AĞ.08 — Ağ Erişim Kontrol (NAC) Cihazları Standartları

Ağ Güvenliği IT Standartları · Türkçe

Açıklama

Şirketin Ağ Erişim Kontrol (NAC) cihazlarının altyapısı için geçerli olan minimum güvenlik standartları bu doküman içerisinde tanımlanmıştır.

Standartlar

Kurulum ve Devreye Alma

  1. NAC cihazının son güncel sürümü yerine, güvenli ve kararlı çalıştığı ile ilgili üreticiden onay alınan sürüm tercih edilir.
  2. NAC cihazı, yerel ağda “out-of-band” mimarisinde konumlandırılır. Bu sayede trafik sürekli olarak NAC cihazı üzerinden geçmez.
  3. İç ağa yetkisiz erişimlerin önüne geçmek ve iç ağdaki kritik sunuculara veya kritik bilgilere misafir kişiler tarafından erişimin engellenmesi için gerekli konfigürasyon yapılır.
  4. Kullanıcı ve cihaz profilleri yaratılır. Buna yönelik olarak bir IP ve MAC listesi oluşturulur. Bu kullanıcı ve cihaz profilleri için erişim politikaları belirlenir.
  5. Misafir, dış kaynak, şirket kullanıcısı gibi farklı kullanıcı profilleri belirlenir ve bunlar için farklı kimlik doğrulama ve erişim politikaları uygulanır.
  6. Şirket kullanıcıları için bilgisayarlar üzerinde uygulanması gereken bilgi güvenliği standartları NAC sistemi üzerinde tanımlanır ve kontrolün bu sistem tarafından yapılması sağlanır.
  7. Sisteme erişim sağlayacak kişi sayısı birden fazla ise AAA (Authentication, Authorization, Accounting) entegrasyonu yapılır.
  8. Cihaz üzerinde HTTPS veya SSH yöntemi ile erişim belirli IP'lerden olacak şekilde sınırlandırılır. Telnet, HTTP, FTP gibi güvensiz erişim yöntemleri ve gereksiz servisler kapatılır.
  9. Saat ve takvim otomatik olarak merkezi zaman sunucusu (NTP) üzerinden senkronize edilir.

İşletim ve Bakım

  1. Cihaza ait topoloji güncel tutulur.
  2. Cihaz konfigürasyonu haftalık olarak yedeklenir.
  3. Yeni oluşabilecek tehditlere karşı, sistemin yazılım güncellemeleri takip edilir, incelendikten sonra uygulanır.
  4. Sistem üzerindeki olay logları ilgili yöntemlerce (Syslog, SIEM vb.) düzenli olarak alınır.
  5. Performans değerleri (CPU, RAM vb.), trafik yoğunluğu ve atak durumlarının sürekli olarak izlenmesine yönelik planlama yapılır. E-posta, SNMP trap ve benzeri yöntemler ile çevrimiçi alarm mekanizması aktif edilir.
  6. 802.1X temelli bir yapı söz konusuysa tüm ağ cihazlarının günlük olarak yedeklerinin alınması sağlanır.
  7. NAC kontrollerinden geçemeyen kullanıcılar, aylık olarak sistem üzerinden çekilen raporlar ile kontrol edilir.
  8. Uç nokta koruma (anti-virüs/EDR), uygulama, güvenlik açıkları gibi kontrollerin yapılmasını sağlayan imza güncelleme özelliği otomatik modda çalıştırılır.
  9. Şirket bilgisayarları üzerinde kurulması gereken ajanlar veya uygulanması gereken tanımlamalar, Active Directory üzerinden grup politikası (Group Policy) güncellemeleriyle sağlanır.

İyi Uygulama Örnekleri

  1. NAC sistemi aşamalı olarak devreye alınır ve sonrasında yaygınlaştırılır.
  2. Sistemin trafik kayıtları alınarak gerektiğinde izlenebilir olmalıdır.
  3. Gerek duyuluyorsa, Active Directory entegre edilmiş bir yapı üzerinden ağ segmentasyonu NAC sistemi ile sağlanabilir. Bu yapıya göre finans bölümü X VLAN'ından, teknik bölüm Y VLAN'ından IP alacak şekilde ayarlanır.
  4. Misafir bağlantılarında kullanılmak üzere bir VLAN belirlenebilir. Belirlenen VLAN üzerinden misafir kimlik doğrulaması yapıldıktan sonra atama işlemi sağlanır ve bu VLAN, sadece internete erişim sağlanabilen izole bir VLAN olarak yapılandırılır. Misafir kullanıcıların logları, 5651 sayılı kanun çerçevesinde NAC sistemi üzerinden alınarak hash değeri ile birlikte zaman damgalı olarak saklanır.

Referanslar

← Tüm IT Standartları