güvenlik duvarının aksine, uygulamaları veya hizmetleri kontrol edebilir. Uygulama güvenlik duvarları, ağ tabanlı uygulama güvenlik duvarları ve bilgisayar tabanlı uygulama güvenlik duvarları olmak üzere ikiye ayrılır.

Ağ tabanlı uygulama güvenlik duvarı

Ağ tabanlı bir uygulama katmanı güvenlik duvarı, bir iletişim kuralı yığınının uygulama katmanında çalışan bir bilgisayar ağı güvenlik duvarıdır aynı zamanda proxy tabanlı veya ters proxy güvenlik duvarı olarak da bilinir. Belirli bir ağ trafiğine özgü uygulama güvenlik duvarları adıyla da adlandırılırlar, (Ağ uygulaması güvenlik duvarı) buna bir örnektir. Bilgisayarda çalışan bir yazılım veya bağımsız bir ağ donanımı parçası aracılığıyla uygulanabilirler. Genellikle, bilgisayar tabanlı çeşitli proxy sunucu formları kullanılarak, ağ trafiği, kullanıcı veya sunucuya geçmeden proxy sunucular tarafından denetlenir. Uygulama katmanı üzerinde çalıştığı için, trafik içeriğini denetleyebilir, engellenmiş zararlı içerikleri engelleyebilir (web siteleri, virüsler, istemci tarafındaki zararlı mantıksal akışlar gibi).

Modern uygulama güvenlik duvarlarında, şifreleme işlemleri sunucularda yapılmayabilir, algılanan müdahalelerden veya zararlı iletişimden uygulama girdi / çıktısını engelleyebilir, kimlik doğrulamayı yönetebilir,konsolide edebilir veya ilkeleri ihlal eden içeriği engelleyebilir.

Tarih

Purdue Üniversitesi'nden Gene Spafford, AT & T Laboratuvarlarından Bill Cheswick ve Marcus Ranum, uygulama katmanı güvenlik duvarı olarak bilinen üçüncü jenerasyon güvenlik duvarını tanımladılar. Markus Ranum'un Paul Vixie, Brian Reed ve Jeff Mogul tarafından geliştirilen güvenlik duvarı üzerine olan çalışması ilk ticari ürünün yaratılmasına öncülük etti. Ürün DEC tarafından çıkarıldı, Geoff Mulligan tarafından DEC SEAL olarak isimlendirildi. DEC'in ilk büyük satışı 13 Haziran 1991'de ABD'nin Doğu kıyısında bulunan bir kimya şirketine yapıldı.

TIS'teki DARPA sözleşmesi uyarınca, Marcus Ranum, Wei Xu ve Peter Churchyard  Firewall Toolkit (FWTK) denilen güvenlik duvarını geliştirdiler, ve 1 Ekim 1993 tarihinde lisanslı olarak kullanılabilir hale getirildi. Ürünün ticari amaç yerine serbestçe temin edilebilmesinin amaçları şunlardı; Yazılım, dokümantasyon ve kullanılan yöntemler vasıtasıyla, (halihazırda) resmi güvenlik yöntemlerinde 11 yıllık tecrübeye sahip bir şirketin bu deneyimlerini geliştiricilere aktararak, başkalarının inşa edeceği güvenlik yazılımları için ortak taban oluşturmak(böylece insanlar "sıfırdan" bu işe başlamak zorunda kalmazlar), güvenlik duvarının sınırlarını görüp bu sınırları ve güvenilirliği artırmak amaçlanmıştır. Ancak FWTK, kullanıcı etkileşimleri gerektiren basit bir uygulama proxy'si idi.

1994 yılında Wei Xu FWTK'yi çekirdek'te bazı geliştirmeler(IP durumlu filtre geliştirmesi ve socket sadeleştirme) yaparak FWTK'yi bir üst noktaya taşıdı.Bu, Gauntlet güvenlik duvarı olarak bilinen ticari ürün olarak piyasaya sürülen geleneksel bir uygulama proxy'sinin (ikinci nesil güvenlik duvarı) ötesinde, üçüncü nesil güvenlik duvarının başlangıcı olarak bilinen ilk şeffaf güvenlik duvarıydı. Gauntlet güvenlik duvarı, 1995 yılından 1998 yılına kadar Network Associates Inc (NAI) tarafından satın alındığı yılın en iyi uygulama güvenlik duvarlarından biri olarak derecelendirildi.

Uygulama katmanı filtrelemesinin en önemli özelliği, bazı uygulamaları ve protokolleri (Dosya Aktarım Protokolü, DNS veya web tarama gibi) anlayabilmesi, bir protokolün herhangi bir zararlı şekilde kötüye kullanılıp kullanılmadığını,istenmeyen bir protokolün standart olmayan bir bağlantı noktasına sızma olup olmadığını tespit edebilmesidir.

Bilgisayar tabanlı uygulama güvenlik duvarı

Bilgisayar tabanlı bir uygulama güvenlik duvarı, herhangi bir uygulama girdisi, çıktısı veya sistem hizmeti çağrısını, bir uygulama ile veya bir uygulama tarafından izleyebilir. Bu, bir ağ yığını yerine veya ağ yığınına ek olarak sistem çağrılarıyla iletilen bilgileri inceleyerek yapılır. Bir bilgisayar tabanlı uygulama güvenlik duvarı, yalnızca aynı bilgisayarda çalışan uygulamalara koruma sağlayabilir.

Uygulama güvenlik duvarları, bir işlemin belirli bir bağlantıyı kabul edip etmeyeceğini belirleyerek çalışır.Uygulama güvenlik duvarları, uygulama katmanı ile OSI modelinin alt katmanları arasındaki bağlantıları filtrelemek için soket çağrılarını dinleyerek işlevlerini yerine getirirler. Soket çağrılarını dinleyen uygulama güvenlik duvarları aynı zamanda soket filtreleri olarak da adlandırılır. Uygulama güvenlik duvarları bir paket filtresi gibi çalışır, ancak uygulama filtreleri, bağlantıları bağlantı noktası bazında filtrelemek yerine işlem bazında filtreleyerek (izin ver / engelle) çalışır. Genellikle, istemler, henüz bir bağlantı almamış işlemler için kural tanımlamak amaçlı kullanılır. Paket filtresi ile birlikte kullanılmayan uygulama güvenlik duvarları çok az sayıdadır.

Ayrıca, uygulama güvenlik duvarları, veri aktarımında yer alan yerel işlemler için bir protokol(kural) kümesine karşı veri paketlerinin ID'sini inceleyerek bağlantıları bir katman daha filtrelemektedir. Oluşan filtrelemenin kapsamı, verilen protokol kümesi tarafından tanımlanır. Var olan yazılım çeşitliliği göz önüne alındığında, uygulama güvenlik duvarlarının yalnızca standart hizmetler(paylaşım hizmetleri vs..) için daha karmaşık protokol kümeleri vardır. Her İşlem için olan kural kümeleri, diğer işlemlerle oluşabilecek olası tüm ilişkilendirmelerin filtrelenmesinde sınırlı etkinliğe sahiptir. Ayrıca bu kurallar, işlemin bellek bozulması istismarları(memory corruption exploit) gibi  saldırılara karşı savunmasızdır.

Bilgisayar tabanlı uygulama güvenlik duvarları ayrıca ağ tabanlı uygulama güvenlik duvarının özelliklerine de sahiptir.

Korumalı sistemler(sandboxing), dosya erişimini, süreç erişimlerini ve ağ erişimini denetleyebilir. Ticari korumalı(sandboxing) sistemler hem Windows hem de Unix tipi işletim sistemleri için mevcuttur.

Örnekler

Daha iyi anlaşılması açısından spesifik uygulama güvenlik duvarı örnekleri belirtilmiştir.

Uygulamalar

Açık kaynak kodlu veya ticari amaçlı birçok çeşit uygulama güvenlik duvarı mevcuttur.

Mac OS X

Mac OS X, FreeBSD'den alınan TrustedBSD MAC çalışma çatısının gerçeklemesini(implementation) içerir. TrustedBSD MAC çalışma çatısı, bazı Linux dağıtımlarında bulunan korumalı servis alanları için AppArmor'un kullanıldığı gibi, mDNSresponder gibi bazı hizmetleri korumak için kullanılır. TrustedBSD MAC çalışma çatısı, Mac OS X Leopard ve Snow Leopard'daki paylaşım servislerinin varsayılan yapılandırması göz önüne alındığında varsayılan bir güvenlik duvarı katmanı sağlar.

Leopard ile başlayan, Mac OS X güvenlik tercihlerinde bulunan Uygulama güvenlik duvarı, güvenlik duvarı listesine eklenen kod imzalama uygulamalarının kullanımı yoluyla bu tür bir güvenlik duvarının işlevselliğini sağlar. Genellikle, bu uygulama güvenlik duvarı yalnızca gelen bağlantıların güvenlik duvarı listesinde bir uygulamaya yönlendirilip yönlendirilmediğini kontrol ederek ağ bağlantılarını yönetir ve bu uygulamalar için belirtilen kuralları (engelle / izin ver) uygular.

Linux

Aşağıdaki liste Linux için güvenlik yazılım paketlerinin bir listesi olup, uygulamanın OS ile iletişimine filtrelemesine, kullanıcı düzeyinde filtrelemeye izin verir.

Windows

Ağ cihazları

Bu cihazlar, donanım ağı aletleri olarak ve bazı durumlarda temel sunucu donanımı üzerinde çalışan sanal versiyon(virtual image) olarak satılmaktadır.

Özelleşmiş uygulama güvenlik duvarları

Özelleşmiş uygulama güvenlik duvarları, belirli bir uygulamayı koruma ve kontrol etme konusunda birçok özellik sunar. En özelleşmiş ağ cihazı uygulama güvenlik duvarları web uygulamaları içindir.

Tarih

1996 PHF CGI saldırısı gibi büyük ölçekli web sunucu saldırıları, web uygulamalarını korumak için güvenlik modelleri araştırması için öncü oldu. Bu, şu anda web uygulama güvenlik duvarı (WAF) teknolojisi ailesi olarak anılacak olan teknolojinin başlangıcıydı. Piyasadaki ilk katılımcılar 1999'da ortaya çıkmaya başladı,örneğin Perfecto Technologies’s AppShield(adını 2004'te Sanctum olarak değiştirdi ve Watchfire tarafından alındı.). Bu katılımcılar e-ticaret'e ve illegal internet sayfalarına karşı gelişmek için yoğunlaştılar. NetContinuum (Barracuda Networks tarafından 2007'de satın alındı) konuya, önceden yapılandırılmış 'güvenli sunucular' sağlayarak yaklaştı.Bu tür öncüler, kural koyma sorunları, işletme açısından engeller ve genel olarak maliyet engelleri ile karşı karşıya kaldılar, ancak bu tür çözümlere duyulan ihtiyaç gün geçtikçe daha da belirginleşiyordu.

2002'de, Thinking Stone tarafından işletilen ve daha sonra 2006 yılında Breach Security tarafından satın alınan, ModSecurity adlı açık kaynak projesi, bu engelleri çözmek ve WAF teknolojisini her şirket için erişilebilir kılmak için kurulmuş bir misyon ile kuruldu. OASIS Web Uygulama Güvenliği Teknik Komitesinin (WAS TC) güvenlik açığı çalışmasına dayanan, Web uygulamalarını korumak için eşsiz bir açık kaynak kural seti olan çekirdek kural kümesinin piyasaya sürülmesiyle, piyasanın uyması gereken, düzgün, iyi belgelendirilmiş ve standartlaştırılmış öncülük edecek bir model ortaya çıkmış oldu.

2003'te,WAS TC'nin çalışmaları, Açık Web Uygulama Güvenliği Projesi (OWASP) Top 10 Listesiyle sektör boyunca genişletildi ve standartlaştırıldı. Bu yıllık sıralama, web güvenlik açıkları için bir sınıflandırma şeması olup, tehdit ve etkilere karşı durumları açıklayan yol gösterici bir modeldir. WAF gibi koruma araçları tarafından takip edilir. Bu liste, pek çok uyumluluk şemasının endüstri ölçütü olmaya devam etmiştir.

2004'te, ağ katmanı alanındaki büyük trafik yönetimi ve güvenlik sağlayıcıları, hızlı bir şekilde birleşme ve devralma yöntemleriyle WAF pazarına girdi. Bu girişimlerden önemli olanı F5'in yıl ortasında Magnifire WebSystems'i elde edebilmek için TrafficShield yazılım çözümü ile Big-IP trafik yönetim sisteminin entegrasyonunu sağladı. Aynı yıl, F5 AppShield'i satın aldı ve teknolojiyi durdurdu. Bu alım satım devir işlemleri, 2006'da Protegrity tarafından Kavado'nun satın alınmasıyla ve Citrix Systems'in Teros'u satın almasıyla devam etti.

Bu noktaya kadar, WAF pazarına, web uygulama katmanı güvenliği üzerine yoğunlaşan niş sağlayıcılar hakimdi. Pazar bu aşamadan sonra WAF geniş ağ teknolojileri (yük dengeleme, uygulama sunucuları, ağ güvenlik duvarları vb.) ile entegrasyonu üzerine yoğunlaşıldı. WAF bu noktadan sonra farklı bir markalaşma sürecine girdi. Seçenekler karmaşıktı, pahalıydı ve pazar tarafından henüz tamamen anlaşılamamıştı.

2006'da, Web Uygulama Güvenliği Konsorsiyumu, WAF pazarının anlaşılırlığını artırmaya yardımcı olmak için kuruldu. Web Uygulama Güvenlik Duvarı Değerlendirme Ölçütleri projesi (WAFEC), satıcılar, akademisyenler ve bağımsız analistler ve araştırmacıların bulunduğu bu topluluk bugün hala geçerli olan WAF'ın adaptasyonu ve geliştirilmesi için ortak bir taban oluşturdu.

WAF'a olan ilgi, 2006 PCI Güvenlik Standartları Konseyi kurulmasına bağlı olarak arttı. Önemli kart markaları (AMEX, Visa, MasterCard, vb.), Endüstrideki güvenlik uygulamalarını düzenleme ve yaygın kredi kartı dolandırıcılığını azaltmanın bir yolu olarak PCI formunu oluşturdu.  Bu standart form, tüm web uygulamalarının güvenli olmasını gerekli kıldı.(güvenli geliştirme veya WAF kullanımı ile). (OWASP Top 10, bu gereksinimin omurgasını oluşturur).

Sanallaştırmaya ve mevcut kaynakları en üst düzeye çıkarmak için Bulut sistemine ağırlık verilince, WAF teknolojisinin de yeniden ölçeklendirilebilmesi büyük önem kazandı.

2010 yılına gelindiğinde, WAF piyasası Forrester'e göre 200 milyon doları aşan bir pazara ulaşmıştı. Forrester analisti Chenxi Wang, "Web Uygulamaları Güvenlik Duvarı 2010 ve sonrası adlı şubat ayında yayınladığı raporda, "Forrester, WAF ve pazarının 2009 pazar gelirini yaklaşık 200 milyon $ olarak tahmin ediyor ve pazarın 2010'da % 20 oranında büyüyeceği" öngörüsünde bulundu. Güvenlik ve risk yöneticileri 2010'da WAF için iki eğilim olacağı tahmininde bulundular. 1)orta ölçekli markette WAF ulaşılabilir olacak, 2) Daha büyük işletmeler giderek daha yaygın olan WAF çözümlerine yönelecekler." Ayrıca yazar "Imperva'nın, WAF lideri" olduğunu da yazdı.

Dağıtık web uygulaması güvenlik duvarı

Dağıtık Web Uygulaması Güvenlik Duvarı (dWARF olarak da bilinen), web uygulama güvenlik duvarı (WAF) ve Web uygulamaları güvenlik ailesinin bir üyesidir. Tamamıyla yazılım tabanlı olan dWARF mimarisi, ağın farklı alanlarında fiziksel olarak bulunabilen ayrı bileşenler olarak tasarlanmıştır. Mimarideki bu özellik, dWARF'in kaynak tüketiminin bir cihaza bağımlı olması yerine bir ağa yayılmasına olanak sağlarken, gerekli ölçeklemeyi özgürce yapabilmesine izin verir. Özellikle, daha iyi kaynak yönetimi için herhangi bir bileşen sayısının birbirinden bağımsız olarak eklenmesini / çıkarılmasını sağlar. Bu yaklaşım, özel, genel veya hybrid bulut modelleri gibi büyük ve dağıtılmış sanallaştırılmış altyapılar için idealdir.

Bulut sistem tabanlı web uygulaması güvenlik duvarı

Bulut tabanlı web uygulaması güvenlik duvarı da web uygulama güvenlik duvarı (WAF) ve web uygulamaları güvenlik ailesinin bir üyesidir. Bu teknoloji, platform bağımsız olması ve bilgisayar üzerinde herhangi bir donanım veya yazılım değişikliği gerektirmemesi nedeniyle tercih sebebidir. Tüm sağlayıcılar, sadece biri DNS değişikliği yaparak; burada, tüm web trafiği, WAF vasıtasıyla yönlendirilir ve tehditler engellenir. Bulut tabanlı WAF'ler genellikle merkezi olarak orkestra gibi çalışır, yani tehdit tespit edildiğinde tehdit bilgilerinin servisin tüm kullanıcıları arasında paylaşıldığı anlamına gelir. Bu işbirliği sayesinde tehdit algılama mekanizması daha doğru sonuçlar verir. Söz konusu tehditten herkes haberdar olur. Diğer bulut tabanlı çözümler gibi bu teknoloji de esnek, ölçeklenebilir ve genelde servis ağı büyüdükçe ödeme yapmanız gereken bir hizmet olarak sunulmaktadır. Bu yaklaşım, web uygulaması güvenliğini gerektiren ancak sistemlerinde yazılım veya donanım değişiklikleri yapmak istemeyen bulut tabanlı web uygulamaları, küçük veya orta ölçekli web siteleri için idealdir.

  • Bekchy
  • CloudFlare
  • Sucuri

Ayrıca bakınız

Kaynakça

1.Luis F. Medina (2003). The Weakest Security Link Series (1st ed.). IUniverse. p. 54. ISBN 978-0-595-26494-0.

2."Software Firewalls: Made of Straw? Part 1 of 2" 7 Kasım 2017 tarihinde Wayback Machine sitesinde arşivlendi.. Symantec.com. Symantec Connect Community. 2010-06-29. Retrieved 2013-09-05.

3. "Firewall your applications with AppArmor" 30 Ağustos 2011 tarihinde Wayback Machine sitesinde arşivlendi.. Retrieved 2010-02-15.

4. "The TrustedBSD Project". The TrustedBSD Project. 2008-11-21. 23 Ocak 2010 tarihinde Wayback Machine sitesinde arşivlendi. from the original on 23 January 2010. Retrieved 2010-02-15.

5. "Mandatory Access Control (MAC) Framework"23 Ocak 2010 tarihinde Wayback Machine sitesinde arşivlendi.. TrustedBSD. Retrieved 2013-09-05.

6. CERT (March 20, 1996). "CERT Advisory CA-1996-06 Vulnerability in NCSA/Apache CGI example code" 7 Kasım 2013 tarihinde Wayback Machine sitesinde arşivlendi.. CERT Coordination Center. Retrieved 2010-11-17.

7. Ellen Messmer (September 7, 1999). "New tool blocks wily e-comm hacker tricks"29 Mayıs 2010 tarihinde Wayback Machine sitesinde arşivlendi.. CNN. Retrieved 2010-11-17.

8. Jaikumar Vijayan (August 4, 2004). "Q&A: Watchfire CTO sees Sanctum acquisition as a good fit" 8 Ekim 2012 tarihinde Wayback Machine sitesinde arşivlendi.. Computerworld. Retrieved 2010-11-17.

9. Jeremy Kirk (September 25, 2006). "Breach Security acquires rival firewall ModSecurity" 15 Nisan 2014 tarihinde Wayback Machine sitesinde arşivlendi.. InfoWorld. Retrieved 2011-12-06.

10. Tim Greene (June 1, 2004). "F5 buys Magnifire for $29 million" 4 Temmuz 2013 tarihinde Wayback Machine sitesinde arşivlendi.. Network World. Retrieved 2011-12-06.

11. Linda Rosencrance (August 19, 2005). "Protegrity acquires Web apps security vendor Kavado" 8 Ekim 2012 tarihinde Wayback Machine sitesinde arşivlendi.. Computerworld. Retrieved 2011-12-06.

12. James Rogers (November 15, 2005). "Citrix Picks Up Teros" 5 Mart 2012 tarihinde Wayback Machine sitesinde arşivlendi.. networkcomputing.com. Retrieved 2011-12-06.

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">UDP</span>

UDP, TCP/IP protokol takımının iki aktarım katmanı protokolünden birisidir. Verileri bağlantı kurmadan yollar.

<span class="mw-page-title-main">İnternet iletişim kuralları dizisi</span>

İnternet protokol takımı, bilgisayarlar ve ağ cihazları arasında iletişimi sağlamak amacıyla standart olarak kabul edilmiş kurallar dizisidir. Bu kurallar dizisi temel olarak verinin ağ üzerinden ne şekilde paketleneceğini ve iletilen veride hata olup olmadığının nasıl denetleneceğini belirlemektedir.

<span class="mw-page-title-main">Güvenlik duvarı</span>

Güvenlik duvarı veya ateş duvarı,, güvenlik duvarı yazılımı, bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol eden donanım tabanlı ağ güvenliği sistemidir. Birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere İnternet trafiğini kontrol altında tutar. IP filtreleme, port filtreleme, Web filtreleme, içerik filtreleme bunlardan birkaçıdır.

<span class="mw-page-title-main">Vekil sunucu</span>

Vekil sunucu veya yetkili sunucu, İnternet'e erişim sırasında kullanılan bir ara sunucudur. Bu durumda, örneğin bir ağ sayfasına erişim sırasında doğrudan bağlantı yerine:

<span class="mw-page-title-main">OSI modeli</span>

Open Systems Interconnection (OSI) modeli ISO tarafından geliştirilmiştir. Bu modelle, ağ farkındalığına sahip cihazlarda çalışan uygulamaların birbirleriyle nasıl iletişim kuracakları tanımlanır.

İzinsiz girişleri engelleme sistemi (IGES) teknolojisi, bilgisayarları izinsiz girişlerden ve açık suistimallerinden korumak amacıyla erişimleri denetleyen bir bilgisayar güvenlik aracıdır. Bu sistem kimilerince izinsiz girişleri saptama sisteminin (IGSS) genişletilmiş hali olarak görülür ancak tıpkı uygulama tabanlı güvenlik duvarları gibi erişim denetiminin bir diğer biçimidir. Yeni nesil güvenlik duvarları derin paket denetleme motorlarını izinsiz girişleri engelleme sistemleri ile desteklerler. Terim NetworkICE çalışanı, danışman ve teknik yazar Andrew Plato tarafından türetilmiştir.

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

<span class="mw-page-title-main">Saldırı tespit sistemleri</span>

Saldırı Tespit Sistemleri (STS) (İngilizce: Intrusion Detection Systems (IDS)), ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da politika ihlallerini izlemeye yarayan cihaz ya da yazılımlardır. Tespit edilen herhangi bir aktivite veya ihlal, ya bir yöneticiye bildirilir ya da bir güvenlik bilgi ve olay yönetimi (SIEM) sistemi kullanılarak merkezi olarak toplanır. SIEM sistemi, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm filtreleme teknikleri kullanır.

<span class="mw-page-title-main">Bulut bilişim</span> internet tabanlı bilişim hizmeti

Bulut bilişim, bilgisayarlar ve diğer cihazlar için, istendiği zaman kullanılabilen ve kullanıcılar arasında paylaşılan bilgisayar kaynakları sağlayan, internet tabanlı bilişim hizmetlerinin genel adıdır. Bulut bilişim bu yönüyle bir ürün değil, hizmettir; temel kaynaktaki yazılım ve bilgilerin paylaşımı sağlanarak, mevcut bilişim hizmetinin; bilgisayarlar ve diğer aygıtlardan elektrik dağıtıcılarına benzer bir biçimde bilişim ağı üzerinden kullanılmasıdır.

<span class="mw-page-title-main">Virtual LAN</span>

Sanal Yerel Alan Ağı anlamına gelen VLAN (Virtual LAN), yerel ağ içerisinde çalışma grupları oluşturmak ve yerel ağı Ethernet çerçevelerine eklenen sanal etiketlerle (VLAN TAG) alt gruplara bölmek için kullanılır. VLAN kullanılması broadcast trafiği azaltılmış olur. Bu durum bant genişliğinin artmasını sağlar. Yerel ağın performansını arttırdığı gibi Firewall ile kullanıldığında güvenlik konusunda geliştirim sağlayabilir. Sunucu bilgisayarları (server) ile istemci bilgisayarlarının (client) bir arada bulunması pek de mantıklı değildir. Mesela bir üniversitede bir öğrencinin okulun akademik çalışanların ulaştığı sunuculara herhangi bir kural olmadan ulaşması pek de mantıklı değildir. Bu, ağ içerisinde güvenlik açısından bir gömlek daha üstün olmasını sağlar. Sadece yerel ağda değil, örneğin bir öğrencinin bilgisayarını ele geçirip kullanarak iç ağa zarar vermek isteyen birisi ağın yalnızca öğrenciler ile ilgili kısmı etkileyebilir. Bu sebeple içerideki güvenliğin de en az dışarıdan gelecek saldırılara karşı olduğu kadar kontrol altına alınması gereklidir. Ayrıca broadcast mesaj trafiğini azaltır. Broadcast atılan mesaj sadece o VLAN üzerinde dağılır. VLAN içeride aynı ağda olmalarına rağmen farklı ağlar gibi göründüğünden iki ayrı vLAN içerisinde aynı IPyi almış iki bilgisayar olabilir. LAN içerisinde birbirinden bağımsız çalışma grupları oluşturmanın en etkin yolu VLAN anahtarla kullanmaktır. VLAN üzerindeki her çalışma grubu güvenlik duvarının farklı Ethernet kartlarına veya ağ arayüzlerine bağlanmalıdır. VLAN kullanılan bir ağda VLANların kendi arasındaki yönlendirilmesi için 3.katmana kadar çıkabilen farklı bir cihaza ihtiyaç duyulur.

Tünel protokolü, bir ağ protokolü farklı bir yük-taşıma protokolü içerdiğinde bilgisayar ağ bağlantısı, bir tünel protokolü kullanır. Tünel protokolü kullanılarak, uyumsuz olan bir iletim protokolü üzerinde bir yük-taşıma taşınabilir ya da güvenilmeyen ağlarda güvenli bir yol oluşumu sağlanabilir.

HTTP tünelleme, kapsüllenmiş http protokolünü kullanan çeşitli ağ protokollerini çalıştırarak bağlantı gerçekleştiren bir tekniktir. Ağ protokolleri genelde TCP/IP ailesine ait olan protokollerdir. HTTP protokolü dolayısıyla, ağ protokolü tünnellenmiş olan kanal için kılıf (wrapper) olarak davranır.

Ağ istihbaratı (Aİ) kavramı ve derin paket kontrolü (DPI), paket yakalama ve iş zekası (BI) teknikleri üzerine inşa edilmiş bir teknolojidir. Gerçek zamanlı olarak inceleyen, protokolleri kullanılan tanımlama ve veri ilişkileri ve iletişim kalıplarının hızlı çözümlenmesi için paket içeriği ve meta ayıklanması yoluyla iletişim ağları çapraz IP veri paketlerini gerektirir. Ayrıca, bazen ağ hızlandırma veya korsanlık olarak anılacaktır.

Palo Alto Networks, Inc. Santa Clara, Kaliforniya merkezli bir Amerikalı ağ güvenliği şirketidir. Şirketin ana ürünleri; ağ güvenliği, görünürlüğü ve uygulama, kullanıcı ve içerik tanımlamaya dayalı ağ ekinliklerinde taneli kontrolü sağlamak için tasarlanmış gelişmiş güvenlik duvarlarıdır. Palo Alto Networks Cisco, Fortinet, Check Point, Juniper Networks, Cyberoam ve diğerlerine karşı UTM ve ağ güvenliği sektöründe rekabet etmektedir.

Bir web uygulama güvenlik duvarı, bir web uygulamasına giden ve uygulamadan gelen tüm HTTP trafiğini filtreler, inceler ve bloklar. Bir WAF ürününün normal bir güvenlik duvarından farkı, sıradan güvenlik duvarları sunucular arasında bir güvenlik geçidi olarak hizmet verirken, WAF ürününün istediği web uygulamasına ait içeriği filtreleyebilmesidir. HTTP trafiğini inceleyerek, SQL Enjeksiyonu, Siteler Arası Betik Çalıştırma (XSS) ve güvenlik yanlış yapılandırmaları gibi güvenlik zafiyetlerinden kaynaklanan saldırıları engelleyebilmektedir.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

Bir ICMP tüneli, ICMP yankı istekleri ve yanıt paketlerini kullanarak iki uzak bilgisayar arasında gizli bir bağlantı kurar. Bu tekniğin bir örneği ping istekleri ve yanıtları üzerinden tüm TCP trafiğini tünellemektir.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

<span class="mw-page-title-main">Ipfirewall</span>

ipfirewall veya ipfw bir FreeBSD IP, durum bilgisi olan güvenlik duvarıdır, paket filtresi vardır ve trafik yönetimi kolaylığı sağlar. Kural kümesi mantığı, IPFilter hariç diğer birçok paket filtresine benzemektedir. ipfw, FreeBSD gönüllüleri tarafından yazılmakta ve yönetilmektedir. Sözdizimi, gelişmiş filtreleme özelliklerinin kullanılmasını ve böylece kullanıcıların gelişmiş gereksinimlerinin karşılamasını sağlar. Yüklenebilir bir çekirdek modülü olarak kullanılabilir veya çekirdeğe dahil edilebilir; mümkünse yüklenebilir bir çekirdek modülü olarak kullanılması şiddetle önerilir. ipfw, 2011'deki Mac OS X 10.7 Lion sürümüne kadar Mac OS X'in yerleşik güvenlik duvarıydı. Tıpki FreeBSD gibi ipfw de gibi açık kaynak kodludur. M0n0wall ve FreeNAS dahil olmak üzere birçok FreeBSD tabanlı güvenlik duvarı ürününde kullanılmaktadır. IPFW'nin erken bir sürümü Linux için ilk güvenlik duvarı uygulaması olarak kullanıldı. Modern bir ipfw portu ve dummynet trafik şekillendirici Linux ve Microsoft Windows için kullanılabilir. wipfw, ipfw'nin eski (2001) sürümünün bir Windows bağlantı noktasıdır.

Ağ güvenliği, bilgisayar ağının ve ağdan erişilebilen kaynakların yetkisiz erişimini, kötüye kullanımını, değiştirilmesini veya reddedilmesini önlemek, tespit etmek ve izlemek için benimsenen politika, süreç ve uygulamalardan oluşur .Ağ güvenliği, ağ yöneticisi tarafından kontrol edilen bir ağdaki verilere erişim yetkisini içerir. Kullanıcılar atanmış bir ID ve şifre veya yetkileri dahilindeki bilgilere ve programlara erişmelerine izin veren diğer kimlik doğrulama bilgilerini seçer .Ağ güvenliği, günlük işlerde kullanılan hem genel hem de özel çeşitli bilgisayar ağlarını kapsar: işletmeler, devlet kurumları ve bireyler arasında işlem ve ilişki yürütmek. Ağ güvenliği bir şirket gibi özel veya genel erişime açık olabilir. Ağ güvenliği, kuruluşlarda, işletmelerde ve diğer kurum türlerinde yer alır. Bir ağ kaynağını korumanın en yaygın ve basit yolu, ona benzersiz bir ad ve buna karşılık gelen bir parola atamaktır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.