Metruk
Root Admin
Mesaj Sayısı : 351
Kayıt tarihi : 02/04/10
Yaş : 32
 |  Konu: Ağ Güvenliği Nasıl Sağlanır (Basitçe)  Ptsi Nis. 05, 2010 7:51 pm | |
| [Resimleri görebilmek için üye olun veya giriş yapın.]
**Güvenlik Duvarı(Firewall)
Firewall'lar, yerel ağınızla dış ağ arasındaki güvenlik kontrol
yazılımları/cihazlarıdır. Firewall ilk kurulduğunda bu nokta üzerindeki
bütün geçişleri durdurur. Daha önceden belirlenen politikalar dahilinde
hangi data paketinin geçip geçmeyeceği, hangi geçişlerde parola
doğrulaması yapılacağı gibi bilgiler firewall kural tablolarına eklenir.
Bu sayede sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış
olur. İçerideki/dışarıdaki sistemlere kimlerin girip giremeyeceğine,
giren kişilerin hangi bilgisayarları ve hangi servisleri
kullanabileceğini firewall üzerindeki kurallar belirler.
Firewall yazılımı, adresler arası dönüştürme-maskeleme(NAT) sayesinde
LAN(Local Area Network) deki cihazların IP adreslerini gizleyerek tek
bir IP ile dış ağlara erişimini sağlar. Adres saklama ve adres
yönlendirme işlemleri firewall üzerinden yapılabilir. Böylece dış
dünyadaki kullanıcılar yerel ağdaki kritik topoloji yapısını ve IP
bilgisini edinemezler. Firewall yazılımı kendi üzerinde belirtilmiş
şüpheli durumlarda sorumluları uyarabilir(e-mail, SNMP, vb.).
Gelişmiş firewall yazılımları üzerinden geçen bütün etkinlikleri daha
sonradan incelenebilmesi için kaydederler. Ek bir lisans yada modül ile
birlikte VPN(Virtual Private Network) denilen yerel ağa gidip gelen
bilgilerin şifrelenmesi ile uzak ofislerden yada evden internet
üzerinden güvenli bir şekilde şirket bilgilerine ulaşmak mail vb.
servisleri kullanmak mümkün olmaktadır. Bu şekilde daha pahalı çözümler
yerine(lised line yada frame relay) Internet kullanılabilir. Yalnız
uzaktaki kullanıcıların güvenliği burada ön plana çıkmaktadır. Dışarıdan
bağlanan kişinin gerçekten sizin belirlediğiniz yetkili kişi olup
olmadığı önemlidir. Bu kişilerin şifresini ele geçirenler sisteminize o
kişilerin haklarıyla ulaşabilirler. Bu noktada kişisel firewall ve
dinamik şifre üreten tokenlar devrede olmalıdır.
Günümüzdeki gelişmiş firewall sistemleri içerik denetleme işlemi
yapmamakta bu tip hizmetleri firewall sistemleriyle entegre çalışan
diğer güvenlik sistemlerine yönlendirmektedir. Bu sayede güvenlik
firmaları sadece odaklandıkları ve profesyonel oldukları konularda
hizmet vermekte, kullanıcı da bu ayrık sistemlerden kendisi için uygun
olan çözümleri tercih etmektedir. Örneğin gelen bilgilerin içerisinde
virüs olup olmadığı yada atak yapılıp yapılmadığı firewall tarafından
kontrol edilmez. Kurallarda belirtilmişse kendisi ile entegre çalışan
sisteme data paketini yönlendirir. Tarama işlemi diğer makinada
yapıldıktan sonra paket tekrar firewall a geri döner.
Firewall yazılımının yönetim konsolu merkezi yönetim amaçlı olarak ayrı
makinelere yüklenebilir. Yönetim ile ilgili kurallar, trafikle ilgili
kayıtlar(log) ayrı sistemlerde tutulabilir. Kullanıcı grafik ara yüzü
ile uzak makinelerden kolayca yönetim yapılabilir ve mevcut kullanıcı
bilgileri (LDAP) uygulamalarından alınabilir. Aktif bağlantılar
görüntülenip gerektiğinde ana güvenlik politikalarına engel olmadan
bağlantılara müdahale edilebilir. Bant genişliği yönetimi sağlayan
sistemlerle entegre olabilir.
Firewall yazılımları/cihazları güvenliğin yapı taşları olup sistem
içerisindeki diğer güvenlik yazılım/cihazları ile uyumlu çalışmakta ve
gelecekteki güvenlik teknolojilerine taban teşkil etmektedirler.
Firewall yazılımı kesinlikle şart olmasına rağmen güvenlik için tek
başına yeterli değildir.
**VPN (Virtual Private Networks)
VPN sayesinde hem maliyetlerimizi azaltmamız hem de daha önceden güvenli
olmadığı, ayrıca pahalı olduğu için yapamadığımız farklı mekanlardaki
PC ve LAN'ları internet üzerinden aynı platformlara taşımamız mümkün. Bu
sayede evimizdeyken şirketimize bağlanıp sanki oradaymış gibi güvenli
bir şekilde şirket kaynaklarına ulaşmamız, maillerimizi kontrol etmemiz,
Intranet'i kullanmamız mümkün olmaktadır.
Bu sayede mobil çalışanlarımızı, uzak bürolarımızı, bayilerimizi, iş
ortaklarımızı bizim belirlediğimiz kriterlere göre şirket içi
kaynaklarından faydalanmalarını sağlayabiliriz. Lised lines ve
frame-relay hatların pahalı çözümlerine alternatif olarak Internet'i
kullanabiliyoruz. Tabi akla gelen ilk soru Internet üzerinde bilgi
alışverişi yapılırken bilgilerimiz ne derece güvende. VPN
teknolojilerinde taraflar arasında karşılıklı şifreleme söz konusu ve bu
şifreleme teknolojileri oldukça gelişmiş durumda. Güvenlik için
bilgiler karşılıklı dijital olarak imzalanır, sonra bu paketler uluslar
arası standartlara uygun çeşitli protokollerden biri tarafından
şifrelenir ve karşı tarafta da benzer şekilde açılır. Yalnız VPN sadece
bilgi gidip gelmesi sırasındaki güvenliği kapsadığından karşılıklı
yapıların firewallar tarafından korunması gerekmektedir. Sizin bölgeniz
çok güvenli olabilir ama size bağlanan evdeki bilgisayarın güvenliği de
önemlidir. Çünkü dışarıdan içeri normal şartlarda sızamayan kişiler
zincirin en zayıf halkasından içeri sızabilirler.
VPN uygulamalarında dikkat edilmesi gereken karşılıklı bağlantılar
sırasında statik şifre kullanılmamasına dikkat edilmesi token/smart card
benzeri çözümlerle desteklenmesi gerekir.
**Antivirüs
Ev kullanıcılarından büyük şirketlere herkes antivirüs çözümü kullanması
gerektiğinin farkındadır. Kurumların ihtiyaçlarını ev kullanıcıları
gibi düşünemeyiz. Artık eski sistem desktop bazlı korumalar tek başına
yeterli olmamaktadır. Örneğin bu tip bir sistem bilgisayarın açılması
sırasında daha virüs koruma yazılımı devreye girmeden ağdaki virüslenmiş
bir sistem tarafından dosya paylaşımından faydalanarak sisteme girip
antivirüs korumasını devre dışı bırakabilmektedir. Yada son günlerde
tanık olduğumuz sistem açıklarını kullanarak yayılan "worm"larda olduğu
gibi. Bu yüzden yeni teknolojilerde virüslerin merkezi bir yapı
tarafından daha yerel ağa girmeden önce taranması fikri esas
alınmaktadır.
Virüslerin en çok yayıldığı servisler olan e-mail, http ve ftp
trafikleri firewall mantığı esas alınarak antivirüs ağ geçidine
yönlendirilir. Buradaki tarama işleminden sonra gerekli yerlere
yönlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virüsler
engellenmiş olur. Mail sunucuları üzerine kurulan antivirüs sistemiyle
yerel ağ içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale
getirilmiş olur.
Sunucu bilgisayarları üzerine kurulacak virüs koruma yazılımları ve
şirket çalışanlarının sistemlerini kontrol edecek yazılımlarla kurumsal
antivirüs çözümü sağlanmış olur.
Bütün bu virüs sistemlerinin tek bir merkezi noktadan kontrolü ve tek
bir noktadan antivirüs güncelleme dosyalarının alınıp dağıtılması
yapılabilmektedir. İstenirse firewall la entegre
çalıştırılabilmektedirler. Otomatik olarak gerektiğinde her saat başı
yeni güncelleme dosyaları alınabilmektedir. Bu sistemlerle ayrıca
rahatsız edici mailleri engellemek, içerdiği kelimelere yada eklerine
göre silme/arşivleme vb. işlemler yapılabilmekte kısaca mail yönetimi
sağlanabilmektedir.
Kurumsal Antivirüs Koruması seçerken dikkat edilmesi gerekenler
Virus taraması yaparken performans kaybı yaşanmamalıdır. Mümkünse
uluslararası sertifikaları sorulmalıdır.Her türlü zararlı kodlara karşı
tarama yapabilmelidir (Trojans, droppers, ActiveX ve Java) Müşteri
tarafına her türlü yoldan zararlı kodların ulaşabileceği düşünülmeli
sunulan çözüm bütün zararlı kodları tesirsiz hale getirebilmelidir. Sizi
virüslerin çoğundan değil hepsinden koruyan sistemlere ihtiyacınız
olacaktır. Sorunla karşılaşıldığında servisini ve desteğini
alabileceğiniz ürünlere yönelin. Sisteminize entegre olup olmayacağını
sorun çünkü yeni teknoloji virüs tarayıcılar firewall sistemleriyle
proxy lerle mail sunucularıyla entegre çalışabilmektedir Bütün virüs
sistemini mümkünse tek yerden yönetebileceğiniz sistemleri seçmeniz
avantajınıza olacaktır. Merkezi raporlama ve otomatik güncelleme (yeni
virüslere karşı) yapması da işlerinizi kolaylaştıracaktır.
**IDS (Saldırı Tespit Sistemleri)
Saldırı Tespit Sistemleri, Internet dünyasının gelişim sürecinde
özellikle tüm dünyada kullanılan web trafiğinin artması ve de web
sayfalarının popüler hale gelmesi ile birlikte kişisel ya da tüzel
sayfalara yapılan saldırılar sonucu ihtiyaç duyulan en önemli konulardan
biri haline gelmiştir. Bununla birlikte kurum ya da kuruluşların sahip
oldukları ve tüm dünyaya açık tuttukları mail, dns, database gibi
sunucularının benzeri saldırılara maruz kalabilecekleri ihtimali yine
Saldırı Tespit Sistemlerini Internet Güvenliği alanının vazgeçilmez bir
parçası haline getirmiştir. Kurumların sahip oldukları çalışan sayısı ve
bu çalışanların kendi kurumlarındaki kritik değer taşıyan yapılara
saldırabilme ihtimalleri de iç ağın ya da tek tek kritik sunucuların
kontrol altında tutulma gerekliliğini beraberinde getirir.
IDS(Intrusion Detection System) genel olarak iki tip olarak karşımıza
çıkar; Sunucu tabanlı IDS ve Ağ tabanlı IDS.
Ağ tabanlı IDS in görevi, bir kurum yada kuruluşun sahip olduğu ağ yada
ağlara yönlenmiş olan tüm trafiği algılayarak, bu ağa doğru geçen her
bir data paketinin içeriğini sorgulamak, bir atak olup olmadığına karar
vererek kaydını alabilmek, kendisi ya da konfigüre edebildiği başka bir
aktif cihaz tarafından atakları kesmek, sistem yöneticisini
bilgilendirmek ve ilgili raporlar oluşturabilmektir. IDS bir data
paketinin atak olup olmadığını, kendi atak veritabanında bulunan atak
tipleriyle karşılaştırarak anlar ve karar verir. Sonuç olarak bir IDS in
en önemli bileşeni bu atak veritabanıdır. Söz konusu Atak veritabanı
nın içeriği, ne kadar sıklıkla ve doğrulukla güncellendiği ve kimin
tarafından oluşturulduğu/güncellendiği en önemli noktadır. Bu sebeple
doğru üretici firma ve ekip seçimi çok önemlidir.
Sunucu Tabanlı IDS in görevi ise kurulu bulunduğu sunucuya doğru
yönlenmiş bulunan trafiği yine üzerinde bulunan atak veritabanı(İşletim
Sistemine göre özelleştirilmiş) baz alınarak dinlemesi ve atakları
sezerek cevap vermesidir.
Genel olarak IDS iki veya daha fazla makineden oluşan bir yapıdır.
Performans artırımı sebebiyle Merkezi Kontrol ve Kayıt mekanizmasının
bir makinede, Trafiği dinleyen ağ tabanlı modül veya Sunucu tabanlı
modül ayrı makinelerde tutulur.
IDS' ler, dinlediği trafiğin kaydını tutarak, gerektiğinde bu kayıtları
baz alarak istenilen şekilde raporlar çıkartabilmektedir. Atak
sezdiklerinde atakları önleyebilir, yöneticilerine mail yada benzeri
yollarla haber verebilirler, önceden oluşturulmuş bir program
çalıştırabilir ve telnet benzeri bağlantıları kayıt ederek sonrasında
izlenmesini sağlayabilirler. Tüm bu özellikleriyle IDS ler sistemin
güvenli bir şekilde işlemesine yardımcı olur ve Sistem Yöneticilerinin
Sistemi güçlü bir şekilde izlemesine yardımcı olmaktadırlar.
**Web filtreleme çözümleri (URL Filtering)
Bugün çalışanların çoğunun Internet'e erişim hakları var. Fakat bunların
hangi sayfalara gittikleri, oralarda ne kadar zaman geçirdikleri
bunların ne kadarının işle ilgili olduğu gibi soruların yanıtlanması
gerekiyor. Son zamanlarda yapılan bir çok araştırma iş günü içerisinde
yapılan web sayfası ziyaretlerinin çoğunun işle alakalı olmadığı,
sakıncalı sayfa ziyaretlerinin sistemlere virus/trojan bulaşmasına,
gereksiz bant genişliği harcanmasına ve yasal olmayan sitelerden
indirilen programların sistemlere sahte lisanslarla kurulmasına (ki bu
programların lisanssız yada sahte lisanslarla kurulmasından sistem
yöneticileri ve şirket sahipleri BSA ya karşı sorumlular) sebep olmakta.
Bütün bunları engelleyebilmek için URL filtering denilen yazılımlar
kullanılmakta. Bu yazılımların her gün güncellenen veri tabanları
sayesinde dünyadaki çoğu web sayfaları sınıflandırılmış durumda. Bu
yazılımlar kişi, grup, IP adres aralıklarına kural tanımlamamızı
sağlamaktadır. Bu sayede daha önceden tanımladığımız kişilere hangi
zaman aralıklarında nerelere girebileceklerini belirlenebilir. Yada gün
içerisinde bizim belirlediğimiz kategoriler için zaman kotası uygulana
bilinir. Örneğin sabah 9:00-12:00 arası gazetelere yarım saat bakılma
izni (bu sayfalarda kalış zamanı kotadan düşürülür) 12:00-13:00 her yere
izin vb.. URL filtreleme yazılımlarıyla ayrıca anahtar kelime bazlı
sınırlandırma(örnegin mp3) yada manuel olarak sayfa eklenebilir.
Engellenen sayfalarla ilgili olarak kullanıcı karşısına bilgilendirici
bir ekran çıkar ve neden engellendiği yada hangi zaman aralıklarında
geçerli olduğu belirtilir. Burada daha önceden belirlenmiş bir sayfaya
yönlendirmekte mümkündür. Bu tür yazılımlarının raporlama modülleri
sayesinde kimlerin nerelere gittikleri oralarda ne kadar süre boyunca
kaldıkları gibi ayrıntılı bilgilere ulaşmak mümkündür.
**Güçlü Tanılama (Strong Authentication)
Gerçekten sistemlerinize kimlerin ulaştığını biliyor musunuz? Eğer VPN,
mail, Web sayfa erişimleri, uzak erişim (remote access) v.b.
bağlantılarınızda statik kullanıcı isimleri ve şifreler kullanıyorsanız
bundan tam olarak emin olamazsınız. Dışarıdan yapılan bağlantılarda
sizin verdiğiniz şifrelerin başkaları tarafından ele geçirilmesi yada
"brute force" denilen yöntemle şifrelerin bulunması söz konusudur. Güçlü
tanılama yöntemleri sisteminize erişenlerin kimliğinden emin olmanızı
sağlar.
Güçlü tanılama (Strong Authentication) nedir?:
Güçlü tanılama, bir kullanıcıyı tanırken en az iki metot kullanır. 3
metotla mevcut tanılama güçlendirilebilir:
. Sahip olduğunuz şey (Something you have)
Kapı anahtarı, ATM kartı veya token
. Bildiğiniz şey (Something you know )
Şifre, PIN numarası
. Biyometrik tanılama (Something you are)
Parmak izi, ses tanıma sistemleri, retina taramaları
Bu yöntemlerin her biri tek başına yeterli değildir mesela ATM kartınızı
kaybedebilirsiniz, şifreniz tahmin edilebilir. Biyometrik tanılama
güçlü bir yöntem olmasına rağmen halen pahalı ve açık noktaları
bulunabilmektedir. Bu yöntemlerden teki (single authentication) yerine
iki metodun birlikte kullanıldığı yöntemler "two-factor authentication"
yada "strong authentication" olarak bilinmektedir. Örneğin ATM
makineleri iki kombinasyonu birlikte kullanırlar plastik bir kard
(Something you have) ve bir PIN numarası (Something you know). Token ve
smart kartlar güçlü tanılama sistemleri kullanırlar. Token ve smart
kartların bir çok çeşidi bulunmakta
Smart Kartlar: Dünya üzerinde yaklaşık bir milyar kişi smart kart
teknolojisini banka hesapları, ödeme, telefon sistemleri, kişisel
bilgilerin saklanması(tıbbi kayıtlar gibi) için kullanıyor. Smart
kartlar ATM(banka) kartlarından çip yapısıyla ayrılır. ATM kartlarında
statik bilgi içeren manyetik bantlar bulunmaktadır. Smart kartlarda ise
küçük bir çip bulunmaktadır. Bu sayede çip içerisinde bilgilerin
saklanmasının yanında hesaplamalarda yapılabilmektedir. Manyetik
kartların dış yüzeylerinde bulunan bilgilerin kopyalanabilmeside
güvenlik açısından smart kart kullanımının gerekliliğini ortaya
koymaktadır. Bütün bilgilerin ve işlemlerin çip içerisinde yapılması ve
çipin kopyalanamaması smart kartın en büyük artıları arasında yer
almakta. Ayrıca smart kartınızdaki bilgilerinize ulaşmanız için
kartınızın PIN koduna ihtiyacınız var. Oldukça güvenli bu sistemlerin
tek dezavantajı smart kart okuyucuya ve yazılımına ihtiyaç duyulması.
Token-Tabanlı Uygulamalar: Token çözümleri gelecekte güvenlik
işlemlerinde zorunluluk olarak kaşımıza çıkacak. Şifrelerin bu kadar
kolay ele geçirilebilmesi yada şifre denemeleri sayesinde şifrelerin
bulunabilmesi her seferinde size başka şifre üreten sistemlerin
doğmasına yol açtı. Bu sayede şifrenizi ele geçiren bir kişi dahi onu
kullanamaz. Bunun için çeşitli yazılım yada fiziksel çözümler mevcut.
Dakikada bir değişen şifreler yada her düğmeye bastığınızda size yeni
bir şifre üreten tokenlar sayesinde şifrelerin çalınması yada başkaları
tarafından bilinmesi problemi ortadan kalkıyor. Ve tokenların çoğundaki
sistem bir PIN numarası ile korunuyor bu sayede tokenin kendisini
kaybetmeniz durumunda dahi sistem kendini koruyabiliyor. Bir çoğu
anahtarlık ve kredi kartı boyutlarında üretildiklerinden kolayca
yanınızda taşıyıp istenilen yerden başka bir sisteme gerek kalmadan
bağlantılarınızı güvenli bir şekilde yapabilirsiniz. | |
|
