| Açıklama : | Bilgisayar ağlarından beklenen hizmet türleri ve hizmet kalitesi dahada artmıştır; dolayısıyla bilgisayar uygulamasında gereksinim duyulan her türlü sayısal iletişim ihtiyacının karşılanması bilgisayar ağlarından beklenmektedir.Bunu karşılamak amacıyla da kurumlar ,firmalar hem kendi alt yapılarını güçlendirmekte hemde önceden var olan internet gibi tüm dünyaya yayılmış global ağlardan olabildiğince yararlanmaya çalışmaktadır.Yani kendi özel bilgilerini herkese açık ortamlardan geçirmek zorunda kalmakta ve kendi ağını herkesin kullandığı ağa fiziksel bağlamak zorunda kalmaktadır. Internet’in genişlemesi ile beraber ağ uygulaması da beklenmedik şekilde genişlemiştir.Bu gelişmeye paralel olarak ağ kurulup işletime alındıktan sonra , ağ yönetimi ve ağ güvenliği büyük önem kazanmış ve ağın güvenilir biçimde çalıştırılması anahtar sözcük konumuna gelmiştir. Birçok insan bilgisayar güvenliğinin yanlış şeyler olmasını engellemek olarak düşünür. Yakın geçmişte bile, firewall`lara rağmen, bu yaklaşım başarılı olmadı. .
Bilgisayar güvenliği karışık bir konu. Söylediklerinizin ve diğerlerinin söylediklerinin kesin olması için basit terimlerle düşünmek gerekiyor.. Bilgisayarlarınız ve ağlarınız ne kadar karışık olursa olsun, her bir parçasına, özneler, nesneler ve erişim kontrolu terimleri ile yaklaşabilirsiniz.Bilgisayar güvenlik çözümleri uygulamak için ve güvenlik açıklarından kaçınmak için sistemlerinizin her parçasının detaylarını düşünmek zorundasınız. Sitenizdeki parçaları anlamalı ve 'Bunun altında ne var?' gibi soruları kendinize sormalısınız. Eğer biri size gelirde yeni bir uygulama kurmak istediğini belirtirse her seferinde aynı sorularla başlamalısınız: Kimler kullanacak? Nesneler neler? Erişimler nasıl ayarlanıyor? Güvenliğinden kim sorumlu?
Bilgisayar güvenliğinden ne beklediğinizi bildikten sonra, beklentilerinizin gerçekleştiğine karar vermek için yararlı bir yol bulmanız gerekiyor. Her site bilginin nasıl kullanılacağını anlatan iyi tanımlanmış bir güvenlik politikası`na sahip olmalı. Bu güvenlik politikası farklı güvenlik modellerinden oluşturulmuş olabilir, çünkü bir güvenlik modeli çeşitli yollar ile uygulanabilen genel bir modeldir. Bir güvenlik modelini gerçekleştiren bir ürün güvenlik politikasını uygulamanıza yarayan bir araç sunar. Aynı güvenlik modeli diğer güvenlik politiklarınıda destekleyebilir. Sitenizin güvenliğini arttırmak için kullandığınız her ürün kendi güvenlik modelini sunmalı. Birçok model, ürünler sitede birleştirildiğinde birbirini etkiler. Örneğin bir firewall ve işletim sistemi beraber çalışarak şirketiniz için güvenli bir internet bağlantısı sunarlar. Firewall ve işletim sistemi toplam çözümü sunmada farklı rollere ve sorumluluklara sahiptirler. Firewall, kendisinin güvenli bir ortamda çalışması için işletim sistemine bağımlıdır. Eğer işletim sistemininde güvenlik açığı varsa firewall`un güvenliği sağlamasına güvenilemez. Bu tip etkiler yüzünden, bir genel güvenlik modelinin nelerden oluştuğunu ve nasıl uygulayabileceğinizi bilmeniz gerekir.
Kısaca, bir güvenlik modeli bireyleri ve bu bireylerin birbirleriyle nasıl etkileştiğini ve yardımlaştığını belirler. Ağlarınızdaki birçok bireyi zaten biliyorsunuz - kullanıcılar, gruplar, dosyalar, router`lar, workstation`lar, yazıcılar, disk sürücüleri, uygulama programları, istemciler, sunucular ve ağ adaptörleri. Bu bireyler bilgisayar ağlarında birbirleriyle çok farklı yollarda birbirleriyle etkileşirler. Sık rastladığınız nir erişim kontrol kuralı, bir bilgisayardaki dosyayı hangi kullanıcıların okuyabilecegi olabilir. Daha başka örneklerde aklınıza gelebilir, ki buda güvenlik modeli fikrini zaten bildiğinizi gösterir.
Genel güvenlik modelini araştırmadan önce, güvenliğe niye birinci derecede ihtiyaç duyulduğunu düşünün. Bir veya daha fazla ürün tarafından uygulanan bir güvenlik modeli, 3 ana amaca hizmet etmelidir.
Bilgisayar güvenliğinin amaçları
İzinsiz-giriş saptama ürünlerinin güvenliği arttırmada niye kullanılmaya başladığını anlamak için güvenlik ürünlerinin sağlamaya çalıştığı amaçları bilmelisiniz. Bu amaçlar geleneksel ürünlerle sağlanamadığı için kuruluşlar izinsiz-giriş saptama çözümlerine eğiliyorlar.
CIA kısaltması, bilgisayar güvenliğindeki üç amacı simgeleyen kolay hatırlanabilir bir kelime.
Confidentiality. (Gizlilik) Bilginin tanılanmış/doğrulanmış kişiler haricinde okunmasına karşı koruma.
Integrity. (Bütünlük) Bilginin yetkisi olmayanlarca modifiye edilmesine karşı koruma.
Availability. (Mevcudiyet) Bilginin yada bilgisayar kaynaklarının yetkisiz olarak mevcudiyetinin engellenmesine karşı korunma.
Günümüzde ağ güvenliği denildiğinde VPN(virtual private network) ve Firewalllar akla gelmekte ve en çok bu çözümler kullanılmaktadır.Bundan sonraki bölümde bu iki konu ayrıntılı olarak ele alınacaktır.
1.SANAL ÖZEL BİLGİSAYAR AĞLARI ( VIRTUAL PRIVATE NETWORKS- VPN )
Bugün bilgisayar ağları uygulamaları geniş bir şekilde istemci/sunucu , karşılıklı etkileşimli ( Interaction ) şekle dönüşmüş bulunmaktadır. İstemciler tarafından kullanılan bilgilerin büyük bir bölümü LAN sunucuları üzerinde bulunan kütükler , dökumanlar , veri tabanları veya sayısal bilgilerin diğer şekilleridir.
İdeal olan , istemcilerin işlerini gerçekleştirmek için gerek duydukları bütün bilgilerin , istemciler gibi ayni LAN’a bağlanmış bulunan sunucular üzerinde bulunmasıdır. Ancak kurumlar büyüdükçe merkez ve çevre ofislere bölünmektedir. Bu durumda fonksiyonlara bağlı olarak gereksinme duyulan bilgilerin , çeşitli LAN’lara dağılması kaçınılmazdır. Bu durum da VPN uygulamasını gerekli kılan en önemli etkendir.
Virtual Private Netvork (VPN) nin cazip hale gelmesinde etken olan bir diğer konu da ; artan oranda elemanların LAN sunucularda ve kurumsal ağlarda uzak noktalarda çalışmaya başlamış olmalarıdır. Bu elemanların işlerini uygun bir şekilde yürütebilmeleri için kurumsal LAN’lara , WEB uygulamalarına ve diğer sunuculara uzaktan erişim sağlamaları büyük önem taşımaktadır.
Dışta çalışan kişilerin yüzdesi arttıkça bu durum çok daha büyük önem kazanmaktadır. Pek çok çalışan kişi ve yöneticiler küçük ofislerden veya evde kurdukları ofislerden (Small Office and Home Office-SOHO) yürütmektedirler ve hareketli (Mobile) çalışma geçmiş yıllara oranla inanılmaz boyutta artmış bulunmaktadır. Şehirler arası dolaşanların otel odalarından bağlı bulundukları kurumun WEB sunucusuna ulaşma zorunluluğu da son zamanlarda küçümsenmiyecek derecede çoğalmıştır.
1.1. Klasik olarak hareketli ve SOHO çalışanları için verilen destek üç tipte toplanabilir.
1.1.1 SOHO çalışanların bulundukları nokta ile kurumsal sunucu arasında özel (kiralık) bir hat sağlanması.
Bu çözümün gerçekleşmesi maliyetin yüksekliği nedeniyle çok zordur. Ayrıca kurumsal sunuculara bağlantı gereksinimi günde en çok 8-10 saati ancak bulmaktadır. Halbuki kiralık hatlara ödenen ücret 24 saat tam olarak hattı kullanıyormuş gibidir. Başka bir deyişle kiralanan hat hiç kullanılmasa da 24 saat kullanılıyormuş gibi hatta ödeme yapmak gerekmektedir. Bu uygulama özellikle hareketli çalışanlar için ise hiç te uygun değildir.
1.1.2- SOHO veya hareketli çalışanların Dial-up ile bağlanması.
Bu uygulama çok yaygındır ve fiat bakımından çok uygundur. Ancak en önemli sorunu hız ve kalite düşüklüğüdür. Uzakta erişim PSTN’i (Public Switch Telephone Network) kullanmaktadır ve ağ tüm ülke çapında kullanıma hazırdır. Bazı durumlarda (800 lü hatlar gibi ) ücretsiz bağlantı olanağı sağlandığı gibi , bazı durumlarda uzak erişim için yerel bağlantı ücreti ödeyerek şehirler arası bağlantı olanağı (444 lü hatlar gibi ) sağlanır.
1.1.3- Paket Anahtarlama
X-25 ve Frame Relay uygulamalarında sadece gönderilen paket adedi üzerinden ödeme yapılır. Özellikle yeni uygulamaya geçen Frame Relay uygulaması hız ve kalite yönünden de kiralık hatlara kıyasla çok daha uygundur.
Şimdi bu üç uygulamada VPN’in rolü ne olabilir ? onu inceleyelim. SOHO çalışanlarının pek çoğu Internet bağlantısına sahiptir. Eyer kendilerine özel böyle bağlantıları yoksa bu servis Internet Servis Sağlayıcı ( ISS )dan alınabilir. Kurumsal LAN’larda uzakta çalışanlar için gereksinme duyulan bilgileri taşıyan en az bir tane WEB sitesine sahip olduğuna göre , ISS’ler aracılığı ile genel Internet ve WEB ulaşımı ve kurumsal LAN ulaşımının birleştirilmesi en uygun çözümlerden biridir. Eğer ISS tüm ülkeye yayılmış bir hizmet ağına sahipse otel odasından merkeze bağlantı kurma işleminde bu yerel bağlantı yeterli olacaktır. Bağlantı kurulduktan sonra kurumsal bilgisayar ağı gerekli LAN sunuculara ulaşma olanağı sağlar. Bu açıklamadan da anlaşılacağı gibi Internet , SOHO ve hareketli çalışanların bağlantıları için yapılan diğer uygulamaların yerini almaktadır. VPN , uzaktan erişim için kullanılan dial-in (dial-up yaparak gerçekleştirilen bağlantı) nin basitleştirilmesinde iki seçeneğin yaratılmasında rol oynar.
1.2 VPN Tipleri
1.2.1 İstemci-Girişimli VPN
Uzaktan erişim aygıtları kullanıcıların kurumları ile ilişkiye geçmelerini ve gerekli işlemlerini yapmalarını olanaklı kılan dial-in kapıları ( ports ) donatılmıştır. Bu yapıda , yapının sahibi kurumdur İşlemler ve kontrol kurum tarafından yürütülür.Bu organizasyonda ISS ler çok ender olarak uzaktan erişim noktalarından Internete erişim sağlarlar. Bu yapı uzaktan erişim için kullanılan İstemci-girişimli VPN diye adlandırılır. Bunun da nedeni ISS lerin ne ilettiklerinin genellikle farkında olmamasındandır.
ISS- Girişimli VPN
Bu uygulamada , yapının sahibi ISS dir ve uzaktan işletim aygıtlarının işletimi ve kontrolü ISS lerin elindedir. Bu durumda VPN güvenliğinin sağlanması tümüyle ISS lere aittir. Eğer ISS servisi tüm ülkeye dağılmış durumda ise ve çalışanların hareketleri çok değişken bir durumda ise , bu uygulama yararlı olabilir. Bu durumda bilgisayar ağını ve kurumsal LAN nı korumak için ek bir güvenlik desteğine gereksinim vardır. Örneğin en azından kurumsal LAN ile Internet arasında bir güvenlik duvarının bulunması gerekmektedir. Uzaktan erişim kurumsal bilgisayar ağını yetkili kılınmamış ulaşımlara karşı çok hassas hale getirir. Bu durumda VPN nin rolü çok önem kazanır.
Uzakta erişim aygıtlarının en bilinen formu , uzaktan erişim dial-in istemcilerine sunucu tipi fonksiyonları sağlayan Uzaktan Erişim Sunucusu (Remote Access Server – RAS ) dur. Bir RAS , PSTN üzerinde anolog ulaşımlar için çeşitli dial-in kapılardan , kullanıcı belirleyicileri (Identifications) , paroloları taşıyan veri tabanından ve ağın geri kalan kırımlarına bağlantıdan oluşmaktadır. Hemen belirtelim ki , bu saydığımız sunucular en az bulunması gerekenlerdir. Bunlara ek olarak E-Mail sunucu , Chat Sunucu , E- Ticaret Sunucu , kullanıcılarla ilgili bilgilerin tutulduğu üye kütüklerini taşıyan sunucu gibi pek çok sunucu ve hattağa bunların bir araya geldiği Cluster lerden oluşur.
|
