AĞ.03 — Atak Önleme Sistemleri Standartları

Ağ Güvenliği IT Standartları · Türkçe

Açıklama

Şirketin Atak Önleme Sistemlerinin (IPS) altyapısı için geçerli olan minimum standartlar bu doküman içerisinde tanımlanmıştır.

Standartlar

Kurulum ve Devreye Alma

  1. Son sürüm yerine, üreticiden kararlı ve güvenli olarak çalıştığının onayı alınan yazılım versiyonu tercih edilir.
  2. Cihaz “inline” mimaride konumlandırılır.
  3. Bypass mekanizması olan bir IPS kullanılmıyor ise, bypass-switch kullanılır.
  4. Sisteme erişim sağlayacak kişi sayısı birden fazla ise AAA (Authentication, Authorization, Accounting) entegrasyonu yapılır.
  5. Cihaz üzerinde HTTPS veya SSH yöntemi ile erişim belirli IP'lerden olacak şekilde sınırlandırılır. Telnet, HTTP, FTP gibi güvensiz erişim yöntemleri ve gereksiz servisler kapatılır.
  6. Saat ve takvim merkezi zaman sunucusu (NTP) üzerinden otomatik olarak senkronize edilir.
  7. Sistem kurulumdan sonra, şirketin ihtiyacına yönelik olarak belli bir süre öğrenme modunda çalıştırılır.
  8. Gereksiz imzalar söz konusu ise (SAP sunucusu olmayan bir altyapı için SAP imzalarının aktif olması gibi) bu imzalar kapatılır.

İşletim ve Bakım

  1. Cihaza ait topoloji güncel tutulur.
  2. IPS sistemlerinin imza veri tabanları güncel tutulur.
  3. Cihaz konfigürasyonunun haftalık bazda yedeği alınır.
  4. Yeni oluşabilecek tehditlere karşı, sistemin yazılım güncellemeleri periyodik olarak takip edilir, incelendikten sonra uygulanır.
  5. Sistemin olay logları ilgili yöntemlerce (Syslog, SIEM vb.) düzenli olarak alınır.
  6. Sistem bypass mekanizması ile çalışıyorsa, sistem yılda bir kez test edilir.
  7. Sistem konfigürasyonunda yapılan her tür ek, açıklaması ile birlikte tanımlanır.
  8. En az yılda bir kez olmak üzere, sistemde tanımlı olan imzalar analiz edilerek gereksiz olan imzalar plan dâhilinde kontrollü olarak kapatılır.
  9. Performans değerleri (CPU, RAM vb.), trafik yoğunluğu ve atak durumlarının sürekli olarak izlenmesine yönelik planlama yapılır.
  10. E-posta, SNMP trap ve benzeri yöntemler ile çevrimiçi alarm mekanizması aktif edilir ve IPS alarmları düzenli olarak kontrol edilir.
  11. Atak önleme sistemlerinin sızma testleri kapsamında denetlenmesi sağlanır.

İyi Uygulama Örnekleri

  1. Yapının büyüme potansiyeli söz konusu ise; sonrasında cihaz değişikliği yerine başlangıçta stack desteği olan bir donanım tercih edilmelidir.
  2. IPS cihazları; sadece internete açık olan segmentleri değil, iç ağdaki diğer segmentleri de takip edecek şekilde konfigüre edilmelidir.
  3. Kabloların fiziksel problemlerden etkilenmemesi için “port-channel” özelliği olan cihaz tercih edilebilir.

← Tüm IT Standartları