Ağ Altyapı Aygıtlarının Güvenliği
Ağ alt yapı cihazları arasında yönlendiriciler, güvenlik duvarları, anahtarlar, sunucular, yük dengeleyiciler, saldırı tespit sistemleri, alan adı sistemleri ve depolama alanı ağları bulunur.
Bu cihazlar, kötü amaçlı siber aktörler için ideal hedeflerdir, çünkü kuruluş ve müşteri trafiğinin büyük bir kısmının veya tamamının bunlardan geçmesi gerekir.
- Kuruluşun ağ geçidi yönlendiricisinde bulunan bir saldırgan, kuruluşa gelen ve giden trafiği izleyebilir, değiştirebilir ve reddedebilir.
- Bir kuruluşun dâhili yönlendirme ve anahtarlama altyapısında varlığı olan bir saldırgan, ağ içindeki önemli ana bilgisayarlardan gelen ve ana bilgisayarlardan gelen trafiği izleyebilir, değiştirebilir ve reddedebilir ve diğer ana bilgisayarlara yanal hareket gerçekleştirmek için güven ilişkilerinden yararlanabilir.
Ana bilgisayarları ve hizmetleri yönetmek için eski, şifrelenmemiş protokoller kullanan kuruluşlar ve kişiler, kötü amaçlı siber aktörler için başarılı kimlik bilgisi toplama işlemini kolaylaştırır. Bir ağın yönlendirme altyapısını kim kontrol ederse, esasen ağ üzerinden akan verileri kontrol eder.
Ağ altyapı cihazlarıyla hangi güvenlik tehditleri ilişkilidir?
Ağ altyapı cihazları saldırganlar için genellikle kolay hedeflerdir. Kurulduktan sonra, birçok ağ aygıtı genel amaçlı masaüstleri ve sunucularla aynı güvenlik düzeyinde tutulmaz. Aşağıdaki faktörler ağ aygıtlarının güvenlik açığına da katkıda bulunabilir:
- Çok az ağ cihazı (özellikle küçük ofis/ev ofisi ve konut sınıfı yönlendiriciler) virüsten koruma, bütünlük bakımı ve genel amaçlı ana bilgisayarların korunmasına yardımcı olan diğer güvenlik araçlarını çalıştırır.
- Üreticiler bu ağ cihazlarını, kurulum, çalıştırma ve bakım kolaylığı sağlayan etkin hizmetlerle kurar ve dağıtır.
- Ağ cihazlarının sahipleri ve operatörleri genellikle satıcının varsayılan ayarlarını değiştirmez, işlemler için onları sertleştirmez veya düzenli güncelleme uygulamaz.
- İnternet servis sağlayıcıları, donanım üreticisi veya satıcısı tarafından artık desteklenmediğinde müşterinin mülkündeki donanımları değiştirmez.
- Sahipler ve operatörler siber müdahalelerden sonra genellikle araştırdıklarında, davetsiz misafirleri aradıklarında ve genel amaçlı ana bilgisayarları geri yüklediklerinde ağ cihazlarını göz ardı ederler.
Ağ altyapı cihazlarının güvenliğini nasıl artırabilirsiniz?
Savunma ve teknoloji firması olarak; kullanıcıları ve ağ yöneticilerini ağ altyapılarını daha iyi güvenceye almak için aşağıdaki önerileri uygulamayı öneriyoruz:
- Ağları ve işlevleri bölümlere ayırın.
- Gereksiz yanal iletişimi sınırlayın.
- Ağ cihazlarının güvenlik düzeyleri artırın.
- Altyapı cihazlarına güvenli erişim sağlayın.
- Bant dışı (OoB) ağ yönetimini gerçekleştirin.
- Donanım ve yazılım bütünlüğünü doğrulayın.
Segment ve Segregate Ağları ve İşlevleri
Güvenlik mimarları, segmentasyon ve segregasyon dâhil olmak üzere genel altyapı düzenini dikkate almalıdır. Uygun ağ segmentasyonu, bir saldırganın etkisini yaymasını veya dâhili bir ağ etrafında yanal olarak hareket etmesini önlemek için etkili bir güvenlik mekanizmasıdır. Zayıf segmentlere ayrılmış bir ağda, davetsiz misafirler kritik cihazları kontrol etmek veya hassas verilere ve fikri mülkiyete erişmek için etkilerini genişletebilir. Ayrışma, ağ segmentlerini role ve işlevselliğe göre ayırır. Güvenli bir şekilde ayrılmış bir ağ, ağ içinde bir yerde bir yer edindikleri takdirde davetsiz misafirlerin etkisini azaltan kötü amaçlı olaylar içerebilir.
Hassas Bilgilerin Fiziksel Ayrımı
Yönlendiriciler gibi geleneksel ağ aygıtları Yerel Ağ (LAN) segmentlerini ayırabilir. Kuruluşlar, sınır oluşturmak, yayın etki alanlarının sayısını artırmak ve kullanıcıların yayın trafiğini etkili bir şekilde filtrelemek için yönlendiriciler ağlar arasına yerleştirebilir. Kuruluşlar bu sınırları, ayrı bölümlere giden trafiği kısıtlayarak güvenlik ihlallerini içermek için kullanabilir ve hatta bir saldırı sırasında ağın bölümlerini kapatarak, olumsuz erişimi kısıtlayabilir.
Burada dikkat edilmesi gereken hususlar;
- Ağ segmentleri tasarlanırken en az ayrıcalık ve bilinmesi gereken ilkeleri uygulayın.
- Hassas bilgileri ve güvenlik gereksinimlerini ağ bölümlerine ayırın.
- Tüm ağ segmentlerine ve ağ katmanlarına güvenlik önerileri ve güvenli yapılandırmalar uygulayın.
Hassas Bilgilerin Sanal Ayrılması
Teknolojiler değiştikçe, bilgi teknolojisi verimliliklerini ve ağ güvenliği kontrollerini geliştirmek için yeni stratejiler geliştirilir. Sanal ayırma, aynı fiziksel ağdaki ağların mantıksal izolasyonudur. Sanal segmentasyon, fiziksel segmentasyon ile aynı tasarım ilkelerini kullanır, ancak ek donanım gerektirmez. Mevcut teknolojiler, bir davetsiz misafirin diğer dâhili ağ segmentlerini ihlal etmesini önlemek için kullanılabilir.
Burada dikkat edilmesi gereken hususlar;
- Bir kullanıcıyı yayın alanlarının geri kalanından izole etmek için özel Sanal Yerel Alan Ağlarını (VLAN'lar) kullanın.
- Ağ trafiğini tek bir yönlendiricide aynı anda birden çok yönlendirme tablosu üzerinde bölümlere ayırmak için sanal yönlendirme ve yönlendirme (VRF) teknolojisini kullanın.
- Bir ana bilgisayarda genel veya özel ağlar üzerinden tünel oluşturarak, ağı güvenli bir şekilde genişletmek için Sanal Özel Ağları (VPN) kullanın.
Gereksiz Yanal İletişimi Sınırlayın
İş istasyonundan iş istasyonuna kadar filtrelenmemiş donanımlar arası iletişimlere izin vermek ciddi güvenlik açıkları oluşturur ve ağ davetsiz misafirlerinin erişiminin birden çok sisteme kolayca yayılmasına izin verebilir. Bir davetsiz misafir ağ içinde etkili bir oturum oluşturduktan sonra, filtrelenmemiş yanal iletişim davetsiz misafirin tüm ağda arka kapılar oluşturmasına izin verir. Arka kapılar, saldırganın ağ içinde kalıcılığını korumasına yardımcı olur ve savunucuların saldırganı tutma ve ortadan kaldırma çabalarını engeller.
Burada dikkat edilmesi gereken hususlar;
- Ağdaki diğer ana bilgisayarlardan paket akışını reddetmek için ana bilgisayar tabanlı güvenlik duvarı kurallarını kullanarak iletişimi kısıtlayın. Güvenlik duvarı kuralları, servislerden ve sistemlerden erişimi sınırlamak için bir ana cihaz, kullanıcı, program veya internet protokolü (IP) adresine filtre uygulamak için oluşturulabilir.
- VLAN'lara erişimi kontrol eden bir filtre olan bir VLAN erişim kontrol listesi (VACL) uygulayın. Paketlerin diğer VLAN'lara akma yeteneğini reddetmek için VACL filtreleri oluşturulmalıdır.
- Ağı fiziksel veya sanal ayırma kullanarak mantıksal olarak ayırın ve ağ yöneticilerinin kritik cihazları ağ segmentlerine ayırmasını sağlayın.
Güvenliği Artırılmış Network Cihazları
Ağ altyapısı güvenliğini artırmanın temel bir yolu ağ aygıtlarını güvenli yapılandırmalarla korumaktır. Devlet kurumları, kuruluşları ve satıcıları, ağ cihazlarının nasıl katılaştırılacağı konusunda yöneticilere (kıyaslamalar ve en iyi uygulamalar dâhil) çok çeşitli rehberlik sağlar. Yöneticiler aşağıdaki önerileri yasalar, düzenlemeler, site güvenlik politikaları, standartlar ve sektördeki en iyi uygulamalarla birlikte uygulamalıdır.
Burada dikkat edilmesi gereken hususlar;
- Ağ altyapısını yönetmek için kullanılan şifrelenmemiş uzak yönetici protokollerini devre dışı bırakın (örn. Telnet, Dosya Aktarım Protokolü [FTP]).
- Gereksiz hizmetleri devre dışı bırakın (örn. Keşif protokolleri, kaynak yönlendirmesi, Köprü Metni Aktarım Protokolü [HTTP], Basit Ağ Yönetimi Protokolü [SNMP], Önyükleme Protokolü).
- SNMPv3 (veya sonraki sürüm) kullanın, ancak SNMP topluluk dizelerini kullanmayın.
- Konsol, yardımcı ve sanal terminal hatlarına güvenli erişim.
- Güçlü parola ilkeleri uygulayın ve mevcut en güçlü parola şifrelemesini kullanın.
- Uzaktan yönetim için erişim listelerini denetleyerek yönlendiricileri ve anahtarları koruyun.
- Yönlendiricilere ve anahtarlara fiziksel erişimi kısıtlayın.
- Yapılandırmaları yedekleyin ve çevrimdışı saklayın. Ağ cihazı işletim sisteminin en son sürümünü kullanın ve tüm yamalar ile güncel tutun.
- Güvenlik yapılandırmalarını güvenlik gereksinimlerine göre düzenli olarak test edin.
- Dosya gönderirken, depolarken ve yedeklerken yapılandırma dosyalarını şifreleme ile koruyun veya erişim denetimlerine erişin.
Altyapı Cihazlarına Güvenli Erişim
Kullanıcıların yaygın olarak bulunmayan kaynaklara erişmesine izin vermek için yönetici ayrıcalıkları verilebilir. Davetsizler, uygun olmayan şekilde yetkilendirilmiş, geniş çapta tanınan veya yakından denetlenmeyen idari ayrıcalıklardan yararlanabileceği için altyapı cihazları için yönetici ayrıcalıklarının sınırlandırılması güvenlik açısından çok önemlidir. Düşmanlar bir ağda gezinmek, erişimi genişletmek ve altyapı omurgasını tam olarak kontrol etmek için güvenliği ihlal edilmiş ayrıcalıkları kullanabilirler. Kuruluşlar, güvenli erişim politikaları ve prosedürleri uygulayarak yetkisiz altyapı erişimini azaltabilir.
Burada dikkat edilmesi gereken hususlar;
- Çok faktörlü kimlik doğrulama (MFA) uygulayın. Kimlik doğrulama, kullanıcının kimliğini doğrulamak için kullanılan bir işlemdir. Saldırganlar genellikle zayıf kimlik doğrulama işlemlerinden yararlanırlar. MFA, bir kullanıcının kimliğini doğrulamak için en az iki kimlik bileşeni kullanır. Kimlik bileşenleri şunları içerir:
- Kullanıcının bildiği bir şey (ör. Şifre),
- Kullanıcının sahip olduğu bir nesne (örn. Simge) ve
- Kullanıcıya özgü bir özellik (örn. Parmak izi).
Ayrıcalıklı erişimi yönetin. Ağ aygıtı yönetimi için erişim bilgilerini depolamak üzere kimlik doğrulama (authentication), yetkilendirme (authorization) ve kullanıcı (accounting) (AAA) hizmetleri sağlayan bir sunucu kullanın. Bir AAA sunucusu, ağ yöneticilerinin en az ayrıcalık ilkesine bağlı olarak kullanıcılara farklı ayrıcalık düzeyleri atamasına olanak tanır. Bir kullanıcı yetkisiz bir komut yürütmeye çalıştığında reddedilir. Mümkünse, AAA sunucusunu kullanmaya ek olarak bir sabit belirteçli kimlik doğrulama sunucusu uygulayın. MFA kullanmak, davetsiz misafirlerin ağ cihazlarına erişim kazanmak için kimlik bilgilerini çalmasını ve yeniden kullanmasını zorlaştırır.
Yönetici kimlik bilgilerini yönetin. Sisteminiz MFA en iyi uygulamasını karşılayamıyorsa şu işlemleri yapın:
- Varsayılan şifreleri değiştirin.
- Ulusal Standartlar ve Teknoloji Enstitüsü'nün SP 800-63C Dijital Kimlik Yönergeleri ve Kanada'nın Bilgi Teknolojisi Sistemleri ITSP Kullanıcı Kimlik Doğrulama Kılavuzu'na uygun olarak, parolaların en az sekiz karakter uzunluğunda olduğundan ve 64 karakter (veya daha fazla) uzunluğunda parolalara izin verin.
- Şifreleri, yaygın olarak kullanılan, beklenen veya güvenliği ihlal edilen şifreler gibi kabul edilemez değerlerin kara listelerine göre kontrol edin.
- Saklanan tüm şifrelerin güvenliğinden ve karma olduğundan emin olun.
- Acil durum erişimi için şifreleri güvenli gibi ağ dışında korunan bir yerde saklayın.
Bant Dışı Yönetim Gerçekleştirin
OoB yönetimi, ağ altyapı cihazlarını uzaktan yönetmek için alternatif iletişim yolları kullanır. Bu özel iletişim yolları, sanal tünelden fiziksel ayırmaya kadar her şeyi içerecek şekilde yapılandırmada değişebilir. Ağ altyapısını yönetmek için OoB erişiminin kullanılması, erişimi sınırlandırarak ve kullanıcı trafiğini ağ yönetimi trafiğinden ayırarak güvenliği güçlendirecektir. OoB yönetimi, güvenlik izlemesi sağlar ve rakiplerin (ağın bir kısmını zaten tehlikeye sokmuş olanlar bile) bu değişiklikleri gözlemlemesine izin vermeden düzeltici eylemler gerçekleştirebilir.
OoB yönetimi fiziksel olarak, sanal olarak veya bu ikisinin bir meleziyle uygulanabilir. Ek fiziksel ağ altyapısının oluşturulması ve uygulanması pahalı olsa da, ağ yöneticilerinin benimsemesi en güvenli seçenektir. Sanal uygulama daha az maliyetlidir, ancak yine de önemli yapılandırma değişiklikleri ve yönetimi gerektirir. Uzak konumlara erişim gibi bazı durumlarda, sanal şifreli tüneller geçerli olan tek seçenek olabilir.
Burada dikkat edilmesi gereken hususlar;
- Standart ağ trafiğini yönetim trafiğinden ayırın.
- Cihazlardaki yönetim trafiğinin yalnızca OoB'den geldiğinden emin olun.
- Tüm yönetim kanallarına şifreleme uygulayın.
- Terminal veya içeri arama sunucuları gibi altyapı aygıtlarına tüm uzaktan erişimi şifreleyin.
- Tüm yönetim işlevlerini, tercihen OoB üzerinde olmak üzere güvenli bir kanal üzerinden ayrılmış, tam yamalanmış bir ana bilgisayardan yönetin.
- Yamaları test ederek, yönlendiriciler ve anahtarlardaki gereksiz hizmetleri kapatarak ve güçlü parola ilkeleri uygulayarak ağ yönetim aygıtlarını güçlendirin. Ağı izleyin ve günlükleri inceleyin. Yalnızca gerekli yönetim veya yönetim hizmetlerine izin veren erişim denetimlerini uygulayın (ör. SNMP, Ağ Zaman Protokolü, Güvenli Kabuk, FTP, Önemsiz FTP, Uzak Masaüstü Protokolü [RDP], Sunucu İleti Bloğu [SMB]).
Donanım ve Yazılımın Bütünlüğünü Doğrulama
Yetkisiz kanallardan satın alınan ürünler genellikle sahte, ikincil veya sahte pazar cihazları olarak bilinir. Yasadışı donanım ve yazılım, kullanıcıların bilgileri ve ağ ortamının bütünlüğü için ciddi bir risk oluşturur. Sahte piyasa ürünleri, kalite standartlarını karşılamak için kapsamlı bir şekilde test edilmedikleri için ağ üzerinde risk oluşturabilir. İkincil piyasadan ürün satın almak, tedarik zinciri ihlalleri nedeniyle taklit, çalıntı veya ikinci el cihaz satın alma riski taşır. Ayrıca, tedarik zincirindeki ihlaller, ekipmana kötü amaçlı yazılım ve donanım kurulması için bir fırsat sağlar. Güvenliği ihlal edilmiş donanım veya yazılımlar ağ performansını etkileyebilir ve ağ varlıklarının gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atabilir. Son olarak, yetkisiz veya kötü amaçlı yazılımlar, işletimsel kullanımdan sonra bir aygıta yüklenebilir, bu nedenle kuruluşlar yazılım bütünlüğünü düzenli olarak kontrol etmelidir.
Burada dikkat edilmesi gereken hususlar;
- Tedarik zincirinin sıkı kontrolünü sağlayın ve yalnızca yetkili satıcılardan satın alın.
- Donanım ve yazılım güvenilirliğini doğrulamak için satıcılardan tedarik zincirinin bütünlük kontrollerini zorunlu kılmalarını isteyin.
- Kurulum sonrasında tüm cihazları kurcalama belirtileri açısından inceleyin.
- Birden fazla kaynaktan gelen seri numaralarını doğrulayın.
- Doğrulanmış kaynaklardan yazılım, güncelleme, düzeltme eki ve yükseltme indirin.
- Karma doğrulama gerçekleştirin ve bellenimde yetkisiz bir değişiklik olup olmadığını tespit etmek için değerleri satıcının veri tabanıyla karşılaştırın.
- Düzenli bir zamanlamaya göre cihazları izleyin ve cihazların ağ yapılandırmalarını doğrulayın.
- Sahte piyasa cihazlarının bilinirliğini artırmak için ağ sahiplerini, yöneticileri ve tedarik personelini eğitin.