Firewall, Router, Switch Cihazlarının Güvenli Yapılandırılması
- Ağ Cihazlarının Güvenli Yapılandırılması
- Firewall Cihazlarının Güvenli Yapılandırılması
- Router Cihazlarının Güvenli Yapılandırılması
- Switch Cihazlarının Güvenli Yapılandırılması
- Ağ Cihazlarının Güvenli Yapılandırılması
Ağların yapıları birbirlerinden farklı olduğu gibi ağ içerisindeki cihazların aktiviteleri ve kullanımları da farklılaşabilir. Bu noktada doğru konfigürasyon her zaman güvenliği üst düzeye çıkarır.
Standart bir ağda kablosuz cihazlar, kablolu cihazlar, hub, switch gibi ağ cihazları, router, firewall ve benzeri ağ cihazları ile sunucuları görebilirsiniz. Bu cihazlar birbirleri ile sürekli olarak haberleşmektedir ve güvenli bir katman oluşturulmalıdır. Bu noktada birinci adım fiziksel bir güvenlik sağlamakla atılır. Dışarıdan gelen kişilerin (misafirleriniz de dahil olmak üzere) hiçbir şekilde bu cihazlara fiziki müdahalesi olmamalıdır.
· Bu cihazlar kabinetlerde kilitli tutulmalıdır.
· Cihazlar sadece yetkili kişilerin erişimi ile kullanılmalıdır.
· Fiziksel olarak erişenlerin cihazların log kayıtları merkezi bir sistemde tutulmalıdır.
· Ağda kullanılmayan kablolar devre dışı bırakılmalıdır.
· Güç kaynakları ve elektrik kesintilerine karşı yedek beslemeleri olmalıdır.
· Varsayılan parolalar değiştirilmeli, güçlü bir parola kullanılmalıdır. Erişimler ise kısıtlanmalıdır.
Ağ cihazlarına erişim genelde http, https, telnet, ssh, snmp, ftp, tftp gibi protokollerle gerçekleştirilir. Bu protokollerin bazıları güvensiz olduğu gibi ağ üzerinden dinleme yapılmasına karşın korumasızdır. Bir ağ cihazı konfigüre edilirken, http yerine https, telnet yerine ssh, ftp yerine sftp kullanılarak bağlantının güvenliği sağlanmalıdır. Diğer bir yandan bu cihazlar için loglama özellikleri aktif edilmeli ve merkezi bir log yönetim sistemine bu kayıtların aktarılması gereklidir.
Güvenlik ve ağ cihazlarındaki bir diğer önemli husus ise bu cihazların kural listelerinin blacklist yerine whitelist mantığı ile ilerlenmesi ve cihazların çalışma mantığı, iletişim metotlarına göre güvenlik kurallarının yazılması gereklidir. Elbette ki güvenlik testleri yapılarak yapılandırmaların doğru olup olmadığı da ikinci kez doğrulanmalıdır.
Firewall Cihazlarının Güvenli Yapılandırılması
Firewall, varsayılan olarak güvenli bir yapıdır. Firewall, içerisinde bulunduğu ağı internet üzerinden gelebilecek zararlı isteklere veya saldırılara karşı korumayı amaçlayan donanımsal cihaz veya yazılımsal uygulamadır. Güçlü bir firewall’un oluşturulması için;
· Çoğu modern güvenlik duvarında bulunan Layer 7 kontrolünün sağlanması ve minimum düzeyde durum tabanlı paket denetiminin yapılması,
· Tüm “any” kurallarına dikkat edilmesi ve gözden geçirilmesi,
· Firewall yönetiminin SSH ve HTTPS gibi güvenli kanallar üzerinden gerçekleştirildiğinden emin olunması,
· Firewall cihazına erişimi sağlayacak ve/veya yönetecek kullanıcıların uygun yetkiler ile sınırlandırılması
· Firewall ile IDS/IPS ve organizasyonun entegrasyonunun yapılması,
· Firewall ile uygulama filtreleme entegrasyonunun ve organizasyonun yapılması
· Firewall ile web filtreleme entegrasyonunun ve organizasyonun yapılması
· Firewall ile entegre olan gateway antivirüsün aktif hale getirilmesi
· Local network erişimi ve networkler arası erişimlerin uygun yetkilere göre sınırlandırılması
· Port yönlendirme yerine mümkünse, Firewall cihazında yer alan VPN yöntemlerinin kullanılması gibi güvenlik yapılandırmaları yapılabilir.
Router Cihazlarının Güvenli Yapılandırılması
Router, farklı ağları birbirine bağlayan, network üzerinde yönlendirme ve yönetimi sağlayan cihazlardır. Router, güvenlik duvarlarına kıyasla varsayılanda güvenli olmayan cihazlardır. Güvenli bir router’ın oluşturulması için;
· Access Control List (ACL) adlı verilen kurallarının oluşturulmasıyla trafiğini kontrol altına alınması,
· Minimum düzeyde durum tabanlı paket denetiminin (SPI – Stateful Packet Inspection) yapılması,
· Cihazlara erişimin TELNET ve HTTP gibi kanallar üzerinden değil de SSH ve HTTPS gibi kanallar üzerinden sağlanması,
· Finger, CDP, Telnet gibi ihtiyaç duyulmayan servislerin devre dışı bırakılması,
· TCP Keepalives gibi servislerin aktif edilmesi,
· Konfigürasyonların belirli aralıklarla denetlenmesi,
· Yapılan konfigürasyon değişikliklerinin kontrol edilmesi gibi güvenlik yapılandırmaları yapılabilir.
Switch Cihazlarının Güvenli Yapılandırılması
Switch’ler de varsayılan olarak güvenli olmayan cihazlardır. Aynı ağdaki cihazların yönetilmesi ve yönlendirilmesinde kullanılan cihazlardır. Switch’ler üzerinden yapılacak güvenlik yapılandırmaları, Router’lar üzerinde yapılacak yapılandırmalarla benzerdir. Bunlara ek olarak, “Default VLAN” olarak nitelendirilen VLAN’nın devre dışı bırakılması gerekir. Ayrıca cihaz yönetimi için de ayrı bir VLAN’nın kullanılması gerekebilir.
Kurumsal bir ağda yapılan güvenlik yapılandırmaları sonucunda çalışanlar için VPN oluşturulmalıdır. VPN kullanıcılarına sağlanan erişimler, iş ihtiyaçlarına göre kısıtlanmalıdır. Ayrıca VPN kullanıcılarına yönelik doğrulama ve denetimin yapılması gerekmektedir.
Network yönetim arayüzünde yapılacak kimlik doğrulaması, HTTPS ve SSH gibi güvenli kanallar üzerinden yapılmalıdır. LDAP, RADIU
kullanılmalıdır. Syslog gibi etkinlikleri log kayıtları harici olarak kaydedilmelidir. Son olarak, arka kapılara (backdoors) dikkat edilmelidir