Siber Güvenlik Hizmetleri ve 5651 Uyum Çözümleri

Siber Güvenlik Sıkılaştırma (Hardening) Hizmetleri

Siber güvenlik sıkılaştırma ile sunucu, ağ cihazı ve uç nokta güvenlik açıklarınızı CIS Benchmark ve NIST standartlarına göre uçtan uca kapatıyoruz.

İlker Pehlivan
6 dk okuma
Güvenlik sıkılaştırma (hardening) kavramını yıllarca değiştirilmemiş bir ev kilidiyle anlatan illüstrasyon
Varsayılan yapılandırmayla bırakılmış bir sistem, kilidi hiç değiştirilmemiş bir ev gibidir.

Yeni taşındığınız bir evde kapı kilidini hiç değiştirmediğinizi düşünün: eski sakinin, tesisatçının, hatta emlakçının elinde hâlâ bir anahtar olabilir. Ev görünüşte güvenlidir, kapı kilitlidir; ama kimin girip çıkabileceği aslında sizin kontrolünüzde değildir. Varsayılan yapılandırmasıyla bırakılan bir sunucu, switch veya uç nokta cihazı tam olarak budur. Siber güvenlik sıkılaştırma (hardening), bu unutulmuş anahtarları tek tek bulup iptal etme, her kapıyı ve pencereyi gözden geçirme sürecidir.

Bu makale Siber Güvenlik hizmetimizin sistem ve ağ cihazı sertleştirme koluna odaklanır; 5651 loglama uyumu için ilgili rehberimize bakabilirsiniz.

Neden Hardening Gerekli?

Bir evin güvenliği, en zayıf kapısı kadardır. Ön kapıya çelik kilit taktırıp bahçe kapısını eskiden kalma, herkesin bildiği bir asma kilitle bırakmak, yapılan yatırımı anlamsız kılar. Sistemlerde de aynı mantık işler: güncel ve iyi yapılandırılmış bir firewall’un arkasında, varsayılan şifresi hiç değiştirilmemiş tek bir sunucu bırakmak, tüm güvenlik yatırımını değersizleştirir.

Saldırganların çoğu, kapıyı kırmaya çalışan bir hırsız gibi çalışmaz; önce kilitli olmayan pencereyi arar. Sıfır-gün açıkları (henüz kimsenin bilmediği zafiyetler) nadirdir ve pahalıdır; saldırganların büyük kısmı bunun yerine bilinen, düzeltilmemiş yapılandırma hatalarını dener: değiştirilmemiş varsayılan şifreler, kapatılmamış gereksiz servisler, hâlâ açık duran eski bir port. Hardening, tam olarak bu kolay kapıları kapatır.

Sunucu Güvenlik Sıkılaştırması

Bir sunucu, kurulduğu andan itibaren gereksiz servisler, kullanılmayan portlar ve varsayılan hesaplarla gelir; tıpkı yeni bir evin, ileride belki kullanılır diye açık bırakılmış birkaç fazla kapısı olması gibi. Sunucu sıkılaştırmasında şu adımları uyguluyoruz:

  • Kullanılmayan servislerin ve portların kapatılması
  • Varsayılan hesapların devre dışı bırakılması veya yeniden adlandırılıp güçlü bir şifreyle korunması
  • SSH sertleştirme: anahtar tabanlı kimlik doğrulama, doğrudan root erişiminin engellenmesi
  • Audit logging ve merkezi log gönderiminin etkinleştirilmesi
  • Linux’ta dosya sistemi izinlerinin ve SUID/SGID bitlerinin denetlenmesi
  • Windows’ta Güvenlik İlkeleri ve UAC yapılandırmasının sıkılaştırılması

Buradaki mantık, evin her odasını tek tek dolaşıp kullanılmayan kapıları kilitlemek, kullanılan kapılara ise daha iyi kilit takmaktır.

Ağ Cihazı Sertleştirme

Ağ cihazları (switch, router, kablosuz ağ kontrolcüleri), bir sitenin ortak alanlarına benzer: giriş kapılarının kim tarafından, hangi kimlikle açıldığı bilinmiyorsa, dairelerin kendi kilitleri ne kadar sağlam olursa olsun site genel güvenliği zayıf kalır.

Bir Ağ Yöneticisi Ayrıldığında Ne Olur

Yakın zamanda destek verdiğimiz çok lokasyonlu bir kurumda tam olarak bu riskle karşılaştık: onlarca switch’e giriş şifresi, yıllardır hiç değiştirilmemiş, ağ yöneticileri arasında ağızdan ağıza paylaşılan ortak bir bilgiydi. Bir ağ yöneticisi kurumdan ayrıldığında bu şifreyi de beraberinde götürüyordu; şifre değiştirilmediği sürece o kişinin (ya da şifreyi öğrenen herkesin) erişimi teorik olarak açık kalıyordu. Kim hangi switch’e ne zaman girdiğine dair de hiçbir kayıt yoktu.

Çözümü, ortak anahtarı değiştirmek değil, ortak anahtarı tamamen kaldırmaktı: merkezi bir kimlik doğrulama sunucusu (NPS/RADIUS) kurup, switch ve kablosuz ağ girişini her yöneticinin kendi kurumsal hesabına bağladık. Artık kimse paylaşılan bir şifreyle giriş yapmıyor; her giriş isimli bir hesapla kayıt altına alınıyor ve bir yönetici ayrıldığında erişimi kapatmak için switch’lere tek tek dokunmaya gerek kalmıyor, tek yapılması gereken o hesabı devre dışı bırakmak. Bu projeyi hangi mimariyle tamamladığımızı ağ erişimi sıkılaştırma vaka çalışmasında ayrıntılarıyla anlatıyoruz.

Ağ cihazı sertleştirmesinde ayrıca şunlara dikkat ediyoruz:

  • Gereksiz yönetim protokollerinin (Telnet gibi şifrelenmemiş erişim) kapatılması
  • Yönetim arayüzüne erişimin belirli IP aralıklarıyla kısıtlanması
  • SNMP güvenlik yapılandırması (varsayılan community string’lerin değiştirilmesi)
  • Oturum zaman aşımı ve giriş banner’ı ayarları

Firewall tarafında biriken açıklamasız, gölge kuralların temizlenip standarda kavuşturulması da aynı ailenin bir parçasıdır; bunu ayrı bir firewall güvenlik sıkılaştırma vaka çalışmasında ele alıyoruz.

Paylaşılan bir ana anahtarın yerini kişiye özel anahtarların aldığını gösteren, merkezi kimlik doğrulamayı anlatan illüstrasyon
Ortak bir ana anahtar yerine, her sakine kendi anahtarını vermek: merkezi kimlik doğrulamanın özü budur.

Uç Nokta Güvenliği

Sunucular ve ağ cihazları site girişi gibiyse, çalışanların bilgisayarları da dairelerin kendisidir; site girişi ne kadar güvenli olursa olsun, bir dairenin kapısı açık bırakılırsa risk devam eder.

Antivirüs/EDR Politikaları

Klasik antivirüs, daha önce görülmüş kötü amaçlı yazılımları imzasından tanıyıp yakalar; bu, kapıya sadece tanınan hırsızların fotoğrafını asmak gibidir, ilk kez görülen birini durduramaz. EDR (Endpoint Detection and Response) bunun yerine cihazdaki şüpheli davranışı izler (örneğin bir Word dosyasının aniden komut satırı çalıştırmaya çalışması gibi) ve daha önce hiç görülmemiş bir tehdidi bile anında izole edebilir. Politikaları merkezi bir konsoldan yönetiyoruz; yeni bir tehdit tanımlandığında tek tek her bilgisayara gitmek yerine, kural tüm filoya aynı anda uygulanıyor.

USB ve Harici Depolama Kısıtlaması

Bir kilit ne kadar sağlam olursa olsun, biri arka penceresini açık bırakırsa işe yaramaz; kısıtlanmamış bir USB portu tam olarak bu arka penceredir. Ağ ve sunucu tarafında sıkı bir sınır güvenliği kursanız bile, açık bir USB portu, veri sızıntısının ya da bir bilgisayardan diğerine bulaşan bir kötü amaçlı yazılımın en kolay yoludur. Kısıtlamayı rol bazlı uyguluyoruz: bir muhasebe çalışanının USB’ye ihtiyacı yoksa tamamen kapatılır, saha ekibinin belirli onaylı cihazlara ihtiyacı varsa yalnızca o cihazlara izin verilir.

Uygulama Beyaz Listesi

Varsayılan olarak bir bilgisayar, kullanıcının indirdiği her şeyi çalıştırmaya izinlidir; bu, evin her kapısının açık bırakılıp isteyen herkesin girebildiği bir düzenle aynıdır. Uygulama beyaz listesi bu mantığı tersine çevirir: yalnızca önceden onaylanmış yazılımlar çalışabilir, listede olmayan her şey kullanıcı yanlışlıkla çalıştırmaya çalışsa bile otomatik olarak engellenir.

Uluslararası Standartlara Göre Çalışıyoruz

Hardening kurallarını sıfırdan icat etmiyoruz. CIS (Center for Internet Security) Benchmark’ları ve NIST güvenlik çerçevesi, dünya genelinde binlerce kurumun katkısıyla sürekli güncellenen, bağımsız ve denetimlerde savunulabilir referans noktalarıdır. CIS Benchmark’lar tek bir kural listesi değil, iki seviyeli bir yapıdır: Seviye 1 (Level 1), sistemin işlevselliğini bozmadan uygulanabilecek temel sıkılaştırma adımlarını kapsar; Seviye 2 (Level 2) ise daha yüksek güvenlik gerektiren, bazı işlevleri kısıtlayabilecek ileri düzey önlemleri içerir. Bir Windows Server veya Linux dağıtımı için hazırlanmış bir benchmark yüzlerce ayrı kontrol maddesi barındırabilir; hangi seviyenin hangi sistem için uygun olduğuna kurumun risk toleransına göre biz karar veriyoruz. Her hardening projesi sonunda, hangi bulguların tespit edildiğini, hangi değişikliklerin yapıldığını ve varsa bilinçli olarak kabul edilen kalan riskleri içeren yazılı bir rapor teslim ediyoruz.

Hardening Bitmez, Sürdürülür

Bir evin kilitlerini bir kere değiştirmek yeterli değildir; yeni bir anahtar kopyalatıldığında, yeni bir sakin geldiğinde ya da bir kilit eskiyip zayıfladığında tekrar gözden geçirmek gerekir. Sistemlerde de durum aynıdır: yeni bir güncelleme kapatılmış bir servisi yeniden açabilir, yeni eklenen bir cihaz standart dışı bir yapılandırmayla gelebilir, daha önce güvenli sayılan bir ayar yeni keşfedilen bir açıkla riskli hale gelebilir. Bu yüzden hardening’i tek seferlik bir proje değil, periyodik güvenlik denetimleriyle sürdürülen bir disiplin olarak ele alıyoruz.

Siber Güvenlik Sıkılaştırma (Hardening) Hakkında Sık Sorulan Sorular

Bir sistemin kurulduğu haliyle taşıdığı gereksiz servisleri, açık portları, varsayılan hesapları ve zayıf yapılandırmaları sistematik biçimde kapatma sürecidir. Amaç, saldırganın kullanabileceği yüzeyi (attack surface) küçültmektir; sistem işlevini kaybetmez, sadece gereksiz risk taşıyan her kapı tek tek kapatılır.
CIS (Center for Internet Security) Benchmark'ları, işletim sistemleri ve yaygın yazılımlar için bağımsız uzmanlarca hazırlanmış, adım adım güvenlik yapılandırma rehberleridir. Kendi kurallarımızı sıfırdan icat etmek yerine, dünya genelinde denenmiş ve güncellenen bu standardı referans almak hem daha güvenilir hem de denetimlerde savunulabilir bir yaklaşımdır.
Doğru yapılan bir hardening, planlı ve kademeli ilerler; her değişiklik önce test edilir, sonra uygulanır. Riskli olan hardening'in kendisi değil, aceleye getirilmiş, test edilmeden doğrudan üretime uygulanan değişikliklerdir. Bu yüzden değişiklikleri geri alınabilir şekilde, mesai dışı bir pencerede uygulamak standart pratiğimizdir.
Paylaşılan bir şifre, onu bilen herkes o rolden ayrıldıktan sonra da geçerliliğini korur; kim ne zaman, hangi cihaza girdiğine dair de hiçbir kayıt tutulmaz. Şifreyi bilen biri kurumdan ayrıldığında şifre değiştirilmediği sürece erişim açık kalır. Bu riski kapatmanın kalıcı çözümü, paylaşılan tek bir şifre yerine her yöneticiye kendi kimliğiyle giriş hakkı tanıyan merkezi bir kimlik doğrulama sistemidir.
Root (veya Administrator), her sistemde aynı isimle var olan ve en yüksek yetkiye sahip hesaptır; saldırganların ilk denediği kullanıcı adı da genellikle budur. Bu hesabın doğrudan uzaktan girişini kapatıp, önce kendi kullanıcı hesabınızla giriş yapıp gerektiğinde yetki yükseltmek (sudo), kimin ne zaman yönetici yetkisi kullandığını da kayıt altına alır.
Tek seferlik değildir. Yeni bir güncelleme varsayılan bir servisi tekrar açabilir, yeni eklenen bir cihaz standart dışı gelebilir, yeni bir güvenlik açığı daha önce güvenli sayılan bir yapılandırmayı riskli hale getirebilir. Bu yüzden periyodik bir güvenlik denetimiyle sıkılaştırılmış durumun korunduğunu düzenli olarak doğrulamak gerekir.
Hardening, bilinen zayıflıkları önceden kapatan önleyici bir çalışmadır. Sızma testi ise sıkılaştırılmış (veya sıkılaştırılmamış) bir sistemin gerçekten dayanıklı olup olmadığını, saldırgan gibi davranarak test eden bağımsız bir doğrulamadır. İkisi birbirinin yerine geçmez: önce hardening yapılır, sızma testi bunun ne kadar işe yaradığını gösterir.
Saldırganlar çoğu zaman kurum büyüklüğüne değil, kolay hedefe bakar; varsayılan şifreyle bırakılmış küçük bir işletme sunucusu, büyük bir kurumun sıkılaştırılmış sunucusundan çok daha kolay bir hedeftir. Kapsam kurumun büyüklüğüne göre ölçeklenir ama ihtiyacın kendisi işletme büyüklüğünden bağımsızdır.
Her hardening projesi sonunda, hangi bulguların tespit edildiğini, hangi değişikliklerin yapıldığını ve kabul edilerek bilinçli bırakılan kalan riskleri (varsa) içeren yazılı bir rapor teslim ediyoruz. Bu rapor hem kurumsal hafıza hem de bir sonraki denetimde referans noktası olarak işlev görür.
Temel felsefe aynıdır (gereksiz yüzeyi kapatmak) ama araçlar farklıdır. Windows'ta Grup İlkeleri (GPO), Windows Güvenlik İlkeleri ve UAC yapılandırması öne çıkarken, Linux'ta SSH sertleştirme, dosya izinleri ve SUID/SGID kontrolü, gereksiz servislerin systemd üzerinden kapatılması öne çıkar. İkisi için de CIS Benchmark'ların ayrı, işletim sistemine özel sürümleri vardır.
İlker Pehlivan

Yazan

İlker Pehlivan

Kurucu | Ağ ve Sistem Yöneticisi

İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.