ilgisayar ağlarının güvenliği, bilgisayar ağlarını etkileyen en önemli konulardan biridir. Doğru donanım yapılandırmasından sonra ağ kurmanın en önemli ayağı ağ güvenliğinin sağlanması konusudur. Bu konu aşağıdaki eksenlerde incelenmiştir:
Genel bilgisayar ağ güvenliği
Bilgisayar verilerinin, önemli bilgilerin, hassas programların, gerekli yazılımların veya bilgisayarın harici belleğinde önemli ve önemli olan her şeyin korunması, desteklenmesi ve bakımına bilgisayar güvenliği denir. Ağda güvenlik hakkında düşünmek, birlikte güvenlik üçgenini oluşturan üç faktöre ulaşmak için önemlidir. Bu faktörler gizlilik, bütünlük ve kullanılabilirliği içerir. Bu üç faktör (CIA), – ağ içinde veya dışında bilgi güvenliğinin temel ilkelerini oluşturur; öyle ki, ağ güvenliği veya inşa edilen ekipman için benimsenen tüm gerekli önlemler, bu üç faktörü uygulama ihtiyacından kaynaklanır. parametre bilgi depolama ve alışveriş ortamındadır.
Gizlilik
Bilginin sadece ihtiyacı olanların erişebileceği anlamına gelir ve bu şekilde tanımlanır. Örneğin, bu güvenlik özelliğinin kaybı, bir şirketin gizli dosyasının bir bölümünün açığa çıkması ve basının ona erişme olasılığı ile eşdeğerdir.
Bütünlük
- Daha çok sistem bilimlerine kadar uzanan bir kavramdır ve kısaca şöyle tanımlanabilir:
- Bilgilerdeki değişiklikler sadece belirli ve yetkili kişi veya süreçler tarafından yapılmalıdır.
- Yetkili kişiler veya süreçler tarafından dahi izinsiz ve sebepsiz değişiklik yapılmamalıdır.
- Sistem içinde ve dışında bilgilerin bütünlüğü korunmalıdır. Bu, belirli bir verinin hem sistem içinde hem de dışında aynı olması ve değişirse sistem içinde ve dışında bunun farkında olmaları gerektiği anlamına gelir.
Kullanılabilirlik
Bu parametre, bir sistemin – örneğin bilgi – her zaman kullanılabilir ve işini yapabilmesi gerektiğini garanti eder. Bu nedenle, tüm güvenlik konuları dikkate alınsa bile, ancak elektrik kesintisi gibi sistemin uyku moduna geçmesine neden olan faktörler güvenlik sistemi açısından bu sistem güvenli değildir.
Ancak yukarıdaki hususların dışında, aynı ilkelerden türetilmiş olmakla birlikte kendilerine ayrı bir karakter bulmuş başka kavram ve parametreler de vardır. Bu kavramlar arasında kullanıcı sisteme giriş yaptığında kimliğinin belirtilmesi talebi anlamına gelen Identification, kullanıcının kimliğinin belirtilmesi anlamına gelen Authentication, kullanıcının kaynaklara erişiminin belirtilmesi anlamına gelen Authorization, sistemin performansını vb. denetleme yeteneği
Bir ağda güvenlik 2 şekilde yapılır
1- Yazılım programları
En iyi durumda, yazılım programları ve donanım bileşenleri aynı anda kullanılır. Genel olarak, yazılım programları, kötü amaçlı yazılımdan koruma programları (kötü amaçlı yazılım virüsleri, istilacı solucanları, nalları, saklayıcıları vb. içerir) ve güvenlik duvarlarını içerir. Donanım bileşenleri ayrıca genellikle güvenlik duvarlarını da içerir. Bu parçalar, bilgisayara giriş ve çıkış bağlantı noktalarını kontrol eder ve saldırganlar, özellikle saldırganın belirli işaretleri hakkında eksiksiz bir bilgi oluşturur.
Unutmayalım ki Microsoft, Windows nesil işletim sistemlerinin (şu anda en çok kullanılan işletim sistemleri grubudur) tedarikçisi olarak, kullanıcılarına güvenliklerini sağlamak için Kam’a rağmen güvenliği artırabilen bir güvenlik duvarı yazılım programı ile varsayılan olarak donatılmıştır. Kendi işletim sistemleri, ancak bu yazılım tek başına kesinlikle bilgisayarın güvenliğini sağlamak için yeterli değildir.
Ancak bir ağı güvenli hale getirmenin ilk aşamasında, kuruluşun güncelleme yapabilmesi için önce Antivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda, Mac gibi güçlü bir kötü amaçlı yazılımdan koruma programı ile donatılması gerekir. Kötü amaçlı programların saldırılarına uygun şekilde yanıt verin. . Antivir programı bu alanda uygun bir seçim olabilir. Çünkü bu program sürekli güncelleme yeteneğine sahiptir ve kötü amaçlı programları bulmak için daha güçlü ve optimal bir arama motoru kullanmak için programın kendisi her 6 ayda bir düzenlenir. Bu yazılımın orijinal sürümünü satın almanız tavsiye edilir, çünkü herhangi bir sorun meydana geldiğinde orijinal firma bilgisayarlarınıza destek olmak için en kısa sürede gerekli müdahaleyi yapacaktır.
2- Donanım parçaları
Bir ağı güvenli hale getirmenin ikinci aşamasında, bir bölme cihazı kullanılmalıdır. Yukarıdaki cihazlar ayarlanabilir ve yapılandırılabilir ve ayarlanamaz ve yapılandırılamaz modellere ayrılmıştır. Birinci grupta küçük konfigürasyon ayarlamaları yapan parçalar da olabilir, ancak bunlar ikinci grup parçalarda görülen tüm olanaklarla tam olarak donatılmamışlardır. Genel olarak Core modelinden hazırlanan ve merkezi sunucuları birbirine bağlayarak iç ağa veya internet dünyasına hizmet vermeye yarayan bu bölme cihazı, merkezi sunuculardan iç istemcilere ağ bağlantısını bölen ana katmana yerleştirilir. ve tersi. Bu parça, bir kötü amaçlı yazılımdan koruma programının yayılmasını ve iç ağdaki gizli saldırganların bir bilgisayardan diğerine giriş çıkışını büyük ölçüde engelleyebilir. Ancak bir kuruluşun kullanıcı ve müşteri sayısı, bir Core Switch merkezi bölücünün çıkış bağlantı noktası sayısından fazlaysa, giriş ve çıkışı kontrol etmek için yapılandırılabilen ve uygun fiyatlı diğer bölücüler kullanılabilir.
Güvenliğin üçüncü aşamasında, bir yazılım programı veya güvenlik duvarı donanımı satın alma ihtiyacı hissedilir. Benzer yazılımlara göre daha kararlı, daha fazla güce ve daha az kusura sahip olduğu için donanım kısmına en çok vurgu yapılır. Güvenli kalenin donanım parçası, internetin bir kuruluşa giriş yoluna yerleştirilmelidir. Tam olarak güvenli olmayan bir internetin bir kuruluşa enjekte edildiği yer. Önerimiz Cisco ASA donanımı veya Astaro Güvenlik Duvarı. Aynı anda iki paralel cihaz kullanmak kesinlikle her organizasyonun tercih edilen ihtiyacıdır çünkü parçalardan biri durduğunda diğer cihaz giriş ve çıkışları kontrol altına alır. Ancak yazılım programında güvenli olmayan internet erişiminin sadece bu merkezi sunucu üzerinden yapılabilmesi için yazılımın merkezi bir güvenlik duvarı sunucusuna kurulması gerekmektedir.
Güvenliğin dördüncü aşamasında, iç ağ için yönlendirici adı verilen, yapılandırılabilir olmasının yanı sıra giriş ve çıkışların rotasını gösterebilen, interneti paylaşabilen, giriş ve çıkışları ayarlayabilen başka bir donanıma ihtiyaç vardır. güvenlik duvarının yanı sıra kuruluştan kullanılan internet formuna çıktı bilgileri telefon hatları ve şehir içi veya şehirler arası bilgisayarlara… Teklifimiz güvenilir şirket Cisco’nun ürünleridir.
Kablosuz ağlarda güvenlik
Günümüz dünyasında kablosuz ağlar giderek yaygınlaştığından ve radyo sinyallerine dayalı bu ağların doğası göz önüne alındığında, bu teknolojiyi kullanmanın en önemli noktası güçlü ve zayıf yönlerini bilmektir. Bu ağları kullanmanın risklerinin farkında olunması gerektiğinden, içlerinde gizli olan olanaklara rağmen, doğru yapılandırmayla elde edilebilecek, kabul edilebilir bir güvenlik düzeyi elde edilebilir, bu nedenle “kablosuz ağlarda güvenliği” tartışacağız. ağlar” bu bölümde.
Kablosuz ağlardaki üç güvenlik yöntemi şunlardır:
WEP: Kabloluya Eşdeğer Gizlilik
Bu yöntemde ağda izni olmayan kullanıcıların dinlenmesi engellenir ki bu yöntem her istemcide manuel ayarlar (KEY) gerektirdiği için küçük ağlar için uygundur. WEP şifrelemesi, RSA’nın RC4 algoritmasına dayalıdır.
SSID: Hizmet Kümesi Tanımlayıcısı
WLAN ağları, her biri benzersiz bir tanımlayıcıya sahip olan birkaç yerel ağa sahiptir, bu tanımlayıcılar birkaç Erişim Noktasına yerleştirilmiştir. Her kullanıcı, istenen ağa erişmek için SSID Kimliğini yapılandırmalıdır.
MAC: Medya Erişim Kontrolü
bir ağda kullanılan MAC adreslerinin bir listesi ilgili AP’ye (Erişim Noktası) girilir, bu nedenle yalnızca bu MAC adreslerine sahip bilgisayarların erişimine izin verilir, başka bir deyişle, bir bilgisayar bir istek gönderdiğinde, Listeli MAC adresi İlgili MAC adresi AP’de karşılaştırılır ve erişim izni olup olmadığı kontrol edilir.Bu güvenlik yöntemi küçük ağlar için uygundur çünkü büyük ağlarda bu adreslerin AP’ye girilmesi çok zordur.
Kablosuz ağlardaki güvenlik zafiyetleri ve yaygın riskler
Söz konusu protokol ve teknoloji ne olursa olsun tüm kablosuz ağlardaki ortak risk, bu teknolojinin temel avantajı olan tel ve kablolar yerine radyo sinyallerinin kullanılmasına dayanan yapının dinamiğidir. Saldırganlar bu sinyalleri kullanarak ve fiilen ağ yapısının kapsama alanını sınırsız hale getirerek, bu ağların çok güçlü olmayan güvenlik bariyerlerini aşarlarsa kendilerini bu ağların bir üyesi gibi gösterebilmekte ve bu gerçekleşirse, hayati bilgiler, kuruluşun sunucularına saldırmak ve toplamak, bilgileri yok etmek, ağ düğümlerinin birbirleriyle iletişimini bozmak, gerçek olmayan ve yanıltıcı veriler üretmek, etkin ağ bant genişliğini kötüye kullanmak ve diğer kötü niyetli faaliyetler.
Genel olarak, güvenlik açısından tüm kablosuz ağ kategorilerinde bazı ortak gerçekler doğrudur:
- Kablolu ağlardaki tüm güvenlik zafiyetleri kablosuz ağlar için de geçerlidir. Aslında, hem tasarım açısından hem de yapı açısından, kablosuz ağlara özgü daha yüksek düzeyde mantıksal güvenlik oluşturan bir yönü olmadığı gibi, bahsedildiği gibi özel riskler de doğurur.
- Saldırganlar mevcut güvenlik önlemlerini atlayarak bilgisayar sistemlerindeki bilgi kaynaklarına kolayca erişebilir.
- Şifrelenmemiş veya düşük güvenlik yöntemiyle şifrelenmiş ve kablosuz ağlarda iki düğüm arasında iletilen kritik bilgiler davetsiz misafirler tarafından çalınabilir veya değiştirilebilir.
- Kablosuz ekipman ve sistemlere yönelik DoS saldırıları çok yaygındır.
- Davetsiz misafirler, kablosuz ağlardaki yetkili kullanıcılara benzer parolaları ve diğer güvenlik öğelerini çalarak herhangi bir engel olmadan istedikleri ağa bağlanabilirler.
- Bir davetsiz misafir, güvenlik öğelerini çalarak bir kullanıcının davranışını izleyebilir. Bu şekilde, diğer hassas bilgiler elde edilebilir.
- Kablosuz ağı kullanma olanağına ve iznine sahip olan taşınabilir ve cep bilgisayarları kolayca çalınabilir. Bu tür donanımları çalarak, ağa sızmak için ilk adımı atabilirsiniz.
- Bir davetsiz misafir, bir kuruluştaki kablosuz ağ ile kablolu ağı (çoğu durumda ana ve daha hassas ağ olarak kabul edilir) arasındaki ortak noktaları kullanabilir ve kablosuz ağa sızarak, pratik olarak kablolu ağ kaynaklarına erişmenin bir yolunu bulabilir. .
Başka bir düzeyde, bir kablosuz ağın kontrol elemanlarına sızarak ağın işleyişini bozma olasılığı da vardır.
Sistemlerin güvenliğini artırmanın yolları
- Bilgisayarlarda saklanan bilgilere, yerleştirildikleri ortama, kullanım durumlarına ve yöntemlerine göre bilgisayarların ihtiyaç duyduğu güvenlik düzeyinin incelenmesi.
- Yeni ve profesyonel programlar kullanılarak bilgisayarlardaki mevcut ayarların kontrol edilmesi ve güvenlik açıklarının ve güvenlik açıklarının tespit edilmesi
- Bilgisayarların mantıksal güvenliğini artırmak için ayarların yapılması ve gerekli programların yüklenmesi
Dosyalar için güvenlik uygulama
– Kullanıcıların dosyalara erişim miktarını aşağıdakilere göre kontrol edin:
a- salt okunur
b- okuyun ve düzenleyin
c- okuyun, düzenleyin ve silin
d- başkalarının erişimini okuyun, düzenleyin, silin ve kontrol edin
– İstenen kullanıcıların belirtilen dosyalara erişimini kaydedin (örneğin, belirli dosyaları düzenleyen kullanıcıyı belirlemek için)
– Diğer kullanıcıların (hatta ağ yöneticisinin) bunlara erişmesini önlemek için dosyaların şifrelenmesini (Şifreleme Dosya Sistemi) uygulayın.
güvenlik duvarı
- Güvenlik duvarı, ağları birbirinden ayırmak için kullanılır.Uygun bir güvenlik duvarı kullanılarak aşağıdaki hedeflere ulaşılır.
- Şebekelerde sunulan poliçe ve servislerin birbirinden bakımı, yönetimi ve kontrolü mümkündür.
- Şebeke dışından sağlanacak dahili servislerin seçimi veya tersi
- Güvenlik kontrolü ve kullanıcı erişim yönetimi
- İç ağa sızmak isteyenlerin önünde bilgilerin korunması.
Güvenlik duvarı, yerel ağ ve küresel ağ kullanıcıları arasına yerleştirilen ve tüm bilgi giriş ve çıkış düzeylerinde erişimi izleyen bir sistemdir. Bu yapıda bilgi giriş çıkışını kontrol etmek isteyen her kurum ve kuruluş, kendi iç ağının dış dünya ile olan tüm direkt bağlantılarını kesmekle yükümlü olup, her türlü dış iletişim güvenlik duvarı veya filtre adı verilen bir ağ geçidi üzerinden yapılmaktadır. TCP ve IP paketleri ağa girmeden veya ağdan çıkmadan önce koruma ve güvenlik kriterlerine göre işlenmek üzere güvenlik duvarına girer.
Yüksek performanslı ağlarda internete bağlanmak için özel donanımlar kullanılır ancak yazılımlar da bu amaçla üretilmekte ve PC cihazlarına kurulmaktadır.İnternete
sağlıklı ve güvenli bir bağlantı için güvenlik duvarı yazılımları kullanmak gerekmektedir. Windows XP’nin SP2 sürümünde bu özelliğe sahip olduğunu ve ağa bağlanmak için çok yüksek bir güvenliğe sahip olduğunu söylemeye gerek yok.
Ayrıca, internete bağlanmak için bir güvenlik duvarı kullanmanın yanı sıra uygun anti-virüs ve casus yazılım önleme yazılımı kullanılması önerilir.
Güvenlik duvarı türleri
Farklı güvenlik duvarı türleri, bahsettiğimiz şeyleri aşağı yukarı yapar, ancak farklı türlerin işi yapma biçimleri farklıdır, bu da güvenlik duvarının sunduğu verimlilik ve güvenlik düzeyinde farklılıklara yol açar.Buna dayanarak, güvenlik duvarları 5 gruba ayrılır. . onlar böler
-
Devre Düzeyinde Güvenlik Duvarları:
Bu güvenlik duvarları, TCP iletişimleri için bir röle görevi görür. Arkalarındaki bilgisayar ile TCP bağlantısını keserler ve o bilgisayar yerine ilk yanıtı yaparlar.Ancak bağlantı kurulduktan sonra hedef bilgisayara veri akışına izin verirler ve sadece ilgili veri paketlerine izin verilir. Bu tür güvenlik duvarları, bilgi paketlerindeki herhangi bir veriyi incelemez ve bu nedenle iyi bir hıza sahiptir. Ayrıca, diğer protokollerde (TCP dışında) kısıtlamalara izin vermezler.
-
Proxy sunucu güvenlik duvarları:
Proxy sunucu güvenlik duvarları, uygulama katmanındaki bilgi paketlerini inceler. Bir proxy sunucu, arkasındaki uygulamaların yaptığı isteği yakalar ve onların yerine isteği gönderir, önce isteğin sonucunu alır, ardından uygulamalara gönderir. Bu yöntem, programın sunucular ve harici uygulamalarla doğrudan iletişim kurmasını engelleyerek yüksek güvenlik sağlar. Bu güvenlik duvarları, uygulama düzeyindeki protokolleri bildiklerinden, bu protokollere dayalı kısıtlamalar oluşturabilirler. Ayrıca veri paketlerinin içeriğini kontrol ederek gerekli kısıtlamaları oluşturabilirler. Tabii ki, bu düzeyde bir kontrol, bu güvenlik duvarlarının yavaşlamasına neden olabilir. Ayrıca, bu güvenlik duvarlarının son kullanıcı uygulamalarından gelen trafiği ve bilgileri işlemesi gerektiğinden, verimlilikleri daha da azalır.
-
Nostateful paket filtreler:
Bu filtrelerin basit bir çalışma şekli vardır. Bir ağ yolunda otururlar ve bir dizi kural kullanarak bazı paketlerin geçmesine izin verir ve diğerlerini engellerler. Bu kararlar, IP gibi ağ katmanı protokollerinde bulunan adresleme bilgilerine göre ve bazı durumlarda TCP ve UDP başlıkları gibi taşıma katmanı protokollerinde bulunan bilgilere göre verilir. Bu filtreler, ağın koruma için ihtiyaç duyduğu hizmetlerin kullanımına ilişkin iyi bir anlayışa sahip olduklarında iyi çalışabilirler. Ayrıca, bu filtreler proxy gibi davranmadıkları ve uygulama katmanı protokolleri hakkında bilgi sahibi olmadıkları için hızlı olabilirler.
-
Durum bilgisi olan Paket filtreler:
Bu filtreler basit filtrelerden çok daha akıllıdır. Neredeyse tüm gelen trafiği engellerler ancak arkalarındaki arabaların yanıt vermesine izin verebilirler. Bunu, arkalarındaki makinelerin yaptığı bağlantıların taşıma katmanında kaydını tutarak yaparlar.Bu filtreler, modern ağlarda güvenlik duvarlarını uygulamak için kullanılan ana mekanizmadır.Bu filtreler, içinden geçen Kayıt paketleri aracılığıyla çeşitli bilgileri izleyebilir. Örneğin, kaynak ve hedef TCP ve UDP bağlantı noktası numaraları, TCP sıra numarası ve TCP bayrakları.
-
Kişisel güvenlik duvarları:
Kişisel güvenlik duvarları, kişisel bilgisayarlara kurulan güvenlik duvarlarıdır ve ağ saldırılarına karşı koymak için tasarlanmıştır. Genellikle makinede çalışan programların farkındadırlar ve yalnızca bu programlar tarafından kurulan bağlantıların çalışmasına izin verirler.Bir PC’ye kişisel bir güvenlik duvarı kurmak, bir ağ güvenlik duvarının sunduğu güvenlik düzeyini artırdığı için çok yararlıdır. Genellikle, yüklü kişisel güvenlik duvarından (proxy gibi) geçmek için programı değiştirmeye gerek yoktur.
Güvenlik duvarını kurun ve yapılandırın
Güvenlik duvarı kurulması gereken bilgisayarların (özellikle sunucuların) belirlenmesi ve belirlenmesi
Yetkisiz erişimi önlemek için bilgisayarlara uygun güvenlik duvarı yazılımı yüklemek
Kurulan güvenlik duvarlarında gerekli ayarların olağan servis ve iletişimde aksama olmayacak şekilde yapılması
Güvenlik duvarının doğruluğunu ve etkinliğini sağlamak için gerekli testlerin yapılması
Sunbelt Kişisel Güvenlik Duvarı yazılımı
Gelen ve giden bilgisayar trafiğinin kesilmesi: Ağda şüpheli ve hoş olmayan hareketlerin meydana geldiği durumlar için çok uygundur.
Günlüğe Kaydetme: Tüm ağ iletişimlerini kaydederek olası sorunları incelemenizi ve bulmanızı sağlar.
Bağlantılara ve olayların istatistiklerine genel bakış: Diğer yazılımlar tarafından kurulan bağlantıların ve açık bağlantı noktalarının ayrıntılı istatistiklerini ve engellenenlerin konumunu, saldırı ve engelleme sürelerini görüntüler.
Güncelleme: Yazılım güncellendikçe, en son ve en güçlü sürüm her zaman mevcut olacaktır.