Microsoft Güvenlik Çözümleri
Bu makalemde microsoft’un sunmuş olduğu güvenlik çözümlerini genel başlıklar altında inceleyeceğiz.Aynı zamanda Forefront ürün ailesi,Güncelleştirmeler,İşletim sistemleri içerisinde sunulan ve daha sonradan bizim ekleyebildiğimiz güvenlik seçeneklerine bakacağız.
Güvenlik konusu günümüzün giderek önem kazanan konularından bir tanesidir.Özellikle şirket networklerinde çalışan ve barındırılan her türlü yazılımsal çözümün çalışmış olduğu serverların güvenliğini doğru bir şekilde sağlamak zorundayız.Aynı şekilde hepimizin evlerinde kullanmış olduğu desktop veya laptop bilgisayarlarımızında güvenliğinden biz sorumluyuz.Hızla yayılan zararlı içerikler güvenliğin sağlaması aşamasında bizleri farklı alternatiflere yönlendirmektedir.Microsoft tarafından yapılan araştırmalarda dünya üzerinde 38 Milyon adet istenmeyen yazılım olduğu ve %68 oranında bilgisayarlar kitlesinin bu yazılımlardan etkilendiği göstermektedir.(2008)Yine yapılan araştırmalar son zamanlarda istenmeyen maillerin(SPAM) ise %17 oranında bir artış olduğunu göstermektedir.(2008)Bu konuda mutlaka herkesin kendine göre belirlemiş olduğu seçenekler mevcuttur. Örneğin,Windows Firewall dışında ekstradan başka bir Personel Firewall kullanma.Yine herkesin evlerinde kendine göre belirleyip kullanmış olduğu antivirus çözümleri mevcuttur.Kimisi Symantec ürünlerini kullanırken, kimileride Microsoft’un sunmuş olduğu Windows Defender,Malicious Software Remove Tool(MSRT)’u tercih etmektedir.
Evimizdeki virus senaryosunu bir kenara bıraktıktan sonra.Server tarafında kullanabileceğimiz çözümlere bakalım.Tabi ki işin en çok özen gösterilmesi gereken taraflardan bir tanesi budur.Evimizdeki bilgisayarlarda en kötü senaryo olarak virus programınız gerekli temizlik işlemini yapamıyorsa veya bulamıyorsa eğer ki yedekleriniz de varsa basın formatı gitsin…:) Tabi ki bizler için format en son çözüm ancak iş içinden çıkılmaz bir hal alırsa yine bir çözümdür.Bunun yanında şirket networklerindeki sunucularımızın güvenliği daha büyük önem derecesine sahiptir.Yapımızın devamlılığının sağlanabilmesi ve iş süreçlerimizin yerine getirilmesi için mutlaka gerekli iyileştirmeleri bütün network bölümlerinde uygulamalıyız.En basit senaryo olarak şirket networkleri yine güvenliğin daha stabil bir şekilde sağlanabilmesi için kendi içinde belli başlı bölümlere ayrılmaktadır.Bu bölümleme özellike hem dışarıdan erişim sağlanabilen,hem de içeriden paylaştırılan sunucu rollerinin daha güvenli bir şekilde birbirleriyle haberleşebilmesini amaçlamaktadır.Tabiki bu kendi içinde belli başlı bölümlemelere gitmektedir.Bir şirket network alt yapısının minumum 3 tane farklı subnet’e ayrıldığını düşünürsek,her subnette farklı çözümler kullanarak güvenliği sağlıyabiliriz.
Böyle bir network diagramında yapılan isimlendirmeler İnternal,Perimeter ve External olarak 3’e ayrılmaktadır.Her network’de farklı Ip subnetleri kullanılmaktadır.Örneğin, İnternal 192.168.1.0, Perimeter 172.16.1.0, External ise 85.105.5.77 gibi Ip sınıflarından adreslere sahip olabilir.Aynı zamanda basit olarak da güvenliği subnetler arasında bu şekilde sağlıyabiliriz.Internal network,standart şirket içerisindeki kullanıcılarımızı barındırdığımış olduğumuz subnetimizdir.Aynı zamanda DC,DNS,Exchange Server 2007(Mailbox Server-Client Access),SQL,Terminal Server gibi belli başlı server rollerini içermektedir.
Perimeter network ise,ne internal ne external olarak nitelendirebileceğim bir networkdür.Özellikle internal networkden izole edilmiş olarak karşımıza gelmektedir.Amaç, şirket networküne erişim yapmak isteyen kullanıcıların yani tehlikelerle dolu internet ortamından gelen kullanıcıların karşılanmış olduğu networkdür.Özellikle belli sunucu rolleri kurulabilmektedir.Örneğin,Firewall ürünleri bu networkün önünde yer alabilir.Aynı zamanda çift Firewall kullanılarak hem Perimeter önün bir firewall hem de Perimeter ile İnternal arasında bir başka Firewall konumlandırabilir.Microsoft’un bu konuda sunmuş yeni bir çok özellik bulunmaktadır.Firewall tarafında sunulan ürün ISA Server’dır.ISA Server 2004,2006 ve yakın bir zamanda hayatımıza katılacak olan ve şimdiki ismi Threat Management Gateway olan ISA Server 2009’dur.Arkadaşlar ilerleyen bölümlerde Microsoft’un güvenlik kanadındaki ürünlerini İşletim sistemlerinde ve Server rollerinde olmak üzere teker teker inceleyeceğiz.
External network tarafında çok fazla bir şeyden bahsetmeye gerek yok.Özellikle şirket networküne uzaktan erişim yapıcak olan kullanıcıların yer almış olduğu internet ortamıdır.Örneğin,Outlook Web Access(OWA),Outlook Mobile Access(OMA),Outlook Anywhere(RPC Over HTTPS),VPN gibi methodlar aracılığıyla erişim sağlayan kullanıcılarımızı ve iş ortaklarmızı örnek olarak gösterebiliriz.
Günümüzde tehditler daha tehlikeli bir hal almıştır.Ortaya çıkan bütün zararlı içerikler daha gelişmiş ve kar amaçlı olarak kullanımaya farkında olmadan zorlanmaktadır.Aynı zamanda uygulamalara yönelik olarak sık bir şekilde güncellenmektedir.Bu tür sakıncaların önüne geçebilmek için hem şirketinizde hem de evinizde çok sayıda farklı teknolojilere sahip olan çözümleri kullanabilirisiniz.Standart ev bilgisayarı senaryosunda değil ama şirket network senaryosunda böyle bir seçim yapmak size hem maliyetli olabileceği gibi aynı zamanda yönetim zorluğunada sebep olucaktır.Örnek olarak,şirket networkünde karşılaşabileceğiniz her türlü zararlı içeriği engelliyebilmek için Kaspersky,Norton Antivirus,Nod32 ve McAffee gibi farklı antivirus motorlarını tercih edebilirsiniz.Aynı zamanda işinizi sanşa bırakmamış olup,bir tanesinin yakalıyamadığını bir başkasının bulmasını sağlıyabilirsiniz.Ancak böyle bir çözüm size maliyetli olucak ve yönetimi tek bir merkezden sağlıyamıyacaksınız.Ve kullandığınız bütün antivirüs motorları hakkında mutlaka gerekli bilgiye de sahip olmak zorundasınız.Bu dezavantajların dışında çok sayıda yönetim konsolu olduğundan dolayı düzgün bir şekilde raporları takip edemiyeceksiniz.Her arayüzden ayrı ayrı raporları incelemeniz ve takip etmeniz gerekmektedir.Evet arkadaşlar,farklı antivirüs çözümlerini kullanmak gerçekten sağlam bir çözümdür ancak yukarıdaki dezavantajalara sahiptir.Tüm bu maliyet ve yönetim karışıklığına karşın, Microsoft bu konuda tam 8 adet farklı antivirüs motorunu kullanan ForeFront Client ve Server Security ailesini geliştirmiştir.Çözüm olarak gayet stabil bir şekilde çalışan bu ürünü böyle bir amaç için tercih edebilirsiniz. Bir başka makalemde bu ürün ailesinede değineceğim.Tabi ki bunun dışında herkesin kendisine göre tercih edip kullanmış olduğu çözümlerde olabilir.
Microsoft’un Sunmuş Olduğu Güvenlik Çözümleri ve Gelişimi
Microsoft hayatımıza katmış olduğu her server ve client işletim sisteminde belli başlı güvenlik çözümlerine yer vermiştir.Bu bölümde hem işletim sistemleri ile bize yardımcı olan hem de sonradan yüklüyebileceğimiz uygulamalar hakkında bilgi vereceğim.
Microsoft güvenlik ürünlerinin özelliklerini genel başlık altında detaylı,entegre ve basit olarak açıklıyabilirim.Detaylı olarak işletim sistemi ve server uygulamalarının korunması,iş ortakları ile geliştirilen diğer çözümler,7/24 ayakta olan bir sistemin sürekli olarak izlenmesi gibi özellikleri örnek olarak gösterebiliriz.Entegre tarafında ise,MS ürünleri aynı platformda çalışan diğer ürünler ile de entegre bir şekilde çalışabilmektedir.Bu Microsoft IT altyapısında çalışan AD,Exchange,SQL,MOM gibi ürünler ile de entegrasyonu sağlamaktadır.Ve son olarak bu tür Microsoft çözümlerinin tamamının yönetimi basit bir şekilde yapılabilmektedir. Tek bir merkezden yönetim,kolay dağıtılması ve lisanslaması da yapılabilmektedir.
Microsoft’un sunmuş olduğu güvenlik çözümlerini aşağıdaki şekilde sıralıyabiliriz.
●Client ve Server İşletim Sistemlerinin Korunması
●İşletim sistemleri üzerine ekstradan yüklenebilen ISA,Exchange,SCOM,SQL,Sharepoint gibi ürünlerin güvenliğinin sağlanabilmesi
●Networke internetten erişim senaryosunun daha güvenli bir şekilde sağlanabilmesi için internet trafiğinin güvenliğini sağlamak
●İşletim sistemleri üzerindeki bilginin korunması
Olarak 4 ana başlık altında belirtebiliriz.Aynı zamanda aşağıdaki tablodan tam olarak Microsoft güvenlik ailesine ait olan ürünleri görebilirsiniz.
1)Client ve Server İşletim Sistemlerinin Korunması
Forefront Ürün ailesi
Microsoft’un sunduğu yeni forefront ailesinde mevcut IT altyapınız ile kolay entegre olan,yönetim,dağıtım ve raporlamada basitlik sağlayan ve size ayrıntılı güvenlik koruması sağlayan güvenlik ürünleri ailesidir.Bu aileyi 3 ana başlık altında inceleyebiliriz.
●Forefront Client Security
●Forefront Server Security
●Forefront Edge Security
a)Forefront Client Security
Forefront Client Security topluca cilentlarımızı yönetebileceğimiz virus,spyware,malware,tojan gibi zararlı içeriklerin bizim belirlemiş olduğumuz kurallar üzerinden filtrelenebilmesini sağlayan bir çözümdür.FCS’nin isminde geçen Client kelimesi bizi yanıltmasın,yani sadece clientlara kurulabilecek ve kullanabilecek olan bir uygulama değildir.Server tarafında da 2003-2008 işletim sistemlerinde hem 32 hem de 64 BIT mimarilerde kullanabileceğimiz casus yazılımları engelleyen entegre bir çözümdür.
FCS Active Directory ile entegre bir şekilde çalışabileceği gibi workgroup ortamında çalışan herhangi bir bilgisayara da kurulabilmektedir.Yani hem Domain hem de Workgroup ortamlarında kolay bir şekilde kullanabiliriz.Forefront bize uçdan uca komple bir çözüm sunmaktadır.
b)Forefront Server Security
Server Sistemleri üzerine ekstradan yüklenebilen ISA,Exchange,SQL,Sharepoint gibi ürünlerin güvenliğinin sağlanabilmesi.Kendi içerisinde 3 bölüme ayrılmaktadır.
●Forefront Security For Exchange 2007
Exchange Server 2007 dışarıdan mail almak ve outlook’da bunları depolamak durumundadır.Pek çok saldırı e-mailler ile yayıldığı için Exchange ve outlook’u maksimum güvenlik hizmetleri ile korumak önemlidir.Örneğin,istenmeyen mesajları şirket networkümüze sokmadan önce bunları tarayarak kullanıcılarımızın bigisayarlarını daha güvenli hale getirebiliriz.
●Forefront Security For Sharepoint Services 3.0
Forefront Security For Sharepoint gerçek zamanlı olarak Sharepoint üzerindeki dökümanlarımızı korumamızı sağlamaktadır.Sharepoint portalina dökümanları upload ve download ederken tarama işlemini gerçekleştirerek sunucu ve kullanıcılarımızın güvenliğini garanti eder.Bunu yaparken dosyaları içeriklerine, uzantılarına,türlerine ve boyutlarına göre engelleyebilir ve Sharepoint’de ne tür dosyaların saklanacağını belirliyebilir.
●Forefront Security For Office Communications Servers(OCS) 2007
OCS ile,bir şirketin farklı şubelerinde yer alan kullanıcıların Smartphone ile ücretsiz olarak anlık mesajlaşma ve VOIP trafiğini bu sunucu rolü üzerinden yönetebiliriz.Bunların yanında e-mail atabilir ve dosya da gönderebiliriz.Forefront for OCS ile keyword kullanarak içerik filtrelemesi yapabilmekteyiz ki böyle bir şey diğer Instant Messaging uygulamalarında yapılamaz.Aynı zamanda dosya tipine göre de filtrelemeler yapabilmekteyiz.Özetle,eğer şirket içerisinde Instant Messaging uygulaması olarak OCS kullanıyorsak gerçekleştirilen her türlü mesajlaşmayı,gönderilen ekli dosyaların tamamını filtreleyebiliriz.
c)Forefront Edge Security
Networke internetten erişim senaryosunun daha güvenli bir şekilde sağlanabilmesi için internet trafiğinin güvenliğini sağlamak.
●Internet Security and Acceleration Server 2006(ISA 2006)
IT altyapısını internet tabanlı tehditlerden koruyan ve kullanıcıların uygulamaları uzaktan güvenli ve hızlı bir şekilde çalıştırmasını sağlayan dış bağlantı çözümü.
●Intelligent Application Gateway(IAG 2007)
IAG,Şirket networkündeki kaynaklara Web Browser üzerinden erişim sağlamak için kullanabileceğimiz bir üründür.Bu şekilde çalışanlar ve iş ortakları şirket içerisindeki uygulamalara kolay ve güvenli bir şekilde erişim sağlıyabilmektedir.IAG Bunu yaparken SSL VPN kullanarak web tabanlı olan veya olmayan pek çok uygulamayı dışarıya yayınlamamızı sağlamaktadır.
2)Güncelleştirmeler ile gelen güvenliğimiz
Microsoft tarafından şu ana kadar en çok kullanılan client işletim sistemlerinden Xp için 2008 Nisan ayında bir Service Pack yayınlamıştır.336 MB boyuta sahip olan bu paket içerisinde yeni temalardan,güvenlik güncelleştirmelerine kadar değişiklikler bulunmaktadır.İlk etap da şunu belirtmekte fayda var ki paketin sadece %20’lik bir bölümü yeni özellikleri içermektedir.Microsoft,Windows Xp işletim sistemine birçok yeni özellik ekleyen SP2 paketinin aksine SP3 ile daha önce yayınlanan tüm güncelleştirmeleri içeren bir paket yayınlamıştır.İşte bu da paketin geri kalan %80’lik bir bölümüdür.
2008 yılı başlarında kullanıcılara sunulan Vista SP1,mevcut Vista kullanıcıları için önemli değişiklikler getirmektedir.Bazı uyarı pencerelerinin kaldırıldığı,kimi bölümlerde herhangi bir değişikliğe sahip olmayan Vista SP1,özellikle güvenlik düzenlemeleri,Yönetim uygulamalarındaki yenilikler ve Performans tarafında Microsoft iş ortaklarını ve son kullanıcıları ilgilendiren çözümler sunmaktadır.
Server işletim sistemleri serilerinden olan Server 2003 ile SP2 kanadında bir bakıma Server 2008 ile birlikte hayatımıza katılacak olan özelliklerin de sinyali verilmiş oldu.Bir çok geliştirme ve iyileştirmenin yapılmış olduğu Server 2003 için son servis paketidir.
3)İşletim sistemleri üzerine yüklü olarak gelen veya sonradan kurabildiğimiz ek çözümler
Bilgisayarlarımıza yönelik en büyük tehdit halen virüsler olsa da, virüs dışı tehditler de ciddiyetini artırarak varlığına devam ediyor. Spyware ve Adaware yazılımlar hem sistem performansını hem de güvenliği etkileyebiliyor. En masum görünen yazılımlar bile beraberinde spyware ya da adaware yükleyip, kullanıcının kişisel bilgilerini ele geçirmeye çalışabiliyor. Vista bu tip yazılımlara karşı sistem yöneticilerine Windows Defender’i sunuyor.
Sistemleri zararlı yazılımlardan arındırmak için kullanabileceğimiz bir araçtır.En yaygın olarak çalışan zararlı yazılımlara odaklanıp gerekli işlemi yerine getirir.
Güvenlik duvarları bilgisayarlara yerel ağdaki ya da internetteki diğer makinelerden gelen yetkisiz erişimleri engellemek için kullanılır. Güvenlik duvarı yazılımsal ya da donanımsal olarak ya da gerekiyorsa bu ikisinin kombinasyonu şeklinde uygulanabilir. Bu tür uygulamalar trafiğin tanımlanması ve engellenmesi mantığı ile çalışır. Ağınızdaki bilgisayarlarda güvenlik duvarının neden olabileceği sorunları tespit etmek ve gidermek için bu uygulamaları tanımak gerekir.
Network Access Protection
Windows Vista ile NAP adı verilen ağ karantina çözümü çıkartılmıştır.Windows Server 2008’de bulunan özelliklerden birisidir.NAP,ağa bağlanmak isteyen kullanıcıları inceleyerek kriterlere uymayanları karantina altına alıcak.Güncel olmayan sistemler karantidayken,bunları güvenli hale getirebilmek için örneğin en son update’ler ve hotfix’ler yüklenecek.Güvenli bir hale getirildikten sonra şikret ağına erişebilecekler.
4)İşletim sistemleri üzerindeki bilginin korunması
a)Encrypted File System(EFS)
Bilgisayarımızdaki dosya ve klasörleri şifreleyerek güvenliğini sağlayabilen bir çözümdür.Her kullanıcıya özel olarak üretilen Public ve Private key anahtar çiftleri kullanılarak sadece ilgili şifrelemeyi yapan kullanıcı şifreyi açabilir,dosya ve klasörlere erişim sağlıyabilir.
b)Bitlocker Drive Encryption
Bilgisayarımızın hard disk sürücüsünü koruma amaçlı olarak geliştirilmiş bir ürün olup, Windows volume yani dinamik disk bölümünün tamamını şifreleyerek yetkisiz kullanıcıların Windows dosya ve sistem koruyucularını kırmasına ya da offline olarak güvenli sürücü üzerinde bilgi görüntülemesine engel olmayı sağlamaktadır.Donanımsal olarak Trusted Platform Module (TPM) çipine sahip olmanız gerekmektedir.
c)Active Directory Rights Management Services(AD RMS)
Bu server rolü ile şirket içerisinde kullanılan,ofis belgeleri,e-postalar,vb. gibi verilerin güvenliğini sağlamak için kullanılmaktadır.RMS ile belgelerimizi dilediğimiz insanlar ile paylaşabildiğimiz gibi,bu dökümanların sadece bu insanlarda kalması gibi özel ayarlarda yapabilmekteyiz.Örneğin belgenin mail atılmasını veya yazıcıdan çıktı alınmasını yasaklamak gibi.Active Directory Federation Servis ile entegre bir şekilde çalışmaktadır.
5)Yazılım Güncellemesindeki Gelişmeler
Yukarıda bahsetmiş olduğumuz tüm ürünler ve özellikler belirli aralıklarla güncellenmektedir.Bu güncellemeleri düzenli bir şekilde takip ederek daha güvenli bir yapı elde edebiliriz.Microsoft tarafından yayınlanan bu kritik güvenlik iyileştirmelerini aşağıda araçlar aracılığıyla takip edebilirsiniz.
a)Automatic Update
Bu özellik ile Microsoft’un yamalarını yayınlamış olduğu web sitesinden otomatik olarak istediğiniz saat ve zaman diliminde gerekli eklentileri inderebilirsiniz.
b)Microsoft Baseline Security Analyzer 2.0
İşletim sisteminin daha güvenli çalışması için tavsiyelerde bulunan free bir araçtır.Technet’den indirebilirsiniz.
c)Windows Server Update Services(WSUS) 3.0
Tek bir merkezden şirket networkündeki bütün client ve serverların Update yönetimini yapabilmek için kullanabileceğimiz bir araçtır.Sadece ihtiyaç duyulan updatelerin indirilip yüklendiğinden dolayı internet bant genişliğinin korunmasına yardımcı olur.Aynı zaman da sadece Administrator tarafından onay verilen update yüklenebilmektedir.Bu da herkesin kafasına gore update çekmesini engellemektedir.Çoklu şube senaryosunda ise,sadece merkezdeki WSUS makinası internete çıkartılıp updateleri indirilmesi sağlanabilir ve şube ofislerindeki WSUS’lara gerekli dağıtım gerçekleştirebiilir.
d)System Center Configuration Manager(SCCM 2007)
Bir bakıma isim değişikliğine gidilerek hayatımıza katılan SCCM,Server 2003 zamanındaki SMS ve MOM gibi sunucu rollerinin birleştirilmesinden ortaya çıkan yeni bir üründür.Software deployment ve Envanter gibi işlevleri yerine getirebilmektedir. Updatelerin enterprise yapılarda dağıtılabilmesi için kullanabilmektedir.
Kurumların Endişeleri
Güvenlik tehditlerinde, firmalar tehditin kaynağını öğrenmek istiyorlar. (kim, hangi bilgisayar, hangi zaman, ve uygulama?)
Kontrol edilmeyen internet erişimi, çalışan verimliliğini düşereceği gibi internetteki trojan, virus, worm gibi kötü niyetli yazılımların iç network’e girmesini sağlıyor.
Birçok uygulama ile (e-mail, anında mesajlaşma, dosya paylaşım uygulamaları) şirket bilgileri dışarıya çıkartılabiliyor.
Yavaş ve kullanılamayan internet bağlantıları firmaların iş yapışını etkileyebileceği gibi , çalışan verimliliğini de düşürüyor.
Çözüm
DoS, DDoS ve DNS saldırılarına karşı geliştirilmiş korumalar
Entegre Uygulama Seviyesi firewall & web proxy
Yüksek Erişebilirlilik için Entegre Network Yük Dağılımı
Detaylı Alarm ve cevap verme mekanizmaları
ISA içine yerleştirilmiş trafik kontrolü (120 protokol)
Ayarlanabilen Caching Kuralları
Bağlantı kotalarına göre Worm koruması
Evet arkadaşlar bu makalemizde Microsoft’un güvenlik çözümlerini genel olarak her ürün üzerinde inceleme imkanımız oldu.Bu yazının devamında Microsoft’un Forefront Güvenlik ailesi üzerinde duracağım.Bir başka makalede görüşmek üzere…
Hoşçakalın…