Günüzmüde Firewall ve UTM sistemlerinde ana sorun yazılan kuralların genellikle istemci ( ip ve mac ) bazlı olarak özelleştirilememesidir. Yazılan bir çok firewall kuralına özel bir policy eklemek yerine oluşturulmuş ZONE bu kuralların uygulanması esas alınmaktadır, özellikle IDS ve IPS yapılarında. Fakat günümüzde bu pek de geçerli bir yöntem değildir. Bir arayüz üstüne yazılmış kurallar zinciri bu arayüzü kullanan tüm istemcileri bağlamaktadır. Bu durum istemciler arasında özelleştirmeye gidememeye ya da uygulanacak kuralların içinde uygulanacak olan imzalara istinaden istemcileri dışarda bırakmak veyahut bu imzaya özel bir dışarda bırakma işlemi yapmaya yöneliktir.

Bu şu anlamak gelmektedir, Utm cihazınıza bir kural yazarsınız ve kuralın karşılığı şöyle olur. Sana yazdığım bu kural çerçevesinde bu bölgeden bu bölgeye izin ver ve bu imzaların hepsini ben başka Bir şey bildirmedikçe kes. İşte sorun bu kısımda patlak vermektedir, bu kafa karıştırıcı bir durumdur bazen imzalar birbirlerine o kadar yakın olurlar ki hangi imza hangi imza ile çakışıyor neden bu istemci buraya şu hizmetle gidemiyor soruları ile sürekli karşılaşmamızı sağlar ve git gide karmaşaya dönen belli bir süre sonra verilen izinlerden dolayı delik deşik olmuş bir güvenlik sistemine sahip olmamızı sağlar. Üstüne bu durum cihazlarımızın performans yönünden kötü etkilenmesini sağlayacaktır ki bu da gereksiz yere donanım maliyetine gitmeye sebeptir. Günümüzde donanımlar her ne kadar çok pahalı olmasa da yapılacak bir yatırımda ödenecek her türlü fazladan miktar direk olarak zarar hanesine yazılacak bir sayıdır.

Clavister sistemlerinde bu durum kesinlikle farklıdır. Uygulanacak olan bir antivirüs, content sistemi hizmete özel olarak uygulanır. Bu nedenle hizmet özelleştirilmesine gidilir. Örnek vermek gerekirse özelleştirilmiş iki ayrı http ( TCP 80 ) hizmetimizin olduğunu düşünelim ve iki ayrı kaynak ve hedef için bunu uyguladık. Bu şekilde guruplandırma sistemi daha basite indirgenmiş aynı zamanda gereksiz data kontrollerinde kurtulunmuş ve sadece izin verilen sisteme uygulandığı ( Clavister sistemlerinde bir kaynağa bir hedef için izin verilmediği sürece işlem yapma yetkisine sahip değildir. ) için gereksiz donanım maliyetinden ve oluşabilecek açıklardan korunmuş oluruz.( Günümüzde bir çok muadil cihazda bir zone oluşturulduğu zaman biz farkında bile olmadan otomatik olarak nat kuralları yazılır ve her şey geçsin sonradan kesilsin sistemine gidilir, fakat durum Clavister de farklıdır, her şeyi kes izin verilirse uygula mantığı geçerlidir ki bu dünyada kabul görmüş olan asıl sistemdir. )

IDS ve IPS gibi kurallar tamamen bölgeler den ayrı tutulmuş firewall kurallarına bulaştırılmamıştır. IDS ve IPS kuralları kaynak ve hedef bazlı olarak başka bir kural tablosu kullanmaktadır. Bu ilk başlarda zor bir işlemmiş gibi görünse de aslında sistemde üstün güvenlik mekanizmasının ve alınmış cihazın işini tam yapabilmesi için %100 gerekli bir durumdur. Günümüzde hizmetler farklı servisler üzerinden çalışabilmektedir. Örnek olması açısından MSN sistemi 1863 portu üzerinden çalışmakta olsa da bu port üzerinden çıkış alamazsa başka bir portu ki bu portlar içerisinde mecburi olarak izin verdiğimiz http ( TCP 80 ) servisini de çıkış noktası olarak kullanabilmektedir. Bu durumda http servisi üzerinden geçen şifreli bilgilerin de çözümlenmesi gerekmektedir ki sunucu ve istemci arasında bulunan bu şifreli bilgilerin çözümlenmesi oldukça( Muhtemel olarak sertifika bazlı yapılan bir sistemde aynı sertifikayı kopyalasanız bile HAS sayesinde değiştirildiği anlaşılır ve bilgi yine çözümlenemez.) zordur. O zaman bu tür bir hizmet daha başlamadan kesilmelidir ki izin verdiğimiz bir kural bunu başlamadan göremeyecek ve kesemeyecektir. O zaman IDS ve IPS gibi sistemlerin firewall kurallarından ayrı tutulması ve bu tür hizmetlerin yapılan transfer durumunda değil daha ilk ack, syn datalarının gidip gelmeye başladığı anda kesilmezi lazımdır ki Clavister tam olarak bunu yapmaktadır. IDS ve IPS gibi sistemler gelen ve giden paketlerin açılması kontrol edilmesi ve değiştirilmeden ( yasaklanmadı ise ) tekrar yerine iletilmesi sistemine dayanır. Bu durum IDS ve IPS sistemlerinin çok yüksek donanımlara ihtiyaç duymasına sebep olur. Fakat siz bir paketi daha başlangıç aşamasında kesiyor iseniz o zaman gereksiz kontrollerden kurtulursunuz ve bu gereksiz donanım maliyetini ve kutu maliyetlerini oldukça düşürecektir.

Bir başka güncel sorun ise özellikle günümüzde noktadan nokataya yapılan bilgi transferlerinin güvenlik problemidir. Bir UTM cihaz sizi ancak kendi WAN bacağının çıkış noktasına kadar koruyabilir bu adımsan sonra yapılacak olan her türlü veri transferi internet üzerinde dinlenebilir durumdadır. Gerek bu nedenle gerekse IP yatırımının fazla maliyetli olması dolayısı ile gerekse üstün güvenlik politikaları nedeni ile VPN günümüzde noktadan noktaya yapılacak olan veri transferlerinde büyük önem kazanmıştır. Clavister cihazı da bugün sektörde kabul görmüş tüm uluslar arası şifreleme ve hash lama ve bağlantı teknolojilerini desteklemektedir. Fakat burada bir çok muadilinden onu ayıran özellik oluşturulmuş olan VPN kanallarını kendi üzerinde bulunan fiziksel bir arayüz gibi görmesi. Bu durum gereksiz gibi görünse de oluşturulmuş olan her VPN kanalını kendi üzerinde bir arayüz gibi görmesi bu arayüzlerden gelecek olan isteklere herhangi bir çevirme, dönüştürme işlemi uygulamadan direk olarak kural uygulanabilmesidir. Bu durum çok noktalı VPN yapısına sahip olan şirketler için vazgeçilmesi düşünülemez bir durumdur. Örnek olması açısından merkezi Internet omurgam üzerinden yine internetten gelen VPN bağlantılarımda bulunan uç nokta istemcilerini merkezi internet yapım üzerinden internete çıkartmak istersem tek yapmam gereken herhangi bir dönüştürme işlemi yapmadan basit bir nat kuralı yazmaktır. Bu durum uç noktaların yönetilmesini o kadar basite indirgemiştir ki Ankara merkezli olan bir firmada çalışan Bilgi İşlem personeli Mısır da ya da Kars ta olan bir istemciye merkezi kuralları çok kolaylıkla uygulayabilmekte ve genel şirket politikasını tüm uç noktalarına rahtlıkla yayabilmektedir.

Clavister cihazı ilk kurulum aşamasında kurulum yapan BT personelini oldukça yoracaktır. Bunun başlıca nedeni cihazın üzerinde bulunan her sistemin obje sistemine dayanmasıdır ( objeler istenilirse klasör klasör ayrılabilmektedir bu da olası karışıklıkların en başta önüne geçmektedir ). Bu durum ilk başlarda bir karmaşa gibi görünse de aslında yapının sağlamlığı açısından çok önemlidir. Konu hakkında deneyimli bir BT personelinin ayarladığı 50 ila 150 kişi arası bir cihaz yapılan ayarların kalitesine göre 150 ila 250 kişi arasına rahatlıkla hizmet verebilmektedir. Bu nun ana sebebi cihazın her kısmının objelere dayanmasıdır. En basit şekilde örnek vermek gerekirse cihazı DNS tekrarlayıcı olarak kullanacağımız ya da DHCP sinde DNS sunucu atamalarımız zamanında seçilecek olan DNS sunucuların BT sektörünü sürekli takip eden bir uzman tarafından en hızlı sunuculardan seçilmesi cihaz üzerinden yapılacak olan DNS sorgularının hızını arttıracak ve gereksiz bant genişliği kaybını, kayıp paket riskini al aşağı edecektir. Elbette bu çok basit bir örnektir fakat uygulamalarda hem halka açık alana çıkışta hemde özel bölgede yapılacak olan ayarlarda DNS sisteminin özelleştirilmesi yapılacak olan uç nokta sorgularında ilk geçiş noktasıdır doğal olarak sorgu ne kadar hızlı ise ulaşım o kadar hızlıdır.

Bu ve daha bir çok durumdan dolayı Clviaster cihazı ilk seçim olmaya hak kazanmaktadır.

Ertan Bey merhaba.

Clavister ile ilgili Turkce dokuman varmı? Vmware örneklemesini nerden bulabilirim.

Tesekkurler.

Merhabalar,

Geçcevabımdan dolayı özür dilerim. Clavisterin Türkçe dökümanları hazırlandı fakat sitede yayınlama fırsatını bir türlü bulamadık. WmVare sisteminin örneğini http://www.clavister.com sitesinden Costumer account açarak elde edebilirsiniz.