Dünyanın En İyi Güvenlik Duvarını (Firewall) Aldınız, Peki Kurallarınız Sizi Koruyor Mu? UTM ve SSL Inspection Gerçeği
"Kutudan Çıktığı Gibi" Güvenlik Yoktur Birçok işletme, Gartner raporlarında lider olan (Fortinet, Palo Alto vb.) bir Yeni Nesil Güvenlik Duvarı (NGFW) satın aldığında, siber güvenlik sorununu kökten çözdüğünü düşünür. Cihaz kabine monte edilir, internete çıkış verilir ve herkes mutlu bir şekilde...
"Kutudan Çıktığı Gibi" Güvenlik Yoktur
Birçok işletme, Gartner raporlarında lider olan (Fortinet, Palo Alto vb.) bir Yeni Nesil Güvenlik Duvarı (NGFW) satın aldığında, siber güvenlik sorununu kökten çözdüğünü düşünür. Cihaz kabine monte edilir, internete çıkış verilir ve herkes mutlu bir şekilde evine gider.
Ancak acı gerçek şudur: Yapılandırılmamış bir Firewall, sadece pahalı bir yönlendiricidir (Router).
Sahada en sık karşılaştığımız manzara, cihazın arayüzünde yazılı olan o tehlikeli kuraldır: "Internal -> WAN / Any / Any / Allow". Yani; "İçeriden dışarıya giden her şeye izin ver."
Bu kural aktifken, dünyanın en pahalı cihazını da kullansanız, bir fidye yazılımının (Ransomware) içeri girmesini veya şirket verilerinin dışarı sızmasını (Data Exfiltration) engelleyemezsiniz. CATO Teknoloji olarak bu yazımızda, donanımın ötesine geçip, gerçek güvenliği sağlayan "Optimizasyon ve Sıkılaştırma" (Hardening) süreçlerini ele alıyoruz.
Port Bazlı Güvenlik Öldü: Yaşasın Uygulama Kontrolü (Application Control)
Eskiden (Layer 3/4 Firewall döneminde), güvenliği sağlamak için portları kapatmak yeterliydi. "Port 80 açık, Port 21 kapalı" derdik.
Ancak bugün modern zararlı yazılımlar ve uygulamalar, standart portları (80/443) kullanarak güvenlik duvarlarını kolayca atlatır. TeamViewer da, BitTorrent de, Tor Browser da HTTPS (443) portunu kullanır.
Yeni nesil güvenlik anlayışında portlara değil, Uygulamalara bakılır.
Yanlış Kural: "Port 443'e izin ver."
Doğru Kural (NGFW): "Salesforce ve Office 365'e izin ver, ancak Tor Browser ve UltraSurf VPN'i engelle."
CATO Teknoloji olarak, ağ trafiğinizi uygulama bazlı analiz ediyor (Layer 7), işinizle ilgisi olmayan ve risk yaratan uygulamaları "Signature" (İmza) tabanlı olarak engelliyoruz.
UTM (Unified Threat Management): Çok Katmanlı Kalkan
Firewall cihazınızın lisansını sadece "destek almak" için yenilemeyin. O lisans, cihazın içindeki UTM motorlarını besleyen istihbarat servisidir. Etkin bir UTM profilinde şunlar mutlaka aktif olmalıdır:
IPS (Saldırı Önleme Sistemi): Ağınıza girmeye çalışan bilinen exploit'leri (Örn: Log4j açığı) paket seviyesinde durdurur. Sanal bir yama (Virtual Patch) görevi görür.
Web Filtering (Web Filtreleme): Çalışanların oltalama (Phishing) linklerine veya zararlı içerik barındıran sitelere girmesini kategori bazlı engeller.
DNS Security: Zararlı yazılımların Komuta Kontrol (C&C) sunucularıyla haberleşmesini DNS seviyesinde keser.
Görmediğinizi Durduramazsınız: SSL/TLS Inspection (Deep Packet Inspection)
İnternet trafiğinin %90'ından fazlası artık şifrelidir (HTTPS). Bu harika bir şeydir ancak siber suçlular için de bir fırsattır. Çünkü virüsler de artık ağınıza şifreli tünellerin içinden gizlenerek girer.
Eğer Firewall cihazınızda SSL Inspection (Deep Packet Inspection) özelliği kapalıysa, cihazınız şifreli trafiğin içini göremez. Virüsü şifreli bir hediye paketi gibi içeri alır.
SSL Inspection, Firewall'un şifreli paketleri açıp içine bakmasını, temizse tekrar paketleyip kullanıcıya iletmesini sağlar. Bu işlem yüksek işlemci gücü ve ciddi bir mühendislik ayarı (Sertifika dağıtımı vb.) gerektirir, ancak modern tehditleri durdurmanın tek yolu budur.
CATO Teknoloji Dokunuşu: "En Az Yetki" (Least Privilege) Prensibi
Biz CATO Teknoloji olarak, müşterilerimize "Any-Any-Allow" kuralını yasaklıyoruz. Bunun yerine Zero Trust (Sıfır Güven) mimarisine uygun politikalar yazıyoruz:
Kamera ağı (CCTV) internete çıkmamalı, sadece NVR cihazına erişmeli.
Muhasebe departmanı sadece bankalara ve Gelir İdaresi'ne erişebilmeli.
Misafir ağı (Guest) şirket sunucularına asla dokunamamalı.
Direksiyonda Kim Var?
Sahip olduğunuz Firewall çok güçlü bir spor araba gibidir. Ancak onu doğru kullanmayı bilen bir pilot (Mühendis) yoksa, o güç kontrolsüzdür.
Cihazınızın gerçek potansiyelini ortaya çıkarmak, siber saldırılara karşı "kağıt üzerinde" değil "gerçekten" korunmak için CATO Teknoloji Firewall Yönetim ve Danışmanlık hizmetleriyle tanışın. Ağınızdaki kör noktaları birlikte aydınlatalım.
