Kurumsal Altyapılar için Network Security Baseline

Kurumsal ağdalardaki her bir cihazın ve bizatihi ağın kendisinin güvenilir ve geliştirilebilir bir standart bağlamında yönetilmesi elzemdir. Özellikle banka, internet/iletişim operatörü, holding ve benzeri altyapılar için ihtiyaçlara göre şekillenmiş bir ağ güvenliği referans dayanığına yani bir network security baseline modeline ihtiyaç vardır.

Bu yazımızda kendi kurumsal mimarinize göre şekillendirebileceğiniz bir network security baseline sunacağız.

 

Cihaz Yönetimi (Device Management)

  • Kuruluş kimlik denetimine ihtiyaç duymuyor ise HTTP servisi ile cihaz yönetimi kapatılmalıdır.
  • Eğer HTTP servisi ile cihaz yönetimi gerekiyor ise  HTTPS servisi kullanılmalıdır.
  • Komut satırı erişimi için telnet kapatılmalıdır.
  • Komut satırı erişimi için SSHv2 açılmalıdır.
  • Eğer mümkün ise komut satırı erişimi sadece yönetim ağında ya da ağa dahil olmayan bir port üzerinde kullanılmalıdır.
  • Cihazlarda özellikle dosya operasyonları için SCP kapatılmalıdır.
  • Kuruluşun yönetim araçları tarafından desteklemesi durumunda SNMPv3 ile kısıtlı erişim açılmalıdır.
  • İhtiyaç halinde SNMPv2c ile kısıtlı erişim açılmalıdır.
  • CLI ve web erişim için sadece yönetim network’üne izin verilmelidir.
  • SNMPv2c ile kısıtlı erişim verilen yönetimsel uygulmaların desteklemesi gerekmektedir.

 

Cihaz Yönetimi için Kimlik Denetimi (Authentication Control for Device Management)

  • Gizlilik için kullanılan parollarda güçlü şifreleme algoritmaları kullanılmalıdır.
  • Merkezi doğrulama sunucuları kullanılmalıdır (TACACS).
  • Local parola kullanımı yalnızca merkezi doğrulama sistemine erişim olmaması durumunda sağlanmalıdır.
  • Cihaz ve kullanıcıların re-authentication denetlemeleri düzgün aralıklarla olmalıdır.

 

Cihaz Denetleme Yeteneği (Device Audit Capability)

  • Mevcut logların doğru bir şekilde yapılandırılması için ağ cihazlarında güvenli bir saat yapılandırılması gerekmektedir.
  • Arşiv log mesajlarının harici syslog sunucusuna atılması gerekmektedir.

 

LAN Access Layer

  • MAC tablosunun güvenliği için switch’lerde port security’nin devreye alınması gerekmektedir.
  • Sahte DHCP servislerine karşı güvence sağlamak için DHCP Snooping devreye alınması gerekmektedir.
  • Geçerli trafiği kullanmak için ARP adreslerinin limitlenmesi amacı ile Dynamic ARP Inspection devreye alınması gerekmektedir.
  • Kullanıcı IP adreslerini korumak için IP Source Guard devreye alınmalıdır.
  • Network kullanılabilirliği amacı ile spanning-tree Bridge Protocol Data Unit (BPDU) devreye alınması gerekmektedir.

 

Layer3 LAN ve Routed WAN

  • Varsayılan pasif arayüzün ayarlanması ile kullanılan komşu router kontrolü yapılması gerekmektedir.
  • Bütün routing neighbors için kimlik doğrulama yapılması gerekmektedir.

 

Multicast Routing Protocol

  • LAN ve WAN’da kullanılan multicast routing protokolünün güvenceye alınması önerilir.
  • Rogue multicast trafiğinin kaynağına karşı önlem alınması gerekmektedir.
  • Hem static rendezvous point (RP) hem de auto-RP configuration karşı koruma kontrolleri sağlanmalıdır.

 

İşletim Sistemleri (Operating System)

  • Kullanılan bütün cihaz ve sistemlere ait işletim sistemleri güncel, stabil ve yamalı halllerde kullanılmalıdır.

 

Yazılım Yükleme ve Kurulum (Software Installation)

  • Network ürünleri yükleme sırasında korunmalıdır.
  • Her türlü yazılım, kaynağının doğruluğu sağlandıktan sonra yüklenmelidir.

 

Yedekleme ve Kurtarma (Backup and Recovery)

  • Rutin  yedekleme sistemi kurulmalıdır.
  • Sistem reboot ya da elektrik kesintisinde etkilenmeyecek şekilde yapılandırılmalıdır.
  • Kurtarma prosedürü dökümanı ve testleri olmalıdır.

 

Kullanıcı Ayrıcalıkları ve Parolaları (User Privileges and Passwords)

  • Kullanıcılar sisteme AAA sunucusu (authentication, authorization, and accounting) ile entegre olmalıdır.
  • Kullanıcılara bireysel hesap tahsis edilmelidir.
  • Kullanıcı hesapları, en asgari ayrıcalıklar atanmış ve sadece operasyonel ihtiyaçlar doğrultusunda kullanılabilecek şekilde ayarlanmalıdır.
  • Ayrıcalıklı kullanıcıların miktarı en az sayıda tutulmalıdır.
  • Kullanıcılar idle-time sonrası yeniden kimlik doğrulama yapmak zorunda olmalıdır.
  • Ağ cihazları üzerinde saklanan bütün şifreler encrypted olmalıdır.
  • Ağ üzerinde şifreler unencrypted gönderilmemelidir.
  • Şifrelerin gücü/sağlamlığı kurum politikasına göre oluşturulmalıdır.
  • Default şifreler periyodik olarak değiştirilmelidir.
  • Ayrıcalıklı hesap güvenliği sistemleri kullanılmalıdır. Bakınız Kurumsal Ağlarda Ayrıcalıklı Hesap Güvenliği için.

 

Konsol Erişim (Console Access)

  • Konsol ile erişimlerde kullanıcı adı ve parola timeout ile güvence altına alımalıdır.

 

Kullanılmayan Arayüzler (Unused Interfaces)

  • Kullanılmayan interface’ler devre dışı yada kilitli olmalı.

 

Uyarı Banner’ları (Warning Banners)

  • Uyarı banner’ları tüm ağ cihazlarında olması gerekmektedir.

 

Gereksiz Servisler (Unnecessary Services)

  • İhtiyaç dışı olan bütün servisler network cihazlarında kapatılmalıdır. Bunlar kurumsal altyapıya bağlı olarak değişebilir. Örneğin, CDP, LLDP, TCP and UDP small-servers, Finger, IP BOOTP server, Identification service, HTTP-/HTTPS server, TFTP, Telnet, Domain name lookup, SNMP, ICMP, ICMP, DHCP, PAD ve Packet Assembler/Disassemble gibi.
  • TCP keep-alive etkinleştirilmelidir.

 

Zaman Senkronizasyonu (Time Synchronization)

  • Cihazlarda saat-zaman sistemi senkronize edilmelidir.
  • En az 3 güvenilir zaman kaynağı olmalıdır.

 

SNMP

  • SNMP yeni versiyonu uygulanmalıdır.
  • Tüm SNMP erişimleri ACL ile filtrelenmeli ve yönetim sistemleri ile sınırlı olmalı yada yetkili bölgelere doğru olmalıdır.
  • Sadece read-only erişimler olmalıdır.
  • Community string’ler rastgele oluşturulmalı ya da kolay tahmin edilmemelidir.
  • Şifrelerin gücü/sağlamlığı kurum politikasına göre oluşturulmalıdır.
  • SNMP kimlik doğrulaması ve paketleri şifeli olmalıdır.

 

Erişim Listeleri (Access Lists)

  • ACL’ler ile yetkisiz erişimler ve gereksiz trafik engellemelidir.

 

Logging

  • Tüm ağ cihazlarında logging açılmalıdır.
  • Loglar atanmış kaynaklara gönderilmelidir.
  • Debug ve log mesajların zaman damgaları olacak şekilde yapılandırılmalıdır.
  • Arabellek logging yapılandırılmalıdır.
  • Event’larda performans sorunları ve işlev bozukluklarını kaydetmelidir.

 

Konfigürasyon Durumu ve Aktiviteler (Configuration State and Activity)

  • Sistem başlangıç ve sonlandırma, hesap oturum açma ve kapatma, oturum açma hataları, yerel hesap değiştirme ve atanan ayrıcalıkların değiştirilmesi, yazılım ve yapılandırma değişikliği, ağ ve interface durum değişikliği, cihazlara data import ve export edilme gibi tüm durum ve aktiviteler izlenmelidir.
  • Filtreler kullanılarak engeller oluşturulmalıdır (Access denied/drop).

 

Native VLAN

  • VLAN 1 kullanılmamalıdır.

 

Dynamic Trunking Protocol

  • Dynamic trunking kapalı olmalı yada negotiate kapanmalıdır.
  • Auto trunking kullanılmamalıdır.

 

VLAN Trunking Protocol

  • Advertised VLAN yapılandırılması ve otomatik synchronization kapalı olmalı ya da yok sayılmalıdır.

 

Dynamic ARP Inspection

  • ARP poisoning fonksiyonların uygulanmalı

 

Dynamic Port Access Control Lists

  • Dynamic port access control list kullanılmalıdır.

 

Limiting MAC Addresses Per Port

  • MAC erişiminin 1 adet olacak şekilde sınırlanması gerekmektedir.

 

Avoiding Loops

  • Network döngülerini önlemek için işlevsel özellikler uygulanmalıdır.

 

ROUTER ÖZELİNDE YAPILMASI GEREKENLER

Address Filtering

  • Address filtreleme ile akış kontrol politikası saptamalıdır.
  • Filitreleme ile cihazlara izinsiz erişim engellenmelidir.

 

IP Fragments

  • IP fragments ACL ile droplanmaktadır.

 

IP Options

  • IP seçenekleri içeren paketler ACL ile droplanmalıdır.

 

ICMP

  • ICMP mesajlarının önce dikkatli kullanıldığı kabul edilmelidir.
  • ICMP unreachable kapatılmalıdır.
  • ICMP redirects kapatılmalıdır.

 

IP Mask Reply

  • IP mask reply kapatılmalıdır.

 

Traceroute

  • Gelen traceroute devre dışı bırakılmalıdır.

 

IP Source Routing

  • Source routing kapatılmalıdır.

 

IP Proxy ARP

  • IP proxy ARP bütün interface’lerde kapatılmalıdır.

 

First Hop Redundancy

  • Varsayılan ağ geçidine failover ulaşmak için ağ yönlendiricileri arasında bir çerçeve (framework) kurulmalıdır.
  • FHRP mesajları filitrelenmeli ve doğrulanmalıdır.

 

Tunnel Interfaces

Tunnel interface’ler kendi yönlendirme durumunda sona ermeli ve ACL ile sınırlandırılmalıdır.

 

Yılların ağ yönetimi deneyimine göre ortaya çıkmış ve oluşturulmuş olan bu referansa ek olarak CISCO’nun detaylı network security baseline kitabından da yararlabilirsiniz.

One thought on “Kurumsal Altyapılar için Network Security Baseline

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir