13 Mart 2012 Salı

Client Güvenliğine Bakış – Port Kontrol Sistemleri

Bu makalemizde client güvenliğinde önemli bir nokta olarak düşündüğüm port kontrol sistemlerinden bahsedeceğim.

Port Kontrol sistemlerinin çıkış amacı malum günümüzde virüs, trojen vs bilgisayarlara bulaşmasının en hızlı yoklu USB olarak göze çarpmaktadır. Bundan dolayı kurumsal firmalarda USB kullanımına bir kısıt getirme ihtiyacı duymuşlardır.Kullanıcı tarafından baktığımızda çokta hoş olmayan bir durum olsada USB belleklerin kontrolü client güvenliğinin başında gelen noktalardan birisidir.



Port Kontrol sistemlerinde aşağıdaki erişimlerin kontrolünü sağlayabilirsiniz;

1. USB bellek Erişimi
2. Harici Harddisk Erişimi
3. CD/DVDROM erişimi
4. İnternel Harddisk Erişimi
5. Printer Erişimi
6. Bluetooth Erişimi
7. Network Erişimleri
8. Taşınan Veri tespiti , bir kopyasının alınması,engellenmesi
9. Network Bridging kontrolü
.......
Ve bunun gibi bir çok özelliği bulundurmaktadır. Ama kurumsal firmalar genelde USB bellekleri engellemek için kullanılmaktadır.
Sistemin kurulumu bittiğinde genelde yapılan USB bellek ve External Disk erişimlerin tamamını kapatarak başalanır. Daha sonrasında ise eğer kullanıcıya gerekli izin verilmek istenirse gerekli izinler tanımlanır. İzin tanımlaması bir çok farklı şekillerde yapabilirsiniz. Bunlar;

1. USB device Serial Numarası
2. USB bellek markası
3. USB bellek modeli
4. USB bellek Device Name
5. Genel izin (Yazılımın belirli zaman aralıklarında disable edilmesi)
Şeklinde tanımlayabilmekteyiz.



Bu işlemi yaparken dikkat etmemiz gereken bazı noktalar bulunmaktadır.
1. İzin verilecek USB belleğin sadece o USB bellekte bulanan distinct olan numaraya göre vermemiz gerekmektedir.
2. Genel izin tanımlanmamalıdır. (Farklı cihazlarada izin vermiş oluruz)
3. Markaya göre izin tanımlanmamalıdır. (Aynı markaya ait diğer USB belleklere izin vermiş oluruz)
4. Modele göre izin tanımlanmamalıdır. (Aynı marka aynı model cihazların hepsine izin vermiş olursunuz örn:Kingstone 8gb )
5. USB belleğe ait bütün özellikleri AND leyerek izin verilmesi gerekmektedir.

Tanımlamalar yukarıdaki gibi olması gerekmektedir. Zaten izin verdiğiniz USB bellek ile sistemde açıklık oluşturmuş oluyoruz bundan dolayı izin verirken mümkün olduğu kadar kısıtlı (sadece izin istenilen belleğe) izin verilmesi gereklidir ve eğer farklı çözüm yolları bulabiliyorsak kullanıcıya bu tür çözümlere yönlendirmeliyiz.

Bazı sistemlerde Autrun özelliğine kapatılmasına dair seçenekler bulunmaktadır. Bu özellikte var ise kapatmalıyız.

Taşınan dosyalara gözlem
Port kontrol sistemlerinde erişim izin verilen USB bellek, CD/DVDROM gibi cihazlara taşınan bilgilerin kontrolünün yapılması gerekmektedir. Sistemlerin çoğunda taşınan verinin bilgilerini log olarak almaktadır. Bu bilgiler eşliğinde File tipine göre blocklama yapabilmekteyiz. Mesela exe uzantılı verilerin kopyalanmasını engelleyebilirsiniz. Yada bilgi işlem birimi için verilen izinlerde taşınan dosyalarda database, scrpit uzantılı dosyaların taşınmasını engellenmesi gerekmektedir.Ayrıca Port Kontrol sistemlerinde taşınan dosyaların bir kopyasınıda alabilmekteyiz. Gerekli görüldüğü taktirde yazılan politikalarla USB ye yada CD/DVDROM a taşınan dosyaların bir kopyasını belirli bir servera alabilinmektedir.

Network Bridging

Bu özellikte bazı Port Kontrol sistemlerinde bulunmaktadır. Bu özellik basit olarak eğer bir makine bir networke bağlı ise (kablolu, kablosuz, bluetooth vs) diğer portlarının down edilmesi olarak alğılanabilir. Bu özellik bir makine eğer kurum networkune bağlı ise wireless’tan kurum dışındaki bir networke bağlandığında oluian güvenlik açıklığını gidermek için birebirdir. Bunun için uygulanması gereken politika eğer bir kullanıcı kablolu erişimi varsa wireless adaptörünü, bluetooth erişimini, IRDA erişiminin kapatılması yönündedir. Eğer kullanılan üründe bu tür bir özellik var ise kullanılmasını şiddetle tavsiye ediyorum.

Politikaların Assing Edilmesi

Yazılına politikaların assing edilmesi ürünlere göre değişmektedir. Bazı ürünlerde computer bazlı bazılarında user bazlı bazılarında ise ikisinide içermektedir.Benim tavsiyem politikaları user bazlı oluşturulmasıdır. Çünkü computer bazlı yazılan politikalarda faklı kullanıcılarla bilgisayara login olunduğunda erişim yetkileri otomatik olarak login olan kullanıcıyada geçmiş olmaktadır. Buda güvenlik zafiyeti oluşturmaktadır. Bunun için politika assingmentlarımızı user bazlı oluşturmalıyız . Ayrıca kullanıcı bilgisayar değiştirdiğinde tekrar bu izin vermekle uğraşmamış oluruz.

Zamana Kısıtlı Device Tanımlama

Bazı Port Kontrol sistemlerinde ise zaman kısıtı vererek erişim izni verilebilmektedir. Bu tür erişimler güvenlik açığı oluşturmaktadır. Çünkü piyasadaki ürünlerde bu şekilde verilen izinlerde tek bir device’a izin verememektedir. Bu şekilde izin verdiğimizde bilgisayarda bulunan port kontrol agentı belirtilen zaman diliminde bir nevi devre dışı bırakmış oluruz. Bundan dolayı izin tanımlarken en son bu yolu seçmeliyiz.

Sonuç olarak port kontrol sistemleri kurumsal firmaların client sistemleride kullanmakta bir nevi zorunlu olduğu sistemlerdendir.
Bir sonraki makalemizde görüşmek üzere.

Hiç yorum yok:

Yorum Gönder