Firewall (Güvenlik Duvarı) ve Log Kayıtları

Firewall (Güvenlik Duvarı) Nedir?

Firewall dilimizde güvenlik duvarı anlamına gelmektedir. Firewall kavramını detaylı bir şekilde açıklayacak olursak;  çalışmış olduğu cihazda gelen ve giden trafiği (paketleri) daha önceden belirlenmiş kurallar çerçevesinde denetleyerek engelleyen ya da geçişine izin veren, işlemler ile ilgili verileri loglayan ve gerektiğinde alarm veren yazılımsam/donanımsal sistemlerdir.

Firewall sistemleri ağlar üzerinde bulunan cihaz ve bilgisayarların, diğer ağlardan gelebilecek saldırılara karşı korunmasını, trafiğin belirlenen kurallara göre denetlenmesini ve olası tehdit içeren eylemlerin engellenmesini sağlamaktadır.

Firewall Çeşitleri

Firewall çeşitleri yapılarına ve mimarilerine göre olmak üzere ikiye ayrılmaktadır. Yapılarına göre firewall sistemleri ise yazılımsal ve donanımsal olarak ikiye ayrılır. Yazılımsal firewall sistemleri genel itibari ile istemci ya da sunucular üzerinde kurulu halde bulunan işletim sistemlerine kurulur. Donanım tabanlı firewall ise adından da anlaşılacağı üzere özel donanımlarda çalışan sistemleri karşılamaktadır.

Son zamanlarda popüler olarak UTM (Unified Threat Management) olarak adlandırılan Birleşik Tehdit Yönetimi güvenlik duvarı cihazları tercih edilmektedir. Bu güvenlik duvarları ayrıca IPS, IDS, Web Filtreleme vb. birçok özelliği de bünyesinde bulundurarak kullanıcıların karşısına çıkmaktadır.

Firewall (Güvenlik Duvarı) Türleri

  • Yapılarına göre güvenlik duvarları
    • Donanımsal Firewall
    • Yazılımsal Firewall
  • Mimarilerine göre güvenlik duvarları
    • Statik Paket Filtre Güvenlik Duvarları
    • Devre Seviyesi Güvenlik Duvarları
    • Dinamik Paket (Durum Denetimli) Filtre Güvenlik Duvarları
    • Proxy Destekli Güvenlik Duvarları
    • Melez (Hibrit) Güvenlik Duvarları

Firewall Nasıl Çalışma Mantığı

Firewall (Güvenlik Duvarı) cihazları yazımızın başında da tanımında bahsettiğimiz üzere güvenilmeyen dış ağlardan gelebilecek zararlı trafiğe karşı korunmanızı sağlamaktadır. Bu koruma işleminin başarılı bir şekilde gerçekleştirilebilmesi için belirli kuralların oluşturulması gerekmektedir. Oluşturulan kurallar çerçevesinde internet trafiği kontrol altına alınır ve belirlenen politikalara aykırı bir trafik tespit edildiğinde bloke konulur. Bunun dışında sıra dışı hareket tespit edilemeyen normal trafik içinse ayrı bir özel katman oluşturulur ve trafiğe izin verilir.

Günümüzde gelişen teknoloji ve her geçen gün artan siber saldırılar göz önüne alındığında tehditlerden korunmak için firewall cihazlarının kullanımı oldukça önemli bir hale gelmiştir. İşletmeler siber tehditlere karşı kendilerini korumak için güvenlik duvarı cihazları & yazılımları sayesinde sistemlerinde hangi servislere izin verileceğini ya da hangi servislere izin verilmeyeceğini belirleyebilmektedirler. Oluşturulan kurallar çerçevesinde hangi servislerin, portların, ve işlemlerin güvenilir olduğunu belirtir liste oluşturularak bloklama ve izin verme işlemleri gerçekleştirilerek ağ trafiğinin güvenli hale getirilmesi amaçlanır.

Firewall (Güvenlik Duvarı) hakkında daha detaylı bilgi edinmek isteyen kullanıcılarımız için yazı sonunda hem faydalandığım hem de faydalı gördüğüm bağlantılara göz atabilir.

Şimdi ise firewall cihazlarının üretmiş olduğu log kayıtları hakkında biraz bilgilere değinelim.

Firewall (Güvenlik Duvarı) Log Formatı

Log formatı olarak; gelişmekte olan UTM cihazlarından birisi olan Cyberoam Firewall üzerinden örnekler vereceğiz. Bir Sophos Şirketi olan Cyberoam Technologies, 125’ten fazla ülkede kuruluşlara kapsamlı bir güvenlik sunan, tek kimlik bazlı Birleşik Tehdit Yönetim güvenlik çözümüdür.

Örnek Firewall (Güvenlik Duvarı) Log Kayıtları Örneği

Event:Firewall Traffic Allowed

Component: Firewall RuleSample Log:

date=2013-08-07 time=15:00:38 timezone=”IST” device_name=”CR500ia” device_id=C070123456-ABCDEF log_id=010101600001 log_type=”Firewall” log_component=”Firewall Rule” log_subtype=”Allowed” status=”Allow” priority=Information duration=0 fw_rule_id=4 user_name=”john.smith” user_gp=”Cyberoam General Department_grp” iap=7 ips_policy_id=0 appfilter_policy_id=16 application=”Skype Services” in_interface=”PortG.5″ out_interface=”PortB” src_mac=00: 0:00: 0:00: 0 src_ip=172.16.16.79 src_country_code= dst_ip=192.168.2.4 dst_country_code=USA protocol=”UDP” src_port=20796 dst_port=40025 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip=203.88.165.23 tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=”” dstzonetype=”” dir_disp=”” connevent=”Start” connid=”2254113600″ vconnid=””

Event:Firewall Traffic Denied

Component: Firewall Rule

Sample Log:

date=2013-08-07 time=13:25:27 timezone=”IST” device_name=”CR500ia” device_id= C070123456-ABCDEF log_id=010102600002 log_type=”Firewall” log_component=”Firewall Rule” log_subtype=”Denied” status=”Deny” priority=Information duration=0 fw_rule_id=3 user_name=”” user_gp=”” iap=2 ips_policy_id=0 appfilter_policy_id=0 application=”” in_interface=”PortG.16″ out_interface=”PortB” src_mac=00:0d:48:0a:05:45 src_ip=172.16.16.95 src_country_code= dst_ip=192.168.5.2 dst_country_code= protocol=”UDP” src_port=42288 dst_port=53 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=”” dstzonetype=”” dir_disp=”” connid=”” vconnid=””

Event:Local ACL traffic allowed

Component:Local ACL

Sample Log:

date=2013-08-07 time=13:24:57 timezone=”IST” device_name=”CR500ia” device_id= C070123456-ABCDEF log_id=010301602001 log_type=”Firewall” log_component=”Appliance Access” log_subtype=”Allowed” status=”Allow” priority=Information duration=30 fw_rule_id=0 user_name=”” user_gp=”” iap=0 ips_policy_id=0 appfilter_policy_id=0 application=”” in_interface=”PortG.2″ out_interface=”” src_mac=00: 0:00: 0:00: 0 src_ip=172.16.16.54 src_country_code= dst_ip=192.168.52.31 dst_country_code= protocol=”ICMP” icmp_type=8 icmp_code=0 sent_pkts=1 recv_pkts=1 sent_bytes=212 recv_bytes=212 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=”” dstzonetype=”” dir_disp=”” connevent=”Stop” connid=”3153155488″ vconnid=””

Event:Local ACL traffic denied

Component:Local ACL

Sample Log:

date=2013-08-07 time=13:25:27 timezone=”IST” device_name=”CR500ia” device_id=C070100126-VW717U log_id=010302602002 log_type=”Firewall” log_component=”Appliance Access” log_subtype=”Denied” status=”Deny” priority=Information duration=0 fw_rule_id=0 user_name=”” user_gp=”” iap=0 ips_policy_id=0 appfilter_policy_id=0 application=”” in_interface=”PortG.4″ out_interface=”” src_mac=d0:27:88:d6:4c:b0 src_ip=10.104.1.150 src_country_code= dst_ip=255.255.255.255 dst_country_code= protocol=”UDP” src_port=47779 dst_port=8167 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=”” dstzonetype=”” dir_disp=”” connid=”” vconnid=””

Event:IP Spoof denied

Component:IP Spoof

Sample Log:date=2013-08-07 time=13:25:27 timezone=”IST” device_name=”CR500ia” device_id=C070100126-VW717U log_id=011902605151 log_type=”Firewall” log_component=”IP Spoof” log_subtype=”Denied” status=”Deny” priority=Information duration=0 fw_rule_id=0 user_name=”” user_gp=”” iap=0 ips_policy_id=0 appfilter_policy_id=0 application=”” in_interface=”” out_interface=”” src_mac= src_ip=172.17.16.254 src_country_code= dst_ip=172.17.16.30 dst_country_code= protocol=”ICMP” icmp_type=0 icmp_code=0 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=”” dstzonetype=”” dir_disp=”” connid=”” vconnid=””

Günlük Alanları ve Açıklama

DATA FIELDSTYPEDESCRIPTION
datedateOlayın gerçekleştiği tarih (yyyy-aa-gg)
timetimeOlayın gerçekleştiği süre (ss: dd: sn)
timezonestringCihazda ayarlanan saat dilimi; IST
device_namestringCihazın Model Numarası
device_idstringCihazın benzersiz tanıtıcısı
log_idstringBenzersiz 12 karakter kodu (c1c2c3c4c5c6c7c8c9c10c11) örn. 0101011, 0102011
log_typestringEtkinliğin türü, ör. güvenlik duvarı olayı
log_componentstringKayıt işleminden sorumlu olan bileşen; Güvenlik duvarı kuralı
log_subtypestringAlt etkinlik türü
statusstringTrafiğin nihai durumu – izin verilir veya reddedilir
prioritystringTrafik önem derecesi
durationintegerTrafiğin dayanıklılığı (saniye)
firewall_rule_idintegerGüvenlik duvarı kural kimliği, yani trafiğe uygulanan güvenlik duvarı kural kimliği
user_namestringKullanıcı adı
user_groupstringKullanıcının Grup Kimliği
iapintegerTrafikte uygulanan İnternet Erişimi politikası kimliği
ips_policy_idintegerTrafikte uygulanan IPS politika kimliği
appfilter_policy_idIntegerTrafikte uygulanan Uygulama Filtresi Politikası
applicationstringUygulama Adı
in_interfacestringGelen trafik için ara yüz, ör. Port A  – Giden trafik için boş
out_interfacestringGiden trafik için arayüz, ör. Port B – Gelen trafik için boş
src_ipstringTrafiğin Orijinal Kaynak IP adresi
src_macstringTrafiğin orijinal kaynak MAC adresi
src_country_codestringIP kaynağının ait olduğu ülkenin kodu
dst_ipstringTrafiğin Orijinal Hedef IP adresi
dst_country_codestringHedef IP’nin ait olduğu ülkenin kodu
protocolintegerProtokol Trafik Sayısı
src_portintegerTCP ve UDP trafiğinin orijinal kaynak bağlantı noktası
dst_portintegerTCP ve UDP trafiğinin orijinal varış noktası
icmp_typeintegerICMP trafiği türü
icmp_codeintegerICMP trafiğinin ICMP kodu
sent_pktsintegerGönderilen toplam paket sayısı
received_pktsintegerAlınan toplam paket sayısı
sent_bytesintegerGönderilen toplam bayt sayısı
recv_bytesintegerAlınan toplam bayt sayısı
trans_src_ ipintegerGiden trafik için çevrilmiş kaynak IP adresi.
trans_src_portintegerGiden trafik için çevrilmiş kaynak bağlantı noktası.
trans_dst_ipintegerGiden trafik için Çevrilmiş Hedef IP adresi.
trans_dst_portintegerGiden trafik için Çevrilmiş Hedef bağlantı noktası. 
srczonetypestringKaynak bölgesinin türü, ör. LAN
dstzonetypestringHedef bölge tipi, örn. WAN
dir_dispstringPaket yönü
connection_eventBu günlüğün oluşturulduğu olay
conn_idintegerBağlantının benzersiz tanımlayıcısı
vconn_idintegerAna bağlantının bağlantı kimliği

Faydalı ve Faydalanılan Bağlantılar

  • https://community.sophos.com/kb/en-us/130308
  • https://berqnet.com/blog/firewall-nedir

Not: Firewall hakkında daha fazla bilgi edinmek ve log kayıtları yapılandırma bilgileri ile ilgili daha fazla bilgi için yukarıdaki bağlantıları ziyaret edebilirsiniz.

Leave a reply:

Your email address will not be published.

Site Footer