Pandemi sonrası iyice oturan ve yaygınlaşan uzaktan çalışma beraberinde tabiki yeni başka şeyler de getirdi. İnsanlar uzaktan çalışırken çalıştığı kuruma, iç kaynaklara bir şekilde bağlantı kurması gerekli. Bilinen en makul yöntem ise SSL VPN.
Kurumun VPN sistemine bir agent (Bu tip VPN’ler genelde bir vendor’dan alınan cihaz ya da firewall üzerinde açılabilecek bir özellik olarak devreye alınabilir, çalışması için genellikle ilgili marka/ vendor’un agent’ı/ uygulaması kurulur) yardımıyla bağlantı sağlanır ve ardından iç kaynaklara erişmeye başlar. Web browser üzerinden bağlantı kurarak iç kaynaklara ulaşmak mümkün ama bu alan bir miktar kısıtlı ve hareket kabileyeti Agent ile bağlantıya kıyasla dar.
Client VPN güveliği oldukça önemli çünkü kötü niyetli kişiler için kuruma açılan muhteşem bir kapı. Bu yazı da bu güvenliği sağlamanın bir parçası olan hostcheker kısmını anlatacağım aslında bunu anlatırken yapmamız gereken diğer şeylerden de bahsedeceğim için buna odaklı gibi görünsede genel kapsamda neler yapmamız gerekecek hepsinin üzerinden kısaca geçeceğiz.
Kurumun VPN bağlantısı yapan kullanıcı tipini ikiye ayırabiliriz personel ve dış kaynak kişiler (danışmanlar). Neden ayırıyoruzun sebebi ise personelin bilgisayarını kurum tedarik ederken dış kaynakta bu geçerli değil.
Hostchecker nedir ne yapar?
VPN admini kurum riskler, kurumu ilgilendiren standartlar, gerekse regülasyonlar çerçevesinde bir standart belirler ve uygular. Hostchecker, kullanıcı VPN bağlantısını sağlayacağı an kontrolleri yapmaya başlar ve gerekli şartları karşılıyorsa ve kullanıcı adı şifre doğru ise VPN bağlantısı başarılı bir şekilde gerçekleşir. Hostchecker bağlantı öncesi bahsedeceğimiz güvenlik kontrollerini yapan denetleyen özelliğimizin ismi, üreticiden üreticeye isim değişsede genel olarak bu isimle anılır.
Peki neden kullanıcı tipini ikiye ayırdık? Farklı danışmanlar, farklı kurumlar, farklı bilgisayarlar demek ama personel bilgisayarı öyle değil 1000 kişi var ise hepsinde aynı işletim sistemi, aynı domain, aynı anti virüs, dlp vb. Olacağından bir personel bilgisayarından VPN bağlantısı sağlarken tüm bu şartları sağlamasını bekleriz. Eğer sağlamıyorsa genel güvenlik çemberimiz de bir sıkıntı vardır demektir. Bu analiz edilmesi ve halledilmesi gereken başlı başına bir konu.
Personel Bilgisayarında Neleri Kontrol edebiliriz?
- Domain (etki alanı): Kişinin bilgisayarı kurumun domaininde mi?
- Anti Virüs: Kurumun anti virüs uygulaması yüklü mü? Aktif mi? Yüklü ise güncel mi? Son 1 haftada/ay full tarama yapılmış mı? (Full taramayı bir policy olarak anti virüs üzerinden tüm client’lara haftalık olarak olacak şekilde otomatize etmek gerekli manuel bir süreç olmamalı.(haftalık kısım minimum mümkünse daha kısa aralıklarla.)
- Bilgisayarda firewall aktif mi firewall bazı durumlarda disable ediliyor bunu genellikle aktif anti virüs uygulaması yapıyor. Anti virüs var ise kendi firewall’u aktif olacağından bunu host checker tespit edebiliyor kontrol edebiliyor.
- İşletim sistemi versiyonu: Örneklerimi Windows üzerinden vereceğim ama bilinen VPN üreticileri yaygın olan birçok işletim sisteminde tatmin edecek düzeyde destekliyor. Windows versiyonu client’larda kuruma bağlı olarak Windows 10 yada 11 olmasını bekleriz Windows 7-8 ve daha eskisi olması ayrıca sıkıntı. Burada detay olarak Windows 11 ve güncel son 10 build olacak şekilde takip edebiliriz.
- Güncellemeler: Güncellemeler ve güvenlik açıklarını da kontrol etmemiz gerekir kritik bir zafiyet yayınlandı ve siz tüm clientlarınıza bu güncellemeyi geçtiniz ve güncelleme ilgili CVE’i kapattığınızı varsayalım. Bunu her ne kadar merkezi patch management üzerinden takip ediyor olmamız gerekse de host cheker ile de ilgili kritik CVE’lerin kontrolünü yapabiliriz. Bunu özellikle dış kaynak erişimlerinde kesinlikle yapıyor olmamız gerekli.
- Disk Şifreleme: Bitlocker ya da 3rd bir yazılımla disk şifreleme yapılıyorsa bunun da kontrolü sağlanmalı, ki disk şifreleme de özellikle mobil cihazlarda kesinlikle yapılmalı çalınmaya karşı iyi bir koruma sağlayacaktır. (Çalınan bir laptop eğer disk şifreleme sahip değilse ve VPN’de 2FA yok ise çalınan bilgisayarın şifresinin ele geçirilip o hesap ile VPN yapılmasından hiçbir engel yok eğer ki çalındığının bilgisiyle kullanıcı hesabı kapatılmadıysa vpn yetkisi alınmadıysa.)
- Regedit ve DLL kontrolü: Bir yere kadar kontroller yeterli daha fazlasına gerek yok diyebilirsiniz ama aynı isimle domain kurarak, sertifika kontrolü yaptığınız sertifikayı export ederek bahsi geçen anti virüs dlp vs gibi uygulamaları yine kurup kurum bilgisayarını taklit edebilirsiniz bu yüzden kurum bilgisayarından taklidini zorlaştırcak ek 2 yöntem daha var.
Genel işleyişi bozmayacak bir regedit kaydı oluşturup bunun var olup olmadığını denetleyebilriz ya da windows klasörünün altında her hangi bir yerde oluşturduğumuz DLL dosyasının varlığını denetleyebiliriz. Tabi orada hash değeri ile de imkan var ise daha iyi olur. - Bazı host checker’ların desteklediği bir özellik ise önceden liste olarak verdiğiniz hostname/netbiosname ve mac adresi eşleştirme. Böyle bir kontrol de yapılabiliyor.
- Anlık bağlanma: Aynı anda bir kişi aynı kullanıcı adı ile iki kez ve daha fazla bağlantı kuruyor olmamalı(2.bir cihazdan), sistemler bunu engelleyebiliyor 2.bağlantı geldiğinde mevcut olanı düşürüyor olmalı.
- Process Kontrolü: Buraya kadar hep olması gerekenleri konuştuk birde olmaması gerekenler var. Örneğin T anında VPN yaparken aynı zaman da bilgisayarda passwordcrack.exe (bilinen hack/ kötü maksatlı yazılımların exe’lerini baz alalım top 20 yazılım mesela) bunlarda çalışıyorsa kişi VPN yapamasın. Atlatılabilir mi evet önce VPN kısmını geçer sonra çalıştırır ama bizim amacımız mümkün olduğunca çemberi daraltmak.
- Yukarı da ki opsiyona ek olarak böyle bir process tespit ettik. VPN’den SIEM log gönderiyorsak (ki göndermemiz lazım) ve SOAR’da var ise kişinin kullanıcısını disable ettirecek aksiyon alabiliriz. (VPN’de login olma işlemlerini Active Directory ya da x bir merkezi ldap çözümü olduğunu var sayarsak).
- Ek olarak yurt dışı erişimler için kişinin VPN yaparken kulladığı reel IP konumu yurt dışı ise SIEM logları ve kontrolü ile SOAR ile erişim engellenebilir. Tabi imkanlar dahilinde böyle bir bağlantıyı direk yurt dışına kapatmak daha sağlıklı.
Danışman tarafında ise nasıl bir politika uygulayabiliriz kısmına gelirsek dış kaynak bilgisayarlarda güncel bir OS versiyonu ve güncellemeleri olan, aktif ve güncel bir anti virüsü sahip, haftalık full taramalarını yapmış, kötü amaçlı process kontrolleri gibi şeylerle mümkün olduğunca uygulayabiliriz.
Referanslar
TAGs: vpn, hostchecker, security, client security