Kurumsal Ortamda Kablosuz Ağ Güvenliğinin Sağlanması

0
480
views
Kurumsal ortamlarda misafir kullanıcılara ve kurum çalışanlarına hizmet vermek amacı ile kablosuz ağ yayınları yapılmaktadır. Bu yazıda, kablosuz ağ erişimlerindeki bileşenler için bilgi güvenliği bakış açısı ile uygulanması tavsiye edilen bir takım kurallar listelenecektir.

Not: Yazıda belirtilen önerilerin bir kısmı beraber olarak kullanılamayabilmekte veya kullanılan uygulamanın desteği bulunmayabilmektedir.

 

A) Kablosuz Ağ Ortamındaki Bileşenler

Birçok kurumda kurum ortamına ve internete bağlanmak isteyen kurum personeli için kablolu ve kablosuz ağ seçenekleri bulunmaktadır. Misafir kullanıcılar (toplantı veya bir çalışma için gelen danışmanlar, oteldeki / restorandaki müşteriler,…) için ise genellikle sadece kablosuz ağ üzerinden (kimisinde ise kablolu ağın misafir VLAN‘ı üzerinden) internete eriştirme yoluna gidilir. Kablosuz ağ iletişimindeki istemci bileşenler aşağıdaki gibi sıralanabilir.

  • Misafir İstemcileri: Yönetimi kurum tarafından yapılmayan, kurum etki alanı içerisinde yer almayan ve genellikle kurum yerleşkesinden internete çıkma ihtiyacı olan misafir kullanıcılara ait cihazlardır. Bu cihazlar telefon, tablet veya bilgisayar olabilir.
  • Kurum İstemcileri: Genellikle kurum Aktif Dizini ile yönetilen ve kurum personeli tarafından kullanılan cihazlardır.

İstemcilerin iç ağa veya internete erişimleri sırasında kullanılan ve kurum personeli tarafından yönetilen bir takım bileşenler bulunmaktadır. Bu bileşenlerden en önemlileri aşağıdaki gibi sıralanabilir.

  • Erişim Noktaları (Access Point – AP): İstemcilerin yayına bağlanmasını sağlayan cihazlardır.
  • Wireless Controller: Erişim noktalarının bağlı olduğu ve yönetildiği cihazlardır.
  • Kablosuz Ağ Yönetim Arayüzü: Wireless Controller cihazlarının yönetildiği arayüzdür. Bir arayüz üzerinden birden fazla Wireless Controller yönetimi gerçekleştirilebildiği gibi her Wireless Controller’ın kendine ait yönetim arayüzü de olabilir.
  • Captive Portal Arayüzü: Misafir istencilerin bağlandığı ve misafir kullanıcıların kimlik doğrulama bilgilerini kullanarak internete erişim gerçekleştirmelerini sağlayan web uygulamasıdır.

 

B) Kablosuz Ağ Yayınları

SSID (Service Set IDentifier), kablosuz ağ yayınını tanımlayan isimdir. Bir erişim noktasından birden fazla yayın yapılabilmektedir. Birden fazla erişim noktasından aynı yayın yapılması sağlanarak hareketlilik (mobility) sağlanmış olur. Böylece, Kurumun Ağrı ofisindeki kablosuz ağ yayınını kullanan bir personel, Edirne ofisine geldiğinde aynı yayın üzerinden erişimlerine (kısmen de olsa) devam edebilir.

Kablosuz ağ yayınları ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Erişim noktaları üzerinden gereksiz kablosuz ağ yayını yapılmamalıdır.
  • Kurumlarda bir takım testler için kablosuz ağ yayınlarının açılması gerekebilir. Erişim noktaları üzerinden yayınlar geçici süre ile açılıyorsa, bu sürenin sonunda kapatılmalıdır.
  • Erişim noktaları üzerinden yayınlar belirli bir yerleşke için açılıyorsa, bu yayınlar sadece ilgili erişim noktalarından yapılmalıdır. Örneğin, Mardin ofisindeki bir çalışma için açılan bir yayın, Artvin ofisindeki personel veya misafir erişmesinin önüne geçilmiş olur.
  • Kurumsal kablosuz ağ yayınının isimlendirmesi gizli (hidden) olarak ayarlanmalıdır. Gizli SSID ve şifreli protokoller kullanılsa bile, Association masajlarında SSID açık metin olarak gittiği için, SSID gizlemenin etkin bir önlem olduğu söylenemez. Ancak yine de SSID gizleme işlemi yetkin olmayan kullanıcılar için bir seviye koruma sağlayacaktır.
  • Kablosuz ağ güvenlik protokolü olarak WEP ve WPA kullanılmamalı, WPA2 (WPA2-PSK veya WPA2-Enterprise) tercih edilmelidir.

Not: WPA3, bazı cihazlar tarafından henüz desteklenmemektedir.  WPA3 çok daha güvenilir olarak ortaya çıkmasına rağmen, zafiyetleri de çıkmıştır.

 

C) Kurumsal Kablosuz Ağ Yayını

Kurum personelinin kurum ortamına bağlantısını sağlayan ağ yayınları bir veya birden fazla olabilir. Örneğin üst yönetimin, IT personelinin ve diğer personelin bağlandığı veya Ankara’daki, İstanbul’daki ve Bursa’daki personelin bağlandığı ağ yayınları birbirinden farklı isimde olabilir. Kurumsal ağ yayınları ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Kurumsal kablosuz ağa bağlanılırken, kurum personelinin erişimi için WPA2-Enterprise (802.1x) kullanılmalıdır.
  • Kurumsal kablosuz ağa bağlanılırken, kurum bilgisayarı ve bağlanan kullanıcının kimliği doğrulanmalıdır.

 

D) Kurum İstemcileri

Kurum personelinin kurumsal kablosuz ağ yayınına bağlantı kurarken kullandığı istemci cihazlar genellikle merkezi olarak etki alanı (Domain) yapısı üzerinden yönetilir. Bu istemcilerin güvenliği ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Kurum bilgisayarlarında aynı anda hem kablolu hem de kablosuz ağa erişim sağlanmasını (bridge mod) önleyecek şekilde ayar yapılmalıdır.
  • Kurum bilgisayarları ile bir ağa bağlanıldığında o ağdaki diğer istemciler ile haberleşilememesi için kurum bilgisayarlarının kablosuz ağ ayarları ad-hoc modda kullanılmaya izin verilmeyecek şekilde yapılandırılmalıdır.
  • Kurum bilgisayarlarındaki ayarlar grup ilkeleri (Group Policy) ile yapılmalı ve yetkili yerel bir kullanıcı tarafından değiştirilememelidir.

 

E) Misafir Ağ Yayınları

Kurum yerleşkesindeki misafir kullanıcıların kullanmaları için ağ yayını yapılabilir. Bu ihtiyacın sebebi müşteri memnuniyeti, danışmanların çalışmalarındaki verimliliği arttırma,… olabilir. Farklı ofislerdeki veya aynı ofisin farklı katlarındaki yayınlar birbirinden farklı olabilir.

Misafir ağlarına girilmesi için kullanıcıya önce WPA2-PSK parola girişi sağlanmalı, sonra da kullanıcı Captive Portal üzerinden bir onay sürecine dahil edilmelidir.

WPA2-PSK parola koruması ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Misafir ağlarına giriş için kullanılan WPA2-PSK parolaları karmaşık olarak ayarlanmalıdır.
  • Misafir ağlarına giriş için kullanılan WPA2-PSK parolaları periyodik olarak güncellenmelidir.
  • Misafir ağlarına giriş için kullanılan WPA2-PSK parolaları sadece kurum personeli ile güvenilir bir yöntemle paylaşılmalıdır.

WPA2-PSK parola koruması sonrasında misafirin kimliğini tanımak için kullanılan Captive Portal koruması ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Captive Portal oturum açma ekranında misafir kullanıcısına ait bilgiler alınabilir. Bu bilgiler TCKN, isim, soyisim, oda numarası, telefon numarası, sponsor çalışanın e-posta adresi olabilir.
  • Kullanıcının misafir ağına bağlanabilmesi için, sponsor kurum çalışanı uygunluk vermelidir. Bu amaçla, sponsor kurum çalışanına mail üzerinden onay linki veya telefonuna mesaj gönderilmesi sağlanmalıdır.
  • Sponsor çalışan, misafir ağı için kullanıcıya süreli (en fazla 2 hafta gibi) boyunca bağlantı izin verebilir.

Bunların yanında ek bir koruma katmanı olarak, misafir ağına bağlanan cihazların MAC adresleri sisteme manuel olarak kayıt edilmeli ve periyodik olarak bu MAC adresleri gözden geçirilmelidir. MAC adresleri ağ üzerinden açık metin olarak iletilmekte ve herkes tarafından okunabilmektedir. Saldırganlar tarafından elde edilen bu MAC adresleri spoof edilerek, MAC kontrolleri atlatılabilir. Ancak yine de MAC adresi kaydetme işlemi yetkin olmayan kullanıcılar için bir seviye koruma sağlayacaktır.

 

F) Topoloji

Kablosuz ağ topolojisi tasarlanırken üreticilerin sunduğu öneriler değerlendirilmelidir. Bunun yanında sektördeki en iyi pratiklere (best practices) de dikkat etmek gereklidir. Ağ topoloji ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Misafir ağı kurum ağına erişim sağlayamamalı, hem Wireless Collector cihazları, hem de kuruma ait güvenlik duvarı üzerinde gerekli erişim kuralları yazılmalıdır.
  • Misafir ağının internete çıkışı kurum ağından ayrı bir ağ ve cihazlar üzerinden gerçekleştirilmelidir.
  • Misafir ağından internete erişimler kablosuz ağ geçidinden sonra DMZ üzerinden yapılmalıdır.
  • Erişim noktaları üzerinde yapılan her yayın ayrı bir VLAN üzerinde olmalı ve gerekli erişim kontrolleri yapılmalıdır.
  • Özellikle misafir ağında tünelleme gibi teknikler ile güvenlik kontrollerinin atlatılamaması için gerekli önlemler alınmalıdır.

 

G) Yönetim

Kablosuz ağ yönetiminde kullanılan bileşenler kurumun ağ yönetimi ile ilişkili personeller tarafından yönetilmelidir. Kablosuz ağ yönetimi ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Erişim noktaları ve Wiress Controller cihazları merkezi olarak yönetilmelidir.
  • Kablosuz ağ yönetiminde kullanılan bileşenlerin yönetimi için ayrı ağ arayüzleri (management interface) kullanılmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerin yönetimi, gerekli güvenlik önlemleri alınmış kablolu ağ üzerinden, yönetim arayüzlerine bağlanarak gerçekleştirilmelidir.

 

H) Ağ Erişimleri

Kablosuz ağ yönetimi ve kullanımı sırasında yapılan erişimler aşağıdaki gibi sıralanabilir.

  • Kurumun ağ yönetimi personeli ile kablosuz ağ yönetiminde kullanılan bileşenler arasındaki erişimler
  • Misafir istemcilerin Captive Portal ile olan erişimleri
  • Captive Portal cihazları arasındaki erişimler
  • Erişim noktaları ve Wireless Controller cihazları arasındaki erişimler
  • Wireless Controller cihazlarının birbirleri ile olan erişimler
  • Captive Portal cihazları arasındaki erişimler

Bu erişimler ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere yapılan erişimler, ağ üzerinden sadece ilgili cihaz yöneticilerine açık olmalıdır.
  • Ağ trafiğinde araya girilebilen (MITM) ortamlarda açık metin trafik oluşturan protokollerin (Telnet, FTP, HTTP, LDAP… gibi) kullanılması durumunda, kablosuz ağ yönetiminde yapılan işlemler (kimlik doğrulama, yönetim çalışmaları gibi) izlenebilir veya değiştirilebilir. Bunun yanında açık metin ağ trafiğinin saklandığı veya kayıtlarının izlendiği sistemlerde de yazılan kimlik bilgileri okunabilir veya yapılan işlemler görülebilir. Bu sebeple, kablosuz ağ yönetiminde kullanılan tüm bileşenlere yapılan erişimler, şifreli ve güvenilir (SSH, FTPS, SFTP, HTTPS, LDAPS, SNMPv3, S2S VPN gibi) yöntemler ile yapılmalıdır.
  • Şifreli trafik kullanılmasına rağmen, kablosuz ağ yönetiminde kullanılan bileşenlere olan erişimler IP ile sağlanmakta ve / veya self-signed sertifikalar kullanılmaktadır. Bu gibi bir durumda araya girebilen bir saldırgan, kendi sertifikasını yönetim yapacak personele sunması ile yönetici personelin, kurum personelinin veya misafir kullanıcının bu sertifikaya güvenmesini sağlar ve saldırgan şifreli trafiği okuyabilir veya değiştirebilir. Bu sebeple, kablosuz ağ yönetiminde kullanılan tüm bileşenlere yapılan erişimlerde güvenilir sertifika otoriteleri tarafından imzalanmış sertifikalar kullanılmalıdır.
  • Tüm şifreli trafiklerde güvenilir özetleme algoritmaları (SH256, SHA512 gibi), şifreleme algoritmaları (AES 128, RSA 2048 gibi) ve protokoller (TLS1.1, TLS 1.2 gibi) kullanılmalıdır.

 

I) Kimlik Doğrulama ve Kullanıcı Yönetimi

Kablosuz ağ yönetimi ve kullanımı sırasında gerçekleşen kullanıcı doğrulama işlemleri ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Kurumun ağ yönetimi personeli ile kablosuz ağ yönetiminde kullanılan bileşenler arasındaki erişimler
  • Misafir istemcilerin Captive Portal ile olan erişimleri

Bu kimlik doğrulama işlemleri sırasında dikkat edilmesi gereken hususlar aşağıdaki gibi sıralanabilir.

  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere yapılan erişimlerde varsayılan kimlik bilgileri (parolalar, kriptografik anahtarlar gibi) değiştirilmelidir.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerde oturum açmak için kullanılan kullanıcıların parolaları kuruma ait parola politikasına göre karmaşık olarak belirlenmeli ve periyodik olarak değiştirilmelidir.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerde oturum açılırken, bir kaç tane yanlış kimlik bilgileri girildiğinde, CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) gibi bir kontrol kullanılmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerde oturum açabilen varsayılan olarak gelen ortak / generic hesaplar (admin / root / administrator / manager gibi) kullanılmamalı, kişiye özel kullanıcılar ile oturum açılmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerde oturum açabilen ayrıcalıklı kullanıcıların kimlik bilgileri merkezi bir parola deposunda / kasasında saklanmalı ve güvenilir bir yöntem ile belirli kişiler tarafından erişilebilir olmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerde oturum açabilen ayrıcalıklı kullanıcılar sadece acil durumlar için kullanılmalı, gerekli çalışma yapıldıktan sonra kullanılan parola bilgisi değiştirilerek merkezi bir parola deposunda saklanmalı ve acil durum ile ilgili işlemler raporlanmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere yapılan erişimlerde, sadece ilgili cihaz yöneticilerine oturum açma izni verilmiş olmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerde oturum açabilen ilgili cihaz yöneticileri için oluşturulmuş kullanıcı hesaplarının kimlik doğrulaması merkezi bir sistem üzerinden (Microsoft Aktif Dizin gibi) sağlanmalıdır. Bu amaçla RADIUS, TACACS+ gibi platformlar kullanılabilir.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere yapılan erişimlerde, oturum açabilmek için kullanıcı adı ve parolanın kullanılmasının yanında, ikinci faktör (OTP gibi) de kullanılmalıdır.

 

J) Güvenlik Kontrolleri

Güvenlik kontrolleri ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Kurumsal kablolu ağda uygulanan güvenlik önlemleri (802.1x, NAC, ağ erişim yetkileri,…), kurumsal kablosuz ağda da uygulanmalıdır.
  • Bağlantı koparma (de-authentication), ağı dinleme (sniffing), IP taklidi (spoofing) gibi saldırılar başta olmak üzere, kablosuz ağlarda DHCP Snooping ve Dynamic ARP Inspection gibi koruma mekanizmalarını sağlayacak şekilde switch, güvenlik duvarı, antivirüs, IPS gibi ağ cihazları ve güvenlik ürünleri konumlandırılmalıdır.
  • Erişim noktalarının bulunduğu yerlerdeki harici yayınlar izlenmeli ve kurum tarafından aynı isimle bir yayın yapılması durumunda alarm oluşmalı ve gerekli aksiyonlar alınmalıdır.
  • Kablosuz ağın bulunduğu ortamlarda trafiğin kurum dışına çıkmaması için Wireless IPS kullanılmalıdır.

 

K) Yama Yönetimi

Yama ve zafiyet yönetimi ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere ait işletim sistemi ve web uygulamaları periyodik olarak güncellenmelidir.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere ait işletim sistemi ve web uygulamaları zafiyet taramaları periyodik olarak gerçekleştirilmelidir.
  • Kurum içindeki ve belli bir yakınlıktaki kablosuz ağ yayınlarının keşfi (war driving) periyodik olarak yapılmalıdır.
  • Kurum içindeki kablosuz ağlara yönelik sızma testleri periyodik olarak yapılmalıdır.

 

L) Erişilebilirlik

Kablosuz ağların beklendiği süre boyunca hizmet vermesi önemlidir. Kablosuz ağların erişilebilirliği ile ilgili dikkat edilebilecek temel hususlar aşağıdaki gibi sıralanabilir.

  • Kablosuz ağ yönetiminde kullanılan tüm bileşenler yedekli olarak çalışmalıdır.
  • Birbirine yakın yerleşkelerdeki Wireless Controller cihazları aynı cluster yapıda ve aynı mobility domain içerisinde yönetilmelidir.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlerdeki gerekli yapılandırma ayarları, periyodik olarak harici bir konumda yedeklenmeli ve bütünlüğü garanti altına alınmalıdır.

 

M) Diğer Kontroller

Kablosuz ağların kullanımı ve yönetimi ile dikkat edilebilecek diğer temel hususlar aşağıdaki gibi sıralanabilir.

  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere fiziksel olarak erişimler güvenli bir şekilde sağlanmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenlere oturum açabilen kullanıcılara rol ve sorumluluklarına göre yetkilendirme gerçekleştirilmelidir.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenler üzerinde gerçekleştirilen işlemlere ait kayıtlar (yönetici aktiviteleri ve ağ trafik logları) merkezi kayıt sistemine aktarılmalı ve bütünlüğü garanti altına alınmalıdır.
  • Çalınmış kurum personelinin cihazı ağa dahil olması durumunda alarm oluşmalı ve gerekli tedbirler alınmalıdır.
  • Kablosuz ağ yönetiminde kullanılan tüm bileşenler için yukarıda belirtilen erişim kontrolleri, kullanıcı yönetimi, yetkilendirme gibi konular periyodik olarak denetlenmelidir.

 

Kaynaklar:

https://www.dijitaldonusum.gov.tr/wp-content/uploads/2019/03/AGY.2.1-Kablosuz-Aglarin-Isletimi.pdf
https://www.dijitaldonusum.gov.tr/wp-content/uploads/2019/02/AGY.2.2-Kablosuz-Aglarin-Kullanimi.pdf
http://docplayer.biz.tr/222907-Kablosuz-yerel-alan-agi-guvenligi-kilavuzu.html

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz