Sunucu Güvenliği: Windows ve Linux Firewall Yapılandırması

Network firewall, perimeter güvenliğinin temelini oluştururken, host-based firewall sunucu seviyesinde ek koruma katmanı sağlar. Defense in depth prensibine göre, tek bir güvenlik kontrolüne güvenmek yetersizdir. Windows ve Linux sunucu firewall yapılandırması, kapsamlı güvenlik stratejisinin kritik bir bileşenidir. Bu kapsamlı rehberde, işletim sistemi seviyesinde firewall yapılandırmasını, best practice’leri ve yönetim stratejilerini detaylı olarak inceleyeceğiz.

Host-Based Firewall Neden Önemli?

Defense in Depth

Çok katmanlı güvenlik, tek noktaya bağımlılığı azaltır. Network firewall atlanırsa, host firewall koruma sağlar. İç ağdan gelen tehditler, perimeter’i bypass eder. Lateral movement, network firewall tarafından görülmeyebilir. Her katman, ek güvenlik sağlar.

Sunucu Özelleştirmesi

Her sunucu, farklı hizmetler sunar. Host firewall, sunucu özelinde kurallar oluşturur. Sadece gerekli portlar açılır. Application-specific policies uygulanır. Network firewall’dan daha granüler kontrol sağlanır.

Compliance Gereksinimleri

Bazı düzenlemeler, host firewall zorunlu kılar. PCI-DSS, sistem seviyesi koruma gerektirir. CIS Benchmarks, firewall yapılandırması önerir. Audit’ler, host güvenlik kontrollerini değerlendirir.

Windows Server Firewall

Windows Defender Firewall

Windows Defender Firewall, Windows Server’ın yerleşik firewall’udur. Windows Firewall with Advanced Security (WFAS), gelişmiş özellikler sunar. GUI ve command-line yönetimi desteklenir. Group Policy ile merkezi yönetim mümkündür.

Firewall Profilleri

Windows Firewall, üç profil kullanır. Domain profile, domain’e katılmış ağlarda aktiftir. Private profile, güvenilir özel ağlarda kullanılır. Public profile, güvenilmez ağlarda en kısıtlayıcı politikayı uygular. Sunucular genellikle domain profilini kullanır.

Kural Türleri

Windows Firewall, çeşitli kural türleri destekler. Inbound rules, gelen trafiği kontrol eder. Outbound rules, giden trafiği yönetir. Connection security rules, IPsec yapılandırması sağlar. Her kural türü, farklı güvenlik ihtiyaçlarını karşılar.

Temel Yapılandırma

Windows Server firewall yapılandırması için temel adımlar uygulanır. Firewall’un aktif olduğu doğrulanır. Default inbound block, varsayılan olarak ayarlanır. Gerekli servisler için kurallar oluşturulur. Gereksiz kurallar devre dışı bırakılır veya silinir.

PowerShell Yönetimi

PowerShell, Windows Firewall yönetimi için güçlü araçtır. Get-NetFirewallProfile, profil durumunu gösterir. Set-NetFirewallProfile, profil ayarlarını değiştirir. New-NetFirewallRule, yeni kural oluşturur. Get-NetFirewallRule, mevcut kuralları listeler. Remove-NetFirewallRule, kuralları siler.

Örnek Yapılandırma

Web sunucusu için tipik Windows Firewall yapılandırması şunları içerir. HTTP (80) ve HTTPS (443) için inbound izni verilir. RDP (3389), belirli IP’lere kısıtlanır. SMB (445), gerekli değilse engellenir. ICMP, monitoring için izin verilebilir. Outbound, varsayılan olarak izinli tutulabilir veya kısıtlanabilir.

Linux Firewall

Netfilter ve iptables

Netfilter, Linux kernel’ın packet filtering framework’üdür. iptables, Netfilter’ı yönetmek için kullanılan geleneksel araçtır. Chains (INPUT, OUTPUT, FORWARD), trafik yönünü belirler. Tables (filter, nat, mangle), kural türlerini organize eder. Rules, belirli trafiği ACCEPT, DROP veya REJECT eder.

nftables

nftables, iptables’ın modern alternatifidir. Daha basit ve tutarlı syntax sunar. Daha iyi performans sağlar. Birden fazla protokol ailesini destekler. RHEL 8+ ve Debian 10+ varsayılan olarak kullanır.

firewalld

firewalld, dynamic firewall management sunar. Zone-based configuration kullanır. Runtime ve permanent kuralları ayrıştırır. D-Bus interface, programatik erişim sağlar. Red Hat ve türevlerinde varsayılandır.

UFW (Uncomplicated Firewall)

UFW, iptables için basitleştirilmiş frontend’dir. User-friendly command syntax sunar. Ubuntu ve türevlerinde popülerdir. Basit sunucu yapılandırmaları için idealdir.

iptables Temel Komutlar

iptables ile temel firewall yönetimi yapılır. iptables -L, mevcut kuralları listeler. iptables -A INPUT, inbound kuralı ekler. iptables -D INPUT, kuralı siler. iptables -P INPUT DROP, varsayılan politikayı ayarlar. iptables-save, kuralları kaydeder.

Örnek iptables Yapılandırması

Web sunucusu için tipik iptables yapılandırması şunları içerir. Loopback trafiğine izin verilir. Established ve related bağlantılara izin verilir. SSH (22), belirli IP’lere kısıtlanır. HTTP (80) ve HTTPS (443) için izin verilir. Varsayılan INPUT politikası DROP yapılır. ICMP (ping), isteğe bağlı olarak izin verilebilir.

firewalld Yönetimi

firewalld ile zone-based yönetim yapılır. firewall-cmd –get-default-zone, varsayılan zone’u gösterir. firewall-cmd –add-service, servise izin verir. firewall-cmd –add-port, porta izin verir. firewall-cmd –permanent, kalıcı kural oluşturur. firewall-cmd –reload, kuralları yeniler.

UFW Yönetimi

UFW ile basit firewall yönetimi yapılır. ufw enable, firewall’u aktifleştirir. ufw default deny incoming, varsayılan olarak engeller. ufw allow ssh, SSH’a izin verir. ufw allow 80/tcp, HTTP’ye izin verir. ufw status, durumu gösterir.

Sunucu Rolüne Göre Yapılandırma

Web Sunucusu

Web sunucuları için tipik port gereksinimleri vardır. HTTP (TCP 80), web trafiği içindir. HTTPS (TCP 443), şifreli web trafiği içindir. SSH (TCP 22), yönetim erişimi içindir. Monitoring portları, gerekli araçlara göre açılır.

Veritabanı Sunucusu

Veritabanı sunucuları, kısıtlı erişim gerektirir. MySQL (TCP 3306), uygulama sunucularına açılır. PostgreSQL (TCP 5432), benzer şekilde kısıtlanır. SQL Server (TCP 1433), Windows ortamlarda kullanılır. Public erişim kesinlikle engellenir.

E-posta Sunucusu

E-posta sunucuları, çeşitli portlar kullanır. SMTP (TCP 25), e-posta iletimi içindir. SMTPS (TCP 465), şifreli SMTP içindir. Submission (TCP 587), istemci gönderimi içindir. IMAP (TCP 143), e-posta erişimi içindir. IMAPS (TCP 993), şifreli IMAP içindir. POP3 (TCP 110) ve POP3S (TCP 995), alternatif erişim sağlar.

DNS Sunucusu

DNS sunucuları, UDP ve TCP kullanır. DNS (UDP 53), standart sorgular içindir. DNS (TCP 53), zone transfer ve büyük yanıtlar içindir. Recursive query, iç istemcilere sınırlandırılır.

Active Directory DC

Domain controller, çok sayıda port gerektirir. LDAP (TCP/UDP 389), directory erişimi içindir. LDAPS (TCP 636), şifreli LDAP içindir. Kerberos (TCP/UDP 88), authentication içindir. DNS, AD-integrated DNS içindir. Global Catalog (TCP 3268/3269) ve RPC portları gerekir.

Güvenlik Best Practice

Default Deny

Varsayılan politika, deny/drop olmalıdır. Sadece gerekli trafiğe açıkça izin verilir. Whitelist yaklaşımı, güvenliği artırır. Unknown traffic, otomatik olarak engellenir.

Least Privilege

Minimum gerekli port açılmalıdır. Servis kullanılmıyorsa, port kapatılır. Source IP kısıtlaması, mümkün olduğunca uygulanır. Time-based rules, belirli saatlerde erişimi sınırlayabilir.

Logging

Firewall olayları loglanmalıdır. Dropped packets, saldırı girişimlerini gösterir. Accepted connections, erişim denetimi sağlar. Log analizi, anomalileri tespit eder.

Düzenli Gözden Geçirme

Firewall kuralları, periyodik olarak incelenmelidir. Kullanılmayan kurallar temizlenir. İş gereksinimleri değiştiğinde güncellenir. Compliance audit’leri, uyumluluğu doğrular.

Merkezi Yönetim

Windows Group Policy

Group Policy, Windows Firewall’u merkezi yönetir. Tutarlı politika, tüm sunuculara uygulanır. Template-based configuration, standartlaşma sağlar. Enforced settings, local override’ı engeller.

Configuration Management

Ansible, Puppet, Chef gibi araçlar firewall yönetir. Infrastructure as Code, version control sağlar. Consistent deployment, tutarlı yapılandırma sunar. Audit trail, değişiklikleri izler.

Security Baseline

CIS Benchmarks, firewall best practice’leri tanımlar. Microsoft Security Baseline, Windows için öneriler sunar. STIG, ABD hükümeti standartlarıdır. Bu kaynaklar, başlangıç noktası sağlar.

Network Firewall ile Entegrasyon

Tamamlayıcı Kontroller

Host ve network firewall, birbirini tamamlar. Network firewall, perimeter koruması sağlar. Host firewall, sunucu özelinde koruma ekler. Overlap, derinlik sağlar. Gap, her iki tarafta da kapatılır.

Politika Tutarlılığı

Firewall politikaları, tutarlı olmalıdır. Network firewall izni, host firewall’da da açılır. Çelişkili kurallar, sorun gidermeyi zorlaştırır. Dokümantasyon, politika senkronizasyonunu destekler.

Micro-segmentation

Host firewall, mikro segmentasyon sağlar. Workload-to-workload control, granüler kontrol sunar. Zero Trust, her bağlantıyı doğrular. East-west traffic, host seviyesinde kontrol edilir.

Sorun Giderme

Bağlantı Sorunları

Firewall, bağlantı sorunlarının yaygın nedenidir. Telnet veya nc ile port testi yapılır. Firewall log’ları, engellenen trafiği gösterir. Geçici disable, firewall etkisini test eder. Kural sırası, beklenmedik davranışa yol açabilir.

Windows Sorun Giderme

Windows’ta firewall sorun giderme adımları uygulanır. Event Viewer, firewall olaylarını gösterir. netsh advfirewall, command-line yönetim sağlar. Test-NetConnection, bağlantı testi yapar.

Linux Sorun Giderme

Linux’ta firewall sorun giderme araçları kullanılır. iptables -L -v -n, ayrıntılı kural listesi verir. conntrack -L, connection tracking gösterir. tcpdump, paket capture sağlar. journalctl, sistem log’larını gösterir.

Sonuç

Host-based firewall, sunucu güvenliğinin kritik bir bileşenidir. Windows Defender Firewall ve Linux iptables/firewalld, güçlü koruma sağlar. Defense in depth prensibi, network ve host firewall’un birlikte kullanımını gerektirir.

Sunucu rolüne göre özelleştirilmiş yapılandırma, güvenlik ve işlevsellik dengesini korur. Default deny, least privilege ve düzenli gözden geçirme, best practice’in temelini oluşturur. Merkezi yönetim, tutarlılık ve verimlilik sağlar.

Seganet olarak, sunucu güvenliği ve firewall yapılandırması konusunda danışmanlık hizmeti sunuyoruz. Windows ve Linux ortamlarınızda kapsamlı güvenlik stratejisi oluşturmanıza yardımcı olmaya hazırız. Detaylı bilgi için uzman ekibimizle iletişime geçebilirsiniz.