Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Benzer belgeler
Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Açık Kaynak Güvenlik Duvarı Sistemi

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

BioAffix Ones Technology nin tescilli markasıdır.

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

NextGeneration USG Series

Yeni Nesil Kablosuz İletişim

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

BioAffix Ones Technology nin tescilli markasıdır.

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

Labris LBR-S Labris LBR-S4-100A YILI DEVLET MALZEME OFİSİ ÜRÜN KATALOĞU Labris Güvenlik Programlar

Güvenlik Mühendisliği

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Yeni Nesil Ağ Güvenliği

AĞ GÜVENLİĞİNDE YENİ NESİL ÇÖZÜMLER

Venatron Enterprise Security Services W: P: M:

BioAffix Ones Technology nin tescilli markasıdır.

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

Coslat Monitor (Raporcu)

FortiGate Application Control

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

FortiGate Application Control. v4.00-build /08


Secure Networks Capabilities Dragon Network Defense

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Berqnet Sürüm Notları Sürüm 4.1.0

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

HotelTV. HotelTV Kurulum Öngereksinimleri REV A0.2 D Ekim

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

OLTA Sistemi. Kenan KOÇ Çağlar GÜLÇEHRE TÜBİTAK ULAKBİM

MULTI - CORE UTM NİN AVANTAJLARI. Gerçek zamanlı ve kapsamlı tehdit koruması için hız engelleri nasıl aşılır.

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Forcepoint WDLP-C-CP24-N Forcepoint TDSD-C-CP24-N

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Firewall un En Kolay Hali berqnet le Tanışın!

ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI

BioAffix Ones Technology nin tescilli markasıdır.

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

RoamAbout Wireless Access Points

Kurumsal Güvenlik ve Web Filtreleme

Ön Koşullar : Temel Network

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

SİBER GÜVENLİK FARKINDALIĞI

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

Kampüs Ağ Yönetimi. Ar. Gör. Enis Karaarslan Ege Ü. Kampüs Network Yöneticisi. Ege Üniversitesi BİTAM Kampüs Network Yönetim Grubu

Computer and Network Security Cemalettin Kaya Güz Dönemi

Kurumsal Güvenlik ve Web Filtreleme

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

İŞNET ABONELİK SÖZLEŞMESİ İŞTEGÜVENLİK HİZMET EKİ

Topluluğun gücü düşündüğünüzden daha yakın IBM Lotusphere Comes to You 2009

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

APT Tehditlerine karsı 7x24 Güvenlik İzlemesi SOC. Serkan ÖZDEN

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

ERİŞİM ENGELLEME DOS VE DDOS:

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

Layer 2 Güvenlik Yöntemleri(Bölüm1) SAFA Kısıkçılar / İTÜ BİDB 2010

SAÜ.NET. Kampüs İçi Kablosuz Ağ ve Merkezi Kimlik Doğrulama İşlemleri SAKARYA ÜNİVERSİTESİ 1/ 22. Bilgi İşlem Dairesi Başkanlığı

Power Site Controller

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

Internet / Network Güvenlik Sistemleri

Firewall/IPS Güvenlik Testleri Eğitimi

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

KURUMSAL TANITIM. Kasım 2017

Kampüs Ağlarında Etkin Bant Genişliği Yönetimi V1.1

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

antikor GÜVENLİK ve WEB FİLTRELEME

AntiKor Güvenlik Sunucumu nereye yerleştirmeliyim?

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Web Uygulama Güvenliği Kontrol Listesi 2010

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Internet te Veri Güvenliği

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

Muhammet Fatih AKBAŞ, Enis KARAARSLAN, Cengiz GÜNGÖR

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

Cyberoam Single Sing On İle

FINDIK Herkese Açık Filtre

HAKKIMIZDA. Sizin Hayalleriniz. Bizim İşimiz. Neden Bizi Tercih Etmelisiniz? İşimizde Uzmanız. Kalite Politikamız. Yenilikçi ve Üretkeniz

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Bilgi Güvenliği Eğitim/Öğretimi

Mobil Güvenlik ve Denetim

Transkript:

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme Hitit Üniversitesi Bilgi İşlem Daire Başkanlığı, Çorum mustafacosar@hitit.edu.tr, ismailarik@hitit.edu.tr Özet: Yeni nesil güvenlik duvarlarında geleneksel güvenlik duvarı özelliğinin yanı sıra etkin içerik filtreleme, SSL VPN sistemi, saldırı tespit ve engelleme sistemi (IDS/IPS), bant genişliği yönetimi, uygulama tanıma ve kontrolü sistemi, Virüs/zararlı içerik kontrolü, güvenlik ve performansı dengeleme, URL kategori ve içerik filtreleme gibi özelliklerinin olması beklenmektedir. Kurumsal internet trafiğinin performansının yüksek tutulabilmesi için yeni nesil güvenlik önlemlerinin alınması da gerekmektedir. Bu önlemler arasında kullanıcı ve Vlan bazında bant genişliğinin sınırlandırılması, adres filtreleme, kelime bazlı filtreleme gibi sistemleri yaygın olarak kullanılmaktadır. Ancak tek başına alınan bu önlemler yeterince etkin olmayabilmektedir. Bunun için yeni nesil güvenlik önlemlerinden uygulama bazlı sınırlandırma ya da engelleme öne çıkmaktadır. Bilgi İşlem Daire Başkanlığı olarak yaptığımız örnek uygulamalar ve yazılım donanım çözümleri ve karşılaşılan durumlar hakkında bilgilerin sunulacağı bu çalışmada Ip, port, web adresi ve uygulama bazlı sınırlandırmalar hakkında bilgiler verilmeye çalışılmıştır. Anahtar Kelimeler: Güvenlik duvarı, Yeni nesil güvenlik duvarı, Filtreleme Abstract: The new generation firewalls traditional firewall functionality, as well as active content filtering, SSL VPN system, intrusion detection and prevention system (IDS / IPS), bandwidth management, application detection and control system, virus / malicious content control, security, and performance balancing, URL category and are expected to have features such as content filtering. Corporate Internet traffic in order to maintain the high performance of the new generation of safety measures is also required. Of these measures on the basis of the user and the VLAN bandwidth limiting, address filtering, the word-based systems has been widely used as filtration. However, these measures alone may not be effective enough. For this new generation of security measures to limit or block-based applications stand out. Information Technology Department as we sample applications and software and hardware solutions will be presented with information about conditions encountered in this study, IP, port, web address and have tried to provide information about application-based restrictions. Keywords: Firewall, Next-Generation firewall, Filtering. 1. Ağ Güvenliği ve Önemi 149 Günümüzde kurumsal ağlardaki veri miktarları her geçen gün artmaktadır. Bunun yanında bu verilerin ilgili kurum ya da kişilerle veya şirketlerle paylaşılması için bilişim ağları genişletilmiştir ve yeni teknolojiler bu yapıya uygulanmıştır. Bu hızlı gelişen ve değişen teknolojiler kurumsal

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme ağlar için bilgi güvenliğini zorunlu kılmaktadır. Firewall (güvenlik duvarı) günümüz ağ sistemlerinde, güvenilir olmayan ağlardan gelecek saldırıları önlemenin ve veri ağının güvenliğini sağlamanın en etkili yolları arasında yer almaktadır. 2. Geleneksel Güvenlik Önlemleri Genel özellikler Klasik güvenlik duvarlarında kullanıcı ip bilgisi, kullanılan port ve ulaşılmaya çalışılan ip bilgisinin yanında port/protokol kontrolü, NAT, VPN özellikleri ön plana çıkmaktadır. Geleneksel güvenlik duvarları ağ geçidinde trafiği kaynak ve hedef adreslerine, kullanılan port/servise ve protokole göre izin vermek veya engellemek üzere ayarlanmış cihazlardır. Bu yöntem yeni nesil tehditler ve artan saldırılar sebebiyle yeterliliğini kaybetmektedir. Geleneksel güvenlik duvarlarında ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanmış durumdadır. Geleneksel güvenlik önlemlerinde port, ip bazlı güvenlik kuralları yazılarak engellenmek istenen ip ve ip adresinin geleceği port, dışarıdan içeri doğru basit bir kural yazılarak engellenmekte ya da istek reddedilmektedir. Geleneksel metotta yetersizliğin hissedildiği noktaların başında uygulama kontrolü gelmektedir. Geleneksel yapılarda sadece port bazlı kısıtlamalar gerçekleştirilebildiğinden izin verilen diğer portlardan uygulamalar çalışabilmektedir. TCP 80 portu üzerinden gelişmiş teknolojilerde birçok uygulama geçebilmektedir ve geleneksel yapıda bunun kontrolü sağlanamamaktadır. Bu uygulamalar ancak Uygulama Kontrol Sensörleri ve IPS imzaları tarafından kontrol edilebilmektedir. 3. Yeni Nesil Güvenlik Önlemleri Yeni nesil tehditler ve artış gösteren saldırılar sebebi ile daha detaylı güvenlik ihtiyacı ortaya çıkmıştır. Veri akışının engellenmesi yanında veri trafiğini sınırlamak ve trafiği düzenleyerek etkin olarak kullanılması önem kazanmaktadır. Bu ihtiyaçlar sebebi ile Yeni Nesil Güvenlik duvarları ortaya çıkmıştır. Yeni Nesil Güvenlik duvarının en önemli özelliği trafiği oluşturan uygulamaları tanıyabilen bir mimariye sahip olmasıdır. Bu özellik uygulamaların ayrıştırılmasına ve iş kurallarına göre belirlenmiş kurumsal politikalar oluşturulmasını olanak sağlamaktadır. Şekil.1. Örnek uygulama güvenlik senaryosu [1] 150

Örnek olarak Şekil.1. de görüldüğü gibi bir güvenlik senaryosu düşünecek olursak merkeze DDOS koruma, IPS, merkezi bir firewall ve Sunucu ve kullanıcı bilgisayarları önüne ise her sistem için özel olarak yapılandırılmış güvenlik çözümleri konumlandırılması gerekmektedir. Yeni Nesil Güvenlik duvarları bu özelliklerin hemen hemen hepsini içerisinde barındıran bir yapıya sahip olmakla beraber her sistem için ayrı bir maliyet, yönetim ve uygulama güçlüğü sorunlarını ortadan kaldırmaktadır. UTM (Unified Threat Management) sistemleri güvenlik sistemi gereksinimlerini tek bir kutuda karşılamış ve kurumlar tarafında maliyeti ve iş gücünü azaltmaktadır. UTM ler güvenlik işlevlerini çalıştırmak için cihaz içinde sanal motorlar kullanır. Bir veri paketlerinin ağa geçişinin onaylanması için birkaç kez farklı motorlardan geçmesi gerekebilmektedir. Yapılan bu işlem, gecikme süresinin uzamasına ve ağ performansının düşmesine sebep olabilmektedir. Bu sebeple UTM sistemleri tercih noktasında kurumların fiyat / performans değerlendirmesi yaparak uygun tercihi yapmalarını gerektirir [2]. 4. Yeni Nesil Güvenlik Cihazları Özellikleri Uygulama Tanımlama ve Filtreleme: Bu özellik yeni nesil güvenlik cihazlarının en önemli özelliklerindendir. Uygulama tanımlama ve uygulamaya göre davranma port / protokol engellemenin bir adım ötesine taşır. Böylece tehlikeli veya kullanılması istenmeyen uygulamaların farklı portlar ile internete erişim sağlaması engellenmiş olur. SSL ve SSH Kontrolü: Üzerinden geçen SSH ve SSL ile şifrelenmiş trafiği tarayabilmektedir. Şifreyi açarak trafiği kontrol edebilme yeteneğine sahiptir. Şifreli trafikten geçen gerçek uygulamayı bulur ve bu uygulamaya göre davrandıktan sonra trafiği tekrar şifreler. Böylece şifreli trafik kullanarak güvenlik duvarını atlatmak isteyen her türlü zararlı uygulama engellenmiş olur. Şekil.2. Filtreleme kategorileri Saldırı Tespit ve Önleme Sistemi (IDS/IPS): Derin trafik analizi sayesinde kurumların ayrı bir IPS cihazı kullanmasına gerek bırakmayacak saldırı tespit etme ve önleme özellikleri içermektedir. Bu sistem Dos ve DDOS koruması, protokol çözümlemesi ve imza tabanlı koruma sağlar. Kullanıcı Veritabanı ile Entegrasyon: Uygulamaları kullanıcı ve grup tabanlı yönetebilmek amacı ile Active Directory ve LDAP ile entegrasyon sağlayabilmektedir. Zararlı Yazılım Filtreleme: Günümüzde son derece önemli bir tehdit haline gelen Spyware ve Malware karşısında korunma amaçlı yazılımlar kullanmak zorunlu hale gelmiştir. Yeni nesil güvenlik duvarları da bu trafiği süzerek koruma sağlamaktadır [3]. URL Kategori, İçerik Filtreleme: Ulaşılmak istenen URL adresleri belirli kategorilere göre gruplandırılarak bu gruplar ya da grup içindeki ilgili URL adreslerin içerikleri filtrelenebilmektedir. DLP (Data Loss Prevension): Ağ temelli veri sızma denetimi yaparak veri sızıntısını ve veri kaybını önlemek amaçlanmaktadır [4]. 151

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme 5. Hitit Üniversitesinde Uygulanan Güvenlik Önlemleri Kurum ağının güvenliği için yeni nesil güvenlik cihazı kullanılmakta ve kurum ağında birbirinden farklı IP havuzları oluşturularak bu havuzlara ilgili güvenlik politikaları uygulanmaktadır. Kenar Switchlerde Güvenlik: Switchler üzerinde sınırlı sayıda mac adresi kayıt altına alınabilir. Eğer kenar switchlerde bir güvenlik önlemi kullanılmıyorsa bu durum bir saldırgan için atak yapılabilecek bir açık olarak değerlendirilebilir. Switche bağlı kişi çok kısa sürede çokça kez mac adresini değiştirerek Dhcp sunucusundan IP isteğinde bulunur, bu sayede hem Dhcp havuzunu hem de switch üzerindeki mac adres tablosunu doldurabilir. Switch üzerindeki mac addreslerinin tutulduğu veritabanı dolunca switch artık hub olarak görev yapmaya başlar. Artık switch üzerindeki tüm trafik dinlenebilecek duruma gelir. Bu sebeple kenar switchlerde güvenlik önlemlerinin alınması gerekmektedir [5]. Böyle bir durumla karşılaşmamak için kenar switchlerde Port Security, DHCP snooping, Arp instection vb. özellikler aktif edilerek saldırılarak karşı güvenlik önlemleri alınmıştır. Vlan Kullanımı: Kurum ağı içinde akademik ve idari birimler alt ağlara bölünerek hem broadcast trafiği azaltılmış hem de alt ağların güvenliği sağlanmıştır. Firewall üzerinde yazılan kurallar bu Vlanlara tanımlanmıştır. DMZ Güvenliği: DMZ tarafında bulunan sunucular için outside-dmz ve inside-dmz kuralları ayrı ayrı uygulanmaktadır. SSL VPN: Dışarıdan iç ağa erişim için şifreli tünelleme kullanılmaktadır. Bant Genişliği Yönetimi: Kurum ağında bulunan birimlerin kullandığı internet trafiği sınırlandırılmış, hangi uygulama için ne kadar trafiğe izin verileceği belirlenmiştir. Sınırlanan uygulama ya da protokol trafiğin devam etmesi durumunda otomatik olarak bu trafik yarıya düşürülmektedir. Şekil.4. Bant genişliği analizi Sınırlandırma: Ip ve protokol bazlı internet trafiği sınırlandırması yapılmıştır. Yüksek bant genişliği kullanan Stream ve download trafikleri sınırlandırılmıştır. Trafik Şekillendirme: İşle ilgili uygulamalara ağda öncelik verilerek Messenger, Skype gibi çok fazla kullanılmayan uygulamalara düşük bant genişliği ayrılmıştır. Şekil.3. Kenar switchlerde alınan güvenlik önlemleri Uygulama Kontrolü: Kurum içinde kullanılan Skype, Http Proxy gibi uygulamalara izin verilerek istenmeyen botnet, P2P ve diğer proxy uygulamaları engellenmiştir. Sosyal media ve video uygulamaları ise monitör edilmektedir. 152

En fazla bant genişliği harcayan URL adresi olarak mail.ru öne çıkmaktadır. Şekil.5. Uygulama kontrolü Katagori Sınırlama / Engelleme: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P uygulamalar (Kazaa, bittorrent, edonkey, Gnutella vb.) ile risk taşıyan zararlı web sayfalarının yanı sıra reklam, phishing, spam URL ve pornogrofik içerik web kategorileri engellenmiştir. Uygulanan bu yöntem Vlanlara göre değişiklik gösterebilmektedir. Şekil.8. En fazla bloklanan web kategorileri Engellenen kategorilere bakıldığında ise son bir hafta içinde en fazla reklamların engellendiği görülmüştür. Şekil.9. En fazla zaman geçirilen web alanları Şekil.6. Vlan adreslerine tanımlanan kurallar 6. Analiz Güvenlik duvarını kurallar yazmak değil aynı zamanda iyi bir şekilde yönetmek gerekir. Yönetim için ise ağ haritasının çıkarılarak o ağda neler olup bittiğinin analizinin yapılması gerekmektedir. Yapılan analizler sonucunda gerekiyorsa kurallar revize edilmelidir. Kurum güvenlik duvarında uyguladığımız kurallar sonucunda analizler yapılmıştır. Son bir haftayı kapsayan analizler sonucunda ise elde edilen sonuçlar çıkarılmıştır. Personellerin son bir hafta içinde en fazla facebook URL adreslerinde zaman geçirildiği gözlemlenmiştir. Bu analizler sonucunda ilgili kurallarda değişiklik yapılarak bant genişliğinin daha verimli kullanılması sağlanmıştır. 7. Güvenlik Duvarı Seçiminde Dikkat Edilmesi Gereken Hususlar Networklerin güvenliğini sağlamak için birçok ürün piyasa bulunmaktadır. Bu ürünler network yapısının büyüklüğüne ve ihtiyacına göre değişiklik göstermektedir. Geniş yelpazesi olan ürünler içinden ihtiyaca göre en uygununu seçmek için aşağıdaki hususlara dikkat edilmesi gerekmektedir. Şekil.7. En fazla bant genişliği harcayan URL adresleri 153 Kullanım ve Konfigürasyon Kolaylığı: Bir cihazın ara yüzü ne kadar karmamış olursa yönetim ve müdahale de o kadar zorlaşacaktır. Bu sebeple tercih edilecek firewall kolay bir şekilde yönetilebilmeli, yönetim ve konfigürasyon bakımından karmaşık bir yapıda olmamalıdır. Gerektiğinde kurallar rahat bir şekilde yazılabilmeli ve değiştirilebilmelidir.

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme Performans: Güvenlik duvarı, kullanıcıların ağ üzerindeki iletişimini mümkün olduğunca az yavaşlatmalıdır. Bunun için sistemin hızlı çalışıyor olması gerekmektedir. Çözümün uygulanacağı ağda ne kadar reel veri akışı olacağı, birim zamanda kaç kullanıcının internete çıkacağı ve kaç bağlantının oluşacağı hesaplanmalı ya da tahmin edilmelidir. Güvenlik duvarında yazılacak kurallar ve verilen servisler arttıkça gereken işlemci gücü artacaktır. Bu sebeple firewall seçiminde performans faktörü en kritik noktaların başında gelmektedir. Ölçeklenebilirlik: Artan ihtiyaçlar da göz önünde bulundurularak, sistemin bir kaç senelik plan içinde yeni koşullara ayak uydurabilmesi için genişletilebilirdik özelliklerini destekleyip desteklemediği de incelenmelidir. firewall cihazına ne kadar süre boyunca destek verdiği öğrenilmelidir. Karşılaşılabilecek problemlere en hızlı şekilde müdahale edilmesi gerekmektedir. Firmanın müdahale anlamında yeterli deneyime ve teknik donanıma sahip birden fazla personele sahip olması önemlidir. Mümkünse hizmeti satan firma tarafından kurulum yapılmalı ve kurum personellerine kurulum ve bakım konusunda yeterli eğitim verilmelidir [6]. 8. Sonuç ve Öneriler Kurum ağını iç ağlara bölerek yönetmek güvenliğin yanı sıra sorun çözümünde de kolaylık sağlamaktadır. İstenmeyen trafik sınırlandırılmalı ya da tamamen engellenmelidir. Maliyet: Çözüm için kullanılacak güvenlik duvarının bir maliyeti olacaktır. Tercih konusunda maliyet her zaman önemli bir kriterdir. Eldeki bütçenin alabileceği en iyi sistemin kurulması önem arz etmektedir. Konulacak sistemin sadece bugünü kurtarması hedeflenmemeli, ağın genişleme durumuna göre birkaç yıllık planlama yapılarak uygun firewall seçimi yapılmalıdır. Sahip olma maliyeti dikkate alınarak uzun vadede bu ürünün yıllık yenileme ve teknik destek ücretleri hesaba katılmalıdır. Daha yüksek fiyatlar her zaman daha iyi güvenlik anlamına gelmemektedir. Kurum ihtiyacı olmayan özellikler için pahalı çözümlerden kaçınılmalıdır. Raporlama: Tercih noktasında diğer önemli noktalardan biri de raporlamadır. Güvenlik duvarının raporlama seçeneklerinin fazla olması ya da ihtiyaca göre raporlar çıkarabilmesi yapılacak analizin de iyi olacağı anlamına gelmektedir. Yapılacak analizler sonucunda ise problemler daha kolay bir şekilde çözüme kavuşabilecektir. Teknik Destek: Uygun marka seçiminde firewall özelliklerinin yanı sıra uygun bir de firma tercih edilmelidir. Bu firmanın belirlenen 154 Kablolu ve kablosuz ağlar için kabul edilebilir kullanım politikaları belirlenmelidir. Filtreleme, sınırlandırma ya da engelleme gibi özellikler kurum ağının güvenliğini artırmak için yapılmalıdır. Çok katı kuralların uygulanması kullanıcılardan gelen geri dönüşleri artıracaktır. Bu sebeple kuralların makul ölçüde planlanması gerekmektedir. İnternet trafiğinin ne amaçla kullanıldığı kurumlar için önemlidir. Trafiğin ne amaçla kullanıldığına ilişkin istatistiksel bilgiler çıkarılarak analizler yapılmalıdır. Youtube gibi yüksek bant genişliği harcayan uygulamaları sınırlandırarak video konferans, IP telefon gibi kritik uygulamalara öncelik verilmelidir. Yeni nesil güvenlik politikaları hem kişisel hem de kurumsal internet trafiğini olumlu ölçüde rahatlatırken güvenli bir ağ oluşturulmasına yardımcı olabilir.

Kaynaklar [1] http://www.rzk.com.tr/ [2] İnternet Adresi: http://labrisnetworks.com/ tr/blog-tr-yeni-nesil-guvenlik-duvari-ngfwnext-generation-firewall/. Erişim Tarihi: 15 Temmuz 2014 [3] İnternet Adresi: http://www.burakbayar. com/palo-alto-networks-ngfw-nextgeneration-firewall-nedir/. Erişim Tarihi: 15 Ağustos 2014 [4] Mehmet Şahin KURU Kişisel Web Sayfası : http://www.sahinkuru.com.tr/2013/03/22/utmnedir.html. Erişim Tarihi: 18 Ağustos 2014 [5] İnternet Adresi http://www.agciyiz. net/ index.php/guvenlik/layer-2-guvenlikyontemleri-bolum-2/. Erişim Tarihi: 12 Ağustos 2014 [6] İnternet Adresi: http://forensicturkey.com/ ag-guvenlik-duvari-cozumu-olustururkendikkat-edilmesi-gereken-hususlar. Erişim Tarihi: 20 Temmuz 2014 155

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim