Katmanlı güvenlik anlayışı korunan sistem üzerinde birden fazla önlem alma işlemidir. Güncel hayatta bunun örneklerini sıkca görebiliriz. Mesela evinin korumak için etrafına çit çektiren bir kişi sadece çit çektirmekle güvende olmayacağını düşünerek evine sağlam bir kapı, belki alarm, pencere koruması ve ek güvenlik önlemleri de alır. Burada amaç bir engeli aşabilen kötü niyetlilerin diğer engellere takılmasıdır.
Katmanlı güvenlik anlayışının bilişim dünyasındaki karşılığı derinlemesine güvenliktir ve derinlemesine güvenlik(Defense-in-Depth) kavramı bilişim güvenliği konusunda önemli bir yere sahiptir.
Saldırganlara karşı alınan önlemlerin hepsinin bir şekilde aşılacağı fikrine karşı geliştirilmiştir. Teker teker aşılabilen bu önlemler birlikte kullanıldığı zaman saldırganların işinin daha zorlaşacağı ve saldırı başarı oranının düşeceği tezine dayanır. Bununla birlikte internete ya da bir ağa bağlı tamamen güvenli bir sistem kurulamaz.
Derinlemesine güvenlik anlayışını uygulamalı bir örnekle açıklayalım: Derinlemesine güvenlik önlemleri ile korunmaya çalışılan bir şirket veritabanının katmanlı güvenlik mimarisine uygun olarak korunması için gerekli minimal bileşenler aşağıdaki gibi olacaktır.
1. Katman : Sınır yönlendirici cihazı
2. Katman : Sınır güvenlik duvarı
3. Katman : DMZ güvenlik duvarı
4. Katman : (NIPS)Ağ tabanlı saldırı engelleme sistemi
5. Katman : Netflow anormallik sezinleme sistemi
6. Katman : Antivirüs sistemi
7. Katman : (HIPS)Konak tabanlı saldırı engelleme sistemi
En dış yönlendirici cihaz
Bu cihaz şirket/kurum ağına giren çıkan her paketin mutlak surette uğramak zorunda olduğu bir sistemdir ve kurumun güvenliğinden sorumlu ilk bileşendir. Yönlendiri cihaz olarak kapasitesi sınırlı olsa da alınabilecek bazı temel önlemler vardır. Bunlar;
- uRPF protokolü çalıştırarak kandırılmış ip paketlerini engelleme.
- RFC’lere uyumlu olmayan TCP, UDP ve ICMP paketlerini filtreleme.
- Sadece kurum içerisinde kullanılan uygulamaların portlarının filtrelenmesi.
Bir yönlendirici cihazın alabileceği önlemler temelde bunlarla sınırlıdır. Katmanlı güvenlik mimarisi gereği yönlendirici tarafında yapılamayan işlemler başka bir bileşen tarafından kapatılmalıdır.
Güvenlik Duvarı Bileşeni
Güvenlik duvarı bileşeni yönlendirici cihazların yapamadığı durum bilgisi tutma işini ve ağ adresi çevrimi(NAT) işini üstlenecektir. Buna ek olarak rate limiting gibi işlevini de yerine getirirler.
Ağ tabanlı saldırı tespit ve engelleme sistemi
Güvenlik duvarı ve yönlendirici cihazlar bir pakete ait 4.katmana kadar verilere bakabilirler. 4. katmandan yukarısına bakamadıkları için tam bir güvenlik kalkanı oluşturamazlar. Bir paketin içeriğini izlemeden o paketin saldırı paketi mi normal bir bağlantıya mı ait olduğu anlaşılamaz.
Burada devreye derinlemesine paket analizi yapabilen sistemler girmelidir ki bu örneğimizde bu bileşen ağ tabanlı saldırı engelleme sistemidir.
Ağ tabanlı saldırı tespit ve engelleme sistemi gelen –giden her paketi içeriklerine kadar incelyerek paketler içerisinde saldırı imzaları arar. Saldırı imzası yakalanan paketlerin iç ağa geçişi engellenir.
Anormallik sezinleme sistemi
Bazı durumlarda saldırganlar kendilerini saldırı engelleme sistemlerinden gizlemeyi başarabilirler. Bu tip durumlarda ağa giren çıkan paketleri loglayan ve ağın normal çalışmasını benimsemiş sistemler devreye girerek bir anormallik olduğunu raporlayabilir.
Anti virüs Sistemi
Kullanılan sistem Windows ve türevleri üzerinde bina edilmiş ise karşılaşacağo sıkıntılardan biri de virüsler olacaktır. Her türlü önlemin düşünüldüğü bir ortamda virüslerin de hesaba katılması gerekir. Bunun için ya çalışan sistem üzerinde bir antivirüs programı çalıştırılır ya da daha genel bir sistemde ağa giren ve çıkan tüm trafik üzerinde virüs kontrolü yapılabilir.
Konak tabanlı saldırı engelleme sistemi(HIPS)
Bir şekilde alınan tüm önlemler geçilse bile hedef sistem üzerinde çalıştırılacak saldırı engelleme sistemi devreye girerek saldırıyı başarısız olarak sonuçlandırabilir. Katmanlı güvenlik mimarisinin son ve en önemli bileşenlerinden biri olan konak tabanlı saldırı engelleme sistemler hem UNIX hem de windows sistemler için geçerlidir.
Kaynak: Cisco
