AĞ.02 — Kablosuz Ağ Standartları
Açıklama
Bu doküman, kablosuz ağlar ve erişim noktaları (Access Point) için güvenlik standartlarını belirlemek amacı ile hazırlanmıştır.
Standartlar
- Kablosuz ağ erişimi ile kablolu yerel ağ erişimi birbirinden ayrılır ve WLAN için kullanılan alt ağ, güvenlik duvarı DMZ'ine alınır. Bu sistemin çalışması için gerekli DHCP ihtiyacı göz önünde bulundurulur.
- Misafir kullanıcılar için oluşturulan WLAN'ların yerel ağa erişimi kısıtlanır. Bunu sağlamak için lokal WLAN ve LAN'dan tamamen izole farklı bir iletişim ağı (ör. ayrı bir internet hattı) kullanılır.
- Bu izole internet hattı aracılığıyla misafir kullanıcılarına verilen kablosuz erişim hakları kapsamında, tüm yapılan erişimleri kayıt altına almak ve 5651 sayılı kanun gerekliliklerini yerine getirebilmek için uygun kimlik doğrulama ve loglama kontrolleri geliştirilir.
- Şirket içi ve şirket dışı kullanıcıların aynı kablosuz erişim noktasını kullanmasına ihtiyaç olması durumunda VLAN desteğine sahip L2 Switch'ler kullanılır.
- Misafir kablosuz ağları hariç tüm SSID'ler gizlenir. Kablosuz ağ erişim cihazına deneme yanılma yöntemi ile yapılacak saldırıların önlenmesi amacıyla ön tanımlı SSID değeri kolay tahmin edilemeyecek şekilde değiştirilir ve gizlenir.
- Kablosuz ağlarda şifresiz erişim yapılmaz, kimlik doğrulama uygulanır. Şifre doğrulama için kablosuz ağ yapısında WPA3 tercih edilir, minimum WPA2-AES (CCMP) kullanılır; WEP, WPA ve TKIP kullanılmaz.
- Kablosuz ağ erişim cihazı kullanılarak şirket yerel ağına erişimin sağlandığı durumlar için yetki mekanizmaları (yetki tabanlı erişim, TACACS+ ya da RADIUS gibi güçlü kullanıcı doğrulama sistemleri, MAC tabanlı erişim, sertifika tabanlı erişim vb.) belirlenir ve uygulanır. Sadece sabit parola ile yerel ağa bağlantı engellenir.
- Kablosuz ağı kullanan kişiler ve aktiviteleri kayıt altına alınır. 5651 sayılı kanuna göre gerekli log kayıtları hash değeri ile birlikte uygun şekilde saklanır.
- Kablolu ağ internet çıkışı üzerinde kullanılan şirket internet içerik filtreleme politikaları kablosuz ağlar (misafir ağları dâhil) için de uygulanır.
- Kablosuz ağ erişim cihazını kullanarak yerel ağa erişim sırasında bilgisayar ile kablosuz ağ erişim cihazı arasındaki veri trafiği şifrelenmiş olarak akar.
- Kablosuz erişim noktalarının konumlandırılması, kablosuz yayının bina dışına en düşük seviyede ulaşması amacına uygun olarak yapılır.
- Kablosuz ağ erişim cihazının yönetimi için kullanılan yönetici parolası ön tanımlı şifreden farklı bir şifre ile değiştirilir.
- Cihaz üzerinde HTTPS veya SSH yöntemi ile erişim belirli IP'lerden olacak şekilde sınırlandırılır. Telnet, HTTP, FTP gibi güvensiz erişim yöntemleri ve gereksiz servisler kapatılır.
- Saat ve takvim otomatik olarak merkezi zaman sunucusu (NTP) üzerinden senkronize edilir.
- Yeni oluşabilecek tehditlere karşı, kablosuz ağ erişim cihazında kullanılan yazılımların güncellemeleri takip edilir, incelemenin ardından uygulanır.
- Kablosuz yerel ağ cihazları ve erişim logları en az yılda bir kez kontrol edilir.
- Kablosuz ağların sızma testleri kapsamında denetlenmesi sağlanır.
- Kablosuz erişim noktası, merkezi bir kablosuz ağ kontrol cihazı tarafından yönetilir.
- Kablosuz ağ cihazı üzerindeki log kayıtları syslog ve benzeri bir yöntemle merkezi log sunucusuna gönderilir.
- Kablosuz erişim noktası; asgari IEEE 802.11ax (Wi-Fi 6) standardını destekler ve mevcut istemcilerle geriye dönük uyumlu (IEEE 802.11ac/n) çalışır.
- Kablosuz erişim noktası, IEEE 802.1X/EAP Authentication desteğine sahip olur.
- Kablosuz erişim noktası, fiziksel olarak erişimi kontrol altında olacak şekilde konumlandırılır.
İyi Uygulama Örnekleri
- Kablosuz erişim noktalarında kullanılan ürünler seçilirken ağ performansı, şifreleme metotları, güvenlik, yönetilebilirlik ve gecikme gibi konulara dikkat edilmelidir.
- Kablosuz ağ erişim cihazları, çevresindeki diğer kablosuz yayınlarla çakışma yaratmamak ve yayınların bozulmasına sebep olmamak için düşük çıkış gücünde çalıştırılmalıdır.
- Cihazlar el ile kapatılıp açıldığında veya ani elektrik gidip gelmeleri sonrası otomatik olarak yeniden servis verebilir hale gelmelidir.
Referanslar
- IEEE 802 Wireless Standards — www.ieee802.org
- Wikipedia: IEEE 802 — en.wikipedia.org/wiki/IEEE_802
- Wikipedia: Wi-Fi Protected Access — en.wikipedia.org/wiki/Wi-Fi_Protected_Access