I. Fiziksel Güvenliğin Sağlanması

Network ve bilgisayar üzerindeki güvenlik bilgisayarlar üzerindeki güvenli ayarlarının yapılmasıyla sağlanır. Bir bilgisayar üzerindeki bir açık bütün networkün güvenliğini tehdit eder.

A. Windows 2000 Bilgisayarlarda Güvenliğin Planlanması

Bilgisayar üzerindeki veriler çok değişik risklerin etkisi altındadır. Bu nedenle kritik verilere sahip olan bilgisayarların güvenliğinin sağlanması gerekir. Fiziksel güvenliğin sağlanması, donanım ve yazılımın uygun şekilde kurulması ve yapılandırılmasıyla çok ilgilidir.

Windows 2000 bilgisayarlarını fiziksel risklerden korumak için şunlar yapılabilir:

Server’lar kilitli odalara yerleştirilebilir. Böylece yalnızca yetkili kişiler erişebilir.

Router, swtich, bridge ve hub gibi aygıtlar yine herkesin erişebileceği bir yerde olmamalıdır.

Parola ve şifreleme gibi bütün düzenlemelerinin en iyi şekilde yapıldığından emin olunmalıdır.

B. SYSKEY Aracı

Parolalar (password) özel yazılımlar tarafından çözülebilirler. Bu nedenle Active Directory içindeki bütün parola bilgilerini şifrelemek için SYSKEY programı kullanılır. SYSKEY programı 128 bitlik yeni bir şifreleme anahtarıyla yeniden şifrelenmesini sağlar.

C. Donanımın Güvenliği

Windows 2000 bilgisayarlarında donanım güvenliği için aşağıdaki yöntemlerden bir ya da daha çoğunu kullanabilirsiniz:

Bilgisayar kilitleri: Bilgisayarların çalınmasını engeller. Power-on Parolalar: Yetkisiz kullanıcıların Start menüsünü görüntülemesini engeller.

Smart card logon: Kullanıcıların kendilerine ati smart kartlarla logon etmesi sağlanır. Böylece kullanıcı adları ortalıkta gezmemiş olur.

BIOS parolaları: Bilgisayarın BIOS bilgilerinde değişiklik yapılmasını engeller.

D. Güvenlik Gereksinimlerinin Değerlendirilmesi

Windows 2000 bilgisayarın network üzerindeki rolüne göre değişik güvenlik düzenlemelerine gereksinim duyarlar. Aşağıdaki tabloda bu bilgisayarlar ve güvenlik gereksinimleri yer almaktadır:

Bilgisayar
Güvenlik Gereksinimi
Domain Controller Maksimum
Uygulama Server’ı Özel güvenlik düzenlemeleri
File ve Print Server Dosya ve dizinlerin erişim izinlerinin düzenlenmesi
İş istasyonları Domainin üyesi oldukları için özel erişim düzenlemeleri.
Notebook Çok hareketli kullanıldıkları için kendi içinde ve network üzerinde maksimum güvenlik gerekir.

II. Network Üzerindeki Verinin Güvenliği

Veri network üzerinde gezerken bir şekilde görülebilir, karıştırılabilir, bozulabilir ya da başkaları tarafından erişilebilir. Network üzerindeki verilerin görünmesi iki faktöre bağlıdır:

Gönderilen verilerin açık metin (clear text) olması.

Tek bir noktadan networkün tümünün görünebilmesi.

A. Network İletişimindeki Riski Tanımlamak

Veriler disk üzerinde NTFS bölümlerde güvenle saklanabilirler. Ancak network üzerinde kablo içinde gezerken ne olacak? İşte bu durumda şu riskler verileri beklemektedir:

Network Monitoring
Bir network sniffer olarak adlandırılan yazılımlar ve donanımlar aracılığıyla network üzerindeki clear-text veriler izlenebilir.

Veri Değiştirme
Network üzerindeki verilerin değiştirilerek verilere zarar verilmesi.

Kimlik Taklidi Yapmak
Network üzerindeki paketlerin yapısı incelendikten sonra, network içinde sanki belli bir kullanıcıdan geliyormuş gibi mesajlar göndermek ve kişileri yanıltmak.

Araya Girmek
Veri alışverişinin arasına girerek bilgileri okumak.

Parolaları Okumak
Clear-text paroların elde edilerek kaynaklara erişmek.

B. IPSec

Network, verilerin bilgisayarlar arasında alışverişine olanak sağlarken, en önemli konulardan birisi verilerin güvenliğidir. IPSec (Internet Protocol Security), kriptografik güvenlik servislerini kullanarak, IP üzerindeki veri iletişimi güvenli hale getirmeyi sağlayan bir açık standarttır.

Windows 2000 networklerinde IPSec’i bilgisayarın kimlik denetimi (authenticate) ve verilerin her türlü networkte şifrelenmesi (encrypt) için kullanabilirsiniz.

IPSec, kimlik denetimi (authenticate) ve şifrelenme (encrypt) için protokoller ve servislere sahiptir.

IPSec teknolojisinin ana amacı network üzerindeki IP paketlerin korunmasını sağlar. Bu nedenle standart IP paketi değiştirilecek farklı paketler olarak yapılandırılır.

IPSec teknolojisi bir policy olarak yapılandırılır. Bu işlem Active Directory içinde, workgroup bazında ya da lokal bilgisayar için yapılabilir.

III. Güvenlik Planının Geliştirilmesi

Güvenlik planınızı geliştirmeden önce, şirketinizin ya da organizasyonun kendi güvenlik ilkelerini tanımlaması gerekir. Bu güvenlik ilkeleri kullanıcılar, bilgisayar ve kullanımla ilgili prosedürleri içerir.

İyi bir güvenlik ilkesi, en kolay biçimde gelişmiş bir güvenliği sağlamaktır.

Örneğin kullanıcılara 15 karakter parola zorunluluğu vermek güvenliğin zor sağlanması anlamına gelir. Şirketinizin güvenlik gereksinimlerini karşılamak için şu tanımlamaları yapmanız gerekir:

Güvenliğin sağlanması için nedenler.

Güvenlik gerektiren kaynaklar.

Kaynaklara saldırı ve hasar olasılığı.

A. Güvenlik Planının Kapsamı

Güvenlik planları bütün riskleri içermeyebilir. Bu nedenle güvenlik planı belli riskleri içerebilir. Örneğin yalnızca bir departman için ya da yalnızca Internet üzerinde gelecek saldırılar için güvenlik düzenlemek gibi.

Güvenlik planın kapsamının belirlenmesinin ardından güvenlik planının içeriği belirlenir:

Güvenlik ilkelerini karşılayacak güvenlik gereksinimleri.

Bir güvenlik projesi oluşturmak.

Plan içinde kullanılacak teknolojileri belirlemek.

Bir networkün güvenlik gereksinimi belli kısımlara ayrılır. Her kısım farklı düzeylerde güvenliğe gereksinim duyar:

Lokal network (yerel ağ)

Remote network (uzak ağ)

Public network (genel ağ)

Partner erişimi (ortaklar arası bağlantı)

Yerel ağın güvenliğini sağlamak dosyaların güvenliğini sağlamak, uygun network topolojisini sağlamak gibi konular içerirken, uzak networklerin güvenliği ise VPN ve IAS (Internet Authentication Servive) gibi servisleri ilgilendirir. Genel ağların güvenliği ise, Internet üzerinde erişimde yerel kaynakların korunmasını içerir.

Microsoft® Sistem Mühendisi
Microsoft® Veri Tabanı Yöneticisi
Microsoft® Eğitmen
Bilgisayar Mühendisi
Webmaster
Ayhan ERGUN