AĞ DENETİM KATEGORİLERİ

4.3.1. Ağ Haritası ve Dokümantasyonu Denetimi

Çoğu ağ yöneticisi; zamanı olmadığı, ağ do-kümantasyonunu nasıl yapacağını bilmediği ya da diğer kişilerin bu işi yapmaları gerekti-ği gibi nedenlerle ağ haritasını ve doküman-tasyonunu oluşturmayı göz ardı etmektedir.

İyi bir ağ dokümantasyonunun olması sorun gidermeye, yeni personeli eğitmeye, yükle-nicilere ve danışmanlara yardımcı olma gibi birçok önemli avantajı vardır.

Denetçi ağ haritasını incelerken, daha ay-rıntılı denetlemek için risk oluşturabilecek cihaz ve bağlantıları arar. Bunun yanı sıra denetçi, IT konfigürasyonları ve doküman-tasyonu için bir süreç olup olmadığını kont-rol eder. Organizasyonların standartlaşma ve dokümantasyonu sağlamadaki ciddiyetle-ri, güvenliğin operasyonel yönünün ne kadar iyi yönetildiğinin göstergesi olabilir. Güvenlik süreçlerinin her gün yürütülmesi anahtar sistemlerin korunmasını etkilemekte ve bir politika veya prosedürün göz ardı edilmesi önemli ihlallere neden olabilmektedir. Çoğu mühendis dokümantasyon sürecini sevme-mektedir ancak çok azı güvenlik ile ilgili bir durum olduğunda dokümantasyonun ne ka-dar önemli olduğunu kabul etmektedir.

Mantıksal şemalar, ağda kullanılan protokol ve cihazların tipleri ile ilgili ayrıntıları anlatır.

Bu şemalar her bir bağlantı noktasını (port)

göstermezler fakat cihazlar arasında bil-ginin akışını gösteriler. Ağın özeti gibi olan mantıksal şema, denetçinin yüksek risk po-tansiyeli olan alanları belirlemesine yardım-cı olur.

Fiziksel şema, mantıksal şemaya göre çok daha ayrıntılıdır ve ağda oluşan hatanın dü-zeltilmesi veya güvenlik olayları için fayda-lıdır. Hangi bağlantı noktasının (port) hangi cihaza bağlı oluğunun bilinmesi ağ bağlan-tılarının korunması ve güvenlik savunma stratejisi için gereklidir. Çok ayrıntılı olması ve ağ ortamının hızlı değişmesi nedeni ile ağ dokümantasyonundaki en güncel olmayan kısımdır.

Temel varlıkların mantıksal ve fiziksel ola-rak ağ üzerinde nerede yer aldıklarının bi-linmesi, denetçinin bu varlılara karşı oluşa-bilecek riskleri belirlemesine yardımcı olur.

Varlık dokümantasyonu tüm kritik varlıklar için güncel tutulmalıdır ve her bir sistemin bağlantı gereksinimleri ve hizmetleri (ser-visler) ile ilgili olabildiğince ayrıntılı bilgiler içermelidir.

4.3.2. Veri Akışı ve Trafiği Denetimi Veri akışı ve trafiği analizleri,

• Ağ, sunucu, yönlendirici (router) ve gü-venlik duvarı problemlerinin kritik olma-dan önce belirlenmesini,

• Kusurlu ve yanlış yapılandırılmış yazılım-ların tespit edilmesini,

• Virüs üreten makinaların hızlı bir tespit edilmesini,

• Problemin sunucudan veya ağdan kay-nakladığının belirlenmesini

sağlar.

Saldırıların çoğu standart olmayan bağlan-tı noktaları (portlar) veya güvenlik duvarı ve erişim cihazları üzerinde genel olarak kul-lanılan bağlantı noktalarındaki veri trafiği-nin hızlı artışı ile belirlenir. Ağ trafiğindeki temel ölçü alınabilecek bir değerin olması bu anormalliklerin belirlenmesine yardımcı

olur ve hızlı bir şekilde harekete geçilmesini sağlar. Denetçiler bu bilgileri, ihtiyaç duyul-mayan protokollerin ve yetkisiz erişim liste-lerinin belirlenmesi için kullanabilirler. Eğer temel ölçü alınacak bir değer yoksa denet-çi paketleri yakalamalı ya da hat üzerinden akan trafiğin gerçekte ne olduğu fikrini elde etmek için netflow (Her bir veri akışının kay-nak ve hedef IP ve bağlantı noktası bilgisini, trafiğin kullandığı protokol bilgisini ve kulla-nılan servisin bilgisini içerir.) muhasebesini yapmalıdır.

4.3.3. Ağ Ayrıştırması Denetimi

Ağ ayrıştırması organizasyonun içerisindeki bilgi sistemlerinin bağlı olduğu ağların orga-nizasyon yapısı, iç ağ yapısı ya da farklı bir koşula göre her biri ayrı bir güvenlik çem-berine sahip olacak şekilde birbirlerinden ayrılmasıdır.

Organizasyonun ağ altyapısı; kurumun eri-şim ve ağ güvenliği politikaları ile uyumlu bir şekilde yapılandırılmalıdır. Ağ yönetim sis-tem ve cihazları üzerinde tanımlı kullanıcı yetkileri güncel ve kurumun yetki ve erişim kurallarına uygun olarak atanmalıdır.

Denetçi, organizasyonun ağ alt yapısında ağ ayrıştırması mevcut ise ağ dokümantasyo-nundaki mantıksal ve fiziksel şemalarda bu yapının güncel bir şekilde yer aldığını teyit etmelidir.

4.3.4. Ağ Cihazları Denetimi 4.3.4.1. Güvenlik Duvarı Denetimi

Güvenlik duvarı, iki ağ arasına yerleştirilen bir cihaz veya bileşenler koleksiyonudur ve tüm güvenlik duvarları iki temel özelliğe sa-hiptir: Bunlardan birincisi içeriden dışarıya ve dışarıdan içeriye akan tüm trafik güven-lik duvarı üzerinden geçmesidir. İkincisi ise, yerel güvenlik ilkesi tarafından tanımlandığı şekilde sadece yetki verilen trafiğin geçme-sine izin verilmesidir.

Bu denetim kategorisinde bilgi teknolojileri denetçisi şu konulara dikkat etmelidir:

• Güvenlik duvarının bulunduğu yerin sı-caklık ve nem gibi çevresel kontrolleri yapmalı ve çevresel kontrolleri izleyen ve muhafaza eden (varsa) oluşturulmuş prosedür incelenmelidir.

• Yetkili personelden kurumsal güvenlik politika metni istenmeli ve özellikle ko-rumalı ağlardan ve koko-rumalı ağlara akan yetkilendirilmiş trafiğin güvenlik politika-sında tanımlanmış oluğunu kontrol et-melidir.

• yetkili personelden yedekleme politika ve prosedür metni istemeli ve bu metin ay-rıntılı bir şekilde incelemelidir.

• Güvenlik duvarı politikaları yetkili perso-nel onaylamadığı sürece değiştirilmeme-lidir. Bu nedenle yetkili personelden gü-venlik politikasını değiştirme önerisi için onay belgesi veya yetkilendirme işlemini içeren e-postalar istemeli, ayrıca bu tür gereksinimleri belgelendiren güvenlik politika dokümanları istenmeli ve kontrol edilmelidir.

• Güvenlik duvarının uzaktan yönetimi ile ilgili politika ve prosedür kontrol edilme-lidir.

• Güvenlik duvarı firmasının önerdiği ya-maların güncel tutulduğunun kontrolü yapılmalıdır.

• Güvenlik duvarı loglarının izlenmesi ile ilgili oluşturulmuş politika ve prosedür istenmeli ve kontrol edilmelidir.

• Güvenlik duvarı kuralları yetkili personel ile birlikte kontrol edilmelidir.

4.3.4.2. Yönlendirici (Router) / Ağ Anahtarı (Switch) Denetimi

Ağdaki ip paketlerini bir ağdan başka bir ağa taşımaya yarayan cihazlar yönlendiriciler-dir. Yönlendirme için OSI modelinin üçüncü katmanı olan ağ katmanı kullanılır. Bir yön-lendiricinin amacı gelen ağ paketlerini ince-lemektir. Paketlerin, ağdan geçmesi için en iyi yolu belirler ve ağ anahtarından bağlantı noktasına (port) tam doğru bir şekilde

git-melerini sağlar. Yönlendiriciler büyük ağlar-da trafiği düzenleyen en önemli cihazlardır.

Ağ anahtarı, bilgisayarların ve diğer ağ öğe-lerinin birbirlerine bağlanmasına olanak veren ağ donanımlarından biridir. OSI mo-delinin ikinci katmanı olan veri katmanında çalışır. Yeni ağ anahtarları ise IP yönlendir-me yapabildiği için OSI modelinin üçüncü katmanı olan ağ katmanında da çalışır. Ağ anahtarının her bir kapısı diğerlerinden ba-ğımsız veri alış-verişinde bulunabilir.

Bu denetim kategorisinde bilgi teknolojileri denetçisi şu konulara dikkat etmelidir:

• Ekipman montaj ve sökülmesi ile ilgili politika ve prosedürler istenmeli ve kont-rol edilmelidir.

• Yazılı bir değişiklik kontrol politikası var mıdır, Konfigürasyon yedekleme ve geri yükleme nasıl yapılır, Onay süreci nedir, Değişiklikler nasıl test edilir gibi sorular sorularak geçerli ekipman değişim kont-rol sürecine ilişkin bilgiler alınarak de-ğerlendirilmelidir.

• Loglarının tutulması ve izlenmesi ile ilgili oluşturulmuş politika ve prosedür isten-meli ve kontrol edilisten-melidir.

• Ağ anahtarlarına yetkisiz sanal erişim-lere karşı parolaların şifrelenmiş olarak tutulduğu ve kurumsal güvenlik politika-larında yer alan parola güvenliğine uygun olarak yapılandırıldığı teyit edilmelidir.

• Cihazlar üzerinde çalışan işletim sistem-lerinin güncelliği teyit edilmelidir.

4.3.4.3. Uzak Erişim / VPN Denetimi

Sanal özel ağlar (VPN), özel veya internet gibi ortak ağlar üzerindeki noktadan nokta-ya bağlantılardır. VPN istemcisi, VPN sunu-cusu üzerindeki sanal bir bağlantı noktasına sanal bir arama gerçekleştirmek için, tünel protokolleri adı verilen özel TCP/IP tabanlı protokolleri kullanır. Tipik bir VPN dağıtı-mında, istemci, internet üzerinden uzaktan erişim sunucusuyla sanal noktadan noktaya bağlantı başlatır. Uzaktan erişim sunucusu

aramaya yanıt verir, arayanın kimliğini doğ-rular, verileri VPN istemcisi ile kuruluşun özel ağı arasında aktarır.

Veriler, noktadan noktaya bağlantıyı taklit etmek amacıyla üstbilgi kullanılarak kap-süllenir veya sarılır. Üstbilgi, verilerin bitiş noktalarına erişmeleri için, paylaşılan veya ortak ağ üzerinden çapraz geçebilmelerine olanak veren yönlendirme bilgileri sağlar.

Özel ağ bağlantısını taklit etmek için, gönde-rilen veriler gizlilik amacıyla şifrelenir. Pay-laşılan veya ortak ağda ele geçirilen paketle-rin şifreleri, şifreleme anahtarları olmadan çözülemez. Özel ağ verilerinin kapsüllendiği ve şifrelendiği bağlantı VPN bağlantısı ola-rak bilinir.

Bu denetim kategorisinde bilgi teknolojileri denetçisi şu konulara dikkat etmelidir:

• Mevcut Uzak Erişim / VPN yapılandır-masının kurumsal bilgi güvenliği politi-ka metninde yer alan yapıyı destekleyip desteklemediğini belirlemek için politika metni değerlendirilmelidir.

• VPN ağ geçidi sunucusuna yetkisiz fizik-sel erişimlerin kontrolü için sunucu oda-sı ziyaret edilerek yerinde alınan önlem-ler kontrol edilmelidir.

• VPN erişim yetkisine sahip kullanıcıların listeleri temin edilerek kullanıcılara ait yetkilerin kontrolü ve yetkilendirme sü-recinin kurumsal bilgi güvenliği metnin-deki politika ve prosedürlere uygun ola-rak gerçekleştirildiği kontrol edilmelidir.

• Loglama sisteminin etkin olduğunu kont-rol edilmelidir.

Özet olarak bilgi sistemleri denetçisi, bilgi teknolojileri sistemleri ağ altyapısına yöne-lik politika ve prosedürlerin varlığını teyit ederek, ilgili politika ve prosedürlerin iş-lerliğini incelemeli, fiziksel ve sanal ağların ayrıştırıldığını, ağ cihazları üzerinde çalışan uygulamaların uygun güvenlik çözümleri ile yetkisiz ve kötü niyetli erişimlere karşı ko-runduğunu, yasadışı eylemler ve siber sal-dırılara karşı gerekli alarm ve uyarı meka-nizmalarının varlığını, kablosuz ağ, uzaktan

erişim ve istemci-sunucu bağlantılarının şifreleme teknikleri kullanılarak ağ altyapı-sında güvenli bir şekilde konumlandırıldığını kontrol etmelidir.

Bilgi teknolojileri denetçisi, yerel ağ üzerin-de erişimi olan kullanıcı gruplarına ait bil-gileri edinmeli, ağ üzerinde çalışan cihaz-lara ait ayrıntılı ağ topolojilerini incelemeli, ağ kullanıcılarının yetki ve sorumluluklarını görevler ayrılığı ilkesine göre denetlemelidir.

5. SONUÇ

Bilgi teknolojileri altyapı ve süreçlerinin ken-dilerinden beklenen faydaları sağlayıp sağ-layamayacaklarına dair makul güvence al-mayı hedefleyen BT Denetiminin güvenilirlik ve yasalara uyum, bütünlük ve sürekliliğinin korunması, etkinlik, etkililik ve güvenlik gibi faydaları bulunmaktadır. BT denetiminin bir parçası olan BT altyapı kontrollerinin dene-timi ise BT denedene-timin temelini oluşturmak-tadır. Denetimin amacına göre uygulanması gereken işlemler değişiklik gösterebilir. Bu çalışmada, BT altyapı kontrolleri denetimle-rinde temel olarak uygulanması gerekli ol-duğu düşünülen konular ele alınmıştır.

Günümüz dünyasında tam güvenli bilgi sis-temleri alt yapısı oluşturmak mümkün de-ğildir. İster iç tehditler tarafından olsun is-terse dış tehditler tarafından olsun güvenliği sağlanmak istenen bilgi sistemleri alt yapı-sına bir şekilde erişim yapılarak verilerin ça-lınması yaşanan bir durumdur. Ancak yapı-lan denetimler sayesinde bilgi sistemleri alt yapısındaki açıklar belirlenmekte ve önlem-ler alınmaya çalışılmaktadır.

1. Vacca J. R. Computer and Information Security Handbook. - 2009.

2. 2007 Annual Study: U.S. Cost of a Data Breach Report: Ponemon Institute, 2008.

3. An Overview of Solaris 10 Operating System Security Controls, Brunette G., Sun