Konu Başlığı: Firewall hakkında bir kaç soru

kindarmarti tarafından gönderilen mesaj:

Merhabalar
Danışmanlığını yaptığım bir firma, bana şu şekilde bir soru ile geldi
Biz virüs tarama ve trojan koruma programlarını kullanıyoruz, peki ne kadar güvenli

Kablosuz (ve mobil) Ağ Güvenliği
Kablolu ağlarda olduğu gibi kablosuz ağlarda güvenlik uygulaması aşağıdaki fonksiyonların eksiksiz işletilmesi ile sağlanır:

• Kimliklendirme : Ağa giren her kullanıcı sadece kendisine ai bir tanımlayıcı ile kimliklendirilir. Kimliklendirilmesi yeterli olmayan veya başarılı olmayan kullanıcılar ağ ortamına alınmaz, kaydedilir ve bu kayıt periyodik olarak incelenmek üzere saklanır.
  1. Bu kimlik en basit anlamda bir domain controllerda yer alan domian kullanıcısı bilgisini ile ilişkilendirilen RADIUS sunucu tarafından kontrol edilip sorgulanan bir domain kullanıcısı kaydıdır.
  2. Bunun yanında sadece ağa erişecek kullanıcıaların MAC adreslerini tanımlayarak da bir çözüme gidebilirsin Bu tür access list oluşturmalara yönelik eleştiri access listlerin yönetiminin ve kontrolünün maliyetinin yüksek olması yönündedir.
  3. Elbette istemci tarafında bulunan ve güvenilir sertifika sunucuya ait olan IPSec tanımlaması ile de kullanıcıyı kimliklendirerek network'e dahil edebilirsin.
• Yetkilendirme: Yetkilendirme kimliklendirilerek tanımlanan kullanıcının ağa erişim izni verip vermeyeye yönelik olarak tanımlanabilimesidir.
  1. Birinci çözümde domain kullancısının dial- up yetkisinin var olup olmaması RADIUS sunucuya bu yetkiin olup olmadığını bildirir. Örneğin işten ayrılan bir kullanıcının hesabından herhangi bir şey sızdırıp sızdırmadığın adair bir kontrolü en az 3 ay devam ettirmek genellikle güvenlik prosedurlerinde yer alır. Bu nedenle hesap guest grubuna aktarılır ve 3 ay süre ile herhangi bir dial up erişim talebinin olup olmadığı gözlenir.
  2. İkinci çözümde access list zaten default olarak ağa abağlanacak olan kullanıcıları tanımlar. Bunun haricinde ise ağa bağlanmaya yönelik bir yetkisi yoktur.
  3. Üçüncü çözümde ise IPSec size istemci ile sunucu arasında bir çözüm sunar. Ipsec policy uygulanan sunucu sadece kendisine geçerli olarak tanıtılan sertifikalara sahip istemcilerin bağlanmasına izin verir.
• Kaydetme
  Her erişim başarılı olsun ya da olmasın session seviyesinde kaydedilir. Başarısız olanalr periyodik olarak taranr ve gerekli şekilde eskale edilerek kayıt incelenir önemli bir saldırı yoksa kayıt kapatılır. Aksi taktirde tespit çalışmalarına başlanır. Tespit başarılı olursa hukuki süreç takip edilir.
• Şifreleme: Havada yer alan hiç bir bilgi açık olarak gönderilmez. Sadece istemcinin veya sunucunun anlayacağı şekilde en az 128 bit olmak üzere şifrelenir. IPSec ile bunun pure yazılım tabanlı olarak çözebilirsin.
  VPN donanımları da sana benzeri imkanı sağlar. Fakat 5 yıllık kablosuz mobil ağ tecrübem VPN'den uzak durup IPSec'e yaklaşma yönündedir.

kindarmarti tarafından gönderilen mesaj:

firmadaki dısarıda wireless bağlantı da kullanan pc'lerimizi nasıl bir yöntemle korumalıyız.

Firma dışındaki pc ve notebookların standart korumasının domain yapına bırakırsan nadiren başın ağrır. Bir çok uluslararası kurum, şirkette dahil olmak üzere bünyelerinde bulunan pc tabanlı istemcilerin extranet'e bağlanırken muhakkak VPN ya da Ipsec uygulamaktadırlar. Aynı zamanda harici ağ kurma yetkisi lokal policyler ile de sadece ilgili domain kullanıcısına tanınmış durumda hatta gerçekleştiridiğim bir domain konfigüresyonunda lokal ve domain admin dahi lokal güvenlik policy yi değiştiremez durumdaydı. Bu tür bir zorlama sağlam ve test ettiğin birpc konfigürasyonunu senecelerce başın ağrımadan işletmene imkan tanır. Eğer pc başka bir network e bağlanacaksa o domain hesabı ile değil yerel bir kullanıcı hesabı ile açılır ve bu durumda Windows XP'nin Orange Book C2'den getirdiği erişim sınırlamaları yerel diskin kurumsal veri içeren kısımlarına yetkisiz erişimi durdurur.

Özet ile kablosuz ağda muhakkak domain yapısını işletmeli ve yerel erişimi kontrol altında tutmalısın. Aynı zamanda corporate lisansa sahip bir virus sunucu ile çalışan bir virus istemciye sahip olman şart. İstemcilerde IDS lerin bir halta yaramadığı konusunda garanti verebilirim. İyi bir satış pazarlaması fakat pratikte takibi ve işletmesi o kadar zor ki projeler başarısızlıkla sonuçlanıyor.

kindarmarti tarafından gönderilen mesaj:

1-) Ben de genellikle dısarıda wireless kullanıyorum, ve standart bir virüs koruma harici korumam yok- ki gerekiyor mu,

Kesinlikle. Yukardaki 4 aşamanın muhakkak kablosuz veya mobil pclerde bulunması gerekli. Ancak bu çözüme optimum değerlendirme ile erişmek lazım. Eğer ki kablosuz networkü sadece internet erişimi için kullanıyor herhangi bir gizli bilgi taşımıyor isen sorun yok. Kullanıcıları uyararak istersen açık metin bir ağ kur. Ancak hizmete özel üzerinde bir yetki seviyesinde tanımlanmış bir veri taşıyor isen o zaman muhakkak üstteki çözümlerden birini benimsemelisin.

Peki işletme hangi veri arşiv, hizmete özel gizli veya kişiye özel gizli. Sanırım bunu danışmanı olduğun firmaya güvenlik politikasını belirlerken çalışıp sunmuşssundur.

kindarmarti tarafından gönderilen mesaj:

2-) Outlook bilgilerim önemli mesela bunları, nasıl bir şekilde güvenli halde tutabilirim notebook'umda

Notebook unun domain içinde tuttuğun müddetçe lokal verilerinde domain güvencesi altındadır. Çok ısrar edersen pst dosyanı office'in standart şifreleme uygulaması ile şifreleyebilrisin. Daha da ileri gitmek istersen bunun için ticari ürünler de var.

kindarmarti tarafından gönderilen mesaj:

Merhabalar
3-) Kazaa,emule vs..vs.. gibi programları kullanmam, bunlar harici pc'me trojan alma olasılığımı nasıl min.

Bir corporate virus suncu periyodik olarak bütün istemcileri tarar ve sistem sorumlusuna sonuçları rapor eder. Bu durum son kullanıcıya yansıtılmaz bile. Böylece vişruz trojan ya da her ne ise siliir ve sistem sorumlusuna durum bildirilir.

Aynı zamanda firewall üzerinde sadece gerekli portları açarak ta kullanıcıların internete erişimini sınırlayabilirsin. Örneğin dns, ve http trafiği haricini kapatabilirsin. Aynı zamanda eğer firewall un uygulama seviyesinde bir kontrol yapıyor ise zararlı kodların, activex lerin trojanların yüklenmesinin de önüne geçebilirsin.

kindarmarti tarafından gönderilen mesaj:

4-) Ne kadar engellesemde sizin pc'den maillerime bakabilirmiyim tipinde yaklaşan insanların mail bakma vs. durumunda benim kişisel bilgilerime bakmasını nasıl engelleyebilirim (yeni bir kullanıcı tiplemesi açmak ne kadar mantıklı)

Eğer istemci domain de ise zaten başka bir kullanıcının mail hesabına erişmesi mümkünde değildir.

kindarmarti tarafından gönderilen mesaj:

5-) bu biraz özel olabilir.
Müşterilerinizin gerek iletişim bilgilerini gerek ise özel bilgilerini nasıl muhafaza ediyorsunuz.. ben su ana kadar yabancı bir server'da host içinde tutuyorum alternatif olacak herseye olumlu bakabilecek durumdayım.

Veriler veri tabanlarında veya veri dosyalarında tutulur. Her iki durumda da verileri kullanıcı tanımlamalarının bulunmadığı her giriş ve çıkışı firewallar ile korunan(kimliklendirme, yetkilendirme, loglama, VPN) , extranet OSI level2 internetten ise OSI level 1 seviyesinde yalıtılmış bir ağda bulunan domain de tanımlı SQL ve file sunucularda tutuyorum.

Senin çözümün en ucuz fakat güvenlik açısından en kötü çözüm. Sadece güvenlik nedeni ile değil yedekleme ve erişimde sorun olur bir an önce lokal bir çözüme gitsen iyi olur. Lokal çözüm ile işletmenin içini kastediyorum. Eğer bu yatırımları sağlayamam diyor isen Amazonun şu şekilde de bir hizmeti var muhakkak ki diğer servis sağlayıcılardan üstündür. Artı sigorta vs de mümkün bildiğim kadarı ile.

Ethernet seviyesinde 802.1X'in uygulanması da bir çok güvenlik fonksiyonunu karşılamakta. Halen ticari ürünler ile bu desteği yazılım seviyesinde alabilmek mümkün. Fakat geniş uygulamalar için biraz daha yaygınlaşmasını bekleyip, sahip olma maliyetlerinin ucuzlamasını bekleyenler de var.

Referanslar:

Amazon Simple Storage Service
http://www.amazon.com/S3-AWS-home-pa...A36L942TSJ2AJA

Kablosuz Güvenlik
http://en.wikipedia.org/wiki/Wireless_security

OSI Katmanları
http://en.wikipedia.org/wiki/Osi_layer

RADIUS
http://www.microsoft.com/technet/pro....mspx?mfr=true

VPN ve IPSec
http://technet2.microsoft.com/Window....mspx?mfr=true
http://en.wikipedia.org/wiki/Vpn

Orange Book
http://www.dynamoo.com/orange/summary.htm

Not: Bilgilerin birbirine girmiş olmasının nedeni; bir soruya cevaben sağlanmasıdır.