Network’ünüz Ne Kadar Güvenli?

Hızla gelişen teknolojik gelişimler bireysel ve kurumsal olarak hayatımızı kolaylaştırmaya devam ediyor. Bunula beraber bilimsel ve teknolojik gelişmelerin hızla ilerlemesi kurumları hem donanım hem yazılım tabanlı birçok güvenlik ürününe yönlendiriyor. Bu gelişimler de güvenlik alanında çözüm sunan ürünlerin daha üst seviye protokollere yükseltilmesini gereklilik haline getirmektedir. Sektörün önemli isimlerine günümüz Network güvenliği konularını, günümüz tehditlerini, yapılması gerekli yatırımları konuştuk…

Bilgi çağında yaşıyoruz, kurumların sahip olduğu bilgiler çok önemli hale geldiği ve bilginin ele geçirilmesi hedeflendiği için, saldırılar son kullanıcı zafiyetleri ve yazılım güvenlik açıklarına doğru yönelmiştir. Bu nedenle, bütünsel bir bakışla ağ güvenliğini tamamlamak üzere uç nokta güvenliği, veri güvenliği ve uygulama güvenliği kavramlarından bahseder hale geldik. Önceleri ağ (network) güvenliği dendiğinde akla internet tarafı geliyordu ve önlem olarak da güvenlik duvarının(firewall) yeterli olacağı düşünülüyordu. Oysa günümüzde ağ güvenliğini iç ve dış olarak ayırmak gerekiyor. Protokollerin yükseltilmesi ve güvenliğin daha da önemli hale gelmesinin bir başka nedeni de network üzerinde akıllı cihazların ve kendi cihazını getir (BYOD) kavramlarının gün yüzüne çıkmasıyla network alanında güvenlik ve bununla beraber performanslı çalışma da ön plana çıktı. Kurumlar güvenliğe yatırımı elbetteki ön planda tutmak zorundalar ancak bunun yanında işlerinde performans düşüklüğünü de kabul etmek istememekteler. Bunun için bu alanda çözüm sunan kurumlar da hem network güvenlik hizmeti sunmak hem de bu hizmetleri ile çözüm sundukları kurumların performansına negatif yönde etki etmemek zorundalar. Teknolojinin hızlı ilerleyişine paralel olarak, gerek bireysel gerekse de kurumsal internet kullanımının hızlanması ve yaygınlaşması bilgi güvenliğini doğrudan etkileyen başka bir etken olarak ortaya çıkmış durumda. Firmalar ve bireysel kullanıcılar firewall cihazları, anti virüsler, web filtreleme, saldırı tespit sistemleri gibi birçok ürünü kullanmak zorunda. Ancak günümüzde network saldırıları öyle bir boyut kazandılar ki, artık sizi bilinen değil bilinmeyenlere karşı koruma sağlayan firmalar daha ön plana çıkıyor. İş yaşamı dinamikleri nedeniyle artık istenilen her yerden şirket kaynaklarına erişim zorunlu hale geldi. Bu alanda teknolojik gelişmeler ve çözümler hızla artmakta ve çeşitlenmekte. SSL VPN ve çok yönlü kimlik doğrulama yöntemleri ile şirkete dışarıdan erişim artık daha güvenli ve esnek, iç tarafta disk ve medya şifreleme, erişim denetimi (NAC) ile iç kullanıcı kontrol edilebilir, veri güvenliği (DLP) ile de bilgiye erişim ve değişim izlenebilir ve denetlenebilir hale geldi. Network terimi ile ilgili bir açıklık getirelim. Network birbirine kablolarla bağlanmış sunucu, yazıcı, bilgisayar, modem gibi birçok haberleşme ekipmanının en ekonomik ve verimli yoldan kullanılmasıdır. Network ağı insanların bireysel değil, ortak çalışmalarını sağlar. Sistem veri, yazılım ve ekipman paylaşımıdır. Küçük bir network ağı iki bilgisayardan oluşabileceği gibi, büyük bir network ağı ise binlerce bilgisayar, fax-modem, cd-rom sürücü, yazıcı ve bunun gibi ekipmanlardan oluşabilir.

Bilinçlendirme yapılmalı!..

Bugüne kadar yapılan araştırmalardan çıkan sonuçlar network saldırılarının birçok yönünü açıklıyor. Ancak belki de en önem verilmesi gereken noktası ise kurumsal çalışanların veya bireylerin bu alanda yapması veya yapmaması gereken konular üzerinde bilgilendirilmesi. Ne kadar ciddi boyutlarda bir network güvenliği yatırımı yapmış olsanız da veri hırsızlığı amacı ile gönderilen ki son zamanlarda bu alanda birçok örneğe şahit oluyoruz, sahte e-postalara yanıt verilmesi, internet üzerinden gönderilmiş virüs riski taşıyan dosyaların indirilmesi, ya da korsan yazılımlı bir içeriğin internet üzerinden indirilmesi gibi vb. konular network güvenliği noktasında kurumları tehdit etmeye devam ediyor. Bu konuda önemli olan gerekli eğitimlerin artırılması ve bilinçlendirme çalışmalarının devamıdır.

Bu konudaki alınması gereken önlemleri anlatır mısınız?

Bu konuda alınması gereken önlemler noktasında sektör yetkilileri öncelikle yapılması gerekenin tüm sistemin gözden geçirilmesi gerektiğini belirterek zafiyetler ve güvenlik riskleri, doğurabileceği zararlar ve alınabilecek önlemler firmaya özel analiz yapılarak çıkartılması gerektiğini belirtiyor. İç ve dış ağ bağlantılar için kullanılan yöntemler gözden geçirilmeli ve günün teknolojisine uygun hale getirilmeli. Kullanıcı tarafındaki güvenlik maksimum seviyeye çıkarılmalı ve bu konuda kullanıcılar bilgilendirilerek farkındalığın hissettirilmesi gerekmekte. Bilgi çağı diye adlandırdığımız, bilgiye erişimin ve bilginin korunmasının çok önem kazandığı günümüzde, “bilgi güvenliği” konusunda bilinçlendirme çalışmaları yapılmalı ve projeler üretilmeli. Veri güvenliği konusunda kurumsal politikalar oluşturulmalı ve bu politikaların uygulanması için gerekli teknolojik yatırım yapılmalıdır. Bu doğrultuda, bilginin şifrelenerek saklanması, veri bütünlüğü, bilginin şirket dışına çıkmaması, güvenli e-mail ve internet hizmeti, erişim denetimi gibi daha pek çok konuda projeler hayata geçirilebilir. Ayrıca, kurumsal iletişimin devamlılığı için sistemdeki tüm araçlar merkezi olarak izlenebilir, loglanabilir ve yönetilebilir olmalıdır. Bunun için gerekli yatırımlar yapılmalıdır. Yetkililer günümüzde ağ güvenliği konusunun ağlara dâhil olan cihaz sayısı ve bu ağlar üzerinde iletilen bilginin miktar ile mahiyetinin artması sonucu daha da kritik bir hal aldığını, ağ tehditlerinin ise varlıklarını çeşitlendirerek ve geliştirerek sürdüreceğini ön görüyorlar. Dolayısıyla 2015 ve sonrasına bakacak olursak sürdürülebilir güvenlik stratejileri firmaların başarıya ulaşmaları için kaçınılmaz bir faktör olarak daha da önem kazanacaktır.

Peki network ağına neden ihtiyaç duyarız?

Network ağının çalışma hayatımızda bize nasıl bir katkı sağladığını düşünelim. Network ağı kavramının en büyük kazançlarından en önemlileri zaman ve paradır. Öncelikle tüm dünya ile iletişimin sağlanması için çok büyük bir ihtiyaçtır. Ayrıca çalışanların kendi aralarındaki gerek iletişim gerekse de bilgi alış verişi için gereklidir. Ofisinizde her çalışan için ayrı ayrı yazıcı, modem, disk ünitesi kullanmanızı da önleyerek size ayrı bir kazanç da sağlamaktadır. Şirketler kendi içindeki ağların korumasını çok ciddi bir şekilde yönetmeleri gerekmektedir. Ağ sisteminizin dış dünyadan gelecek olan saldırılara karşı korunması gerektiği gibi ayrıca bu işin bir kendi ağınızın içindeki bireysel kullanıcılardan gelecek olan bilinçsiz saldırılarda ciddiyetini korumaktadır. Bu tür bir saldırının ortaya çıkartacağı problemler ise ciddi anlamda başınızı ağrıtabilecek seviyelere çıkabilir. Örneğin sisteminizde gezinen bir casus yazılımın, sisteminizdeki kilitli noktaları zayıflatarak önemli olan belgelerinizin piyasaya yayılmasına sebep olabilir. Bu tip durumlardan korunmak için kullanılan genel terim firewall (güvenlik duvarı) olarak bilinmektedir. Güvenlik duvarı, kurum içi ağ ile dış ağlar arasında bir geçit olarak görev yapmaktadır. İçeri giren ve dışarı çıkan verilen güvenliği, kontrolü ve muhafazası işlemleri başlıca görevlerindendir. Güvenlik duvarının, yazılım ve donanımla entegre olarak çalıştığı çözüm servislerini şöyle sıralamak mümkün.

NAT (Network Address Translation): İç ağınızda bulunan bir bilgisayara direk dışarıdan bir müdahale imkânını önlemektedir. İç ağda bulunan makineler kurmuş olduğunuz NAT sunucusunun reel ip’sini kullanarak dışarı çıkar ve kendisine gelebilecek olan direk müdahaleyi önlemiş olur.

Port kapatma, Paket Filtreleme: Bu sistem en basit güvenlik duvarı olarak görülmektedir. Sisteminize girmeye çalışan paketleri sınıflandırarak, koyulmuş olan yasak paketlerin girişini engeller. Bu sistemin çok zayıflıkları bulunmaktadır. Bu zayıflıklar ancak filtreleme yöntemlerinin iyi yönetilmesiyle aşılabilmektedir. Güvenlik duvarından geçen her IP paketine bakılması ve ancak belli şartlara uyarsa geçişine izin verilmesi şeklinde uygulanır.

Dinamik (Stateful) Filtreleme: Dinamik filtreleme, paket filtrelemeden farklı olarak, kendin ağ sisteminden çıkan paketlerin, dışarıdan aldığı cevapla geri döndüğünde güvenlik duvarından geçişine müsaade edilmesini sağlamaktadır. Dezavantajı ise dinamik filtrelemenin çok daha fazla işlemci gücüne ve belleğe ihtiyaç duymasıdır.

DMZ (De-Militarize Zone / Silahtansızlandırılmış Bölge): Ağınızın yönetiminde kullandığınız ve SMS gibi, web yayın gibi işlemler için kullandığınız serverlerin güvenliğini esas almaktadır. DMZ sistemi bu serverlerle, iç ağdaki kullanıcıları ayıran sistemdir. Server üzerinde çift çıkışlı bir sistem kurularak, biri ağın kendi içine diğeri ise dış ağa yönlendirme yapmaktadır.

Proxy: Proxy sistemi hem güvenlik hem de bantgenişliğinin verimli kullanılmasını amaçlamaktadır. Proxy sisteminize yapmış olduğunuz tanımlamalar sayesinde istenmeyen web sayfası, ftp gibi sistemlere bağlanılmasını önlemektedir. Bantgenişliği bakımından değerlendirirsek, yukarıda bahsettiğimiz sistemlere girildiğinde burada bulunan bilgiler sistemde depolanır. Aynı yere başka bir kullanıcının girmesi durumunda, direk sistemden alarak hem hızlı ulaşım imkânı sağlanmış olur hem de gereksiz kullanım önlenmiş olur.

Antivirüs çözümleri: HTTP, FTP ve SMTP trafiğini üzerinden geçirerek virüs taramasını yapmayı ve kullanıcıya gelmeden önce virüslerden temizlemeyi hedefleyen sistemlerdir.

VPN (Virtual Private Network – Sanal Özel Ağ): Ortak kullanıma açık veri ağları üzerinden kurum ağına bağlantıların daha güvenilir olması için VPN kullanılmaktadır. İletilen bilgilerin şifrelenerek gönderilmesi esas olarak alınır. Firmaların networklerine veya networklerindeki Serverlara, yöneticilerinin, uzak ofislerin mobil veya özel data hatları üzerinden güvenli bir şekilde erişmesini sağlar. Bütün bunların haricinde elbette ki işletim sisteminin doğru kurulması, gerekmeyen servislerin kaldırılması ve bazı yamaların yani güncellemelerin yüklenmesi gerekmektedir.