LOGO Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme Mustafa COŞAR - İsmail ARIK Hitit Üniversitesi Bilgi İşlem Daire Başkanlığı
Ağ Güvenliği ve Önemi Kurumsal ağlar için bilgi güvenliği Saldırıları önleme ve veri ağının güvenliğini sağlama 2
Geleneksel Güvenlik Önlemleri Network üzerinde kendisine gelen paketlerin gitmelerine gereken yerlere (üzerinde tanımlanan kurallar doğrultusunda) gidip gidemeyeceğine karar verir. 3
Geleneksel Güvenlik Önlemleri Dışarıdan içeri doğru basit bir kural yazılarak engellenmekte ya da istek reddedilmektedir. Trafiği kaynak ve hedef adreslerine, kullanılan port/servise ve protokole göre izin vermek veya engellemek üzere ayarlanmış cihazlardır. NAT, VPN özellikleri ön plandadır. 4
Geleneksel Güvenlik Önlemleri Geleneksel metotta yetersizliğin hissedildiği noktaların başında uygulama kontrolü gelmektedir. Sadece port bazlı kısıtlamalar gerçekleştirilebildiğinden izin verilen diğer portlardan uygulamalar çalışabilmektedir. 5
Geleneksel Güvenlik Önlemleri TCP 80 portu üzerinden gelişmiş teknolojilerde birçok uygulama geçebilmektedir ve geleneksel yapıda bunun kontrolü sağlanamamaktadır. 6
Geleneksel Güvenlik Önlemleri Yeni nesil tehditler ve artan saldırılar. Daha detaylı güvenlik ihtiyacı. 7
Yeni Nesil Güvenlik Cihazları Yeni nesil güvenlik duvarlarında veri akışının engellenmesi yanında veri trafiğini sınırlamak ve trafiği düzenleyerek etkin olarak kullanılması önem kazanmaktadır. Uygulama Tespit Sensörleri ve IPS imzaları öne çıkar. 8
NGFW / (UTM) Yeni Nesil Güvenlik duvarları (NGFW = Next Generation FireWall) Üzerinden geçen trafiği, application identification (uygulama tanımlı), user identification (kullanıcı tanımlı) ve content identification (içerik tanımlı) temellerine dayalı inceleyip, gerçek bilgi ve kontrolü sağlayan ağ cihazlarıdır. 9
NGFW / (UTM) UTM (Unified Threat Management) Güvenlik sistemi gereksinimlerini tek bir kutuda karşılamış ve kurumlar tarafında maliyeti ve iş gücünü azaltmaktadır. UTM ler güvenlik işlevlerini çalıştırmak için cihaz içinde sanal motorlar kullanır. Avantaj : Çok fonksiyonlu olma. Dezavantaj : Ağ performansında yavaşlama. 10
Örnek Güvenlik Senaryosu 11
Yeni Nesil Güvenlik Cihazları Uygulama Tanımlama ve Filtreleme: Uygulama tanımlama ve uygulamaya göre davranma. Böylece tehlikeli veya kullanılması istenmeyen uygulamaların farklı portlar kullanarak internete erişimi engellenebilmiş olur. 12
Yeni Nesil Güvenlik Cihazları SSL ve SSH Kontrolü: Üzerinden geçen SSH ve SSL ile şifrelenmiş trafiği tarayabilme. Saldırı Tespit ve Önleme Sistemi (IDS/IPS): Derin trafik analizi sayesinde kurumların ayrı bir IPS cihazı kullanmasına gerek bırakmayacak saldırı tespit etme ve önleme özellikleri içermektedir. 13
Yeni Nesil Güvenlik Cihazları Kullanıcı Veritabanı ile Entegrasyon: Uygulamaları kullanıcı ve grup tabanlı yönetebilmek amacı ile Active Directory ve LDAP ile entegrasyon sağlayabilmektedir. Zararlı Yazılım Filtreleme: Günümüzde son derece önemli bir tehdit haline gelen Spyware ve Malware karşısında korunma amaçlı yazılımlar kullanmak zorunlu hale gelmiştir. Yeni nesil güvenlik duvarları da bu trafiği süzerek koruma sağlamaktadır. 14
Yeni Nesil Güvenlik Cihazları URL Kategori, İçerik Filtreleme: Ulaşılmak istenen URL adresleri belirli kategorilere göre gruplandırılarak bu gruplar ya da grup içindeki ilgili URL adreslerin içerikleri filtrelenebilmektedir. DLP (Data Loss Prevension): Ağ temelli veri sızma denetimi yaparak veri sızıntısını ve veri kaybını önlemek amaçlanmaktadır. 15
H.Ü. Uygulanan Güvenlik Önlemleri Kurum ağının güvenliği: Yeni nesil güvenlik cihazı kullanılmakta ve kurum ağın içerisinde birbirinden farklı IP havuzları oluşturularak bu havuzlara ilgili güvenlik politikaları uygulanmaktadır. 16
H.Ü. Uygulanan Güvenlik Önlemleri Kenar Switchlerde Güvenlik: Kenar switchlerde Port Security, DHCP snooping vb. özellikler aktif edilerek bu saldırılara karşı önlemler alınmıştır. 17
H.Ü. Uygulanan Güvenlik Önlemleri Vlan Kullanımı: Kurum ağı içinde akademik ve idari birimler alt ağlara bölünerek bu ağların güvenliği sağlanmıştır. Vlan adreslerine tanımlanan kurallar 18
H.Ü. Uygulanan Güvenlik Önlemleri DMZ Güvenliği: DMZ tarafında bulunan sunucular için hem outside-dmz ve inside- DMZ kuralları uygulanmaktadır. SSL VPN : Dışarıdan iç ağa erişim için şifreli tünelleme kullanılmaktadır. 19
H.Ü. Uygulanan Güvenlik Önlemleri Bant Genişliği Yönetimi: Kurum ağında bulunan birimlerin kullandığı internet trafiği sınırlandırılmış, hangi uygulama için ne kadar trafiğe izin verileceği belirlenmiştir. Sınırlanan uygulama ya da protokol trafiğin devam etmesi durumunda otomatik olarak bu trafik yarıya düşürülmektedir. 20
H.Ü. Uygulanan Güvenlik Önlemleri Sınırlandırma : Ip ve protokol bazlı internet trafiği sınırlandırması yapılmıştır. Stream ve download trafiği sınırlandırılmıştır. Trafik Şekillendirme: İşle ilgili uygulamalara ağda öncelik verilerek Skype, Messenger gibi uygulamalara düşük bant genişliği ayrılmıştır. 21
Analiz 22
H.Ü. Uygulanan Güvenlik Önlemleri Uygulama Kontrolü: Kurum içinde kullanılan Http Proxy gibi uygulamalara izin verilerek istenmeyen botnet ve diğer proxy uygulamaları engellenmiştir. 23
H.Ü. Uygulanan Güvenlik Önlemleri Katagori Sınırlama / Engelleme: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P uygulamalar (Kazaa, bittorrent, edonkey, Gnutella vb.) ile risk taşıyan zararlı web sayfalarının yanı sıra reklam, phishing, spam URL ve pornogrofik içerik web kategorileri engellenmiştir. 24
H.Ü. Uygulanan Güvenlik Önlemleri Kategori Sınırlama / Engelleme: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriğe sahip trafiğe sınırlama konmaktadır. En fazla zaman geçirilen web alanları 25
Analiz En fazla bant genişliği harcayan URL adresleri En fazla bloklanan web kategorileri 26
Sonuç ve Öneriler Kurum ağını iç ağlara bölerek yönetmek güvenliğin yanı sıra sorun çözümünde de kolaylık sağlamaktadır. Kablolu ve kablosuz ağlar için kabul edilebilir kullanım politikaları belirlenmelidir. Filtreleme, sınırlandırma ya da engelleme gibi özellikler kurum ağının güvenliğini artırmak için yapılmalıdır. İstenmeyen trafik sınırlandırılmalı ya da tamamen engellenmelidir. 27
Sonuç ve Öneriler Çok katı kuralların uygulanması kullanıcılardan gelen geri dönüşleri artıracaktır. Bu sebeple kuralların makul ölçüde planlanması gerekmektedir. İnternet trafiğinin ne amaçla kullanıldığı kurumlar için önemlidir. Trafiğin ne amaçla kullanıldığına ilişkin istatistiksel bilgiler çıkarılarak analizler yapılmalıdır. 28
Sonuç ve Öneriler Youtube gibi yüksek bant genişliği harcayan uygulamaları sınırlandırarak video konferans, IP telefon gibi kritik uygulamalara öncelik verilmelidir. Yeni nesil güvenlik politikaları hem kişisel hem de kurumsal internet trafiğini olumlu ölçüde rahatlatırken güvenli bir ağ oluşturulmasına yardımcı olabilir. 29
TEŞEKKÜRLER Mustafa COŞAR - İsmail ARIK Hitit Üniversitesi Bilgi İşlem Daire Başkanlığı mustafacosar@hitit.edu.tr ismailarik@hitit.edu.tr 30
Kaynaklar [1] Bilgi Güvenliği Akademisi : http://bga.com.tr [2] Labris Networks : http://labrisnetworks.com [3] Mehmet Şahin KURU Kişisel Web Sayfası : http://www.sahinkuru.com.tr [4] Çözümpark : http://www.cözümpark.com 31