Yeni bir firewall (ateş duvarı) aldınız ve en kısa sürede bu firewall`u kullanmak istiyorsunuz. Muhtemelen ilk hareketiniz bütün kullanıcı ve sunucuları firewall un arkasına koymak olacaktır. Bu küçük işletmeler için olumlu bir uygulamadır, fakat büyük ölçekli şirketler iç network ile dış dünyayı birbirinden ayıran DMZ (demilitarized zone) yani açık bölgeyi de göz önüne almalıdırlar.
DMZ ler herkeze açık bilgilerin konulabileceği en iyi alandır. Hem normal hemde potansiyel müşteriler ile dışarıdan gelen diğer tüm kullanıcılar, iç network e ulaşmadan şirket hakkında istedikleri bilgileri elde edebilirler. Özel ve gizli bilgileriniz, DMZ in arkasındaki iç network de tutulabilirler. DMZ üzerindeki sunucular özel bilgileri, kaynak kodları ve ticari bilgileri içermemelilerdir. DMZ üzerindeki sunuculrdaki bir açık, siz bu açığı kapatana kadar, ulaşılamama gibi can sıkıcı bir durum yaratabilir.
DMZ e konulabilecek sistemlere örnek vermek gerekirse :
Herkese açık bilgilerin bulunduğu web sunucuları. Siparişlerin tutulduğu elektronik ticaret transfer sunucuları. (Müşteri bilgilerinin tutulduğu sunucuları firewall un arkasına koyunuz) Dışarıdan gelen elektronik postaları içeriye yönlendiren elektronik posta sunucuları. İç network ünüze ulaşılmasında kimlik tanımlaması yapan sunucu ve servisler. VPN sonlandırıcıları. Uygulama çıkışları. Test amaçlı sunucular. Tipik servisler, mesela genel kullanıma açık HTTP, güvenli SMPT, güvenli FTP ve güvenli TELNET DMZ e konulabilir.
Eğer iç network e gelen bütün HTTP isteklerini firewall üzerinde blokladıysanız, dışarıdaki kullanıcılar iç networklerde dolaşamazlar. Eğer dışarı çıkan HTTP istekleri firewall üzerinde bloklandı ise bu sefer içerideki kullanıcılarınız sadece içerideki web sunucularını ziyaret edebilirler ve dışarıya çıkamazlar. Eğer DMZ de güvenli TELNET ve FTP sunucular kullanmak istiyorsanız, bunları kullanacak kullanıcılar için bir kimlik tanımlama amaçlı token, s/key veya radius sunucuları bulundurmanız gerekecektir. Elektronik postalarınız dışarıdan içeriye gelirken doğal olarak güvenlik tehlikesi oluşacaktır. Bu yüzden DMZ e koyulacak olan bir SMPT kapısı ile gelen ve giden elektronik postalara içerik kontrolünün yanı sıra kontrol edebilmek yetisinide getirecektir. Ve böylece hem virüslerden kurtulmuş hem de giriş çıkışlarda diğer ayrıntılı kontrolleride sağlamış olursunuz.
DMZ yaratabilmek için firewall unuzda 3 adet network kartı bulunmalıdır. Bir kart iç network için, ikincisi güvensiz olan internet için ve son kart da DMZ için kullanılacaktır.
Yukarıda sayılan sunucuların haricinde kalan ve önemli bilgilerin bulunduğu sunucular mutlaka firewall un arkasında bulunmalıdır. Firewall u bir kere kurup kuralları girerken, iç network e giden trafik için bazı sıkı kurallar eklemek isteyebilirsiniz. Aynı şekilde DMZ e giden trafik için de biraz daha serbest kurallar eklemek gerekecektir.
Örneğin; HTTP trafiğini DMZ e serbest bırakırken, iç network e kesinlikle yasaklamak mantıklı olacaktır. DMZ de bulunan sistemler sizin istediğinizden daha az güvenli durumda olacaklardır. Bu yüzden DMZ deki sistemlere gelebilecek istenmeyen davranışlara karşı DMZ de bir IDS (intrusion detection system) bulundurmak isteyebilirsiniz.
Böylece DMZ deki makinalarınızı yeterli derecede ve kolayca izleyebilirsiniz. Çünkü hangi portlar kullanılıyor veya hangi iç veya dış kullanıcı hangi uygulama sunucusunu kullanıyor, bunları görebiliyorsunuz. Bunun yanında iç network ünüze giden trafik için oldukça sıkı kuralları firewall a eklemeniz gerekmektedir. Kullanıcılarınızı ve sistemleri en basit şekliyle tehlikelerden korumak zorundasınız.
Kaynak: SecurityFocus
__________________________