Network Güvenliği - 2
Cihazlar Üzerinden Geçen Trafiğin Güvenliği
Milyon dolarlar harcanıp alınan ve networke yerleştirilen aktif ağ cihazları, Firewall, IPS, IDS, ve diğer cihazlar, trafiğin geçtiği yol üzerine en kritik yerlere yerleştirilsede bu cihazların işlevlerini yerine getirebilmesi cihazlar üzerindeki konfigürasyonların doğruluğuna ve ne kadar iyi yapıldığına bağlıdır.
Network cihazının üzerinden geçen trafiğin güvenliği ile ilgili olarak alınabilecek önlemler aşağıya çıkarılmaya çalışılmıştır.
1-Ağ topolojisinin, ağdan iletilen paket trafiği açısından güvenlik riski oluşturduğunun anlaşılması durumunda topolojinin değiştirilmesi,
3-Bilgisayar sayısı fazla değil ve mobil kullanıcılar azsa her switch portunda kullanılacak MAC adreslerinin kilitlenmesi, (her ne kadar MAC adresi kolay şekilde değiştirilsede buda bir güvenlik kademesi olarak değerlendirilebilir.)
4-Aynı subnet içindeki iletişim MAC adresine göre yapıldığından IP bazlı kısıtlamaya tabi tutulamaz. Birbiri ile görüşmesi istenmeyen bilgisayar-cihazlar farklı IP bloklarına alınmalı ve L3 cihaz üzerinden ACL (Access Control Liste) ile yada trafiğin geçtiği network üzerinde Firewall varsa onun üzerinden kısıtlama yapılmalıdır.
5-Aynı subnet içinde bulunan bilgisayarların Gatewaya ve diğer bilgisayarlara arp saldırısı ile araya girip dinleme yapmasını engellemek için network cihazları üzerinde MAC adresi yenilenmesi, gateway MAC adresinin değişmiş gibi gösterildiği durumlarda network cihazının alarm üretmesi veya tüm trafiği kesmesi sağlanmalıdır.
6-Canlı network üzerinde bulunan cihazlardaki konfigürasyon, özellikle güvenlik konfigürasyonu değiştirildiğinde genelde cihazın çalışmasına etkisi olmadığından fark edilmez. Bazı çalışmalar sırasında güvenlik konfigürasyonu geçici olarak kaldırıldığı halde sonra unutulur. Geçici olarak izin verilen erişim izinleri kalabilir. Yada şifresi bir şekilde ele geçirilip güvenlik konfigürasyonunu değiştirilirse bu konfigürasyonun ne kadar o cihaz üzerinde kalacağını siz tahmin edin. Belkide yıllarca. Network üzerindeki cihazlarda doğal olarak üzerindeki konfigürasyona göre çalıştığından milyon dolar verilip alınan cihaz networkün ortasına oturmuştur ancak eksik-yanlış konfigürasyon nedeniyle sadece gelene geç diyordur. Bu gibi durumları önlemek için güvenlik konfigürasyonları değiştiğinde mail atması gibi bir uygulama yapılabileceği gibi 3 ayda bir kez güvenlik konfigürasyonlarının (ACL ler, FW izinleri, cihazlara erişim yetkisi olan kullanıcılar, cihazlara erişim izni olan IP numaraları, şifreler, snmp comminity nameler, mirror tanımlı port olup olmadığı, çalışan konfigürasyon ile kayıtlı konfigürasyon arasındaki farklar) prosedürüne göre gözden geçirilmesi ve bunun periyodik olarak devam etmesi gerektiğini düşünüyorum.
7-Önemli sistemlerde L3 cihazlarda (IPye göre iş yapan cihazlarda) bulunan netflow trafiğinin kaydedilmesi, belki bu netflow trafiği üzerinden canlı alarmlar üretilerek olaylara anında müdahale edilmesi bile sağlanabilecektir.
Yukarıdaki önlemlerin, teknolojinin gelişimine paralel olarak sistemin kritiklik seviyesine, güvenlik için ayrılan-harcanan paraya, güvenlik için çalıştırılacak personele ve kalitesine bağlı olarak değişiklik göstereceği değerlendirilmektedir.
Cihazlar Üzerinden Geçen Trafiğin Güvenliği
Milyon dolarlar harcanıp alınan ve networke yerleştirilen aktif ağ cihazları, Firewall, IPS, IDS, ve diğer cihazlar, trafiğin geçtiği yol üzerine en kritik yerlere yerleştirilsede bu cihazların işlevlerini yerine getirebilmesi cihazlar üzerindeki konfigürasyonların doğruluğuna ve ne kadar iyi yapıldığına bağlıdır.
Network cihazının üzerinden geçen trafiğin güvenliği ile ilgili olarak alınabilecek önlemler aşağıya çıkarılmaya çalışılmıştır.
1-Ağ topolojisinin, ağdan iletilen paket trafiği açısından güvenlik riski oluşturduğunun anlaşılması durumunda topolojinin değiştirilmesi,
3-Bilgisayar sayısı fazla değil ve mobil kullanıcılar azsa her switch portunda kullanılacak MAC adreslerinin kilitlenmesi, (her ne kadar MAC adresi kolay şekilde değiştirilsede buda bir güvenlik kademesi olarak değerlendirilebilir.)
4-Aynı subnet içindeki iletişim MAC adresine göre yapıldığından IP bazlı kısıtlamaya tabi tutulamaz. Birbiri ile görüşmesi istenmeyen bilgisayar-cihazlar farklı IP bloklarına alınmalı ve L3 cihaz üzerinden ACL (Access Control Liste) ile yada trafiğin geçtiği network üzerinde Firewall varsa onun üzerinden kısıtlama yapılmalıdır.
5-Aynı subnet içinde bulunan bilgisayarların Gatewaya ve diğer bilgisayarlara arp saldırısı ile araya girip dinleme yapmasını engellemek için network cihazları üzerinde MAC adresi yenilenmesi, gateway MAC adresinin değişmiş gibi gösterildiği durumlarda network cihazının alarm üretmesi veya tüm trafiği kesmesi sağlanmalıdır.
6-Canlı network üzerinde bulunan cihazlardaki konfigürasyon, özellikle güvenlik konfigürasyonu değiştirildiğinde genelde cihazın çalışmasına etkisi olmadığından fark edilmez. Bazı çalışmalar sırasında güvenlik konfigürasyonu geçici olarak kaldırıldığı halde sonra unutulur. Geçici olarak izin verilen erişim izinleri kalabilir. Yada şifresi bir şekilde ele geçirilip güvenlik konfigürasyonunu değiştirilirse bu konfigürasyonun ne kadar o cihaz üzerinde kalacağını siz tahmin edin. Belkide yıllarca. Network üzerindeki cihazlarda doğal olarak üzerindeki konfigürasyona göre çalıştığından milyon dolar verilip alınan cihaz networkün ortasına oturmuştur ancak eksik-yanlış konfigürasyon nedeniyle sadece gelene geç diyordur. Bu gibi durumları önlemek için güvenlik konfigürasyonları değiştiğinde mail atması gibi bir uygulama yapılabileceği gibi 3 ayda bir kez güvenlik konfigürasyonlarının (ACL ler, FW izinleri, cihazlara erişim yetkisi olan kullanıcılar, cihazlara erişim izni olan IP numaraları, şifreler, snmp comminity nameler, mirror tanımlı port olup olmadığı, çalışan konfigürasyon ile kayıtlı konfigürasyon arasındaki farklar) prosedürüne göre gözden geçirilmesi ve bunun periyodik olarak devam etmesi gerektiğini düşünüyorum.
7-Önemli sistemlerde L3 cihazlarda (IPye göre iş yapan cihazlarda) bulunan netflow trafiğinin kaydedilmesi, belki bu netflow trafiği üzerinden canlı alarmlar üretilerek olaylara anında müdahale edilmesi bile sağlanabilecektir.
Yukarıdaki önlemlerin, teknolojinin gelişimine paralel olarak sistemin kritiklik seviyesine, güvenlik için ayrılan-harcanan paraya, güvenlik için çalıştırılacak personele ve kalitesine bağlı olarak değişiklik göstereceği değerlendirilmektedir.
