Kurumsal Ağ Güvenliğine Taraflı Bir Bakış - UTM Sistemler

Kurumsal bilgi güvenliğinde trend çok hızlı bir biçimde daha çok sistem yöneticilerinin işini kolaylaştıran bir çok fonksiyonu tek yönetim merkezinden yönetilebilen ve bu sayede zaman, para ve işgücünün korunmasını sağlayan UTM(Unified Threat Management) sistemler vardır. Bu sayede ağ kontrolünde Anti-Virus, Anti-Spy, Content Filter, Anti Spam ve Intrusion Prevention koruması sağlanmış olmaktadır. Hiç durmayan ve sürekli yenilenen saldırı metodlarına karşı sürekli bir şekilde kendisini güncelleyen dinamik bir güvenlik mekanizmasına ihtiyaç vardır.

 

Birçok güvenlik açığının temeli kurumsal güvenliğin zaafiyetlerinden kaynaklanmaktadır. Tam olarak alınmamış önlemler kurumsal ağ yapısını ve daha sonrada kişisel veri güvenliğini tehdit etmektedir. En sık görülen saldırı tipi DDNS olmaktadır. Her defasında başka bir boyutta ve şekilde karşımızda çıkan bu saldırı metodu bir çok güvenlik sistemi tarafından halen tam olarak engellenememektedir. Bu saldırıda Hacker tarafından "köle" yada "hayalet" olarak kullanılan binlerce bilgisayar kurban sisteme doğru en basit anlamda ICMP protokolü aracılığı ile yoğun trafik akışı yönelterek sistemleri kullanılamaz hale getirmektedir. Daha kötüsü saldırgan bir adreste değil binlerce adreste yer almaktadır. Bir bilgisayarın ghost-hayalet olarak kullanılması ancak o sisteme girebilecek bir Spy ile mümkün olabilir. UTM sistemler Spy akışlarını birçok protokol üzerinden kontrol edebilmeledir. Örneğin, yalnızca Http veya Ftp trafiğini kontrol etmek yeterli olmayacaktır. IMAP, SMTP, POP3, CIFS/NetBios, TCP STREAM hatta Ses trafiği (VoIP) içerisinden geçebilecek bütün paket hareketleri UTM sistemlerin DPI (Deep Packet Inspection) motoru tarafından kontrol edilmelidir.

 

Diğer bir konu da kablosuz ağlaradan gelebilecek saldırı metodlarının engellenebilmesidir ki sonuç olarak tam anlamı ile ölçeklenebilir bir güvenliğin sağlanmasıdır. Kablosuz ağ cihazlarının günümüzde gelişen karmaşık saldırı metodlarına karşı savunmaları zayıf kaldığından dolayı, UTM sistemlerin bu saldırıları engelleyebilme ve bu cihazlardan gelen trafik akışlarını UTM sistemlerin DPI motoru tarafından kontrol edilmesi tercih edilmeldir. Yapılan diğer istatistiklerde web sitelerine yapılan saldırıların %75 gibi ciddi çoğunluğunun web sitesi güvenlik alt yapısı zayıflığından ve yazılım mimarisi yanlışlığından çıktığını ortaya koymaktadır. Buna karşılık ise aynı koruma sistemlerinin (UTM) exploitlere ve Zero Day Attack saldırılarına karşı mutlaka koruma mekanizmalarını içermeleri gerekmektedir.

 

Aynı şekilde ağ üzerinde yapılan trafik hareketlerinin kayıt altına alınması bir o kadar önem arz etmektedir. Hangi kullanıcı nereye hangi saatlerde girmiş, hangi siteleri ziyaret etmiş ...vb. kayıt bilgilerin kesin olarak tutulması gerekmektedir. Gerektiğinde bunlar raporlanabilmelidir. Kurumsal networklerde sistem üzerinde izlenen loglarda önemsiz gibi görülen şüpheli olabilecek hareketler, ilerde daha ciddi olabilecek sıkıntıların habercisi olabilir. (Port scan, Ip spoof, vb) Dolayısı ile geniş kapsamlı Log takibi her zaman gerekli olacaktır. Bir o kadarda bu logların tehlike düzeylerinin analiz edilebilmesi yani logların ne anlam taşıdığının anlaşılması gereklidir. UTM sistemlerin bu konuda kullanıcıyı bilgilendirmesi şarttır. Üzülerek söylemeliyim ki binlerce log akışını tutan IPS - Sniffer sistemlerinin yayınlamış olduğu loglar, kullanıcılar tarafından kafa karıştıran ve gerçek tehdit durumunun görülmemesine sebep olan programlardan öteye gidememektedir. Log’un tutulması yanında bir o kadar doğru yorumlanabilmesi de gerekmektedir.

 

Kurumsal ağa ulaşma esnasında kullanılan VPN teknolojilerinde, bu ağa ulaşan kişilerin IP bazında kayıt bilgilerinin yanında bu kişlere VPN içerisinden kullanıcı bazlı yetkilendirme zorunlu olmalıdır. Yani IPSEC uygulamalarının kimlere erişim hakkı verilerek yapıldığı ve ilgili birime yalnızca ilgili yere erişim sağlanılması gerektiği net bir şekilde erişim politikaları ile kontrol edilmeldir. Trafiğin VPN içerisinden gelmesi bu trafiğin virus yada spy ‘lara karşı güvenli olduğu anlamına gelmez. Bu yüzden bütün VPN trafik akışı UTM sistem tarafından mutlaka kontrol edilmeli ve tehlikeli görülen hareket engellenmelidir. Aynı zamanda VPN gateway konumundaki bu cihazların diğer üreticilerin cihazlarıyla olan uyumluluğu tam olmalıdır. Birbirleri arasında VPN tüneller kolaylıkla kurulabilmelidir.

 

UTM cihazların peformansı tamamen kullanıcı sayısı ve üzerinden geçen throughput değeri ile orantılı olarak değişmektedir. Yüksek hızda performans sağlayan sistemler gelen ve giden veri trafiğini hızlı işleyeceğinden internet trafiğinde bir yavaşlama söz konusu olmayacaktır. UTM sistemler aynı zamanda Load-Balance mekanizmalarını üzerinde barındırmalıdır. Bu sayede kesintisiz internet akışını sağlayarak kurumsal ağ'ın internet devamlılığı her zaman sağlanmalıdır. Politika bazlı yönlendirmelerde istenilen IP trafiğinin ilgili WAN portlarına yönlendirilerek ilgili trafik akışı sağlanabilmelidir. Bu dinamik load-balance olayından tamamen farklı bir kavramdır ve ayrı olarak ele alınmalıdır.

Pahalı sistem çözümleri her zaman bir çözüm olmamakta, gerçekte ise kullanıcının nasıl bir çözüme ihtiyacı olduğu net bir şekilde anlaşıldıktan sonra doğrudan buna odaklanılmalıdır. Güvenlik çözümleri güvenli olduğu kadar aynı zamanda da kullanıcılar tarafından kolay uygulanabilir olmalıdır. Karmaşık teknolojiler kısa bir zaman sonra kullanıcları bıktırmakta daha sonrada yapılan yatırımı boşa çıkarmaktadır. Üretilen teknolojinin AR-GE birimi mutlaka çok güçlü bir ekip tarafından kontrol edilebilmelidir. Soru cevap geri dönüşlerinde doğrudan üretici firmadan veya bu firmanın güçlü bir temsilcisinden destek alınabilmelidir. Her türlü hizmette para konusunun sorun olduğu bir çözüm kullanıcıya belli bir zaman sonra sıkıntı olarak yansımakta bu da yapılan yatırımı boşa çıkarmaktadır.