Network Güvenliği - 1
Network güvenliğini, aktif ağ cihazlarının güvenliği ve bu cihazlar üzerinden geçen trafiğin güvenliği olarak ikiye ayırabiliriz.
Network cihazlarının güvenliği sağlanmadığı sürece üzerinden geçen trafiğin sorunsuz iletilmesi ve güvenliğide tam olarak sağlanamayacaktır.
Default şifre ile login olunabilen bir network cihazında, bilgisayar bağlı bir portun disable edilmesi, portun mirror tanımlanarak dinlenmesi, cihazın uzaktan kapatılması, resetlenmesi, konfigürasyon değiştirilmesi, cihaz üzerindeki konfigürasyon değiştirilerek arkasındaki bilgisayarlara erişilmesi gibi riskler bulunmaktadır.
Network cihazının kendisinin güvenliği ile ilgili olarak alınabilecek önlemler
1-Cihaza login olma kullanıcı adı ve şifre ile yapılmalıdır.
2-Cihazın default login şifresi değiştirilmelidir.
3-Networkte cihaz sayısı fazla ise Redius, Tacacs gibi merkezi kimlik doğrulama servisleri ve bu servisler tarafından tutulan loglama servisleri kullanılmalıdır. Tacacs sunucunun cihaz üzerinde çalıştırılan komutların bile kaydını tutuyor olması önemli bir özelliktir.
4-Cihazlarda telnet portu üzerinden yapılan iletişim TCP 23 portundan ve kriptosuz olarak kurulduğundan girilen şifre ve komutlar ve komut çıktıları networkten dinlenebilir durumda olacaktır. Bunun önüne geçmek için, default portu TCP 22 ssh portu üzerinden sshla iletişim kriptolu yapılmalıdır. SSH portunun defalt portu değiştirilerek kullanılması güvenliği bir kademe daha artıracaktır.
5-Cihazların yönetim konsollarına erişim webden erişime açıksa, ya kapatılmalı yada webden erişime ihtiyaç varsa http yerine https kullanılmalıdır. Https desteklenmiyorsa webden erişim belirli IP numaraları ile sınırlandırılmalıdır.
6-Aktif ağ cihazlarına yönetimsel işlemlerin yazılımlar aracılığı ile yapılmasına olanak sağlayan bir tür kimlik doğrulama mekanizması olan SNMP community namelerin, default olanlarının değiştirilmesi, bu community nameleri kullanarak aktif ağ cihazlar üzerinde işlem yapabilecek IP numaraları ACL ile kısıtlanması, cihazlar destekliyorsa kriptolu olan SNMP v3ün kullanılması (v1-2 kriptolu iletilişimi desteklemiyor) gerekmektedir.
7-Cihazlar üzerindeki konfigürasyonda tutulan cihaza erişim şifreleri kriptolu tutulmalıdır.
8-Network cihazlarına yönetimsel amaçlı kullanıcı adı ve şifre ile bağlınabilen IP numaralarının belirlenerek, sadece bu IPlere cihazın login ekranın gösterilmesi sağlanmalıdır.
Kurumsal networkte güvenlik sağlanırken dikkat edilmesi gereken diğer bir konuda fiziksel güvenliğin gözardı edilmemesi gerektiğidir. Cihazların yeri iyi seçilmeli koridorlara konulması durumunda kilitli dolap içinde bulundurulmalıdır. 48 portlu bir switchin fiziki güvenliğinin yetersiz olması nedeniyle yetkisiz kişiler tarafından fişinin çekilmesi 48 bilgisayarın çalışamamasına sebep olabilecekken, ADSL modem, routerın yada metro ethernetin kablosunun çekilmesi durumunda bu cihazlardan hizmet alarak uzak lokasyonlara bağlanan fazla sayıda bilgisayarın işlerini yapamamasına sebep olabilektir.
Bu önlemlerin, sistemin kritiklik seviyesine bağlı olarak artabileceği yada azalabileceği değerlendirilmektedir.
Network güvenliğini, aktif ağ cihazlarının güvenliği ve bu cihazlar üzerinden geçen trafiğin güvenliği olarak ikiye ayırabiliriz.
Network cihazlarının güvenliği sağlanmadığı sürece üzerinden geçen trafiğin sorunsuz iletilmesi ve güvenliğide tam olarak sağlanamayacaktır.
Default şifre ile login olunabilen bir network cihazında, bilgisayar bağlı bir portun disable edilmesi, portun mirror tanımlanarak dinlenmesi, cihazın uzaktan kapatılması, resetlenmesi, konfigürasyon değiştirilmesi, cihaz üzerindeki konfigürasyon değiştirilerek arkasındaki bilgisayarlara erişilmesi gibi riskler bulunmaktadır.
Network cihazının kendisinin güvenliği ile ilgili olarak alınabilecek önlemler
1-Cihaza login olma kullanıcı adı ve şifre ile yapılmalıdır.
2-Cihazın default login şifresi değiştirilmelidir.
3-Networkte cihaz sayısı fazla ise Redius, Tacacs gibi merkezi kimlik doğrulama servisleri ve bu servisler tarafından tutulan loglama servisleri kullanılmalıdır. Tacacs sunucunun cihaz üzerinde çalıştırılan komutların bile kaydını tutuyor olması önemli bir özelliktir.
4-Cihazlarda telnet portu üzerinden yapılan iletişim TCP 23 portundan ve kriptosuz olarak kurulduğundan girilen şifre ve komutlar ve komut çıktıları networkten dinlenebilir durumda olacaktır. Bunun önüne geçmek için, default portu TCP 22 ssh portu üzerinden sshla iletişim kriptolu yapılmalıdır. SSH portunun defalt portu değiştirilerek kullanılması güvenliği bir kademe daha artıracaktır.
5-Cihazların yönetim konsollarına erişim webden erişime açıksa, ya kapatılmalı yada webden erişime ihtiyaç varsa http yerine https kullanılmalıdır. Https desteklenmiyorsa webden erişim belirli IP numaraları ile sınırlandırılmalıdır.
6-Aktif ağ cihazlarına yönetimsel işlemlerin yazılımlar aracılığı ile yapılmasına olanak sağlayan bir tür kimlik doğrulama mekanizması olan SNMP community namelerin, default olanlarının değiştirilmesi, bu community nameleri kullanarak aktif ağ cihazlar üzerinde işlem yapabilecek IP numaraları ACL ile kısıtlanması, cihazlar destekliyorsa kriptolu olan SNMP v3ün kullanılması (v1-2 kriptolu iletilişimi desteklemiyor) gerekmektedir.
7-Cihazlar üzerindeki konfigürasyonda tutulan cihaza erişim şifreleri kriptolu tutulmalıdır.
8-Network cihazlarına yönetimsel amaçlı kullanıcı adı ve şifre ile bağlınabilen IP numaralarının belirlenerek, sadece bu IPlere cihazın login ekranın gösterilmesi sağlanmalıdır.
Kurumsal networkte güvenlik sağlanırken dikkat edilmesi gereken diğer bir konuda fiziksel güvenliğin gözardı edilmemesi gerektiğidir. Cihazların yeri iyi seçilmeli koridorlara konulması durumunda kilitli dolap içinde bulundurulmalıdır. 48 portlu bir switchin fiziki güvenliğinin yetersiz olması nedeniyle yetkisiz kişiler tarafından fişinin çekilmesi 48 bilgisayarın çalışamamasına sebep olabilecekken, ADSL modem, routerın yada metro ethernetin kablosunun çekilmesi durumunda bu cihazlardan hizmet alarak uzak lokasyonlara bağlanan fazla sayıda bilgisayarın işlerini yapamamasına sebep olabilektir.
Bu önlemlerin, sistemin kritiklik seviyesine bağlı olarak artabileceği yada azalabileceği değerlendirilmektedir.
