Ağ güvenliği önlemleri, depolanan veya iletilen verilerin, sesin ve videonun güvenliğini sağlamak için bir ağa eklenen güvenlik duvarları ve İzinsiz Girişi Önleme Sistemleri (IPS) gibi araçlar ve teknolojilerdir.
Ağ güvenliği önlemleri, gizliliği, bütünlüğü ve kullanılabilirliği korumak adına ağlara eklenen güvenlik kontrolleridir. Bu kontroller sürekli olarak gelişmeye devam ediyor. Ancak bilinmesi gereken bazı önemli şeyler var. Saldırganları ağınızdan uzak tutmak çaba gerektirir. Güvenlik duvarları, proxy'ler ve ağ geçitleri bu amaç için çalışır.
Bu cihazların saldırganları kesinlikle ağınızdan uzak tutacağını varsaymak tehlikelidir. Saldırganlar eninde sonunda içeri girmenin bir yolunu bulur. Tanınmış bir bilgisayar korsanı olan Kevin Mitnick, ağ güvenliklerini test etmesi için kendisinden yardım alan şirketlere karşı sızma testi başlatırken %100 başarılı olduğunu iddia ediyor .
Yani içeri girmenin her zaman bir yolu vardır. Güvenlik, öğrenmek, gelişmek ve bilgisayar korsanlarının bir adım önünde olmak için sürekli çalışmayı gerektirir. Siber korsanlar içeri girdiğinde olay müdahale planlarına ve ekiplerine sahip olmak da çok önemlidir.
Bir güvenlik duvarı trafiğin geçmesine izin verir veya engeller. Güvenlik duvarından geçmesine izin verilen trafik, bir işletmenin sahip olduğu ve ihtiyaç duyduğu trafik türüne göre yapılandırmasında belirtilir. Güvenlik duvarı ile ilgili en önemli güvenlik uygulaması, varsayılan olarak tüm trafiği engellemesidir. Ardından, bilinen hizmetlere ve yalnızca belirli trafiğe izin verecek şekilde yapılandırılmalıdır. Güvenlik duvarının yapılandırılması kritik öneme sahiptir, bu nedenle güvenlik duvarı yöneticisinin bilgisi çok önemlidir.
Güvenlik duvarları, ISO OSI (International Standards Organization Open System Interconnect) modeli dahilinde farklı katmanlarda çalışır. Genellikle, güvenlik duvarı adı verilen herhangi bir şey 2-5 katmanlarda faaliyet gösterir. Güvenlik duvarı 7. katmandaysa, genellikle proxy veya ağ geçidi olarak adlandırılır. Web uygulama güvenlik duvarı (WAF) bir istisnadır ve 7. katmanda faaliyet gösterir. Güvenlik duvarı, çalıştığı OSI modelinin katmanında bulunan bilgileri analiz eder.
Bir güvenlik duvarının farklı katmanlarda nasıl çalışabileceğine dair aşağıda birkaç örnek verilmiştir:
Güvenlik duvarı, bazen politikalar olarak adlandırılan bir kurallar listesiyle yapılandırılır. Güvenlik duvarı, trafik kendisine ulaştığında ne yapacağını belirlemek için bu kurallar listesini kullanır. Kurallar yukarıdan aşağıya bir bakış açısıyla çalışır.
Güvenlik duvarı, gelen çerçeveyi veya paketi listedeki ilk kuralla karşılaştırır. Trafik türünü kurallarla karşılaştırır ve eşleşen kuralı uygular. Bir kural, trafiğin geçebileceğini veya engellenip düşürülmesi gerektiğini söyleyebilir.
Çerçeve veya paket ilk kuralla eşleşmiyorsa, güvenlik duvarı bunu ikinci kuralla karşılaştırır ve bu şekilde devam eder. Trafik, açıkça tanımlanmış kurallardan biriyle eşleşmiyorsa, güvenlik duvarı trafiği düşürmek için son kuralı izleyecektir.
OSI modelinin 7. katmanında bir proxy güvenlik duvarı bulunur. Bir proxy trafik geldiğinde, çerçeveyi veya paketi katmanlar arasında işler. Örneğin, 2. katmanda çerçeve çıkarılırsa, paket başlıkları katman 3'te kaldırılır ve bu, katman 7'de yalnızca veri var olana kadar devam eder.
Aktarım katmanı güvenliği (TLS) bağlantısı katman 4'te sonlandırılır ve veriler bu noktadan itibaren proxy içinde açık metin olarak bulunur. Proxy daha sonra iletilen verileri analiz eder. Bu, şifreleme nedeniyle daha düşük seviyelerde imkansız olurdu. Bu, cihazın standart bir güvenlik duvarından çok daha fazla veriyi analiz etmesini sağlar. Bu genellikle bir güvenlik duvarından daha fazla zaman veya işlem gücü gerektirir. Ancak kullanıcı trafiği üzerinde daha fazla kontrol sağlar.
Ağ geçidi teriminin, kiminle konuşulduğuna bağlı olarak farklı anlamları vardır. Ağ geçidi geleneksel olarak iki ağ arasına yerleştirilen bir donanım parçasıydı. Günümüzde ortalama bir ağ geçidinde dahi güvenlik duvarı unsuru bulunmaktadır. Örneğin, Microsofte Azure’un ağ geçidinde yerleşik bir WAF bulunmaktadır. Dolayısıyla artık bir ağ geçidi aynı zamanda bir tür güvenlik duvarı sayılabilir.
Bir sonraki endişe, saldırı tespit sistemlerini (IDS'ler) kullanarak bir ağa izinsiz girişleri tespit etmektir. Bu cihazlar pasiftir. Ağ trafiğinin geçişini izleyerek şüpheli trafiği kaydederler. Bir IDS ağda veya uç cihazlarda konumlanabilir. Nerede olduğuna bağlı olarak, ağ tabanlı IDS (NIDS) veya ana bilgisayar tabanlı IDS (HIDS) olarak adlandırılır.
Bir NIDS genellikle bir anahtarın bir kademe veya aralık bağlantı noktasına bağlanır. Bu, trafiğin engellenmeden hedefine iletildiği ve bir kopyanın analiz için NIDS'nin genişletilmiş bağlantı noktasına gittiği anlamına gelir. Bir HIDS ise dizüstü bilgisayar, tablet, sunucu veya benzeri bir cihazda konumludur. Çoğu HIDS, canlı trafiği analiz etmez. Bunun yerine trafik günlüklerini olaydan sonra analiz eder.
Üreticileri, bu cihazları bir noktada daha ileriye taşıdılar. Saldırıyı tespit edebiliyorsa neden şüpheli çerçeveleri veya paketleri yalnızca rapor etmek yerine düşürmüyor veya çöpe taşımasınlar? İşte izinsiz giriş önleme sistemlerinin (IPS) hikayesi ve ortaya çıkma şekilleri bu. IPS'ler ayrıca ağ tabanlı (NIPS) veya ana bilgisayar tabanlı (HIPS) olabilir.
Bu harika bir fikir, ancak bir dezavantajı var. IPS’in, trafiğin iyi olup olmadığını bilmesi gerekmektedir. Bu, imza dosyaları ile yapılabilir veya öğrenilebilir.
Ele alınması gereken bir sonraki endişe, birisinin gizlice dinleyebileceği herhangi bir yere iletilen verilerin, sesin veya videonun nasıl korunacağıdır. Bu, bir şirket veya ev ağı içinde, internet üzerinden ya da bir servis sağlayıcının ağında olacağı gibi bu ağların dışını içerir.
Şifreleme, verileri anahtar olmadan okunamaz hale getirerek bu sorunu ortadan kaldırır. Aktarılan veriler için birkaç şifreleme seçeneği vardır. Bu seçenekler şu şekildedir:
SSL/TLS, tarayıcı tabanlı bağlantıları korumak için 1995'ten beri kullanılmaktadır. SSL, Netscape tarafından geliştirilmiştir. Sürüm 2.0 ve 3.0, IETF tarafından benimsenip yeniden adlandırılıncaya kadar kullanımdaydı. Bu, America Online’ın (AOL) Netscape’i satın aldığı sırada gerçekleşti. Şu an son sürüm TLS 1.3’dür (RFC 8446). TLS yalnızca tarayıcı tabanlı bağlantılar için kullanılmaz değil aynı zamanda VPN bağlantıları için de kullanılır.
SSL/TLS, tarayıcı bağlantılarına uygulandığında 443 numaralı TCP bağlantı noktasını kullanır.
SSH, uzaktan oturum açma konusunda en yaygın olarak kullanılan şifreleme yöntemidir. Ağ yöneticileri, yönlendiriciler ve anahtarlar gibi ağ cihazlarını uzaktan oturum açmak ve yönetmek için SSH'yi kullanır. Genellikle, VPN bağlantıları için kullanılsa da, şifrelenmemiş bir katman 7 uzaktan oturum açma protokolü olan Telnet'in yerine geçtiği düşünülür. SSH, IETF RFC 4253’te belirtilir. 22 numaralı bağlantı noktasını kullanır.
IPsec, herhangi bir bağlantı türüne şifreleme ve bütünlük denetimi yeteneği sağlayan bir ağ katmanı protokolüdür. IPsec çeşitli IETF RFC belgelerinde açıklanmıştır. RFC 6071, bu belgelerin birbirleriyle nasıl ilişkili olduğunu gösteren bir yol haritası sunar.
IPsec iki güvenlik protokolü sağlar: AH (Authentication Header) ve ESP (Encapsulating Security Payload).
Fikri mülkiyet (IP) koruması endişe kaynağı olmaya devam ediyor. Fikri Mülkiyet koruması kılavuzları, süreçleri, tasarım belgelerini, araştırma ve geliştirme verilerini içerir. İki önemli sorun bulunmaktadır. Birincisi, gizli bilgileri saklamak, ikincisi ise bilgilerin sadece sizin görmek istediğiniz biri tarafından görülebilmesini sağlamaktır. Veri sınıflandırma ve erişim kontrolü, erişimi uygun şekilde kontrol etmek için kullanılan birçok şeyden yalnızca ikisidir.
İşletmenizin dışına uygunsuz olarak çıkarılan verilerle ilgili endişeler, veri sızıntısı önleme (DLP) teknolojisi ile kontrol edilebilir. E-postalar veya dosya aktarımları gibi veri akışlarındaki hassas bilgileri izler.
DLP yazılımı, kredi kartı numarası gibi hassas bilgileri görürse iletimi engeller veya durdurur. Daha uygun bir eylem olacaksa bu iletimi şifreleyebilir. Asıl sorulması gereken soru işletmenizin neyi kontrol etmek istediği ve DLP yazılımı bu verileri algıladığında ağın nasıl yanıt vermesini istediğinizdir.
DRM, IP'ye erişimi kontrol etmek için teknolojiyi kullanır. Kindle, iTunes, Spotify, Netflix veya Amazon Prime Video kullandıysanız, DRM yazılımı kullanmışsınızdır. Bu yazılım satıcıdan satın aldığınızda videoyu görmenizi, kitabı okumanızı veya müzik dinlemenizi sağlar. İş amaçlı bir uygulamayı örnek vermek gerekirse, kullanıcı bir eğitim satın aldığında Cisco'nun kurs kılavuzlarına erişimi kontrol etmesi güzel bir örnektir.
Javelin ve LockLizard, işletmelerin içerik dağıtımını kontrol etmek için kullanabilecekleri bir başka örnek olarak verilebilir. DRM teknolojisi, birinin içeriği ne kadar süreyle kullanabileceğini, içeriğin yazdırılıp yazdırılamayacağını, paylaşılıp paylaşılamayacağını yöneten erişim kontrolünü kullanır. Parametreler, fikri mülkiyet sahibinin isteklerine dayanmaktadır.
Muhtemelen bir işletmenin uygulayabileceği en kritik güvenlik önlemleri, güvenlik sorununun tespiti ve düzeltilmesini içerir. Başlama noktası günlük kayıtlarıdır. Bir ağdaki veya bir ağa bağlı olan hemen hemen tüm sistemler günlükler oluşturmalıdır.
Nelerin günlük kaydına kaydedileceğini işletmeler belirler. Bu, oturum açma denemelerini, trafik akışlarını, paketleri, gerçekleştirilen eylemleri ve hatta bir kullanıcının yaptığı tüm tuş vuruşlarını içerebilir. Neyin kaydedileceğine ilişkin karar, işletmenin risk durumuna, varlıkların hassasiyetine ve sistemlerin açıklarına göre verilmelidir.
Bu sistemlerin tümü günlükler oluşturmalıdır:
Ağ üzerindeki sistemler
Ağa bağlı sistemler
Bu, çok sayıda kaydedilmiş olayla sonuçlanır. Tüm bu verileri anlamlandırmak için, aynı zamanda denetim izleri olan günlükleri, syslog sunucusu gibi merkezi bir konuma göndermek gerekir. Günlükler bir sistem günlüğü sunucusunda olduğunda, bir güvenlik bilgileri olay yöneticisi (SIEM) bunları analiz eder.
SIEM, tüm sistemlerden gelen günlükleri analiz eden ve olayları ilişkilendiren bir araçtır. Uzlaşma göstergeleri arar (IOC). Bir IOC her zaman gerçek bir olayın kanıtına dönüşmez, bu nedenle insanlar tarafından analiz edilmelidir. Bu, bir güvenlik operasyon merkezinin (SOC) ve bir olay müdahale ekibinin (IRT) yapılacak sonraki eylemleri belirlemesi gereken yerdir.