Siber Güvenlik Sıkılaştırma (Hardening) Hizmetleri
Siber güvenlik sıkılaştırma ile sunucu, ağ cihazı ve uç nokta güvenlik açıklarınızı CIS Benchmark ve NIST standartlarına göre uçtan uca kapatıyoruz.
- Neden Hardening Gerekli?
- Sunucu Güvenlik Sıkılaştırması
- Ağ Cihazı Sertleştirme
- Bir Ağ Yöneticisi Ayrıldığında Ne Olur
- Uç Nokta Güvenliği
- Antivirüs/EDR Politikaları
- USB ve Harici Depolama Kısıtlaması
- Uygulama Beyaz Listesi
- Uluslararası Standartlara Göre Çalışıyoruz
- Hardening Bitmez, Sürdürülür
- Siber Güvenlik Sıkılaştırma (Hardening) Hakkında Sık Sorulan Sorular
Yeni taşındığınız bir evde kapı kilidini hiç değiştirmediğinizi düşünün: eski sakinin, tesisatçının, hatta emlakçının elinde hâlâ bir anahtar olabilir. Ev görünüşte güvenlidir, kapı kilitlidir; ama kimin girip çıkabileceği aslında sizin kontrolünüzde değildir. Varsayılan yapılandırmasıyla bırakılan bir sunucu, switch veya uç nokta cihazı tam olarak budur. Siber güvenlik sıkılaştırma (hardening), bu unutulmuş anahtarları tek tek bulup iptal etme, her kapıyı ve pencereyi gözden geçirme sürecidir.
Bu makale Siber Güvenlik hizmetimizin sistem ve ağ cihazı sertleştirme koluna odaklanır; 5651 loglama uyumu için ilgili rehberimize bakabilirsiniz.
Neden Hardening Gerekli?
Bir evin güvenliği, en zayıf kapısı kadardır. Ön kapıya çelik kilit taktırıp bahçe kapısını eskiden kalma, herkesin bildiği bir asma kilitle bırakmak, yapılan yatırımı anlamsız kılar. Sistemlerde de aynı mantık işler: güncel ve iyi yapılandırılmış bir firewall’un arkasında, varsayılan şifresi hiç değiştirilmemiş tek bir sunucu bırakmak, tüm güvenlik yatırımını değersizleştirir.
Saldırganların çoğu, kapıyı kırmaya çalışan bir hırsız gibi çalışmaz; önce kilitli olmayan pencereyi arar. Sıfır-gün açıkları (henüz kimsenin bilmediği zafiyetler) nadirdir ve pahalıdır; saldırganların büyük kısmı bunun yerine bilinen, düzeltilmemiş yapılandırma hatalarını dener: değiştirilmemiş varsayılan şifreler, kapatılmamış gereksiz servisler, hâlâ açık duran eski bir port. Hardening, tam olarak bu kolay kapıları kapatır.
Sunucu Güvenlik Sıkılaştırması
Bir sunucu, kurulduğu andan itibaren gereksiz servisler, kullanılmayan portlar ve varsayılan hesaplarla gelir; tıpkı yeni bir evin, ileride belki kullanılır diye açık bırakılmış birkaç fazla kapısı olması gibi. Sunucu sıkılaştırmasında şu adımları uyguluyoruz:
- Kullanılmayan servislerin ve portların kapatılması
- Varsayılan hesapların devre dışı bırakılması veya yeniden adlandırılıp güçlü bir şifreyle korunması
- SSH sertleştirme: anahtar tabanlı kimlik doğrulama, doğrudan root erişiminin engellenmesi
- Audit logging ve merkezi log gönderiminin etkinleştirilmesi
- Linux’ta dosya sistemi izinlerinin ve SUID/SGID bitlerinin denetlenmesi
- Windows’ta Güvenlik İlkeleri ve UAC yapılandırmasının sıkılaştırılması
Buradaki mantık, evin her odasını tek tek dolaşıp kullanılmayan kapıları kilitlemek, kullanılan kapılara ise daha iyi kilit takmaktır.
Ağ Cihazı Sertleştirme
Ağ cihazları (switch, router, kablosuz ağ kontrolcüleri), bir sitenin ortak alanlarına benzer: giriş kapılarının kim tarafından, hangi kimlikle açıldığı bilinmiyorsa, dairelerin kendi kilitleri ne kadar sağlam olursa olsun site genel güvenliği zayıf kalır.
Bir Ağ Yöneticisi Ayrıldığında Ne Olur
Yakın zamanda destek verdiğimiz çok lokasyonlu bir kurumda tam olarak bu riskle karşılaştık: onlarca switch’e giriş şifresi, yıllardır hiç değiştirilmemiş, ağ yöneticileri arasında ağızdan ağıza paylaşılan ortak bir bilgiydi. Bir ağ yöneticisi kurumdan ayrıldığında bu şifreyi de beraberinde götürüyordu; şifre değiştirilmediği sürece o kişinin (ya da şifreyi öğrenen herkesin) erişimi teorik olarak açık kalıyordu. Kim hangi switch’e ne zaman girdiğine dair de hiçbir kayıt yoktu.
Çözümü, ortak anahtarı değiştirmek değil, ortak anahtarı tamamen kaldırmaktı: merkezi bir kimlik doğrulama sunucusu (NPS/RADIUS) kurup, switch ve kablosuz ağ girişini her yöneticinin kendi kurumsal hesabına bağladık. Artık kimse paylaşılan bir şifreyle giriş yapmıyor; her giriş isimli bir hesapla kayıt altına alınıyor ve bir yönetici ayrıldığında erişimi kapatmak için switch’lere tek tek dokunmaya gerek kalmıyor, tek yapılması gereken o hesabı devre dışı bırakmak. Bu projeyi hangi mimariyle tamamladığımızı ağ erişimi sıkılaştırma vaka çalışmasında ayrıntılarıyla anlatıyoruz.
Ağ cihazı sertleştirmesinde ayrıca şunlara dikkat ediyoruz:
- Gereksiz yönetim protokollerinin (Telnet gibi şifrelenmemiş erişim) kapatılması
- Yönetim arayüzüne erişimin belirli IP aralıklarıyla kısıtlanması
- SNMP güvenlik yapılandırması (varsayılan community string’lerin değiştirilmesi)
- Oturum zaman aşımı ve giriş banner’ı ayarları
Firewall tarafında biriken açıklamasız, gölge kuralların temizlenip standarda kavuşturulması da aynı ailenin bir parçasıdır; bunu ayrı bir firewall güvenlik sıkılaştırma vaka çalışmasında ele alıyoruz.
Uç Nokta Güvenliği
Sunucular ve ağ cihazları site girişi gibiyse, çalışanların bilgisayarları da dairelerin kendisidir; site girişi ne kadar güvenli olursa olsun, bir dairenin kapısı açık bırakılırsa risk devam eder.
Antivirüs/EDR Politikaları
Klasik antivirüs, daha önce görülmüş kötü amaçlı yazılımları imzasından tanıyıp yakalar; bu, kapıya sadece tanınan hırsızların fotoğrafını asmak gibidir, ilk kez görülen birini durduramaz. EDR (Endpoint Detection and Response) bunun yerine cihazdaki şüpheli davranışı izler (örneğin bir Word dosyasının aniden komut satırı çalıştırmaya çalışması gibi) ve daha önce hiç görülmemiş bir tehdidi bile anında izole edebilir. Politikaları merkezi bir konsoldan yönetiyoruz; yeni bir tehdit tanımlandığında tek tek her bilgisayara gitmek yerine, kural tüm filoya aynı anda uygulanıyor.
USB ve Harici Depolama Kısıtlaması
Bir kilit ne kadar sağlam olursa olsun, biri arka penceresini açık bırakırsa işe yaramaz; kısıtlanmamış bir USB portu tam olarak bu arka penceredir. Ağ ve sunucu tarafında sıkı bir sınır güvenliği kursanız bile, açık bir USB portu, veri sızıntısının ya da bir bilgisayardan diğerine bulaşan bir kötü amaçlı yazılımın en kolay yoludur. Kısıtlamayı rol bazlı uyguluyoruz: bir muhasebe çalışanının USB’ye ihtiyacı yoksa tamamen kapatılır, saha ekibinin belirli onaylı cihazlara ihtiyacı varsa yalnızca o cihazlara izin verilir.
Uygulama Beyaz Listesi
Varsayılan olarak bir bilgisayar, kullanıcının indirdiği her şeyi çalıştırmaya izinlidir; bu, evin her kapısının açık bırakılıp isteyen herkesin girebildiği bir düzenle aynıdır. Uygulama beyaz listesi bu mantığı tersine çevirir: yalnızca önceden onaylanmış yazılımlar çalışabilir, listede olmayan her şey kullanıcı yanlışlıkla çalıştırmaya çalışsa bile otomatik olarak engellenir.
Uluslararası Standartlara Göre Çalışıyoruz
Hardening kurallarını sıfırdan icat etmiyoruz. CIS (Center for Internet Security) Benchmark’ları ve NIST güvenlik çerçevesi, dünya genelinde binlerce kurumun katkısıyla sürekli güncellenen, bağımsız ve denetimlerde savunulabilir referans noktalarıdır. CIS Benchmark’lar tek bir kural listesi değil, iki seviyeli bir yapıdır: Seviye 1 (Level 1), sistemin işlevselliğini bozmadan uygulanabilecek temel sıkılaştırma adımlarını kapsar; Seviye 2 (Level 2) ise daha yüksek güvenlik gerektiren, bazı işlevleri kısıtlayabilecek ileri düzey önlemleri içerir. Bir Windows Server veya Linux dağıtımı için hazırlanmış bir benchmark yüzlerce ayrı kontrol maddesi barındırabilir; hangi seviyenin hangi sistem için uygun olduğuna kurumun risk toleransına göre biz karar veriyoruz. Her hardening projesi sonunda, hangi bulguların tespit edildiğini, hangi değişikliklerin yapıldığını ve varsa bilinçli olarak kabul edilen kalan riskleri içeren yazılı bir rapor teslim ediyoruz.
Hardening Bitmez, Sürdürülür
Bir evin kilitlerini bir kere değiştirmek yeterli değildir; yeni bir anahtar kopyalatıldığında, yeni bir sakin geldiğinde ya da bir kilit eskiyip zayıfladığında tekrar gözden geçirmek gerekir. Sistemlerde de durum aynıdır: yeni bir güncelleme kapatılmış bir servisi yeniden açabilir, yeni eklenen bir cihaz standart dışı bir yapılandırmayla gelebilir, daha önce güvenli sayılan bir ayar yeni keşfedilen bir açıkla riskli hale gelebilir. Bu yüzden hardening’i tek seferlik bir proje değil, periyodik güvenlik denetimleriyle sürdürülen bir disiplin olarak ele alıyoruz.
Siber Güvenlik Sıkılaştırma (Hardening) Hakkında Sık Sorulan Sorular
Yazan
İlker PehlivanKurucu | Ağ ve Sistem Yöneticisi
İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.
İçindekiler
İlgili Makaleler