AĞ.07 — VPN ile Erişim Standartları

Ağ Güvenliği IT Standartları · Türkçe

Açıklama

Şirkette kullanıcıların ve sistem yöneticilerinin uzaktan bilgiye ve sistemlere erişimi için geçerli olan minimum standartlar bu doküman içerisinde tanımlanmıştır.

Standartlar

SSL-VPN Erişim Standartları

  1. SSL-VPN kimlik doğrulama işlemleri; aktif dizin hesabı ile birlikte TOTP/FIDO2 gibi kimlik doğrulama yöntemlerini ya da sertifika tabanlı doğrulamayı içerecek şekilde zorunlu çok faktörlü (MFA) olarak yapılır.
  2. Şirkete yapılan SSL-VPN bağlantılarında, kullanıcıların şirket kaynaklarına erişimi ve diğer internet trafiği VPN tüneli üzerine yönlendirilir. Kullanıcıların doğrudan internet erişimleri engellenir.
  3. Split tünellemeye izin verilmez, aynı anda sadece tek bir ağ bağlantısına izin verilir.
  4. SSL-VPN kullanıcıları için, en fazla 3 saat olmak üzere, uygun bir zaman aşımı süresi belirlenir; zaman aşımı sonunda kullanıcı oturumu otomatik olarak kapatılır.
  5. SSL-VPN bağlantıları, 15 dakikalık inaktif süre sonunda otomatik olarak kapatılacak şekilde yapılandırılır.
  6. SSL-VPN erişim hizmeti alan tüm kullanıcı bilgisayarları, şirketin belirlediği güvenlik standartlarını sağlar. Güvenlik standardına uymayan bilgisayarlardan erişime izin verilmez.
  7. Şirket ağına yapılan tüm SSL-VPN erişim istekleri ve kullanıcı oturum işlemleri loglanır; loglar güvenli bir yerde en az bir yıl süre ile saklanır.
  8. 3. şahıslara ve firmalara VPN erişimi verilmesi gerekiyorsa, verilecek VPN erişimleri ilgili sistem yöneticisinin kontrolünde yapılır.
  9. SSL-VPN erişimini sağlayan yazılımda son sürüm yerine, üretici tarafından güvenli ve kararlı olduğu onaylanan sürüm tercih edilir. Protokol olarak TLS 1.2 ve üzeri (TLS 1.3 tercih) kullanılır; SSL ve eski TLS sürümleri devre dışı bırakılır.
  10. Kullanıcıların aynı anda birden fazla oturum açmasına izin verilmez.

IPSec VPN Erişim Standartları

  1. IPSec VPN bağlantılarında FIPS onaylı şifreleme algoritmaları kullanılır. AES-256 ya da AES-128 (tercihen AES-GCM) algoritması kullanılır. DES ve 3DES algoritmaları zafiyetler barındırdığından kullanılmaz.
  2. Bütünlük koruma algoritması olarak SHA-256 ve üzeri kullanılır; SHA-1 ve MD5 kullanılmaz.
  3. Güçlü pre-shared key kullanılır. Pre-shared key en az 20 karakter olur ve rastgele karakterlerden oluşur. Pre-shared key bilgisi e-posta üzerinden paylaşılmaz.
  4. IKEv2 tercih edilir; IKEv1 kullanılmak zorundaysa faz 1'de aggressive mod yerine main mod kullanılır.
  5. IKE Security Association (SA) süresi 86400 saniyeden (24 saat), IPSec SA süresi 28800 saniyeden (8 saat) fazla tanımlanmaz.
  6. IPSec VPN erişimini sağlayan yazılımda son sürüm yerine, üretici tarafından güvenli ve kararlı olduğu onaylanan sürüm tercih edilir.
  7. Kullanıcıların aynı anda birden fazla oturum açmasına izin verilmez.

İyi Uygulama Örnekleri

  1. Çok faktörlü kimlik doğrulama için TOTP/FIDO2 gibi kimlik doğrulama yöntemleri kullanılabilir.
  2. Pre-shared key yerine sertifika tabanlı kimlik doğrulama kullanılabilir.
  3. SSL-VPN erişimlerinde iç kaynaklara ait yerel diskin, VPN erişimi ile birlikte dış ağdaki güvensiz ve kontrolsüz kaynaklara taşınması engellenir; böylece veri sızıntısı riski minimize edilir.
  4. SSL-VPN erişimlerinde 443 portu açılmaz.

Referanslar

← Tüm IT Standartları