spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

Ana Menü

Anasayfa
Etkinlikler
Güvenlik Bildirileri
Teknik Yazılar
Kılavuzlar
Herkes İçin Güvenlik
Raporlar
Duyurular
Terimler Sözlüğü
Site İçerisinde Arama
İçerik Arşivi
TR-BOME KM
TR-CERT
Ortak Kriterler
 

spacer.png, 0 kB
 spacer.png, 0 kB
Kurumlarda Bilgi Güvenliği Çözümleri - 1 Yazdır E-posta
Bülent Savaş Türkmenoğlu, Dosbil Bilgisayar San. Tic. Ltd. Şti.   
26.01.2011

Son zamanların en çok gündeme gelen konularından birisi bilgi güvenliği ve daha fazlası aslında iletişim güvenliği. Klasik tabirle dünya İnternet sayesinde kocaman bir köy halini aldı. Ancak bu köy gittikçe bilginin kontrolsüz, güvensiz, kirli ve hatta yasadışı yollardan ortalıkta dolaştığı ve insanların birbirlerine güvenemediği bir hale dönüşüyor. Dünya çapında gerek sosyal ağlar gerekse İnternet bankacılığı ve çevrimiçi yapılan işlemlerinin artması kötü niyetli kişilerin iştahını kabartıyor ve bu şekilde elde edilen yasadışı kazancın miktarı her yıl katlanır şekilde artıyor. Aslında elektronik posta kutunuza veya cep telefonunuza gelen ve hiç alakanızın olmadığı mesajlara maruz kalmak bile sizi  mağdur sınıfına sokuyor. Hiç tanımadığınız bir şirket, ürün ve hizmetle ilgili olarak posta kutunuza düşen mesajlara dikkat ve zaman ayırmanız gerekiyor. Bu mesajların size doğrudan bir zararı olmasa bile zamanın para olduğu prensibiyle aslında birileri sizin paranızı çalıyor veya sizin üzerinizden kazanç elde ediyor. Zaman ve para kaybı sadece sanal saldırılarla olmuyor. Kurumların mesai saatleri içinde işiyle alakası olmayan İnternet sitelerinde ve sohbet odalarında dolaşan personelden dolayı yaşadıkları işgücü kaybını düşünürseniz bu kayıpların boyutu daha da artıyor. Gerekli tedbirleri almak ise doğrudan bütçenizden kaynak aktarımı yapmanız demek. Çünkü size güvenli iletişim ve bilgi güvenliği sağlayan kurumlar bunu doğal olarak hizmet ücretlerinin içine dahil ediyorlar. Bu konuda faaliyet gösteren kurumların sayısı ise pastanın büyümesine doğru orantılı olarak gün geçtikçe artıyor. Bilgisayar sistemleri altyapısını kuran işletmeler artık ağ güvenlik duvarı (firewall) yazılım ve donanım ürünlerini sistemlerine dahil ediyorlar. Burada amaç sadece dışarıdan gelebilecek riskleri değil aynı zamanda içerideki riskleri de bertaraf etmek. İnternet ve intranet (dış ve iç ağ) trafiğinin denetlenmesi, herkese kullanması gerektiği kadar ağ kaynağının ayrılması ve bunları raporlanması ön plana çıkıyor.

Uluslararası otoriteler bilginin transferi ve güvenliği konusundaki tedbir ve çözümleri kalite politikaları olarak yayınlıyorlar. Bir zincirin en zayıf halkası kadar güvenliği olduğu gerçeğiyle üretilen ve tümleşik çözümler sunan, detaylı çalışmalar söz konusu. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurumlarda bu konuda yapılması gereken standartları belirliyor. Risk analizi ve tedbirlerinin düzenlenmesinin standartlara bağlanmasını içermektedir. Ülkeler yasalarında yaptıkları değişikliklerle önleyici ve devamında bağlayıcı tedbirleri geliştiriyorlar. Ülkemizde de halen tam olarak anlaşılamayan 5651 sayılı yasa bulunuyor. İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesini kapsayan kanun 2007 yılından beri yürürlükte.  Bu kanun ile İnternet üzerinden yapılan yayınların ve toplu İnternet kullanımı gerçekleştirilen (günümüzde her kurum ve işletme) yerlerin sorumluluk kriterleri belirlenmiş durumda. Kurumlar İnternet trafiklerinin denetlenmesi ve kayıt altına alınması konusunda yükümlülük altındalar. Kısacası artık görmedim, duymadım, bilmiyorum, hatırlamıyorum tarzı yaklaşımlar söz konusu değil.

Birleşik Tehdit Yönetimi Ağ Güvenlik Cihazları (UTM Firewall)

Bu bölümde bilgi güvenliğinin sağlanmasında temel ürünlerden ve son günlerde oldukça popüler olan birleşik tehdit yönetimine sahip ağ güvenlik duvarlarını (UTM firewall) hakkında bilgi vereceğiz. Kurumlar edinmek istedikleri bir ağ güvenlik duvarında nelere dikkat etmeliler? Bu konuda karar vericilere karmaşık gelen temel noktaları daha yalın bir halde anlatmak istiyoruz.

  1. Uluslararası Standartlar: Common Criteria sertifikasyonu bulunmalıdır. Bu bağımsız kuruluş geliştirilen ürünlerin standartlarını belirler ve test ederek uygun olanlara sertifika verir.

  2. Ürün Güvenilirliği: Sistemde bireysel çözümler olmamalıdır. Belirli ücretsiz yazılımlarda ve ürünler konusunda tecrübe edinmiş kişilerin geliştirdikleri fakat daha sonra devamını getiremeyecekleri çözümleri tercih etmek sizi ileride sıkıntıya sokabilir.

  3. Ürün Konumlandırma ve Tercihi: Kuracağınız sistem İnternet bağlantınızın (İnternet çıkışınız) hemen arkasında yer almalı ve tüm trafik bu sistem üzerinden geçmeli. Sisteminizin yapısına (kullanıcı sayısı, posta sunucusu, web portal barındırması, uzak erişim) uygun olmayan küçük ölçekli bir ürün konumlandırmak ciddi performans kaybına ve hatta sistemin durmasına neden olacaktır.

  4. Trafik Yönetimi: Eğer birden fazla İnternet çıkışınız varsa bunları aynı zamanda idare ederek yük dengeleme, yedekleme, bant genişliği yönetimi yapabilmelidir. Bu özellikler size program, kullanıcı ve grup bazlı İnternet trafiğini paylaştırma imkanı sağlayacak ve ağ performansınızı üst seviyede kullanmanıza imkan verecektir. İlgili terimler load balancing ve bandwidth management olarak geçmektedir.

  5. Çift Yönlü Koruma: Güvenlik sisteminizin sadece dışarıdan gelecek saldırı ve tehditlere yönelik değil aynı zamanda içeriden de dışarı gidebilecek saldırı ve risklere karşı koruma sağlaması gerekmektedir. Böylece siz farkında olmadan bilgisayar sistemleriniz arasına sızmış kontrol edemediğiniz bir cihazın dışarıya karşı tehdit oluşturmasını engellersiniz.

  6. Atak Tespit ve Durdurma: IDS ve IPS denilen atak tespit ve durdurma özelliği bulunmalıdır. Belirli bir İnternet ip ve/veya port numarası üzerinden kesintisiz, sürekli gelebilecek atakların tespiti ve durdurulması en temel özelliklerdendir. Sisteminiz yüksek trafik ve atak altında performansını düşürmemelidir. Son zamanlarda botnet, ddos saldırılarının yoğunluğu ve kararlılığı artmaktadır. Sisteminiz kısacası bu atakları göğüsleyecek performans ve sürekli güncellenen saldırı şekilleri veritabanına sahip olmalıdır.

  7. Kategori Bazlı İçerik Filtreleme: Dünyada yayında olan milyonlarca web sitesinin hangisinin işinize yarayıp yaramadığını kontrol etmeniz imkansız. Güvenlik duvarı sistem geliştiricileri bu amaçla yayına giren siteleri içeriklerine göre sürekli kategorilere ayırmaktadır. Siteler pornografi, bahis, kurumsal, haber, forum, sosyal ağ vb. şeklinde tasnif edilmektedirler. Sisteminizin veri tabanının kapsamlı ve sürekli güncellenir halde olması önemlidir. Bu sayede sisteminiz içinde kişi/grup bazlı bir biçimde sitelere erişimi engelleyebilirsiniz.

  8. Uygulama Bazlı Koruma: Web siteleri dışında dünyada kullanılan uygulamaların da (yazılımlar) kategorilere ayrılması da söz konusudur. Bu uygulamalar çevrimiçi sohbet, dosya, video, resim paylaşımı vb. şekilde ayrılmaktadırlar. Sisteminiz üzerinde bunlardan istemediklerinizin İnternete çıkışını engellemek güvenliğinizi ve iş performansınızı artıracaktır.

  9. İstenmeyen Posta Koruması: Reklam ve zararlı içeriklere sahip elektronik postaların ağ geçidi seviyesinden engellenmesini sağlamalıdır. Bu sayede gereksiz, zararlı ve aldatıcı postalar posta kutunuza ve/veya posta sunucunuza ulaşamadan sisteminizin giriş kapısında engellenirler. Son zamanlarda artan oltalama (güvenilir bir kurumdan geliyormuş gibi gönderilen fakat sizi kandırmaya yönelik içeriğe sahip) saldırılarının engellenmesi önemlidir.

  10. Ağ Geçidi Anti Virüs: Bilgisayar sisteminizde kullanılan antivirüs uygulamaları içerideki trafiği kullanıcı bazlı olarak korumaktadırlar. Yani virüs İnternet üzerinden ağınıza eriştikten sonra ilgili antivirüs yazılımı bilgisayarınız veya sunucunuza virüsün bulaşmasını engeller. Bu esnada antivirüs yazılımı ile korunmayan veya sürümü eski olan bilgisayarlara virüs bulaşabilir. Bu virüsleri daha giriş kapısı seviyesinde durdurmak size ileri güvenlik sağlayacaktır.

  11. İstenmeyen Ajan Yazılım Koruması: Spyware adı verilen ve sizin kontrolünüz dışında sisteminize sızarak arka planda faaliyet gösteren yazılımların tespit edilerek yok edilmesini desteklemelidir. Örnek olarak bankacılık sitelerinin sanal klavyelerinde basılan tuşları raporlayan bu tarz yazılımlar rahatlıkla İnternet üzerinden bulunup sisteminize yerleştirilebilir. Güvenlik sisteminiz üzerinden geçen bilgilerin bu tarz bilgiler olup olmadığını denetleyebilmelidir.

  12. Uzak Bağlantı Koruması: Birden fazla şubesiniz ve/veya sahada çalışan personeliniz varsa güvenli bağlantıya ihtiyacınız var demektir. VPN bağlantısı size noktalarınız arasında sanal güvenli ağ oluşturmanızı sağlayacaktır. Ancak tek başına VPN kurmak güvenli olduğunuz anlamına gelmez. Son zamanlarda bazı güvenlik cihazı üreticileri güvenli, temiz VPN teknikleri geliştirerek bu konudaki koruma çıtasını yükselttiler.

  13. VoIP Desteği: VoIP kaynaklarına, santrallere, pc ve IP telefonlara gelebilecek sızma girişimleri yada anormal trafik isteklerine karşı korumayı ifade eder.

  14. Active Directory Desteği: Güvenlik sisteminizin Microsoft Windows Active Directory entegrasyonu sağlıyor olması; AD üzerindeki kullanıcı ve gruplara uygulanan tanımların otomatik olarak cihazınız üzerinde çalışabiliyor olması demektir.

  15. Kolay Yönetim ve Raporlama: Güvenlik sisteminiz üzerinde gerçekleşen durumların grafik arayüze sahip, kullanımı kolay sihirbazlar ile raporlanması yönetim süreçlerinizi hızlandıracak ve basitleştirecektir. Sadece log tutan değil aynı zamanda lan ve risk analizi yapabilen ürünleri tercih etmek uygun olacaktır. Bazı ürünler raporlama için ilave yazılım ve donanımlara ihtiyaç duymaktadırlar. Bu durum sizin maliyetlerinizi artıracaktır.

  16. 5651 Sayılı Kanuna Uygunluk: Sisteminizin tuttuğu raporların kanuna uygun şekilde olması gerekmektedir. Ip, mac adres eşleştirmesi ve zaman damgası vurularak bu log dosyalarının değiştirilemeyecek şekilde saklanması gerekiyor. Bazı ürünlerin bu yönde çözümleri bulunmuyor ve üçüncü parti yazılımlara yönlendirme yapılabiliyor. Maliyetleriniz açısından bunu değerlendirmelisiniz.

  17. Performans Kriterleri: Güvenlik cihazlarının performansı birim sürede (1 saniye) üzerlerinden geçirebildikleri, denetleyebildikleri bilginin kapasitesi ile ölçülüyor. Örnek olarak 600 Mbps. performansa sahip olarak anılan bir cihaz saniyede 600 Megabit veriyi işleyebiliyor demektir. Ancak burada dikkat edilmesi gereken sadece firewall performans değerine bakmanın yanıltıcı olacağıdır. Birleşik tehdit yönetimini destekleyen bu ürünlerin hepsinde benzer bütün servislerinin aynı anda açık olduğu ve eşit yük altında gösterdikleri performans değerleri önemlidir. Kıyaslamalar yapılırken buna dikkat etmek gerekiyor.

  18. Özellik, Perfomans ve Fiyat Kriterleri: Sahip olmak istediğiniz güvenlik sisteminin özellikli fakat bu özellikleri işletirken performansını düşürmemesi gerekiyor. Doğal olarak sahip olma ve işletme maliyetlerini de değerlendirmeniz gerekir. Yıllık lisans yenileme ücretleri ve bu ücretlerin kapsadığı lisanslar önemli. Cihazın Mbps (saniyede işlenen megabit) başına koruma maliyetini araştırabilirsiniz.

Sonuç olarak bilgi güvenliğinin temelinde olan ağ güvenlik cihazlarının temel faktörlerini anlamış oluyoruz.


Favori olarak ekle (0) | Görüntüleme sayısı: 1792

Yorumlar (1)
1. 31-01-2011 10:02
 
Bu aydınlatıcı bilgilendirmenizden dolayı size teşekkür ederim.
  
cavit turan

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.
 
[ Geri ]
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2012 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB