FortiGate 100F'te Kural Temizliği ve Güvenlik Sıkılaştırma Projesi
Dokümantasyonsuz, riskli FortiGate kurallarının temizlenip standarda kavuşturulduğu, ardından segmentasyon ve IPS/IDS ile tamamlanan sıkılaştırma projesi.
Kuralı kimin, ne zaman, neden yazdığı bilinmeyen onlarca satır firewall’da öylece duruyordu. Yıllarca sistemci ve networkçüsü olmadan büyümüş bu ortamın mirasını önce kurumsal bir standarda taşıdık, ardından baştan aşağı güvenlik sıkılaştırması yaptık.
Sorun
Kurum yıllarca, ağ ve sistem konusunda uzman olmayan junior BT personeli tarafından desteklenmişti. Bu süre zarfında firewall’a; ne işe yaradığı belirsiz, açıklaması hiç girilmemiş, birbirini geçersiz kılan (shadow) onlarca kural eklenmişti. Kuralı yazan kişi kurumdan ayrıldığı için “bunu silersek ne bozulur” sorusunun cevabı da bilinmiyordu; sektör genelinde kurumsal firewall’ların önemli bir kısmında hiç kullanılmayan veya birbirini gölgeleyen kurallar birikir, tam da bu belirsizlik yüzünden kimse dokunmaya cesaret edemez. Cihaz canlı hizmet veriyordu ve yedeksizdi; herhangi bir kuralı düşünmeden silmek kurumun tüm internet ve uzak erişim trafiğini durdurabilirdi.
Çözüm
İşe, riskli bir “temizle ve umut et” yaklaşımıyla değil, önce anlamaya çalışarak başladık: her kuralı tek tek inceleyip ne işe yaradığını not aldık, temkinli bir auto-revert yapılandırmasıyla deneme yanılma yaptık. Anlamsız isimlendirilmiş, yorumsuz, birbirini gölgeleyen kuralları ayıkladık. Kalan ve yeni yazılan tüm kurallara kurumsal bir isimlendirme standardı uyguladık; her policy’ye ve servis grubuna ne işe yaradığını açıklayan bilgilendirici yorum satırları ekledik (örneğin Windows Kerberos trafiğini taşıyan portlar Windows_AD_Portlari gibi anlamlı bir servis grubunda, açıklamasında hangi cihazların hangi amaçla bu porta ihtiyaç duyduğu yazılı biçimde tanımlandı). Bu temizlik 2 hafta sürdü. Firewall’u tam olarak anladıktan ve her şeyin sorunsuz çalıştığından emin olduktan sonra ikinci faza geçtik: zone tabanlı segmentasyon, IPS/IDS, DNS ve web filtreleme katmanlarını kurduk. Bu ikinci faz da 2 hafta sürdü.
Firewall’da artık gölge kural, açıklamasız policy veya nereye ait olduğu bilinmeyen bir port yok; her kural ne işe yaradığını kendi üzerinde anlatıyor.
Burada belirlediğimiz policy isimlendirme standardını, kurumun tüm BT bilgisini topladığımız dokümantasyon sunucusu projesinde de kullandık.
Sonuç
Sıfır
Gölge kural ve açıklamasız policy
4 Hafta
Temizlik ve sıkılaştırma (2+2 hafta)
Segmentli
Zone, IPS/IDS, web filtreleme
Bu Projede Kullandığımız Hizmet
Ücretsiz Değerlendirme
Sizin projeniz için de konuşalım.
Mevcut altyapınızı inceler, ihtiyaçlarınızı anlar ve size özel bir çözüm sunarız. İlk değerlendirme ücretsiz.
Hizmetlerimiz