Ağ Güvenliği Temelleri



Ağ Güvenliği Temelleri

İnternetin yaygınlaşması güvenli iletişimin gerekliliğini ortaya çıkarmıştır. Güven ortamının olmadığı bir alanda bilgisayarlar ile çalışmak beraberinde birçok zafiyeti doğurmuştur. Bu zafiyetlerin kötü amaçlı kişiler tarafından kullanılması kimi zaman devasa şirketlerin iflas etmesine neden olurken kimi zaman ülkelerde sansasyonel haberlerin çıkmasına neden olmuştur.

Kimi zaman ailelerin parçalanmasına sebep olurken kimi zaman bireyleri intihara sürüklemiştir. Bu nedenle vazgeçilmez olan internet dünyasında güvenliğe yeterince önem vererek bireyi korumacı bir yaklaşımla güvenlik politikalarının oluşturulması sağlanmalıdır.

1.2.1 Bilgisayar Ağ ve Bilgi Güvenliği

Bilgi güvenliği ya da daha geniş anlamıyla siber güvenlik bilgilerin izinsiz erişimlerden, kullanımından, açığa çıkarılmasından, imha edilmesinden, değiştirilmesinden veya zarar verilmesinden korunma işlemidir. Bilgisayar sistemlerinin kullanımlarındaki artışlarla birlikte yaşanan siber olaylarda da büyük ölçüde artışlar olmuştur.

Siber saldırıların bir kısmı siber güvenlik bilincinden yoksun kullanıcılar nedeni ile gerçekleşirken bir kısmı da sistemlere zarar vermek isteyen kötü niyetli kişiler tarafından gerçekleşmektedir. Siber güvenlik bilgi bütünlüğünün korunmasını hedeflerken aynı zamanda verinin güvenli bir şekilde ulaşılabilir olmasını da amaçlamaktadır.

Siber Saldırılar bir bilgisayara izinsiz erişimden başlamakta ve çok çeşitli alanlara kadar ilerlemektedir. İnternet dünyası söz konusu olduğunda saldırılar sadece erişim temelli olanlar ile sınırlı kalmamaktadır. Özellikle ağ saldırılarının yoğun ve önemli olmasından dolayı siber güvenliğin en temel konusundan birini ağ güvenliği oluşturmaktadır.

1.2.2 Ağ Güvenliğinin Önemi

Devletlerin ve içerisinde yaşayanların öncelikli ve ortak hedefi; her türlü tehditlerden korunmak ve bu amaçlar doğrultusunda tedbirler almaktır. Tüm canlılar ve canlı ruhuna bürünmüş olan firmalar, kurumlar ve devletlerin varlığını sürdürmek için her türlü kanaldan gelebilecek saldırılara karşı güvenliğini sağlaması gerekmektedir.

Günümüze kadar gelen klasik güvenlik anlayışı kapsamında tüm devletler hayati önem taşıyan güvenlik anlayışı için bir takım tedbirler almışlardır. Hukuki düzenlemelerin yapılması, polis teşkilatları, istihbarat teşkilatları ve askeri teşkilatların kurulması güvenlik ihlallerini engellemek için doğan doğal bir ihtiyaçtır.

Özellikle 2000’li yıllardan sonra bilgi ve iletişim teknolojilerinin hızlı bir şekilde gelişmesi tüm bireylerin ve kurumların tüm çalışmalarını bilgisayar ve bağlı olduğu ağlar üzerinden yapmaları ve hayatımızın her alanında teknolojinin kullanılması güvenlik olgusuna yeni yaklaşımları da beraberinde getirmiştir. Teknolojiden vazgeçemeyen toplumlar güvenliği artırma yoluna gitmektedirler. Hiç şüphesiz yeni güvenlik ihtiyaçları da eskiden gelen güvenlik ihtiyaçları kadar önem taşımaktadır. Bu nedenle özellikle büyük ağ sistemlerine sahip kurum ve kuruluşlar başta olmak üzere en değerli veri olan bilginin korunması için önlem alınması tüm taraflar için zorunlu hale gelmiştir.

Ağ güvenliği gün geçtikçe daha da önem kazanan bir konudur. Çok büyük öneme sahip özel ve kurumsal bilgilerin internet gibi global ve güvensiz bir ortamda dolaşması güvenlik kaygılarının artmasına sebep olmaktadır.

Ağ güvenliği genel olarak, bir kurumun veri iletişiminde kullandığı tüm kaynakların güvenli olup olmamasını konu edinmektedir. Sahip olunan kaynaklara yetkisiz ve illegal sebeplerle kötü amaçlı erişimleri engellemek ve verinin dolaşımı sırasında mahremiyetini, bütünlüğünü ve özelliğini korumak ağ güvenliği kapsamında yapılmaktadır.

İş yerine bir hırsız girmeden önlem almak çoğu kişi için masraf kalemi olarak görülebilmektedir. Ancak ne zaman değerli varlıklarımızı kaybedersek güvenlik önlemlerini almadığımız için üzülürüz. Kıt kaynaklar nedeni ile bilgi işlem personeli, siber güvenlik personeli yada network güvenlik önlemleri almayan bir firmanın vahşi internet ortamından payını alması kaçınılamazdır. Dünya artık eski dünya değildir.

Firmaların Ağınız ne kadar güvenli?

Ağınızda güvenlik açıkları varmı?

Bugüne kadar alınan güvenlik tedbirleri nelerdir?

sorularına verilecek cevabı bugün gözden geçirmeleri gerekmektedir. Çünkü yarın çok geç olacaktır.

1.2.3 Ağ Saldırılarını Algılama ve Önleme

Ağ sistemine genellikle saldırılar, yazılım açıkları, konfigürasyon açıkları, yeni teknoloji zafiyetleri, TCP/IP temelli zafiyetler, P2P bağlantılar, insan temelli zafiyetler, sistem yöneticilerinin ihmali gibi bir çok sebepten dolayı olmaktadır. Konfigürasyon açıkları genellikle sistem içerisinde yer alan cihazların ve üzerinde çalışan servislerin default ayarlarında bırakılması ya da yanlış yapılandırması gibi sebeplerden kaynaklanmaktadır.

Özellikle kurumlarda kablosuz cihazların artış göstermesi istismarların daha uzaktan yapılmasına sebebiyet vermektedir. Network içerisinde kullanılan aktif cihazların bilinen zafiyetlerinin kapatılmaması, işletim sistemleri ve firmware updatelerinin zamanında yapılmaması da network saldırılarına sebebiyet vermektedir.

Ağ güvenliğini sağlamak için birçok çalışmanın birlikte yapılması gerekmektedir. Her hangi bir çalışmanın eksik olması diğer çalışmalarda yapılan çalışmaları da sekteye uğratacaktır. Örnek teşkil edebilecek bazı güvenlik tedbirlerini kısaca aşağıdaki gibi açıklayabiliriz. Buna rağmen ağ yapıları farklı farklı olduğundan alınacak tedbirlerde çeşitlilik arz edecektir.

1.2.3.1 Ağ Trafiğinin Kontrol Altına Alınması

Ağ üzerinde güvenlik duvarı yapısının kullanılması oldukça önemlidir. Ancak güvenlik amacıyla tek başına yeterli olmamaktadır. Ağın yapısına göre farklı yazılım ya da donanımlarla desteklenmesi gerekebilmektedir. Ayrıca saldırı sadece kurum dışından gelmeyeceği için kurum içerisinin de takip edilmesi gelebilecek saldırılara karşı önlem alınması açısından önemlidir.

1.2.3.2 Kriptoloji

Paylaşıma açık bir ağ üzerinden veri aktarımı yapılacağı durumlarda şifreleme sistemlerinin kullanılması gerekmektedir. Güvenliğin öneminin artması ile birlikte çoğu protokoller şifreleme sistemlerini destekler durumdadır. Bu nedenle ihtiyaca göre ilgili protokollerdeki güvenlik tedbirleri uygulanması gerekmektedir. İleriki bölümlerde şifreleme çeşitlerine ve önemine değinilecektir.

1.2.3.3 Veri bütünlüğünün takibi

Transfer edilen verilerin süreç boyunca değiştirilip değiştirilmediğinin (data integrity) takibi, network güvenliği açısından önemlidir. Özellikle e-bankacılık için önem arz eden verinin doğruluğu ve veri bütünlüğü, günümüzde özel verilerin kullanıldığı tüm işlemlerde takip edilmesi ve göz ardı edilmemesi gereken bir durumdadır. Veri mahremiyeti network güvenliği için olmazsa olmaz olan ve istismara en açık konulardan biridir.

1.2.3.4 Yetkisiz iletişimin engellenmesi

Uzak bağlantılarda yetkisiz kullanıcıların OSI’nin 2. veya 3. katmanı düzeyinde engellenmesi gerekmektedir. Yerel alan ağına 2. düzeyde bağlanan kullanıcı o ağın üyesi olur ve tüm ağ imkânlarından yararlanır. Özellikle kablosuz ağlar ile artırılan menziller nedeni ile yetkisiz erişimler artabilmektedir.

1.2.3.5 Veriyi Gönderenin Doğruluğu

Alıcıya gelen veriyi gönderen kişinin doğru kişi olduğundan emin olunması önemlidir.

Yerine geçme en önemli saldırı tiplerinden biridir. Kimlik doğrulama işlemine (Authentication) denilmektedir.

1.2.4 Ağ Gizliliği

Bilişim ağları üzerinden gerçekleşen veri alışverişinin güvenli olarak yapılabilmesi için gizliliğe önem verilmesi gerekmektedir. Gizliliğin sağlanması hassas içeriklere sahip bilgilerin yanlış kişilerin eline ulaşmasını engellemek için önemlidir. Erişim yetkisi, söz konusu verileri görüntüleme yetkisine sahip kişilerle sınırlandırılmalıdır. Bu konu için firmaların uygulaması gereken senaryo için aşağıdaki örnek kullanılabilir; Bilginin istenmeyen kişilerin eline geçmesi durumunda görülecek zarar nedir? Bu sorunun cevabında ulaşılacak hasarın boyutlarına göre bilgiler kategorilendirilerek uygulanacak tedbirler belirlenmelidir. Kategorilerin çeşitlenmesi gizliliğin sağlanması açısından veriye ulaşımı da çeşitlendirecektir.

Bazen kurumlardaki veriler tahmin edilenden çok daha hassas olabilmektedir. Bu tip durumlarda kurumlar tedbir uygularken insan faktörünü de ihmal etmemelidir. Güvenlik riskleri ve bu riskler karşısında uygulanması beklenen veri güvenliği konularında erişim yetkisine sahip kişilere özel eğitimler verilmelidir. Unutulmaması gereken asıl konu en zayıf halkanın çoğu zaman insan olduğudur.

Gizliliğin sağlanması için kullanılan yöntemlere en iyi örneklerden biriside e-devlet uygulamalarıdır. Genelde iki tür uygulanan şifreler veriye doğru kişinin ulaşması için tasarlanmıştır. Bu şifreleme sistemi zamanla daha da çeşitlendirilerek (biometric verification, e-imza uygulamaları, retina taramaları vb..) gizliliğin sağlanmasına yardımcı olmaya çalışmaktadır.

1.2.5 Bilgi Bütünlüğü

Bütünlük, bilginin tüm hareketi boyunca korunmasını amaçlamaktadır. Verinin kendi içerisindeki tutarlılığını, verinin değiştirilip değiştirilmediği yani doğruluğu güvence altına almalıdır. Verinin ağda dolaşımı sırasında yetkisiz kişilerce değiştirilmesini engellemek için önlemler alınmalıdır. Paylaşılan verilerin bütünlüğü birçok kamu hizmeti açısından önem taşımaktadır.

Dosyalara erişim için kullanılan yetkilendirmeler, kullanıcı erişim denetimlerinin kontrol altına alınması, izinsiz giriş teşebbüslerinin engellenmesi ve kayıt altına alınması, özellikle bir çok bulut sisteminde kullanıma sunulan versiyon farklılıklarının tutulması ve sürüm kontrolü, alınabilecek tedbirler arasındadır. Özellikle bütünlüğün doğruluğu için verilerin yedeklenmesi ve yeri geldiğinde geri döndürülebilmesi, Verinin bir kopyasının uzak ve güvenli bir lokasyonda tutulması (Disaster Recovery) alınabilecek ek önlemeler arasındadır.

Alınabilecek önlemler kurumdaki verinin kritiklik seviyesine göre farklılıklar gösterebilir. Örneğin bazı kurumlar bu tedbirlere ek olarak DLP gibi (Data Loss/Leak Prevention – Veri Kaybı/Sızıntısı Önleme) sistemden istenmeyen verilerin çıkışını önleyen ya da belirlenen dosyaların kullanım durumlarını izleyen yaklaşımları da uygulayabilmektedir.

1.2.6 Ağın Verimli Çalışması

Ağ, donanım ve bu donanımları çalıştıran yazılımlardan meydana gelmektedir. Dolayısı ile ekipmanların doğru ve stabil çalışmaları oldukça önemlidir. Verimsiz cihazların ağdan çıkartılması, arızalı cihazların tamiri ve test edilmesi sonucu networke takılması, yazılımsal hataların giderilmesi ve belirli periyotlarla kontrol edilmesi, iletişim için yeterli bant genişliği sağlayarak oluşacak dar boğazlara karşı çözümler alınması ağın kullanılabilir kalması için önemlidir.

Ağ sistemlerinde sıkça isimlerini duyduğumuz Raid, Redundancy, failover, highavailability clusters sistemleri gibi verimliliği artırıcı yöntemlerin doğru şekilde uygulanması oluşabilecek ciddi donanım sorunlarını önemli derecede azaltacaktır. Kurumlarda yapısı şekli, markası ve modeli birbirinden farklı olsa da Firewall kullanımı her zamanki önemini korumaktadır. Proxy sunucuları, günümüzde firewall içerisinde bir hizmet olarak satılsa da haricen kullanılabilen IDS ( Intrusion Detection System) gibi saldırı tespit sistemleri, IPS (Intrusion Prevention System) gibi saldırı önleme sistemleri ek olarak ağ sistemlerini korumak ve ağı her zaman çalışır halde bulundurmak için tasarlanan sistemlerdir.

Veri kaybına veya bağlantı kesintilerine karşı korunma önlemleri, yangın, sel, deprem gibi doğal afetlerden ve öngörülemeyen olaylardan korunmayı içermektedir.

Bilginin, sistemlerin ve hizmetlerin; ihtiyaç duyulduğunda her zaman erişebilir ve kullanıma hazır bulunmaları arzu edilen bir network sistemidir. Doğal afetlerde dâhil olmak üzere, her türlü olumsuz koşullarda sistemlerin hizmete açık ve erişilebilir olması hedeflenmektedir [13].

1.2.7 Ağ Denetimlerinin Önemi

Bilişim ağlarının kurumun gerekliliğine uygun olarak sağlıklı bir şekilde çalışıp çalışmadığını tespit etmek amacı ile bir takım ağ denetimleri yapılmaktadır. Bir güvenlik denetimi, bir kurumun bilgi sisteminin güvenliğinin, belirli kriterlere ne kadar uyup uymadığını ölçerek değerlendirilmektedir. Ayrıntılı bir denetim genellikle sistemin fiziksel yapısı ile birlikte yapılandırmasının, üzerinde kullanılan yazılımın ve kullanıcı uygulamalarının güvenliğini değerlendirir.

Ağ denetimi, ağ analisti, ağ denetçisi, ağ yöneticiliği ve güvenlik geçmişi bulunan kişiler tarafından yapılır. Veri toplamak ve ağ durumunu gözden geçirmek için hem manuel hem de otomatik teknikler kullanır. Ağ denetim aşamalarından biri olan güvenlik denetimi bir sistemin performansını belirli

kriterlere göre ölçmektedir. Ancak tek başına yeterli olmayabilir. Güvenlik çalışmalarında zafiyet taramak için kullanılan diğer bir çalışma ise penetrasyon testidir. Penetrasyon testi bir güvenlik uzmanı tarafından kurum içinden ve kurum dışından gelebilecek tehditleri görmek için manuel ya da otomatik testler ile yapılmaktadır. Amaç yetkisiz kişilerin hangi verilere ulaşabileceğini görmektir. Bunun için güvenlik uzmanı önce açıkları tespit eder ayrıca hangi açıktan hangi verilere kadar ilerleyebileceğini not alarak ayrıntılı bir network güvenlik raporu oluşturup büyük bir gizlilik içerisinde kurum yetkilisine teslim eder. Kurum yetkilisi gerekli güvenlik açıklarının kapatılması için yeterli çalışmayı yaptığında benzer bir test tekrarlanması gerekmektedir.

Penetrasyon testinde gerçek bir saldırganın deneyebileceği tüm saldırıyı deneyen network güvenlik uzmanı, daha insani boyutlarda ilerleyen sosyal mühendislik saldırılarını da bu aşamada gerçekleştirir. Amaç aktarılmaması gereken bir bilginin aktarılıp aktarılamadığı ve bu verilerle neler yapılabildiğini test etmektir.

1.2.8 Ağ Güvenliğinin Geliştirilmesinde Yönetimin Rolü

Bir organizasyonda kapsamlı bir güvenlik yaklaşımından bahsedebilmek için en alt çalışandan en üst çalışana kadar konunun gerekliliğine inanılması gerekmektedir. Yönetimin desteği olmadan genellikle politikalar ilerleyemez. Alt düzeyden gelen politika talepleri ise her zaman karşılık bulamayabilir.

Güvenlik politikalarının oluşturulması organizasyonun en üst yönetiminden başlayabilir. Yukarıdan aşağıya bir politika geliştirilmesi yaklaşımının avantajı, politikanın şirketin stratejisiyle ve genel politikaları ile uyumlu olmasını sağlar. Dezavantajı ise alt çalışanların hemen kabullenmeyebilmesidir. Bu durumda sürecin başarıya ulaşması çok zaman alacaktır. İkinci bir yaklaşım ise, aşağıdan yukarıya politika geliştirme yöntemidir. Aşağıdan yukarıya doğru politika geliştirme, operasyonel çalışanların kaygılarını gidereceği için hızlıca kabullenmeyi sağlayabilir.

Talep aşağıdan geldiği için çalışanlar ihtiyacı görmüş ve o nedenle güvenlik politikaları geliştirilmiştir. Dolayısı ile organizasyon içerisinde kabullenilmesi ve uygulanması hızlı olacaktır. Ancak yöneticinin desteği alınmadığı için organizasyon içerisinde uygulanabilirliği risk altındadır.

Görüldüğü üzere birbirilerine karşı artı ve eksileri bulunan iki yaklaşımın orta noktasının bulunması politikaların en verimli uygulanma şeklini ortaya koyacaktır.

1.2.9 Eğitim Öğretim ve Farkındalık Programları

Günümüzde, güvenlik bilinci eğitimi her ölçekteki firmalar için oldukça önemlidir. Bu eğitimler sayesinde yönetim kadrosu ve firma çalışanları bilişim ile ilgili konuları daha net anlayabilmektedir. Eğitimler özellikle IT departmanının duyduğu güvenlik endişelerini doğru bir şekilde tüm çalışanlara aktarmayı sağlar. Günümüzde birçok organizasyon, çalışanlarının bilgisayarlarını ve kişisel bilgilerini nasıl koruyacaklarını öğretmek için siber güvenlik eğitim programlarına yoğun bir şekilde yatırım yapmaktadır.

Tüm organizasyonlar siber saldırılardan ve olası zafiyetlerden etkilenmemek için bir takım donanımsal ve yazılımsal güvenlik tedbirleri alırlar. Ancak güvenlik tedbirlerinin en önemli bacağı olan organizasyon çalışanının bilinçlendirilmesi bu tip eğitimlerle gerçekleşmektedir. Çalışanlar verinin nasıl korunacağını, hangi tehditlere karşı daha duyarlı olunması gerektiğini, sosyal mühendislik saldırıları ile karşılaştıklarında ne tip tepkiler vermesi gerektiğini, kısacası riskler, tehditler ve korunma yöntemleri ile ilgili yapılması gerekenleri teorik ve pratik olarak bu eğitimlerle öğrenirler.

Belirli aralıklar ile eğitimlerin tekrar edilmesi güvenlik bilincinin artırılmasına olumlu etki edecektir. Periyodik güvenlik bilinçlendirme eğitiminin amacı, olası güvenlik sorunları ile yüzleşerek yeni teknikleri ve yöntemleri geliştirmektir. Bir organizasyonun güvenlik eğitimlerine önem vermesi olası güvenlik sorunlarının büyük ölçüde azalmasını sağlayacaktır.


İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları