Hem dış kurumlarla hem de alt birliklerle verimli, güvenli ve kesintisiz iletişim her kurum icin önemlidir. Ama 'O an' da hazırlıklı olması gereken ve ilk hedef olarak iletişim zorluğuyla karşı karşıya kalacak stratejik kurumlar için kesintisiz kriptolu iletişim bir zorunluluktur.

• İletişimin sürekliliğini sağlayabilecek alternatifli bir iletişim altyapısı hazırlanabilmelidir. Örneğin; Metro Ethernet ile uydu veya g.shdsl ile Metro Ethernet gibi.

• Aynı anda iki ayrı internet bağlantısı üzerinden iki farklı IP bloğuna VPN tüneli kurulabilmelidir.

• Bu hatlardan ve VPN tünellerden bir tanesi öncelikli olarak belirlenebilmelidir.

• Öncelikli VPN bağlantısının herhangi bir sebeple kesilmesi halinde ikincil hat uzerindeki VPN, Internet vb. hizmetler durdurulmalı, bu hat sadece öncelikli VPN tüneli icin kullanılabilmelidir. Bu geçiş, cihaza dışarıdan herhangi bir müdahaleye gerek duyulmadan otomatik olarak gerçekleşmelidir.

• Öncelikli hattın bağlantısının yeniden sağlanması durumunda yine otomatik olarak öncelikli VPN tünelinin öncelikli hatta geçmesi ve diğer hattın diğer hizmetler için kullanılması sağlanmalıdır.
• İkincil internet bağlantısının herhangi bir sebeple kesilmesi halinde ikincil hat üzerindeki VPN, Internet vb. hizmetlerin öncelikli hat üzerinden akması engellenebilmelidir.
• İkincil hattın bağlantısının yeniden sağlanması durumunda sistemin normal çalışma düzenine geri dönmesi otomatik olarak sağlanmalıdır.
• İki internet bağlantısının da herhangi bir sebeple kesilmesinin ardından hatların bağlantılarının yeniden sağlanması durumunda yine otomatik olarak öncelikli VPN tünelinin öncelikli hatta geçmesi ve diğer hattın diğer hizmetler icin kullanılmas sağlanabilmelidir. Bu altyapıyı sağlayabilecek ürünlerin konumlandırılmasıyla, internet üzerinden devamlı olarak bir kripto yolu otomatik olarak tanımlanarak kesintisiz, kriptolu iletişim sağlanabilir.

Bu altyapıyı sağlayabilecek ürünlerin konumlandırılmasıyla, internet üzerinden devamlı olarak bir kripto yolu otomatik olarak tanımlanarak kesintisiz, kriptolu iletisim sağlanabilir. Bahsedilen altyapı için bir konfigürasyon örneği ve otomatik olarak cihazın alabileceği tedbirler aşağıda verilen 3 senaryoyla anlatılmıştır.

Senaryo 1 İki hat da düzgün çalışmaktadır. Senaryoda Hat1 internet ve Lan1/Lan2 nin VPN bağlantısı için kullanılırken, Hat2 Kurumsal uygulamaların VPN bağlantısı için kullanılmaktadır. Böylece Hat2 nin hem trafik guvenliği hem de sadece kurumsal uygulamalar icin kullanılırlığı sağlanmıştır.

Senaryo 2 Hat1 koptu. Sistem, Hat1'in koptuğunu anında anlar ve önemli VPN trafikleri aktif hatta aktarılır. Örnek senaryoya göre kurum Hat1 kopunca sadece bu hat üzerindeki Lan2 VPN nin devam etmesini yeterli görmüş; ERP VPN in yanına Lan2 VPNi eklenmis. Hat2 nin Hat1 in yokluğunda görevini yerine getirebilmesi için internet ve Lan1 VPN bağlantıları devam ettirilmemiştir. İstenirse kriptolu ve kriptosuz tüm bağlantıların devam ettirilmesi için de senaryo aynı şekilde kurgulanabilir. Ama dikkat edilmesi gereken kurumsal hatların verimliliğinden ödün verilmemesidir. Hat1 tekrar geldiğinde normal senaryo anında tekrar uygulanacak ve iki hat da normal görevlerine geri döneceklerdir.

Senaryo 3 Hat2 koptu. Sistem, Senaryo 2 dekine benzer olarak önceden tanımlandığı gibi gerekli bağlantıları taşıyacak gereken trafikleri kesecektir.

Son zamanlarda, büyük web sitelerine ve kök alan adı sunucularına yapılan, DDoS olarak adlandırılan saldırılar türemiştir. Bu saldırı türünde, saldıran sadece bir kişi değil birden fazladır. Saldırgan, saldırıları yaparken IP adresini hedef makineye ya da başka bir IP'ye değiştirdiğinden, saldırganın yerinin bulunması da çok zor bir hale gelmektedir.

Örneğin, smurf isimli DDoS aracı bir ağa açık broadcast adresine ICMP echo istek paketleri yolluyor ve echo isteğine cevap vermek isteyen ağdaki tüm makineler ise isteği yapan olarak gördükleri bir hedef makineye cevap yollar. Çünkü, smurf yolladığı paketlerin gönderici IP adresini, bu hedef makine olarak gösterir. Hedef makine üzerinden baktığımızda ise iş, çok alakasız yerlerden gelen binlerce ICMP cevap paketi ile boğuşmak olarak görülür. Gerçek saldırgana ulaşabilmek için cidden zorlu bir takip süreci gerekmektedir. Bize gelen binlerce ICMP echo cevabının yollandığı ağlara ve bu ağların yöneticilerine ulaşmak ve büyük ihtimalle buradan baska ağlara atlayarak saldırgana ulaşmaya çalışmak ve bunların hepsini bu saldırı süresince tamamlamak ise hemen hemen imkansız hale gelmektedir.

DDoS saldırıları için, Labris Güvenlik Duvarı’nın özel güvenlik işletim sistemi ile bütünleşik firewall yazılım altyapısı yeterli desteği sağlamaktadır.

Labris Güvenlik Duvarı,


• Smurf tarzı DDoS saldırıları için ön tanımlı olarak ağınıza broadcast ve multicast hedefli paketlerin girmesini ve çıkmasını engeller. Böylece hem DDoS saldırılarına ne hedef ne de alet olursunuz.

• Üzerindeki ön tanımlı kurallar ile ağınıza içeriden gelmesi gereken ancak dışarıdan geliyor görünen paketleri engeller.

• Ön tanımlı kurallar ile yerel adreslerden olmayan IP paketlerinin dısarı çıkmasını engeller. Böylece DDoS saldırılarına alet olmanız önlenir.

• Üzerinde belli frekanslara ayarlanabilecek paket trafiği kontrolü ile olası saldırıları duraklatabilirsiniz. Örneğin, bir sunucunuza ya da ağınızın tamamına, bir saniye içinde 3 adet ICMP paket limiti koyarak tam bir koruma sağlayabilirsiniz. Bu altyapı ile tamamen DDoS mantığına karşı istediğiniz eylemi alabilirsiniz.

• Ayrı bir modül olarak gelen trafik kontrol paketi ile de genelde DDoS saldırıları için kullanılabilecek paketlerin ağınızda işgal edebileceği toplam ağ sığasını limitleyebilirsiniz.

• Üzerinde bulunduğu işletim sistemi katmanının IP yığıtı(IP stack), üzerinde IP spoofing olarak tanımlanan yanlış IP ile paket yollamayı engelleyen yapı ile önemli bir güvenlik katmanı sağlar.

• Klasik saldırı tipleri için hazırlanmış ön tanımlı paket filtre kuralları ile de saldırıların geri kalan kısmına karşı önlem alır.

• Gelişmiş loglama ve inceleme araçları ile saldırı anındaki aktif eylemler için -örneğin saldıran IP’lerin bulunması gibi- elinizde çok önemli bilgiler bulabilmenizi sağlar.