Kurumsal ağdalardaki her bir cihazın ve bizatihi ağın kendisinin güvenilir ve geliştirilebilir bir standart bağlamında yönetilmesi elzemdir. Özellikle banka, internet/iletişim operatörü, holding ve benzeri altyapılar için ihtiyaçlara göre şekillenmiş bir ağ güvenliği referans dayanığına yani bir network security baseline modeline ihtiyaç vardır.

Bu yazımızda kendi kurumsal mimarinize göre şekillendirebileceğiniz bir network security baseline sunacağız.

 

Cihaz Yönetimi (Device Management)

• KuruluÅŸ kimlik denetimine ihtiyaç duymuyor ise HTTP servisi ile cihaz yönetimi kapatılmalıdır.
• EÄŸer HTTP servisi ile cihaz yönetimi gerekiyor ise  HTTPS servisi kullanılmalıdır.
• Komut satırı eriÅŸimi için telnet kapatılmalıdır.
• Komut satırı eriÅŸimi için SSHv2 açılmalıdır.
• EÄŸer mümkün ise komut satırı eriÅŸimi sadece yönetim ağında ya da aÄŸa dahil olmayan bir port üzerinde kullanılmalıdır.
• Cihazlarda özellikle dosya operasyonları için SCP kapatılmalıdır.
• KuruluÅŸun yönetim araçları tarafından desteklemesi durumunda SNMPv3 ile kısıtlı eriÅŸim açılmalıdır.
• Ä°htiyaç halinde SNMPv2c ile kısıtlı eriÅŸim açılmalıdır.
• CLI ve web eriÅŸim için sadece yönetim network’üne izin verilmelidir.
• SNMPv2c ile kısıtlı eriÅŸim verilen yönetimsel uygulmaların desteklemesi gerekmektedir.

 

Cihaz Yönetimi için Kimlik Denetimi (Authentication Control for Device Management)

• Gizlilik için kullanılan parollarda güçlü ÅŸifreleme algoritmaları kullanılmalıdır.
• Merkezi doÄŸrulama sunucuları kullanılmalıdır (TACACS).
• Local parola kullanımı yalnızca merkezi doÄŸrulama sistemine eriÅŸim olmaması durumunda saÄŸlanmalıdır.
• Cihaz ve kullanıcıların re-authentication denetlemeleri düzgün aralıklarla olmalıdır.

 

Cihaz Denetleme YeteneÄŸi (Device Audit Capability)

• Mevcut logların doÄŸru bir ÅŸekilde yapılandırılması için aÄŸ cihazlarında güvenli bir saat yapılandırılması gerekmektedir.
• ArÅŸiv log mesajlarının harici syslog sunucusuna atılması gerekmektedir.

 

LAN Access Layer

• MAC tablosunun güvenliÄŸi için switch’lerde port security’nin devreye alınması gerekmektedir.
• Sahte DHCP servislerine karşı güvence saÄŸlamak için DHCP Snooping devreye alınması gerekmektedir.
• Geçerli trafiÄŸi kullanmak için ARP adreslerinin limitlenmesi amacı ile Dynamic ARP Inspection devreye alınması gerekmektedir.
• Kullanıcı IP adreslerini korumak için IP Source Guard devreye alınmalıdır.
• Network kullanılabilirliÄŸi amacı ile spanning-tree Bridge Protocol Data Unit (BPDU) devreye alınması gerekmektedir.

 

Layer3 LAN ve Routed WAN

• Varsayılan pasif arayüzün ayarlanması ile kullanılan komÅŸu router kontrolü yapılması gerekmektedir.
• Bütün routing neighbors için kimlik doÄŸrulama yapılması gerekmektedir.

 

Multicast Routing Protocol

• LAN ve WAN’da kullanılan multicast routing protokolünün güvenceye alınması önerilir.
• Rogue multicast trafiÄŸinin kaynağına karşı önlem alınması gerekmektedir.
• Hem static rendezvous point (RP) hem de auto-RP configuration karşı koruma kontrolleri saÄŸlanmalıdır.

 

Ä°ÅŸletim Sistemleri (Operating System)

• Kullanılan bütün cihaz ve sistemlere ait iÅŸletim sistemleri güncel, stabil ve yamalı halllerde kullanılmalıdır.

 

Yazılım Yükleme ve Kurulum (Software Installation)

• Network ürünleri yükleme sırasında korunmalıdır.
• Her türlü yazılım, kaynağının doÄŸruluÄŸu saÄŸlandıktan sonra yüklenmelidir.

 

Yedekleme ve Kurtarma (Backup and Recovery)

• Rutin  yedekleme sistemi kurulmalıdır.
• Sistem reboot ya da elektrik kesintisinde etkilenmeyecek ÅŸekilde yapılandırılmalıdır.
• Kurtarma prosedürü dökümanı ve testleri olmalıdır.

 

Kullanıcı Ayrıcalıkları ve Parolaları (User Privileges and Passwords)

• Kullanıcılar sisteme AAA sunucusu (authentication, authorization, and accounting) ile entegre olmalıdır.
• Kullanıcılara bireysel hesap tahsis edilmelidir.
• Kullanıcı hesapları, en asgari ayrıcalıklar atanmış ve sadece operasyonel ihtiyaçlar doÄŸrultusunda kullanılabilecek ÅŸekilde ayarlanmalıdır.
• Ayrıcalıklı kullanıcıların miktarı en az sayıda tutulmalıdır.
• Kullanıcılar idle-time sonrası yeniden kimlik doÄŸrulama yapmak zorunda olmalıdır.
• AÄŸ cihazları üzerinde saklanan bütün ÅŸifreler encrypted olmalıdır.
• AÄŸ üzerinde ÅŸifreler unencrypted gönderilmemelidir.
• Åžifrelerin gücü/saÄŸlamlığı kurum politikasına göre oluÅŸturulmalıdır.
• Default ÅŸifreler periyodik olarak deÄŸiÅŸtirilmelidir.
• Ayrıcalıklı hesap güvenliÄŸi sistemleri kullanılmalıdır. Bakınız Kurumsal AÄŸlarda Ayrıcalıklı Hesap GüvenliÄŸi için.

 

Konsol EriÅŸim (Console Access)

• Konsol ile eriÅŸimlerde kullanıcı adı ve parola timeout ile güvence altına alımalıdır.

 

Kullanılmayan Arayüzler (Unused Interfaces)

• Kullanılmayan interface’ler devre dışı yada kilitli olmalı.

 

Uyarı Banner’ları (Warning Banners)

• Uyarı banner’ları tüm aÄŸ cihazlarında olması gerekmektedir.

 

Gereksiz Servisler (Unnecessary Services)

• Ä°htiyaç dışı olan bütün servisler network cihazlarında kapatılmalıdır. Bunlar kurumsal altyapıya baÄŸlı olarak deÄŸiÅŸebilir. ÖrneÄŸin, CDP, LLDP, TCP and UDP small-servers, Finger, IP BOOTP server, Identification service, HTTP-/HTTPS server, TFTP, Telnet, Domain name lookup, SNMP, ICMP, ICMP, DHCP, PAD ve Packet Assembler/Disassemble gibi.
• TCP keep-alive etkinleÅŸtirilmelidir.

 

Zaman Senkronizasyonu (Time Synchronization)

• Cihazlarda saat-zaman sistemi senkronize edilmelidir.
• En az 3 güvenilir zaman kaynağı olmalıdır.

 

SNMP

• SNMP yeni versiyonu uygulanmalıdır.
• Tüm SNMP eriÅŸimleri ACL ile filtrelenmeli ve yönetim sistemleri ile sınırlı olmalı yada yetkili bölgelere doÄŸru olmalıdır.
• Sadece read-only eriÅŸimler olmalıdır.
• Community string’ler rastgele oluÅŸturulmalı ya da kolay tahmin edilmemelidir.
• Åžifrelerin gücü/saÄŸlamlığı kurum politikasına göre oluÅŸturulmalıdır.
• SNMP kimlik doÄŸrulaması ve paketleri ÅŸifeli olmalıdır.

 

EriÅŸim Listeleri (Access Lists)

• ACL’ler ile yetkisiz eriÅŸimler ve gereksiz trafik engellemelidir.

 

Logging

• Tüm aÄŸ cihazlarında logging açılmalıdır.
• Loglar atanmış kaynaklara gönderilmelidir.
• Debug ve log mesajların zaman damgaları olacak ÅŸekilde yapılandırılmalıdır.
• Arabellek logging yapılandırılmalıdır.
• Event’larda performans sorunları ve iÅŸlev bozukluklarını kaydetmelidir.

 

Konfigürasyon Durumu ve Aktiviteler (Configuration State and Activity)

• Sistem baÅŸlangıç ve sonlandırma, hesap oturum açma ve kapatma, oturum açma hataları, yerel hesap deÄŸiÅŸtirme ve atanan ayrıcalıkların deÄŸiÅŸtirilmesi, yazılım ve yapılandırma deÄŸiÅŸikliÄŸi, aÄŸ ve interface durum deÄŸiÅŸikliÄŸi, cihazlara data import ve export edilme gibi tüm durum ve aktiviteler izlenmelidir.
• Filtreler kullanılarak engeller oluÅŸturulmalıdır (Access denied/drop).

 

Native VLAN

• VLAN 1 kullanılmamalıdır.

 

Dynamic Trunking Protocol

• Dynamic trunking kapalı olmalı yada negotiate kapanmalıdır.
• Auto trunking kullanılmamalıdır.

 

VLAN Trunking Protocol

• Advertised VLAN yapılandırılması ve otomatik synchronization kapalı olmalı ya da yok sayılmalıdır.

 

Dynamic ARP Inspection

• ARP poisoning fonksiyonların uygulanmalı

 

Dynamic Port Access Control Lists

• Dynamic port access control list kullanılmalıdır.

 

Limiting MAC Addresses Per Port

• MAC eriÅŸiminin 1 adet olacak ÅŸekilde sınırlanması gerekmektedir.

 

Avoiding Loops

• Network döngülerini önlemek için iÅŸlevsel özellikler uygulanmalıdır.

 

ROUTER ÖZELİNDE YAPILMASI GEREKENLER

Address Filtering

• Address filtreleme ile akış kontrol politikası saptamalıdır.
• Filitreleme ile cihazlara izinsiz eriÅŸim engellenmelidir.

 

IP Fragments

• IP fragments ACL ile droplanmaktadır.

 

IP Options

• IP seçenekleri içeren paketler ACL ile droplanmalıdır.

 

ICMP

• ICMP mesajlarının önce dikkatli kullanıldığı kabul edilmelidir.
• ICMP unreachable kapatılmalıdır.
• ICMP redirects kapatılmalıdır.

 

IP Mask Reply

• IP mask reply kapatılmalıdır.

 

Traceroute

• Gelen traceroute devre dışı bırakılmalıdır.

 

IP Source Routing

• Source routing kapatılmalıdır.

 

IP Proxy ARP

• IP proxy ARP bütün interface’lerde kapatılmalıdır.

 

First Hop Redundancy

• Varsayılan aÄŸ geçidine failover ulaÅŸmak için aÄŸ yönlendiricileri arasında bir çerçeve (framework) kurulmalıdır.
• FHRP mesajları filitrelenmeli ve doÄŸrulanmalıdır.

 

Tunnel Interfaces

Tunnel interface’ler kendi yönlendirme durumunda sona ermeli ve ACL ile sınırlandırılmalıdır.

 

Yılların aÄŸ yönetimi deneyimine göre ortaya çıkmış ve oluÅŸturulmuÅŸ olan bu referansa ek olarak CISCO’nun detaylı network security baseline kitabından da yararlabilirsiniz.