Port nedir?Saldýrý gelebilecek port numaralarý.Firewall Bilgisayar ve telekomünikasyon dünyasinda, ’port’ denildigi zaman akla ilk gelen genellikle fiziksel baglantida kullanilan ara birimlerdir. Bu tür ’port’ lar üzerinden baglanmis herhangi bir makinaya ’data’ gönderilebilir ve bu makinanin isleyisi kontrol edilebilir. Örnegin, tipik bir bilgisayarda bir veya birden fazla ’seri port’ bir tane de ’paralel port’ bulunur. Adindan da anlasilacagi gibi ’seri port’ dan bilgiler seri (her defasinda bir bit) olarak gönderilir ve bu tür ’port’ lara genellikle tarayici (scanner) gibi cihazlar takilir. Her defasinda birden çok bit göndermek içinse ’paralel port’ kullanilir. Bu tip ’port’ lara da yazici (printer) veya ’paralel port’ baglantisi olan herhangi bir cihaz takilabilir.
Bizi ilgilendiren ve çogunlukla Internet dünyasinda kullanilan ’port’ kavrami ise yukardaki tanimdan biraz daha soyut bir kavramdir. Bu anlamda ’port’ (ki dokümainin sonuna kadar ’port’ bu anlamda kullanilacaktir) herhangi bir fiziksel baglanti yeri degil, mantiksal bir baglanma seklidir. Söyle ki:
Günümüz dünyasinda birçok isletim sistemi birden fazla programin ayni anda çalismasina izin vermektedir. Bu programlardan bazilari disaridan gelen istekleri (istemci-client/request) kabul etmekte ve uygun gördüklerine cevap (sunucu-server/response) vermektedir. Sunucu programlari çalisan bilgisayarlara birer adres verilir (bknz. IP adresleri) ve bu adresler kullanilarak istenilen bilgisayarlara ulasilir. Peki, ulasilan bir bilgisayar üzerindeki hangi sunucu programdan hizmet alinmak istendigi nasil belirtilir?
Bunun için bilgisayarlar üzerinde birtakim soyut baglanti noktalari tanimlanir ve herbirine, adresleyebilmek için positif bir sayi verilir (port numarasi). Bazi sunucu programlari, daha önce herkes tarafindan bilinen ’port’ lardan hizmet verirken (örn: telnet->23. port) bazilari da sunucu programini çalistiran kisinin türüne ve istegine göre degisik ’port’ lardan hizmet verir.
Dolayisiyla, ag üzerindeki herhangi bir sunucu programa baglanmak istenildiginde, programin çalistigi bilgisayarin adresinin yaninda istekleri kabul ettigi ’port’ numarasini da vermek gerekir. Örnek verecek olursak:
144.122.156.104 ’IP’ adresine sahip makinada (orca) çalisan ’telnet’ sunucu programina (23. ’port’ dan hizmet veren) baglanmak için asagidaki satir yazilir.
telnet 144.122.156.104 23
Daha önce de belirttigimiz gibi bazi sunucu programlarin belirli ’port’ lardan hizmet verdigi bilindigi için, bu sunuculara baglanmak istedigimizde, ’port’ numarasini vermeye gerek kalmaz. Bu durumda yukardaki satir
telnet 144.122.156.104
seklinde de yazilabilir.
Bilgisayar ilk açildiginda üzerinde çalisan sunucu programlar otomatik olarak açilis dosyalarindan çalistirilabildigi gibi genel kullanim biraz daha farklidir.
Degisik ’port’ lari dinleyen birçok sunucu programin, hiçbir istemciye cevap vermedigi durumda bile, birçok sistem kaynagini gereksiz yere kullandigi düsünülerek, ’inetd’ adinda istemcilerle diger sunucu programlar arasinda koordinasyonu saglayan bir sunucu program düsünülmüstür. Açilis dosyalarindan da baslatilabilen bu sunucu tek basina bütün ’port’ lari dinler ve herhangi birisine istek geldigi zaman asagidaki prosedürü takip eder:
1- /etc/services dosyasindan ilgili ’port’ a hizmet veren servis ismini bulur.
2- konfigürasyon dosyasi olan ’/etc/inetd.conf’ dan bu servis için gelen istege nasil cevap verecegini belirler ve gerekli programi çalistirir.
3- bir istek geldigi zaman tekrar 1`e döner.
Bir örnekle anlatmadan önce tipik bir ’/etc/services’ ve ’/etc/inetd.conf’ dosyasinin içerigine bakalim.
<’/etc/services’)>
tcpmux 1/tcp
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users
daytime 13/tcp
daytime 13/udp
netstat 15/tcp
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp
ftp 21/tcp
telnet 23/tcp
ktelnet 1023/tcp #Added by AS 5/5/98
smtp 25/tcp mail
time 37/tcp timserver
time 37/udp timserver
name 42/udp nameserver
whois 43/tcp nicname # usually to sri-nic
.
.
<’/etc/inetd.conf’>
# Ftp and telnet are standard Internet services.
#
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
#
# Shell, login, exec, comsat and talk are BSD protocols.
#
shell stream tcp nowait root /usr/sbin/tcpd in.rshd
login stream tcp nowait root /usr/sbin/tcpd in.rlogind
exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
comsat dgram udp wait root /usr/sbin/in.comsat in.comsat
talk dgram udp wait root /usr/sbin/in.talkd in.talkd
.
.
23. ’port’ a bir istek geldiginde, ’inetd’ ’/etc/services’ dosyasina bakarak bu ’port’ numarasina denk gelen servis ismini (’telnet’) bulur. Daha sonra ’/etc/inetd.conf’ dosyasina bakarak bu servise denk gelen sunucu programi (’/usr/sbin/in.telnetd’) çalistirir.
Herhangi bir ’port’ u dinleyen program bir is yaparken, baska bir deyisle dinledigi ’port’ a gelen bilgileri almaya hazir degilken, eger bu ’port’ ’buffered’ ise gelen bilgiler kaybolmaz. Isletim sistemi içerisine yerlestirilen programlar sayesinde kapasitesi sinirli kuyruklara yerlestirilerek ilgili sunucu programin almasi için bekletilirler.
Internet üzerinde herhangi bir IP adresi üzerindeki ’port’ dan hizmet veren sunucu programa baglanti yapmak isteyen istemci program, sunucu programin cevaplarini (reply) yollamak için baglanti kuracagi kendi üzerindeki ’port’ numarasini da sunucu programa gönderir.
’port’ numarasi genellikle 2 ’byte’ olarak tutulur. Bu nedenle 65536 adet ’port’ numaralamak mümkündür. Genellikle 1024`den küçük olan ’port’ numaralari özel haklari olan kullanicilar (root) tarafindan kullanilirken, büyük olanlar genel kullanima açiktir.
Saldiri Gelebilecek port numaralari
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrAsh
port 23 - Tiny Telnet Server (= TTS)
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, RingZero
port 99 - Hidden port
port 110 - ProMail trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1001 - Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1090 - Xtreme
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1349 - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor, TtansScout
port 2000 - TransScout
port 2001 - TransScout
port 2001 - Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2565 - Striker
port 2583 - WinCrAsh
port 2600 - Digital RootBeer
port 2801 - Phineas Phucker
port 2989 - RAT
port 3024 - WinCrAsh
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3459 - Eclipse 2000
port 3700 - portal of Doom
port 3791 - Eclypse
port 3801 - Eclypse
port 4092 - WinCrAsh
port 4321 - BoBo
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetro
port 5321 - Firehotcker
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5742 - WinCrAsh
port 6400 - The Thing
port 6669 - Vampyre
port 6670 - DeepThroat
port 6771 - DeepThroat
port 6776 - BackDoor-G, SubSeven
port 6912 - sh*t Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrAsher, Priority, IRC 3
port 6970 - GateCrAsher
port 7000 - Remote Grab, Kazimas
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - Back Door Setup, ICKiller
port 8080 - RingZero
port 9400 - InCommand
port 9872 - portal of Doom
port 9873 - portal of Doom
port 9874 - portal of Doom
port 9875 - portal of Doom
port 9876 - Cyber Attacker
port 9878 - TransScout
port 9989 - iNi-Killer
port 10067 - portal of Doom
port 10101 - BrainSpy
port 10167 - portal of Doom
port 10520 - Acid Shivers
port 10607 - Coma
port 11000 - Senna Spy
port 11223 - Progenic trojan
port 12076 - Gjamer
port 12223 - Hack«99 KeyLogger
port 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12631 - WhackJob
port 13000 - Senna Spy
port 16969 - Priority
port 17300 - Kuang2 The Virus
port 20000 - Millennium
port 20001 - Millennium
port 20034 - NetBus 2 Pro
port 20203 - Logged
port 21544 - GirlFriend
port 22222 - Prosiak
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23477 - Donald Dick
port 26274 - Delta Source
port 29891 - The Unexplained
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30303 - Sockets de Troi
port 30999 - Kuang2
port 31336 - Bo Whack
port 31337 - Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
port 31338 - NetSpy DK ,Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack«a«Tack
port 31787 - Hack«a«Tack
port 31788 - Hack«a«Tack
port 31789 - Hack«a«Tack
port 31791 - Hack«a«Tack
port 31792 - Hack«a«Tack
port 33333 - Prosiak
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 47262 - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 53001 - Remote Windows Shutdown
port 54320 - Back Orifice 2000
port 54321 - School Bus, Back Orifice 2000
port 60000 - Deep Throat
port 61466 - Telecommando
port 65000 - Devili
8 ICMP Ping Attack
9 UDP Chargen
19 UDP Chargen
21 TCP FTP service
23 TCP TELNET Service
25 TCP Several trojans use this port.
31 TCP (Agent 31, Hacker`s Paradise)
41 TCP Deep Throat
53 TCP DNS service
58 TCP DM Setup
79 TCP Firehotcker
80 TCP Executor
110 TCP ProMail Trojan
121 TCP Jammer Killah
129 TCP Password Generator Protocol
135 TCP UDP Netbios Remote procedure call
137 TCP UDP Netbios name (DoS attacks)
138 TCP UDP Netbios datagram
139 TCP UDP Netbios session (DoS attacks)
456 TCP Hacker`s Paradise
531 TCP Rasmin
555 TCP Stealth Spy, Phaze
666 TCP Attack FTP
911 TCP Dark Shadow
999 TCP DeepThroat
9999 TCP The Prayer 1.0 - 2.0
1001 TCP (Silencer, WebEx)
1011 TCP Doly Trojan
1012 TCP Doly Trojan
1024 TCP NetSpy
1027 TCP ICQ
1029 TCP ICQ
1032 TCP ICQ
1033 TCP ICQ Trojan
1033 TCP Exploit Descent Manager Module
1042 TCP Rasmin
1045 TCP Rasmin
1080 TCP Socks/Wingate
1090 TCP Xtreme
1170 TCP Voice Streaming Audio
1234 TCP Ultors Trojan
1243 TCP (Sub Seven)
1245 TCP (VooDoo Doll)
1257 TCP (Sub Seven 2.1)
1492 TCP Ftp 99CMP Trojan
1509 TCP Psyber Streaming Server
1514 TCP Unknown Trojan
12361 TCP TCP Whack-a-mole
12362 TCP TCP Whack-a-mole
12631 TCP WhackJob
1349 UDP BackOrifice DLL Comm
1394 TCP Gofriller, BackDoor
1492 TCP FTP99CMP
1600 TCP Shivka-Burka
1807 TCP SpySender
1981 TCP (Shockrave)
1999 TCP (BackDoor)
2000 TCP Remote Explorer
2000 UDP Remote Explorer/CallBook
2001 TCP Trojan Cow
2086 TCP Netscape/Corba exploit
2023 TCP (Ripper)
2115 TCP Bugs
2140 TCP (Deep Throat)
2140 UDP (Deep Throat)
2283 TCP Unknown Trojan
2583 UDP Unknown Trojan
2565 TCP (Striker)
2583 TCP WinCrAsh
2716 TCP The Prayer 1.2 - 1.3
2721 TCP Phase Zero
2801 TCP Phineas Phucker
2989 UDP Rat
3024 TCP WinCrAsh
3129 TCP Master`s Paradise
3150 TCP Deep Throat
3150 UDP Deep Throat
3587 UDP Sh*tHead trojan
3587 TCP Sh*tHead trojan
3700 TCP portal of Doom
4092 TCP WinCrAsh
4567 TCP File Nail
4590 TCP ICQ Trojan
4950 TCP Unknown trojan
5000 TCP (Sokets de Trois v1.)
5001 TCP Sokets de Trois v1.
5321 TCP Firehotcker
5400 TCP (Blade Runner)
5401 TCP Blade Runner
5402 TCP Blade Runner
5501 UDP
5550 TCP (X-Tcp Trojan)
5555 TCP ServeMe
5556 TCP BO Facil
5557 TCP BO Facil
çýýÖÖçþ5569 TCP Robo-Hack
5666 TCP (PC CrAsher)
5742 TCP (WinCrAsh)
6400 TCP (The Thing)
6670 TCP (Deep Throat)
6711 TCP Sub Seven
6712 TCP Sub Seven
6713 TCP Sub Seven
6771 TCP Deep Throat
6776 TCP Sub Seven
6939 TCP Indoctrination
6969 TCP (Gate CrAsher, Priority)
6970 TCP Gate CrAsher
7000 TCP Remote Grab
7028 TCP Unknown trojan
7028 UDP Uknown Trojan
7300 TCP Net Monitor
7301 TCP Net Monitor
7302 TCP Net Monitor
7303 TCP Net Monitor
7304 TCP Net Monitor
7305 TCP Net Monitor
7306 TCP Net Monitor
7307 TCP Net Monitor
7308 TCP Net Monitor
7309 TCP Net Monitor
7323 TCP Sygate Backdoor
7323 UDP Sygate Backdoor
7789 TCP ICKiller
9872 TCP portal of Doom
9873 TCP portal of Doom
9874 TCP portal of Doom
9875 TCP portal of Doom
9989 TCP iNi-Killer
10067 TCP portal of Doom
10067 UDP portal of Doom
10167 TCP portal of Doom
10167 UDP portal of Doom
10520 TCP Acid Shivers
10607 TCP Coma
11000 TCP Senna Spy
11223 TCP Progenic Trojan
12076 TCP GJamer
12223 TCP Hack`99, KeyLogger
12345 TCP (Netbus, Ultor`s Trojan)
12346 TCP (Netbus)
12456 TCP NetBus
13000 TCP Senna Spy
13700 TCP Unknown Trojan
16660 TCP Stacheldraht
16969 TCP Priority
18753 TCP shaft Handler to agent(s)
20000 TCP Millennium
20001 TCP Millennium
20034 TCP (NetBus 2 Pro)
20432 TCP shaft Client to handler(s)
20433 UDP shaft Agent to handler(s)
21544 TCP Unknown Trojan
21554 TCP GirlFriend
22222 TCP Prosiak
20331 TCP Unknown Trojan
23456 TCP EvilFTP, UglyFTP
24680 TCP
24680 UDP
26274 TCP Delta Source
26274 UDP Delta Source
27665 TCP Trin00/TFN2K
27374 UDP (Sub-7 2.1)
27374 TCP Sub-7 2.1
27444 UDP Trin00/TFN2K
27573 UDP Sub-7 2.1
27573 TCP Sub-7 2.1
27665 TCP Trin00 DoS Attack
29891 TCP The Unexplained
30029 TCP AOL Trojan
30999 TCP Kuang2 Trojan
30100 TCP (NetSphere)
30101 TCP NetSphere
30102 TCP NetSphere
30303 TCP Sockets de Troie
31335 UDP Trin00 DoS Attack
31337 UDP (Backorifice/BO-2K)
31337 TCP (Netpatch)
31338 TCP NetSpy DK
31338 UDP Deep BO
31339 TCP NetSpy DK
31666 TCP BOWhack
31785 TCP (Hack`a`Tack)
31789 UDP (Hack`a`Tack)
31790 UDP (Hack`a`Tack)
31791 UDP Hack`a`Tack
33333 TCP Prosiak
33390 UDP Unknown trojan
34324 TCP (BigGluck, TN)
34555 UDP Trin00 Ping/Pong Response
40421 TCP (Master`s Paradise Trojan)
40412 TCP (The Spy)
40422 TCP Master`s Paradise
40423 TCP Master`s Paradise
40425 TCP Master`s Paradise
40426 TCP Master`s Paradise
47252 TCP Delta Source
47262 UDP Delta Source
50505 TCP Sokets de Trois v2.
50766 TCP Fore 1.0 Trojan
50776 TCP Fore
53001 TCP (Remote Windows Shutdown)
54320 TCP (Back Orifice 2000)
54320 UDP Back Orifice
54321 TCP School Bus, Back Orifice
54321 UDP Back Orifice 2000
57341 UDP Net Raider Trojan
57341 TCP Net Raider Trojan
60000 TCP Deep Throat
61603 TCP Bunker-Hill Trojan
61348 TCP Bunker-HillTrojan
61466 TCP (Telecommando)
63485 TCP Bunker-Hill Trojan
65000 TCP (Devil)
65000 TCP Stacheldraht
Bilgisyar dünyasýna yeni girenlerin sýk sýk duyduðu ancak ne olduðunu pek bilmediði bir terimdir "firewall". Kelime olarak "ateþ duvarý" demektir. Aslýnda bu isim onun görevini tam olarak açýklamaktadýr. Sizi dýþarýdan gelen saldýrýlardan (ateþ toplarýndan) korur. Tabi ayný zamanda sizin dýþarýda istediðiniz internet ortamýna eriþmenize izin verir. Bilgisayar dünyasýnda önemli olan kullanýcýnýn rahatý bozulmadan bilgisyarý mümkün olduðunca korumaktýr. Yoksa "En güvenli sistem, fiþi çekili sistemdir" sözü güvenlik konusunu yeterince açýklar.
Mesela bir örnek vererek firewall’un sizi nasýl koruduðunu anlatýyým, daha sonrasýnda ayrýntýlarý ile inceleyeceðiz.
Ýnternet dünyasýnda; bir bilginin, bir bilgisayardan bir diðerine gitmesi için arada bir baðlantý kurulmasý gerekmektedir. Bu baðlantýya "socket" denir. "socket" in yapýsýna bakarsak çok daha anlamlý olur. Bir socket 4 ana parçadan oluþur: "hedef bilgisayarýn ip numarasý" : "hedef bilgisayarýn port numarasý" : "kaynak bilgisayarýn ip numarasý" : "kaynak bilgisayarýn port numarasý".
Buradaki "ip&q
uot; numaralarý bütün "internet"te bilgisayarýn bulunmasýný saðlamaktadýr. Port numarýsý ise, o verinin, o bilgisayarda hangi uygulamaya gönderileceðini belirler. Bu socket yapýsý sayesinde bir bilgisayardan ayný anda birden fazla baðlantý yapýlabilmektedir. Düþünsenize bu yapý olmasaydý google’a baðlanmak için sýraya girip saatlerce beklememiz gerekirdi.
Bu dört sayý, iki bilgisayar arasýndaki baðlantýyý tanýmlar. mesela internete baðlandýnýz ip’niz "85.12.45.67" ve www.google.com ’a baðlanmak istiyorsunuz. google’ýn ip’si sallýyorum "45.65.12.34" olsun. sonuçta bir web sayfasýna baðlanýyoruz, dolayýsý ile biz google’ýn "80" portuna baðlanmak istiyoruz. Genelde hedef portu biliriz, kaynak port ise iþletim sistemi tarafýndan o anda uygun olan bir port tahsis edilir. sonuç itibari ile þöyle bir durum oluþur.
"45.65.12.34" + "80" + "85.12.45.67" + "13543&qu
ot;
"hedef ip" + "hedef port" + "kaynak ip" + "kaynak port"
"13543" portu iþletim sistemi tarafýndan otomatik olarak verilir. Bu paket internette bir yerden baþka bir yere giderken paketin kimden kime gittiði bilinir ve ona göre uygun yollardan gider. iþte bu 4 tane sayý bizim kendi bilgisayarýmýzdan google’a olan baðlantýmýzý tanýmlayan socket’i oluþturur.
Fireall sizin ile internet arasýnda bulunan bir makina veya bir program olabilir. Sonuç itibari ile sizin internete gönderdiðiniz ve internette sizen gelen bütün paketler bu makina veya yazýlým üzerinden geçmektedir. Bu sistemi ayarlayan yani yöneten kiþi, google’a eriþilmemesini istediði taktirde, socket’lerden içerisinde google’un ip’si "45.65.12.34" bulunan paketleri internete iletmemesini ve "45.65.12.34" adresinden gelen cevaplarý içeriye iletmemesini ayarlar. bu sayede google’a eriþiminiz yasaklanmýþ olur. ip ile benze olarak çeþitli port numaralarý da yasaklanabilir. kullandýðýmýz çoðu uygulamanýn kendilerine özgü port numaralarý vardýr. örneðin bir internet sayfasýný açmak istediðinizde bilgisayarýnýzdaki "web browser&quo
t;, "http" protokolünü kullanarak http://www.ls-labs.com/ adresini baðlanýr. http protokolünün default port numarasý "80"dir. yani sizin browser’ýnýz "http"yi görünce karþýdaki bilgisayarýn "80" portuna baðlanarak oradan web sayfasýný ister. ayný þekilde ftp://www.ls-labs.com adresine baðlanmak istediðinizde "ftp"yi görünce karþýdaki bilgisayarýn "21" portuna baðlanarak çalýþýr. benzer þekilde "icq"nun portu "5190"
quot;telnet" 23, "pop3" 110 ve diðerler baðlantý türleri de buna benzer port numaralarý kullanýrlar örnekler ayný þekilde firewall’u yöneten kiþi icq’yu yasaklamak için sadece 5190 portunu yasaklar bu sayede, icq baðlantýlarý engellenmiþ olur.
normal zamanda firewall dýþarýdan içeriye gelen istekleri kabul etmez, ancak siz bir yere baðlantý kurmak için içeriden karþýdaki bilgisayara "baðlantý açma isteði" gönderdiðinizde, oluþan socket’teki "hedef ip" ve "hedef port"tan sizin bilgisayarýnýzýn, "kaynak ip" ve "jaynak portu"na bilgi gelmesine izin verir. baðlantý sonlandýðýnda ise tekrar bu izni hafýzasýndan siler. dolayýsýyla her firewall, bu bilgileri tutmak için içerisinde bir belleðe ihtiyaç duymaktadýr.
buraya kadar olan kýsým firewall’un ne olduðu idi. þimdi sýra geldi firewall’un ne olmadýðýna.
Daha önce belirttiðim gibi firewall normalde dýþarýdan sizin bigisayarýnýza gelen baðlantý isteklerini engeller, takii sizin bilgisayarýnýz bir baðlantý isteðinde bulunana kadar. iþte sorun burada oluþuyor, eðer bir virus çeþitli port’lardan baðlantý isteklerinde bulunursa, firewall bu portlardan gelecek olan verileri engellemez, zira ona göre bu baðlantýlar tamamen legal görünmektedir. buradaki çözüm de her programýn ayrý ayrý izin tablolarýnýn tutulmasý olmuþtur ve günümüzde ServicePack2 ile gelen firewall da bu þekildedir.
ayný þekilde normalde "80" portu web için kullanýlmaktadýr. ancak birisi icq baðlantýsýný &q
uot;80" portundan çalýþacak þekilde ayarlar ise ve firewall’u yöneten kiþi sadece "5190" portunu kapatarak icq’yu durdurabileceðine inanan birisi ise 80 portundan yapýlan icq baðlantýsý çok da güzel olarak çalýþýr, tabii ki bunun için icq server’larýnýn 5190 portu yerine 80 portundan dinlemeleri veya 80 portundan gelen istekleri aynen 5190 portuna gelmiþ gibi deðerlendirmeleri gerekir.
firewall, engellemelerini socket içerisinde bulunan bilgiler doðrultusunda yapabilir. yoksa içerisinde geçen bir metin’e göre engelleme vb yapamaz. protokol tabanlý sýnýrlarmalarý yapamaz, sadece o protokol’e has olan port numarýsýný engelleyebilir ve bu bir çözüm deðildir, bir proxy ile desteklendiði taktirde tam bir denetim halini almaktadýr.
her sistem gibi firewall’larýn da açýklarý olabilmektedir ve uzaktan veya içerideki bir virus sebebiyle çökebilmektedirler. dýþarýdan yapýlan bu saldýrýlarýn genel þekli çok fazla baðlantý isteði yaparak firewall’un bütün zamanýný bu istekleri deðerlendirip ret etmek ile geçirerek içerideki kullanýcýlara cevap verememesini saðlamaktýr. bu saldýrýya "DOS (Deny Of Service) attack" denir. içeriden yapýlan saldýrýlar ise, hem DOS attack hem de aþýrý sayýda baðlantý oluþturmak olarak iki þekilde yapýlabilir. birincisi, dýþarýdan yapýlan saldýrý ile aynýdýr. ikincisi ise firewall’un ayarlarýna göre baþarýlý olabilir veya DOS attack gibi service’in durmasýna neden olabilir. hatýrlarsanýz her firewall’un içerisinde baðlantýlarý tutmak için bir belleði vardýr. içeriden yapýlacak çok sayýdaki baðlantý sonucunda bu bellek dolar ve firewall ayarlarýna göre ya service durmasýn diye her gelen isteðe izin verir, veya güvenlik amaçlý olarak hiçbir baðlantýya izin vermiyor ve sistem baðlantý isteklerini geri çeviriyor.
örneðin sizin evinizde bulunan bir adsl modeminiz olsun ve onun içerisinde bir firewall olsun. dýþarýdan yapýlan bir DOS attack sonucu sizin internetiniz durma noktasýna gelebilir ve firewall’un iyi bir yazýlýma sahip olmamasý sonucunda bütün baðlantýlara izin verebilir ve sizi bütün dünyanýn baðlantý yapabileceði bir hale getirir. ayný þey büyük bir þirkette olduðunda o þirket, firewall’un kapatýlýp açýlmasý süresince veya DOS attack sonucu hizmet veremediði süre boyunca inanýlmaz bir prestij kaybýna uðramaktadýr.
