Firewall Nasıl Olmalı?

Günümüzde şirket networklerinin gittikçe karmaşıklaştığı su götürmez bir gerçek. Çalışanlar ağınıza gerek kişisel amaçları için gerek iş için çeşitli aracılar vasıtasıyla bağlanmaktalar. Bu gelişmelerin doğurduğu bazı sonuçlar olabiliyor. Dışarıdan daha kolay erişilebilen şirket ağınız daha kırılgan ve erişilebilir bir durumda. Bu durumda sizin de cevaplamanız gereken bir soru var; eski firewallumuz yeterli mi yoksa yeni nesil firewall edinmeli miyiz?

İşlerinizin ne kadar verimli bir şekilde tamamlandığı büyük ölçüde hıza bağlıdır. Bu hız çalışanlarınızın kullandığı uygulamalar ve bu uygulamaların erişim alanlarıyla doğrudan ilgilidir. Bunu optimize etmek ise şirketinizin siber güvenlik departmanının görevidir. Bu doğrultuda karar verilmesi gereken şey yeni nesil bir firewallun şirket çıkarlarınız doğrultusunda yeteri kadar etkili olup olmayacağıdır. Konuyla ilgili yöneticilerin cevap vermesi gereken sorular:

. Yeni nesil bir firewall ağınızın uygulama trafiğini görüşünü ve işleyişini arttırabilecek mi?

. Veri trafiği kontrol protokolünüz “izin ver” ve “reddet” dışında daha kapsamlı seçenekler sunabilecek mi?

. Ağınız, meçhul ya da faili meçhul saldırılar ve tehditler karşısında korunabilecek mi?

. Sistematik bir şekilde bilinmeyen veri trafiğini tanıyıp kontrol edebiliyor musunuz?

. Uygun görülen güvenlik protokollerini performanstan ödün vermeden uygulayabiliyor musunuz?

. Takımınızın sarf ettiği düzenleyici gayret azaltılabilir mi?

. Risk belirleme işiniz daha kolay ve daha efektif hale getirilebilir mi?

. Bu yeni uygulamalar sizin şirket kârınızı etkiler mi?

Yukarıdaki sorulara cevabınız evet ise firewallunuzu değiştirmek için karar vermeniz eskisi kadar zor olmayacaktır. Bundan sonrası şirketinizin Firewall sağlayıcılarının sunduğu alternatifleri değerlendirmesi ile devam edecektir.  Bundan sonra karar verilmesi gereken yeni nesil firewalların mimari farklılıklarından doğacak durumların gerçek dünyadaki çıkarlarınızlar hangi kolda örtüştüğüdür.

Yeni Nesil Firewallların Mimari Çeşitleri:

Pozitif Yaklaşım Modeli: Bu modelde firewallunuz sadece izin verdiğiniz programlara erişim sağlarken trafiği kontrol amacıyla geriye kalan (yararlı ya da zararlı) bütün uygulamaların erişimini reddeder. Bu yaklaşımla yönetici giderlerini ve gayretini düşürebilmenize rağmen bu kesin sınırların getirdiği sorunlar da işinize engel olacak düzeylere gelebilirler.

Negatif yaklaşım modeli: Pozitif yaklaşımın aksine sadece belirli uygulamalara izin vermektense yönetici katılımını arttırarak sadece girişinin ya da çıkışının kabul edilmemesi gereken uygulamalar sistemde yasaklanarak kalan trafiğin rahat bir şekilde akması sonucu elde edilecektir. Fakat gerek çevrenin durağan olmayışı gerek se sürekli yönetici gözetimi altında tutulması gerekmesi bu yaklaşımın zayıf yönüdür.

Firewall seçimi buradan sonra 3 ayrı kol üzerinden devam eder, güvenlik fonksiyonları, işleme ve performans.  Güvenlik fonksiyonları ele alındığında ulaşılmak istenen kontrol seviyesinde sağlanacak faydalar ve takımınızın risk düzenlemeleri sırasında sizi atlatmak isteyen uygulamaları kontrol altında tutması ön plana çıkar. İşin operasyon kısmına gelindiğinde ise cevaplanması gereken soru firewallun düzenlenmesi sizin takımınızın sınırlarının çok üstünde ya da dışında mı olacaktır. Performans cephesinde ise firewallunuzun hali hazırda yaptıkları şirket ihtiyaçlarını karşılayacak düzeyde olup olmadığı önemlidir. Farklı ağ yapılanmalarının bu 3 kriterde aradıkları da farklılık göstereceğinden şöyle bir göz atmak gerekirse bir sonraki firewallunuzda bulunması gereken 10 özellik şunlardır:

1.Firewallunuz Uygulamaları her zaman bütün portlarda tanımlayıp kontrol edebilmelidir:

Günümüzde geliştiriciler artık eskisi gibi sabit portlar kullanan uygulamalar yapmayı bıraktı ve kullanıcılar da artık uygulamaları değişken portlardan kullanmayı biliyorlar. Bütün uygulamaları belli sınırlara kontrollere zorlamamız gerekirken firewallunuz da her hangi bir yazılımın alakasız bir portu kullanabileceğini bilmesini gerektirir. Yazılım geliştiriciliğindeki bu yeni yaklaşım firewallunuzu da eski olanlardan yeni nesillere doğru göç etmeye zorlamaktadır.

Çözümü kolay olan bu koşulda firewallunuzun yapması gereken; standart olarak her bir uygulamayı daima bütün portlardaki trafiğine göre sınıflandırmaktır.

2.Güvenlik Atlatma Programlarını Tanıyıp Kontrol Altında Tutabilmeli

Sayıları az olmakla birlikte şirket varlıklarınızı korumak için kullandığınız bazı programlar-harici proxyler buna bir örnektir- yapıları gereği bazı güvenlik elemanlarını atlatacak şekilde tasarlanmışlardır.

Harici proxyler ve VPN dışı deşifreedilmiş tünel uygulamaları iç güvenlik protokollerini atlatmak için tasarlandıklarından dolayı risk yönetimi uygulamalarınızda değer teşkil etmezler.

Uzaktan erişim ve masaüstü düzenleme araçlarınız da- RDP ve Teamviewer gibi- teknik ekipler tarafından rahatça kullanılabilsin ve hızlı müdahale sağlanabilsin diye tasarlanmıştır. Hackerlar bu bilgiye aşina oldukları için bu yolları firewallınızı aşmak için kullanmayı deneyebilirler.

Bu durumla baş etmenin yolu ise sisteminizi atlatmak için tasarlanmış bu uygulamaları iyi tanımak ve onların her ne kadar farklı portlar farklı protokoller ve farklı şifreleme sistemleri kullansalar da bu uygulamaların ilgilendiği trafiği kontrol altında tutabilmekten geçer. Yeni firewallunuzun bunu sağlaması gerekmektedir fakat bunun için de sürekli değişen atlatma metotlarına göre güncel tutulması gerekmektedir.

3. SSL’leri Çözüp Denetlemeli ve SSH’ı Kontrol Altında Tutabilmeli

Günümüzde uygulamaların %26’sı şirket ağlarının şekline göre SSL kullanmakta. Son kullanıcının büyük miktarda kullandığı yüksek risk taşıyan HTTPS uygulamalarını, kullanıcıların internet sitelerini SSL yapmaya zorlamaları, takımınız için çözülmesi, kontrol edilmesi, sınıflandırılması ve taranması mümkün olmayan gittikçe büyüyen bir kör nokta oluşturmakta. Bu yüzdendir ki yeni nesil firewallunuz bazı SSL şifreli trafiği kendi haline bırakacak diğerlerini ise protokollere uygun şekilde çözebilecek kadar esnek olmalı. SSH ise yaygın kullanımı ve son kullanıcının müdahale edebilme yeteneğinden dolayı aynı uzaktan erişim aletlerinde olduğu gibi kontrol edilebilir. Bu yüzden SSH şifreleme iş dışı aktivitelerin gizlenmesi için çok uygun bulunur.

Köklü bir çözüm için SSL ‘lerin çözülmesi gerekmekte. Bu işin yolu ise hem tanıma hem de deşifre işlemlerinin içeriden ya da dışarıdan her portta bir arada yapılabilmesi için aynı anda on binlerce SSL’i anlık kontrol edebilecek gerekli donanıma sahip olmaktan geçer. SSH için ise dahili mi yoksa port yönlendirmek amaçlı mı kullanıldığını bilmek gerekli protokollere yönlendirilmeleri için yeterli olacaktır.

4. Uygulamalarda Fonksiyon Kontrolü Sağlamalı:

Google, Facebook, Microsoft gibi uygulama platformu geliştiricileri müşterilerinin marka sadakatini sağlamak için onlara geniş bir yelpazede yeni özellikler ve fonksiyonlar sunarken bir yandan da yüksek risk teşkil edebilirler. Örneğin Google’ın servislerinden Gmail’de oturum açtığınızda kullanım şartları sözleşmesine dayanarak Hangout açılabilir bunun gibi dış fonksiyonlara karşılık firewallunuz hazırlıklı olmalıdır.

Yeni nesil firewallunuz bu uygulamaları sınıflandırmalı ve olası “diğer fonksiyonların aktifleşmesi” durumu için sürekli gözetim altında tutmalıdır.

5. Bilinmeyen Trafiği Sistematik Olarak İdare Edebilmeli:

Bilinmeyen trafik her ağda küçük miktarlarda da olsa bulunur, bu trafik siz ve şirketiniz için kada değer derecede risk teşkil eder. Bilinmeyen trafik diğer tehditlere e bağımlıdır ve genellikle saldırganlar bu gibi durumlardan faydalanıp uygulamayı kendi çıkarları adına kullanmak için protokollerde değişik yapmak durumunda kalırlar.

Standart olarak firewallunuz bütün portlardaki trafiği sınıflandırmalıdır, pozitif model her şeyi sınıflandırırken, negatif model ise sadece tanıtılan trafiği sınıflandırır. Yeni nesil firewallunuzun size aynı anda bütün trafiği bütün portlardan sınıflandırabilmesi gerekir.

6. Bütün Uygulamaları Bütün Portlarda Tehditlere Karşı Taramalıdır:

Şirketlerin iş alanlarını geliştirmek için kullandığı SharePoint, Box.net, Google Docs, Microsoft Office365, gibi uygulamalar standart protokollerden hiçbirini desteklememekte. Bu nedenle bu hayati uygulamalar ne kadar sizin için yarar sağlasa da ağınız için dışarıdan tehdit oluşturabilecek durumlara mahal vermekte. Bu açık, zararlı yazılımların size en yoğun tehdit oluşturduğu sizin en zayıf noktanı olmakta.

Firewallunuz port ve şifrelemeye aldırmaksızın bu programları önce tanımalı ardından da her zaman bütün portlarda zararlı yazılımlara ve açıklara karşı taramalıdır.

7. Yer ve Araç Gözetmeksizin Bütün Kullanıcılara Gerekli Kontrolleri Ulaştırmalıdır:

Teknolojini de gelişmesiyle birlikte artık herkes evinden ya da internet bağlantısı olan her hangi bir yerden çalışabilir hale geldi. Ağa doğrudan bağlı olmadan da uzaktan çalışarak telefonlarından, dizüstü bilgisayarlarından ve tabletlerinden şirket ağınıza bağlanarak çalışabiliyorlar. Bu yüzden firewallunuzun hem şirket içi hem de uzaktan bağlantılarda aynı hizmetleri sunabilmesi gerekli.

Basitçe firewallunuzun, kullanıcının yerini ve bağlantı aracısını ayırt etmeksizin bütün kullanıcılara aynı kontrolleri sunması gerekmekte. Yeni firewallunuz ise bu seviyeye maliyeti arttırmadan ve son kullanıcıya gereğinden fazla bir gecikme olarak yansıtmadan ulaşabilmeli.

8. İlave Uygulama Kontrolleri ile Ağ Güvenliğinizi Basitleştirmeli:

Çoğu firma çok fazla bilgi ve protokol ekleyerek sistemlerini şişirerek yavaşlatmakta ve bu başlarına daha büyük sorunlar açmakta. Her ne kadar yönetici takımı çalışsa da gereksiz yığılmadan dolayı sistemleri rahatlamamakta. Bu sebepten ne tepki süreleri ne de çaba/verim bazında yetkinliğe ulaşılamamakta. Birbiriyle çakışarak tekrar tekrar aynı işlemi yapmaya çalışan farklı protokoller işleri aha da zorlaştırmakta.

İşiniz basitçe uygulama, içerik ve kullanıcıdan dayanak alarak devam eder.  Yeni firewallunuz sizin ve paydaşlarınızın arasına girmeden işinizi kolaylaştırmalı, ağınıza eterli saydamlığı ve basitliği sağlayabilmelidir.

9. Güvenliği Sağlarken Performansı Etkilememeli:

Birçok firma güvenlik ve iş hacmi arasındaki anlaşmadan dolayı kıvranmaktadır, her ne kadar yüksek güvenlik sağlanmaya çalışılsa da bu iş hacminin zararına olmaktadır. Yeni firewallunuzun görevi ise bu çatışmayı minimuma indirmek olmalıdır.

10. Sanallaştırılmış ve Fiziksel Sunuculara Aynı Fonksiyonları Sunabilmeli:

Sanallaştırılmış sunucularla çalışmak eski firewallar için bazen çok zorlayıcı bazı durumlarda da imkânsız olabilmekte. Yeni firewallunuz hem sunucularınızdaki trafikle hem de hem de çevredeki bulut sunucularla aynı fonksiyonlarla çalışması gerekmekte.

4,503 total views, 1 views today