AĞ.07 — VPN ile Erişim Standartları
Açıklama
Şirkette kullanıcıların ve sistem yöneticilerinin uzaktan bilgiye ve sistemlere erişimi için geçerli olan minimum standartlar bu doküman içerisinde tanımlanmıştır.
Standartlar
SSL-VPN Erişim Standartları
- SSL-VPN kimlik doğrulama işlemleri; aktif dizin hesabı ile birlikte TOTP/FIDO2 gibi kimlik doğrulama yöntemlerini ya da sertifika tabanlı doğrulamayı içerecek şekilde zorunlu çok faktörlü (MFA) olarak yapılır.
- Şirkete yapılan SSL-VPN bağlantılarında, kullanıcıların şirket kaynaklarına erişimi ve diğer internet trafiği VPN tüneli üzerine yönlendirilir. Kullanıcıların doğrudan internet erişimleri engellenir.
- Split tünellemeye izin verilmez, aynı anda sadece tek bir ağ bağlantısına izin verilir.
- SSL-VPN kullanıcıları için, en fazla 3 saat olmak üzere, uygun bir zaman aşımı süresi belirlenir; zaman aşımı sonunda kullanıcı oturumu otomatik olarak kapatılır.
- SSL-VPN bağlantıları, 15 dakikalık inaktif süre sonunda otomatik olarak kapatılacak şekilde yapılandırılır.
- SSL-VPN erişim hizmeti alan tüm kullanıcı bilgisayarları, şirketin belirlediği güvenlik standartlarını sağlar. Güvenlik standardına uymayan bilgisayarlardan erişime izin verilmez.
- Şirket ağına yapılan tüm SSL-VPN erişim istekleri ve kullanıcı oturum işlemleri loglanır; loglar güvenli bir yerde en az bir yıl süre ile saklanır.
- 3. şahıslara ve firmalara VPN erişimi verilmesi gerekiyorsa, verilecek VPN erişimleri ilgili sistem yöneticisinin kontrolünde yapılır.
- SSL-VPN erişimini sağlayan yazılımda son sürüm yerine, üretici tarafından güvenli ve kararlı olduğu onaylanan sürüm tercih edilir. Protokol olarak TLS 1.2 ve üzeri (TLS 1.3 tercih) kullanılır; SSL ve eski TLS sürümleri devre dışı bırakılır.
- Kullanıcıların aynı anda birden fazla oturum açmasına izin verilmez.
IPSec VPN Erişim Standartları
- IPSec VPN bağlantılarında FIPS onaylı şifreleme algoritmaları kullanılır. AES-256 ya da AES-128 (tercihen AES-GCM) algoritması kullanılır. DES ve 3DES algoritmaları zafiyetler barındırdığından kullanılmaz.
- Bütünlük koruma algoritması olarak SHA-256 ve üzeri kullanılır; SHA-1 ve MD5 kullanılmaz.
- Güçlü pre-shared key kullanılır. Pre-shared key en az 20 karakter olur ve rastgele karakterlerden oluşur. Pre-shared key bilgisi e-posta üzerinden paylaşılmaz.
- IKEv2 tercih edilir; IKEv1 kullanılmak zorundaysa faz 1'de aggressive mod yerine main mod kullanılır.
- IKE Security Association (SA) süresi 86400 saniyeden (24 saat), IPSec SA süresi 28800 saniyeden (8 saat) fazla tanımlanmaz.
- IPSec VPN erişimini sağlayan yazılımda son sürüm yerine, üretici tarafından güvenli ve kararlı olduğu onaylanan sürüm tercih edilir.
- Kullanıcıların aynı anda birden fazla oturum açmasına izin verilmez.
İyi Uygulama Örnekleri
- Çok faktörlü kimlik doğrulama için TOTP/FIDO2 gibi kimlik doğrulama yöntemleri kullanılabilir.
- Pre-shared key yerine sertifika tabanlı kimlik doğrulama kullanılabilir.
- SSL-VPN erişimlerinde iç kaynaklara ait yerel diskin, VPN erişimi ile birlikte dış ağdaki güvensiz ve kontrolsüz kaynaklara taşınması engellenir; böylece veri sızıntısı riski minimize edilir.
- SSL-VPN erişimlerinde 443 portu açılmaz.
Referanslar
- NIST SP 800-77: Guide to IPsec VPNs — csrc.nist.gov
- Cisco: Preventing IPsec VPN Failures — networkworld.com
- SANS Policies: Virtual Private Network — www.sans.org/security-resources/policies