Hızlı Konu Açma

Hızlı Konu Açmak için tıklayınız.

Son Mesajlar

Konulardaki Son Mesajlar

Reklam

Forumda Reklam Vermek İçin Bize Ulaşın

Yerel Ağ Güvenliğinizi Sağlayın

Tusunami

Fahri Üye
Fahri Üye
Galatasaray
Katılım
28 Temmuz 2013
Mesajlar
47
Tepkime puanı
9
Puanları
0
Konum
Universe
Web sitesi
www.twitter.com
1. Kurumsal ağ kaynaklarınızı iç ve dış tehditlere karşı korumak

Günümüzde kurumlar için yerel ağ kavramı artık, iç ağ/dış ağ ayrımıyapılmaksızın, kurumdaki herhangi bir kişiye, herhangi bir yerdenerişebilmek anlamında genişlemiştir. Ama bu gelişime paralel olarak,güvenlik uzmanları da ağlarına karşı olan tehditlerle başa çıkabilmekiçin daha komplike güvenlik politikaları uygulamak zorunda kalmaktadır.Bu tehditleden en başta geleni, önemli ağ kaynaklarını Internet’tenveya yerel ağdan gelebilecek muhtemel saldırılara karşı korumaktır.

Ağ üzerinden erişim kontrolü, mevcut ağ kaynaklarını korumak için temelyoldur. Ölçeklenebilir kapsamlı erişim denetimi kuralları sayesinde, ağgüvenliği yöneticileri ağ bağlantıları için kaynak sistem, hedefsistem, ağ trafik türü ve uygulama zamanını belirlemek suretiyle esnekağ erişim hakları belirleyebilirler.



Ağ güvenliğini korumak tabi ki sadece spesifik kaynaklara erişimdenetimi sağlamaktan ibaret değildir. Bundan başka, komple bir ağgüvenliği çözümü aşağıdakileri sağlamalıdır:

· Ağ kullanıcıların kimliklerinin belirlenmesi

· Aktarım esnasında veriyi şifreleme

· Kayıtlı IP’leri optimize şekilde kullanma

· Ağ trafiğinin tümünün içeriğine güvenlik politikasını uygulama

· Saldırıları gerçek zamanlı olarak belirleme ve önlem alma

· Denetim bilgilerinin tümünün kayıtlarını tutma

Ayrıca güvenlik politkası, kurum içerisinde kullanılan mevcut veileride kullanılması muhtemel bütün uygulamalara tatbik edilebilmeli vebağlantı sorunlarına, ağ performans düşüklüklerine yol açmamalıdır.

2. Mobil ve uzak kullanıcılar için ağ bağlantısı sağlamak

Birçok şirket uzak kullanıcılarının bağlantıları için, büyük modembağlantıları gerektiren geleneksel uzaktan erişim çözümleri ve pahallıdial-up telefon bağlantıları ile karşılaştırıldıklarında çok ekonomikçözümler sunan Internet üzerinde geliştirilen ağ uygulamalarınınfarkına vardılar. Uzak ve mobil kullanıcılarını kurumsal ağlarınaInternet bazlı özel sanal ağlar (VPNler) aracılığı ile bağlamak isteyenfirmaların sayısı arttıkça, bu kritik bağlantıların güvenliğininsağlanması da büyük önem kazanmıştır.

Bilgilerinizin Internet gibi herkese açık ağlar üzerinden iletimisırasında güvenliğinden emin olabilmek için iki temel unsurun yerindeuygulanması gerekir. Birincisi, hem uzak istemci, hem de kurumsalInternet ağgeçidi seviyesinde mümkün olan en güçlü tanılamasağlanmalıdır. İkincisi ise, bütün kullanıcı kimlikleri belirlendiktensonra, bütün veri trafiği gizlilik açısından şifreli olarakiletilmelidir.

Hem tanılama hem de şifreleme uygulamaları, ağ güvenlik çözümüçerçevisinde kesintisiz ve uyumlu olarak çalışmalıdır. Erişim denetimigibi ağ güvenlik kriterleri sanal özel ağ iletişimlerinde de çok önemlirole sahiptir. Uzak bir kullanıcının VPN ile kurumsal ofisine bağlantıkurması demek, buradaki tüm ağ kaynaklarına erişim hakkı kazanmasıanlamına gelmemelidir.

Bir firma için uzak ağ bağlantı ihtiyacı arttıkça, ağ güvenlikyöneticileri yönetilebilir ve kullanımı kolay VPN çözümlerine ihtiyaçduyarlar. Ve seçilecek çözüm, kurulumu kolay, ileride eklenebilecekyüksek sayıda uzak kullanıcı sayısını destekleyebilecek esneklikte, sonkullanıcı için ise kesintisiz ve transparan olmalıdır.

3. Internet’i kullanarak kurumsal veri iletişim masraflarını düşürmek

Güvenli ağ erişimi sağlamak amacıyla istemciler ve ağlar arasındakurulan VPN bağlantıları pahalı çözümler oldukları için, firmalar uzakofis bağlantılarını sağlamak için Internet aracılığı ile ağlar arasıveya bölgeler arası VPN bağlantılarını tercih ederek tasaruufagiderler. Ayrıca herkese açık hatlar üzerinden güçlü tanılama ve verişifreleme özellikleri kullanarak, bilgi güvenliğinden ödün vermeksizinticari iletişimleri de sağlamak mümkün olur. Bu sayede, frame-relay vekiralık hatlara yüksek miktar yatırımlar yapmaya gerek de kalmaz.

Gözden kaçırılmaması gereken bir konu ise, uzaktan erişim çözümü olarakgüçlü tanılama ve şifreleme teknolojileri seçildiği vakit, bu seçiminberaberinde yeni güvenlik yönetimi zorlukları getirebilmesidir. Bu tipmuhtemel zorlukları yaşamamak veya minumum seviyeye indirgemek için,tüm VPN bağlantı noktalarını merkezi bir konsol aracılığı ileyönetebilecek güvenlik çözümleri tercih edilmelidir.

Internet üzerindeki VPN uygulamalarının sağladığı maliyet düşüklüğününyanı sıra, ağ iletişimlerini özel dedike hatlardan Internet üzerinetaşınması, beklenmedik performans düşüklüklerine ve erişim sorunlarınayol açabilir. Bu yüzden, sanal özel bir ağ bünyesinde önceliklibağlantılar için entegre bantgenişliği yönetimi ve yüksekerişilebilirlik desteklenmelidir.

4. Güvenli bir extranet üzerinden iş ortaklarına ağ erişimi sağlamak

Kendinize ait ağ kaynaklarınızı (uzak ve mobil kullanıcılar, branchofisler) güvenli şekilde birbirine bağladıktan sonra, sıra kurumsalağınızı extranet uygulamaları aracılığı ile değerli iş ortaklarınıza vemüşterilerinize kontrollü bir biçimde açmaya gelir. Endüstristandartlarında protokollere ve algoritmalara bağlı kalarak gerekliextranet bağlantıları güvenli şekilde sağlanabilir. Ama bu türbağlantılar için kesinlikle tescilli teknolojiler tercih edilmelidir.

Internet bazlı VPN uygulamaları için kabul edilen standarda IPSec(Internet Protocol Security) adı verilir. IPSec, şifrelenmiş vetanılanmış bir IP paketinin formatını ifade eder ve gelecek nesil IPiletişimi için gereklidir. Şifrelenmiş anahtarların yönetiminiotomatikleştirmek için genellikle IPSec ile IKE (Internet Key Exchange)ile kullanılır.

Standart bazlı bağlantı kurulduğu zaman, dışardan erişecekkullanıcıların (iş ortakları, özel müşteriler) ihtiyaçlarına göre özelhaklar sadece ilgili ağ kaynakları için tanınmalıdır. Kurumsal ağkaynaklarının dışarıya açılma oranı arttıkça, bununla ilgiliuygulanması gereken kapsamlı güvenlik politikası da periyodik olarakrevize edilmelidir.

5. Kurumsal ağınızın yeterli performansa, güvenilirliğe ve yüksek erişilebilirliğe sahip olması

Kurumsal ağ bağlantılarında artan Internet kullanımının doğalsonuçlarından biri olan ağ tıkanıklıkları sonucu kritik uygulamalardaperformans sorunları yaşanabilir. Ortaya çıkabilecek bağlantı hataları,ağgeçidi çökmeleri, ağ bağlantı gecikmeleri ve diğer performansdüşüklükleri neticisinde firmalar büyük ekonomik kayıplaryaşayabilirler.

Internet ve Intranet hatlarının gereğinden fazla istemci ve sunucutarafından kullanılması sonucu, trafik miktarına göre bağlantıkopuklukları, zayıf ‘response’ zamanları ve yavaş Internet kullanımısorunları ile karşı karşıya gelmek normaldir. Bu gibi durumlarda,sınırlı bantgenişliği üzerinde mevcut hattı aktif olarak paylaştırmayayönelik bir yönetime gidilmelidir.

Eğer yerel ağınız bünyesinde yoğun trafik yaşanıyorsa, birçokkaynağınız (halka açık popüler bir Web sunucusu gibi ) negatif yöndeetkilenebilir. Bir uygulama için bir sunucuya güvenmek, zayıf‘response’ zamanlarına hatta bağlantı kopukluklarına yol açabilir.Sunucu yük dengelemesi bir uygulama sunucusunun işlevini birçok sunucuüzerine dağıtarak ölçeklenebilir bir çözüm sağlar. Bu yolla ayrıca,sunucular üzerindeki performanslar da arttırılmış olur.

Performansın yettiği durumlarda dahi, ağgeçidi seviyesinde meydanagelebilecek bir hatayı tolere edebilecek güvenli bir ağ altyapı sistemioluşturulmalıdır. Günümüzde artık çoğu kurum, ağgecidinde yaşayacaklarıanlık erişim sorunları yüzünden dahi büyük mali kayıplaryaşaycaklarından emin olarak yüksek erişilebilirliği destekleyen ağgüvenlik ürünlerini tercih etmektedir.

Yüksek erişilebilirliği destekleyen ürünler hem yazılım, hem donanımbazında yedeklemeli sistemler ile yüzde yüze yakın seviyelerdeerişilebilirliği garanti ederler. Bir sorun meydan geldiği zaman,yüksek erişilebilirliği sağlayan bileşenler ağınızın güvenli olmasınısağlamalı ve son kullanıcıya tamamen transparan şekilde devamettirilmelidir. Gerçek etkili çözümler sunacak ağ yöneticileri, iç vedış kullanıcılarına daimi güvenilir servisler sağlamalıdır.

6. Kullanıcı bazında güvenlik politikalarını ağ seviyesinde uygulamak

Kurumsal ağ konseptinin genişlemesi, birçok ağ için kullanıcı,uygulamalar ve IP adres kullanımı sayılarında aşırı artışlara yolaçmıştır. Bu tür dinamik ağ ortamlarında emniyetli ağ politikalarınınuygulanması, kullanıcı bazında güvenlik politikalarınınoluşturulmasıyla sağlanır. Bu politikalar çerçevesinde, ağkullanıcıları için kişisel erişim denetimleri, tanılama prosedürleri veşifreleme parametreleri belirlenir. Yüksek miktarda kullanıcı bilgisiiçeren bu uygulamalarla uğraşmak ağ ve güvenlik yöneticileri için bazenkolay olmayabilir.

Kullanıcı seviyesinde güvenlik bilgilerini ölçeklenebilir şekildemerkezi bir yerde depolamak için LDAP protokolü kullanmak en uygunçözümdür. LDAP sayesinde, bütün kullanıcı bilgileriniz tek birveritabanında tutulup diğer ağ uygulamaları tarafından paylaşılır.Bununla birlikte ağ ve güvenlik yönetimleri paralel çalışarak güvenlikile ilgili zaman harcatıcı rutin prosedürlerin aşılması sağlanır.

Güvenlik denetimlerini en üst düzeyde tutmak için kullanıcı seviyesindeuygulanan güvenlik politikaların kayıtlarının tutulması ve bunlarındenetlenmesi gerekir. Kişisel güvenlik politikalarının uygulandığıortamlarda DHCP protokolünün kullanılması etkili bir yol değildir.Bunun sebebi IP adres atamalarının dinamik olarak yapılmasıdır.

7. Ağınıza karşı yapılan atakları ve şüpheli aktiviteleri anında algılamak ve bunlara cevap vermek

Kurumsal ağ güvenliğinizi ancak ağınızı ve kullanıcılarınızı korumakiçin uyguladığınız güvenlik politikaları belirler. Ağ korumanızıdevamlı olarak ayakta tutmanın yolu yetkisiz aktiviteleri gerçekzamanlı olarak tespit etmektir.

Etkili bir saldırı tespit sistemi, atak ve şüpheli ağ aktiviteleriniyetkin bir şekilde tespit ederek kurumsal ağ güvenliğinizin birbacağını oluşturur. Ama bu istenmeyen trafiğin sadece saptanmasıyeterli değildir. Kullandığınız saldırı tespit uygulaması öte yandanbelirlenecek bu tür istenmeyen bağlantılara anında yanıt verebilmeli veağ kaynaklarına yetkisiz erişimi engellemelidir.

İyi dizayn edilmiş bir saldırı tespit uygulaması, gerçek zamanlıkarşılıklara ek olarak kapsamlı kayıt tutabilme, komple denetim vegerektiğinde ilgili kişileri ikaz edebilecek gelişmiş uyarımekanizmalarına sahip olmalıdır.

8. Ağınızın IP adres altyapısını güvenli ve etkili bir biçimde yönetmek

Ağlar üzerindeki kullaınıcı ve uygulama sayısı arttıkça, ağ cihazlarıve kullanıcıları için gereken IP adres adres sayısı gittikçe daha çokartmaktadır. Buna paralel olarak da hızlı gelişen ağlarda IP adres veisim alanı yönetimi zorlaşmaktadır.

Eskisi gibi her bilgisayar ve ağ cihazının IP adres konfigürasyonunumanuel olarak kontrol etmek artık uygulanmamaktadır. Bunun sebebi, butip bir yönetimin günümüz ağları üzerinde hataya açık, zahmetli veentegrasyon eksikli bir yapı oluşturacak olmasıdır. Böyle bir yapı dadoğal olarak çok pahalı olmasının yanında, merkezi kontrol,ölçeklenebilme ve güvenilirlikten uzak olacaktır.

Kurumsal bazlı IP ağ altyapınız için merkezi idare ve esnek yönetimsağlayan IP adres yönetim çözümleri ancak genel ağ altyapısı iletamamen entegre olduklarında güvenlik politikaları için optimumkullanılmış olurlar. Daha spesifik olmak gerekirse, dinamik paylaşımlıdahi olsalar, mevcut IP adreslerini kullanıcılara birebir olarakeşlemek kullanıcı bazlı daha güçlü çözümler oluşturmayıı sağlayacaktır.

9. Entegrasyona yönelik açık platform güvenlik çözümleri kullanmak

Ağ güvenlik yöneticileri, korudukları ağ üzerinde kullanacaklarıyazılım uygulamaları ve ağ altyapısında kullancakları donanımları başdöndürücü bir devinim içinde gelişen bilişim teknolojileri pazarındanseçmektedirler. Bu noktada dikkat edilmesi gereken husus, bütünürünlerin birbirleri ile teknik olarak entegrasyon sorunu olamaksızınyüksek performans ile çalışması gerekliliğidir.

Alternatif olarak, seçeceğiniz çözümleri geniş yelpazede çalışanüretici tek bir firmadan temin edebilirsiniz. Bu sayede ürünlerinsistemleriniz üzerinde entegrasyon sorunu olmadan çalışacağından eminolabilirsiniz ama bu aşamada da tercih edebileceğiniz uygulamasayısında daralma yaşarsınız. Bütün güvenlik ihtiyaçlarınızı teminedebilecek spektrumda hizmet veren tek bir üretici firma bulmanız pekmuhtemel değildir.

Ağ güvenliği için tercih edeceğiniz çözümler neler olurlarsa olsun,hepsinin seçiminde açık mimari platformu destekleyecek çözümlerolmalarına dikkat edilmelidir. İyi tanımlanmış arayüzlere sahip açıkbir mimari, genel güvenlik politikası çerçevesinde kullanılacak bütünürünlerin birbirleri ile sorunsuz çalışmasını sağlayacaktır. Buna ekolarak size özel ağ güvenlik ihtiyaçları için uygulamaprogramlama arayüzleri (API’ler) kullanılabilirsiniz.

10. Güvenli bir ağa sahip olmanın maliyet ve zahmetlerini azaltmak

Kurumsal ağınızın güvenliğini sağlamak için, seçtiğiniz çözümleriyönetecek ve denetleyecek kişilere önemli miktarda ücret ödemekdurumundasınızdır. Bu yüzden bu kişilerin işlerini, entegre konsollarüzerinden merkezi olarak idare edebilecekleri çözümler tercihedilmelidir. Böylelikle büyük bir kurumsal ağ için dahi, tek bir kişiağ güvenlik yöneticisi olarak ağ güvenliği denetimi yapabilir. Bundanbaşka güvenlik politikasında meydana gelecek çözümleri bütün uygulamanoktalarına hemen aktarmak gerekir..
 

Users Who Are Viewing This Konu (Users: 0, Guests: 1)

Üst