Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Ağ Güvenliği
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Ağ Güvenliği

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Ağ Güvenliği
    Gönderim Zamanı: 07-04-2010 Saat 08:25
1. Kurumsal ag kaynaklarinizi iç ve dis tehditlere karsi korumak
Günümüzde kurumlar için yerel ag kavrami artik, iç ag/dis ag ayrimi yapilmaksizin, kurumdaki herhangi bir kisiye, herhangi bir yerden erisebilmek anlaminda genislemistir. Ama bu gelisime paralel olarak, güvenlik uzmanlari da aglarina karsi olan tehditlerle basa çikabilmek için daha komplike güvenlik politikalari uygulamak zorunda kalmaktadir. Bu tehditlerden en basta geleni, önemli ag kaynaklarini Internet’ten veya yerel agdan gelebilecek muhtemel saldirilara karsi korumaktir.

Ag üzerinden erisim kontrolü, mevcut ag kaynaklarini korumak için temel yoldur. Ölçeklenebilir kapsamli erisim denetimi kurallari sayesinde, ag güvenligi yöneticileri ag baglantilari için kaynak sistem, hedef sistem, ag trafik türü ve uygulama zamanini belirlemek suretiyle esnek ag erisim haklari belirleyebilirler.

Ag güvenligini korumak tabi ki sadece spesifik kaynaklara erisim denetimi saglamaktan ibaret degildir. Bundan baska, komple bir ag güvenligi çözümü asagidakileri saglamalidir:

· Ag kullanicilarin kimliklerinin belirlenmesi
· Aktarim esnasinda veriyi sifreleme
· Kayitli IP’leri optimize sekilde kullanma
· Ag trafiginin tümünün içerigine güvenlik politikasini uygulama
· Saldirilari gerçek zamanli olarak belirleme ve önlem alma
· Denetim bilgilerinin tümünün kayitlarini tutma

Ayrica güvenlik politkasi, kurum içerisinde kullanilan mevcut ve ileride kullanilmasi muhtemel bütün uygulamalara tatbik edilebilmeli ve baglanti sorunlarina, ag performans düsüklüklerine yol açmamalidir.

2. Mobil ve uzak kullanicilar için ag baglantisi saglamak
Birçok sirket uzak kullanicilarinin baglantilari için, büyük modem baglantilari gerektiren geleneksel uzaktan erisim çözümleri ve pahalli dial-up telefon baglantilari ile karsilastirildiklarinda çok ekonomik çözümler sunan Internet üzerinde gelistirilen ag uygulamalarinin farkina vardilar. Uzak ve mobil kullanicilarini kurumsal aglarina Internet bazli özel sanal aglar (VPNler) araciligi ile baglamak isteyen firmalarin sayisi arttikça, bu kritik baglantilarin güvenliginin saglanmasi da büyük önem kazanmistir.

Bilgilerinizin Internet gibi herkese açik aglar üzerinden iletimi sirasinda güvenliginden emin olabilmek için iki temel unsurun yerinde uygulanmasi gerekir. Birincisi, hem uzak istemci, hem de kurumsal Internet aggeçidi seviyesinde mümkün olan en güçlü tanilama saglanmalidir. Ikincisi ise, bütün kullanici kimlikleri belirlendikten sonra, bütün veri trafigi gizlilik açisindan sifreli olarak iletilmelidir.

Hem tanilama hem de sifreleme uygulamalari, ag güvenlik çözümü çerçevisinde kesintisiz ve uyumlu olarak çalismalidir. Erisim denetimi gibi ag güvenlik kriterleri sanal özel ag iletisimlerinde de çok önemli role sahiptir. Uzak bir kullanicinin VPN ile kurumsal ofisine baglanti kurmasi demek, buradaki tüm ag kaynaklarina erisim hakki kazanmasi anlamina gelmemelidir.

Bir firma için uzak ag baglanti ihtiyaci arttikça, ag güvenlik yöneticileri yönetilebilir ve kullanimi kolay VPN çözümlerine ihtiyaç duyarlar. Ve seçilecek çözüm, kurulumu kolay, ileride eklenebilecek yüksek sayida uzak kullanici sayisini destekleyebilecek esneklikte, son kullanici için ise kesintisiz ve transparan olmalidir.

3. Internet’i kullanarak kurumsal veri iletisim masraflarini düsürmek
Güvenli ag erisimi saglamak amaciyla istemciler ve aglar arasinda kurulan VPN baglantilari pahali çözümler olduklari için, firmalar uzak ofis baglantilarini saglamak için Internet araciligi ile aglar arasi veya bölgeler arasi VPN baglantilarini tercih ederek tasarrufa giderler. Ayrica herkese açik hatlar üzerinden güçlü tanilama ve veri sifreleme özellikleri kullanarak, bilgi güvenliginden ödün vermeksizin ticari iletisimleri de saglamak mümkün olur. Bu sayede, frame-relay ve kiralik hatlara yüksek miktar yatirimlar yapmaya gerek de kalmaz.

Gözden kaçirilmamasi gereken bir konu ise, uzaktan erisim çözümü olarak güçlü tanilama ve sifreleme teknolojileri seçildigi vakit, bu seçimin beraberinde yeni güvenlik yönetimi zorluklari getirebilmesidir. Bu tip muhtemel zorluklari yasamamak veya minumum seviyeye indirgemek için, tüm VPN baglanti noktalarini merkezi bir konsol araciligi ile yönetebilecek güvenlik çözümleri tercih edilmelidir.

Internet üzerindeki VPN uygulamalarinin sagladigi maliyet düsüklügünün yani sira, ag iletisimlerini özel dedike hatlardan Internet üzerine tasinmasi, beklenmedik performans düsüklüklerine ve erisim sorunlarina yol açabilir. Bu yüzden, sanal özel bir ag bünyesinde öncelikli baglantilar için entegre bantgenisligi yönetimi ve yüksek erisilebilirlik desteklenmelidir.

4. Güvenli bir extranet üzerinden is ortaklarina ag erisimi saglamak
Kendinize ait ag kaynaklarinizi (uzak ve mobil kullanicilar, branch ofisler) güvenli sekilde birbirine bagladiktan sonra, sira kurumsal aginizi extranet uygulamalari araciligi ile degerli is ortaklariniza ve müsterilerinize kontrollü bir biçimde açmaya gelir. Endüstri standartlarinda protokollere ve algoritmalara bagli kalarak gerekli extranet baglantilari güvenli sekilde saglanabilir. Ama bu tür baglantilar için kesinlikle tescilli teknolojiler tercih edilmelidir.

Internet bazli VPN uygulamalari için kabul edilen standarda IPSec (Internet Protocol Security) adi verilir. IPSec, sifrelenmis ve tanilanmis bir IP paketinin formatini ifade eder ve gelecek nesil IP iletisimi için gereklidir. Sifrelenmis anahtarlarin yönetimini otomatiklestirmek için genellikle IPSec ile IKE (Internet Key Exchange) ile kullanilir.

Standart bazli baglanti kuruldugu zaman, disardan erisecek kullanicilarin (is ortaklari, özel müsteriler) ihtiyaçlarina göre özel haklar sadece ilgili ag kaynaklari için taninmalidir. Kurumsal ag kaynaklarinin disariya açilma orani arttikça, bununla ilgili uygulanmasi gereken kapsamli güvenlik politikasi da periyodik olarak revize edilmelidir.

 5. Kurumsal aginizin yeterli performansa, güvenilirlige ve yüksek erisilebilirlige sahip olmasi
Kurumsal ag baglantilarinda artan Internet kullaniminin dogal sonuçlarindan biri olan ag tikanikliklari sonucu kritik uygulamalarda performans sorunlari yasanabilir. Ortaya çikabilecek baglanti hatalari, aggeçidi çökmeleri, ag baglanti gecikmeleri ve diger performans düsüklükleri neticisinde firmalar büyük ekonomik kayiplar yasayabilirler.

Internet ve Intranet hatlarinin gereginden fazla istemci ve sunucu tarafindan kullanilmasi sonucu, trafik miktarina göre baglanti kopukluklari, zayif ‘response’ zamanlari ve yavas Internet kullanimi sorunlari ile karsi karsiya gelmek normaldir. Bu gibi durumlarda, sinirli bantgenisligi üzerinde mevcut hatti aktif olarak paylastirmaya yönelik bir yönetime gidilmelidir.

Eger yerel aginiz bünyesinde yogun trafik yasaniyorsa, birçok kaynaginiz (halka açik popüler bir Web sunucusu gibi ) negatif yönde etkilenebilir. Bir uygulama için bir sunucuya güvenmek, zayif ‘response’ zamanlarina hatta baglanti kopukluklarina yol açabilir. Sunucu yük dengelemesi bir uygulama sunucusunun islevini birçok sunucu üzerine dagitarak ölçeklenebilir bir çözüm saglar. Bu yolla ayrica, sunucular üzerindeki performanslar da arttirilmis olur.

Performansin yettigi durumlarda dahi, aggeçidi seviyesinde meydana gelebilecek bir hatayi tolere edebilecek güvenli bir ag altyapi sistemi olusturulmalidir. Günümüzde artik çogu kurum, aggecidinde yasayacaklari anlik erisim sorunlari yüzünden dahi büyük mali kayiplar yasaycaklarindan emin olarak yüksek erisilebilirligi destekleyen ag güvenlik ürünlerini tercih etmektedir.

Yüksek erisilebilirligi destekleyen ürünler hem yazilim, hem donanim bazinda yedeklemeli sistemler ile yüzde yüze yakin seviyelerde erisilebilirligi garanti ederler. Bir sorun meydan geldigi zaman, yüksek erisilebilirligi saglayan bilesenler aginizin güvenli olmasini saglamali ve son kullaniciya tamamen transparan sekilde devam ettirilmelidir. Gerçek etkili çözümler sunacak ag yöneticileri, iç ve dis kullanicilarina daimi güvenilir servisler saglamalidir.

6. Kullanici bazinda güvenlik politikalarini ag seviyesinde uygulamak
Kurumsal ag konseptinin genislemesi, birçok ag için kullanici, uygulamalar ve IP adres kullanimi sayilarinda asiri artislara yol açmistir. Bu tür dinamik ag ortamlarinda emniyetli ag politikalarinin uygulanmasi, kullanici bazinda güvenlik politikalarinin olusturulmasiyla saglanir. Bu politikalar çerçevesinde, ag kullanicilari için kisisel erisim denetimleri, tanilama prosedürleri ve sifreleme parametreleri belirlenir. Yüksek miktarda kullanici bilgisi içeren bu uygulamalarla ugrasmak ag ve güvenlik yöneticileri için bazen kolay olmayabilir.

Kullanici seviyesinde güvenlik bilgilerini ölçeklenebilir sekilde merkezi bir yerde depolamak için LDAP protokolü kullanmak en uygun çözümdür. LDAP sayesinde, bütün kullanici bilgileriniz tek bir veritabaninda tutulup diger ag uygulamalari tarafindan paylasilir. Bununla birlikte ag ve güvenlik yönetimleri paralel çalisarak güvenlik ile ilgili zaman harcatici rutin prosedürlerin asilmasi saglanir.

Güvenlik denetimlerini en üst düzeyde tutmak için kullanici seviyesinde uygulanan güvenlik politikalarin kayitlarinin tutulmasi ve bunlarin denetlenmesi gerekir. Kisisel güvenlik politikalarinin uygulandigi ortamlarda DHCP protokolünün kullanilmasi etkili bir yol degildir. Bunun sebebi IP adres atamalarinin dinamik olarak yapilmasidir.

7. Aginiza karsi yapilan ataklari ve süpheli aktiviteleri aninda algilamak ve bunlara cevap vermek
Kurumsal ag güvenliginizi ancak aginizi ve kullanicilarinizi korumak için uyguladiginiz güvenlik politikalari belirler. Ag korumanizi devamli olarak ayakta tutmanin yolu yetkisiz aktiviteleri gerçek zamanli olarak tespit etmektir.

Etkili bir saldiri tespit sistemi, atak ve süpheli ag aktivitelerini yetkin bir sekilde tespit ederek kurumsal ag güvenliginizin bir bacagini olusturur. Ama bu istenmeyen trafigin sadece saptanmasi yeterli degildir. Kullandiginiz saldiri tespit uygulamasi öte yandan belirlenecek bu tür istenmeyen baglantilara aninda yanit verebilmeli ve ag kaynaklarina yetkisiz erisimi engellemelidir.

Iyi dizayn edilmis bir saldiri tespit uygulamasi, gerçek zamanli karsiliklara ek olarak kapsamli kayit tutabilme, komple denetim ve gerektiginde ilgili kisileri ikaz edebilecek gelismis uyari mekanizmalarina sahip olmalidir.

8. Aginizin IP adres altyapisini güvenli ve etkili bir biçimde yönetmek
Aglar üzerindeki kullainici ve uygulama sayisi arttikça, ag cihazlari ve kullanicilari için gereken IP adres adres sayisi gittikçe daha çok artmaktadir. Buna paralel olarak da hizli gelisen aglarda IP adres ve isim alani yönetimi zorlasmaktadir.

Eskisi gibi her bilgisayar ve ag cihazinin IP adres konfigürasyonunu manuel olarak kontrol etmek artik uygulanmamaktadir. Bunun sebebi, bu tip bir yönetimin günümüz aglari üzerinde hataya açik, zahmetli ve entegrasyon eksikli bir yapi olusturacak olmasidir. Böyle bir yapi da dogal olarak çok pahali olmasinin yaninda, merkezi kontrol, ölçeklenebilme ve güvenilirlikten uzak olacaktir.

Kurumsal bazli IP ag altyapiniz için merkezi idare ve esnek yönetim saglayan IP adres yönetim çözümleri ancak genel ag altyapisi ile tamamen entegre olduklarinda güvenlik politikalari için optimum kullanilmis olurlar. Daha spesifik olmak gerekirse, dinamik paylasimli dahi olsalar, mevcut IP adreslerini kullanicilara birebir olarak eslemek kullanici bazli daha güçlü çözümler yaratmayi saglayacaktir.

9. Entegrasyona yönelik açik platform güvenlik çözümleri kullanmak
Ag güvenlik yöneticileri, koruduklari ag üzerinde kullanacaklari yazilim uygulamalari ve ag altyapisinda kullancaklari donanimlari bas döndürücü bir devinim içinde gelisen bilisim teknolojileri pazarindan seçmektedirler. Bu noktada dikkat edilmesi gereken husus, bütün ürünlerin birbirleri ile teknik olarak entegrasyon sorunu olamaksizin yüksek performans ile çalismasi gerekliligidir.

Alternatif olarak, seçeceginiz çözümleri genis yelpazede çalisan üretici tek bir firmadan temin edebilirsiniz. Bu sayede ürünlerin sistemleriniz üzerinde entegrasyon sorunu olmadan çalisacagindan emin olabilirsiniz ama bu asamada da tercih edebileceginiz uygulama sayisinda daralma yasarsiniz. Bütün güvenlik ihtiyaçlarinizi temin edebilecek spektrumda hizmet veren tek bir üretici firma bulmaniz pek muhtemel degildir.

Ag güvenligi için tercih edeceginiz çözümler neler olurlarsa olsun, hepsinin seçiminde açik mimari platformu destekleyecek çözümler olmalarina dikkat edilmelidir. Iyi tanimlanmis arayüzlere sahip açik bir mimari, genel güvenlik politikasi çerçevesinde kullanilacak bütün ürünlerin birbirleri ile sorunsuz çalismasini saglayacaktir. Buna ek olarak size özel ag güvenlik ihtiyaçlari yaratmaniz için uygulama programlama arayüzleri (API’ler) kullanilabilirsiniz.

10. Güvenli bir aga sahip olmanin maliyet ve zahmetlerini azaltmak
Kurumsal aginizin güvenligini saglamak için, seçtiginiz çözümleri yönetecek ve denetleyecek kisilere önemli miktarda ücret ödemek durumundasinizdir. Bu yüzden bu kisilerin islerini, entegre konsollar üzerinden merkezi olarak idare edebilecekleri çözümler tercih edilmelidir. Böylelikle büyük bir kurumsal ag için dahi, tek bir kisi ag güvenlik yöneticisi olarak ag güvenligi denetimi yapabilir. Bundan baska güvenlik politikasinda meydana gelecek çözümleri bütün uygulama noktalarina hemen aktarmak gerekir.
 
Saygılar.


Düzenleyen megabros - 07-04-2010 Saat 08:25
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.168 Saniyede Yüklendi.