Bir ağın(network) güvenliği dikkat edilmesi gereken bir konudur. Güvenlik duvarı(firewall) çoğu zaman bir ağın güvenliği sağlamak için yeterli olmaz. Güvenlik bir ağda çalışmakta olan tüm cihazlar açısından düşünülmeli ve uygulanmalıdır. Ayrıca güvenliğin sürekli olması da önemli bir husustur.
Ağ Cihazları
Bir ağda bulunan bilgisayarların birbirleriyle iletişim kurması için bir kablo aracılığıyla bağlanmaları veya kablosuz(wireless) olarak haberleşmeleri gerekir; ancak tüm bilgisayarları kabloyla birbirlerine bağlamak kullanışlı bir yöntem değildir ve bu yüzdendir ki pek tercih edilmez. Bunun yerine tüm bilgisayarla ortak bir cihaza (switch) bağlanır. Böylece yerel bir ağ oluşturulur. Bu yerel ağın İnternete erişebilmesi için bir yönlendiriciye (router) ihtiyaç vardır.
Fiziksel Güvenlik
Bir saldırgan ana cihaza fiziksel olarak erişebiliyorsa, cihazın kontrolünü rahatlıkla ele alabilir. Hatta trafik gönderebilir ya da hattı dinleyebilir. Bu hususa özellikle dikkat edilmeli ve gerekli önlemler alınmalıdır. Bazı fiziksel güvenlik yöntemleri şunlardır;
- Cihazlar sadece yöneticinin açma yetkisi bulunan odalarda ya da kilitli dolaplarda(kabinet) tutulmalıdır.
- Cihaza fiziksel olarak erişenlerin isimlerini erişim zamanlarını da gösteren bir listede tutmak akıllıca bir davranıştır.
- Kablolar etiketlenmeli ve ne iş yaptıkları belirlenmelidir. Kullanılmayan kablolar ağdan çıkarılmalıdır.
- Cihazalara erişim bilgileri açık yerde tutulmamalıdır.
- Güç kaynaklarının yerleri belirlenmeli ve bu kaynaklar gözden uzakta kilitli tutulmalıdır. Böylece saldırganın gücü kesmesi engellenmelidir.
Şifre Yönetimi
Şifre yönetiminin en efektif yolu "LDAP" veya "RADIUS" doğrulama sunucularından faydalanarak bir onay mekanizma sistemi kullanmaktır. Böyle bir mekanizma kullanılsa bile yetkili hakların kullanımı için yerel tanıtılmış bir şifre yapılandırma dosyasında bulunmalıdır. Yönetilebilir cihazların çoğu kullanıcı hesapları ve yönetici hesapları adı altında iki farklı kullanım seçeneğine sahiptirler. Kullanıcılar sadece arayüzleri inceleyip çalışabilirken yöneticiler cihaz ayarlarında değişiklik yapma haklarına sahiptirler. Bir şifreyi yapılandırma dosyalarında tutarken kesinlikle şifrelenmiş(encrypted) halde tutmak gerekir. Ayrıca bir şifre belirlenirken iyi bir şifrenin özellliklerini taşımamasına dikkat edilmelidir. İyi bir şifre;
- Büyük ve küçük harf içerir.
- Noktalama işareti ve rakam içerir.
- Kolaylıkla hatırlanabilir böylelikle bir yere yazılmalarına gerek kalmaz.
- En az sekiz karekter uzunluğunda olur.
- Hızlı yazılabilirler.
Cihaz Erişim Protokollerine Dair Önlemler
Ağ cihazlarının ayarlanması, yönetimi ve kontrolünde "HTTP", "Telnet", "SSH", "SNMP", "TFTP" ve "FTP" gibi protokoller kullanılmaktadır. Bu protokoller "TCP/IP" protokolünün alt elemanları oldukları için, bu protokolün zaaflarına karşı önlem alınması çok önemlidir. En etkili yöntem ise cihazlara sadece belirli "IP" adreslerinin ulaşmasına izin vermelidir. Bu işlem de erişim listesi(Access-list) oluşturularak gerçeklenebilir. HTTP bir Web arayüzü üzerinden cihazalara interaktif bağlanmayı sağlayan bir protokoldür. Telnet ve SSH birbirine benzerlik gösteren iki uzak bağlantı protokolüdür. Ancak Telnet ile yapılan bağlantılarda saldırganın dinleme yoluyla iletilmek istenen veriyi elde etmesi mümkündür. Bu nedenle verileri şifrelenmiş halde gönderen SSH’i kullanmak daha güvenilir bir yöntemdir. "Simple Network Management Protokol(SNMP)" ağ trafiği, istatistikler, bellek ve işlemci kullanımı hakkında bilgi vermesi yönleriyle çok tercih edilen bir protokoldür.
Kayıtlama Ayarları
Ağ cihazları çeşitli olayları kayıtlama özelliğine sahiptirler. Bu kayıtlar güvenlik ile ilgili kritik önem taşıyabilmektedir. Özelllikle erişim listelerine (access-list) takılan bağlantılar(match) gibi güvenlik açısından önemli olan bilgilerin kaydı tutulabilmektedir. Burada dikkat edilmesi gereken nokta bu kayıtların düzenli olarak takipte tutmak ve sistemlerin çalışmasında bir problem olup olmadığını kontrol etmektir. Ayrıca "Network Time Protokol(NTP)" çalıştırmak da farklı cihazlrdan ağa gelen mesajların zamana göre depolanması açısından dikkat edilmesi gereken bir husustur.