Yerel ağınızı internette saldırılara ve izinsiz müdahalelere karşı korumak için Keenetic serisi cihazlarda varsayılan olarak firewall güvenlik duvarı bulunmaktadır. Çoğu durumda varsayılan ayarlar güvenlik için yeterlidir ve firewall konfigürasyonuna gerek yoktur. Ancak belirli sorunların çözülmesi gerektiğinde Keenetic router, firewall kurallarının konfigürasyonuna yönelik esnek seçenekler sunar.
Bu yazıda, Keenetic’te kullanılan firewall kurallarına dair pratik örneklerden bahsedeceğiz.
Keenetic’te bulunan firewall güvenlik duvarı teorisine ve ayrıntılı açıklamalarına Firewall nasıl çalışır? başlıklı yazıdan ulaşabilirsiniz.
NOTE: Önemli Not! Güvenlik duvarı, bir oturum zaten kuruluysa bu oturumu kontrol etmez, o oturumdaki trafiğe ilişkin bir güvenlik duvarı kuralı oluşturulur. Kural geçerli oturum bittikten sonra geçerli olur.
Yeni oluşturulan kuralın doğru çalışması için (mevcut / aktif bağlantıları sıfırlamak için) ilgili Keenetic arayüzü devre dışı bırakılmalı ve tekrar etkinleştirilmelidir.
Aşağıdaki örneklere beraber göz atalım:
- Yerel ağda bulunan bir bilgisayara İnternet erişimi tanımlama, diğer bilgisayarların İnternet erişimini engelleme
- Yerel ağda bulunan bir bilgisayarın İnternet erişimini engelleme
- Yerel ağdan belirli bir web sitesine erişimi engelleme
- Belirli bir LAN’a bağlı bilgisayarın yalnızca belirli bir web sitesine erişimine izin verme
- Yerel ağdan yalnızca belirli protokollere (servislere) İnternet erişimine izin verme
- Keenetic’in uzaktan kontrolüne izin verme
- İnternetin belirli bir alt ağının veya dış ağların kullanıldığı IP adreslerinden Keenetic’e erişimi engelleme
Firewall kurallarını Keenetic web arayüzünden konfigüre edeceğiz. Konfigürasyonu Firewall sayfasından yapabilirsiniz.
NOTE: Not: İnternet, TCP/IP ağ veri transfer protokollerine bağlı olduğundan dolayı internet erişimini engellemek için firewall kuralları içeriğinde TCP protokolü tanımlayacağız.
Örnek 1. Yerel ağda bulunan bir bilgisayara İnternet erişimi tanımlama, diğer bilgisayarların İnternet erişimini engelleme
Bu örnekte ‘EV Ağı’ segmenti için iki kural oluşturmanız gerekecek. İlk olarak kaynak IP adresinin (erişime izin verilecek bilgisayarın IP adresi) ve TCP protokol türünün tanımlanacağı bir İzin kuralı oluşturacağız.
Ardında alt ağ olarak kaynak IP adreslerinin (255.255.255.0 alt ağ maske ile 192.168.1.0) ve TCP protokol türünün tanımlanacağı bir yasak kuralı oluşturacağız.
NOTE: Önemli Not! Bu kural, İnternet erişimi olan bir bilgisayardan konfigüre edilmelidir. Aksi takdirde yukarıda belirtilen kurallar oluşturulduktan sonra Keenetic web arayüzüne erişimi kaybedebilirsiniz. Böyle bir durumda ise ay bağdaştırıcı kartı ayarlarında izin verilen IP adresini manüel olarak atayın ve ardından ağ arayüzüne bağlanın.
Örnek 2. Yerel ağda bulunan yalnızca bir bilgisayarın İnternet erişimini engelleme
Bu örnekte ‘EV Ağı’ segmenti için bir kural oluşturmamız gerekiyor. Kaynak IP adresini (erişimin yasaklanacağı bilgisayarın IP adresi) ve TCP protokol türünü gireceğimiz bir Yasaklı kural oluşturacağız.
Örnek 3. Yerel ağdan belirli bir web sitesine erişimi engelleme
Bu örnekte, yerel ağda bulunan tüm bilgisayarların Wikipedia’ya (wikipedia.org web sitesine) erişimini engelleyeceğiz.
NOTE: Önemli Not! Keenetic router’ların firewall ayarlarında alan adı isimleri kullanılmaz, yalnızca IP adresleri girilebilir.
Dolayısıyla kuralları konfigüre etmeden önce kullanmak istediğiniz web sitesinin IP adresini bulmanız gerekir. Bir sitenin birden fazla farklı IP adresi olabilir (Amazon.com, google.com, facebook.com gibi büyük kaynaklar genellikle birden fazla farklı IP adresi kullanır).
Web sitesinin IP adresini bulmanın ilk yolu, nslookup <web sitesinin adı>' özel komutunu kullanmaktır.
Bizim örneğimizde, işletim sisteminin komut satırına aşağıdaki komutu gireceğiz:
nslookup merhaba.com.tr
Yukarıdaki komutu girdiğinizde web sitesinin bulunduğu IP adresini görebileceksiniz (bizim örneğimizde merhaba.com.tr web sitesinin sadece bir IP adresi kullandığını görüyoruz 77.79.68.59).
Web sitesinin IP adresini bulmanın ikinci yolu, özel online servislerden (2ip.io gibi) birini kullanmaktır. İlgilendiğiniz web sitesinin adını özel alana girin ve ardından ‘Check’ butonuna tıklayın. Web sitenin kullandığı tüm IP adresleri karşınıza çıkacaktır.
Web sitesinin IP adresini öğrendiğinize göre şimdi firewall kuralları oluşturmaya başlayabilirsiniz.
NOTE: Önemli Not! Web siteleri sadece HTTP ile değil HTTPS ile de çalışır.
Bizim örneğimizde web sitesi tek bir IP adresi kullandığı için, protokoller yardımıyla trafiği engellerken ‘Ev Segmenti’ için biri HTTP diğer HTTPS olmak üzere iki kural oluşturalım. IP adresinin (erişimin engelleneceği sitenin IP adresi) ve protokol türünün (HTTPS ve HTTP) destinasyonunu belirleyeceğimiz bir Yasak kuralı oluşturalım.
Konuyla ilgili ayrıntılı bilgiye Belirli bir web sitesine erişim nasıl engellenir başlıklı yazıdan ulaşılabilir.
Örnek 4. Belirli bir LAN’a bağlı bilgisayarın yalnızca belirli bir web sitesine erişimine izin verme
Bu örnekte, IP adresi 192.168.1.65 olan bir yerel bilgisayarın yalnızca merhaba.com.tr web sitesine erişimine izin vereceğiz. Bu bilgisayarın diğer web sitelerine erişimi engellenecek.
İlk olarak, ihtiyacımız olan web sitesinin IP adresini bulmakla işe başlayalım. Verdiğimiz örnekte merhaba.com.tr web sitesini kullanacağımız için bu web sitesinin IP adresini 77.79.68.59 olarak bulduk. Web sitesinin IP adresinin nasıl bulunacağıyla ilgili ayrıntılı bilgiye Örnek 3’ten ulaşabilirsiniz.
Bizim örneğimizde, ‘Ev Ağı’ segmenti için üç kural oluşturmanız gerekecek. Öncelikle kaynak IP adresinin (erişime izin vermek istediğiniz bilgisayarın IP adresi), hedef IP adresine (erişime izin vermek istediğiniz web sitesinin IP adresi) ve HTTP ve HTTPS protokol türlerinin belirleneceği bir İzin kuralı oluşturalım.
Ardından kaynak IP adresini (erişimin engelleneceği bilgisayarın IP adresi) ve TCP protokol türünü (İnternet erişimini engelleme) belirleyeceğimiz bir Yasak kuralı oluşturalım.
Örnek 5. Yerel ağdan yalnızca belirli protokollere (servislere) İnternet erişimine izin verme.
Şimdi ise yerel bilgisayarların İnternete yalnızca HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS üzerinden erişimine izin verelim, tüm diğer trafiği engelleyelim.
Bu örnekte, ‘Ev Ağı’ segmenti için kurallar oluşturacağız. Öncelikle 'Kaynak IP' ve Destinasyon IP' alanlarında ‘Herhangi bir’ değer belirleyeceğimiz kuralları oluşturmakla işe başlayalım. ‘Protokol’ alanında, listeden gerekli protokol (servis) türünü seçelim. Ardından 'Kaynak IP' ve Destinasyon IP' alanlarında Herhangi bir’ değer belirleyeceğimiz, ‘Protokol’ alanında ise internet erişimini engellemek için TCP ve UDP değeri gireceğimiz iki kural oluşturalım.
NOTE: Önemli Not! İnternetin doğru çalışması için Alan Adı Servisi (TCP/53, UDP/53) gereklidir. Alan Adı servisi, sitelerin/alan adlarının sembolik isimlerini IP adreslerine çevirmeye (ve tam tersi) olanak tanır.
Bizim örneğimizde firewall kurallar dizini aşağıdaki gibidir:
Örnek 6. Keenetic’in uzaktan kontrolüne izin verme
NOTE: Önemli Not! Başka bir ağdan (İnternet) Keenetic yönetim paneline (web arayüzüne) erişim, aygıtın ve yerel ağın güvenliği için varsayılan olarak engellidir.
İnternetten cihazınıza erişim ancak harici arayüzde (WAN) public IP adresinin olduğu, dolayısıyla router’ın global ağa bağlandığı durumlarda ya da KeenDNS servisi kullanılarak özel IP adresinin olduğu hallerde mümkündür.
Bizim örneğimizde, router’ın internet üzerinden uzaktan kontrolünü sağlamak için (özellikle aygıtın yönetim paneline bağlanmak için) bir firewall kuralı oluşturacağız. Bunun yanı sıra İnternetten ICMP ping isteklerine izin vereceğiz (bu sayede ağ üzerinden aygıtın kullanıma uygun olup olmadığını kontrol edebileceğiz).
Güvenliği artırmak amacıyla, yalnızca belirlenen public IP adresine sahip harici ağdan (bizim örneğimizde 93.94.95.96 IP adresinden) uzaktan erişime ve ping isteklerine izin vereceğiz.
NOTE: Önemli Not! Public IP adresi kullanıyorsanız Keenetic web arayüzüne erişime, public (global) ağdan kullanıcıların ping isteklerine izin vermemenizi tavsiye ederiz.
Bu örnekte, ‘Sağlayıcı’ harici ağ arayüzü -internete erişim sağladığınız arayüz- için kurallar oluşturmamız gerekecek (PPPoE, PPTP, USB LTE, vb. olabilir).
‘Kaynak IP’ alanını (İnternetten erişimin izin verileceği bilgisayarın public IP adresi) doldurduğumuz yerde bir İzin kuralı oluşturacağız ve ‘Protokol’ alanında "TCP/80 (HTTP)"yi seçeceğiz.
Ardından ICMP protokolü (ping için) olmadan benzer bir kural oluşturacağız.
Böylece Keenetic’in ping (ICMP ile) ve ağ arayüzüne erişimi (HTTP ile) İnternet üzerinden yalnızca belirli bir IP adresinden erişime açık olacak.
NOTE: Önemli Not! Keenetic’in web arayüzüne erişim sağlamak için web tarayıcısında Keenetic’in public WAN IP adresini kullanmanız gerekecektir (Bunun için Keenetic'in web arayüzünde ‘Sistem paneli’nde ‘İnternet’ bilgi paneli başlangıç sayfasında ‘IP adres’ satırında bulunan ‘Ayrıntılar’ kısmına tıklayın). Tarayıcıdaki adres http:// ile başlamalıdır. Örnek: http://IP adresi (http://89.88.87.86 gibi).
Örnek 7. İnternetin belirli bir alt ağının veya dış ağların kullanıldığı IP adreslerinden Keenetic’e erişimi engelleme
Diyelim ki router’in WAN portuna İnternette bilinmeyen IP adreslerinden çok sayıda erişim girişimi (saldırı girişimi) tespit ettiniz. Bağlantı girişimlerinin farklı IP adreslerinden gelmesine rağmen tümünün aynı 115.230.121.x alt ağ grubuna ait olduğunu fark ettiniz.
Bu durumda Keenetic harici arayüz ‘Sağlayıcısı’nda (veya İnternet erişimi olan başka birinde olabilir) 115.230.121.x alt ağ grubu IP adreslerinin WAN port erişimini engellemek gerekecektir.
‘Alt ağ’ değerinin ‘Kaynak IP’ olarak girileceği ve alt ağ adresinin ve maskenin belirleneceği TCP/UDP/ICMP(ping) trafiği için Ret kuralları oluşturalım. /24 (255.255.255.0) alan kodu ile alt ağ maske kullanırken, bu alt ağın IP adresi 0 ile bitmelidir (bizim örneğimizde 115.230.121.0 olacak).
TIP: Not:
Soru: Firewall kuralları kullanarak yerel ağda yalnızca iki host arasındaki trafiği engellemek mümkün mü?
Cevap: Hostlar aynı segmentte olduğu için ve aralarındaki etkileşim OSI modelin ikinci katmanında gerçekleştiği için aynı LAN üzerinde bulunan iki host arasındaki trafik Firewall kuralları kullanarak engellenemez. Firewall, OSI modelin 3. katmanında çalışır.
Farklı ağ segmentlerinde bulunan tüm hostlar arasındaki trafik ancak izole-özel fonksiyon etkinleştirilerek (segmentler arasındaki tüm iletişimin engellenmesi) veya ayrı Firewall kurallarını kullanıp yalnızca bazı hostların erişimini engelleyerek engellenebilir.