Ağ Güvenliği Temelleri Nedir?
Ağ güvenliği temelleri, ağ veya siber güvenliğin kritik unsurlarından biridir. Ev, iş ve internet dahil tüm ağlarda uygulanmalıdır. Etkili ağ güvenliği, güvenlik duvarları, kötü amaçlı yazılımdan koruma yazılımı, izinsiz giriş algılama sistemleri, erişim denetimi ve daha fazlasıyla kablolu ve kablosuz ağların korunmasını gerektirir.
Ağ Güvenliği Temelleri
Ağ güvenliği, bazen karmaşık olan yapılandırmalara sahip birçok farklı teknolojiyi içeren karmaşık bir konudur.
Ele alınması gereken güvenlik sorunu, ağda bulunanlar ile ona bağlı uç noktalar veya ana bilgisayar sistemleri arasındaki ayrımdır. Hem ağ hem de uç noktalar için teknoloji, erişim kontrolü ve şifrelemeyi içerir, ancak ağda ayrıca segmentasyon ve çevre güvenliği de vardır.
Ağ güvenliği ve uç nokta güvenliği
Ağ güvenliği, güvenlik denkleminin yalnızca bir parçasıdır ve genellikle ağın kendisini koruyan cihazlar için geçerli olduğu düşünülür. Güvenlik duvarı, yönlendiriciler veya anahtarlar gibi ağ ekipmanlarının yanında bulunan bağımsız bir cihaz veya aynı fiziksel kutu içindeki aynı zamanda yönlendiren ve/veya anahtarlayan yazılım olabilir. Ağ üzerinde güvenlik duvarları, izinsiz giriş tespit sistemleri (IDS), izinsiz giriş önleme sistemleri (IPS), sanal özel ağ (VPN) cihazları, veri sızıntısı önleme (DLP) sistemleri bulunmaktadır.
Ağ, sistemleri birbirine bağlamak için vardır. Amazon'a göz atmanızı veya bulunduğunuz yerdeki marketten çevrimiçi alışveriş yapmanızı sağlayan şey budur. Ancak uç sistemler de korunmalıdır; buna uç nokta güvenliği denir. Bu cihazlar arasında dizüstü bilgisayarlar, tabletler, telefonlar ve aynı zamanda nesnelerin interneti (IoT) cihazları bulunur.
IoT, bağlı termostatlar, kameralar, buzdolapları, ön kapı kilitleri, ampuller, havuz pompaları, akıllı yorganlar gibi cihazları içerir. Bu cihazlar da güvenlik kontrolleri gerektirir, ancak tüm cihazlar, ana bilgisayar tabanlı bir güvenlik duvarı veya kötü amaçlı yazılımdan koruma aracı gibi bir şey içerecek kadar karmaşık değildir. Uç nokta bir ampul ise muhtemelen korunmak için ağ güvenliğine güvenir.
Erişim denetimi
Başlamak için ilk nokta erişim kontrolüdür. İşletmeler buna genellikle kimlik ve erişim yönetimi (IAM) adını verir. Erişimi kontrol etmek yeni bir şey değil. Altı bin yıl önce bir kapıya ilk kilit takıldığından beri insanlar binalara erişimi kontrol ettiler. Erişim kontrolü artık ağlarda, bilgisayarlarda, telefonlarda, uygulamalarda, web sitelerinde ve dosyalarda gerçekleştiriliyor.
Temel olarak, erişim kontrolü IAAA olarak bölünmüştür:
- Tanımlama, bir Kullanıcı Kimliği veya e-posta adresi gibi bir kullanıcının adının veya kimliğinin beyanıdır.
- Kimlik doğrulama, kullanıcının iddia ettiği kişi olduğuna dair kanıt sağlar. Bu hala en yaygın olarak parolalarla yapılmaktadır.
- Yetkilendirme, kullanıcıya izin verilmesi ya da verilmemesidir. Kullanıcı yetkili olmayabilir ve bu nedenle izinleri olmayabilir veya kullanıcıya okuma, yazma, tam kontrol için izinler verilmiş olabilir.
- Sorumluluk, yaşananları izlemektir. Günlük, bir kullanıcının erişmeye çalıştığını veya erişim kazandığını gösterir. Günlük, aynı zamanda kullanıcının yaptığı tüm işlemleri de içerebilir.
Kimlik doğrulama türleri
IAAA içindeki en önemli unsur günümüzde kimlik doğrulamadır. Parolalar, çoğu sistemde hala en yaygın kimlik doğrulama yöntemidir. Ancak genellikle çok da güvenli değildirler çünkü kırılmaları kolaydır.
Parola çok kısaysa siber korsan bu parolayı kolayca bulabilir. Siber korsanlar tüm kombinasyonları deneyen kaba kuvvet saldırısı adı verilen parolayı tahmin etmeye yönelik bir yöntem kullanırlar. Siber saldırganlar başka parola kırma yöntemleri de kullanabilirler.
Bugün kullanımda olan üç kimlik doğrulama türü veya faktörü vardır. Bunlar şu şekildedir:
- Bildiğiniz bir şey – beyninizde depolanan bir dizi karakter, sayı veya bunların bir kombinasyonu. Günümüzde bunlar genellikle parola yöneticilerinde saklanmaktadır.
- Sahip olduğunuz bir şey – Kimlik doğrulaması yapmanız gereken bir cihaz veya cihazdaki bir yazılım parçası. Bu, bir akıllı telefondaki RSA belirteci veya Google kimlik doğrulayıcı gibi cihazları içerir.
- Size ait bir şey – Kişiliğinizin bir yönü. Bu biyometri, parmak izi gibi fizyolojik veya ses izi gibi davranışsal bir şey olabilir.
En iyi seçim, bazen çok faktörlü kimlik doğrulama (MFA) olarak adlandırılan iki faktörlü kimlik doğrulamadır (2FA). Amazon veya Facebook gibi kişisel hesaplarınız için şiddetle bu yöntemi kullanmanızı tavsiye ederiz.
Google Authenticator gibi uygulamaların kullanımı ücretsizdir ve telefonunuza bir metin veya kısa mesaj hizmeti (SMS) mesajı almaktan çok daha iyi bir seçimdir. The National Institute of Standards and Technology (NIST) SMS kullanılmasını önermemektedir.
Ayrıca ofislerde de 2FA'yı öneriyoruz, ancak bunun gerekip gerekmediği yönetimsel ya da politikalara bağlı bir durumdur. Varlık, veri sınıflandırması, riskler ve güvenlik açıkları gibi birçok faktöre bağlıdır.
Ağ segmentasyonu
Ağ segmentasyonu, farklı ağlar arasındaki veri akışını kontrol ederek güvenliği artırır. Bu, en yaygın olarak sanal yerel alan ağları (VLAN'lar) ile gerçekleştirilir. Özel sanal LAN (PVLAN), sanal genişletilebilir LAN (VXLAN) gibi birçok varyasyonu vardır. VLAN, OSI modelinin ikinci katmanında, veri bağlantısı katmanında bulunur. Çoğu ağ yöneticisi, bir IP alt ağını bir VLAN'a eşler.
Yönlendiriciler, yapılandırmaya göre trafiğin VLAN'lar arasından geçiş yapmasını sağlar. Kontrolü ele almak istiyorsanız, yönlendirici yapılandırması çok önemlidir.
Bulutta bulunan başka bir seçenek de sanal özel buluttur (VPC). VPC'ye giden ve gelen trafik kontrolü de yapılandırmalar tarafından kontrol edilir.
İş yükü için iş gereksinimlerini anlamak, VLAN'lara ve VPC'lere veya VLAN'lardan erişimi yapılandırmak ve kontrol etmek için çok önemlidir.
Çevre güvenliği
Çevre güvenliği, dahili/güvenilir ağ ile harici/güvenilmeyen ağ arasında tanımlanmış bir sınır olduğu mantığına dayanır. Bu, ağ ve veri merkezinin tek bir bina içinde sınırlandırıldığı zamana dayanan geleneksel ağ tasarımıdır. Bu yapılandırmada, dahili ve harici ağları bir yönlendirici birbirine bağlar. Yönlendirici içindeki bir erişim kontrol listesi (ACL) geçebilecek trafiği kontrol eder.
Güvenlik duvarları, IDS ve IPS ile çevreye güvenlik ekleyebilirsiniz. Bunlar hakkında daha fazla bilgi için Ağ Güvenliği Önlemleri sayfasına bakın.
Şifreleme
Hassas verileri ve iletişimleri meraklı gözlerden uzak tutmak için şifreleme çok önemlidir. Şifreleme, bilgisayarınızın sabit sürücüsündeki dosyaları, bir bankacılık oturumunu, bulutta depolanan verileri, hassas e-postaları ve diğer birçok uygulamayı korur. Kriptografi ayrıca veri bütünlüğünün doğrulanmasını ve veri kaynağının doğrulanmasını sağlar.
Simetrik ve asimetrik şifreleme, iki temel şifreleme türü olarak öne çıkmaktadır.
- Simetrik şifreleme, şifreleyen ve şifresini çözen tek bir anahtara sahiptir. Sonuç olarak, şifreli iletişimin tamamlanması için başka biriyle paylaşılması gerekir. Yaygın algoritmalar, Gelişmiş Şifreleme Standardı (AES), Blowfish, Triple-DES (Veri Şifreleme Standardı) ve daha fazlasını içerir.
- Asimetrik kriptografi, eşleşen bir küme olarak çalışan biri genel diğeri özel olmak üzere iki farklı anahtara sahiptir. Anahtar seti, bir web sunucusu gibi bir kullanıcıya veya bir hizmete aittir. Anahtarlardan biri şifreleme, diğeri şifre çözme içindir.
- Açık anahtar verileri şifrelerse, verileri gizli tutar. Bunun nedeni, özel anahtarın sahibinin şifresini çözebilecek tek kişi olmasıdır.
- Özel anahtar verileri şifrelerse, kaynağın gerçekliğini kanıtlar. Genel anahtarla verilerin şifresi başarıyla çözülürse bu, yalnızca özel anahtarın bunu şifrelemiş olabileceği anlamına gelir. Açık anahtar gerçekten herkese açıktır, herkes tarafından erişilebilir.
Üçüncü konu ise hashing. Şifreleme olmasa da bu noktada güvenlik tartışmalarına dahil edilmesi gerekiyor. Hashing, bir mesajın bitlerine dayalı olarak hash adı verilen bir sonuç yanıtı hesaplayan bir mesajla karşı bir algoritma çalıştırır. Bu bitler veri, ses veya video olabilir. Hashing, hiçbir şekilde verinin değerinde bir değişiklik yapmaz. Buna karşılık, şifreleme, verileri okunamaz bir duruma getirir.
Hashing, mesajın bitlerinin değişmediğini kanıtlar. Verilerin bütünlüğünü ve orijinal biçiminde kalmasını sağlar. Verileri kazara değişikliklere karşı yalnızca hashing korur.
Hash, asimetrik bir özel anahtarla şifrelenirse, bu, bir siber saldırganın verilere kötü niyetli bir şekilde müdahale etmediğini kanıtlar. Özel anahtarın güvenliği ihlal edilmediği sürece kötü amaçlı değişiklikler gerçekleşemez.
Anahtarın güvenliği ihlal edilmemişse, özel anahtara sahip olan kişinin, hash değerini hesaplayan kişi olması gerektiğini bilirsiniz. Bu anahtar, bazen özel anahtar olarak adlandırılan simetrik bir anahtar veya asimetrik özel anahtar olabilir.
Kablosuz Ağ Güvenliği
Kablosuz ağ üzerinden iletilen verileri, sesleri veya videoları korumak zordur. Kablosuz iletimlerin bir sinyal yayması amaçlanır ve bu, menzil içindeki bir siber korsanın iletimi yakalamasını kolaylaştırır. Kablosuz ağa yönelik şifreleme standartları vardır, ancak çoğu şu veya bu şekilde bozulmuştur.
Şifreleme standartları arasında WEP, WPA, WPA2 ve artık WPA3 yer almaktadır.
- WEP, kablosuz iletimi şifrelemek için RC4 simetrik algoritmasını kullanır. Siber korsanlar bu yöntemi kısa sürede kırdılar ve hatta buna yönelik Web kırma aracı dahi bulunmaktadır.
- WEP’in yerini yine RC4 kullanan WPA aldı. Siber korsanlar WEP kırma aracını düzenleyerek WPA’yı da kıracak hale getirdiler.
- WPA’nın ikinci sürümü olan WPA2’nin iki farklı seçeneği bulunmaktadır.
- WPA2-personal bazen güvenlik anahtarı olarak da adlandırılan öncden paylaşılmış bir anahtar kullanmaktadır. Esasen, dizüstü bilgisayar veya telefon gibi kablosuz bir cihaza ve kablosuz erişim noktasına (WAP) girilen bir paroladır. Siber korsanlar 2017 yılında Key Reinstallation AttaCK (KRACK) adı verilen ilk hatayı buldular.
- WPA2-enterprise, merkezi bir RADIUS sunucusunda kullanıcının kimliğini doğrulayarak ek bir güvenlik katmanı sağlamaktadır. Ayrıca, yerel kablosuz bağlantıda kimlik doğrulama bilgilerini iletmek için genişletilebilir kimlik doğrulama protokolünü (EAP) kullanır. Bir güvenlik protokolü olarak RADIUS ve EAP'nin birleşimine IEEE 802.1x adı verilir.
- WPA3’ün de iki farklı seçeneği bulunmaktadır.
- WPA3-personal, kullanıcılara 128 bit şifreleme anahtarı kullanarak daha yüksek düzeyde koruma sağlar. Bu, kullanıcı parolaları güvenlik açısından çok basit olduğunda bile güçlü parola doğrulaması sağlar. WPA3-personal, bunu WPA2-personal'da önceden paylaşılan anahtar yerine SAE kullanarak başarır.
- WPA3-enterprise[SM2] [TA(3] [SM4] , daha fazla güvenlik için 192 bitlik bir şifreleme anahtarı kullanır. Bu, bir kuruluşun ağı genelinde güvenlik protokollerini tutarlı bir şekilde uygulayan WPA2'nin bir geliştirmesidir.
Güvenlik sertifikasyonları
Ağ güvenliği karmaşık bir süreçtir. Siber korsanlara karşı bitmeyen bir zeka savaşıdır. Daha fazla bilgi için Ağ Güvenliği Önlemleri sayfasına bakın.
Güvenlik sertifikalarını takip etmek her zaman harika bir fikirdir. Ya CompTIA Security+ sertifikası ya da ISC2® SSCP (System Security Certified Practitioner) sertifikası harika bir başlangıç noktasıdır. Biraz teknik bilgi içeren daha gelişmiş bir yönetici düzeyinde sertifika, ISC2® CISSP (Certified Information System Security Professional) sertifikasıdır. AWS, GCP veya Azure için bulut tabanlı sınavlar gibi satıcıya özel sınavlara da girebilirsiniz.