Anasayfa Yap
   
  gameturkhacker
GAMETURKHACKER
=> _RoC_ Logger 6
  Ağ Güvenliği İçin 10 Altın Kural
 
1. Kurumsal ağ kaynaklarınızı iç ve dış tehditlere karşı korumak


Günümüzde kurumlar için yerel ağ kavramı artık, iç ağ/dış ağ ayrımı 
yapılmaksızın, kurumdaki herhangi bir kişiye, herhangi bir yerden erişebilmek 
anlamında genişlemiştir. Ama bu gelişime paralel olarak, güvenlik uzmanları da 
ağlarına karşı olan tehditlerle başa çıkabilmek için daha komplike güvenlik 
politikaları uygulamak zorunda kalmaktadır. Bu tehditleden en başta geleni, 
önemli ağ kaynaklarını Internet’ten veya yerel ağdan gelebilecek muhtemel 
saldırılara karşı korumaktır. 

Ağ üzerinden erişim kontrolü, mevcut ağ kaynaklarını korumak için temel 
yoldur. Ölçeklenebilir kapsamlı erişim denetimi kuralları sayesinde, ağ güvenliği 
yöneticileri ağ bağlantıları için kaynak sistem, hedef sistem, ağ trafik türü ve 
uygulama zamanını belirlemek suretiyle esnek ağ erişim hakları belirleyebilirler. 

Ağ güvenliğini korumak tabi ki sadece spesifik kaynaklara erişim denetimi 
sağlamaktan ibaret değildir. Bundan başka, komple bir ağ güvenliği çözümü 
aşağıdakileri sağlamalıdır: 

· Ağ kullanıcıların kimliklerinin belirlenmesi

· Aktarım esnasında veriyi şifreleme

· Kayıtlı IP’leri optimize şekilde kullanma

· Ağ trafiğinin tümünün içeriğine güvenlik politikasını uygulama

· Saldırıları gerçek zamanlı olarak belirleme ve önlem alma

· Denetim bilgilerinin tümünün kayıtlarını tutma


Ayrıca güvenlik politkası, kurum içerisinde kullanılan mevcut ve ileride 
kullanılması muhtemel bütün uygulamalara tatbik edilebilmeli ve bağlantı 
sorunlarına, ağ performans düşüklüklerine yol açmamalıdır. 


2. Mobil ve uzak kullanıcılar için ağ bağlantısı sağlamak


Birçok şirket uzak kullanıcılarının bağlantıları için, büyük modem bağlantıları 
gerektiren geleneksel uzaktan erişim çözümleri ve pahallı dial-up telefon 
bağlantıları ile karşılaştırıldıklarında çok ekonomik çözümler sunan Internet 
üzerinde geliştirilen ağ uygulamalarının farkına vardılar. Uzak ve mobil 
kullanıcılarını kurumsal ağlarına Internet bazlı özel sanal ağlar (VPNler) aracılığı 
ile bağlamak isteyen firmaların sayısı arttıkça, bu kritik bağlantıların 
güvenliğinin sağlanması da büyük önem kazanmıştır. 

Bilgilerinizin Internet gibi herkese açık ağlar üzerinden iletimi sırasında 
güvenliğinden emin olabilmek için iki temel unsurun yerinde uygulanması 
gerekir. Birincisi, hem uzak istemci, hem de kurumsal Internet ağgeçidi 
seviyesinde mümkün olan en güçlü tanılama sağlanmalıdır. İkincisi ise, bütün 
kullanıcı kimlikleri belirlendikten sonra, bütün veri trafiği gizlilik açısından şifreli 
olarak iletilmelidir.

Hem tanılama hem de şifreleme uygulamaları, ağ güvenlik çözümü çerçevisinde 
kesintisiz ve uyumlu olarak çalışmalıdır. Erişim denetimi gibi ağ güvenlik 
kriterleri sanal özel ağ iletişimlerinde de çok önemli role sahiptir. Uzak bir 
kullanıcının VPN ile kurumsal ofisine bağlantı kurması demek, buradaki tüm ağ 
kaynaklarına erişim hakkı kazanması anlamına gelmemelidir. 

Bir firma için uzak ağ bağlantı ihtiyacı arttıkça, ağ güvenlik yöneticileri 
yönetilebilir ve kullanımı kolay VPN çözümlerine ihtiyaç duyarlar. Ve seçilecek 
çözüm, kurulumu kolay, ileride eklenebilecek yüksek sayıda uzak kullanıcı 
sayısını destekleyebilecek esneklikte, son kullanıcı için ise kesintisiz ve 
transparan olmalıdır. 


3. Internet’i kullanarak kurumsal veri iletişim masraflarını düşürmek 


Güvenli ağ erişimi sağlamak amacıyla istemciler ve ağlar arasında kurulan VPN 
bağlantıları pahalı çözümler oldukları için, firmalar uzak ofis bağlantılarını 
sağlamak için Internet aracılığı ile ağlar arası veya bölgeler arası VPN 
bağlantılarını tercih ederek tasaruufa giderler. Ayrıca herkese açık hatlar 
üzerinden güçlü tanılama ve veri şifreleme özellikleri kullanarak, bilgi 
güvenliğinden ödün vermeksizin ticari iletişimleri de sağlamak mümkün olur. Bu 
sayede, frame-relay ve kiralık hatlara yüksek miktar yatırımlar yapmaya gerek 
de kalmaz. 

Gözden kaçırılmaması gereken bir konu ise, uzaktan erişim çözümü olarak güçlü 
tanılama ve şifreleme teknolojileri seçildiği vakit, bu seçimin beraberinde yeni 
güvenlik yönetimi zorlukları getirebilmesidir. Bu tip muhtemel zorlukları 
yaşamamak veya minumum seviyeye indirgemek için, tüm VPN bağlantı 
noktalarını merkezi bir konsol aracılığı ile yönetebilecek güvenlik çözümleri 
tercih edilmelidir. 

Internet üzerindeki VPN uygulamalarının sağladığı maliyet düşüklüğünün yanı 
sıra, ağ iletişimlerini özel dedike hatlardan Internet üzerine taşınması, 
beklenmedik performans düşüklüklerine ve erişim sorunlarına yol açabilir. Bu 
yüzden, sanal özel bir ağ bünyesinde öncelikli bağlantılar için entegre 
bantgenişliği yönetimi ve yüksek erişilebilirlik desteklenmelidir.


4. Güvenli bir extranet üzerinden iş ortaklarına ağ erişimi sağlamak


Kendinize ait ağ kaynaklarınızı (uzak ve mobil kullanıcılar, branch ofisler) 
güvenli şekilde birbirine bağladıktan sonra, sıra kurumsal ağınızı extranet 
uygulamaları aracılığı ile değerli iş ortaklarınıza ve müşterilerinize kontrollü bir 
biçimde açmaya gelir. Endüstri standartlarında protokollere ve algoritmalara 
bağlı kalarak gerekli extranet bağlantıları güvenli şekilde sağlanabilir. Ama bu 
tür bağlantılar için kesinlikle tescilli teknolojiler tercih edilmelidir. 

Internet bazlı VPN uygulamaları için kabul edilen standarda IPSec (Internet 
Protocol Security) adı verilir. IPSec, şifrelenmiş ve tanılanmış bir IP paketinin 
formatını ifade eder ve gelecek nesil IP iletişimi için gereklidir. Şifrelenmiş 
anahtarların yönetimini otomatikleştirmek için genellikle IPSec ile IKE (Internet 
Key Exchange) ile kullanılır.

Standart bazlı bağlantı kurulduğu zaman, dışardan erişecek kullanıcıların (iş 
ortakları, özel müşteriler) ihtiyaçlarına göre özel haklar sadece ilgili ağ 
kaynakları için tanınmalıdır. Kurumsal ağ kaynaklarının dışarıya açılma oranı 
arttıkça, bununla ilgili uygulanması gereken kapsamlı güvenlik politikası da 
periyodik olarak revize edilmelidir. 


5. Kurumsal ağınızın yeterli performansa, güvenilirliğe ve yüksek erişilebilirliğe 
sahip olması 


Kurumsal ağ bağlantılarında artan Internet kullanımının doğal sonuçlarından biri 
olan ağ tıkanıklıkları sonucu kritik uygulamalarda performans sorunları 
yaşanabilir. Ortaya çıkabilecek bağlantı hataları, ağgeçidi çökmeleri, ağ 
bağlantı gecikmeleri ve diğer performans düşüklükleri neticisinde firmalar büyük 
ekonomik kayıplar yaşayabilirler.

Internet ve Intranet hatlarının gereğinden fazla istemci ve sunucu tarafından 
kullanılması sonucu, trafik miktarına göre bağlantı kopuklukları, zayıf ‘response’ 
zamanları ve yavaş Internet kullanımı sorunları ile karşı karşıya gelmek 
normaldir. Bu gibi durumlarda, sınırlı bantgenişliği üzerinde mevcut hattı aktif 
olarak paylaştırmaya yönelik bir yönetime gidilmelidir. 

Eğer yerel ağınız bünyesinde yoğun trafik yaşanıyorsa, birçok kaynağınız 
(halka açık popüler bir Web sunucusu gibi ) negatif yönde etkilenebilir. Bir 
uygulama için bir sunucuya güvenmek, zayıf ‘response’ zamanlarına hatta 
bağlantı kopukluklarına yol açabilir. Sunucu yük dengelemesi bir uygulama 
sunucusunun işlevini birçok sunucu üzerine dağıtarak ölçeklenebilir bir çözüm 
sağlar. Bu yolla ayrıca, sunucular üzerindeki performanslar da arttırılmış olur. 

Performansın yettiği durumlarda dahi, ağgeçidi seviyesinde meydana 
gelebilecek bir hatayı tolere edebilecek güvenli bir ağ altyapı sistemi 
oluşturulmalıdır. Günümüzde artık çoğu kurum, ağgecidinde yaşayacakları anlık 
erişim sorunları yüzünden dahi büyük mali kayıplar yaşaycaklarından emin 
olarak yüksek erişilebilirliği destekleyen ağ güvenlik ürünlerini tercih 
etmektedir.

Yüksek erişilebilirliği destekleyen ürünler hem yazılım, hem donanım bazında 
yedeklemeli sistemler ile yüzde yüze yakın seviyelerde erişilebilirliği garanti 
ederler. Bir sorun meydan geldiği zaman, yüksek erişilebilirliği sağlayan 
bileşenler ağınızın güvenli olmasını sağlamalı ve son kullanıcıya tamamen 
transparan şekilde devam ettirilmelidir. Gerçek etkili çözümler sunacak ağ 
yöneticileri, iç ve dış kullanıcılarına daimi güvenilir servisler sağlamalıdır.


6. Kullanıcı bazında güvenlik politikalarını ağ seviyesinde uygulamak


Kurumsal ağ konseptinin genişlemesi, birçok ağ için kullanıcı, uygulamalar ve IP 
adres kullanımı sayılarında aşırı artışlara yol açmıştır. Bu tür dinamik ağ 
ortamlarında emniyetli ağ politikalarının uygulanması, kullanıcı bazında güvenlik 
politikalarının oluşturulmasıyla sağlanır. Bu politikalar çerçevesinde, ağ 
kullanıcıları için kişisel erişim denetimleri, tanılama prosedürleri ve şifreleme 
parametreleri belirlenir. Yüksek miktarda kullanıcı bilgisi içeren bu uygulamalarla 
uğraşmak ağ ve güvenlik yöneticileri için bazen kolay olmayabilir. 

Kullanıcı seviyesinde güvenlik bilgilerini ölçeklenebilir şekilde merkezi bir yerde 
depolamak için LDAP protokolü kullanmak en uygun çözümdür. LDAP 
sayesinde, bütün kullanıcı bilgileriniz tek bir veritabanında tutulup diğer ağ 
uygulamaları tarafından paylaşılır. Bununla birlikte ağ ve güvenlik yönetimleri 
paralel çalışarak güvenlik ile ilgili zaman harcatıcı rutin prosedürlerin aşılması 
sağlanır. 

Güvenlik denetimlerini en üst düzeyde tutmak için kullanıcı seviyesinde 
uygulanan güvenlik politikaların kayıtlarının tutulması ve bunların denetlenmesi 
gerekir. Kişisel güvenlik politikalarının uygulandığı ortamlarda DHCP 
protokolünün kullanılması etkili bir yol değildir. Bunun sebebi IP adres 
atamalarının dinamik olarak yapılmasıdır. 


7. Ağınıza karşı yapılan atakları ve şüpheli aktiviteleri anında algılamak ve 
bunlara cevap vermek 


Kurumsal ağ güvenliğinizi ancak ağınızı ve kullanıcılarınızı korumak için 
uyguladığınız güvenlik politikaları belirler. Ağ korumanızı devamlı olarak ayakta 
tutmanın yolu yetkisiz aktiviteleri gerçek zamanlı olarak tespit etmektir. 

Etkili bir saldırı tespit sistemi, atak ve şüpheli ağ aktivitelerini yetkin bir şekilde 
tespit ederek kurumsal ağ güvenliğinizin bir bacağını oluşturur. Ama bu 
istenmeyen trafiğin sadece saptanması yeterli değildir. Kullandığınız saldırı 
tespit uygulaması öte yandan belirlenecek bu tür istenmeyen bağlantılara 
anında yanıt verebilmeli ve ağ kaynaklarına yetkisiz erişimi engellemelidir. 

İyi dizayn edilmiş bir saldırı tespit uygulaması, gerçek zamanlı karşılıklara ek 
olarak kapsamlı kayıt tutabilme, komple denetim ve gerektiğinde ilgili kişileri 
ikaz edebilecek gelişmiş uyarı mekanizmalarına sahip olmalıdır. 


8. Ağınızın IP adres altyapısını güvenli ve etkili bir biçimde yönetmek


Ağlar üzerindeki kullaınıcı ve uygulama sayısı arttıkça, ağ cihazları ve 
kullanıcıları için gereken IP adres adres sayısı gittikçe daha çok artmaktadır. 
Buna paralel olarak da hızlı gelişen ağlarda IP adres ve isim alanı yönetimi 
zorlaşmaktadır. 

Eskisi gibi her bilgisayar ve ağ cihazının IP adres konfigürasyonunu manuel 
olarak kontrol etmek artık uygulanmamaktadır. Bunun sebebi, bu tip bir 
yönetimin günümüz ağları üzerinde hataya açık, zahmetli ve entegrasyon 
eksikli bir yapı oluşturacak olmasıdır. Böyle bir yapı da doğal olarak çok pahalı 
olmasının yanında, merkezi kontrol, ölçeklenebilme ve güvenilirlikten uzak 
olacaktır. 

Kurumsal bazlı IP ağ altyapınız için merkezi idare ve esnek yönetim sağlayan IP 
adres yönetim çözümleri ancak genel ağ altyapısı ile tamamen entegre 
olduklarında güvenlik politikaları için optimum kullanılmış olurlar. Daha spesifik 
olmak gerekirse, dinamik paylaşımlı dahi olsalar, mevcut IP adreslerini 
kullanıcılara birebir olarak eşlemek kullanıcı bazlı daha güçlü çözümler 
yaratmayı sağlayacaktır. 


9. Entegrasyona yönelik açık platform güvenlik çözümleri kullanmak 


Ağ güvenlik yöneticileri, korudukları ağ üzerinde kullanacakları yazılım 
uygulamaları ve ağ altyapısında kullancakları donanımları baş döndürücü bir 
devinim içinde gelişen bilişim teknolojileri pazarından seçmektedirler. Bu 
noktada dikkat edilmesi gereken husus, bütün ürünlerin birbirleri ile teknik 
olarak entegrasyon sorunu olamaksızın yüksek performans ile çalışması 
gerekliliğidir. 

Alternatif olarak, seçeceğiniz çözümleri geniş yelpazede çalışan üretici tek bir 
firmadan temin edebilirsiniz. Bu sayede ürünlerin sistemleriniz üzerinde 
entegrasyon sorunu olmadan çalışacağından emin olabilirsiniz ama bu aşamada 
da tercih edebileceğiniz uygulama sayısında daralma yaşarsınız. Bütün güvenlik 
ihtiyaçlarınızı temin edebilecek spektrumda hizmet veren tek bir üretici firma 
bulmanız pek muhtemel değildir. 

Ağ güvenliği için tercih edeceğiniz çözümler neler olurlarsa olsun, hepsinin 
seçiminde açık mimari platformu destekleyecek çözümler olmalarına dikkat 
edilmelidir. İyi tanımlanmış arayüzlere sahip açık bir mimari, genel güvenlik 
politikası çerçevesinde kullanılacak bütün ürünlerin birbirleri ile sorunsuz 
çalışmasını sağlayacaktır. Buna ek olarak size özel ağ güvenlik ihtiyaçları 
yaratmanız için uygulama programlama arayüzleri (API’ler) kullanılabilirsiniz.


10. Güvenli bir ağa sahip olmanın maliyet ve zahmetlerini azaltmak


Kurumsal ağınızın güvenliğini sağlamak için, seçtiğiniz çözümleri yönetecek ve 
denetleyecek kişilere önemli miktarda ücret ödemek durumundasınızdır. Bu 
yüzden bu kişilerin işlerini, entegre konsollar üzerinden merkezi olarak idare 
edebilecekleri çözümler tercih edilmelidir. Böylelikle büyük bir kurumsal ağ için 
dahi, tek bir kişi ağ güvenlik yöneticisi olarak ağ güvenliği denetimi yapabilir. 
Bundan başka güvenlik politikasında meydana gelecek çözümleri bütün 
uygulama noktalarına hemen aktarmak gerekir.
__________________
  
  Bugün 79 ziyaretçi (92 klik) kişi burdaydı!  
 
Bu web sitesi ücretsiz olarak Bedava-Sitem.com ile oluşturulmuştur. Siz de kendi web sitenizi kurmak ister misiniz?
Ücretsiz kaydol