Kurum Dışı Uzaktan Çalışma ve Güvenli Erişim

Kurum Dışı Uzaktan Çalışma ve Güvenli Erişim

Ocak 2020 ‘de Çin’de başlayan ve Mart 2020 ‘de tüm dünyayı etkileyerek pandemi seviyesine gelen Covit-19 salgını nedeni ile birçok işletme uzaktan çalışma seçeneklerini değerlendiriyor. Uygulamalara güvenli ve hızlı bir şekilde erişim sağlanması gerekiyor. Bu makalede, SSL VPN çözümlerinin mimari tasarımı, gereksinimlerine değineceğiz. Örneklerde üretici olarak Fortinet ‘in FortiGate firewall ürünü paylaşacağız.

Dikkat Edilmesi Gerekenler

·         vpn.kurumadı.com vb. bir alan adı için SSL Sertifikası kullanılması, (self-signed ssl sertifikalar kesinlikle kullanılmamalıdır),

·         SSL VPN ile kuruma dışarıdan erişecek kişilerin, erişeceği kaynakların belirlenmesi ve buna göre sınırlandırılması,

·         Çok faktörlü kimlik doğrulaması (MFA & One Time Password ),

·         Erişim Loglarının kayıt edilmesi, (KVKK teknik tedbirleri içerisinde zorunludur )

·         SSL VPN hizmetinin verildiği ürünün ( Firewall, VPN Appliance ), üretici tarafından tavsiye edilen ve güvenlik açığı barındırmayan sürümde çalışması

1-     Erişim Metotları ve Network Topolojisi

 Temel olarak birçok üretici iki farklı erişim metodunu kullanmaktadır;

a.       Herhangi bir yazılım yüklemesine gerek olmaksızın Web Portal üzerinden erişim sağlanması

b.       Bir SSL VPN Client yazılımı ile uygulama kullanarak tünel modda IP erişimi sağlanması ( aşağıdaki resimde yeşil olarak belirtilmiştir )

Web Portal: Güvenlik ve basitlik anlamında değerlendirildiğinde Web Portal kullanılarak SSL VPN erişimi sağlanması en idealidir. Bu şekilde yapılan erişimlerde bir web tarayıcısı içerisinden izin verilen kaynaklara erişim sağlandığı için, kurum ağına ip seviyesinde bir erişim yapılmamaktadır.  Web Portal üzerinden kurum içerisindeki web uygulamaları transparan olarak erişilebileceği gibi, dosya sunucularına SMB erişimi, Web tarayıcısı içerisinden Uzak Masaüstü erişimi vb. yapılabilmektedir.

Tunnel Mod: Son kullanıcı bilgisayarına bir SSL VPN Client yazılımı ( Fortinet için FortiClient https://filestore.fortinet.com/forticlient/downloads/FortiClientVPNOnlineInstaller_6.2.exe )yüklenerek sağlanan erişimler esnek ve hızlı çalışarak IP seviyesinde erişim sağlamaktadır. Bu modun kullanılması uzman seviyede yapılandırma ve özelleştirme ile güvenli olarak kullanılabilir.  Tunel Modu da kendi içerisinde iki farklı yapılandırmaya sahiptir, “Full Tunnel Mode”, “Split Tunnel Mode” Full Tünel Modun en büyük özelliği eğer isterseniz SSL VPN’e bağlanan kullanıcının internet erişimini kendi güvenlik duvarınız üzerinden ve sizin belirlediğiniz politikalar ile sağlayabilirsiniz.

2-     SSL VPN Kimlik Doğrulama

SSL VPN ‘in sağlandığı güvenlik duvarı ya da VPN çözümü üzerinde yerel kullanıcılar açarak yetkilendirme yapılabileceği gibi kurum içerisindeki Active Directory dizin hizmeti de kullanılabilir. Active Directory dizinine LDAP bağlantısı yaparak yetkileri buradan almak mümkündür. Ek olarak Sertifika tabanlı doğrulama ve iki katmanlı kimlik doğrulama yapmak hesap bilgilerinin çalınma ihtimallerine karşı yüksek koruma sağlayacaktır.

Kurum içerisinde olabilecek birçok teknik probleme hızlı müdahale edebilmek adına, BT ekibi çalışanlarının Local User, geri kalan şirket çalışanlarının Active Directory ‘dan çekilmesi en idealidir. Olası bir AD erişim sorunu olması durumunda da BT destek yetkilisinin SSL VPN yapabilmesi önemli bir ayrıntıdır.

Kimlik Doğrulama Seçeneklerine Baktığımızda;

a.       Lokal Kullanıcı

b.       LDAP & Active Directory

c.       Sertifika Doğrulama

d.       Çok Katmanlı Kimlik Doğrulama ( SMS, Soft Token )

e.       Radius ile Kimlik Doğrulama ( Fortinet için FortiAuthenticator )

Local Kullanıcı: En temel yetkilendirme seçeneğidir, SSL VPN yapılandırmasını güvenlik donanımı üzerinde lokal kullanıcı ve gruplar tanımlayarak yetkilendirme yapılabilir. BT Ekibi çalışanları için uygundur.

LDAP&AD: Kurum içerisinde farklı yetkilere sahip ve çok sayıda kullanıcıyı mevcut AD hesap bilgileri ile SSL VPN bağlantısı sağlamak için uygundur.

Sertifika Doğrulama: SSL VPN yapacak olan son kullanıcı bilgisayarına tanımlanan sertifika ile yapılan bağlantının, kurum içerisindeki sertifika sunusundan onaylanarak bağlantının kabul edilmesidir. Kullanıcı adı ve Şifre den oluşan hesap bilgilerinin çalınmasına karşı güçlendirilme sağlar, yapılandırması ve işletilmesi bir miktar zordur, topolojisi aşağıdaki gibidir, LDAP&AD doğrulama ile birlikte de kullanılabilir.

 Çok Katmanlı Kimlik Doğrulama: Kullanıcı adı ve Şifre girilerek yapılan SSL VPN bağlantısının doğrulanmasında ikinci katmanda SMS ya da Token kullanılmasıdır. Yüksek güvenlik için tavsiye edilen erişim doğrulama yöntemidir. LDAP & AD ile birlikte de kullanılabilir, tercihen soft token kullanılmalıdır ( Fortinet için Forti Token ) . Ancak Token seçeneği her zaman ek maliyet getirmektedir.

Radius ile Kimlik Doğrulama: detaylı kimlik doğrulama seçeneklerini bir arada kullanmak için büyük organizasyonlarda tercih edilmektedir. SMS ile doğrulama yapmak içinde aktif olarak kullanılır.

3-     Erişim Logları

Erişim log kayıtları, başta 5651 sayılı kanun kapsamında ihtiyaç olmakla birlikte KVKK ‘nın teknik tedbirleri içerisinde de kurumların sağlamaları gereken bir temel gereksinimdir. Buna ek olarak ISO 27001 gibi standartlar içinde zorunludur. Kurum dışından yapılan SSL VPN bağlantılarında;

a.       Kim, Ne Zaman, Hangi IP’den bağlanmış?

b.       Bağlanan bir kullanıcı, Nereye Erişti, Ne Kadar Veri Transfer Etti, Ne Kadar Bağlı Kaldı?

c.       Hatalı Şifre Denemesi Yapan Kullanıcılar

Gibi bilgileri erişim loğlarından temin etmek mümkündür. FortiGate firewall için FortiAnalyzer ürünü kullanılabilir yada as a service olarak FixAnalyzer olarak bulut servisi olarak kullanılabilir. Analyzer içerisinden bu log’lar detaylı olarak incelenebilir ve rapor formatlarında kullanılabilir.

4-     Sıkılaştırma Politikaları

·         TLS 1.0 ve 1.1 ‘in kapatılması, tercihen TLS 1.2 & 1.3 kullanılması,

·         Yüksek Diffie-Hellman (DH) şifreleme kullanılması ( 8192 bit ),

·         Bir kullanıcı hesabı ile eş zamanlı birden fazla bağlantı yapılmaması, (“Limit Users to One SSL Connection at a Time“)