Bu yazide sistem güvenligi hakkinda genel bir bilgi edinip, nelere dikkat etmemiz gerektigine deginmeye çalisacagiz. Güvenli bir sistemin aktif hale getirilmeden önce hangi asamalardan geçtigini anlamaya çalisacagiz. Güvenli bir sistem olusturmak için fiziksel güvenligin, sifrelerin ve güvenlik yapisinin önemini inceleyecegiz. Sistemlerde bunlara dikkat ettiginizde daha sonradan olusabilecek birçok sorunu en bastan çözümleyebileceginizi söyleyebilirim.
Sistemimizin elektronik ortamda güvende olmasi ilk olarak sistemizin fiziksel olarak güvende olmasina baglidir. Sunucularimiz (Server) için düsünürsek, sunucularimiz kesinlikle erisimin yetkili kisiler disinda yasak oldugu kilitli bir odada tutulmalidir. Bu sayede fiziksel erisimin verdigi avantajlari sistem sorumlulari haricinde hiç kimse kullanamaz. Ayrica sunucumuzu, ne yaptigindan haberi olmayan bir kullanici kapatamaz. Konustugumuz sistem eger bir kullanici bilgisayari (workstation) ise, kullanicilarin direkt erisimi olan bir bilgisayar olarak, kasasinin kesinlikle açilmamasi için özel kilitlenebilir kasalardan alinmasini tavsiye ederim. Bu durumda ayrica BIOS sifresi atanmasi dogru olacaktir ki, kullanicilar istedikleri medyadan sistemi baslatamasinlar. Tahmin edilecegi gibi sistemin sadece diskimizinden baslatilmasina izin verecegiz. Kesinlikle sitemin tasinabilir medyalardan baslatilamayacagindan emin olmaliyiz. Yoksa bizim sistemimiz yerine tasinabilir bir medyadaki baska isletim sistemini baslatabilen bir kullanici, sistemimizdeki yetkilendirmeyi devre disi birakip, yerel sistemde istedigi islemi yapabilir.
Ikinci asamada sistemimizin kurulmasi sirasinda dikkat edilmesi gerekli noktalar vardir. Sistem kurulmadan önce ise bazi sorulara cevap bulmaliyiz:
1. Sistemimiz agimizda hangi görevleri yapacak?(DNS ,WWW,MAIL, etc)
2. Sistemimizin hangi protokolleri kullanmaya ihtiyaci var?
3. Sistemimiz kaç ethernet kartina sahip olacak ve bunlarin IP adresleri ne olacak?
4. Sistemimizin bu isleri yapmasi için minimum hangi servislere ihtiyaci var?
Eger bu sorulari cevapladiysak, sistemimizi kurmaya baslayabiliriz. Artik hangi bilesenleri nasil yükleyecegimizi bildigimize göre sistemin baslangiç kurulumunu yapabiliriz. Ilk kurulumun hemen ardindan baska bir bilgisayardan, sistemin üstündeki servis ve diger uygulamalarin resmi web sitelerinden son güncellemeleri ve güvenlik yamalarini indirip, bunlari uygulamaliyiz.
Üçüncü asamada ise güvenlik yapimiz olan Kullanici dogrulama (Authentication), Yetkilendirme (Authorization), Kullanici aktivitelerinin izlenmesi (Accounting) AAA olarak bilinen sistemi ayarlamak var. Bu yapi çok basit ve eger dogru kullanilirsa çok faydalidir. Ama dikkat edilmesi gereken noktalar vardir. Simdi bu islemi asama asama ele alalim.
Kullanici dogrulama (Authentication) islemi adindan da çok rahat anlasilabilecegi üzere, sisteme erismek isteyen kisinin verdigi kullanici isminin (account) sistemde olup olmadigini kontrol edip, bu kisiye bu kullanicinin sifresini soracaktir. Verilen bilgilerin, yani kullanici adi ve sifrenin, sistemde varligi ve dogrulugu onaylandiktan sonra sisteme giris için izin verilmektedir. Burada dikkat edilmesi gereken nokta sisteme anonim (anonymous) erisim için izin verilip verilmeyecegidir. Burada sadece web, ftp, telnet gibi hizmetleri düsünmeyip, sistem üzerinde açik her portu ve her servisi düsünmeliyiz. Tabii ki en basta belirttigim gibi sadece gerekli servisler var ve onlarin ayarlari da özenle yapiliyorsa bir sorun yok demektir. Sonuç olarak sisteme kimlerin erismesi gerektigi sorusuna cevap verdikten sonra bu kullanicilar disinda erisim olmamasi için gerekli düzenlemeleri yapmaliyiz. Ayrica erisimi olan kullanicilarimizin da sifrelerinin gerektigi kadar güvenli olduguna emin olmak için bir sifre politikasi izlemeliyiz ve kullanicilari buna uymaya zorlamaliyiz. Burada registry’de yapilmasi tavsiye edebilecegim degisiklikler:
Sifre Politikasi(Password Policy)
Enforce Password History
6
Maximum Password Age
40
Minimum Password Age
10
Minimum password length
8
Passwords Must Meet Complexity Requirements
Enabled
Store Password Using Reversible Encryption
Disabled
Kullaniciyi geçici iptal (Account Lockout Policies)
Account Lockout Threshold Enabled
4
Account Lockout Duration Enabled
90
Reset Account Lockout Threshold After
Disabled
Bir de dikkat edilmesi gereken son nokta ise kullanici dogrulama islemi yapilirken, kullandigimiz ortamin güvenli olup olmadigidir. Eger sunucu ile kullanici arasindaki haberlesme üçüncü bir kisi tarafindan da izleniyorsa, ve yapilan haberlesme sifreli degilse kullanici bilgileri çok rahat çalinabilir.
Yetkilendirme (Authorization) islemi ise bilgileri önceden dogrulanan kullanicinin sistem içindeki yetkilerinin ne oldugunun belirtilmesidir. Kullanicilari gruplayarak bu yetkilendirmeyi daha kolay bir sekilde yapabiliriz. Her grubun yetkilerini belirleyip daha sonra bu yetkilere sahip olmasini istedigimiz kullanicilari bu gruplara ekleriz. Burada göz önünde bulundurulmasi gereken nokta, kullanicilar üyesi bulunduklari gruplarin tüm haklarina sahiptir ve kullanicilar her zaman üyesi bulunduklari gruplarin haklarinin birlesimine sahiptirler. Yani iki gruba üye bir kullanici, iki grubun haklarinin birlesim kümesi olan haklara sahip demektir. Burada size verebilecegim tavsiye hiçbir kullaniciya sahip olmasi gerekenden daha fazla yetki vermemenizdir. Bu sayede istenmeyen durumlardan büyük olçüde kurtulursunuz.
Kullanici aktivitelerinin izlenmesi (Accounting) islemi bir sorun çiktiginda sorunun nereden çiktigini anlamamiz için bize gerekli bilgiyi sunar. Bu islem sirasinda tüm kullanicilarin erisim saatleri ve yaptiklari islemlerle ilgili kayitlar tutuldugu için sorun çiktiktan sonra eger zarar görmediyse kayitlar bize olayin nasil gelistigini çok güzel bir sekilde açiklayacaktir.
Artik sistem güvenliginin saglanmasi için nelere dikkat edildigi, hangi asamalarda neler yapilmasi gerektigi gibi konulara hakim olduk diyebiliriz. Sonuç olarak fiziksel güvenlik, baslangiç sifreleri, yamalar ve guncellemeler, güvenlik yapisi (AAA) gibi konulara degindik. Sistem kurulumlarinda, sistemimizin güvenli olmasi bir ön sart ise tüm bu kurallara uymamiz gerektigini söylemek isterim.