Beyaz Şapka Şubat 2018 - Page 15

Sayı: 37 [ Şubat 2018 ] Ağ cihazlarının üzerinden geçen veriler üç farklı kategoride sınıflandırılır. Data kat- manı (Data Plane), en yüksek veri boyutu kapsayan ve kullanıcıların ağ trafiğini içeren katmandır. Örneğin bir kullanıcı sosyal medyada gezinirken oluşturduğu trafik veya kurumsal e-postasına ait veri bu kategoriye aittir. Veri katmanı bazen transit trafiği olarak da adlandırılır. Normalde ağ altyapıların oluşturulmasının asıl amacı veri kat- manının işlenmesidir, ancak veri katmanı ağda dolaşan tek veri tipi değildir. İkinci veri katmanı kontrol katmanı veya Control Plane’dir. Bu katman ağ cihazlarının ara- sında haberleşmek için geçen protokoller ve trafiktir. Örneğin dinamik routing yapı- sında, router cihazlarının arasında paylaşılan OSPF paketleri bu alana aittir. Veya VPN bağlantısının ayakta olup olmadığını kontrol etmek için firewall cihazları arasında gönderilen DPD paketler kontrol katmanının başka bir örneğidir. Son olarak yönetim katmanı veya Management Plane, ağ cihazlarına bağlanmak, onları yapılandırmak, yönetmek ve monitör etmek için kullanılan trafiktir. Örneğin bir güvenlik duvarına web ara yüzden bağlanmak veya bir switch’e SSH protokolü ile bağlanmak için oluş- turulan trafik bu bölümden sayılır. SNMP, Telnet, SSH, TFTP, SCP, RADIUS, TACACS+, NetFlow, NTP, Syslog, vb. bu katmanda kullanılan diğer protokollerdir. Bahsi geçen katmanların her birisinin güvenliğini sağlamak için farklı yöntemler ve teknikler mevcuttur ve ayrı ayrı ele alınması gerekmektedir. Bu üç katman arasında, yönetim katmanı en önemli katman sayılır çünkü bu katman herhangi bir tehlikeye maruz kalma durumunda, ağ yöneticisi cihazlara bağlanıp, müdahale etme şansını bile kaybedecektir dolayısıyla veri ve kontrol katmanlarının dahi güvenliğini temin edemez duruma gelecektir. Bir bilgi işlem sorumlusu için, ağ cihazlara ulaşamama gibi bir kötü durum tasavvur edilemez. Ancak genelde bu katmanın güvenliği, ağ yöneticiler tarafından en çok göz ardı edilen alandır. Veri katmanının koruması için yeni nesil güvenlik duvarları, modern IPS sistemleri, veri şifreleme uygulamalar, vs. kullanılırken, yönetim katmanın unutulabilir. Management Plane güvenliği için bir çok yöntem mevcuttur. Aşağıda bu yöntemlerin birkaçı ele alınmıştır: Out-of-band Management Plane: Yönetim trafiğiniz, veri ve kontrol katmanlarıyla ortak yapıyı kullanmamaları gerekiyor. İlk bakışta bu kuralı uygulamak zor gözükse bile, güvenlik açısından çok önemlidir. Sistem altyapınızda management ağı diye bir ağın bulunması gerekiyor. Bu network, farklı IP aralığına sahip olmalı ve fiziksel veya mantıksal olarak normal ağ trafiğinden farklı altyapıya sahip olmalıdır. Güvenlik duvarının, ağda bulunan switch’lerin ve diğer ağ cihazlarının management portla- 15