Internet dünyasında önemi gün geçtikçe artan güvenlik konusunu ve başlıca konuları Access Control (Erişim Kontrolü), Content Filtering (İçerik Filtreleme), Remote Access/Authentication (Uzak Erişim/Kimlik Doğrulama), VPNⁱ (Özel Sanal Ağ), High Availability (Yüksek Erişilebilirlik), ve Bilgi Teknolojileri'nin vazgeçilmez bir parçası olan Administration Training (Yönetim Eğitimi) başlıklarıyla toparlamamız mümkündür.

Güvenlik denildiğinde ilk sorgulanacak nokta kullanılan/kullanılacak haberleşme protokollerinin iyi bilinmesi ve de bu protokollerin data paketlerinin erişim seviyesinde sorgulanabilir olup olmadığının önemidir. Bilindiği üzere Internet dünyasında kullanılan protokollere, TCP (Tansmission Control Protocol), UDP (User Datagram Protocol), IP (Internet Protocol) ve de alt protokoller sınıfında da http (Hypertext Transfer Protocol), ftp (File Transfer Protocol), DNS (Domain Name Service) ve de smtp (Simple Mail Transfer Protocol) örneklerini verebiliriz.

Erişim Kontrolü

Erişim Kontrolü, Internet dünyasında kullanılan protokoller dahilinde akan paket trafiğinin sorgulanmasıdır. Bu seviyede "Hangi paket, hangi kaynaktan, hangi hedefe, hangi amaç için gönderiliyor?" sorusu önem taşımaktadır. Internet e açık ve aktif kullanımda olan bir ağ üzerinde, Internet bulutundan her hangi bir zaman diliminde binlerce paket girişi isteği söz konusu olabilir. Peki bu paketlerin sisteme zarar verip vermeyeceği ya da kötü niyetli olup olmayacağını nereden bileceğiz. Öte yandan, içeriye yönlendirilen paketler iç ağ da gereksiz bir bant genişliği kullanımına yol açabilir. Dolayısıyla trafiğin kontrolü, denetlenmesi ve de tek bir nokta ya da noktalardan akıtılması sonucu doğmaktadır. Bu da tabii ki ağın Internet e bağlanma amacına uygun bir politika dahilinde olacaktır. Bir politika dahilinde trafik kontrolüne Erişim Kontrolü denir.
Firewall' lar, ağlar arasında erişim kontrol politikasını zorunlu kılan bir sistem yada sistemler grubudur. Bir ağ için servis veren noktalar önem taşımaktadır. Erişim kontrolü politikası bu noktalar öncelikli olarak ele alınmalı ve de ağ içinden dış dünyaya çıkışların kısıtlanmaması da atlanmamalıdır. Bu noktalardan sonra gereksiz görülen tüm data bağlantıları için, erişim noktasına koyulacak bir Firewall bir duvar vazifesi görmektedir. Önemi ve de vazgeçilmezliği açık olan firewalların konfigürasyonu büyük önem taşımaktadır. Konfigürasyonu yapan kişinin söz konusu ağı çok iyi tanıması ve buna göre performansı da gözden kaçırmaması gerekmektedir. Bir Firewall global olarak kullanılan tüm haberleşme ve uygulama protokollerini desteklemelidir. Öte yandan günümüzde Firewall ların uygulama seviyesinde data paketlerine etki edebildikleri ve de NAT(Nerwork Adress Translation), VPN(Virtual Private Network), Detection of Malicious Activity gibi uygulamaları destekledikleri bilinmektedir. Bir başka deyişle firewallar protokol servisleri seviyesinde bir iç ağın dış dünyadan izole edilmesini yüksek seviyede sağlamaktadırlar.

İçerik Filtreleme

İçerik Filtreleme, Internet'te akan paketlerin içeriğine inip, kötü amaçlı ya da istenmeyen içeriklerin belirlenerek buna göre bir sorgulama biçimi oluşturulmasıdır. Firewallar bilindiği üzere uygulama seviyesinde sorgulamayı kısıtlı bir biçimde gerçekleştirmektedirler ve de virus, Java, Active-x gibi olası tehlikeleri sorgulamamaktadırlar. Ancak Firewall dan açılmış bulunan bir servis için iç ağa gelen paketlerin içeriğinde(uygulama seviyesi) kötü amaçlı bir materyale sahip olup olmadığını sorgulamak gerekmektedir. Bu kötü amaçlı içeriğin iç ağa girişine izin vermek, ağın göçmesine ya da saklı bulunan bilgilerin kaybedilmesine yol açabilir. İçerik Filtreleme yapan araçlar, bir bilgisayara ya da ağa giren paket içeriklerinin, sürekli Internet aracılığıyla güncellenen tanım kütüphaneleriyle karşılaştırarak hasar verici olup olmadıklarını sorgularlar ve zararlı parçaların paketlerden ayıklanması yada tüm olarak paketlerin filtrelenmesini sağlamaktadırlar. Duyarlılıkları, örneğin bir mail paketi için text seviyesinde geçen bir kelimenin algılanılabilmesine kadar yükselmektedir. Bu örnekte istenmeyen kelimeler içeren mesajların kabulu ya da web sayfalarına ulaşım kısıtlanabilmektedir.

VPN

Özel Sanal Ağ, tanımından da anlaşılacağı gibi bir iç ağa Internet üzerinden yapılan tünel tanımlamalarıyla farklı bir lokasyonda bulunan ve iç ağda gibi davranması istenilen bilgisayar yada diğer ağların bu ağa bağlanmalarıdır. Tünel tanımından kasıt, kurulacak olan bağlantıda paketlerin Internet üzerinden geçeceğinden herhangi bir araç (sniffer gibi) yardımıyla elde edilebilirliğini kısıtlamak ve de bu tünele sızmaları engellemek için "Şifreleme" ve "Kimlik Sorgulama" gibi yöntemlerin kullanılarak tamamiyle izole bir hat kurulmasıdır. VPN tanımlamaları da belirli bir politika dahilinde yapılacak olan kısıtlamalarla gerçekleştirilmelidir. Tüneller, gezici çalışanları bulunan şirketlerde tek bir bilgisayardan iç ağa bağlanma gereksinimini beraberinde getirmektedir. Peki ya bağlanan makineye sızılır ise? Yani bağlanan makinenin de korunması gerekmektedir. Bu da VPN uygulamalarında bağlanan bilgisayarın o bağlantıya has ve bir kişisel firewall gibi davranan bir aracı da desteklemelidir. Ağlar arasında kurulan tünellerde ise her iki ağın da bir politika ile korunuyor olması gerekmektedir. Kendisini korumayan bir şubenizle VPN yaparmıydınız?

Kimlik Doğrulama

Kimlik Doğrulama bir kişinin iddia ettiği kişi olduğunu doğrulamaktır. Kimlik doğrulamanın en genel biçimi logon şifreleridir. Bu şifreler, unutulabilir, çalınabilir, tahmin edilebilir yada kaza ile ortaya çıkarılabilir. Bu durumları engellemenin en basit yolu token denilen ve üzerinde rasgele nümerik şifre üreten algoritmaların koştuğu ya da statik kişisel bilgileri saklayan donanım bazlı mikrochipler kullanmaktır. Böylelikle şifre yöntemi elle tutulur, inkar edilemez ve güvenli bir hale gelmektedir. Bu yöntemde önemli olan bir başka nokta da sistemin bir çok uygulamaya entegre edilebilir olmasıdır.

Sürekli Servis Erişilebilirliği

Bir Firewall, bir iç ağa ve bir iç ağdan dışarıya akan trafiğin geçtiği noktadır. En basitinden herhangi bir sebeple üzerinde koştuğu donanımın zarar görmesi halinde Firewall işlevini yerine getiremeyecek hale gelecek ve trafik duracaktır. Yerine geri getirilmesi belirli bir zaman alacaktır. Bu zaman aşamasında verilen servis duracak, bu da zaman, iş ve para kaybına yol açacaktır. Böyle bir durumda yedekte tutulan bir firewall' un devreye alınması çözüm olarak öne sürülebilir ancak çok kritik durumlarda bağlantıların kesinlikle kesilmesi istenmiyorsa hemen devreye girebilecek bir sistem gerekliliği ortaya çıkmaktadır. Bu da aynı ip yi kullanan ve de fiziksel olarak farklı makineleri işaret eder. Aynı anda Yük Paylaşımı özelliğine de sahip olan bu araçlar sürekli servislerde vazgeçilmez hale gelmektedir.

Yönetim Eğitimi ve Servisler

Yukarıda anlatılan konular, bir güvenlik politikası oluşturulmasında birer vazgeçilmez parça olacaktır. En az bu kadar önem taşıyan bir başka konuda varolan sistemin iyi tanınmasıdır.Bu, gelecekte hayata geçirilebilecek uygulamalara açık olması ve de uygulanan yöntemlere hakim olunması açısından önem taşımaktadır. Öte yandan güvenlik için gerekli olan tüm araçların yönetimi, konfigürasyonu ve kurulumlarının bilinmesi de bir başka önemli konudur. Herhangi bir şekilde(Saldırılar, sistemdeki boşluklar, fiziksel sorunlar) ortaya çıkan bir problemi aşmak, sistemin devamlılığını sağlamak, bilgi bütünlüğünü korumak ve her seviyede yeterli olacak bir güvenlik politikası oluşturmak için eğitim gerekliliği kaçınılmaz bir gereksinim olacaktır. Ayrıca hizmette olan, güvenli varsayılan sistem mutlaka uzman kişilerce periyodik olarak kontrol edilmeli, oluşan açıklara çareler üretilmelidir. "Doğru ve temkinli yönetilen, sürekli ve periyodik olarak kontrol edilen bir sistem 'güvenli' tanımına en yakın sistemdir."

__________________________