Konu: Ağ güvenliği
Tekil Mesaj gösterimi
Alt 01 Mart 2006, 07:02   #2
Çevrimdışı
hitman
Kullanıcıların profil bilgileri misafirlere kapatılmıştır.
IF Ticaret Sayısı: (0)
IF Ticaret Yüzdesi:(%)



SEÇİM SIRASINDA DİKKATE ALINMASI GEREKENLER
Güvenlik duvarı çözümünde kullanılacak ürünleri (yazılım veya donanım) seçerken dikkat edilmesi gereken hususlar aşağıda sıralanmıştır:
• Güvenlik Alanında Deneyim
• Verilecek Servisler
• Performans
• Ölçeklenebilirlik
• Kullanım ve Konfigürasyon Kolaylığı
• Maliyet
• Teknik Destek
Güvenlik Alanında Deneyim:
Ürünü geliştiren firmanın veya güvenlik çözümünü sunan firmanın ne kadar süredir bu konuyla uğraştığı ve bu konudaki deneyimi önemli bir kriter olarak karşımıza çıkmaktadır. Bu ürünün hangi kurumlarda kullanıldığı (bu gizli tutulması istenebilir) veya kaç değişik kurumda kullanıldığı da önemlidir.
Verilecek Servisler:
Verilecek servisler ve dikkat edilmesi gerekenler aşağıdaki gibidir:
• Saldırı engelleme: Ürünün hangi saldırıları nasıl engellediği de seçim aşamasında önemli bir kriter olarak karşımıza çıkmaktadır.
• Dinamik (Stateful) Filtreleme: Dinamik filtrelemede takip edilen verinin zenginliği ve ne kadar detaylı incelendiği güvenlik seviyesini belirlemektedir. Birçok firma dinamik filtrelemeyi uyguladığını iddia etmektedir ama bütün uygulamalar öne sürüldüğü kadar dinamik ve güvenli değildir. Detaylı bilgi için bakınız [9].
• DMZ: DMZ uygulamasında bu ağ için ayrı bir ağ arabirimi (bacak) gerekecektir.
• VPN: Birim zamanda yapılacak VPN bağlantı sayısı alınan cihazda desteklenip desteklenmediği kontrol edilmelidir. VPN ile bağlantıların çok olacağı ağlarda, ürünün VPN için kullanıcı sayısına göre ek ücret talep edip etmediği kontrol edilmeldir. Ayrıca VPN şifreleme kullandığından makinaya eksta yük getireceği de unutulmamalıdır.
• NAT uygulaması: NAT uygulamasının özellikle büyük ağlarda makinayı oldukça yoracağı düşünüldüğünde, NAT işlevini yürütmek için ayrı bir sunucu ayırmak daha iyi olabilecektir.
• Üçüncü parti (Third party) Yazılımlarla İletişim: Anti-virüs veya içerik filtreleme gibi servisleri sunan cihazlarla iletişimin nasıl sağlandığı, hangi protokolün kullanıldığı (CVP veya benzerleri) ve işleyişindeki performans incelenmelidir.
• Saldırı Tespit Sistemleri(IDS): Saldırı tespiti sistemi, güvenlik duvarı cihazından ayrı bir cihazda çalışabilir. Ayrı bir sistem olarak çalıştığında iki çözümün entegre çalışabiliyor olması önemli bir tercih nedeni olmalıdır. IDS’de sistem yöneticisini saldırılardan haberdar etmek için kullanılan alarm yöntemleri ve alarm durumları ayarlanabiliyor olmalıdır.
• Log tutma ve raporlama: Güvenlik duvarının, kayıtların analizini sağlayacak ve gereksiz kayıtları temizleyerek daha öz sonuçlar sunacak servisler sunup sunmadığı araştırılmalıdır.
Performans:
Güvenlik duvarı, kullanıcıların ağ üzerindeki iletişimini mümkün olduğunca az yavaşlatmalıdır. Bunun için sistemin hızlı çalışıyor olması gerekmektedir.
Çözümün uygulanacağı ağda ne kadar reel veri akışı (throughput) olacağı, birim zamanda kaç kullanıcının internete çıkacağı ve kaç bağlantının (connection) oluşacağı hesaplanmalı veya tahmin edilmelidir. Bağlantı sayısı kullanılan programlara göre değişmektedir. Örneğin icq, imesh gibi programların birden fazla bağlantı kurduğu unutulmamalıdır. Güvenlik duvarında yazılacak kurallar ve verilen servisler arttıkça gereken işlemci gücü artacaktır. Aynı zamanda sisteme olacak bağlantı sayısı da hem işlemci hem de bellek harcayacaktır. Bu hizmetleri karşılayabilecek işlemciye ve belleğe sahip çözümlere gidilmelidir.
Her geçen gün kurumların bandgenişliği büyüklüğü artmaktadır. Aslında performans azalmasına yol açan faktörün, güvenlik duvarı üzerinden geçen trafikten çok, bağlantıların durum tablolarının yönetimidir. B Sınıfı adresi büyüklüğünde (65,535 ayrı IP adresi) bir yükün güvenlik duvarının çökmesine yol açabileceği gözlenmiştir [10].
Eğer işletim sistemi üzerinde çalışan bir çözüme gidilecekse; Sistem güçlü bir sunucu (server) üzerinde çalışmalı, mümkünse bu cihazın bir yedeği bulunmalıdır. Büyük bir kampüs ağı (>1000 bilgisayar) düşünüldüğünde en az iki işlemcili ve 2 Gigabyte belleğe sahip sunucu mimarisinde bir cihaz seçilmesi önümüzdeki birkaç sene için temel servislerin sunulmasını sağlayabilecektir. Bu cihazın yedeklemeli (redundant) birimleri olması sistemin daha güvenilir çalışmasını sağlayacaktır. Bu cihaz enerjiyi kesintisiz güç kaynağından (UPS) almalı, mümkün olduğu kadar bu cihaza fiziksel erişim kısıtlanmalıdır.
Ölçeklenebilirlik:
Artan ihtiyaçlar da göz önünde bulundurularak, sistemin bir kaç senelik plan içinde yeni koşullara ayak uydurabilmesi için genişletilebilirlik özelliklerini destekleyip desteklemediği de incelenmelidir.
Kullanım ve Konfigürasyon Kolaylığı:
Grafik arabirimlerle kuralların ve kuralların uygulanacağı objelerin tanımlanmasının kolaylığı, yapılacak işin daha hızlı olmasını sağlayacağından bir tercih konusu olabilmektedir.
Maliyet:
Çözüm için ister ticari bir ürün kullanılsın, isterse açık sistemler (open systems) kullanılsın kuruma bir maliyeti olacaktır. Maliyet her zaman tercih durumunda önemli bir kriterdir. Burada eldeki bütçenin alabileceği en iyi sistemin kurulması söz konusudur. Konulacak sistemin sadece bugünü kurtarması hedeflenmemeli, birkaç yıllık ağın genişleme durumu da dikkate alınarak buna göre bir seçim gerçekleştirilmelidir. Sahip olma maliyeti (cost of ownership) de dikkate alınmalı ve uzun vadede bu ürünün yıllık yenilemeleri, yama (patch) ücretleri de planlanmalıdır. Teknik destek ücreti de hesaba katılmalıdır.
Daha yüksek fiyatlar her zaman daha iyi güvenlik anlamına gelmemektedir. Kurum değer/maliyet analizi yaparken sağlıklı bir şüphecilik içinde olmalı ve ürünün hangi özelliği nedeniyle daha pahalı olduğunu firmadan öğrenmelidir [4].
Teknik Destek:
Güvenlik duvarı endüstrisi uzmanı olan Marcus Ranum’un da belirttiği gibi ticari bir güvenlik duvarı almanın en önemli nedenlerinden biri firmadan destek alabilmektir [4]. Bazı firmalar bu tür çözümlerin kurulumu, bakımı, eğitimi ve danışmanlık hizmetlerini de sunmaktadırlar. Bu tür hizmetlerin hangilerinin yapılan anlaşmada olduğuna dikkat edilmelidir. Terfi ve yama (patch) uygulamalarının nasıl sağlanacağı ve ne tür bir teknik desteğin ne kadar ücretle temin edilebileceği mutlaka incelenmelidir. Yazılımsal veya donanımsal ne tür garantilerin olduğu mutlaka belirlenmelidir. Hizmet alınan firmanın bu çözümü ne kadar süredir sunduğu, kaç firmaya bu hizmeti verdiği öğrenilmelidir. Firmanın tam gün çalışan kaç tane destek mühendisine sahip olduğu, bu kişilerin sertifikaları, bu kişilere hangi saatler arasında erişilebileceği gibi bilgiler de önem kazanmaktadır. Sınırsız e-posta desteği ve telefon desteğinin birçok durumda işe yaramayacağı ve yerinde müdahale için destek gerekebileceği de unutulmamalıdır.
Mümkünse güvenlik sistemi kuruma hizmeti sunan firma tarafından kurulmalı, ilk ayarlar yapılmalı ve kurum personeli konfigürasyon ve bakım işleri hakkında bilgilendirilmelidir. Teknik bir sorundan dolayı güvenlik duvarının çalışamaması durumunda en geç bir hafta içinde bu sorunun halledilmesini içeren bir madde de anlaşmaya koyulmalı ve maddi yaptırımlar da belirtilmelidir.
YENİ TEKNOLOJİLER ve YENİ İHTİYAÇLAR
Kurumun kritik bilgilerini korumak için sadece bir güvenlik duvarı kurmak yerine daha karmaşık(complex) çözümlere gidebilir. Eğer böyle bir sistem kurulması planlanıyorsa, alınacak güvenlik duvarının da bunu desteklemesi gerekecektir. Örneğin saldırganın işini zorlaştırmak için ağda çoklu bariyer kullanarak derinine savunma (defense in depth) yapılabilir. Ayrıntılı bilgi için bakınız [11]. Bir donanımla sanal çoklu güvenlik duvarı oluşturmak üzerine de çalışmalar yapılmaktadır. Çoklu kiracılı (multitenant) sistemlerle farklı müşterilere farklı konfigürasyon ve kurallar uygulanabilmektedir. Ayrıntılı bilgi için bakınız [10].
SONUÇ
Güvenlik duvarları, sistemin ve ağın devamlılığını sağlamak için vazgeçilmez bir hale gelmektedir. Bu bildiride güvenlik duvarı çözümüne gidilirken dikkat edilmesi gereken hususlar belirtilmiştir. Kurumun sistemden beklentilerine ve elindeki bütçeye göre kurulabilecek sistemler değişebilmektedir. Aslında kurulacak sistemden çok, onun nasıl kurulduğu ve nasıl yönetildiği önemlidir. Ticari bir ürün almanın en önemli nedenlerinden birinin firmadan destek almak olduğu unutulmamalıdır. Ticari bir ürün alındığında, ürünün alındığı firmayla bakım anlaşmasının şartları detaylı olarak konuşulmalıdır.
Güvenlik duvarı çözümlerinin, sistem güvenliğinin elemanlarından sadece biri olduğu unutulmamalıdır

 
Alıntı ile Cevapla

IRCForumlari.NET Reklamlar
sohbet odaları eglen sohbet sohbet