FIREWALL'lar
internete çıkışınızı güvenli yapan cihazlardır. Hacker'lara
karşı içerideki gizli bilgilerin dışarıya sızmaması, kötü
niyetli kişilerin dosyalarınıza erişememesi, performansı yüksek
NAT (Network Address Translation) gibi isteklerinizi karşılarlar.
En çok tercih edilen firewall'lar donanımı ile gelenlerdir.
Fakat unutulmamalıdır ki, firewall'lar antivirüs programları
değildir, internet içerik filtreleme yapmazlar. Bunlar için
başka yazılımlar almanız gerekir.
Firewall'lar donanım ve yazılım olmak üzere iki çeşit olarak
piyasada mevcuttur. Daha güvenli olan sistem hardware çözümüdür.
Donanımsal firewall üzerinde DMZ denilen, web server, mail
server konulabilecek güvenli alanlar da olabilmektedir.
3com, Watchguard ve Cisco PIX ürünleri ile müşterilerimize
güvenli sistemler kurmaktayız.
Cisco PIX Firewall Series
PIX Firewall Bundles
PIX-501-50-BUN-K8 PIX 501-50 DES Bundle (Chassis, SW, 50
Users, DES) Firewall
PIX-501-50-BUN-K9 PIX 501-50 3DES/AES Bundle (Chassis,
SW, 50 Users, 3DES/AES) Firewall
PIX-501-BUN-K8 PIX 501-10 DES Bundle (Chassis, SW, 10 Users,
DES) Firewall
PIX-501-BUN-K9 PIX 501-10 3DES/AES Bundle (Chassis, SW,
10 Users, 3DES/AES) Firewall
PIX-501-UL-BUN-K9 PIX 501-UL Bundle (Chassis, SW, Unlimited
Users, 3DES/AES) Firewall
PIX-506E-BUN-K9 PIX 506E 3DES/AES Bundle (Chassis, SW,
2 FE Ports, 3DES/AES) Firewall
PIX-515E-DC-FO-BUN PIX 515E-FO DC Bundle (Chassis,Failover
SW,2 FE Ports,VAC+) Firewall
PIX-515E-DC-R-BUN PIX 515E-R DC Bundle (Chassis, Restricted
SW, 2 FE Ports) Firewall
PIX-515E-DC-UR-BUN PIX 515E-UR DC Bundle (Chassis,Unrestricted
SW,2 FE,VAC+) Firewall
PIX-515E-FO-BUN PIX 515E-FO Bundle (Chassis, Failover SW,
2 FE Ports, VAC+) Firewall
PIX-515E-FO-FE-BUN PIX 515E-FO-FE Bundle (Chassis, Failover
SW, 6 FE, VAC+) Firewall
PIX-515E-R-BUN PIX 515E-R Bundle (Chassis, Restricted SW,
2 FE Ports) Firewall
PIX-515E-R-DMZ-BUN PIX 515E-DMZ Bundle (Chassis, Restricted
SW, 3 FE Ports) Firewall
PIX-515E-UR-BUN PIX 515E-UR Bundle (Chassis, Unrestricted
SW, 2 FE, VAC+) Firewall
PIX-515E-UR-FE-BUN PIX 515E-UR-FE Bundle (Chassis, Unrestricted
SW, 6 FE,VAC+) Firewall
PIX-525-FO-BUN PIX 525-FO Bundle (Chassis, Failover SW,
2 FE Ports, VAC+) Firewall
PIX-525-FO-GE-BUN PIX 525-FO-GE Bundle (Chassis,Failover
SW,2 GE+2 FE,VAC+) Firewall
PIX-525-UR-GE-BUN PIX 525-UR-GE Bundle (Chassis,Unrestr.
SW,2 GE+2 FE,VAC+) Firewall
PIX-535-FO-BUN PIX 535-FO Bundle (Chassis, Failover SW,
2 FE Ports, VAC+) Firewall
PIX-535-R-BUN PIX 535-R Bundle (Chassis, Restricted SW,
2 FE Ports) Firewall
PIX-535-UR-BUN PIX 535-UR Bundle (Chassis, Unrestricted
SW, 2 FE, VAC+) Firewall
GÜVENLİ İNTERNET:
Günümüz haberleşme çağında e-mail'ler artık faks, telefon
ve mektup trafiğinin toplamından daha
yoğun bir şekilde kullanılmaktadır. Bu verimli, hızlı ve
ucuz haberleşme aracı, özellikle kötü niyetli
kişiler tarafından virüs yayma maksatlı olarak kullanılmaktadır.
En son yayılan virüsler artık kullanıcı
farkında olmaksızın kendisi başka kişilere de gönderebilmektedir.
Böylelikle virüsler çok kolay
yayılmaktadır. Bu virüslü mailler açıldığında bazen dosyaları
silmekte veya değiştirmekte, okunamaz
hale getirmekte, bazen gereksiz veri trafiği üreterek bilgisayar
ağlarında darboğazlara (bottle neck)
neden olmaktadırlar.
Bu durumda en etkin koruma, virüsün geldiği ana arterin
kesilmesidir. Bu da E-mail Antivirüs
Gateway yazılımları ile olmaktadır. Kurumunuz için önerdiğimiz
E-mail Antivirüs Gateway yazılımı
Trendmicro Interscan Messaging Security Suite'tir.
Virüslerin asıl geliş kaynağı olan mailler için yapılan
koruma gateway üzerinde olacaktır. Fakat
bazen virüsler içeriden gelir. Bunlar internetten indirilen
dosyalar, disket veya CDler ile gelebilirler.
Trendmicro Officescan Corporate Edition ile tüm masaüstü
Antivirüs korumanızı önermekteyiz.
Aynı zamanda Anti-virus sistemi sunucusunun kurulması ile
tüm kullanıcılar yeni virüsler için
yazılmış yeni antivirüs tanımlama güncellemelerini bu sunucudan
alacaklar ve interneti boşuna
meşgul etmeyeceklerdir.
Microsoft Inc. 'ın yazılımları her zaman gediklidir ve
bunlar dışarıdan veya içeriden gelecek saldırılara
karşı hassas noktalardır. Microsoft bu eksiklikleri ürünü
sürdükten sonra gelen geri beslemeler ve
ilave araştırmalar ile tespit eder ve güncelleme yamalarına
yayınlar. Bu yamalar ancak ya bizzat
www.microsoft.com sitesindeki download bölümünden indirilir
veya Windows içindeki güncelleme
tool'u ile yapılır. Tüm bu bağlanışları her bir kullanıcının
ayrı ayrı yapması gerekmektedir. Burada
iki sorun ortaya çıkmaktadır:
1. Her kullanıcının işi sıkı takip etmemesi, önemsememesi
veya yetersiz bilgili olması
2. Herkes ayrı ayrı güncellediğinden internet çıkışındaki
sıkışıklık
Tüm bu problemleri aşmak için Microsoft SUS server kurmak
gerekmektedir. Bu program bir servera
kurulmakta, active directory'de oluşturulan bir policy ile
Microsoft Windows SUS ile tüm kullanıcıların
işletim sistemleri ve diğer Microsoft yazılımları, her sabah
logon olduklarında otomatik olarak güncel-
lenecek, kullanıcının bundan haberi bile olmayacaktır.
Serverlar tüm kullanıcılara hizmet etmek için var olan güçlü
bilgisayarlardır. Dolayısı ile içerideki her
kullanıcıya belli yetkiler içinde açık olmak zorundadırlar.
Bu bir kolaylık ve ortak kullanımda paylaşım
getirirken aynı zamanda virüslerin yayılma riskini de kullanıcı
sayısı adedi kadar artırmaktadır.
Bu durumda serverlar için yerinde bir koruma yapılmalıdır.
Trendmicro Server Protect ile virüsler serverdan başka
yerlere yayılmaz ve yerinde müdahale ile
anında virüsler temizlenir.
Ayrıca virüs dışındaki tehditler için de bir güvenlik politikası
oluşturulmalıdır.
Workgroup yapısı, Active Directorynin kullanılmadığı ve
aslında server olmayan yapılarda kullanılan bir yapıdır.
Bu sistemin gedikleri vardır ve dağınık bir yapıdır. Paylaşıma
açılan dosyalar ya herkese açıktır veya herkes için ayrı
ayrı kullanıcı şifrelerinin kullanıcı sayısı adedince girilmesi
gerekir.
Oysaki domain yapısında tüm bilgiler sadece Active Directory'de
olur ve tüm güncelleştirmeler, güvenlik politikaları tanımlamaları
buradan yapılır. Her kullanıcı sabah bilgisayarını açtığında
sisteme login olur ve o girişte, o kullanıcı için tanımlanan
sınırlamalar ve uygulamalar derhal devreye girer. Bunların
sadece bir yönetici makineden yapılması, özellikle sizin
gibi büyük bir network için olağan üstü önemlidir.
Sistemin bir backup domain controller ile çalışması her
ciddi kuruluşun ihtiyacıdır. Bu hem Primary Domain Controller'daki
yükü azaltmakta, hem de olası bir felaket durumunda yedeğini
bulundurmaktadır.
Domain yapısında kullanıcılar artık girdikleri kullanıcı
adı ve şifre ile tanımlı olmaktadırlar. Dolayısı ile art
niyetli birisi, artık herhangi bir yerdeki prize laptopını
bağlayıp, ağdaki bir kayda giremeyecektir, çünkü login olmayacaktır,
şifre ve kullanıcı isminin ikisini de bilmesi gerekecektir.
Hatta bilgisayarlara da isim verilir, ve filan kullanıcı
sadece filan makineden login olabilir gibi bir kayıt girilebilir.
Veya isterseniz gerekli izinler ile, kendi makinesinde olmamasına
rağmen kendi makinesindeymiş gibi network haklarını geçici
olarak misafir olduğu odadan yürütebilir.
Güvenlik politikası bir kurum için en çok üzerinde düşünülmesi
gereken ve taviz verilmeden hemen devreye sokulması gereken,
bütün kullanıcılar için ayrı ayrı ve tüm paylaşılacak bilgi
ve hizmetler için bir politika belirlenmelidir. Bunlar gerek
paylaşımları, gerek Active Directory üzerinde Group Policy
leri belirledikten sonra Domain Controller kurulumu daha
anlamlı olacaktır.
Yapılması gereken işler:
Domain'den Organizational Unitlere kadar ayrı ayrı ve farklı
seviyelerde erişim hakları belirlenmelidir.
Çalışma şekli büyük yapıdan küçüğe doğru farklı Security
Setting olacaktır. Aşağıda bir örnek anlatım vardır:
Setting 1: Internet kullanımı
Setting 2: Fatura Kesme
Setting 3: Yazıcıları paylaşıma açma
Setting 4: Routerın yönetimine ulaşma
Setting 5: IP Kameraları Gözetleme
Site level: (Tüm hastane)
Setting 1: Enabled
Setting 2: Disabled
Setting 5: Disabled
Domain level: (İdari Bölümler)
Setting 1: Disabled
Setting 2: Disabled
Setting 3: Disabled
Setting 4: Disabled
Organizational Unit: (Bilgi İşlem)
Setting 3: Enabled
Setting 4: Not Configured
Büyükte yazılan kural, bir alt seviyede, yani daha küçük
bir birimde daha sınırlı ve özel bir hale gelebilecektir.
Örneğimizde, İdari Bölümlerdeki kural ayarları aşağıdaki
gibi olacak;
Setting 1: Disabled
Setting 2: Disabled
Setting 3: Disabled
Setting 4: Disabled
Setting 5: Disabled
Bilgi İşlem bölümünün kural ayarları da aşağıdaki gibi
olacaktır.
Setting 1: Disabled
Setting 2: Disabled
Setting 3: Enabled
Setting 4: Disabled
Setting 5: Disabled
Yani eğer sadece 5 kural oluşturursak, Bilgi İşlem deki
bütün kullanıcılar sadece Yazıcıları paylaşıma açma hakkına
sahip olabileceklerdir.
Ayrıca Network üzerinde de güvenlik ve daha performans
için VLAN yapısına geçilmelidir. Bu durumda kullanıcılar
aynı networkte olmalarına rağmen değillermiş gibi birbirlerini
- isteğe göre - ya hiç göremezler, ya tek taraflı olur,
ya da sadece gerektiğinde kendi grubunun dışı ile haberleşirler.
Burada en az %80 trafik o grup içinde olmalı, en fazla %20
dışarı ile olmalıdır. Cihazlarınızın çoğunda VLAN desteği
olmadığı gözlemlenmiştir.
Tüm server ve network cihazlarınız UPS ile beslenmelidir.
Hem şebeke elektriğindeki dalgalanmalardan etkilenmemiş
hem de kesinti zamanını (Downtime) minimize etmiş olursunuz.
Ayrıca tüm network cihazlarınız için yedek bulundurmanızda
fayda vardır.
Saldırgan uygulamalar, sistemlere kendilerini taşıyan protokoller
veya kendi kodları ile saldırırlar. Application firewall
ile Uygulama seviyesindeki anomalileri tespit edip engellemek
mümkün olur. Mesela bir http paketi (internet sörfü için)
gereğinden fazla bir uzunukta ise bu bir " Buffer Overflow
Attack" olabilir.
Gerek Application firewall, gerek spam koruma, gerekse
gatewayde virüs koruma ve genel firewall özelliklerini bir
kutuda
olarak Secure computing'in Sidewinder G2 platformunu öneririz.
EAL4+ ile piyasanın en iyi firewalllarından olup, ilave
özellikleri ile benzerleri arasından sıyrılmaktadır.
Internet üzerinden gelen virüs ötesi tehlikelerin bazıları
ziyaret edilen site içinde dolaşırken de, ziyaret eden kişinin
bilgisayarına saldırabilirler veya bazı arka kapılar (Backdoor)
açıp oradan daha büyük sızmalar olmasına sebep olurlar.
CompTIA'in yaptığı bir araştırmada, geçen 6 ay içinde firmaların
%37si internet üzerinden gelen virüsler yüzünden zarar gördüler.
Trendmicro Web Security Suite ile Spyware, Adware gibi
arka kapı programlarını engelleyebilir, banka şifresi çalma
gibi kötü maksatlı koyulabilecek zararlılara karşı gerekli
bir önlemdir.
Cisco Systems Intrusion Prevention konusunda çok değişik
Ağa Sızma Tekniklerini bilen ve tanımadıklarından bile şüphelenme
özelliği olan IDS 4215 Sensor ile daha detaylı ve hassas
bir koruma sağlayabilirsiniz.
Sisteminiz tamamı ile tüm güvenlik bileşenleri koyulduktan
sonra, tarafımızca zayıflık tarama ve Ağa sızma testleri
yapılacak ve gerekli düzenlemeler yapılacaktır.
GENEL DEĞERLENDİRME
Sisteminizdeki açıklar ve gedikler yukarıda belirtilen
ürünler ve hizmetler ile kapatılacaktır.
Fakat ötesinde bazı çalışmaların da yapılmasını tavsiye
ederiz:
1. Verileriniz felaket durumları için yedeklenmelidir.
Verileriniz için gerekli yatırımı yapmış ve colocation'ı
olan bir ISP ile çalışmalısınız.
Bizim önerimiz Borusan Telekom'un İstanbul İzmir POPunda
tüm verilerinizin
yedeklenmesidir.
2. Domain Serverınızın mutlaka bir backup domain serverı
olmalı ve mümkünse ikincisi
farklı bir binada olmalıdır.
3. Felaketlerdeki Acil Durum planı bilgi işlemdeki network
cihazları için de yapılmalı ve
yedekleri tutulmalıdır.
4. Bünyenizde iyi bir network mühendisi bulundurmalısınız.
Bu personel tüm networkün
yöneticisi olmalı ve proaktif ( problem oluşmadan çözebilen
) çalışabilecek kapasite
ve birikimde olmalıdır. İLETİŞİM LTD olarak bu konuda size
personel desteğini
verebiliriz.
SAĞLIK BAKANLIĞIMIZA BAĞLI TÜM HASTANELERİN BİLGİ SİSTEMLERİ
GÜVENLİĞİNİN YAPILANDIRILMASI :
Hastanelerin güvenlik sistemlerinin yapılandırılması için
yapılması zorunlu olan işlemler aşağıda belirtilmektedir.
Internet erişim güvenliği için “firewall” kurularak bilgisayar
ağı dışarıdan gelen saldırılara karşı korunmalıdır.
Email trafiği üzerinde virüs taraması yapan Anti-Virüs
Gateway çözümleri kullanılmalıdır.
Uç noktaların Internet altyapısı üzerinden birbirine bağlanmasında
VPN çözümleri kullanılmalıdır. Örnek; Semt Poliklinikler,
Hastanelerin İl Sağlık Müdürlüğü veya bakanlık ile yapacağı
veri iletişiminde kullanılmalıdır. Birden fazla sistem veya
ağın, güvensiz ağlar üzerinden güvenli iletişimini sağlayan
ağ bileşenidir.IPSec, PPTP, L2TP, SSH, SSL gibi protokolleri
kullanarak iletişimin şifrelenmesini sağlarlar.
Bütün bilgisayarlara güncel anti-virus yazılımları yüklenerek
virüslere karşı korumalıdır. Ayrıca anti-viruslerin düzenli
olarak update edilmesi için Anti-virus sistemi sunucunun
kurulması gerekmektedir.
Bütün bilgisayarlar güncel yamalar (patch) ile update edilmelidir.
Bunun için Windows sunucularda Windows Software Update Service
kurulmalıdır.
Sunucuların Güvenliği sağlanmalıdır. Sunucuların ele geçirilme
ihtimallerini azaltmak veya ele geçirildiğinde saldırganın
hareket alanını kısıtlamak için yapılır:
Gerekli olmayan yazılımlar ve servisler sistemden çıkarılır,
Sisteme var olan tüm yamalar ve servis paketleri uygulanır,
Kullanıcı ve grupların yetkileri ve şifre politikaları düzenlenir,
Kritik dosyalara ve donanımlara erişim kısıtlanır,
Sistem izleme politikaları belirlenir ve uygun kayıt tutma
mekanizması seçilir.
Kullanılan sistemler ile ilgili üretici firmaların siteleri
devamlı olarak takip edilmelidir. Örnek: http://www.microsoft.com/turkiye/guvenlik/
Web Filtreleme çözümleri sunulmalıdır. İstenilmeyen web
sitelerine erişim engellenebilmelidir.
Bütün sistemler workgroup yapısından çıkarılıp domain yapısına
geçirilmelidir. Bütün kullanıcıların eğitim ve yetkilendirilmeleri
domain ortamında yapılmalıdır.
Bir Güvenlik Politikası Oluşturulmalıdır.
(Güvenlik politikası, kurumun ağına ve ağ üzerindeki özkaynaklara
erişim kurallarını taslak olarak ortaya koyan, politikaların
nasıl uygulanacağını belirten ve güvenlik ortamına ilişkin
temel mimarinin bir kısmının çerçevesini çizen genel, kapsamlı
bir dökümandır. )
Her türlü iletişimde veri şifrelenmelidir.
Ağ sürekli olarak denetlenmeli ve izlenmelidir.
Network Monitörleme, Saldırı Tespit Sistemleri ve Sistemlerin
kayıtlama fonksiyonları (logging) ile
Sistemin, uygulanan güvenlik politikasına uygunluğunun denetlenmesi
Oturumların ve hareketlerin (erişimlerin) düzenli olarak
izlenmesi
Güvenlik Uygulamaları Tarafından Tutulan Kayıtlar Düzenli
Olarak İzlenmelidir
Denetleme ve İzleme İşlemleri Düzenli Olarak Raporlanmalı
ve Geçmişe Dönük Karşılaştırmalar Yapılmalıdır.
Zayıflık Tarama Sistemleri ile Tarama
Ağa Sızma Testleri (Penetration Test)
Alınacak ağ erişim çıhazlarının SNMP desteği olmasına dikkat
edilmeli ve trafikler bir SNMP toplayıcı aracılığıyla izlenebilmelidir.
(MRTG, STG v.b. yazılımlar kullanılabilir olup lisans ücreti
gerektirmeyen kurulumu kolay yazılımlardır.)
Yukarıda bahsedilen çözümlerin tamamı tarafımızca tüm SSK,
Devlet Hastaneleri ve bağlı poliklinikler için temin edilebilmektedir.
Sistemimiz tamamı yukarıda anlatıldığı üzere anahtar teslim
çözümdür.
EK OPSİYONEL ÇÖZÜMLER:
Ayrıca yukarıda bahsedilen çözümler haricinde; yazılan
veya kullanılan uygulamaların (örnek; Hastane Bilgi Sistemleri
yazılımları) güvenliği ve güvenilir çalışması sağlanmalıdır.
Bunun için Uygulama Güvenlik Firewall kurulması tavsiye
edilmektedir.
Http, ftp trafiği üzerinde virüs taraması yapan Anti-Virüs
GatewayÇözümleri kurulmalıdır.
Yönetilen sistemler Saldırı Tespit ve Önleme Sistemleri
(IDS/IPS) ile kontrol edilmelidir.
(Bilgisayar sisteminize ve ağ kaynaklarınıza olan saldırıları
tespit etmek, sistemi izleyip anormal olan durumları saptamak
ve bunlara karşı gerekli önlemleri almayı amaçlayan güvenlik
sistemleridir.)
Sorularınız ve proje ve ürün / hizmet tedariki için www.iletisim.net/contact.asp
sayfasındaki erişim bilgilerimizden bize erişebilirsiniz.
