Ağınızı güvenli yapma yolları

Bu yazımızda CHIP Online olarak sizlere, ağınızı güvenli yapmanın yollarını anlatacağız.

Ağınızı güvenli yapma yolları

İpek Özdemir
Güncel araştırmalar gösteriryorlar ki, 2008'de IT bütçelerinde çok büyük bir artış yaşanmadı. Buna rağmen tüm firmalar uygun bir güvenlik stratejisi geliştirmek yerine yeni güvenlik yazılımlarına yada araç gereçlerine para yatırmaya devam ediyorlar. Bu yazımızda CHIP Online olarak sizlere en önemli adımları anlatacağız.

İş hayatında genellikle istenilen sadece: " İnternet ağımızı güvenli hale getirin". Ve bu görevi size veren yetkili kendisini hiç bir zaman kötü hissetmiyor; çünkü hatta sonuçta güvenlik yazılımları yada herşeyi yapabilen araç gereçler için ayrılmış bir bütçe bile mevcut. Bu küçük araçlar sadece ağın doğru noktalarına yerleştirilmeliler ve sonrasında zaten tüm problemleri otomatik olarak ortadan kaldırıyorlar - şeklinde söz veriyor tüm üretici firmalar.

Uzmanlar, yıllardır güvenli bir ağ için tekniğin tek başına yeterli olmadığını biliyorlar. Bu nedenle Almanya'nın bilgi sistemleri güvenlik bürosunun IT-Temel korumağkataloğunda ilk kısımda şöyle yazıyor: "Ölçülü bir IT- Güvenlik seviyesine ancak tüm tarafların planlı ve iyi organize edilmiş tutumu ile ulaşılabilir ve korunabilir".

Ancak kataloğun yaklaşık 3000 sayfasında anlatılanlar küçük yazılım firmaları için oldukça karmaşık. Özel kullanıcıların güvenli bir şekilde internette dolaşabilmeleri için olan bilgiler çoğu zaman küçük işletmeler için yeterli olamıyor. CHIP Online işte tam bu noktada güvenlikteki en önemli adımları göstermek için yardımınıza yetişiyor.

Otomatik İş-Ağı Kontrolü

Çok para harcamaya gerek yok: Loginventory servisleri, paylaşıma açık dosyaları ve aygıtları net bir şekilde listeler ve tüm bunları 20 istemciye kadar ücretsiz yapar.

Ağ Analizi
Analiz kelimesi kulağa sıkıcı gelse de kaçınılmaz bir zorunluluk. Çünkü ağlarında hangi servislerin, hangi araçların ve programların çalıştığını bilmeyenler güvenlik konusunda her zaman bir adım geç kalırlar. Oysa uygun Programlar sayesinde zamandan kazanabilirsiniz.

Doğu Almanya'da bir orta ölçekli kurumun bilişim çalışanları 2007 yılının sonlarında Firewall konfigurasyonu için son derece çok zaman harcamışlar. Tabi bu yüzden bu firmanın hemen tüm bilgisayarlarına bulaşan virüs karşısındaki şaşkınlık ta aynı ölçüde büyük olmuş. Sebep: Bir çalışanın, virüs taşıyan USB-Aygıtının önce kendi bilgisayarına ve sonra da ağ üzerinden diğer tüm bilgisayarlara bu virüsü yaymış olması. Sorumlular, dışarıdan ek olarak kullanılan aygıtları güvenlik çerçevesine dahil etmeyi unutmuşlardı.

Otomatik İş-Ağı Kontrolü
İyi ağ yöneticileri kendi iş ağlarında ne tür sistemlerin çalıştırıldığını bilirler. En iyi ağ yöneticileri ise bir adım daha ileri giderler ve düzenli olarak iş ağı analizleri yaparlar. Bu kontrol yılda iki defa "yapolacaklar listesinde" bulunmalıdır. Sıfırdan başlayanlar ve ağlarında yirmiden fazla farklı işletim sistemlerine ve donanımlara sahip bilgisayar bulunduranların otomatik envanter yapmaları zordur. Castelware Inventory gibi programlar sadece kurulmuş programları kontrol etmekle kalmayıp, aynı zamanda iş ağındaki aygıtların da bir listesini çıkarırlar. Dikkat: Tüm bu işlemler kompleks yapılara sahip ağlarda uzun zaman alabilirler - bir yazılımda karar kılmadan önce, olabildiğince çok test edin. Sadece az sayıda bilgisayar söz konusu olduğunda, ücretsiz yazılımlar da düşünülebilirler: Mesela Loginventory 20 istemciye kadar ücretsizdir.

Küçük ağlar için alternatifler

Temel yapılması gereken: PC Wizard gibi ücretsiz programlar sayesinde bilgisayarların ne tür donanımlara sahip olduğunu en ince detayına kadar öğrenebilirsiniz.

Beş bilgisayara kadar olan ağlar için analiz kelimenin tam anlamı ile çok kolay. Analiz sonuçları için basit bir Excel tablosu yeterli oluyor. Büronun içinde atacağınız bir tur sonucunda ilk bilgilere ulaşabilirsiniz: kaç adet bilgisayar var? Dosya sunucuları da iş ağına dahiller mi ? Kaç tane router var? Önemli olan aygıtların markalarına ve yazılımlarının versiyonlarına ait bilgiler. Ücretsiz Sandra Lite yada PC Wizard programları ile donanım bilgilerini elde edebilirsiniz. Denetim masası yardımı ile kurulmuş programları da öğrenmeniz mümkün.

Bilgi akışını çözmek

İş ağını kontrol etmek: Internete girmede yaşanan problemler, sorumlu router tarafından log-dosyasında listeleniyor.

Daha büyük ve geniş iş ağlarında ağdaki bilgi akışını en ince detaylarına kadar aydınlatan LAN-Analizcilerini kullanma zamanı. Wireshark & Co çok yararlı oyuncaklar. Routerlar ADSL Bağlantısı hakkındaki bilgileri de gösteriyorlar.

Zayıf noktaların bulunması
Eski yada yanlış konfigure edilmiş sistemler saldırganların amaçlarına ulaşabilecekleri noktalar olabilirler. Tüm bunlara meydan vermemek için
ağınızın zayıf noktalarını denetlemeniz gerekir.

Denetleyici olmadan önce firmanızda gerçekten neye ihtiyacınız olduğunuza karar vermeniz gerekir: Bulunan IT sistemlerin listesi ile gerekli olan sistemlerin listesinin aynı olduğu durumların sayısı çok azdır. Bu durumlarda çalışanları da işin içine katın.

<strong>İş ağını kontrol etmek:</strong> Internete girmede yaşanan problemler, sorumlu router tarafından log-dosyasında listeleniyor.Bunları yaptıktan sonra önem sırasını belirleyen bir liste hazırlayın: Bir kaynağın kurumunuz için öneminin ne olduğu sorusunu kendinize yöneltin. Finans danışmanları için bir borsa yazılımı son derece önemli iken bir yazıcı sunucusu yılda bir kaç saat boyunca çalışmama lüksüne sahip olabilir. Tamamen önemsiz sistemler ise hiç çalıştırılmamalıdırlar. Eskiden dosyaların değişimi için kullanılan bir FTP sunucusu artık Sharepoint kullanılarak ortadan kaldırılabilir.

Güvenlik kontrolünüzü kendiniz yapın

Güvenlik denetimi: Live CD BOSS ile program kurmadan güvenlik taraması yapılabiliyor.

Zayıf nokta denetimleri ile güvenlik ölçülerinizin yeterli olup olmadığını belirleyebilirsiniz. Ağ yöneticileri ücretsiz programlar sayesinde sistemlerini denetleyebilirler. Backtrack Security Suite hemen CD den kullanabileceğiniz bir çok güvenlik yazılımından oluşan bir paket sunuyor. Almanya'nın bilgi sistemleri güvenlik bürosunun da sunduğu BOSS adında bir Live-CD mevcut.

Profesyonel Güvenlik Denetimleri
Daha çok rahatına düşkün olanlar ve CD lerle uğraşmak istemeyenler de en azından Servisler üzerinde Internet taramaları yapabilirler. Gibson Research böyle ücretsiz bir tarama yapabileceğiniz programlardan. Daha derinlemesine yapılacak taramalar için mutlaka ücretli servislerden yararlanmalısınız, mesela Qualys. Çok karmaşık ağlar için ise bir güvenlik uzmanının yapacağı bir denetim en iyi seçim olacaktır.

Zayıf noktaların giderilmesi

Merkezi yönetim: Kaspersky'nin ağ yöneticisi paketi hem ücretsiz hemde ağdaki tüm virüs tarayıcılarını merkezi bir noktadan yönetiyor.

Bu noktada artık ağınız üzerindeki tüm bilgilere sahip olmuş olmanız gerekmektedir. Sadece bu sayede bulunan zayıf noktaların giderilmesi üzerinde çalışabilirsiniz.

Korkmayın, zayıf noktaların giderilmesi her zaman çok para harcamanız gerektiği anlamına gelmez. Çoğu zaman elinizdeki sistemi yeniden konfigure etmek yeterli olacaktır. Mesela virüs tarayıcılarını güncelleme: İstemci bilgisayarlarda virüs tarayıcıların yeterince hızlı güncellenmediği kanısındaysanız güncelleme periyodlarını değiştirmeniz gerekebilir. Alternatif olarak: yaklaşık beş istemciden itibaren merkezi bir ağ yöneticisi programı size yardımcı olacaktır.Mesela Kaspersky ürünleri için ağ yöneticisi paketi yada McAfee den ePolicy Orchestrator.

Güncellemeler
Güncellemeleri yüklemek: Büyük iş ağları için güncellemeler yazılım dağıtımı üzerinden otomatik olarak yapılmalı. Envanter sayımı için olan programlar genellikle bu dağıtıcı rolünü de üstlenirler. Örneğin Windows güncellemeleri: beş bilgisayara kadar olan ağlar için her bilgisayarın windows güncellemelerini kendi kendine yüklemesi savunulabilir bir görüş olsada, Windows sunucu programı kullananlar Windows Server Update Service'i ücretsiz olarak indirebilirler.

Kullanıcı haklarını belirlemek

Farklı kullanıcı hakları: Tüm çalışanların gelişmiş haklara sahip olmaları gerekmez- bu kural küçük iş ağları için de geçerli.

Genellikle küçük iş ağlarında her kullanıcı her hakka sahiptir.Aslında bu durum oldukça rahattır; çünkü sonrasında kullanılan programlarda kullanıcılar sorun yaşamazlar.Ancak bu durum güvenlik açısından risk taşır.Mesela projenin araştırma kısmında aktif olan bir stajyerin interneti kullanması gerekir ancak proje de kullanılacak yazılımı yüklemesi şart değildir. Sınırlı kullanıcı hakları belirlemek bu gibi durumlarda idealdir.

Haklara göre kuralların belirlenmesi

Güvenli şifre için zorlayıcı kurallar.

Serbest meslek büronuzda en yüksek güvenlik kalitesine sahip olmanız gerekmez. Ama yine de bilgisayarların temel güvenliği sağlanmalıdır. Mesela gruplar için şifrenin uzunluğunu bir kurala bağlayabilirsiniz. Bunu için yapmanız gereken gpedit.msc komutunu kullanarak grup talimatnamesi editörü açmak. (öncesinde Başlat / çalıştır tıklayın.) Bilgisayar kongfigurasyonunda Windows ayarlarını açın ve oradan güvenlik seçeneklerine gidin. Burada hesap kuralları hakkında herşeyi ayarlayabilirsiniz.

Bu şekilde en kısa şifre uzunluğunu 8 yapabilirsiniz. Ayrıca "şifre şifre koşullarını sağlamalı" noktasını da aktif hale getirin. Böylece bellirli bir hedef dahilinde kurallar belirleyebilirsiniz, mesela şifreler küçük/büyük harflerden oluşmak zorunda gibi.

Uyarma sistemlerini kurmak

Kolay çözüm: İstemci bilgisayarlarının yedeklenmesi için sadece windows fonksiyonlarını kullanmak yeterli olacaktır.

Tebrikler, iş ağınızı güvenli hale getirdiniz. Ancak arkanıza yaslanmak için henüz erken. Şimdi, ağınızın gelecekte de su geçirmez bir yapıya sahip olmasını sağlamak zorundasınız.

Elinizi vicdanınıza koyun: Üç bilgisayar ile bir internet hesabını paylaşanlar ve tek bir sunucu dahi kullanmayanlar iş ağı takipkten vazgeçebilirler. Sebep: Genellikle iş ağınızda meydana gelen hatalı bulmanız için sizi sms ile önceden uyaran bir yazılıma ihtiyacınız kalmaz. Ne zaman ki bir internet alış veriş merkezi üzerinden para kazanmak zorundasınız, işte o zaman işler değişir.

Ancak dikkat: Sadece küçük iş yerlerinin iş ağı takip yazılımına ihtiyaç duymamaları onların tamamen güvenli kalacakları anlamına gelmez. Önemli dosya ve klasörleri yedekleme işlemi bu noktadaki en büyük zorunluluktur ve hatta yedeklemeyi birden çok defa yapmak gerekir. Böylece firma içinde düzenli bir yedekleme yaparak bir hata durumunda hızla eski çalışan durumunuza dönebilirsiniz. Diğer yandan firma dışında yapılacak yedeklemeler de daima hazırda bulunmalıdırlar.

<strong>Kolay çözüm:</strong> İstemci bilgisayarlarının yedeklenmesi için sadece windows fonksiyonlarını kullanmak yeterli olacaktır.Küçük işletmelerden orta ölçekli kurumlara geçtiğimiz anda manzara tamamen farklılaşıyor. İş ağları sürekli bir değişim içerisinde. Yeni aygıtlar ekleniyor, ilave yazılımlar kuruluyor, yeni kullanıcı hesapları oluşturuluyor ve siliniyor. Takip yazılımları sayesinde herşeyi kontrol altında tutabiliyorsunuz. Çalışanlar erişilebilirler mi ,Webserver'lar çalışıyorlar mı, VPN bağlantıları sınırları aşıyorlar mı? Bu alandaki ücretli çözümler Microsoft System Center Operations Manager, IBM Tivoli yada HP Openview.

Microsoft-Çözümü

Tam isteklerinize uygun takip: Management Packs(Resimde oracle için) Microsoft'un operasyon yöneticilerini geliştiriyorlar.

Tamamen Windows ortamına sahip bir çok firmanın ilk tercihi System Center Operations Manager 2007. Management Packs adı verilen yazılımlar büyük bir avantaja sahip. Bunlar sayesinde ağınızı hedefinize uygun şekilde takip edebiliyorsunuz. Ancak bu Management Packs sadece Windows' özel bir şey değil, örneğin Oracle ve SAP gibi programları da düşünülmüş.

Ücretsiz alternatifler
Açık kaynak olarak da oldukça başarılı takip yazılımları bulmak mümkün. En çok kullanılan ve tavsiye edilen isim Nagios((). Bu yazılımı kullanabilmek için sisteminizde Linux kurulu olması gerekiyor. Bunun için ayrıca bir bilgisayara gerek yok sanal bir makine tamamen yeterli oluyor. Bir çok modülden oluşan Nagios ile web arayüzlerini rahatça kotrol edebiliyorsunuz. Bir sunucuya erişilememesi halinde Nagios tarafından ağ yöneticisine bir mesaj yollanıyor.

Okuyucu Yorumları

Toplam 5 Yorum

ben mac filitreleme yaptım ayrıca kendim bakıp giriyorum ağa giren var mı diye ayrıca modem indexede şifre koyduk mu tamamdır :D

saçma.. hiçbir virüs çalıştırılmadıkça bulaşmaz.. (daha 2. sayfadayım) usb cihazındaki virüs sadece (o da autorun'da olduğu için) kurulduğu bilgisayara bulaşır..

Okumaya devam ediyorum başka ne saçmalıklar (bilgisayar virüsünün cinsel ilişki ile bulaştığını sanan hurafeler) göreceğim bakalım..

Altıncı sayfadayım.. Eğer sisteminiz stabil ve çökme yaşamıyorsa yapacağınız her türlü windows güncellemesi sisteminizi hantallaştıracak ve yeni makineler peşinden vista derdine düşmenize sebep verecektir.. Ben stabil sistemlerde windows güncellemelerini asla önermiyorum... (tecrübe ile sabittir)

güvenlik işi bu kadar saçma değil kullanıcılar her zaman hata yapar iT'cinin görevi bunları engellemek.Performans için güvenlikten ödün verilemez virüs de performansı düşürür.

İnternette kablosuz ağların WEP şifresini kıran program yüklü linux
sürümleri dolaşıyor . Herkes dikkat etsin , WPA şifreleme kullanın .

Sen de yorum yaz

 


CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir