Güvenli iletişimin
önemli olduğu şu günlerde bireysel korunmanın önemine dikkat çeken
Microsoft, Vista ile bir yeniliğe daha imza atmıştır. Bu yenilik, gerek
ekstra koruma gerekse kullanım kolaylığı sunan Vista?nın güvenliği
gelişmiş firewall aracıdır.
Control Panel?inden veya Security Center arayüzünden ulaşılabilen
Windows Firewall aracı, Windows Vista öncesi versiyonlarda bulunan
firewall arayüzünden neredeyse bir farkı bulunmamakta; bununla birlikte
Administrative Tools klasörü altında Windows Firewall with Advanced
Security aracı bambaşka bir arayüzle ve gelişmiş özelliklerle karşımıza
çıkmaktadır. (Resim 1 ve 2)
Resim 1 ve 2
Vista?nın yeni firewall aracında önceki versiyonlarda bulunan tek
yönlü port koruması yerine hem içerden hem de dışarıdan (inbound ?
outbound) portları izole eden gelişmiş bir koruma altyapısı bulunuyor.
Bu sayede istenmeyen çıkışlar da önlenebiliyor. Vista firewall ile bir
istisna tanımlamak istediğinizde bu iki filtreyi gözönünde tutmanız
gerekiyor. Ayrıca Windows?un kendi servisleri için önceden oluşturulmuş
istisnalar da bu arayüz kullanılarak yeniden yapılandırlabiliyor.
Resim 3 ve 4
Bunların yanısıra vista firewall aracında farklı çalışma ortamları
için üç adet profil barındırıyor. Bu profiller; korunmanın sadece
firewall tarafından gerçekleştiği açık ortamlar (Public), korunmanın
bir başka firewall (örneğin firewall barındıran adsl modem) arkasında
gerçekleştiği daha güvenli ortamlar (Private) ve bir domain?in
bulunduğu çalışma ortamları (Domain) için önceden oluşturulmuş
konfigürasyonlar bütünü olarak karşımıza çıkıyor. Bu profillerden uygun
olanı seçilebileceği gibi tümünü aktif hale getirip bulunulan ortama
göre değişmesi de sağlanabiliyor. Aynı zamanda Vista Firewall aracını
kullanarak güvenli bağlantı kuralları (ipsec) oluşturulabiliyor. (Resim
3 ve 4)
Bu makalede ayrıntılı olarak değinmek istediğim konu, kural
tanımlayarak istisna (exception) oluşturmak. Dilerseniz bir programın
kullandığı tek bir port için yeni bir kural oluşturalım.
Resim 5
Giriş penceresinden (Resim2) Inbound Rules mensünü seçerek sağ
tarafında bulunan Action araç kutusundan New Rule linkini tıklayarak
Resim 5?de görünen sihirbaz penceresini açalım. Burada önemli bir
hatırlatma yapmak istiyorum; oluşturacağımız bu kural, firewall
aracının ilk arayüzünde bulunan Inbound veya Outbound seçeneklerine
göre değişecektir. Ben, Inbound seçeneği altında New Rule linkini
seçtiğimden dolayı oluşturacağım kuralı da buna geöre belirlemiş
oluyorum.
Hatırlatmadan sonra kaldığımız yerden devam edelim. Sihirbazın ilk
sorusu, istisna tanımlamak istediğimiz program için kural türünün ne
olduğudur. Burada programın kullanacağı her port için direkt olarak
programın kendisine (Program), programın kullanacağı bir veya birden
fazla porta (Port), windows?un kendi servislerine (Predefined)
istisnalar tanımlayabileceğimiz gibi daha ayrıntılı konfigürasyonlar da
yapabiliyoruz. Konuyu daha derin incelemek için bu penceredeki tercihim
Custom olacaktır.
Resim 6
Sihirbazın sonraki penceresinde istisna tanımlamak istediğimiz
programın yolunu göstermek için This program path kuralını seçip
programın bulunduğu yolu Browse butonunu tıklayarak belirliyoruz. Bu
pencerede All programs kuralı tüm programlar için istisna
oluşturulmasını, Services kuralı ise istenilen bir veya birden fazla
windows servisi için istisna oluşturulmasını sağlayacaktır. (Resim 6)
Resim 7
Sonraki pencerede belirlediğim program için iletişim protokolü
(TCP), lokal portu (1863) ve gerekirse bağlantı kurulacak host?un
portunu belirliyoruz. (Resim 7)
Resim 8
Bir sonraki pencerede ise lokal bilgisayarda bulunan bir veya birden
fazla network kartına kısıtlama yapmak amacıyla ip numaralarını
giriyoruz. Aynı zamanda bağlantı kurulacak host için de bu kısıtlamayı
yapabiliyoruz. Bu şekilde kuralımızı noktadan noktaya iletişim
gerçekleşecek şekilde sınırlama imkanımız da bulunuyor. Bu pencereyi
herhangi bir konfigürasyon yapmadan geçersek lokal host?daki tüm
network kartları ile herhangi bir hedef host?a bağlantı kurulmasını
belirlemiş oluruz. (Resim 8)
Resim 9
Sonraki pencerede kuralımızın ne amaçla kullanılacağını
belirliyoruz. Buradaki amacımız belirli şartlar altında bir bağlantı
kurulmasını sağlamak olduğundan Allow the connection seçeneği uygun
olacaktır. Eğer bağlantının güvenli bir şekilde (ipsec) gerçekleşmesini
istenirse Allow the connection if it is secure kuralı seçilebilir. Bu
kural sayesinde bağlantı kurulacak Host?un ve/veya Kullanıcının adını
belirleyerek bağlantının sınırlarını iyice daraltabiliriz. Bu
penceredeki son seçenek ile (Block the connection) önceki adımlarda
belirlenen kurallar doğrultusunda bağlantının kurulmasını engellemek
amacı ile kullanılabilir. Yani istenilen uygulama ve/veya port?dan
bağlantı kurulamamasını sağlayabiliriz. (Resim 9)
Resim 10
Bir sonraki pencerede ise oluşturduğumuz kuralın hangi profiller için geçerli olacağını belirtiyoruz. (Resim 10)
Resim 11
Sihirbazın son penceresinde kuralımız için tanıtıcı bir isim ve
açıklama giriyoruz. Bu adımla birlikte bir inbound rule oluşturmuş
olduk. (Resim 11)
Resim 12
Kuralımızın son halini resim 12?deki gibi görüyoruz. Buradaki
kuralların sayısının önceki firewall araçlarında bulunan kurallara
nazaran çok daha fazla olduğunu görebiliyoruz. Bu durumda aklıllara
gelen ilk soru, bu kuralların ihtiyaç halinde tekrar oluşturulmasının
oldukça zaman alıcı bir iş olacağıdır. Tabi ki Vista?nın Firewall
aracında hem sistem tarafından oluşturulan kuralları hem de sonradan
oluşturduğumuz kuralların tamamını export yöntemiyle yedekleyip import
yöntemiyle de ihtiyaç halinde geri yükleyebiliyoruz. (Resim 2 Action
Menüsü)
Resim 13
Aynı zamanda hali hazırda çalışır durumda olan tüm kuralları
görüntülemek için Monitoring menüsünü kullanılabiliyoruz. Bu bölümde
sadece istisna kuralları değil, ipsec ile kurulmuş güvenli bağlantıları
da izleme imkanımız da bulunmaktadır. (Resim 13) Bir sonraki makalede
ipsec ile ilgili konulara değineceğim.
Görüldüğü üzere Vista?nın yeni firewall aracının önceki windows
versiyonlarında bulunan firewall aracından oldukça farkı bulunuyor.
Microsoft?un bu konuda yapmış olduğu çalışmaların ciddiyeti de böylece
ortaya çıkıyor.