Bilgi Sistemleri Güvenliği

Ağ Güvenlik Mimarisi ve Teknik Kontroller

Ağ Güvenlik Mimarisi ve Teknik Kontroller

Ağ güvenliği yalnızca tehditleri tanımakla tamamlanmaz. Bu tehditlere karşı hangi mimari yaklaşımın benimseneceği, hangi teknik kontrollerin kurulacağı ve savunmanın nasıl katmanlandırılacağı da en az tehdit analizi kadar önemlidir. Kitapta “Bilgi sistemleri ve ağ güvenliği tedbirleri” başlığı altında, özellikle derinliğine savunma ve genişliğine savunma yaklaşımları üzerinden ağ güvenliği mimarisi açıklanmakta; ardından temel ağ güvenliği kontrolleri, güvenlik duvarları, saldırı tespit ve engelleme sistemleri, VPN, NAC, VoIP güvenliği, kablosuz ağ kontrolleri, işletim sistemi güvenliği ve mobil cihaz güvenliği ele alınmaktadır.

1) Ağ Güvenliği Tedbirleri Mantığı

Kitapta şirketlerin bilgi sistemleri güvenliğinin sağlanmasına yönelik kontrolleri geliştirmesi, düzenli olarak bu kontrolleri izlemesi, test etmesi ve iyileştirmesi gerektiği belirtilmektedir. Bu ifade, ağ güvenliği tedbirlerinin bir defa kurulup bırakılan araçlar olmadığını gösterir.

Teknik kontrollerin etkinliği, yalnızca kurulum anındaki doğru yapılandırmaya değil, sonrasında izlenmesine, güncellenmesine ve tehditlere göre geliştirilmesine bağlıdır. Bu nedenle ağ güvenlik mimarisi durağan değil, yaşayan bir kontrol yapısıdır.

Ağ güvenliği tedbirleri tablosu da bu mantıkla düşünülmelidir: farklı risk alanlarına karşı farklı katmanlarda, birbirini destekleyen kontroller öngörülmektedir.

2) Derinliğine Savunma

Kitapta derinliğine savunma, ek koruma sağlamak için katman seviyesinde savunma uygulanması olarak tanımlanmaktadır. Bu strateji, saldırıda ihtiyaç duyulan çabayı artırır ve saldırgan ile kuruluşun bilgi işlem kaynakları arasına birden fazla engel koyar. Derinliğine savunma yaklaşımında tek bir güvenlik katmanının yeterli olmadığı, birden çok güvenlik katmanının bir bütünün parçası olarak tasarlanıp devreye alınması gerektiği açıkça belirtilmektedir.

Kitapta verilen örnekte, dosya sunucusunu korumak isteyen bir kuruluşun ağına izinsiz giriş tespit sistemi ve güvenlik duvarı kurabileceği, sunucuya uç nokta antivirüs yükleyebileceği, içeriği şifreleyebileceği, uzaktan erişimi kısıtlayabileceği ve iki faktörlü kimlik doğrulama kullanabileceği belirtilmektedir. Bu örnek, katmanlı savunmanın mantığını son derece net ortaya koyar. :contentReference[oaicite:2]{index=2}

Böylece bir katmanı aşan saldırgan, sonraki katmanlarda yeni engellerle karşılaşır. Derinliğine savunmanın özü budur.

3) Derinliğine Savunmanın Temel Mantığı

Kitapta derinliğine savunma yaklaşımının ortak mantığı şu şekilde özetlenmektedir: tek bir sistemde dahi savunma katmanları bulunmalı, saldırgan amacına ulaşmak için tespit edilmeden bütün katmanları aşmak zorunda kalmalı, bir katman diğer katmandaki açığı kapatmalı ve bu sayede basit saldırılara karşı dayanıklılık artmalıdır. :contentReference[oaicite:3]{index=3}

Bu yaklaşım, güvenlik tasarımında “tek kontrol = yeterli koruma” anlayışını reddeder. Çünkü her kontrolün bir zayıflığı olabilir. Katmanlı yapı ise bu zayıflıkları birbirine yedekli hale getirir.

Dolayısıyla derinliğine savunma, ağ güvenlik mimarisinin temel stratejik yaklaşımıdır.

4) Genişliğine Savunma

Kitapta genişliğine savunma, sistem, ağ veya ürün yaşam döngüsünün her aşamasında istismar edilebilir zafiyetlerin riskini belirlemeyi, yönetmeyi ve azaltmayı amaçlayan planlı ve sistematik faaliyetler dizisi olarak tanımlanmaktadır. :contentReference[oaicite:4]{index=4}

Ayrıca geleneksel güvenlik yaklaşımlarını yeni güvenlik mekanizmalarıyla birleştiren, OSI modelinin her katmanında güvenliği amaçlayan savunma stratejisi olduğu belirtilmektedir. Saldırgan geleneksel güvenlik kontrollerini aşsa bile, daha üst katmanda engellenebilir durumda olabilir. OSI modelinde güvenliğin sağlandığı son katman uygulama katmanıdır ve burada WAF gibi çözümler kullanılabilir.

Genel ifade ile derinliğine savunma daha çok ağ seviyesinde, genişliğine savunma ise uygulama dahil daha geniş yaşam döngüsü ve katman yaklaşımında düşünülmelidir.

5) Ağ Güvenlik Riskleri ve Temel Mimari İhtiyaç

Kitapta ağ güvenlik risklerinin üç ana kategoride keşif (reconnaissance), dinleme (eavesdropping) ve hizmet engelleme (DoS) olarak ele alındığı belirtilmektedir. :contentReference[oaicite:7]{index=7}

Keşif aşamasında saldırgan IP adresleri, güvenlik duvarları, işletim sistemleri, zayıflıklar ve uzaktan erişim yöntemleri gibi bilgileri toplar. Dinleme, ağ üzerinden geçen bilginin yetkisiz biçimde izlenmesiyle ilgilidir. Hizmet engelleme ise sistemin erişilebilirliğini hedef alır.

Bu üç risk kategorisi, neden yalnızca tek tip ağ kontrolünün yeterli olamayacağını açıkça gösterir. Ağ güvenlik mimarisi; görünürlüğü azaltan, dinlemeyi zorlaştıran ve hizmet kesintisini sınırlayan katmanlı yapıda kurulmalıdır.

6) Temel Ağ Güvenliği Kontrolleri

Kitapta derinliğine savunma ortak bileşenleri açıklanırken ağ güvenliğinin ilk savunma hattı olduğu belirtilmektedir. Ağların güvenliğini sağlamak için kullanılabilecek kontroller arasında; ağda dar geçit veya tıkanma noktası oluşturma, kritik hizmetleri korumak için vekil hizmetler kullanma, tıkanma noktalarında içerik filtrelemesi yapma, saldırı tespit sistemlerini güncel veritabanıyla kullanma, ağ cihazlarını güncelleme, ihtiyaç olmayan ağ hizmetlerini devre dışı bırakma, gelen/giden ağ trafiği üzerinde filtreleme ve uzak bağlantıları korumak için erişim kontrol önlemleri uygulama sayılmaktadır. :contentReference[oaicite:8]{index=8}

Bu kontroller, ağ güvenliği tedbirleri tablosunun çekirdeğini oluşturur. Çünkü her biri farklı risk alanına ve farklı saldırı tekniğine karşı ayrı rol oynar.

Dolayısıyla temel ağ güvenliği kontrolleri, ağ güvenlik mimarisinin inşa taşlarıdır.

7) Güvenlik Duvarları

Kitapta güvenlik duvarları ağ güvenliği tedbirlerinin ana alt başlıklarından biri olarak yer almaktadır. Güvenlik duvarları, ağ trafiğinin belirlenmiş kurallara göre süzülmesini ve yetkisiz trafiğin engellenmesini sağlayan temel kontrol mekanizmalarıdır.

Derinliğine savunma örneğinde güvenlik duvarının ilk katmanlardan biri olarak verilmesi, ağ seviyesindeki savunmanın temel taşı olduğunu göstermektedir. :contentReference[oaicite:10]{index=10} Kitap ayrıca genişliğine savunma bağlamında WAF kullanımına da değinmektedir; bu da güvenlik duvarı mantığının uygulama seviyesine kadar genişleyebildiğini gösterir. :contentReference[oaicite:11]{index=11}

Sınav mantığında güvenlik duvarı, ağ güvenliğinin ilk ve temel savunma bileşenlerinden biri olarak düşünülmelidir.

8) IDS / IPS

Kitapta “Saldırı Tespit ve Engelleme Sistemleri” ayrı başlık olarak yer almaktadır. Ayrıca derinliğine savunma örneğinde IDS kullanımına doğrudan değinilmekte ve saldırı tespit sistemlerinin güncel veritabanıyla çalıştırılması gerektiği belirtilmektedir.

IDS sistemleri saldırı belirtilerini izleme ve fark etme mantığıyla, IPS sistemleri ise bunu engelleme boyutuyla ilişkilendirilir. Kitapta teknik ayrıntı kadar, bu sistemlerin savunma katmanları arasında yer aldığı ve güncel tutulması gerektiği vurgulanmaktadır.

Bu nedenle IDS/IPS, görünürlük ve otomatik/yarı otomatik müdahale açısından ağ güvenliğinin önemli unsurlarıdır.

9) VPN ve Uzaktan Erişim

Kitapta “Sanal Özel Ağlar (VPN) ve Uzaktan Erişim” başlığı ayrı olarak yer almaktadır. Ayrıca temel kontroller içinde ağa uzak bağlantıları korumak için erişim kontrol önlemleri uygulanması gerektiği belirtilmektedir. :contentReference[oaicite:15]{index=15}

VPN yaklaşımı, uzaktan bağlantının güvenli hale getirilmesi mantığıyla düşünülmelidir. Uzaktan erişim doğası gereği ağ sınırını genişletir ve bu yüzden ek koruma gerektirir. Kitabın çerçevesinde VPN, bu riskli bağlantı alanını daha güvenli yönetmeye yönelik temel teknik kontroldür.

Bu nedenle uzaktan erişim ve VPN, ağ güvenliği tedbirleri tablosunda kritik konumdadır.

10) NAC (Ağ Erişim Denetimi)

Kitapta “Ağ Erişim Denetimi (NAC)” ayrı alt başlık olarak yer almaktadır. NAC mantığı, ağa bağlanan cihazların ve kullanıcıların belirli güvenlik koşulları çerçevesinde değerlendirilmesi ve kontrol edilmesiyle ilgilidir.

Kitapta doğrudan tanım bu başlık altında verilmekle birlikte, genel savunma yaklaşımıyla birlikte düşünüldüğünde NAC, özellikle ağa kimlerin ve hangi güvenlik durumu ile dahil olduğunun denetlenmesini sağlayan kontrol katmanı olarak anlaşılmalıdır.

Bu nedenle NAC, ağın kapısından içeri kimin hangi şartla girdiğini yöneten güvenlik bileşenidir.

11) VoIP Güvenliği

Kitapta “IP Üzerinden Ses (VoIP)” da ağ güvenliği tedbirleri kapsamında ayrı başlık olarak yer almaktadır. Bu durum, ses iletişiminin de artık ağ üzerinden taşındığı ve dolayısıyla ağ tehditlerine açık olduğu anlamına gelir.

VoIP güvenliği; ağ üzerinden iletilen ses trafiğinin bütünlük, gizlilik ve erişilebilirlik bakımından korunmasını gerektirir. Yani geleneksel telefon güvenliği mantığından farklı olarak, VoIP sistemleri de ağ savunma kontrollerinin parçası haline gelir.

Sınav açısından VoIP, ağ güvenliği içinde özel hizmet türü olarak ayrıca hatırlanmalıdır.

12) Kablosuz Ağ Kontrolleri

Kitapta “Kablosuz Ağ Güvenlik Kontrolleri” ayrı alt başlık olarak yer almaktadır. Kablosuz ağlar daha önce de görüldüğü gibi kablolu ağlardan farklı riskler taşır; bu nedenle savunma mekanizmaları da ayrıca düşünülmelidir.

Kablosuz ağ kontrolleri; yetkisiz erişimi sınırlama, iletim ortamını koruma ve kablosuz bağlantıyı daha güvenli yönetme mantığıyla değerlendirilmelidir. Ağ güvenlik mimarisi içinde kablosuz alanın ayrı başlık olması, bu risklerin kendine özgü olduğunu gösterir.

Dolayısıyla WLAN tarafındaki güvenlik, genel ağ güvenliği içinde özel dikkat gerektiren alt alanlardan biridir.

13) İşletim Sistemi Güvenliği

Kitapta işletim sistemlerini korumak için uygulanması gereken kontroller arasında; işletim sistemlerinin güncellenmesi, güvenlik açığı oluşturabilecek hizmetlerin devre dışı bırakılması, değişiklik algılama ve bütünlük kontrol yazılımlarının kullanılması sayılmaktadır.

Bu ifade, ağ güvenliğinin yalnızca ağ cihazlarından ibaret olmadığını; ağ üzerinde çalışan sistemlerin güvenli yapılandırılmasının da mimarinin parçası olduğunu gösterir. İşletim sistemi zayıfsa ağ seviyesi kontrollerin etkisi de azalabilir.

Bu nedenle işletim sistemi güvenliği, ağ güvenlik mimarisinin uç nokta ve sunucu katmanındaki tamamlayıcı bileşenidir.

14) Mobil Cihaz Güvenliği

Kitapta “Mobil Cihaz Güvenliği” ağ güvenliği tedbirleri başlığı altında ayrıca yer almaktadır. Bu durum, mobil cihazların ağ güvenliği mimarisinde bağımsız bir risk alanı oluşturduğunu gösterir.

Mobil cihazlar kurumsal ağa farklı ortamlardan, farklı bağlantılarla ve farklı kullanım senaryolarıyla dahil olabilir. Bu nedenle mobil güvenlik; hem cihazın kendisinin hem de ağa bağlanma biçiminin kontrol edilmesini gerektirir.

Ağ güvenliği tedbirleri tablosunun mantığı içinde mobil cihazlar, uzaktan erişim ve kablosuz kullanım ekseninde değerlendirilmelidir.

15) Ağ Güvenlik Risk Bölgeleri ile Mimarinin İlişkisi

Kitapta “Ağ Güvenlik Risk Bölgeleri” de ağ güvenliği tedbirleri başlığı altında ayrı bir alt konu olarak yer almaktadır. Bu, teknik kontrollerin rastgele değil, belirli risk bölgelerine göre konumlandırılması gerektiği anlamına gelir.

Başka bir ifadeyle, hangi tehdit hangi bölgede daha baskınsa kontrol de o bölgeyi dikkate alarak tasarlanmalıdır. Bu yaklaşım, ağ güvenlik tedbirleri tablosunun neden bölümün çekirdeği olduğunu açıklar: tablo, kontrolleri risk bölgeleri ve savunma katmanlarıyla birlikte düşünmeyi sağlar.

Böylece mimari, yalnızca teknoloji listesi değil; risk-temelli yerleştirilmiş savunma düzeni haline gelir.

Final Özet (Sınavlık)

• Ağ güvenliği kontrolleri geliştirilip düzenli olarak izlenmeli, test edilmeli ve iyileştirilmelidir.
• Derinliğine savunma, saldırgan ile sistem arasında birden fazla savunma katmanı kurar.
• Genişliğine savunma, sistem/ağ/ürün yaşam döngüsünün her aşamasında ve OSI katmanları boyunca güvenliği amaçlar.
• Ağ güvenlik riskleri arasında keşif, dinleme ve hizmet engelleme bulunur.
• Temel ağ güvenliği kontrolleri arasında dar geçit oluşturma, filtreleme, güncelleme, gereksiz hizmetleri kapatma ve erişim kontrolü yer alır.
• Güvenlik duvarları ağ güvenliğinin temel savunma bileşenidir.
• IDS/IPS sistemleri savunma katmanları içindedir ve güncel tutulmalıdır.
• VPN, uzaktan erişimi daha güvenli yönetmek için kullanılan temel kontroldür.
• NAC, ağa kimlerin ve hangi güvenlik durumu ile bağlanacağını denetler.
• VoIP, kablosuz ağ, işletim sistemi ve mobil cihaz güvenliği ağ güvenliği mimarisinin özel alt alanlarıdır.