Kurum Dışı Uzaktan Çalışma ve Güvenli Erişim
Kurum Dışı Uzaktan Çalışma ve Güvenli Erişim
Ocak 2020 ‘de Çin’de başlayan ve Mart 2020 ‘de tüm dünyayı etkileyerek pandemi seviyesine gelen Covit-19 salgını nedeni ile birçok işletme uzaktan çalışma seçeneklerini değerlendiriyor. Uygulamalara güvenli ve hızlı bir şekilde erişim sağlanması gerekiyor. Bu makalede, SSL VPN çözümlerinin mimari tasarımı, gereksinimlerine değineceğiz. Örneklerde üretici olarak Fortinet ‘in FortiGate firewall ürünü paylaşacağız.
Dikkat Edilmesi Gerekenler
· vpn.kurumadı.com vb. bir alan adı için SSL Sertifikası kullanılması, (self-signed ssl sertifikalar kesinlikle kullanılmamalıdır),
· SSL VPN ile kuruma dışarıdan erişecek kişilerin, erişeceği kaynakların belirlenmesi ve buna göre sınırlandırılması,
· Çok faktörlü kimlik doğrulaması (MFA & One Time Password ),
· Erişim Loglarının kayıt edilmesi, (KVKK teknik tedbirleri içerisinde zorunludur )
· SSL VPN hizmetinin verildiği ürünün ( Firewall, VPN Appliance ), üretici tarafından tavsiye edilen ve güvenlik açığı barındırmayan sürümde çalışması
1- Erişim Metotları ve Network Topolojisi
Temel olarak birçok üretici iki farklı erişim metodunu kullanmaktadır;
a. Herhangi bir yazılım yüklemesine gerek olmaksızın Web Portal üzerinden erişim sağlanması
b. Bir SSL VPN Client yazılımı ile uygulama kullanarak tünel modda IP erişimi sağlanması ( aşağıdaki resimde yeşil olarak belirtilmiştir )
Web Portal: Güvenlik ve basitlik anlamında değerlendirildiğinde Web Portal kullanılarak SSL VPN erişimi sağlanması en idealidir. Bu şekilde yapılan erişimlerde bir web tarayıcısı içerisinden izin verilen kaynaklara erişim sağlandığı için, kurum ağına ip seviyesinde bir erişim yapılmamaktadır. Web Portal üzerinden kurum içerisindeki web uygulamaları transparan olarak erişilebileceği gibi, dosya sunucularına SMB erişimi, Web tarayıcısı içerisinden Uzak Masaüstü erişimi vb. yapılabilmektedir.
Tunnel Mod: Son kullanıcı bilgisayarına bir SSL VPN Client yazılımı ( Fortinet için FortiClient https://filestore.fortinet.com/forticlient/downloads/FortiClientVPNOnlineInstaller_6.2.exe )yüklenerek sağlanan erişimler esnek ve hızlı çalışarak IP seviyesinde erişim sağlamaktadır. Bu modun kullanılması uzman seviyede yapılandırma ve özelleştirme ile güvenli olarak kullanılabilir. Tunel Modu da kendi içerisinde iki farklı yapılandırmaya sahiptir, “Full Tunnel Mode”, “Split Tunnel Mode” Full Tünel Modun en büyük özelliği eğer isterseniz SSL VPN’e bağlanan kullanıcının internet erişimini kendi güvenlik duvarınız üzerinden ve sizin belirlediğiniz politikalar ile sağlayabilirsiniz.
2- SSL VPN Kimlik Doğrulama
SSL VPN ‘in sağlandığı güvenlik duvarı ya da VPN çözümü üzerinde yerel kullanıcılar açarak yetkilendirme yapılabileceği gibi kurum içerisindeki Active Directory dizin hizmeti de kullanılabilir. Active Directory dizinine LDAP bağlantısı yaparak yetkileri buradan almak mümkündür. Ek olarak Sertifika tabanlı doğrulama ve iki katmanlı kimlik doğrulama yapmak hesap bilgilerinin çalınma ihtimallerine karşı yüksek koruma sağlayacaktır.
Kurum içerisinde olabilecek birçok teknik probleme hızlı müdahale edebilmek adına, BT ekibi çalışanlarının Local User, geri kalan şirket çalışanlarının Active Directory ‘dan çekilmesi en idealidir. Olası bir AD erişim sorunu olması durumunda da BT destek yetkilisinin SSL VPN yapabilmesi önemli bir ayrıntıdır.
Kimlik Doğrulama Seçeneklerine Baktığımızda;
a. Lokal Kullanıcı
b. LDAP & Active Directory
c. Sertifika Doğrulama
d. Çok Katmanlı Kimlik Doğrulama ( SMS, Soft Token )
e. Radius ile Kimlik Doğrulama ( Fortinet için FortiAuthenticator )
Local Kullanıcı: En temel yetkilendirme seçeneğidir, SSL VPN yapılandırmasını güvenlik donanımı üzerinde lokal kullanıcı ve gruplar tanımlayarak yetkilendirme yapılabilir. BT Ekibi çalışanları için uygundur.
LDAP&AD: Kurum içerisinde farklı yetkilere sahip ve çok sayıda kullanıcıyı mevcut AD hesap bilgileri ile SSL VPN bağlantısı sağlamak için uygundur.
Sertifika Doğrulama: SSL VPN yapacak olan son kullanıcı bilgisayarına tanımlanan sertifika ile yapılan bağlantının, kurum içerisindeki sertifika sunusundan onaylanarak bağlantının kabul edilmesidir. Kullanıcı adı ve Şifre den oluşan hesap bilgilerinin çalınmasına karşı güçlendirilme sağlar, yapılandırması ve işletilmesi bir miktar zordur, topolojisi aşağıdaki gibidir, LDAP&AD doğrulama ile birlikte de kullanılabilir.
Çok Katmanlı Kimlik Doğrulama: Kullanıcı adı ve Şifre girilerek yapılan SSL VPN bağlantısının doğrulanmasında ikinci katmanda SMS ya da Token kullanılmasıdır. Yüksek güvenlik için tavsiye edilen erişim doğrulama yöntemidir. LDAP & AD ile birlikte de kullanılabilir, tercihen soft token kullanılmalıdır ( Fortinet için Forti Token ) . Ancak Token seçeneği her zaman ek maliyet getirmektedir.
Radius ile Kimlik Doğrulama: detaylı kimlik doğrulama seçeneklerini bir arada kullanmak için büyük organizasyonlarda tercih edilmektedir. SMS ile doğrulama yapmak içinde aktif olarak kullanılır.
3- Erişim Logları
Erişim log kayıtları, başta 5651 sayılı kanun kapsamında ihtiyaç olmakla birlikte KVKK ‘nın teknik tedbirleri içerisinde de kurumların sağlamaları gereken bir temel gereksinimdir. Buna ek olarak ISO 27001 gibi standartlar içinde zorunludur. Kurum dışından yapılan SSL VPN bağlantılarında;
a. Kim, Ne Zaman, Hangi IP’den bağlanmış?
b. Bağlanan bir kullanıcı, Nereye Erişti, Ne Kadar Veri Transfer Etti, Ne Kadar Bağlı Kaldı?
c. Hatalı Şifre Denemesi Yapan Kullanıcılar
Gibi bilgileri erişim loğlarından temin etmek mümkündür. FortiGate firewall için FortiAnalyzer ürünü kullanılabilir yada as a service olarak FixAnalyzer olarak bulut servisi olarak kullanılabilir. Analyzer içerisinden bu log’lar detaylı olarak incelenebilir ve rapor formatlarında kullanılabilir.
4- Sıkılaştırma Politikaları
· TLS 1.0 ve 1.1 ‘in kapatılması, tercihen TLS 1.2 & 1.3 kullanılması,
· Yüksek Diffie-Hellman (DH) şifreleme kullanılması ( 8192 bit ),
· Bir kullanıcı hesabı ile eş zamanlı birden fazla bağlantı yapılmaması, (“Limit Users to One SSL Connection at a Time“)
Eline sağlık hocam
Eline sağlık Yılmaz hocam.
Elinize sağlık, son derece aydınlatıcı bir makale olmuş.
Yılmaz Hocam Emeğine Sağlık.
Emeğinize sağlık Hocam zamanlama olarakda güzel oldu.
Hocam çok teşekkürler.
Ellerinize sağlık çok güzel yol göstermişsiniz hocam
Merhaba,
Forticlient VPN baglantisi icin desteginize ihtiyacim var. Her Wifi agindan ve cep telefonundan VPN baglantisi yapiyorum.Sorunsuz calisiyor. Ancak ev baglantimda Forticlient baglanti kursada gonderilen ve alinan KB adedi 10 KB gecmiyor ve orada takiliyor.
bu konuda bilginiz var midir ? Yardimci olabilirseniz cok sevinirim.
saygilar
Kaan Bora
Sorularınızı foruma sorabilirsiniz.
Eline sağlık çok güzel makale olmuş
‘Kurum içerisinde olabilecek birçok teknik probleme hızlı müdahale edebilmek adına, BT ekibi çalışanlarının Local User, geri kalan şirket çalışanlarının Active Directory ‘dan çekilmesi en idealidir. Olası bir AD erişim sorunu olması durumunda da BT destek yetkilisinin SSL VPN yapabilmesi önemli bir ayrıntıdır. ‘ şuradaki Local User detayı çok yerinde bir bilgilendirme olmuş.
Aynen, tecrübe böyle bir şey işte.