Network'te ne gibi güvenlik onlemleri aliyorsunuz

Merhaba cevapta geniş olacak ama firewall varsa gerekli portlar dışındakiler kapalı olsun.Ağa her gelen otomatik ip alamsın bunun için bir filter olabilir.

Eğer sorunuzu sağlam bir network yapısı kurmak nasıl olur derseniz,

1. Sağlam bir firewall cihazı,

2. Kullanıcıları kendi başlarına bırakmak yerine bir AD ye kayıt etmek güncellemelerini , local firewall ayarlarını merkezden yapmak. ( Windows Firewall sistemi oldukca yeterli bir local firewaldır. )

3. Yönetilebilir switchler ile özellikle storm kontrol ve loop çakışmlarının önlenmesi

4. Merkezi yönetime sahip bir virüs programı. ( Bu gerçekten öenmli )

5. Güncellemlerin çok sıkı şekilde takip edilmesi.

6. Sunuculara ulaşımın yerelden sadece gerekli portlar ile yapılmasını sağlamak.

7. Kullanıcıların eğitilmesi.

3,4,5 kuralları için NAC cihazları var ama henüz yaygınlaşmadılar ve oldukca pahalılar ayrıca her switch ile çalışmıyorlar o yüzden hala kullanılabilir değiller.

merhabalar ertan bey ve rıza bey

yapımızda juniper fw var kullanıcılar squid proxy ile internete çıkıyor 80 portu harici çıkışları kapalı.

merkezi yonetimsel antivirus programımız var. client uzerinde firewall kullanmıyoruz windows firewall kapalı.

server'ların dışarıya erişimi yok dışardan içeriye ssl vpn kullanıyoruz.

tabi dc var yapımızda kullanıcılar user kendi pc'lerinde group policy ile bazı sınırlandırmalarımızda var.

yonetilebilir switc'lerimizde var vlan yapısıda kullanıoruz. ama tabi bunlar yeterli değil sanırım bunların haricinde neler gerekir.

mesela switch uzerinde mac filtreleme yapılabilir veya networkte kullanılmayan portlar kapatılabilir boylece izinsiz girişler kısıtlanabilir.

network uzerindeki saldırıları nasıl anlayabiliriz. 25-30 a yakın server var farklı lokasyonlar var bu serverların epsine birden yetişmek zor bunları izleyebileceğimiz kontrol altında tutabileceğimiz ne gibi programlar var. network ortamında olan bitenleri takip edebileceğimiz ne gibi sistemler olabilir.

kendi guvenliğimizi test edeceğimiz ne gibi programlar tavsiye edersiniz? mesela printer'lar uzerinde snmp portlarının açık olması ne gibi bir tehlike yaratabilir. veya swithc uzerinde ne gibi portları kapatmamız iyi olur vs..

Alabileceğiniz güvenlik önemlerini almış
gözüküyorsunuz. Ama güvenlik önelimi alınırken de dikkatli olmak lazım fazla
abartılı olan bir sistemde işi kolaylaştırmak yerine zorlaştırabilir. Bir
kullanıcı word üzerinde yazdığı bir dokümanı mail ile diğer kısımlarla
paylaşması, daktilo ettiği bir dokümanı fotokopi makin ası ile çoğaltıp dağıtmasından
daha yavaş ise o zaman kurduğunuz yapı işlevselliğini yitirmiş demektir.

Duruma istinaden switchlerde almanız gereken
başlıca önlemler 

1. Loop detection sistemlerimi açın,

2. Mümkün olduğunca switchlerinizi yedekleyin,
switchlerin çökmesine istinaden Spanin Tree ile farklı aktarım yolları
belirleyin,

3. Network üzerinde sizin izinlerinizin dışında
oluşabilecek toplu paket gönderimlerini engellemek için storm kontrolü aktif
edin ve değerlerini belirleyin, mesela yanlış belirlenmiş bir kural DHCP
broadcasterlerinide kesecektir. 

5. Sistemin çoğunluğu sabit istemcilerden
oluşuyorsa port bazında IP ve MAC belirlemek sistemde en korunaksız ve gözlem
dışı olan kısımlar olan uç noktaların kesin güvenliğe alınmasına yardımcı
olacaktır.

Firewallarınızda;

1. VLAN lar arası geçişlerde her şeye izin vermek
yerine, gerekli servislere izin verin.

2. VPN gibi yapılarınız için broadcast ve
multicast gibi geçişlere sadece belli sistemler için izin verin.

3. Firewall çıkışları için kullanıcı bazlı
çalışmak yerine gurup bazlı çalışın ve şirket gereksinimleri doğrultusunda kati
kurallar uyguluyarak gurupları yönetin.

4. Sistemde oluşacak açıklar genelde içerden yapılır
ve genel sebebide sistem dışı olan cihazların sisteme dahil edilmesidir. Mesala
bir bilgiş işlemci en büyük açığı oluşturacak kimsedir. Sistem dışı cihazların
ağınızdan yararlanması gerekiyorsa kesinlikle ayrı bir VLAN a alın ve kısım
geçişlerini ihtiyaçlar yönünde limitleyin.

5. VPN geçişleri i.in sistem dışı sistemler için
kesinlikle kısıtlama yapın bir noktadaki sorunu diğer noktalara aksetmesin.

Domain Yapısında;

1. Sistemlerde genel sorun bilinen kullanıcı
adlarından çıkmaktadır o nedenle profesyonel bir sistem yöneticisinin ilk
yapacağı sistemde bulunan standart kullanıcıların adlarını değiştirmek
olacaktır. Mesala administrator kullanıcısının adını systemadministrator,
MasterAdmin gibi bilinmeyen isimlerle değiştirin.

2. Parola sistemi büyük açıklardandır, sistemde
parola değiştirme zamanını ve Microsoft karmaşıklık ilkesini uygulayın, en kısa
şifre uygulamasını etkinleştirip eskiye dönük şifre hatırlamasını sıfıra
indirin.

3. Domaine dahil olan tüm kullanıcıları user
statüsünde tutun ve sistemlerinde farklı çalıştır için kısım adminleri
oluşturup bu adminlerin oturum açmasını kapatın.

4. Kullanıcıların oturum açabileceği sistemleri
kesin ve net bir şekilde ayarlayın.

5. Sistemlerin sürekli yedeklerini bulundurun.

6. Güncellemeler için WSUS kurun ve
güncellemeleri kullanıcılara bırakmak yerine siz takip edin.

7. File server kurun klasör bazında kati kurallar
ile hakları belirtin ve uç nokta cihazlarında veri tutulmasını önleyin.

8. Chkdsk, Defrag ve Windows defender için
otomatik tarama zamanları belirtin.

9. Kullanıcının sistemini belli bir süre
kullanmaması durumunda ekran kilitlemeyi mecbur kılın.

10. Kullanıcılarınıza domain adlarının, mail
adreslerinin, IP ve MAC adreslerinin yazılı olduğu bir kağıtla sorumluluk devri
yaparak bu sistemlerini önemsemelerini sağlayın ki kimse kimseye bu tür
bilgilerini vermesin.

11. Kullanıcılarınızı eğitin.

Sunucu yavaşlama yapınca iki kez gönder demişim 🙂

çok teşekkürler Ertan Bey çok açıklayıcı yazmışsınız.

3 ve 4 numara hakkında ayrıntılı bilgi alabilirmiyim nasıl yapabileceğim hakkında 

3. Domaine dahil olan tüm kullanıcıları user statüsünde tutun ve sistemlerinde farklı çalıştır için kısım adminleri oluşturup bu adminlerin oturum açmasını kapatın.

4. Kullanıcıların oturum açabileceği sistemleri kesin ve net bir şekilde ayarlayın.

3 ünc için,

Domain kullanıcılarını USER statüsünde tutun ve programlarını çalıştırabilmeleri için yada yükleme yapabilmeleri için adminler oluşturun fakat bu adminlerin oturum açmasını kapatın ( user kapatmıyacaksınız, oturum açmasını kapatacaksınız ). Bu şekilde kullanıcı birşey yükliyeceği zaman size sormasına gerek kalmadan sağ tıklayıp farklı çalıştır ile o admin aracılığı ile yükleme yapacak. Tabi bu bir güvenlik açığıdır ama kullanıcılarınız eğitimli ve siz belirli sorumlulukları onlara verdiyseniz geçerli bir yöntemdir.

4 üncü için,

Domainlere kullanıcıları ekliyebildiğiniz gibi PC leride ekliyebilirsiniz ki hali hazırda bir sistemi domaine entegre etmek demek budur zaten. Ve bu sistemde hangi kullanıcıların oturum açabileceğine karar verebilirsiniz. Mesala bir paylaşım için PC leri kullandığınızda başka birimden birisi muhasebe pc lerinde oturum açabiliyorsa PC aracılığı ile o paylaşıma ulaşabilir. Bu nedenle kimin hangi PC de oturum acacağı kesin ve net bi şekilde belirlenmeli ve tanımlanmalıdır.

Kusra bakmayın uzun zamanıdr sistem ntegratörü olarak çalışmıyorum, bunlarda hafızamnda kalanlar.

3, için gerçekten mantıklı yoksa her seferinde biz gidip run as yapıp kendi user'ımız ile girerek yukleme yapıyoruz.

dediğiniz gibi pc'leride domaine ekliyoruz zaten aksi taktirde domaindeki user ile o pc de oturum açamayız. tam olarak demek istediğiniz su user bu pc de oturum açabilsin başkasında açamasın gibi bir şeymi? eğer oyleyse nasıl yapabiliriz bunu

Computers kısmın da , bilgisayarın özelliklerinde olması lazım. Ayrıca kısımlar için bilgisayar yöneticiside ayarlayabiliyorsunuz.

teşekkürler Ertan bey dediğiniz yeri buldum.

 peki server'lar için veya networku kontrol altında tutmak için kullandığınız programlar nelerdir?

SCOM ve SCE kullandım ama çok karışık geldiler bana bunlar haricinde bir tavsiyeniz varmı dır?

Merhabalar

Burada bazı şeyleri karıştırmamak lazım. Ağ güvenliği ve sunucu güvenliği iki ayrı konudur. Ertan'ın yukarıdaki yazdıklarının hepsi doğrudur ancak kullanıcıları bir gruba ekleyerek ağ güvenliğini değil OS güvenliği yada veri güvenliğini sağlamış olursunuz.

Ağ güvenliği için(Çoğunu Ertan yazmış)

1. Sistem üzerinde Gereksiz portları kapatın. Bu sayede ağınızın haritasının çıkarılmasını bir nebze engelleyebilirsiniz.

 2. Switchler üzerinde kullanılmayan portları shut down yapın.

3. Vlan yapılandırması kullanın.

4. belirli periyodlar da ağ taraması yaparak trafiği ölçün.

5. Hangi istemci yada sunucunun ne kadar trafik yaptığını gözlemleyin.

6. Ve en önemlisi poliçeler yazarak ağınızın istenilmeyen şekilde kullanıldığında ne gibi sonuçlar doğuracağını belgeleyin. Yönetim desteğini alın ve kullanıcıları eğitin.

 Yukarıda yazılanlar bile ağınızın dışarıdan olmasa bile içeriden sniff edilmeyeceği anlamına gelmez. Active sniflleri, arp poisining gibi, yakalayabilirsiniz ancak passive dinleyicileri yani sadece ağ trafiğini dinleyenleri yakalayamazsınız.  

Bu iş için en iyi çözüm ağ şifreleme. Ancak bu da ağınıza ek yük getirir.  Bunun yanında ağı şifreleseniz bile son kullanıcı makinesinde şifreniz açmanız gerekir ki makine de istenilmeyen program yüklü ise verileri herhangi bir yol ile çalabilir.

Bu nedenle alınan önlemleri madde madde sıralayarak, kullanıcıların eğitilmesi ağınız için en güzel önlem olacaktır.

Kolay gelsin...

ps: Ertan cevapların çok iyi. Tebrik ederim... 

haklısınız Erdal bey server konusundaki sorularım server guvenlik konusuna giriyor ama benimde istediğim bu hem server hemde network tarafını  y ötebileceğim Active sniflleri yakalayabileceğim network trafiğini izleyebileceğim ve sunucuların durumunu gözlemleyebileceğim komple bir sistem istiyorum. tavsiye edebileceğiniz böyle bir uygulama mevcutmudur?

Bu sistemlerin adına daha üstte belirttiğim gibi NAC ( Network Access Control ) deniyor. Aslında 2010 yılında böyle bir planımız vardı oldukcada güzel bir kaç ürüğn için firmaları ile konuşuyorduk ama maliyetler devasa boyutlarda ve özellikle switch yönetiminde çok fazla ek maliyetler geliyor. Bizde 2011 sonuna doğru düşünüyoruz, hali hazırda artık ülkemizdeki bir çok kurum ve kuruluş 50 bilgisayar üzerinde oluşuyor ve içeride işleri yönetmek eskisi kadar kolay değil. Router cihazlarınıda NAC yapılandırması istediğinizde ise cihazların donanım maliyetleri yükseliyor ve ilk alımları artıyor bu durumda kendi pazarınızı kısıtlıyorsunuz.

Durum bu olunca birkaç firmanın hali hazırda NAC çözümüğ var diye biliyorum, ama nekadar stabildir ya da hali hazırda daha tam oturmamış bir sistem nekadar yararlı olabilir onu bilemem. Ama sağlam bir bash programır bulsanızda oturup size bir iki senede çok sağlam bir NAC çıkartabilir.

anladım net bir cihaz veya program tavsiye edemiyorsunuz.

çok teşekkürler Ertan Bey