Upload
trinhxuyen
View
236
Download
4
Embed Size (px)
Citation preview
BİLİŞİM VE BİLGİ GÜVENLİĞİ İLERİ TEKNOLOJİLER ARAŞTIRMA MERKEZİ
AĞ MİMARİSİ GÜVENLİĞİ KILAVUZU
2015 TÜBİTAK BİLGEM Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi
P.K. 74, 41470 Gebze / KOCAELİ Tel: (0262) 648 10 00, Faks: (0262) 648 11 00
www.bilgem.tubitak.gov.tr
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
2 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
DOKÜMAN ONAY BİLGİLERİ
Adı Soyadı Görevi Tarih İmza
Hazırlayan(lar)
Kontrol Eden(ler)
Onaylayan(lar)
DEĞİŞİKLİK KAYITLARI
Revizyon No
Revizyon Tarihi
Revizyon Nedeni Hazırlayan(lar)
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
3 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
İÇİNDEKİLER
Kısaltmalar .........................................................................................................................5 Semboller ...........................................................................................................................6
Şekiller ...............................................................................................................................7 1. GİRİŞ ..............................................................................................................................8
1.1 Bilgi Güvenliği Kapısı’nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler .......................8 1.2 Amaç ve Kapsam .........................................................................................................9 1.3 Hedeflenen Kitle ...........................................................................................................9
2. GENEL AĞ MİMARİSİ ELEMANLARI .......................................................................... 10
2.1 Anahtarlama Cihazı .................................................................................................... 10
2.1.1 VLAN ....................................................................................................................... 10 2.1.2 Anahtarlama Cihazlarında Kimlik Doğrulama .......................................................... 11 2.1.3 Anahtarlama Cihazlarında Erişim Kontrolü ............................................................. 11 2.1.4 Olay Kayıtları ........................................................................................................... 12 2.1.5 Servis Güvenliği ...................................................................................................... 12
2.1.6 Yedekli Yapıda Anahtarlama Cihazı Kullanımı ........................................................ 13
2.2 Yönlendiriciler............................................................................................................. 13 2.2.1 Yedekli Yapıda Yönlendirici Kullanımı ..................................................................... 14 2.3 Güvenlik Duvarları ...................................................................................................... 14
2.3.1 Web Uygulamaları Güvenlik Duvarı (WAF) ............................................................. 16
2.3.2 Veritabanı Güvenlik Duvarı (WAF) .......................................................................... 16
2.4 Saldırı Tespit Sistemleri ............................................................................................. 16 2.5 Saldırı Engelleme Sistemleri ...................................................................................... 17
2.6 VPN Cihazı (Virtual Private Network – Sanal Özel Ağ) .............................................. 18 2.7 İçerik Kontrolcüleri ...................................................................................................... 19 2.8 Kablosuz Ağ Ürünleri ................................................................................................. 20
2.8.1 Erişim Noktaları (Access Point / Wireless Access Point) ........................................ 21 2.9 Ağ Yönetim İzleme / Dinleme Ürünleri ....................................................................... 23
2.10 Antivirüs Uygulamaları ............................................................................................. 23 2.11 Diyotlar ..................................................................................................................... 24 2.12 Sanal Hava Boşluğu (Air Gap) ................................................................................. 25 2.13 Vekil Sunucular (Proxy) ............................................................................................ 26
2.14 Donanım Güvenlik Modülü (HSM) ............................................................................ 26 2.15 Yük Dengeleyici ....................................................................................................... 27
2.16 Ağ Erişim Kontrolü (NAC) ........................................................................................ 27 2.17 Veri Sızıntısı Önleme Sistemleri (DLP) .................................................................... 28 2.17.1 Ağ Tabanlı DLP Sistemleri .................................................................................... 28 2.17.2 Sunucu Tabanlı DLP Sistemleri ............................................................................ 29 2.18 Diğer Sunucu ve İstemciler ...................................................................................... 29
3. AĞ TASARIM PRENSİPLERİ ....................................................................................... 31 3.1 Diğer Sunucu ve İstemciler ........................................................................................ 31 3.1.1 DMZ (De-Militarized Zone) ...................................................................................... 31 3.1.2 Güvenli Ağ Segmenti .............................................................................................. 32 3.1.3 Özel Ağ Segmenti ................................................................................................... 32
3.2 Politikaların Belirlenmesi ............................................................................................ 32 3.2.1 Erişim Politikaları ..................................................................................................... 32
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
4 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
3.2.2 Zamana Bağlı Kullanım Politikası ............................................................................ 33
3.3 Derinlemesine Güvenlik ............................................................................................. 33 3.4 Yeterli Güvenlik .......................................................................................................... 33
4. ÖRNEK AĞ MİMARİ MODELLERİ ............................................................................... 34 4.1 Ağ Modellerinde Sanal Yerel Alan Ağ (VLAN) Kullanımı ............................................ 34 4.2 Tek Yönlendirici ile Gerçeklenmiş Ağ Mimarisi Modeli ............................................... 35
4.3 Tek Güvenlik Duvarı ile Gerçeklenmiş Ağ Mimarisi Modeli ........................................ 35 4.3.1 DMZ Olmaksızın Gerçeklenebilecek Ağ Mimarisi Modeli ........................................ 35 4.3.2 İki veya Daha Fazla DMZ Bölgesine Ayrılmış Ağ Mimarisi Modeli .......................... 37 4.4 İki veya Daha Fazla Güvenlik Duvarı Kullanılarak Gerçeklenmiş Ağ Mimarisi Modeli 38
4.5 Saldırı Tespit Sistemlerinin Ağ Mimari Modellerinde Konumlandırılması ................... 39 4.6 Saldırı Engelleme Sistemlerinin Ağ Mimari Modellerinde Konumlandırılması ............ 41 4.7 Sanal Özel Ağ Cihazlarının Ağ Mimari Modellerinde Konumlandırılması ................... 42
4.8 Sanal Özel Ağ Cihazlarının Ağ Mimari Modellerinde Konumlandırılması ................... 43 4.9 Diyotun Ağ Mimari Modellerinde Konumlandırılması .................................................. 43 4.10 Sanal Hava Boşluğu Sistemlerinin Ağ Mimari Modellerinde Konumlandırılması ...... 44 4.11 Vekil Sunucuların Ağ Mimari Modellerinde Konumlandırılması ................................ 45
4.12 Yük Dengeleyicinin Ağ Mimari Modellerinde Konumlandırılması ............................. 45 4.13 Ağ Erişim Kontrolü Sistemlerinin Ağ Mimari Modellerinde Konumlandırılması ......... 46
4.14 Veri Sızıntısı Önleme Sistemlerinin Ağ Mimari Modellerinde Konumlandırılması .... 46 4.15 Çok Sayıda Güvenlik Cihazı İçeren Bir Mimari Model .............................................. 47
KAYNAKÇA ......................................................................................................................... 49
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
5 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Kısaltmalar
AAA : Authentication, Authorization, Accounting
ACL : Access Control List
AES : Advanced Encryption Standart
AH : Authentication Header
BIOS : Basic Input / Output System
CAST : Bir blok şifreleme algoritması (block cipher),
Kısaltma Carlisle Adams, Stafford Tavares in ilk
harflerinden oluşmaktadır.
DES : Data Encryption Standart
DHCP : Dynamic Host Control Protocol
DMZ : Demilitarized Zone / Demarcation Zone
DNS : Domain Name Server
DoS : Denial of Service
EAP-TLS :
Extensible Authentication Protocol -Transport Layer
Security
ESP : Encapsulating Security Payload
FTP : File Transfer Protocol
GAŞ : Geniş Alan Şebekesi
Gbps : Giga bit per second
HTTP : Hypertext Transfer Protocol
ICMP : Internet Control Message Protocol
IDEA : International Data Encryption Algorithm
IDS : Intrusion Detection System
IEEE : Institute of Electrical and Electronics Engineers
IKE : Internet Key Exchange
IPS : Intrusion Prevention System
IPSec : Internet Prtocol Security
ISDN : Integrated Services for Digital Networks
L2TP : Layer 2 Tunneling Protocol
MAC : Media Access Control
Mbps : Mega bit per second
NTP : Network Time Protocol
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
6 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
OSI : Open System Interconnection
PEAP : Protected Extensible Authentication Protocol
POP3 : Post Office Protocol 3
PPTP : Point to Point Tunneling Protocol
RADIUS : Remote Authentication Dial In User Service
SHA - 1 : Secure Hash Algorithm 1
SMTP : Sent Mail Transfer Protocol
SNMP : Simple Network Management Protocol
SSH : Secure Shell
SSL : Secure Socket Layer
TCP : Transport Control Protocol
TFTP : Trivial File Transfer Protocol
TKIP : Temporal Key Integrity Protocol
UDP : User Datagram Protocol
VLAN : Virtual Local Area Network
WEP : Wired Equivalent Privacy
WLAN : Wireless Local Area Network
WMAN : Wireless Metropolitan Area Network
WPA : Wireless Protected Access
WPAN : Wireless Personal Area Network
WPA - PSK Wireless Protected Access-PreShared Key
Semboller
koyu : İngilizce terimleri belirtmek için kullanılır.
komut : Kod parçalarını ve betikleri belirtmek için kullanılır
Koyu altı çizili : Vurgu yapmak içindir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
7 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Şekiller
Şekil 1 Basit Anlamda İç Ağ, DMZ ve dış ağ gösterimi .................................................................... 15
Şekil 2 Kablosuz Ağ Teknolojileri .................................................................................................... 21
Şekil 3 VLAN Kullanımı ile gerçekleşmiş ağ mimarisi modeli .......................................................... 34
Şekil 4 Tek yönlendirici ile gerçeklenmiş ağ mimarisi modeli........................................................... 35
Şekil 5 Tek Güvenlik Duvarı ile Gerçeklenmiş Bir Ağ Mimarisi Modeli ............................................. 35
Şekil 6: Bir Güvenlik Duvarı ile İki Ağ Segmentine Ayrılmış Bir Ağ Mimari Modeli ........................... 37
Şekil 7 Ardışık bağlı iki güvenlik duvarı ile gerçeklenmiş bir ağ modeli ............................................ 38
Şekil 8 Saldırı Tespit Sistemlerinin Ağ Mimarisindeki Yeri ............................................................... 39
Şekil 9 Çok noktadan dinleme Yapan bir saldırı tespit sistemi ......................................................... 40
Şekil 10 Saldırı engelleme sistemlerinin ağ mimarisindeki yeri 1 ..................................................... 41
Şekil 11 Saldırı engelleme sistemlerinin ağ mimarisindeki yeri 2 ..................................................... 41
Şekil 12 VPN cihazlarının iç ağ segmentinde kullanılması .............................................................. 42
Şekil 13 VPN cihazlarının güvenlik duvarı dışında kullanılması ....................................................... 42
Şekil 14 İçerik kontrolcüsünün ağ mimarisindeki yeri ...................................................................... 43
Şekil 15 Güvensiz ağdan güvenli ağa tek yönlü bilgi aktarımını içeren ağ mimarisi ......................... 44
Şekil 16 Sanal hava boşluğu sistemlerinin ağ mimarisindeki yeri .................................................... 44
Şekil 17 Vekil sunucuların ağ mimarisindeki yeri ............................................................................. 45
Şekil 18 Yük dengeleyicinin ağ mimarisindeki yeri .......................................................................... 45
Şekil 19 Ağ Erişim kontrolü sistemlerinin ağ mimarisindeki yeri ...................................................... 46
Şekil 20 Veri sızıntısı önleme sistemlerinin ağ mimarisindeki yeri ................................................... 47
Şekil 21 Çok sayıda güvenlik cihazı içeren bir mimari model .......................................................... 48
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
8 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
1. GİRİŞ
1.1 Bilgi Güvenliği Kapısı’nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler
Bilgi Güvenliği Kapısı (www.bilgiguvenligi.gov.tr) web sitesi ve bu sitede yer alan kılavuzlar; ilk
olarak “Ulusal Bilgi Sistemleri Güvenlik Projesi” kapsamında hazırlanmıştır. Daha sonra Kalkınma
Bakanlığı’nın 2012 bütçesinden desteklenen “Kamu Bilgi Sistemleri Güvenliği Programı”
kapsamında, Bilgi Güvenliği Kapısı web sitesinin siber güvenlik bilgi bankasına dönüşmesi ve siber
güvenliğin farklı alanlarında Türkçe içerik oluşturma hedefiyle güncellenmiştir. Bu süreç içinde
ihtiyaç doğrultusunda yeni kılavuzlar da oluşturulmuş, kullanıcıların siber güvenlik bilincini arttırmak
hedefiyle daha interaktif görsel materyalle desteklenmiş e-öğrenme formatında içerik eklenerek, bilgi
bankası zenginleştirilmiştir.
Kılavuzlar siber güvenliğin hem teknik hem de teknik olmayan alanlarında bilgi aktarımı hedefiyle
hazırlanmıştır. İçerikte; bazen bir servisin, bir işletim sisteminin ya da bir protokolün güvenlik
yapılandırmasının gerçekleştirilmesi amacıyla verilen bilgilerin yanı sıra, siber güvenliğin bir bütün
olarak görülmesi ve yönetilmesi ihtiyacından yola çıkarak yönetimsel kontrollere ait bilgiler de yer
almaktadır. Diğer taraftan kılavuzlarda bilgiye ek olarak gerektiğinde tecrübelere de yer verilmiştir.
Kılavuzların daha hızlı okunabilmesi ve etkili kullanılabilmesi için önemli komutlar ya da hap
niteliğinde olan özet bilgiler farklı formatta sunulmuştur. Bu sayede sistem, ağ, etki alanı vs.
yöneticileri, son kullanıcılar, bilgi güvenliği yönetim sistemi yürütücüleri ya da yöneticiler tarafından
başucu referansı olarak kullanılması hedeflenmiştir.
Bu dokümanda ticari markalara ismen yer verilmiş olabilir. Bu markalar ve ürünler tamamen özgün
sahiplerine aittir. Kılavuzlarda sunulan bilgi, tecrübe, uygulama ve komutlar tamamen tavsiye
niteliğinde olup en yoğun kullanılan ürün, sistem, servis ya da protokoller göz önünde
bulundurularak hazırlanmıştır. Bu nedenle verilen komut, bilgi ya da tecrübe değişik
ürünler/yapılandırmalar için farklılık gösterebilir.
TÜBİTAK BİLGEM kılavuzlarda verilen bilgi ve bu bilgiye bağlı olarak sunulan yöntemler ya da
uygulamalardan doğabilecek zararlardan sorumlu değildir. Bu doküman TÜBİTAK BİLGEM’in izni
olmadan değiştirilemez, ticari getiri elde etmek amacıyla basılamaz, çoğaltılamaz, dağıtılamaz.
Güncelleme, ekleme ya da düzeltme taleplerinizi [email protected] e-posta adresine
gönderebilirsiniz.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
9 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
1.2 Amaç ve Kapsam
Bu kılavuz; bir ağın tasarımı, iyileştirilmesi, genişletilmesi aşamalarında sistem ve güvenlik
uzmanlarına rehberlik etmesi amacı ile hazırlanmıştır. Bu dokümanda öncelikle ağ mimarisinde
yaygın olarak kullanılan teknoloji ve bileşenlere değinilmiştir. Bu bileşenler özellikle güvenlik
açısından değerlendirilmiş ve detaylandırılmıştır. Üçüncü bölümde güvenli ağ tasarım prensipleri
açıklanmış, dördüncü bölümde ise farklı amaçlar için gerçeklenebilecek ağ mimari modelleri
örneklendirilmiştir.
1.3 Hedeflenen Kitle
Bu dokümandan ağ yöneticileri, ağ güvenlik yöneticileri, ağ tasarımcıları faydalanabilirler.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
10 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
2. GENEL AĞ MİMARİSİ ELEMANLARI
2.1 Anahtarlama Cihazı
Anahtarlama cihazları, yerel alan ağlarında temel iletişimi sağlayan cihazlardır. Geleneksel
anahtarlama cihazı tanımında OSI (Open System Interconnection) referans modelinde ikinci (veri
iletim katmanı) katmanda çalışırlar. Günümüzde ikinci, üçüncü, dördüncü hatta uygulama katmanı
olan yedinci katmana kadar çalışan anahtarlama cihazları mevcuttur.
Anahtarlama cihazları 10 Mbps-10 Gbps aralığında bir ara yüze sahip olabilirler. Günümüzde
anahtarlama cihazları 10/100/1000 Mbps olanlar yaygın olarak kullanılmaktadır. 1000 Mbps ve 10
Gbps olanlar genellikle omurga bağlantılarında kullanılırlar. Bu arayüzlerden 1 Gbps’e kadar olanlar
hem bakır hem fiber, 10 Gbps olanlar ise fiber olabilir. Bakır veya fiber olmasını etkileyen unsurlar;
anahtarlama cihazları arası mesafe, ortam gürültüsü ve güvenliktir. Uzak mesafelere gidilmek
istendiğinde fiber bağlantı zorunlu hale gelir. Bakır kabloya fiziksel müdahale edilerek üzerinden
geçen trafiğin dinlenebilmesi fiber kabloya müdahale edilerek trafiğin dinlenmesinden daha kolaydır.
Böyle bir olayın tespiti de çok daha zordur.
Ağın tamamı tek bir merkezden yönetilmek istendiğinde modüler anahtarlar alınarak istenilen sayıda
kullanıcı desteklenebilir. Bu yapı izlenebilirlik, güvenlik, ölçeklenebilirlik ve yedeklilik sağlar.
Anahtarlama cihazları birçok güvenlik mekanizmasını da bünyesinde barındırmaktadır. Bunlardan
en çok kullanılanlar: VLAN, kimlik doğrulama, port güvenliği, olay kayıtları, servis güvenliği, port
yönlendirme, bazı servislere erişim denetimi ve güvenli yönetimdir.
2.1.1 VLAN
VLAN sanal yerel alan ağı (Virtual Local Area Network) olarak bilinir. İsminden de anlaşılacağı üzere
fiziksel olarak aynı anahtarlama cihazına bağlı olmasına rağmen iki veya daha fazla ağın birbirinden
yalıtımı için geliştirilmiş bir yapıdır. Farklı VLAN’larda bulunan ağlar birbirleri ile ancak bir
yönlendirme ile haberleşebilirler. Anahtar ilk alındığında üzerinde VLAN1 bulunur ve anahtar
üzerindeki tüm portlar bu VLAN’a üyedir. Sisteme yeni bir anahtarlama cihazı bağlandığı takdirde
varsayılan VLAN da (VLAN1) çalışacaktır. Sistemde VLAN1 de çalışan bilgisayarlara erişimi
mümkün olacaktır. Güvenliğin artırılması için anahtar üzerinde kullanılan portlar, kullanım
amaçlarına göre farklı VLAN’lar yaratılarak onların üzerine alınmalıdır.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
11 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
CDP, PAgP ve VTP gibi birçok L2 protokol trunk hattında varsayılan olarak VLAN1 üzerinde çalıştığı
için yönetim trafiği için VLAN 1 yerine başka ve dedike bir VLAN üzerine alınmalıdır. Böylece
kullanıcı ve diğer protokol trafiklerinde ayrımı gerçekleştirilmelidir. Ayrıca bütün trunk portları
üzerinden ve ihtiyacı olmayan erişim portlarından VLAN 1 budanmalıdır.
2.1.2 Anahtarlama Cihazlarında Kimlik Doğrulama
Bilgi sistemlerinde kimlik doğrulama, iddia edilen kimliğin geçerli olup olmadığının doğrulanması
veya test edilmesidir [3]. Anahtarlama cihazında kimlik doğrulama; cihaza yönetimsel veya
denetimsel erişim söz konusu olduğu zaman kişinin doğru kişi olup olmadığının kontrolüdür.
Anahtarlama cihazına yönetimsel bir bağlantı kurulmak istendiğinde, yönetim için parola ile bir
yönetici kimlik doğrulaması gerçekleştirilir. Yönetim, cihaza fiziksel erişim ile (konsol bağlantısı ile)
yapılabildiği gibi, uzaktan da (telnet, web, ssl, ssh üzerinden, yönetim yazılımı veya snmp ile)
yapılabilir. Bu noktada yönetimin nasıl gerçekleştirileceğini kurum politikası belirler. Yani politika
gereği uzaktan yönetim, yapılandırma ile engellenmiş olabilir. Tüm durumlarda yönetim için bir kimlik
doğrulama işlemi gerçekleştirilmelidir. Anahtarlama cihazı böyle bir özelliği destekliyorsa, yönetim
parolaları cihaz üzerinde açık olarak saklanmamalı, özet bilgileri saklanmalıdır.
2.1.3 Anahtarlama Cihazlarında Erişim Kontrolü
Anahtarlama cihazı üzerine bağlanmış ağ elemanlarının gerek ağa gerekse anahtarlama
cihazına erişimi denetlenebilir. Bunun için “Port Güvenliği” veya “Erişim Kontrol Listeleri (ACL-
Access Control List)” kullanılmalıdır.
Erişim Kontrol Listeleri, bilgi teknolojilerinde belli kaynakların kullanımının yetkili kişilerle
sınırlandırılması maksadıyla kullanılan bir teknolojidir. Anahtarlama cihazlarında da belirlenen bir
kaynak adresin bir hedef adrese erişimini kontrol etmek maksadıyla erişim kontrol listeleri
kullanılmaktadır.
Basit ve genişletilmiş olmak üzere iki tipte Erişim Kontrol Listesi mevcuttur. Basit Erişim Kontrol
Listesinde sadece kaynak adres kullanılırken, genişletilmiş Erişim Kontrol Listesinde hem kaynak
hem hedef adres kullanılmakta ayrıca protokol tipi (tcp, udp, icmp) ve port bilgisi hususunda
kısıtlamalar yapılabilmektedir.
802.1x, IEEE (Institute of Electrical and Electronics Engineers) port tabanlı ağ erişim standardıdır.
Bu standartta üç unsur vardır, istemci (supplicant), doğrulayıcı (authenticator) ve doğrulama
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
12 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
sunucusu (Authentication Server/RADIUS- Remote Authentication Dial In User Service).
Doğrulayıcının görevi bir portu için 802.1x uygulanacaksa o portta bir erişim isteği sezince
istemciden alacağı paketi sunucuya iletmek, sunucudan gelecek cevap doğrultusunda erişime izin
vermek veya erişimi engellemek olacaktır. Bu yapıda anahtarlama cihazının rolü doğrulayıcıdır
(authenticator).
Anahtarlama cihazının marka ve modeline göre değişmekle birlikte, genel olarak; ağ cihazlarının
fiziksel adresleri (MAC-Media Access Control) temel alınarak anahtarlama cihazının bir portundan
paketin geçmesine izin verilir veya verilmez. Anahtarlama cihazının bir portunda “MAC
kilitleme”(MAC Locking) ile sadece istenilen MAC adreslerine sahip cihazlarının erişimine müsaade
edilebilir.
2.1.4 Olay Kayıtları
İzlenilebilirliğin temel taşı olan olay kayıtları, anahtarlama cihazı tarafından oluşturulan, gerek kendi
üzerinde kaydedilen gerekse başka bir noktaya gönderilen önceden tanımlı olayların meydana
gelmesi durumunda oluşturulan verilerdir. Olay kaydı tutan veya gönderen bir anahtarlama cihaz için
geçmişe yönelik izlenebilirlik söz konusudur.
Burada kritik olan nokta cihaz kayıt kapasitesidir, uygulamada genellikle anahtarlama cihazının
olay kayıtlarını başka bir cihaza (bir kayıt sunucusu gibi) göndermesi beklenir. Olay kayıtlarının
başka bir kayıt sunucusunda tutulması cihazın bir şekilde deve dışı kalması, ele geçirilmesi ya da
kilitlenmesi durumunda sonradan olayların izlenebilmesini sağlamaktır.
İzlenebilirliğin sağlıklı ve tutarlı bir şekilde sağlanabilmesi için cihaz saatinin doğru olması beklenir.
Bazı cihazlarda tarih/saat bilgisi cihaz üzerinde tanımlı saat aracılığı ile yapılırken bazı cihazlar da
ise NTP (Network Time Protocol) ile tarih saat bilgisi merkezi bir sunucudan alınır. Bu da sistemdeki
tüm cihazların saat bilgilerinin aynı olmasını ve onlardan gelen kayıtların doğru bir şekilde
değerlendirilmesini sağlar.
2.1.5 Servis Güvenliği
Anahtarlama cihazı üzerinde kullanılmayan servislerin kapatılması gereklidir. Saldırgan açısından
güvenli konfigüre edilmemiş bir servis açık bir kapı olabilir. Örneğin: yönetim için web tabanlı bir
arayüz kullanılmayacaksa anahtarlama cihazında bu servis (http servisi) kapatılmalıdır. Var olan
ağda disksiz iş istasyonları kullanılmıyorsa veya DHCP aktarımı (DHCP relay) söz konusu
değilse bootp servisi de kapatılmalıdır. Anahtarlama cihazı tarih saat bilgisi elle girilmiş ve başka
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
13 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
kişiler ve cihazlar tarafından değiştirilmemesi isteniyorsa NTP servisi de kapatılmalıdır. Anahtarlama
cihazı üzerinden etki alanı isim servisi (DNS-Domain Name Service) verilmeyecekse bu servis da
kapatılmalıdır. Genel kural olarak şu düşünülebilir; kullanılmayan servis kontrol dışıdır, yönetimde
gözden kaçabilir, bu sebeple kullanılmayan servisler kapatılmalıdır. Bir servis kullanılıyorsa güvenliği
sağlanmalı (http yerine https, telnet yerine SSH kullanımı gibi), güvenliği sağlanamıyorsa (kullanılan
cihazın desteklemediği durumlarla karşılaşılabilir) bu eksikliğin farkındalığı sağlanmalıdır.
2.1.6 Yedekli Yapıda Anahtarlama Cihazı Kullanımı
Gerek performans gerekse güvenlik açısından anahtarlama cihazları yedekli yapıda
çalışabilmektedir. En temel anlamda anahtarlama cihazları Aktif-Aktif (aynı anda her iki anahtarlama
cihazının çalışması, yükün paylaşımı) veya Aktif-Pasif (aynı anda sadece bir anahtarlama cihazının
çalışması diğerinin beklemede kaldığı çalışma şekli) olarak çalışırlar. Burada anahtarlama cihazının
yedekli yapıda çalışması erişebilirlik/kullanılabilirlik anlamında bir güvenlik önlemi olarak
değerlendirilmelidir. Hem Aktif-Aktif hem de Aktif-Pasif çalışma şeklinde bir cihaz çalışmaz hale
gelmesi durumunda çalışır durumdaki cihaz tüm trafik yükünü kendi üzerine alır.
2.2 Yönlendiriciler
Yönlendirici, iletişim altyapısı güvenliği mimarisinin en dışında bulunan varlıktır. Bu yüzden saldırıya
uğrama olasılığı en fazla olan iletişim altyapısı güvenliği elemanıdır. Yönlendirici öncelikle kendini,
daha sonra da ağ servislerini korumalıdır. Bir yönlendirici üzerinde aşağıdaki güvenlik önlemleri
alınmalıdır.
Kimlik doğrulaması yönlendiriciye yapılan erişimleri kontrol altına almayı amaçlamaktadır. Bu
mekanizma ile sadece yetkili kişiler yönlendiriciye erişebilirler.
Yönlendiricilerin üzerinde yetkilendirme mekanizması bulunmaktadır. Genellikle birden çok kullanıcı
profili tanımlanarak bunların her birine değişik yetkiler verilebilir. Bu kullanıcılara üçüncü parti bir
AAA sunucu üzerinde de yetkilendirme yapılabilir. Erişim kontrolü yönlendiriciye ya da ağa yapılan
erişimlerin filtrelenerek kontrol altına alınmasını sağlamaktadır. Erişim kontrol listeleri ile yönlendirici
üzerindeki servislere yapılan erişimler de kontrol altına alınabilir. Bu da yönlendiricinin sadece
önceden belirlenmiş kişiler tarafından yönetilmesini sağlar.
Yönlendiriciler uzaktan yönetim servislerini desteklemektedir. Telnet, SSH, SNMP gibi yönetim
ve uzaktan erişim mekanizmaları ile yönlendiriciye erişilerek yönetim işlemleri yapılmaktadır. Bu
yönetimlerde erişim kontrol listeleri ya da AAA sunumcularla güvenlik sağlanmaktadır.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
14 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Yönlendiriciler kendi üzerinde çalışan telnet, HTTP, DNS, TFTP, finger vb... servisleri de kontrol
edebilirler.
Yönlendiriciler, üzerindeki önemli olayların kayıtlarını kendi üzerlerinde ya da sistemde bulunan bir
kayıt sunucuda tutabilir. Bu güvenlik mekanizması ile yönlendirici üzerinde meydana gelen önemli
olayların nedenleri ve kim tarafından yapıldığı tespit edilebilir.
Yönlendiriciler temel güvenlik kontrolleri dışında üzerlerine ilave edilen yazılımlarla güvenlik duvarı
ya da saldırı tespit sistemi gibi gelişmiş güvenlik özelliklerini de kendi bünyelerinde barındırabilirler.
Bu ek güvenlik özellikleri yönlendiriciye sınırlı güvenlik özellikleri kazandırmakla birlikte performansın
önemli oranda düşmesine sebep olmaktadır.
Yönlendirici güvenliği ile ilgili daha detaylı bilgi için UEKAE BGT-2003 Yönlendirici Güvenliği
Kılavuzu Dokümanı incelenebilir.
2.2.1 Yedekli Yapıda Yönlendirici Kullanımı
Anahtarlama cihazlarında olduğu gibi yönlendiricilerde de yedekli yapı söz konusudur, özellikle
servis kesintisinin çok kritik olarak değerlendirildiği sistemlerde farklı servis sağlayıcılardan kimi
zaman farklı teknolojiler kullanılarak (ISDN, Frame Relay, Kablosuz iletişim) dış dünyaya bağlantı
kesinti riski minimize edilebilir. Gerçek anlamda yedeklilik için üçüncü parti donanım ve yazılımlar
gereklidir. Bunun yanında yük paylaşımı manüel olarak farklı yönlendiricilere verilebilir ve olası bir
kesinti durumunda yine manüel olarak aktif olan yönlendirici kullanılacak şekilde yapılandırma
yapılabilir.
2.3 Güvenlik Duvarları
Güvenlik duvarının temel görevi ağ trafiğini kontrol altına almaktır. Bu noktada bazı tanımlamalar
yapmakta fayda var. Basit anlamda aşağıdaki şekil iç ağ, DMZ (Demilitarized Zone / Demarcation
Zone) ağı ve dış ağ kavramlarını özetlemektedir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
15 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Şekil 1 Basit Anlamda İç Ağ, DMZ ve dış ağ gösterimi
İç ağ diğer bir deyişle güvenli ağ, güvenliği sağlanması gereken, dışarıya (internete veya dış
intranete) bir servis sunmayı hedeflemeyen cihazların bulunduğu ağdır.
DMZ ağı veya yarı güvenli ağ, gerek iç ağa gerekse dış dünyaya servis vermesi hedeflenen
sunucuların konumlandırıldığı, güvenlik önlemleri iç ağa nazaran daha az olan bölgedir. Genellikle
bu bölgede web sunucusu, uygulama sunucusu, e-posta sunucusu gibi sunucular konumlandırılır.
Dış ağ veya güvensiz ağ, tamamen kontrolsüz bölge olarak tanımlanabilir, genellikle internet veya
sistem yöneticisi kontrolünde olmayan ağ segmenti olarak karşımıza çıkar.
Bu çerçevede güvenlik duvarı, iç ağdan dış ağa giden ya da dış ağdan iç ağa gelen trafiği
kontrol ederek istenmeyen paketlerin ağa girmesini ve ağdan çıkmasını engeller. Ağ üzerinde ve
kendi üzerinde çalışan servisleri kontrol eder. Güvenlik duvarına takılmış olan Ethernet kartları
üzerinde farklı güvenlik özelliklerini etkinleştirerek farklı güvenlik seviyesine sahip ağlar oluşturur.
Ağda bulunan cihazlar ve kendisinin yönetimi için gerekli erişim kontrolünü sağlayarak ağın güvenli
bir şekilde erişim ve yönetimini sağlar. Kural tablosu ve servislere ilişkin önemli olayların kayıtlarını
kendi üzerinde ya da kayıt sunucuda tutarak ağa ait önemli olayların sonradan incelenebilmesini
sağlar. Ayrıca birçok ağ tabanlı saldırıyı engellerler, örneğin: bozuk paket saldırıları, sıfır boyutlu
paket saldırıları, standart dışı uzunluktaki paketlerle yapılabilecek servis sonlandırma saldırıları
güvenlik duvarında engellenebilir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
16 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Güvenlik duvarlarını yedekli yapıda kullanmak, sürekliliği sağlamak ve performansı arttırmak
açısından önemlidir. Aktif-Aktif ve Aktif-Pasif olmak üzere iki tür yedeklilik söz konusudur. Aktif-Aktif
çalışmada güvenlik duvarlarının her ikisi de aynı anda aktif olurlar ve ağdaki trafiği paylaşarak hem
performansı artırırlar hem de sürekliliği sağlarlar. Aktif-Pasif yapılandırmada ise güvenlik
duvarlarından biri çalışırken diğeri beklemede kalmaktadır. Beklemede kalan güvenlik duvarı çalışan
güvenlik duvarında sürekli olarak durum tablolarını ve geçerli oturum bilgilerini almaktadır. Çalışan
güvenlik duvarında olası arayüz sorunları veya servisinin sonlanması durumunda beklemede
bulunan güvenlik duvarı yükü üzerine alarak servis vermeye devam edecektir. Bu durumda
herhangi bir oturum kaybı olmaması beklenir. Aktif-Pasif yapı daha çok sürekliliği sağlamak için
kullanılır.
Güvenlik ve güvenilirliği arttırıcı önlem olarak birden fazla güvenlik duvarı art arda (kademeli olarak)
bağlamak daha iyi bir yöntem olarak değerlendirilmektedir. Art arda bağlanan güvenlik duvarlarının
farklı marka ve modellerde olması tavsiye edilmektedir. Her bir üründe o ürüne özgü olası
açıklığın/zayıflığın diğer güvenlik duvarında bulunması ihtimali düşük olan ürünler seçilmesinde
fayda vardır. Örneğin işletim sistemi farklı olan iki güvenlik duvarları tercihi işletim sistemine bağlı
doğabilecek zayıflıklar açısından kademeli bir mimariye artı bir güç kazandıracaktır.
2.3.1 Web Uygulamaları Güvenlik Duvarı (WAF)
Web uygulama ve servislerini Cross Site Scripting, SQL Injection, PHP Injection, Remote File
Include, Path Disclosure vb bir takım saldırılara karşı koruyan güvenlik duvarlarıdır. Fiziksel bir cihaz
veya uygulama, servis gibi yazılım tabanlı olabilirler. Bu ürünler kendilerini web sunucusu gibi
internet ortamına tanıtır ve tüm web istekleri üzerlerine alırlar. Paketlerin içeriği WAF üzerinde
güvenlik taramasından geçirilerek uygun olan trafikler arka plandaki gerçek web sunucusuna veya
uygulamasına gönderilir.
2.3.2 Veritabanı Güvenlik Duvarı (WAF)
Veritabanı güvenlik duvarları iç ve dış saldırıların veritabanına ulaşmasının önlenmesi için
veritabanlarına özel olarak tasarlanmış güvenlik duvarlarıdır. Veritabanı sorgularını kontrol eden bu
teknoloji ağ üzerinde yetkisiz sorgularını veritabanına ulaşmadan önce izler ve bloke eder.
Veritabanı üzerinde kullanıcı hareketlerinin izlenmesini sağlamaktadır. SQL enjeksiyon saldırıları,
uygulama atlamaları gibi veritabanına özel saldırıların önlenmesine yardımcı olur.
2.4 Saldırı Tespit Sistemleri
Saldırı tespit sistemlerinin temel amacı ağa yapılan saldırıları tespit edip kayıt altına almak ve sistem
yöneticisine gerekli uyarılarda bulunarak saldırıya karşı zamanında gerekli önlemlerin alınmasını ve
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
17 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
ağda meydana gelen olayların geriye doğru izinin sürülmesini sağlamaktır.. Bu uyarma mekanizması
olay kayıtları tutma, e-posta gönderme, çağrı bırakma, belli programları çalıştırma veya diğer
şekillerde olabilir. Saldırı tespit sistemleri en çok ağ tabanlı ve sunucu tabanlı olarak karşımıza
çıkmaktadır.
Ağ tabanlı saldırı tespit sistemleri ağa giren veya ağdan çıkan trafiği dinleyerek bir saldırı veya
sızma olup olmadığını tespit eder. Ağa bir hub, anahtarlama cihazı (port mirroring yapılandırması
gereklidir) veya ağ “tap” cihazı ile bağlanabilirler. Ağda en iyi konumlandırılacağı yer ağa ait tüm
trafiğin geçtiği yönlendirici ve güvenlik duvarının arasıdır. Böyle bir konumlandırmayla ağa giren ve
ağdan çıkan tüm trafik taranabilecektir. Genellikle bu cihazların bir IP adresi yoktur veya bu şekilde
yapılandırılması tavsiye edilir. Bu sayede saldırılara hedef olma riski azalacaktır.
Sunucu tabanlı saldırı tespit sistemleri ise ilgili sunucu üzerinde sitsem çağrılarını, uygulama
kayıtlarını (log dosyaları), dosya sistem değişiklikleri ile saldırıları tespit edebilirler. Bu tipteki saldırı
tespit sistemleri genellikle sunucu üzerine kurulu bir ajan yazılımı ile gerçeklenmektedir.
Saldırı tespit sistemleri sadece kendi veri tabanlarında kayıtlı olan davranışları saldırı olarak
değerlendirebilirler. Bir saldırı tespit sisteminin veri tabanının güncel olmaması yeni saldırıları tespit
edememesi anlamına gelecektir. Mümkünse çevrim içi olarak saldırı imzalarının güncel tutulması
değilse saldırı imzalarının sıklıkla kontrol edilip elle güncellenmesi gereklidir. Güvenlik forumları,
üretici firma e-posta listeleri yeni saldırılardan ve saldırı imzalarından haberdar olmak için en iyi
yöntemlerdendir.
2.5 Saldırı Engelleme Sistemleri
Gelişen teknoloji ile saldırıları tespit sistemlerinin saldırıyı veya sızmayı tespit etme
yetenekleri ve güvenlik duvarlarının gerçek zamanlı erişim kontrol yetenekleri birleştirildi ve
1990’ların sonlarında uygulama seviyesinde saldırı tespit ve bu saldırıyı önleme kapasitesinde
ürünler üretilmeye başlandı.
Çalışma mantığı bu iki teknolojinin birleşimi şeklindedir. Şöyle ki; saldırı veri tabanında
bulunan imzalar yardımı ile tespit edilir, akabinde güvenlik politikasına bağlı olarak oturum
sonlandırılabilir, ilgili paket düşürülebilir veya herhangi bir engelleme yapmaksızın haberleşmeye izin
verilebilir. Saldırı tespit sistemleri pasif, saldırı engelleme sistemleri ise aktif koruma sağlarlar.
Saldırı Engelleme Sisteminin ağda konumlandırıldığı yerin tayini önem arz etmektedir. Saldırı
engelleme sistemleri istenilen amaca göre ağda konumlandırılmalıdırlar. Yönlendirici ile güvenlik
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
18 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
duvarı arasına konumlandırılacak bir saldırı engelleme sistemi Güvenlik Duvarının maruz kaldığı ve
Güvenlik Duvarının engelleyebildiği saldırıları da (saldırıların veritabanında var olduğu
varsayılmıştır) engelleyecektir. Bu noktada Saldırı Engelleme Sistemi ve Güvenlik Duvarı
performansı karşılaştırılmalıdır. Aynı saldırıyı her iki cihazda engelleyebiliyorsa ve ağın performansı
iyileştirilmek amacıyla hızlı çalışan cihaz daha dışa konumlandırılmalıdır.
2.6 VPN Cihazı (Virtual Private Network – Sanal Özel Ağ)
VPN cihazları güvensiz ağlar üzerinde güvenli olarak haberleşmek için kullanılır. Bu
çerçevede VPN cihazları veriler üzerinde gizlilik, bütünlük, kimlik doğrulama ve inkar edememe
güvenlik hizmetlerini sağlar. Bu işlemlerde IPSec (Internet Protocol Security), PPTP (Point-to-Point
Tunneling Protocol), L2TP(Layer 2 Tunneling Protocol) gibi güvenlik protokollerini kullanır. Şifreleme
için DES, 3DES, IDEA, CAST-128, Blowfish, AES gibi algoritmaları, bütünlük kontrolü için de MD-5,
SHA-1 gibi özetleme algoritmalarını kullanır. VPN cihazları hem yazılım hem de donanım tabanlı
olabilir.
VPN cihazlarında PPTP, L2TP veya IPSec protokolleri kullanılmaktadır. VPN cihazları çoğunlukla
IPSec protokol ailesini kullanır [4]. IPSec, Intranet/Internet üzerinde güvenli haberleşmeyi sağlamak
için IETF (Internet Engineering Task Force) tarafından geliştirilmiş bir ağ güvenliği standardıdır.
IPSec protokolü tünel mod ve transport mod olmak üzere iki farklı modda çalışabilmektedir. Her iki
modun da kendine ait özellikleri ve avantajları bulunmaktadır. Tünel modda hem IP başlığı hem de
veri kısmı şifrelenir. Şifreli paketin kaynak ve hedef adresi, tünel başlangıç ve bitiş noktaları olarak
verilir. Genellikle VPN cihazından VPN cihazına gerçekleştirilen iletişimlerde kullanılır.
Transport modda ise sadece paketin veri kısmı şifrelenir. Orijinal paketin kaynak ve hedef adresleri
korunur. Genellikle istemci ile VPN arasında gerçekleştirilen iletişimlerde kullanılır ve tünel moda
göre paket işleme daha hızlıdır.
IPSec protokol ailesinde AH (Authentication Header), ESP (Encapsulation Security Payload) ve IKE
(Internet Key Exchange) protokolleri kullanılır.
AH: Kimlik doğrulama, bütünlük kontrolü, inkâr edememe ve tekrarlama ataklarını önleme işlemlerini
sağlar. Ancak, gizliliği yerine getirememektedir. AH protokolü, ESP protokolü tarafından
desteklenmeyen IP başlığını doğrulama işlemini de yerine getirmektedir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
19 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
ESP: ESP protokolü kimlik doğrulama, bütünlük kontrolü ve gizlilik işlemlerinin tamamını yerine
getirebilmektedir.
IKE: IKE protokolü IPsec protokol ailesinde kullanılan ve temel olarak Diffie-Hellman değişim
mekanizmasını kullanan bir protokoldür. IKE protokolünün 3 temel amacı vardır:
• Uç noktalar arası anahtar değişimi için bir çözüm sağlamak,
• Yeni güvenlik birliklerinin kurulmasını sağlamak,
• Önceden oluşturulmuş olan bağlantıları yönetmek
VPN cihazları ile ilgili daha detaylı bilgi için “VPN Güvenliği Kılavuzu Dokümanı” incelenebilir.
2.7 İçerik Kontrolcüleri
Dışarıdan ağa gelen saldırıların çoğu belli uygulamaların verileri içerisinde gelmektedir. İçerik
kontrolcüsü, verilerin içerisinde gelen bu zararlı içerikleri tespit ederek bu içeriklerin ağa girmesini
engellemektedir.
Zararlı içeriklerin engellenmesi yanında gelen verilerin içerisinde belli başlıkları, belli kelimeleri
veya konuları tespit ederek bu tür verilerin ağa girmesi engellenebilmektedir. Bu verileri filtreleme
işlemini doğal olarak belli protokoller için yapmaktadır. Bu protokoller HTTP, FTP, SMTP ve
POP3’tür. Bu protokollere ait veriler ya ağın tamamında ya da yukarıda belirtilen sunucular üzerinde
yapılabilir.
Ağ tabanlı bir içerik kontrolcüsü kullanımı, zararlı içeriğin hedeflenen bilgisayara ulaşmadan tespitini
ve gerekli müdahalenin yapılmasını sağlaması sebebiyle sunucular üzerinde alınacak önlemden
daha fazla bir güvenlik sağlarlar. Bunun yanında tüm trafiğin üzerinden geçtiği düşünülürse yüksek
performans sağlaması gereken cihazlardır. Yapılandırmasında her türlü kontrolün (anti virüs, http
filtreleme, ftp filtreleme, sıkıştırılmış dosyaların incelenmesi vs.) yapılması istendiğinde performans
iyice düşecektir. İçerik kontrolcü üzerinde yürütülecek politika belirlenirken tüm ağ elemanları
değerlendirilerek politikanın belirlenmesinde fayda vardır. Örneğin e-posta sunucusu üzerinde
kurulacak aynı marka model anti virüs yazılımı varsa, aynı virüs tanımlamaları ile içerik kontrolcüsü
üzerinde SMTP için virüs kontrolü yapmanın bir anlamı olmayacaktır. Aynı e-postanın aynı kriterlerle
iki defa kontrol edilmesi mantıklı değildir.
Günümüzde özellikle web sunucularındaki yükü azaltmak ve kullanıcıların bekleme süresini
düşürmek için web tasarımcıları tarafından aktif içerik konsepti geliştirilmiştir. Bu sayede
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
20 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
kullanıcıların bilgisayarlarına dinamik içerikli dosyalar (Java Applet ler, ActiveX kontroller)
indirilmektedir. Sıklıkla kullanılan dinamik içerikler birçok saldırının kaynağı olmaktadır. Bu içeriklerin
içerik kontrolcüsü tarafından filtrelenmesi mümkündür.
İçerik kontrolcüleri ağa bağlanma şekilleri üründen ürüne farklılık gösterebilmektedir. Köprü (bridge)
modda bağlanacak bir cihaz için üzerinden geçmeyecek trafik söz konusu değildir. Bununla birlikte
güvenlik duvarı duvarının bir bacağına bağlanacak içerik kontrolcüsü için güvenlik duvarında bir
yönlendirme gereklidir. Dolayısıyla güvenlik duvarı üzerinde yapılabilecek yapılandırma değişikliği ile
içerik kontrolcüsü üzerinden geçmeyen trafikten söz edilebilir.
Özellikle web sayfalarının içeriği kontrol edilerek, içerik kontrolcüsü ile kurum politikasına uymayan
(finans siteleri, oyun ve kumar siteleri, ) içerikte hizmet veren web sayfasına erişim
kısıtlanabilmektedir.
2.8 Kablosuz Ağ Ürünleri
Günümüzde popülerliği giderek artan kablosuz ağ ürünleri, gerek ilk kurulum maliyeti (para ve
zaman) açısından, gerekse esnekliği ve çalışan kişilere getirdiği hareket özgürlüğü açısından sıklıkla
tercih edilmektedir. Veri aktarım ortamının hava olması sebebiyle, bu ortama fiziksel bir erişim
kontrolü mümkün değildir. Dolayısıyla hattın dinlenilmesin engellenmesi kriptografik
önlemlerle sağlanmaktadır. Kablosuz yerel alan ağları (802.11a/b/g veya WLAN- Wireless Local
Area Network) ülkemizde yaygınca kullanılmaktadır. Bunun dışındaki kablosuz kişisel alan ağları
(WPAN-Wireless Personal Area Network veya 802.15, bluetooth, ZigBee vs.), kablosuz kampus
ağları (WMAN-Wireless Metropolitan Area Network veya 802.16, WiMax) konuları kapsam
dışında tutulmuştur.
Kablosuz Yerel Alan Ağları, kullanıcı açısından iki, erişim noktası açısından da iki farklı tip
göstermektedir.
Kullanıcı açısından tasarsız (ad-hoc) ve erişim noktalı (tasarlı - infrastructure) olmak üzere iki tipte
kablosuz yerel alan ağı mevcuttur. Ad-hoc tipinde, bilgisayarlar bir erişim noktasına ihtiyaç
duymaksızın bir ağ oluşturabilmektedirler. Erişim noktalı ağlarda ise her bir bilgisayar erişim noktası
ile haberleşmektedir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
21 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Erişim noktası açısından, bilgisayarların faydalanacağı erişim noktalı (infrastructure) tipte ve köprü
(bridge) tipinde olmak üzere iki tip ağ mevcuttur. Burada diğerlerinden farklı olarak köprü tipinde
erişim noktası başka bir erişim noktası ile haberleşmekte bir bilgisayara hizmet vermemektedir.
Bu dokümanda tasarlı tipinde gerçeklenmiş bir yerel alan ağı için tavsiyelere yer verilmiştir. Aşağıda
üç farklı tipte gerçeklenmiş kablosuz ağ teknolojileri şekil olarak ifade edilmiştir.
Şekil 2 Kablosuz Ağ Teknolojileri
Kablosuz ağlarda güvenliği üç ana başlık altında sınıflandıra biliriz; erişim kontrolü, şifreleme ve
gözlemleme. 1999 yılından bu yana gelişen kablosuz yerel alan ağı (WLAN- ieee 802.11) şu an
WEP, WPA, WPA2 gibi farklı şifreleme ve kimlik doğrulama yöntemleri sunmaktadır. Kablosuz yerel
alan ağları ile ilgili olarak daha detaylı bilgi için Kablosuz Ağ Güvenliği Dokümanı incelenebilir.
2.8.1 Erişim Noktaları (Access Point / Wireless Access Point)
Bilgisayar ağlarında erişim noktaları, kablosuz haberleşme cihazlarının birbiriyle ve bağlı olduğu
kablolu ağ ile haberleşmesini sağlamak maksadıyla kablosuz bir ağ kuran cihazlardır.
Gerek köprü tipinde gerekse erişim noktası ile kurulmuş kablosuz ağ tipinde gizliliğin sağlanması için
kullanılabilecek teknolojiler WEP, WPA-PSK, WPA ve WPA2 olarak sıralanabilir.
Kablosuz yerel alan ağlarında veri iletişim ortamı hava olması sebebiyle, veri iletim ortamına erişim
kontrolünün fiziksel önlemlerle alınması mümkün değildir.
RADIUS kullanılarak kimlik doğrulama yapılması mümkünse sertifika kullanılması tavsiye edilen
erişim kontrolü
/kimlik doğrulama yöntemidir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
22 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Şifreleme için gerek RC-4 zayıflıkları gerekse IV (başlangıç vektörü) boyunun kısa olması sebebiyle
WEP kullanımı tavsiye edilmez. Şifreleme algoritması olarak AES (Advanced Encryption Standard)
kullanılması tavsiye edilmektedir.
Bir kablosuz erişim noktası için tavsiye edilen şifreleme ve kimlik doğrulama yöntemleri aşağıda
verilmiştir.
• WPA2/AES ve EAP-TLS
• WPA2/AES ve PEAP-MS-CHAP v2
• WPA/TKIP ve EAP-TLS
• WPA/TKIP ve PEAP-MS-CHAP v2
Bu teknolojilerin kullanamadığı durumlarda kullanılacak diğer yöntemlerin (WEP, WPA-PSK)
kablosuz trafik dinlenerek kırılabileceği, transfer edilen bilginin gizliliğinin tehlikede olduğu
unutulmamalıdır.
Gerek ağa saldırının tespiti gerekse var olan politika dışında davranan kurum çalışanlarının tespiti
için gerçek zamanlı kablosuz ağ dinleme ve kontrol yazılımı/sistemi kullanılması tavsiye edilmektedir.
Bilginin gizliliğinin ve bütünlüğünün korunması dışında servisin sürdürülebilirliği, kablosuz alan
ağlarında sağlanması zor hizmetlerden biridir. Özellikle servis sonlandırma (DoS: Denial of Service)
tipindeki saldırılara karşı koruma sağlamak hayli güçtür. Bu hususta piyasada bulunan, ürüne özgü
koruma yöntemleri mevcuttur.
Erişim noktasının fiziksel konumu ve sinyal gücü de önemli güvenlik parametreleri arasında
sayılabilir. Erişim noktasının olası fiziksel müdahalelere karşı korunması varsayılan ayarlarına
döndürülememesi konsol bağlantısı ile konfigürasyonunun değiştirilmemesi için kolay ulaşılamayacak
bir yere monte edilmesi, mümkünse erişim noktası ile anteninin ayrılması tavsiye edilmektedir.
Kapsama alanının istenen/hedeflenen bölgenin dışına çıkması istenmeyen bir durumdur, kullanılan
şifreleme yöntemine göre zayıflıkların sezilmesi ihtimalini arttıracaktır.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
23 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
2.9 Ağ Yönetim İzleme / Dinleme Ürünleri
Yönetilen, işletilen bir ağda uygulanan güvenlik politikası dışında davranışların sezilmesi, kullanılan
ürünlerin açıklıklarının veya güvensiz yapılandırmalarının tespit edilmesi ve bunun gibi birçok
sebepten kurumsal bir ağda bir ağ yönetim ve izleme ürünü kullanılmasında büyük fayda vardır.
Ağ yönetim ve izleme yazılımları;
Kurum içinde ve kurum dışında kullanılan bilgisayarların değişen yapılandırması ile olabilecek
güvenlik açıklıkları veya istenmeyen servislerin tespiti
Kurum bünyesinde bulunan bilgisayarların açık servislerinin tespiti
Ağa dâhil olmayan makinelerin tespiti
Yapılandırma hatalarının tespiti ve incelenmesi
Ürün yama eksikliklerinin tespit
gibi özellikler sağlarlar.
Bu tip yazılım veya sistem çözümleri kurumsal bir ağda özellikle sistem ve güvenlik yöneticilerinin
olası bir probleme müdahale süresini kısaltır, sorunun karmaşıklığını azaltır. Hiçbir sorunla
karşılaşılmadığı durumlarda da sistemin gerçekten sorunsuz çalıştığından emin olunmasını sağlar.
Bir ağ yönetim yazılımı, ağ üzerinde birçok cihazı yönetebileceği ve yapılandırmasını değiştirebileceği
için ağda en güvenli (en iyi korunan) bölgede yer almalıdır. Bu bölge için güvenlik duvarı kuralları
sadece yönetim yapılabilecek kadar sıkı olması tavsiye edilmektedir.
Ağ izleme/dinleme yazılımı ise genellikle taşınabilir bir bilgisayarla kullanılması, sorun oluşması
halinde ilgili ağ segmentine taşınması ve kullanılması tavsiye edilmektedir.
2.10 Antivirüs Uygulamaları
Kurumlarda bilgi teknolojileri ortamından kaynaklanan hizmet kesintilerinin, veri kayıplarının, gizli
bilgilerin istenmeyen kişilerin eline geçmesinin vb. durumların ana sebeplerinden bir sistemlere
bulaşan zararlı yazılımlardır. Bilinen ve sıklıkla karşımıza çıkan virüsler bu zararlı yazılımların başını
çekmektedir.
Ağın ve diğer ağ unsurlarının (sunucular ve istemcilerin) bu zararlı yazılımlara karşı korunması
antivirüs diye bilinen ürünlerle sağlanabilmektedir.
Ağın dolayısıyla ağda bulunan tüm istemci ve sunucuların virüslere karşı korunması için ağ tabanlı
antivirüs cihazları kullanılabilir. Bu cihazlar dış dünyadan, özellikle güvensiz olarak kabul ettiğimiz
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
24 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
internetten, e-posta, http ve ftp yolu ile bilgisayarlara geçecek virüslerin girişini engellemek
maksadıyla kullanılabilirler.
İnternetten gelebilecek virüsler dışında kullanıcıların kullandıkları taşınabilir medyalardan da
sistemlere virüs girişi mümkündür. Bunun önüne geçilmesi için ise sunucu ve istemcilerde antivirüs
programları bulunması gerekmektedir.
Gerek ağ tabanlı antivirüs sistemlerinde gerekse istemci ve sunucularda kullanılan antivirüs
yazılımlarında en önemli nokta virüs tanımlamaları ve bu tanımlamaların güncelliğidir. Virüs
veritabanı güncel tutulmayan bir sistemin yeni geliştirilmiş virüslere karşı zaafiyet taşıdığı aşikârdır.
Bu zayıflığın önüne geçmek için özellikle çok kullanıcılı kurumsal ağlarda merkezi antivirüs yönetimi
kullanılması gereklidir. Özellikle kullanıcıların sistemlerine yüklenmiş antivirüs yazılımlarına erişmeleri
ve bu yazılımlara müdahale etmeleri grup politikaları ile engellenmelidir. Merkezi antivirüs yönetim
yazılımı ile tüm ağda kullanılan antivirüs sistemlerine antivirüs politikası yüklenmesi, sunucu ve
istemci bilgisayarlarında bulunan ajan yazılımlarının kontrolleri, ağ tabanlı antivirüsün güncel
durumunun izlenmesi politika değişikliği yapılabilmektedir.
Ağ tabanlı antivirüs sistemi kullanımının sunucu ve istemcilerde antivirüs kullanımına göre avantajı,
virüslü dosyanın hedeflenen bilgisayara gitmeden müdahale edilmesinin mümkün olmasıdır. Bununla
birlikte Ağ tabanlı antivirüs sisteminin gelen tüm paketleri OSI referans modeline göre yedinci
katmana kadar çıkarması, incelemesi sıkıştırılmış (ZIP RAR vs formatındaki dosyalar) paketleri
açması, incelemesi sonra ilgili sisteme göndermesi gerekmektedir. Dolayısı ile ağa giren ve çıkan tüm
trafiğin (smtp, http, ftp) virüs açısından incelenmesi ciddi bir performans kaybına yol açmaktadır.
Kurum için bir ağ tabanlı antivirüs sistemi seçilirken mevcut ve planlanan bant genişliği göz önünde
bulundurularak uygun hızda çalışabilecek bir sistem seçilmesi gereklidir.
2.11 Diyotlar
Diyot (Diode) teknolojileri, gizlilik seyileri farklı iki ağ arasında donanımsal olarak iki yönde veri akışını
engelleyerek tek yönlü bir bağlantı sağlaması için kullanılmaktadır. Bu çözüm sayesinde güvenli bir
ağ, genel amaçlı bir iç ağdan ters yönde veri akışı riski olmayacak şekilde veri çekebilmektedir.
Böylece kullanıcıların güvenli olmayan kaynaklardan güvenli ağa veri transferine izin verilmerek
güvenli ağın korunması sağlanmaktadır.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
25 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Diyot cihazı öncesinde, dışarıdan gelen bilginin kaydedilmesi ve sonra diyot üzerinden içeriye
gönderilmesi amacıyla ara sunucular kullanılıyorsa, uçlar arasındaki iletişim gecikmeli çevrimiçi
şekilde gerçekleşir.
Bu tür haberleşme ihtiyacına örnek olarak güvenlikten feragat etmeden anti-virüs güncellemeleri,
işletim sistemi güncellemeleri, veritabanı senkronizasyonları, web RSS’lerini, e-postaları ya da video
akışlarını tek yönlü olarak almak gösterilebilir. Model üzerinde düşünüldüğünde kurum ihtiyacına
bağlı olarak yüksek güvenlikli ağa dışarıdan güvenli şekilde almak istenecek başka bilgiler de
çıkabilir. Örneğin bu sistemler ile Endüstriyel Kontrol Sistemlerine (ICS, SCADA) dışarıdan erişim
engellerken ICS’lerin kritik operasyon/performans verilerini ve alarmlarını göndermesine imkân
sağlamak için de kullanılabilir.
Diyot ile bağlantı kurmanın dezavantajı, iletilen bilginin karşı tarafa ulaşıp ulaşmadığına dair
onaylama bilgisinin alınamamasıdır. Kullanılan iletişim hattının özelliklerine bağlı olarak, ilgili bilgi
tekrar tekrar gönderilerek başarılı ulaştırma olasılığı artırılabilir. Bu konuda karşı taraftan sadece
verinin ulaştığına dair kontrol mesajının geçmesine izin veren Veri Pompası (Data Pump) çözümleri
de mevcuttur.
2.12 Sanal Hava Boşluğu (Air Gap)
Sanal hava boşluğu (Air Gap), güvenli bir bilgisayar ağının fiziksel, elektriksel ve elektromanyetik
açıdan diğer güvenli/güvensiz ağlardan izole edilmiş olmasına dayanan bir güvenlik kavramıdır.
Normal koşullarda bir bilgisayar ağı ile diğer dış ortamlar arasında hava boşluğundan
bahsedilebilmesi bilgi aktarımının sadece harici bilgi taşıma ortamlarıyla (disket, USB disk vb.)
gerçekleştirilebileceği garanti edilmelidir.
Sanal hava boşluğu ağlar arasında güvenli bağlantı kurmayı hedefleyen çözümdür. Bu çözümlerde,
hava boşluğu oluşturan cihaza bağlı bir iç bir de dış bilgisayar bulunmaktadır. Hava boşluğu cihazı,
aynı anda bu bilgisayarlardan sadece biriyle iletişim halindedir. İletişim halinde olan bilgisayar hava
boşluğu cihazı üzerine veri yazabilir ya da oradan veri okuyabilir. İletişim halinde olan bilgisayarın
veri iletimini tamamladıktan sonra diğer bilgisayar hava boşluğu cihazı üzerine veri yazabilir ya da
oradan veri okuyabilir. Hava boşluğu çözümleriyle tek yönlü ya da çift yönlü bilgi paylaşımı
mümkündür. Dış bilgisayarın sadece cihaza bilgi yazabileceği (okuyamayacağı), iç bilgisayarın
sadece cihazdan bilgi okuyabileceği (yazamayacağı) ürünler, tek yönlü bağlantı ihtiyacını karşılamak
için kullanılabilir. İç ve dış bilgisayarların hem cihaza yazabileceği hem de cihazdan okuyabileceği
ürünler, çift yönlü bağlantı ihtiyacını karşılamak için kullanılabilir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
26 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Sanal hava boşluğu kavramını uygulayan çözümler, ağlar arası bağlantıyı çevrimdışı şekilde
gerçekleştirmektedir. Kaydet ve ilet (Store and forward) prensibine göre çalışan bu cihazlar,
çevrimiçi sürekli bilgi aktarımı ihtiyacına etkin cevap veremezler.
2.13 Vekil Sunucular (Proxy)
Vekil sunucular, internet gibi dış ağlara erişim sırasında kullanılan ara sunuculardır. Bu sistemlerde
kullanıcıların dış ağlardaki sunuculardan isteklerini vekil sunucular karşılamakta, bu istekler vekil
sunucu tarafından dış ağdaki sunuculara yapıldıktan sonra gelen cevap kullanıcıya iletilmektedir.
Örneğin bir web vekil sunucusu istenilen web adresine kendisi bağlanır ve içeriğini kullanıcıya
sağlar.
Vekil sunucu kullanılmasının hem güvenlik hem de performans açısından faydaları bulunmaktadır.
Güvenlik açısından faydalarından birisi sahte IP adresleri ile yapılan DDOS saldırılarını başarısız
kılmasıdır. Aynı zamanda vekil sunucu üzerinde çalıştırılan antivirüs uygulamaları ile zararlı
yazılımların kullanıcılara ulaşmadana engellenmesi sağlanabilmektedir. İsteklerin vekil sunucu
tarafından yapılması kullanıcıların IP adreslerinin gizlenmesini sağlamaktadır.
Performans açısından faydalası, vekil sunucuların isteklere gelen cevapları önbellekte bir süre
tutmalarıdır. Bu sayede en çok istekte bulunulan web adreslerine cevaplar vekil sunucunun
önbelleği tarafından sağlanabilir.
Gizlilik derecesi yüksek ağlardaki kullanıcı ve sunucuların dış ağ ile direkt iletişime geçmesi
istenmediği için vekil sunucu kullanılması önerilmektedir. Bu vekil sunucusu ile berbar kullanılan
güvenlik duvarı ve antivirüs uygulamalarının kullanılarak iç ağa yönelik tehditler azaltılması
önerilmektedir.
Web, e-posta ve FTP gibi birçok uygulama için vekil sunucular kullanılabilmektedir.
2.14 Donanım Güvenlik Modülü (HSM)
Donanım Güvenlik Modülü; şifreleme, imzalama ve özet alma gibi kriptografik işlemleri yüksek
performansla gerçekleştirmesi amacıyla üretilen özel güvenlik donanımlarıdır. Şifreleme ve
imzalama anahtarlarını üretip modül içerisinde tutarak, fiziksel müdahale korumalı yapısıyla
anahtarlar için yüksek güvenlik sağlar. Harici bir cihaz olarak kullanıldığı gibi plug-in kart olarak da
kullanılan modüller mevcuttur. PCI, FIPS (Federal Information Processing Standard ) gibi uluslarası
standartlara uyumluluk sağlamaktadır.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
27 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Sayısal imzalama, zaman damgalama, yüksek güvenlikli kimlik doğrulama, kaynak doğrulama ve
bütünlük fonksiyonu gibi kriptografik işlemleri gerçekleştirebilmektedir. Ayrıca fiziksel müdahelere
karşı da koruma sağlamaktadır. Donanım güvenlik modüllerinin kullanım alanları arasında SSL web
ve uygulama sunucuları, kök anahtar korunumu, EFT işlem uygulama, XML Web Servisleri, PIN
yönetimi, online bankacılık, sertifika geçerliliği, veritabanı şifreleme, DNS güvenliği gibi yüksek
güvenlik gerektiren uygulama ve sistemler bulunmaktadır.
2.15 Yük Dengeleyici
Yük dengeleyici; iki ya da daha fazla bilgisayar, işlemci, sabit disk ya da diğer kaynaklar arasında ağ
trafiğini belirli algoritmalara göre paylaştıran teknolojilerdir. Bu sistemler kaynak kullanımının, işlem
hacminin, en düşük cevap süresinin optimizasyonunda kullanılırlar. Yük dağıtımı gerçekleştirdikleri
sistemleri olası aşırı yüklemeden korunmasını sağlamaktadırlar. Genellikle bilgisayar grupları
arasındaki iç iletişimi sağlamak amacıyla kullanılırlar.
SSL trafiğini sonlandırma gibi özelikleri ile web sunucuları üzerindeki işleri azaltarak bu kaynak
kullanımını azaltabilmektedirler. Aynı zamanda web sunucuları ile haberleşme paketlerini
sıkıştırarak bant genişliği kullanımını da azaltırlar.
Bir yük dengeleyici birden fazla uygulama sunucusuna istekleri yönlendirebilmektedir. Eğer mimari
yapıda tek bir yük dengeleyici varsa bu yük dengeleyicinin devre dışı kalması durumunda tek hata
noktası (single point of failure) durumu söz konusu olabilir. Bunun önüne geçmek için den fazla yük
dengeleyicinin yedekli yapıda kullanılması önerilmektedir.
2.16 Ağ Erişim Kontrolü (NAC)
Ağ erişim kontrolü sistemleri, ağa yeni bir cihaz dahil olmak istediğinde uyguladığı politikalar
aracılığıyla bu cihazın ağa katılmaya uygun olup olmadığını denetleyen ve engelleme yapabilen
güvenlik sistemleridir. Ağa katılmak isteyen cihazlarda zaafiyet analizi, antivirüs olup olmadığı gibi
sistem güvenliği kontrollerini, kullanıcı yetkilendirmeleri gibi denetimleri gerçekleştirebilmektedirler.
Bu denetimler sonrası kullanıcı yetkilendirmelerine göre cihazlara erişim izni verilmektedir. NAC
sistemleri IEEE 802.1x standartlarına uyumlu olarak çalışırlar. Ajanlı veya ajansız olarak da
kullanılan çözümleri vardır.
NAC sistemleri sıfırıncı gün açıklıklarının etkilerini azaltma, ağ politikalarını uygulama, kimlik ve
erişim denetimi gibi üç temel fayda sağlamaktadır. İç ağa yetkisiz erişimlerin ve iç ağdaki kritik
sunucuların veya müşteri bilgilerinin misafir kişiler tarafından erişilmesinin engellenmesi için NAC
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
28 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
sistemleri kullanılabilir. Bu şekilde misafir kişilerin bilgisayarlarının saldırganlar için iç ağa giriş olarak
kullanılması engellenmiş olacaktır. Bu açıdan NAC sistemleri PCI-DSS ve HIPAA gibi uluslararası
regülasyonlara uyum sağlamaktadır.
2.17 Veri Sızıntısı Önleme Sistemleri (DLP)
Veri Kaçağı Önleme (DLP), son kullanıcı aksiyonları gibi kullanımda olan, ağ üzerinde hareketli olan
ve veritabanlarındaki verlerin kritiklik derecelerinin saptanması, monitör edilmesi ve korunmasını
sağlayan politika, yazılım ve donanımdan oluşan bir çözüm platformudur.
Böyle bir çözümün şekillenmesi ve ticari bir ürün haline gelmesinde rol oynayan motivasyonların
başında kurumların özel ve gizli bilgilerinin kaçağından ötürü yaşadıkları zararlar gelmektedir. Bunun
yanında sektörel düzenleyici örgütlerin yaptırımları da şirketleri veri güvenliğini sağlama konusunda
mecbur bırakmıştır. Sağlık sektöründe HIPAA, finansta GLBA, PCI Standartı gibi uluslararası
regülasyonlara uyumluluk açısından DLP sistemleri önemli rol oynamaktadır. Çünkü müşteri ve
hasta bilgileri gibi kritik olarak kabul edilen verilern izinsiz bir şekilde kurum dışına çıkarılmasının
engellenmesi DLP sistemleri ile mümkündür.
DLP sistemlerinin fonkiyonları ve sağladığı faydalar aşağıdaki gibi sıralanabilir.
Kullanımdaki verinin kritiklik derecelerinin belirlenmesi ve korunması
Veri kaynaklarında saklanan verinin kritiklik derecelerinin belirlenmesi ve korunması
Ağ üzerinde akan verinin tespiti, sınıflandırılması ve korunması
Sınıflandırmaların ve güvenlik politikalarının periodik yenilenmesi
Kontrol ve yönetim araçlarının yeterliliği
Veri kaçağı olaylarının anlık takibi
Kurumiçi farkındalık oluşturma
DLP sistemleri esasta iki farklı prensibe göre çalışmaktadır:
1. Ağ Tabanlı DLP Sistemleri
2. Sunucu Tabanlı DLP Sistemleri
2.17.1 Ağ Tabanlı DLP Sistemleri
Ağ geçidi (gateway) tabanlı sistemler olarak da anılan bu sistemler, ağın kritik noktalarına
konuşlandırılır. Hazırlanan politikalar uyarınca gerçek zamanlı kontroller uygulayan sistem politika ile
çelişen bir veri akışı saptadığı zaman alarm üretmekte ve engelleyebilmektedir. Kolayca
kurulabilmeleri, bakım maliyetlerinin düşük olması bu sistemlerin tercih nedenlerinin başında gelir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
29 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Akan verinin kontrolü imzalar yardımı ile olur. Veri kaynaklarında durağan olan veri sistem
tarafından kritiklik sınıflandırmasından sonra belirli bir etiket ile etiketlenir ya da veriye göre imzası
çıkarılır. Varolan etiket ya da imzanın ağda aktığını tespit eden sistem aksiyon alabilmektedir.
2.17.2 Sunucu Tabanlı DLP Sistemleri
Son kullanıcıya hizmet veren iş istasyonları ya da sunuculara kurulan bu tip sistemler ağ tabanlı
sistemlerin yeteneklerinin yanında kurum içi grupların birbiri ile iletişimini de denetleyebilmektedir.
Bunun yanında getirdikleri bir diğer açılım sadece ağdaki akışı değil daha faklı şekillerde veri
kaçırma ihtimallerini de (usb, taslak olarak bekleyen e-postalar vb.) engelleyebilmeleridir.
2.18 Diğer Sunucu ve İstemciler
Bu noktaya kadar ağda kullanılan/kullanılacak olan güvenlik sistemlerinden (güvenlik duvarı, saldırı
tespit/önleme sistemi, antivirüs sistemleri, VPN gibi) veya ağ sistemlerinin (anahtarlama cihazı,
yönlendirici gibi) nasıl güvenli olarak kullanılacağından bahsedildi. Bununla birlikte asıl korunmak
istenen varlıkları barındıran, işleyen sistemler (sunucular ve istemci bilgisayarları) ve bunların
güvenli ve güvenilir kullanımı da ciddi önem arz etmektedir.
Gerek sunucularda gerekse istemcilerde ilk kurulumunda birçok iş ve hizmet için kullanılması
öngörülerek kimi servisleri açık kimi servisleri kapalı olarak dağıtılmaktadır. Sunucu ve istemcilerde
istenmeyen/amaçlanmayan servisleri kötüye kullanımı engellemek maksadıyla kapatılmalıdır.
İşletim sistemlerinin tespit edilen açıklıkları için sürekli yamaları, güncellemeleri yayımlanmaktadır.
Bu yamaların yüklenmemesi halinde kritik güvenlik açıklıkları ile karşılaşılabileceği
unutulmamalıdır. Birçok virüs ve zararlı yazılım aslında işletim sistemlerinin bu açıklıklarını
kullanarak yayılır ve hedef sisteme zarar verir. Özellikle yama yönetimi için geliştirilmiş ürünler
kullanılması, bu iş için ayrılacak iş gücünün minimumda tutulmasını sağlayacaktır.
Kurumlarda değerli ve kritik bilgiler çoğunlukla sunucularda tutulmaktadır. Bununla birlikte birçok
durumda iş ihtiyacı gereği bu veriler kişisel bilgisayarlara kopyalanabilmekte ve çalışanların bu
veriler üzerinde çalışması sağlanmaktadır. Bu sebeple kişisel bilgisayarlarda da bazı güvenlik
önlemleri alınması gerekmektedir. Çalışanların yetkisi dışında iş yapmalarının önüne geçmek için
yetkilerinin kullanıcı seviyesinde olması yönetici yetkisinin verilmemesi gereklidir.
Kullanıcı bilgisayarları ve sunucularda BIOS (Basic Input Output System) parolası
uygulanması yetkisiz kişilerin BIOS a müdahale etmesini engelleyecektir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
30 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
İşletim sisteminin sağladığı durumlarda kişisel güvenlik duvarları açık olmalı, kullanıcı
eylemleri için log tutulmalıdır.
Özellikle kullanıcı bilgisayarları (Windows sistemleri için) etki alanı altında bulunmalı ve grup
politikası uygulanmalıdır. Bu hem güvenliği arttırıcı bir önlem hem de yönetim için gerekli iş gücünün
verimli kullanılmasını sağlayacaktır.
Günümüzde gittikçe yaygınlaşan, bir çok kurumda da kullanımı artan açık anahtar altyapısı ile gerek
kullanılan dokümanların, gerekse yapılan mesajlaşmaların (e-posta) gizliliği, bütünlüğü, inkar
edilemezliği sağlanabilmektedir. Ayrıca kimi uygulama yazılımları içinde de kullanım artmaktadır.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
31 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
3. AĞ TASARIM PRENSİPLERİ
Güvenli ağ mimarisi, barındırdığı sistemlerin performansı, güvenilirliği ve güvenliği ile doğrudan
ilgilidir. Bu açıdan güvenli ve uygun bir mimari tasarım için öncelikle ağın ve sistemlerin performans
ve güvenlik ihtiyaçlarının belirlenmesi gerekmektedir. İhtiyaçlar çerçevesinde hangi protokol veya
protokollerin kullanılacağı, bu protokol veya protokollerin bir bağlantı esnasında ne kadar bant
genişliği gerektireceği ve ağdaki toplam trafik yükünün ne olacağı hesaplanmalıdır. Diğer yandan
sistemlerdeki güvenlik zafiyetleri ağı da güvensiz kılacağı için kullanılacak sistemlerin işletim
sistemlerinin ve uygulamalarının sıkılaştırılma işlemlerinin yapılmış olması gerekmektedir.
Ağda kullanılan teknolojilerin dar boğazları göz önüne alınarak tasarım yapılmalıdır. Örneğin
çevirmeli ağ bağlantısı ucuna 10/100/1000 Mbps’lik bir bağlantı yerine kolayca 10/100 Mbps hızında
çalışan bir bağlantı yapılabilir.
Güvenli bir ağ mimarisi tasarımı için aşağıdaki prensipler dikkate alınmalıdır.
3.1 Diğer Sunucu ve İstemciler
Ağın güvenlik seviyelerine göre farklı bölgelere ayrılması prensibi riskin azaltılması için önemli bir
kavramdır. Bu prensibe göre farklı fonksiyonları icra eden, farklı güvenlik seviyesine sahip olan
sistemlerin farklı ağ segmentlerinde konumlandırılması gerekmektedir. Ağ bölümlendirmesinin
gerçekleştirilmesi için öncelikle risk analizinin ve sınıflandırmanın yapılması gerekmektedir.
Ağ bölümlendirmesi sayesinde güvenlik derecesi yüksek olan kaynaklar, ağdaki diğer kaynaklardan
izole edilerek tehditler azaltılmaktadır. Aynı zamanda bölümlendirme ağın yönetimi ve sorunlarının
giderilmesi adına da kolaylık sağlamaktadır.
Bir ağda bulunabilecek farklı ağ segmentleri aşağıdaki gibidir.
3.1.1 DMZ (De-Militarized Zone)
Güvenlik duvarının arkasında olmasına rağmen dış ortamla doğrudan bağlantısı olan ağ
segmentidir. Web sunucusu gibi dış ağa hizmet veren sunucuların burada konumlandırılmalıdır. Bu
ortamdaki sunucular dış ortamdan gelecek tehditlere açık oldukları için güvenlik sıkılaştırmalarının
tam olarak yapılması gerekmektedir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
32 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
3.1.2 Güvenli Ağ Segmenti
Bir yada birden fazla güvenlik duvarı tarafından erişimin kontrol edildiği, aynı fonksiyonu yerine
getiren veya aynı güvenlik seviyesindeki sistemlerin bulunduğu ağ segmentidir. Bu sistemlere erişim
IP veya MAC kısıtlaması sadece yetkili kullanıcılar tarafından yapılmalıdır. Veritabanı sunucuları gibi
gizli seviyesindeki bilgileri içeren sunucular bu ağ segmentlerinde konumlandırılmalıdır.
3.1.3 Özel Ağ Segmenti
Kullanıcı bilgisayarlarının bulunduğu ağ segmentidir. Bu ağ segmentinde herhangi bir uygulama
sunucusu bulundurmamalıdır. Bu yüzden başka ağlardan gelecek olan istekler sınırlandırılmalıdır.
Bir diyot gibi sadece tek yönlü trafik olacak şekilde kullanılması tavsiye edilmektedir.
3.2 Politikaların Belirlenmesi
Bir kurumda mutlaka bir bilgi güvenliği politikasının olması, yoksa belirlenmesi ve uygulanması
tavsiye edilmektedir. Bilgi güvenliği politikası kapsamında oluşturulacak diğer politikalarla, bilginin ne
şekilde oluşturulacağı veya kabul edileceği, ne şekilde işleneceği, ne şekil ve şartlar altında transfer
edileceği ve ne şekilde değersiz kılınacağı veya yok edileceği belirlenmelidir. Bu kapsamda bir bilgi
sistem yöneticisi veya güvenlik yöneticisi bilgi sistem cihazlarının ne şekilde kullanılması ve
yapılandırılması gerektiğini belirleyecektir.
Erişim politikaları veya erişim kontrol politikaları, hangi bilgi veya bilgilere kimlerin nasıl
erişebileceğini hangi sistem kaynaklarını kimlerin nasıl kullanacağını belirlendiği politikalardır. Erişim
politikalarının dışında veri yedekleme ile ilgili politikalar, kullanıcıların bilgi sistemini kullanımı ile ilgili
politikalar, iş sürekliliği ile ilgili politikalar, felaket kurtarımı ile ilgili politikalar ağ mimarisi güvenliği
kapsamı dışında tutulmuştur.
3.2.1 Erişim Politikaları
Erişim politikası ile bu politikanın uygulandığı sistemlere erişim kısıtlanarak sadece yetkili kişilerin
erişiminin sağlanması hedeflenmektedir. Bu sayede kritik sistemlerdeki istenmeyen değişikliklerin
veya yapılandırmaların önüne geçilmekle beraber aynı zamanda saldırı yüzeyi de azaltılmaktadır.
Kurum ağında erişim politikaları güvenlik duvarları, anahtarlama cihazları, VPN cihazları gibi cihazlar
aracılığıyla uygulanır. Güvenlik duvarları üzerinde bulunan güvenlik politikasına bağlı olarak ağ
adresi, IP adresi, port bilgilerine göre trafiğin geçişine izin verilebildiği gibi yeni nesil güvenlik
duvarlarında uygulama seviyesinde trafiğin geçişine izin verilebilir veya trafik durdurulabilir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
33 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Anahtarlama cihazlarında herhangi bir porta yeni bir makinenin bağlanması halinde makinenin ağa
erişimi engelleyecek mekanizmalar mevcuttur (Port-security).
VPN cihazlarında ise yine üzerinde bulunan politikaya bağlı olarak üzerinden geçen trafiği şifreli
veya şifresiz geçirebildiği gibi trafiği durdurma veya paketleri düşürme yetenekleri mevcuttur
3.2.2 Zamana Bağlı Kullanım Politikası
Ağ üzerinde bulunan kaynakların kullanımı belli zaman aralıkları ile sınırlandırılması gerek erişim
politikasının gerekse bilgi güvenliği politikasının bir parçası olduğu durumlarda, erişim kontrolü
sağlayan cihazlarda politikalar zaman kriterine göre belirlenebilir. Örneğin; politikada kritiklik seviyesi
yüksek olan bir veri tabanına sadece veri tabanı yöneticisinin kurumda olduğu zamanlarda -mesai
saatleri içinde- erişime müsaade edilebilir. Trafik bazında ücretlendirme yapılan bir hattın kullanımı
sadece iş için kullanılması maksadı ile mesai saatleri ile sınırlandırılabilir veya çalışan verimliliğinin
düşmemesi için sohbet, finans amaçlı sitelere erişim sadece belli saatlerle sınırlandırılabilir.
Bu tipte zamana bağlı kullanımlar ağda güvenlik duvarları ve içerik kontrolcüleri aracılığı ile
sağlanabilir.
3.3 Derinlemesine Güvenlik
Derinlemesine güvenlik, ağ güvenliği önlemlerinin birçok katmanda ve farklı noktalarda uygulanarak
ağın güvenliği artırılması manasına gelmektedir. İşletim sitemi seviyesinde, ağ seviyesinde ve
uygulama seviyesinde güvenliğin ele alınması tehditlerin ve risklerin en aza indirilmesi açısından
önemlidir. Farklı güvenlik çözümlerinin farklı noktalarda ve katmanlarda uygulanması ile ağın
güvenliği arıttırılarak derinlemesine güvenlik sağlanabilir.
3.4 Yeterli Güvenlik
Yeterli güvenlik (adequate security), ağ mimarisi tasarımı sürecinde güvenlik önlemlerinin maliyet-
etkinlik analizine göre ele alınması prensibidir. Bu prensibe göre bilgi sistemleri teknolojileri, güvenlik
önlemlerinin maliyeti de düşünülerek sadece risk analizi sonucu elde edilmiş tehditleri önleyecek
şekilde korunmalıdır. Gereğinden fazla güvenlik yatırımından kaçınılmalıdır. Bunun için öncelikle
uygun tehditler doğrultusunda ihtiyaçlar etkin bir şekilde tanımlanarak en uygun maliyetli çözüm
belirlenmelidir. Örneğin ağda performans problemlerinin ortaya çıkması durumunda hemen daha
performanslı bir cihaz almak yerine mevcut cihazın etkin kullanımı, ağ trafiğinin incelenerek yeniden
düzenlenmesi gibi maliyet getirmeyecek fakat düzenlemelerle performansı artıracak çözümler tercih
edilmelidir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
34 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
4. ÖRNEK AĞ MİMARİ MODELLERİ
4.1 Ağ Modellerinde Sanal Yerel Alan Ağ (VLAN) Kullanımı
Şekil 3 VLAN Kullanımı ile gerçekleşmiş ağ mimarisi modeli
Bir organizasyonda aynı yerde (büro, ofis, kat gibi) çalışmasına rağmen farklı görev ve işlerde
çalışan personelin ağ trafiğini birbirinden izole etmek ve ağ performansını artırmak için sanal yerel
alan ağları (VLAN) kullanılır. VLAN mekanizması olmasaydı, birbirinden izole etmek istediğimiz ağa
trafikleri için ayrı ayrı anahtarlar ve yönlendiriciler kullanmak zorunda kalınacaktı. VLAN kullanımı ağ
yöneticisine uygun cihazlar kullanımı halinde “Personel Dairesinde çalışanlar internete mesai
saatleri dışında çıkabilsinler” şeklinde bir politikanın uygulamaya konmasını kolaylaştırır.
Yönetilebilen tüm anahtarlama cihazları VLAN desteği ile kullanılmaktadır. Anahtarlama cihazlarında
her bir arayüz için varsayılan VLAN değeri VLAN1’dir. En azından basit saldırılara karşı koymak
amacıyla organizasyon bünyesinde kullanılacak anahtarların tüm arayüzlerinin varsayılan VLAN
dışına alınmasında fayda vardır.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
35 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
4.2 Tek Yönlendirici ile Gerçeklenmiş Ağ Mimarisi Modeli
Şekil 4 Tek yönlendirici ile gerçeklenmiş ağ mimarisi modeli
Tek yönlendirici ile gerçeklenmiş mimari modelinde şekilde de görüldüğü gibi dışa ağdan iç ağa
erişim için sadece yönlendirici üzerinden geçilmesi gerekmektedir. Bir yönlendiricide
alınabilecek güvenlik önlemleri çok kısıtlıdır. Böyle bir mimari kullanımı ticari veya kurumsal
uygulamalarda ağ güvenliği açısından tavsiye edilmemektedir.
Yönlendirici üzerinde uygulanacak ağ erişim kuralları alınabilecek önlemlerden biridir. Fakat bu
yönlendiricide performans kaybına sebep olacaktır. Bun dışında iç ağa yapılacak saldırılara karşı bir
önlem bulunmamaktadır. Şekildeki mimaride kayıt mekanizması bulunmamaktadır bunun
sonucunda yönlendirici üzerinde bulunan kısıtlı bir alan denetim kayıtları için kullanılacak, bu da
etkin bir kayıt mekanizması olmayacaktır.
4.3 Tek Güvenlik Duvarı ile Gerçeklenmiş Ağ Mimarisi Modeli
Genel mimaride DMZ’nin var veya yok olma durumuna göre iki farklı mimari modeli sunulmuştur:
1. DMZ Olmaksızın Gerçeklenebilecek Ağ Mimarisi Modeli
2. İki veya Daha Fazla DMZ Bölgesine Ayrılmış Ağ Mimarisi Modeli
4.3.1 DMZ Olmaksızın Gerçeklenebilecek Ağ Mimarisi Modeli
Şekil 5 Tek Güvenlik Duvarı ile Gerçeklenmiş Bir Ağ Mimarisi Modeli
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
36 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Tek güvenlik duvarı mimarisi tasarımı küçük veya orta büyüklükteki bilgisayar ağları için
tasarlanmıştır. Bu tip mimari tasarımlarda dış ağlara hizmet veren sunumcu sistemlerin olmaması
gerekmektedir. Eğer dış ağa hizmet veren sunucular olursa bu sunucular iç ağda konumlandırılacağı
için hem iç ağdan doğrudan saldırılar alabilir hem de dış ağdan bu sunuculara erişen kişiler iç ağa
erişmiş olur.
Ağa erişim denetimi güvenlik duvarı tarafından sağlanır. Güvenlik duvarı üzerinde iki adet ağ ara
yüzü bulunmaktadır. Ağ ara yüzlerinden birisi dış ağlardan gelen istekleri iç ağa iletmekle, diğer ağ
arayüzü ise iç ağdan giden istekleri dış ağlara aktarmakla görevlidir. Güvenlik duvarı bu iki ağ
arayüzü arasındaki ağ trafiğinin akışını güvenlik ihtiyaçları doğrultusunda belirlenmiş olan güvenli ağ
erişim kurallarına göre kontrol eder. Güvenlik duvarının kural tablosu güvenlik politikaları, yönergeler
ve ihtiyaçları doğrultusunda belirlenmelidir. Dış ağdan iç ağa olan erişimler güvenlik duvarı
tarafından kısıtlanmalı ve kontrol edilmelidir. Normal şartlarda bu tip mimari topolojilerde dış ağdan
iç ağa olan erişimlere izin verilmemesi gerekmektedir.
Tek güvenlik duvarının kullanıldığı mimari topolojilerde ağ trafiği yüksek seviyelerde ise kullanılacak
güvenlik duvarı durumsal güvenlik duvarı olarak seçilmelidir. Durumsal güvenlik duvarı OSI referans
modelinin oturum katmanında hizmet verdiğinden uygulama seviyesinde güvenliğin sağlanması
amacıyla eğer mümkünse güvenlik duvarı ile birlikte vekil sunucular da kullanılmalıdır.
Tek güvenlik duvarı kullanılan mimari topolojilerde güvenlik duvarının yönetimi farklı şekillerde
gerçekleştirilmektedir. Güvenlik duvarının iç ağ üzerinden veya dış ağda bulunan yönetim konsolu
aracılığıyla da yönetimi yapılabilir. Güvenlik duvarının yönetiminde önemli olan güvenlik duvarının
konfigürasyonunun yetkisiz olarak değiştirilememesi ilkesinin uygulanmasıdır. Eğer iç ağ gizlilik
dereceli bilgiler içeriyorsa güvenlik duvarı iç ağdan yönetilmelidir. Güvenlik duvarı ile yönetici
konsolu arasındaki iletişim şifreli olmalıdır. Güvenlik duvarı üzerinde yapılan tüm değişiklikler
raporlanabilmelidir.
Tek güvenlik duvarının kullanıldığı mimari topolojilerde normal şartlarda iç ağda bulunan sunucuların
dış ağdaki kullanıcılara servis vermemesi gerekmektedir. Bu durumun en önemli gerekçesi, iç
ağdaki sunucudaki oluşan zafiyet veya açıklık durumlarında dış ağdan iç ağdaki sunucuya bağlanan
kötü niyetli kişilerin var olan açıklıkları ve zafiyetleri kullanarak sunucuyu ele geçirip iç ağa
erişmeleridir. Fakat iç ağdaki sunucular dış ağda bulunan sunuculardan belirlenen güvenlik
politikaları, yönergeler ve ihtiyaçlar doğrultusunda servis alabilirler.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
37 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
4.3.2 İki veya Daha Fazla DMZ Bölgesine Ayrılmış Ağ Mimarisi Modeli
Şekil 6: Bir Güvenlik Duvarı ile İki Ağ Segmentine Ayrılmış Bir Ağ Mimari Modeli
Bu mimaride ağda bir yönlendirici ve bir güvenlik duvarı bulunmaktadır. Bu mimari farklı güvenlik
seviyesine sahip ağların bulunduğu durumlarda tercih edilmelidir. Kullanılan güvenlik duvarının
üç tane ağ arayüzü vardır. Bu ağ arayüzleri geniş alan ağı (internet), iç ağ, DMZ ağlarını
bağlamaktadır. İç ağ bölümünde kullanıcı bilgisayarları, alan adı, etki alanı, vekil, e-posta
sunucuları gibi sunucular mevcuttur. İç ağ bölümünde bulunan sunucu veya kullanıcı
bilgisayarlarından dış ağ bölümüne (GAŞ, internet) servis verilmez. Mimari topoloji içinde güvenlik
derecesi en yüksek bölümdür. DMZ ağı, iç ağ bölümüne ve dış ağ bölümüne (GAŞ, internet) hizmet
veren sunucuların oluşturduğu bölümdür. Güvenlik duvarı bu farklı güvenlik seviyesine sahip ağlar
arasındaki trafiği düzenleyerek ağın güvenli ve yüksek performanslı olarak çalışmasını sağlar.
İç ağ, ağ kullanıcıları ve bu kullanıcılara hizmet veren sunuculardan oluşmaktadır. İç ağda bulunan
sunucular sadece iç ağdaki kullanıcılara ve istemcilere hizmet veren sunuculardan oluşmalıdır. İç
ağda bulunan sunucuların ve istemcilerin IP adresleri gerçek IP adresleri olmamalı, iç ağda
kullanılan sanal IP adresleri olmalıdır. İç ağdaki herhangi bir bileşen geniş alan ağıyla haberleşmek
istediğinde iç ağdaki IP adresleri güvenlik duvarı üzerinde adres dönüşümüne tabi tutularak
dönüştürülmüş IP adresleri ile geniş alan ağına açılmalıdır. İç ağdan geniş alan ağına olan adres
dönüşümü dinamik adres dönüşümü olmalı, bu sayede iç ağın IP adres bloğu gizlenebilmelidir.
Dış ağ bölümü DMZ bölümündeki sunuculardan servis alan kullanıcıların ve kullanıcı
bilgisayarlarının bulunduğu bölüm veya iç ağ ve DMZ bölümündeki sistemlerin servis aldığı
bölümdür.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
38 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Mimari topolojilerde bulunan DMZ bölümü ise iç ağ ve dış ağ kullanıcılarının hizmet aldığı
sunuculardan oluşan ve iç ağdan farklı güvenlik seviyesine sahip bir bölüm olarak tarif edilebilir.
Güvenlik duvarı üzerinde iç ve dış ağ bölümlerinden DMZ bölümüne erişim için sadece DMZ
bölümündeki sunucuların sunduğu servislere ihtiyaç dahilinde ve güvenlik gereksinimleri göz önüne
alınarak izin verilmelidir. E-posta, web, alan adı, vekil sunucuları genel olarak DMZ bölümünde
bulunabilecek belli başlı sunuculardır. DMZ bölgesindeki sunucular için gerçek IP adresleri
kullanılmamalıdır. DMZ bölümünde kullanılacak IP adresleri IETF’un tanımladığı rezerve edilmiş
IP adresleri (10.0.0.0/24, 192.168.0.0/16, 172.16.0.0-172.31.255.255) olmalıdır. Bilindiği üzere
rezerve edilmiş IP adresleri dış ağda yönlendirici tarafından yönlendirilmediği için bu bölümde
bulunan sunucular için statik adres dönüşümü kuralları uygulanmalıdır. Ayrıca DMZ bölümünde
bulunan tüm sunucular anahtarlama cihazlarına bağlanmalıdır. Anahtarlama cihazlarına bağlanan
her bir sunumcunun MAC adresi anahtarın ilgili portuna kilitlenmelidir.
4.4 İki veya Daha Fazla Güvenlik Duvarı Kullanılarak Gerçeklenmiş Ağ Mimarisi
Modeli
Şekil 7 Ardışık bağlı iki güvenlik duvarı ile gerçeklenmiş bir ağ modeli
Mimari topolojide ağ erişimini sıkı bir şekilde denetlemek için iki güvenlik duvarı ardışık olarak
kullanılır. Bu topoloji genellikle sıkı güvenlik istenen sistemlerde kullanılır. Çünkü herhangi bir
sebepten dolayı yetkisiz bir kullanıcının güvenlik duvarlarının birinden geçmesi durumunda diğer
güvenlik duvarının yetkisiz kullanıcıyı durdurması hedeflenir. Güvenlik duvarları içerisine
yerleştirilmiş bir arka kapı, ajan yazılımın veya güvenlik açıklığının tüm sistemi etkileme riski azaltılır.
Bu yapıda güvenliğin maksimize edilmesi için ağda kullanılan güvenlik duvarlarının farklı
üreticilerden seçilmesine ve birbirini tamamlayıcı nitelikte olmasına dikkat edilmelidir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
39 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Ardışık iki güvenlik duvarının bağlanması güvenliği arttırmanın yanında çok sayıda DMZ
bölgesi oluşturma ve her birinde farklı güvenlik seviyesi elde etmeyi sağlamaktadır.
Mimari topolojinin geniş alan ağına bakan tarafındaki güvenlik duvarı geniş alan ağı, DMZ 1, DMZ 3
ve Güvenlik Duvarı 1 arasındaki mantıksal bilgi akışını kontrol eder. Bu kısımda kullanılan güvenlik
duvarı türünün durumsal filtreleyici olması yeterlidir. Güvenlik Duvarı 2 üzerinde oluşturulan DMZ
bölgelerinde genellikle dış ağ kullanıcılarına hizmet veren sunucular bulunur. Arka kısımda
bulunan Güvenlik Duvarı 1 ise iç ağ, iç ağ sunucuları, veritabanı ve DMZ bölümleri arasındaki
mantıksal bilgi akışını yönetir. Güvenlik Duvarı 1’e bağlı DMZ’lerde bulunan sunucular genellikle iç
ağ kullanıcılarına hizmet verirler. Bu kısımda kullanılacak güvenlik duvarlarının gerektiğinde OSI
referans modelinin 4–7 katmanlarında hizmet verebiliyor olması gerekmektedir.
4.5 Saldırı Tespit Sistemlerinin Ağ Mimari Modellerinde Konumlandırılması
Şekil 8 Saldırı Tespit Sistemlerinin Ağ Mimarisindeki Yeri
Ağa yapılan saldırıların anlaşılabilmesi için saldırı tespit sistemi değişik şekillerde
konumlandırılabilir. Bunlarda yaygın olarak kullanılanları: yönlendirici ve güvenlik duvarı arasında
konumlandırma, güvenlik duvarı ile iç ağ arasında konumladırma, veya birden çok arayüzü
dinleyecek şekilde konumlandırma olabilir.. Yönlendirici ve güvenlik duvarı arasındaki
bağlantı iki şekilde yapılabilir. Birincisinde güvenlik duvarı ile yönlendirici arasına bir HUB
yerleştirilir ve STS de bu HUB’a bağlanır. HUB, herhangi bir portuna gelen bilgiyi diğer portlarına
genel yayınla gönderdiği için STS ağa giren ve ağdan çıkan tüm bilgileri dinleyebilir. İkincisinde
ise araya bir anahtarlama cihazı yerleştirilir. Yönlendirici, güvenlik duvarı ve STS bu anahtara
bağlanır. Yönlendiriciden güvenlik duvarına bilgi aktaran port STS’ye aynalanır (mirroring). Bu
şekilde yönlendiriciden çıkan tüm bilgiler STS’ye gönderilmiş olur. STS de gelen paketleri
inceleyerek bir saldırı varsa gerekli uyarıları yapar.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
40 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Şekil 9 Çok noktadan dinleme Yapan bir saldırı tespit sistemi
Özellikle hassas bilgi işleyen, saklayan bilgi sistem organizasyonlarında gerek iç ağın gerekse DMZ
ağ segmentinin maruz kalacağı saldırıların tespiti önem kazanmaktadır. Bu durumda her bir ağ
segmentine ya da kritik olarak önceliklendirilmiş ağ segmentlerine yapılacak saldırıların tespiti
gereklidir. Bazı ağ tabanlı saldırı tespit cihazları birden fazla arayüze sahiptirler. Bu türde saldırı
tespit sistemleri birden fazla ağa bağlanıp geçen trafik incelenebilmektedir. Aynı iş birden fazla tek
arayüze sahip saldırı tespit sistemleri ile de gerçekleştirilebilir. Birden fazla saldırı tespit sistemi
kullanmak daha spesifik imzalar kullanılması sebebiyle “false pozitive” log sayısını da azaltacaktır.
Örneğin MZ bölgesinde bulunan veri tabanı sunucularının işletim sistemine ve ilgili veritabanı tipine
uygun imzalar seçilmesi ile gereksiz log fazlalıkları engellenebilir. Güvelik duvarının arkasında
bulunan bir ağa bağlanan arayüzü (ör: DMZ ağı) sadece ilgili ağa gelen saldırıları tespit
edebilmektedir. Birden fazla ağ segmentine kurulacak saldırı tespit sistemleri olası iç saldırılara
(bilinçli/ bilinçsiz) karşı farkındalık sağlayacaktır. Örneğin iç ağda bulunan bir PC ye bulaşmış bir
“worm” DMZ de bulunan sunuculara sürekli port taraması yapmakta olduğunu düşünelim. Bu
durumda sadece güvenlik duvarının dışına bağlanacak saldırı tespit sistemi iç ağ kaynaklı
gerçekleşebilecek saldırıları tespit edemeyecektir. Güvenlik duvarının iç ağa veya DMZ ağına
bakan arayüzüne bağlanmış bir saldırı tespit sistemi ile bu tür istenmeyen durumların tespiti
sağlanabilir.
Saldırı tespit sistemi yönetimi münferit bir bilgisayarla yapılabileceği gibi bir güvenli yönetim ağı
oluşturulup, bu ağda konumlandırılan bir bilgisayarla da yapılabilir. Burada amaç yönetim işlevlerinin
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
41 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
güvenliğini sağlamak olmalıdır. Sunucular üzerine kurulmuş olan saldırı tespit sistemi ise sadece o
sunucuya yapılan saldırıları algılar ve gerekli uyarı mesajlarını oluşturur.
4.6 Saldırı Engelleme Sistemlerinin Ağ Mimari Modellerinde Konumlandırılması
Şekil 10 Saldırı engelleme sistemlerinin ağ mimarisindeki yeri 1
Bu mimari daha çok saldırı engelleme sistemleri için uygulanır. Saldırı engelleme sistemleri köprü
(bridge) modunda çalışır. Saldırı tespit/engelleme sistemi kendisine gelen paketleri inceleyerek
saldırı varsa tespit eder ve gerekli uyarıları verir. Bu tür çalışan cihazların önemli bir özelliği
herhangi bir şekilde elektrik kesilmesi ya da arızalanması durumunda girişini ve çıkışını kısa devre
ederek ağın iletişimini durdurmamasıdır. Saldırı Engelleme Sistemi Güvenlik duvarı ile
yönlendirici arasında konumlandırılabileceği gibi (Şekil 10) dışarıdan bakıldığında güvenlik
duvarından sonrada konumlandırılabilir (Şekil 11).
Şekil 11 Saldırı engelleme sistemlerinin ağ mimarisindeki yeri 2
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
42 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Saldırı Engelleme Sisteminin güvenlik duvarının arkasında konumlandırılması Saldırı Engelleme
Sisteminin bazı saldırılara karşı güvenlik duvarı tarafından korunmasını sağlayacaktır. Bununla
birlikte önüne konulduğu ağ segmenti (Şekil 11’de DMZ olarak görünmektedir) dışında kalan ağ
segmentlerinin (Şekil 11’de “ağ segmenti” olarak görünmektedir) saldırı engelleme sistemi tarafından
korunması mümkün olmayacaktır.
4.7 Sanal Özel Ağ Cihazlarının Ağ Mimari Modellerinde Konumlandırılması
Şekil 12 VPN cihazlarının iç ağ segmentinde kullanılması
VPN cihazları genellikle güvenlik duvarı ve iç ağ arasında yer alır. VPN cihazları veriler üzerinde
güvenlik sağlamasına karşın kendisini TCP/IP saldırılarına karşı koruyamaz, bu yüzden de güvenlik
duvarının arkasında konumlandırılır. Bununla birlikte DMZ segmenti ile güvensiz ağ arasında
gerçekleşecek trafik VPN cihazı kontrolünde değildir. Tüm ağ segmentlerine ait trafiğin VPN
tarafından kontrol edilmesi, politika gereğince gerekli gizlilik kimlik doğrulama işlemlerinin yapılası
gerekli olduğu durumlarda Şekil 4-11 daki bir mimari tercih edilebilir.
Şekil 13 VPN cihazlarının güvenlik duvarı dışında kullanılması
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
43 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
4.8 Sanal Özel Ağ Cihazlarının Ağ Mimari Modellerinde Konumlandırılması
Şekil 14 İçerik kontrolcüsünün ağ mimarisindeki yeri
İçerik kontrolcüsü ağa gönderilen zararlı içeriklerin engellenmesini amaçlamaktadır. Bu içerik
kontrollerini http, ftp, smtp ve POP3 protokolleri için yapmaktadır. İçerik kontrolcüsü yazılım tabanlı
veya donanım tabanlı olabilir. Yalnız başına ya da güvenlik duvarı ile entegre bir şekilde
çalışabilir.
4.9 Diyotun Ağ Mimari Modellerinde Konumlandırılması
Aşağıda güvensiz ağdan güvenli ağa tek yönlü bilgi aktarımını içeren bir ağ mimarisi verilmiştir. Bu
örnekte sadece mimariyi şekillendiren temel güvenlik önlemlerinden bahsedilmiştir. Tek yönlü bilgi
aktaracak kurum sayısının birden fazla olması durumunda, sistemin ortak olarak kullanılması ya da
ağlar arası bağlantı için kullanılan bileşenlerin bir ya da daha fazlasının (güvenlik duvarı, dış sunucu,
iç sunucu, diyot vb.) ayrıştırılması bağlantı durumuna özel olarak değerlendirilmelidir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
44 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Şekil 15 Güvensiz ağdan güvenli ağa tek yönlü bilgi aktarımını içeren ağ mimarisi
4.10 Sanal Hava Boşluğu Sistemlerinin Ağ Mimari Modellerinde
Konumlandırılması
Sanal hava boşluğu sistemleri gizlilik seviyesi farklı iki farklı ağ arasında doğrudan bağlantı
oluşturmadan, fiziksel veya elekromanyetik olarak izole edilmiş bölge üzerinden veri transferi yapan
sistemlerdir. Ağ mimarisinde güvenlik duvarı gibi diğer güvenlik çözümlerinin arkasında olacak
şekilde ağ trafiğinin çıkış noktasında konumlandırılmalıdır. Bu şekilde bu sistemlerin de korunması
sağlanmalıdır.
Şekil 16 Sanal hava boşluğu sistemlerinin ağ mimarisindeki yeri
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
45 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
4.11 Vekil Sunucuların Ağ Mimari Modellerinde Konumlandırılması
Vekil sunucular web sunucuları gibi uygulama sunucuları için kullanıcıların isteklerine cevap
verdikleri için iç ağdaki ilgili uygulama sunucusunun önünde yer almalıdır.
Şekil 17 Vekil sunucuların ağ mimarisindeki yeri
4.12 Yük Dengeleyicinin Ağ Mimari Modellerinde Konumlandırılması
Yük dengeleyici gerek ağ seviyesinde gerek uygulama seyisinde uygulama sunucularının kaynak
kullanımını optimize etmek için kullanılmaktadır. Ağ trafiği birden fazla uygulama sunucusuna
paylaştırılarak sunucuları aşırı trafikten korumaktadır. Ağ mimarisinde yük dağıtımı yapılacak aynı
işlevi yerine getiren sunucularının önünde konumlandırılmalıdır.
Şekil 18 Yük dengeleyicinin ağ mimarisindeki yeri
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
46 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
4.13 Ağ Erişim Kontrolü Sistemlerinin Ağ Mimari Modellerinde
Konumlandırılması
Ağ erişim kontrolü sistemleri son istemcilerin ağa erişimleri kontrol eden ve onların bilgisayarları
üzerinde erişim politikalarına göre denetim gerçekleştiren sistemlerdir. Bu yüzden anahtarlara
doğrudan bağlantılı olarak çalışmaktadırlar. Farklı firma çözümlerine göre örneğin uzak yöentim
sunucusu gibi farklı sunucu gereksinimleri de oluşabilir.
Şekil 19 Ağ Erişim kontrolü sistemlerinin ağ mimarisindeki yeri
4.14 Veri Sızıntısı Önleme Sistemlerinin Ağ Mimari Modellerinde
Konumlandırılması
Ağ tabanı veri sızıntısı önleme sistemleri verinin ağ dışına çıktığı noktada, güvenlik duvarının
arkasında konumlandırılması gerekmektedir. Bu sayede bütün ağ trafiği veri sızıntısı önleme
sisteminden geçmelidir. Ağ tabanlı veri sızıntısı önleme sistemi, politika ve kuralları ile ağ trafiği
üzerinden gizlilik seviyesi tanımlanmış verilerin ağ dışına çıkmasını engelleyecektir.
Son kullanıcıya hizmet veren iş istasyonları ya da sunuculara kurulan sunucu tabanlı veri sızıntısı
engelleme sistemleri, kurum içi grupların birbiri ile iletişimini denetlemektedir. Durağan verileri
sınıflandırarak veya özetini alarak ağ trafiğinde belirlenebilir duruma getirmektedirler. Bunun yanında
faklı şekillerde veri kaçırma ihtimallerini de (usb, taslak olarak bekleyen e-postalar vb.)
engelleyebilmektedirler. Bu sunucular ağ içerisindeki kritik sunuculara erişebilecek yerde ve yetkide
olacak şekilde farklı bir sunucu üzerinde de konumlandırılabilirler.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
47 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Şekil 20 Veri sızıntısı önleme sistemlerinin ağ mimarisindeki yeri
4.15 Çok Sayıda Güvenlik Cihazı İçeren Bir Mimari Model
Bundan önceki kısımlarda güvenlik ürünleri için ayrı ayrı mimari modeli verilmiş, bu modeller
üzerinde açıklamalar yapılmıştır. Aşağıdaki mimari modelinde de kurumsal bir ağ için birçok
güvenlik önleminin bir arada kullanıldığı bir model örnek olarak verilmiştir. Bu mimari modeli ve diğer
mimari modelleri tavsiye niteliğindedir. Her organizasyon kullandığı teknolojiye, kullandığı yazılım,
donanım envanterine, işlediği bilgi hassasiyet seviyesine ve iş hedeflerine bağlı olarak kendisi için
en uygun mimari modelini kendisi belirlemelidir.
Organizasyonda bilgi güvenliği için yapılacak risk analizi çalışmaları, organizasyonun o anki
durumunu sergileyecektir. Bazı durumlarda organizasyonda yapılan işin sürekliliği için belirlenen
risklerde, bazı durumlarda ise bilginin gizliliği için tespit edilen risklerde kabul edilebilir seviyenin
üzerinde sonuçlarla karşılaşılacaktır. Erişilebilirlik /kullanılabilirlik ile ilgili yapılacak iyileştirmelerde
yedekli yapıdaki sistemler kullanılması, gizlilik ve bütünlükle ilgili alınması gereken önlemlerde ise
kriptografik önlemler alınması tavsiye edilmektedir.
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
48 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
Şekil 21 Çok sayıda güvenlik cihazı içeren bir mimari model
SBLN Rev 2.0/ 15.01.2014
AĞ MARİSİ GÜVENLİĞİ KILAVUZU
49 / 49 BILGEM-[SurecKodu]-KLVZ_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
KAYNAKÇA
[1] Mark Levitt and Brian E. Burke, Choosing the Best Technology To Fight Spam, IDC, April
2004
[2]<http://www.commtouch.com/documents/040429_IDC_Choosing%20_the%20_Best
%20_AS_Technology.pdf>
[3] CISSP: Certified Information Systems Security Professional Study Gide 2nd Eddition, Ed Tittel,
James Michael Stewart, MikeChapple
[4] Joseph Steinberg, SSL VPN Security, Whale Communications, 16 Mayıs 2003