Menu
Control Self Assesment - Firewall Güvenlik Kontrolleri

Control Self Assesment – Firewall Güvenlik Kontrolleri

Control Self Assesment – Firewall Güvenlik Kontrolleri

Firewall çalışma yapısı olarak ağdan geçen paketleri belirlenen kurallara göre kontrol eder. Geleneksel firewall’lar çoğunlukla IP, port ve protokol bazlı kontrol yaparken, Next Generation Firewall (NGFW) teknolojileri uygulama seviyesi analiz, kullanıcı kimliği doğrulaması ve tehdit imza kontrolleri gibi daha gelişmiş güvenlik mekanizmaları da sunar. Bu sayede yalnızca trafik değil, trafiğin içeriği ve davranışı da analiz edilebilir. Süreç genelde şu şekilde işler:

  1. Gelen veya giden bir trafik firewall’a ulaşır.
  2. Firewall, trafik için tanımlı kuralları sırayla kontrol eder.
  3. Eğer trafik bir kuralla eşleşirse: Allow / Permit → Trafik geçer veya  Deny / Block → Trafik engellenir
  4. Hiçbir kuralla eşleşmezse: Default rule devreye girer → trafik engellenir.

Bir firewall üzerinde yüzlerce, hatta binlerce kural olabilir. Bu kuralların bir kısmı yıllar önce eklenmiş, bir kısmı “acil” diye açılmış, bir kısmıysa artık kimsenin hatırlamadığı ihtiyaçlara dayanır. İşte tam da bu yüzden firewall güvenliği, cihazla beraber yönetim ve disiplinle olur.

Firewall Güvenliğinde Temel Amaç Ne Olmalı?

Firewall kontrollerinin amacı:

  • Gereksiz, riskli trafiği tespit etmek ve engellemektir
  • Her şeyi kapatmak değil, kontrollü ve gerekçeli izin vermektir
  • Hızlı olmak değil, izlenebilir ve geri alınabilir olmaktır

Temel Firewall Kontrol Noktaları

1. Kural Gerekliliği Kontrolü

Sahibi olmayan kural, en riskli kuraldır. Kullanım süresi dolmuş, sistemden kaldırılmış uygulamalar için açık kalan kurallar, uzun süredir kullanılmayan kurallar mutlaka temizlenmelidir. Kullanım ömrü tamamlanmış sunucular silinirken mutlaka o IP ile ilgili firewall kuralları da silinmelidir.

Her firewall kuralı şu sorulara net cevap verebilmelidir:

  • Bu kural neden var?
  • Hangi iş ihtiyacına hizmet ediyor?
  • Hâlâ kullanılıyor mu?
  • Sahibi kim?

2. Kaynak – Hedef – Servis Netliği

Geniş yetkiler ve tanımlamalar risk yüzeyini de arttırır. En riskli durumlar genelde aşağıdaki şekilde tanımlanmış kuralları içerir.

  • Any IP
  • Any port
  • Geniş IP blokları

Kuralları nasıl tanımlarsak daha iyi olur?

  • Kaynak ve hedef IP’ler mümkün olduğunca daraltılmalı
  • Sadece gerekli port/protokole izin verilmeli

Next Generation Firewall çözümleri bu noktada uygulama farkındalığı (Application Awareness) sağlayarak sadece port bazlı değil, uygulama bazlı kontrol yapılmasına da olanak tanır. Örneğin sadece 443 portunu açmak yerine belirli bir uygulamaya veya servise izin verilmesi mümkün hale gelir.

“Sonra daraltırız” denilen kurallar, genelde hiç daraltılmaz. Bu nedenle sürecin en başından ihtiyaçlar belirlenmeli ve sadece ihtiyaç kadar erişim açılmalıdır. İhtiyaç süresi bittiğinde erişimler otomatik kaldırılmalıdır.

3. İnternete Açık Kurallar

İnternete açık her kural, doğrudan saldırı yüzeyidir. Next Generation Firewall sistemleri, tehdit istihbaratı, IPS (Intrusion Prevention System) ve uygulama kontrolü gibi ek güvenlik katmanları sayesinde internete açık servisleri daha derinlemesine analiz edebilir ve bilinen saldırı imzalarına karşı otomatik koruma sağlayabilir. Ancak bu özellikler tek başına yeterli değildir; doğru kural yönetimi ve düzenli kontrol süreçleri yine kritik öneme sahiptir. Düzenli kontrol edilmesi gereken kurallar:

  • İnternetten erişim gerçekten gerekli mi? (Dışarı açık sistemler minimum yıllık olarak kontrol edilmeli ve ihtiyaç sorgulanmalı)
  • Alternatif (VPN, reverse proxy) var mı?
  • IPS, WAF gibi ek güvenlik katmanları devrede mi?

Özellikle; yönetim portalları, admin panelleri, veritabanları ve internal sistemler doğrudan internete açık olmamalı, dış dünyayla iletişim DMZ katmanı üzerinden olmalıdır.

4. Geçici Kuralların Yönetimi

En sık yaşanan sorunlardan biri: “Bu kural geçiciydi ama kalmış.”

Geçici kurallar:

  • Mutlaka bitiş tarihiyle açılmalı
  • Otomatik kapanacak şekilde tanımlanmalı
  • Süresi dolan kurallar düzenli raporlanmalı

Geçici tanımlanan ama süresiz olarak kalan firewall kuralı diye bir şey olmamalıdır. Bu yüzden düzenli kontroller şarttır.

5. Loglama ve İzleme

Firewall kurallarına ilişkin loglama ve uyarı (alert) mekanizmalarının bulunmaması durumunda, ilgili kuralların etkin şekilde çalışıp çalışmadığının doğrulanması ve olası anomali veya şüpheli aktivitelerin tespit edilmesi mümkün olmayacaktır. Bu durum güvenlik olaylarının zamanında fark edilmesini zorlaştırarak olay müdahale süreçlerinde gecikmelere neden olabilir. Yapılması gereken kontroller:

  • Kritik kurallar log üretiyor mu?
  • Loglar merkezi sistemlere gidiyor mu?
  • Anomali trafik alarmları tanımlı mı?

Next Generation Firewall çözümleri gelişmiş loglama ve davranış analizi özellikleri sunarak uygulama bazlı trafik, kullanıcı aktiviteleri ve tehdit tespitlerine ilişkin daha detaylı görünürlük sağlayabilir. Bu veriler SIEM sistemleriyle entegre edilerek anomali ve saldırı tespiti süreçleri daha etkin hale getirilebilir.

Hangi Kurallara Kesinlikle İzin Verilmemeli?

Aşağıdaki durumlar yüksek risk olarak değerlendirilmelidir:

  • Any → Any erişimler
  • İnternetten doğrudan admin / management erişimleri, veritabanı erişimleri
  • Geniş IP bloklarına açık kritik sistemler
  • Şifrelenmemiş protokoller (telnet, ftp, http vb.)
  • Sahibi ve iş gerekçesi olmayan kurallar

Bu tür kurallar varsa: kısıtlanmalı veya alternatif çözümler üretilmeli, üst yönetim ve bilgi güvenliği ekibi riskler hakkında bilgilendirilmelidir.

Hangi Kurallar Bilgi Güvenlik Onayıyla Olmalı?

Aşağıdaki senaryolar mutlaka Bilgi Güvenlik onayı gerektirmelidir.

  • İnternete açılacak yeni servisler (aynı zamanda sızma testine tabi tutulmalıdır)
  • Kritik sistemlere yeni erişim talepleri
  • Geniş kapsamlı IP veya port talepleri
  • Geçici ama yüksek riskli erişimler
  • Üçüncü taraf firmalara açılan bağlantılar (prod erişimi olmamalı)

Onay sürecinde:

  • Risk değerlendirmesi yapılmalı
  • Alternatifler sorgulanmalı
  • Süre ve kapsam netleştirilmelidir

Bilgi Güvenlik onayı, süreci yavaşlatmak için değil; yanlış kararları engellemek için vardır.

Firewall Kontrolleri Ne Sıklıkta Yapılmalı ve Neleri Kapsamalı?

Firewall kontrolleri kurumun belirlediği süreye göre yıllık, yılda iki kez veya her çeyrek de olacak şekilde yapılabilir. Bu kapsamda:

  • Yeni eklenen kurallar
  • Geçici kurallar
  • İnternete açık erişimler
  • Kural optimizasyonu
  • Kullanılmayan kuralların tespiti
  • Kuralların kurumun firewall güvenlik politikasına uyumu
  • Denetim ve regülasyon uyum kontrolleri

yapılmalıdır.

Süreç Olmadan Firewall Güvenliği Olmaz

Sağlıklı bir firewall yönetimi için: Talep → Onay → Uygulama → İzleme → Kaldırma adımları net tanımlanmalıdır.

Manuel, kişiye bağlı ve sözlü süreçler izlenebilirliği düşüreceği, sahiplik riskini arttıracağı için işletilmemelidir. Bu tarz verilen izinler aynı zamanda denetimlerde de hangi ihtiyaca veya talebe istinaden kuralın tanımlandığını açıklayamayacağımız için sorun oluşturur.

Mümkün olan yerlerde; talep-onay sistemi, otomasyonlar ve standart risk değerlendirmesi kullanılmalıdır.

Sonuç

Firewall tek başına her zaman koruyucu değildir, oluşabilecek zafiyetleri tespit etmek ve engellemek sürece katkı sağlar. Next Generation Firewall teknolojileri tehdit tespiti ve uygulama kontrolü açısından önemli avantajlar sağlasa da, güvenliğin temelini hâlâ doğru kural yönetimi, düzenli kontrol süreçleri ve iyi tanımlanmış güvenlik politikaları oluşturur. Firewall güvenliği; cihaz markasıyla değil, Kural sayısıyla değil, bizde firewall var, demekle değil nasıl yönetildiğiyle ölçülür.

Gerçekten güvenli kurumlar: En az riskli kurala sahip olan kurumlardır.

Related Posts