Kurumsal Ortamda Yönetim Arayüzlerinin Güvenliğinin Sağlanması

Kurumsal ortamlarda switch, router, güvenlik duvarı, kablosuz ağ, web siteleri, yazıcılar, antivirüsler, sanallaştırma ortamları, yedekleme sistemleri,… gibi bir çok bileşen merkezi veya dağıtık arayüz(ler) tarafından yönetilmektedir. Yönetim arayüzleri bir web sayfası, konsol, pencere veya panel olarak da isimlendirilebilir. Bu yazıda, yönetim arayüzleri için bilgi güvenliği bakış açısı ile uygulanması tavsiye edilen bir takım kurallar listelenecektir.

Not: Yazıda belirtilen önerilerin bir kısmı beraber olarak kullanılamayabilmekte veya kullanılan uygulamanın desteği bulunmayabilmektedir.

Bu yazıda belirtilen aşağıdaki konu başlıkları ayrı yazılarda detaylandırılacaktır.

• Kurumsal ortamda parola politikası
• Ayrıcalıklı hesapların kimlik bilgilerinin yönetimi
• Kimlik bilgilerinin veritabanlarında güvenilir olarak saklanması
• Yetkilendirme kontrolleri

 

A) Servis Mevcudiyeti

• Yönetim arayüzleri ile ilgili kontrollerden ilki gereksiz / kullanılmayan yönetim arayüzlerinin kapatılmasıdır. Örneğin yazıcıların arayüzler tarafından uzaktan erişim yöntemi ile yönetilmediği ortamlarda, yazıcı yönetim konsolları kapatılabilir.

 

B) Ağ Erişimleri

• Ağdaki herkes tarafından erişilebilen yönetim arayüzleri saldırı yüzeyini arttırmaktadır. Bu sebeple, yönetimsel arayüzler sadece ilgili personelin ağ erişimine açık olması gereklidir.
• Bazı durumlarda son kullanıcıların bağlandığı arayüz ile yönetimsel arayüzlerin IP ve port bilgileri aynı olabilir. Örneğin, web sitelerinin içeriklerinin yönetimleri için bağlanılan arayüzlerde bu gibi durumlar ile karşılaşılmaktadır. Bu gibi durumlarda, uygulama üzerinde ilgili URL’e erişimi engelleyecek teknikler (URL_rewrite gibi) kullanılmalıdır.
• Ağ trafiğinde araya girilebilen (MITM) ortamlarda açık metin trafik oluşturan protokollerin (Telnet, FTP, HTTP, LDAP… gibi) kullanılması durumunda, yönetimsel arayüzlerde yapılan işlemler (kimlik doğrulama, yönetim çalışmaları gibi) izlenebilir veya değiştirilebilir. Bunun yanında açık metin ağ trafiğinin saklandığı veya kayıtlarının izlendiği sistemlerde de yazılan kimlik bilgileri okunabilir veya yapılan işlemler görülebilir. Bu sebeple, yönetimsel arayüzlerde güvenilir protokoller (SSH, FTPS, SFTP, HTTPS, LDAPS,… gibi) kullanılmalıdır.
• Yönetimsel arayüzlere erişimlerde kullanılan şifreli trafiklerde güvenilir özetleme algoritmaları (SH256, SHA512 gibi), şifreleme algoritmaları (AES 128, RSA 2048 gibi) ve protokoller (TLS1.1, TLS 1.2 gibi) kullanılmalıdır.
• Şifreli trafik kullanılmasına rağmen, yönetimsel arayüzlere erişimler IP ile sağlanmakta ve / veya self-signed sertifikalar kullanılmaktadır. Bu gibi bir durumda araya girebilen bir saldırgan, kendi sertifikasını yönetim yapacak personele sunması ile personelin bu sertifikaya güvenmesini sağlar ve saldırgan şifreli trafiği okuyabilir veya değiştirebilir. Bu sebeple, yönetimsel arayüzlere erişimlerde güvenilir sertifika otoriteleri tarafından imzalanmış sertifikalar kullanılmalıdır.

 

C) Kimlik Doğrulama ve Kullanıcı Yönetimi

• Güvenliğin gözardı edildiği bazı uygulamalarda kimlik doğrulaması olmadan yönetim penceresinde işlem yapılabilmektedir. Kurumsal ortamda bu gibi yönetim arayüzler bulunuyorsa, kimlik bilgisi doğrulaması için ayarlar eklenmelidir.
• Bir çok sistem / uygulama ağa varsayılan parolaları (veya kriptografik anahtarları) ile kurulur. İnternette varsayılan parolalar için bir çok sözlük (password dictionary) bulunmakta veya üretici sitesinde / kurulum dokümanlarında bu kimlik bilgileri tespit edilebilmektedir. Bu sebeple yönetim arayüzlerinde (ve kurumsal / bireysel kullanılan tüm sistemlerde / uygulamalarda) varsayılan parolalar değiştirilmelidir.
• Varsayılan parolaların değiştirilmesine rağmen, kolay / tahmin edilebilir parolaların verilmesi uygulamanın ele geçirilmesine sebebiyet verilmektedir. Yönetimsel arayüzlerde oturum açmak için kullanılan kullanıcıların parolaları kuruma ait parola politikasına göre karmaşık olarak belirlenmeli ve periyodik olarak değiştirilmelidir.
• Kimlik doğrulama aşamasında kullanılan kullanıcı adının değiştirilmesi kaba kuvvet saldırılarını zorlaştırabilmektedir. Bu sebeple, yönetimsel arayüzlerde oturum açmak için varsayılan olarak gelen kullanıcı hesapları devre dışı bırakılmalı, aynı yetkiler ile farklı isimde bir kullanıcı hesabı oluşturulmalıdır.
• Oturum açma ekranlarında kimlik bilgisi denemeleri yapılırken otomatik araçlar kullanılır. Bu araçlar ile yapılan her kimlik doğrulama denemesinden sonra, sayfa içeriği kontrol edilir ve hatalı kimlik bilgisi girilmişse (doğru kimlik bilgisi tespit edilene dek) yeni / bir sonraki kimlik bilgisi ile deneme gerçekleştirilir. Bu deneme işlemlerinin otomatik olarak gerçekleştirilememesi için yönetimsel arayüzlerde oturum açılırken bir kaç tane yanlış kimlik bilgileri girildiğinde CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) gibi bir kontrol kullanılmalıdır.
• İşlem kayıtlarında yapılan bir çalışmanın hangi çalışan tarafından yapıldığının tespit edilmesi için, ortak (generic) kullanıcıların kullanılmaması önem arzetmektedir. Ayrıca kötü niyetli yapılan veya hatalı yapılan bir işlemin sahibinin / sorumlusunun tespiti için de kullanıcı adı değerli bir bilgidir. Bu sebeple, yönetimsel arayüzlerde oturum açabilen varsayılan olarak gelen ortak hesaplar (admin / root / administrator / manager gibi) kullanılmamalı, kişiye özel kullanıcılar ile oturum açılmalıdır.
• Yönetimsel arayüzlerde oturum açabilen varsayılan olarak gelen ayrıcalıklı hesaplar sadece gerekli olduğu durumlarda kullanılmalıdır. Yönetimsel arayüzlerde oturum açabilen bu ayrıcalıklı kullanıcıların kimlik bilgileri merkezi bir parola deposunda / kasasında saklanmalı ve güvenilir bir yöntem ile belirli kişiler tarafından erişilebilir olmalıdır.
• Yönetimsel arayüzlerde oturum açabilen ayrıcalıklı kullanıcılar sadece acil durumlar için kullanılmalı, gerekli çalışma yapıldıktan sonra kullanılan parola bilgisi değiştirilerek merkezi bir parola deposunda saklanmalı ve acil durum ile ilgili işlemler raporlanmalıdır.
• Bir çok farklı uygulamada kimlik bilgisi olan kullanıcılar her sistem için farklı kimlik bilgisi kullandığında, bu kimlik bilgilerini bir takım yerlere kaydetmek veya kolay parola kullanmak zorunda kalmaktadır. Bu sebeple, yönetimsel arayüzlerde oturum açabilen kişiye özel kullanıcıların kimlik doğrulaması merkezi bir sistem üzerinden (Microsoft Aktif Dizin gibi) sağlanmalıdır. Bu amaçla RADIUS, TACACS+ gibi platformlar kullanılabilir. Böylece işten ayrılma veya görev değişikliği gibi bir durumda, merkezi kimlik yönetimi sistemi (Identity Management – IDM) üzerinden kullanıcının devre dışı bırakılması veya grup bilgisinin değişmesi sayesinde, bu kullanıcı hesabı ile oturum açılamaması sağlanmış olur.
• Yönetimsel arayüzlerde oturum açabilen kullanıcıların kimlik bilgileri ayrı bir merkezi yapıda değil de kendisi üzerinde saklanıyorsa, bu kimlik bilgileri veritabanlarında güvenilir olarak saklanmalıdır.
• Standart bir kullanıcı ağ erişimi olsa bile, kendi kimlik bilgilerini kullanarak yönetimsel arayüzlerde oturum açamamalıdır. Yönetimsel arayüzlerde sadece yönetim işlemi yapacak olan kullanıcılar / personel oturum açabilmelidir.
• Yönetimsel arayüzlerde oturum açabilen kullanıcıların kullanıcı adı ve parolası ele geçirilmiş olsa ve ağ üzerinden erişim sağlanabiliyor olsa bile, yönetim arayüzünde oturum açılamaması için ek güvenlik önlemleri kullanılmalıdır. Bu amaçla, yönetimsel arayüzlerde oturum açabilmek için kullanıcı adı ve parolanın kullanılmasının yanında, ikinci faktör (OTP gibi) de kullanılmalıdır.

 

D) Diğer Kontroller

• Yönetimsel arayüzler üzerinden oturum açabilen kullanıcılara rol ve sorumluluklarına göre yetkilendirme gerçekleştirilmelidir.
• Yönetimsel arayüzlerde gerçekleştirilen işlemlere ait kayıtlar (yönetici aktiviteleri ve ağ trafik logları) merkezi kayıt sistemine aktarılmalı ve kayıtların bütünlüğü garanti altına alınmalıdır.
• Yönetimsel arayüzlerdeki yapılandırma ayarları, periyodik olarak harici bir konumda yedeklenmeli ve bütünlüğü garanti altına alınmalıdır.
• Yönetimsel arayüzlerde yapılan entegrasyonlar için kimlik bilgileri arayüz üzerinde maskelenmiş gözükse bile, kaynak kod üzerinden de elde edilememesi gerekmektedir.
• Yönetimsel arayüzler ve kullandığı servisler periyodik olarak güncellenmelidir.
• Yönetimsel arayüzler üzerinde özellikle uygulama zafiyetlerine yönelik sızma testleri periyodik olarak gerçekleştirilmelidir.
• Yönetimsel arayüzlerdeki yukarıda belirtilen erişim kontrolleri, kullanıcı yönetimi, yetkilendirme gibi konular periyodik olarak denetlenmelidir.