Selamlar,

Bu ay ki yazımda sizlere bizim müşterilerimize her fırsatta anlattığımız "Defense In Depth" modelinin ağ güvenliği başlığından bahsetmek istiyorum. "Defense In Depth" yaklaşımı bilgisayar sistemleri güvenliği konusunda kapsamlı ve katmansal bir yaklaşımın uygulanmasını önerir. Çoğu zaman sistem güvenliğini tek bir güvenlik programının varlığı ile eşleştirilmesi en çok karşılaştığımız problemlerden biri. Bilgisayar sistemleri tek bir yazılım ile korunayamacak kadar karmaşıktır ve dolayısıyla sistem güvenliği katmanlı bir model içinde incelenmeli ve incelemeyi yapan uzman tüm parçalar hakkında en azından sahip oldukları arayüzler adına bilgi sahibi olmalıdır. İşte bilgisayar ağları güvenliği bu aşamada yapılacak çalışmalar dahilinde en önemli parçalardan biridir ve Microsoft işletim sistemleri size bu konuda ciddi seviyede güvenlik olanakları sunar.

Bir çok ticari amaçlı çalışan organizasyon incelendiğinde, ilk kurulum sonrasında amacın doğrudan işlevsellik olduğunu ve bunu takiben yapılan network ve sistem yönetimi tasarımlarının güvenliği ön planda tutmadıklarını görürsünüz. Tam bu sebepten dolayı, güvenlik ve bunu etkinleştiren teknolojiler sistem tasarımlarına çoğu zaman sonradan eklenirler. Aynı fikirden hareketle ağ yapıları incelendiğinde, ağa erişimin herkes için açık olduğu ve ağın güvenli alanlarının bulunmadıklarını görürsünüz. Öncelikle şu soru cevaplandırılmalı, ağıma bağlı olan sistemlerin önceliklerinin hepsi aynı mı? Her sistem, güvenlik açısından, aynı anlamda mı önemli? Bu soruya hayır diye cevap verdiğinizi umuyorum. Tüm kaynakların eş erişilebilirlik ve güvenlikle yönetildiği sistemler, solucan, trojan ya da benzeri bir saldırı olduğunda tümden çöküntüye uğrarlar. Kaynaklar arasında sınırsız geçişin bulunduğu ağlarda Defense In Depth modelinin uygulandığı söylenemez.

Ağ yapılarının segmentasyonu güvenlik açısında ciddi faydalar sağlar. Doğrudan her sisteme erişimin olduğu, tüm sistemlerinin birbirleriyle denetimsiz iletişim kurabildiği sistemlerde, bir kaç saldırı mümkün olabilir:

  • Ağ üzerinde hareket eden trafik izlenebilir. Bu trafik, saldırgan için bir çok ilginç bilgiye ulaşılmasını sağlar. Bir örnek vermek gerekirse, diyelim ki ağınız üzerinde dosya sunucularınız var ve fakat herhangi bir ağ katmanı güvenliği teknolojisi kullanmıyorsunuz. Örneğin ağınız üzerinde IPSec şifrelemesi kullanılmıyor. Böyle bir ağ üzerinde saldırgan ne yapabilir? Varolan teknolojiler ve araçları kullanarak, sald��rgan çok basit biçimde erişimi olmayan dosyalar ağ üzerinde hareket ederken bunları kopyalayabilir. Erişim denetim listeleri ile güvenli hale getirdiğiniz dosyalar, istemediğiniz biçimde erişimi olmayan kullanıcıların eline geçebilir. Buna olanak sağlayan şey ise, dosya transfer halinde iken Windows’un dosya transfer protokolu olan SMB protokol paketleri içinde dosya datasının bulunmasıdır.
  • Ağa bağlı olan sunucular, doğrudan saldırıya açık durumdadırlar. Bağlantıları kabul ederken herhangi bir denetim mekanizması kullanmadıkları için, sunucu ağa bağlı herhangi bir sistem tarafından saldırıya maruz bırakılabilir.
  • Ağ üzerinde hareket eden paketler saldırgan bir kullanıcı tarafından değiştirilebilir.

Bu liste kesinlikle tam bir liste değildir. Buna ek olarak yapılabilecek bir çok saldırı yöntemi mevcut. Eğer Microsoft’a ait IPSec şifreleme teknolojisini kullanırsanız, yukarıdaki saldırılardan korunmuş olursunuz. Her ne kadar teknoloji olarak çok fazla bilinmese de aslında IPSec, Windows tabanlı ağlarda uygulanması gerçekten çok da zor olmayan bir teknolojidir. Mimari olarak incelendiğinde gerçekten karmaşık bir yapıya sahip olmasına karşın, IETF organizasyonu tarafından standart haline getirilen IPSec, ilke tabanlı bir uygulama ve yapılandırma sistemine sahiptir. Dolayısıyla ilk yapılandırma sırasında Windows’un sunduğu standart ilkeleri kullanarak çok hızlı biçimde uygulamaya geçilebilir.

Sonraki yazılarımda IPSec teknolojisi hakkında daha detaylı bilgiler vermeye çalışacağım, fakat bu yazıyı bitirmeden önce, şunu da eklemek istiyorum. IPSec ağ trafiğinde kimlik denetimi ve şifrelemeyi sağlar. Tek başına kullanıldığında sistemlerin güvenli şekilde izolasyonuna izin verir. Buna ek olarak ağa erişimin diğer organizasyon güvenlik ilkelerine göre takip edilmesini istediğinizde Network Access Protection teknolojisini kullanmalısınız. Sorularınızı bekliyorum :)

İyi çalışmalar,

Oğuzhan Filizlibay

Security Escalation Engineer

Microsoft EMEA CSS United Kingdom – Security IR Team