Bir üretim firmasının ağ altyapısı, genellikle zamanla evrilen, birbirinden izole olmayan ve güvenlik açısından riskler barındıran bir “düz ağ” yapısına sahip olabiliyor. Bu tür bir yapıda, ofis bilgisayarlarından üretim makinelerine, hatta misafir Wi-Fi’ye kadar her şey aynı broadcast domain’de yer alır. Bu durum, sadece güvenlik açıklarını artırmakla kalmaz, aynı zamanda ağ performansını da olumsuz etkileyebilir. İşte tam da bu noktada, bir üretim firması müşterimde yaşadığımız deneyimi ve bu düz ağ yapısını VLAN segmentasyonu ile nasıl daha güvenli ve yönetilebilir hale getirdiğimizi adım adım anlatacağım. Bu yazı, sadece teknik adımları değil, aynı zamanda bu tür projelerdeki pratik zorlukları ve çıkarılan dersleri de içeriyor.
Bu projeye başlarken amacımız, mevcut düz ağ yapısını daha güvenli, yönetilebilir ve ölçeklenebilir hale getirmekti. Özellikle, üretim ortamındaki OT (Operational Technology) cihazlarının IT (Information Technology) ağından izole edilmesi, fidye yazılımları ve diğer siber tehditlere karşı kritik bir önlem olarak öne çıkıyordu. Sophos firewall üzerinde yapacağımız VLAN segmentasyonu ve detaylı kural tanımlamaları ile bu hedeflere ulaşmayı planladık. Bu süreçte, cihaz envanteri çıkarmaktan başlayıp, port eşlemelerine ve nihayetinde güvenlik politikalarının oluşturulmasına kadar pek çok aşamayı titizlikle yönettik.
Mevcut Durum Analizi ve Hazırlık: Düz Ağın Riskleri
Müşterimizin ağ yapısı, tipik bir “düz ağ” örneğiydi. Tek bir broadcast domain üzerinde hem ofis bilgisayarları, hem sunucular, hem de üretim hattındaki OT cihazları bulunuyordu. Bu durumun getirdiği başlıca riskler şunlardı:
- Güvenlik Zafiyetleri: Bir cihazda oluşan zararlı yazılım, aynı ağdaki diğer tüm cihazlara kolayca yayılabilirdi. Özellikle OT cihazlarının genellikle daha eski ve yamalanması zor işletim sistemlerine sahip olması, bu riski katlıyordu.
- Performans Sorunları: Büyük bir broadcast domain, gereksiz ağ trafiği oluşturarak bant genişliğini tüketebiliyor ve cihazların iletişimini yavaşlatabiliyordu.
- Yönetim Zorlukları: Hangi cihazın hangi porta bağlı olduğunu takip etmek, ağ sorunlarını gidermek veya yeni cihazları eklemek oldukça zahmetli hale geliyordu.
- Uyumluluk ve Denetim: Endüstriyel standartlar ve güvenlik denetimleri açısından, ağ segmentasyonunun olmaması önemli bir eksiklikti.
Bu analiz sonucunda, ağın VLAN’lar aracılığıyla mantıksal olarak bölümlenmesi gerektiğine karar verdik. VLAN’lar, fiziksel bir ağı birden fazla mantıksal ağa ayırarak trafiği izole etmemizi sağlar. Böylece, örneğin üretim cihazları için ayrı bir VLAN, ofis kullanıcıları için ayrı bir VLAN ve misafirler için tamamen izole edilmiş bir VLAN oluşturabilirdik. Bu, ağ güvenliğini artırmanın yanı sıra, trafiği daha iyi yönetmemize ve sorun giderme süreçlerini hızlandırmamıza olanak tanıyacaktı.
Hazırlık aşamasında, müşteri tarafındaki teknik kişiyle yakın temas halinde çalıştık. Ağ yapısını detaylıca belgelemek, hangi cihazların hangi segmentte yer alması gerektiğini belirlemek ve bu geçişin standart bakım anlaşmasının dışında ayrı bir proje olarak ele alınması gerektiğini netleştirmek, projenin başarısı için kritikti.
Tasarım ve Planlama: VLAN’lar, IP Adresleri ve Firewall Kuralları
VLAN segmentasyonu projesinin en kritik aşamalarından biri, detaylı tasarım ve planlamaydı. Bu aşamada, mevcut ağ yapısını analiz ettikten sonra, gelecekteki ihtiyaçları da göz önünde bulundurarak mantıksal bölümlendirme stratejimizi belirledik.
Öncelikle, hangi cihazların hangi VLAN’a atanacağına karar verdik. Bu kararı verirken, cihazların işlevselliği, güvenlik gereksinimleri ve mevcut işletim sistemlerinin durumu gibi faktörleri dikkate aldık. Örneğin, üretim hattındaki OT cihazları, genellikle yamanması zor ve eski protokoller kullanan cihazlar olduğu için, en sıkı güvenlik önlemlerinin uygulanacağı ayrı bir VLAN’a yerleştirildi. Ofis kullanıcıları, sunucular ve misafirler için de ayrı VLAN’lar tanımlandı.
Ardından, bu VLAN’lar arasındaki trafiği yönetecek firewall kurallarını tasarladık. Amaç, yalnızca gerekli trafiğin onaylanması ve gereksiz veya tehlikeli trafiğin engellenmesiydi. Örneğin, ofis kullanıcılarının internete çıkabilmesi gerekirken, misafir kullanıcıların şirket içi kaynaklara erişimi engellendi. Üretim OT cihazlarının ise sadece belirlenmiş sunucularla ve belirli portlar üzerinden iletişim kurmasına izin verildi.
Sophos firewall’un arayüzünde, her bir VLAN için ayrı birer interface oluşturduk. Bu interface’ler, ilgili IP alt ağları ile eşleştirildi. Daha sonra, “Network” → “Firewall” menüsü altında, kaynak ve hedef VLAN’ları, servisleri ve uygulama kategorilerini belirterek detaylı kurallar yazdık. Bu kuralları tasarlarken, “least privilege” (en az yetki prensibi) prensibini uyguladık; yani, bir cihazın veya kullanıcının işini yapması için gereken minimum izni verdik.
Bu tasarım ve planlama aşaması, projenin temelini oluşturdu. Detaylı bir planlama, uygulama sırasında karşılaşılacak sorunları en aza indirmeye yardımcı oldu.
Uygulama: Sophos Firewall’da VLAN ve Kural Yapılandırması
Tasarım aşamasında belirlediğimiz planı hayata geçirme zamanıydı. Sophos firewall üzerinde VLAN arayüzlerini oluşturmak ve ardından bu arayüzler arasındaki trafiği kontrol edecek kuralları tanımlamak, uygulamanın ana adımlarını oluşturuyordu.
İlk olarak, Sophos arayüzünde “Network” → “Interfaces” bölümüne giderek yeni VLAN arayüzleri ekledik. Her VLAN için bir interface adı, VLAN ID ve IP adresi (genellikle bir gateway adresi olarak) belirledik. Örneğin, ofis kullanıcıları için VLAN10_Office adında bir interface oluşturup, VLAN ID olarak 10 ve IP adresi olarak 192.168.10.1/24’ü atadık. Bu işlem, diğer tanımladığımız VLAN’lar için de tekrarlandı.
VLAN arayüzleri oluşturulduktan sonra, “Network” → “Firewall” bölümüne geçerek kuralları tanımlamaya başladık. Bu aşama, projenin en detaylı ve dikkat gerektiren kısımlarından biriydi. Her kural, belirli bir kaynaktan (VLAN veya IP adresi), belirli bir hedefe (VLAN veya IP adresi), belirli bir servise (HTTP, HTTPS, RDP vb.) veya uygulama kategorisine (Social Networking, File Sharing vb.) izin vermek veya engellemek için yapılandırıldı.
Örneğin, ofis kullanıcılarının (VLAN 10) internete çıkmasına izin vermek için şu tür bir kural oluşturduk:
- Source Zone: LAN
- Source Network: VLAN10_Office (veya 192.168.10.0/24)
- Destination Zone: WAN
- Destination Network: Any
- Service: Any (veya daha sıkı kontrol için HTTP, HTTPS gibi belirli servisler)
- Action: Accept
Buna karşılık, misafir Wi-Fi (VLAN 40) kullanıcılarının şirket içi sunuculara (örneğin VLAN 30) erişimini engellemek için şu kuralı ekledik:
- Source Zone: Guest
- Source Network: VLAN40_Guest (veya 192.168.40.0/24)
- Destination Zone: LAN
- Destination Network: VLAN30_Servers (veya 192.168.30.0/24)
- Service: Any
- Action: Drop
Bu şekilde, her segmentin ihtiyaç duyduğu minimum erişim hakları tanımlanarak ağ güvenliği en üst düzeye çıkarıldı.
Cihaz Eşleştirmesi ve Envanter Çıkarma
VLAN segmentasyonu projesinin sadece arayüzleri ve kuralları oluşturmaktan ibaret olmadığını söylemiştim. Gerçek zorluk, hangi cihazın hangi porta bağlı olduğunu doğru bir şekilde tespit etmek ve bu bilgiyi VLAN atamalarıyla eşleştirmekti. Özellikle üretim ortamlarında, cihaz envanteri genellikle eksik veya güncel olmayabilir.
Bu eşleştirme işlemini sağlamak için birkaç yöntemi bir arada kullandık:
- Switch MAC Tablosu: Her switch portunda bağlı olan cihazların MAC adreslerini listeledik. Bu, hangi portta hangi MAC adresinin aktif olduğunu gösteriyordu.
- LLDP (Link Layer Discovery Protocol): Destekleyen ağ cihazları (switchler, sunucular vb.), komşu cihazlar hakkında bilgi alışverişinde bulunur. Sophos firewall ve switchlerimiz LLDP’yi destekliyordu, bu da bize hangi switch portunun hangi cihaza bağlı olduğunu gösteren ek bir bilgi sağladı.
- DHCP Rezervasyonları ve Logları: VLAN’lar için tanımladığımız DHCP sunucularından hangi IP adresinin hangi MAC adresine atandığını takip ettik. Eğer cihazlar statik IP kullanıyorsa, bu bilgiyi de envantere dahil ettik.
- Cihaz Envanteri ve İşletim Sistemi: Müşteri tarafındaki teknik kişiyle birlikte, her cihazın türünü (PC, sunucu, PLC, CNC makinesi vb.) ve işletim sistemini belirledik. Bu bilgi, özellikle OT cihazlarının izolasyonu için kritikti. Eski ve yamalanması zor işletim sistemine sahip cihazlar, güvenlik açısından daha yüksek risk taşıdığı için ayrı bir segmentte izole edilmeleri gerekiyordu.
Bu bilgileri bir araya getirmek, bir tablo halinde düzenlemek işimizi oldukça kolaylaştırdı. Örneğin, bir switch portunda aktif olan MAC adresi, DHCP loglarında belirli bir IP adresiyle eşleşiyor ve bu IP adresi de envanterimizde “eski Windows XP yüklü bir PC” olarak görünüyorsa, bu cihazın hangi VLAN’a atanması gerektiği konusunda net bir fikrimiz oluyordu.
Bu eşleştirme süreci, projenin en zahmetli ama en önemli kısımlarından biriydi. Doğru eşleştirme yapmadan, VLAN’lar ve firewall kuralları ne kadar iyi tasarlanmış olursa olsun, ağ güvenliği tam olarak sağlanamazdı.
AI Destekli Rehber Üretimi ve Sonuçlar
Bu tür kapsamlı altyapı projelerinde, detaylı dokümantasyon ve adım adım rehberler büyük önem taşır. Hem proje sürecini yönetmek hem de müşteri tarafındaki teknik ekibin süreci anlamasını sağlamak için, uygulama adımlarını ve yapılandırma detaylarını içeren bir rehber hazırladık.
Geleneksel yöntemlerle dokümantasyon hazırlamak zaman alıcı olabilir. Bu noktada, yapay zeka (AI) destekli araçlardan faydalandık. Özellikle, Sophos firewall’un GUI üzerinden yapılan yapılandırma adımlarını belgelemek için AI’dan yardım aldık. AI, arayüzdeki menüleri, butonları ve girdi alanlarını analiz ederek, adım adım talimatlar ve ekran görüntüleri (ya da metinsel tarifleri) içeren bir rehber taslağı oluşturdu.
Müşteri tarafındaki teknik kişinin bu duruma verdiği tepki oldukça espriliydi: “Yapay zeka çıktı, mertlik bozuldu!” Bu espri, AI’ın sahada gerçekten işe yaradığını ve somut çıktılar üretebildiğini gösteriyordu. AI tarafından üretilen bu rehber, proje süresince hem bizim için bir kontrol listesi oldu hem de müşteri ekibinin süreci daha yakından takip etmesine olanak tanıdı.
Ancak, AI’ın her şeyi yapamayacağını da gördük. Port eşleştirmesi gibi yerinde doğrulama gerektiren, fiziksel bağlantıları ve gerçek zamanlı ağ trafiğini analiz etmeyi gerektiren işler, insan müdahalesi ve gerçek veriyle yapıldı. AI, tekrarlayan ve dokümantasyona dayalı görevlerde harikalar yaratırken, karmaşık karar verme ve yerinde doğrulama gerektiren işlerde insan uzmanlığına hala ihtiyaç duyuluyor.
Projenin sonuçlarına gelince:
- Artan Güvenlik: Ağın segmentlere ayrılmasıyla, zararlı yazılımların yayılma riski önemli ölçüde azaldı. Özellikle EOL durumundaki OT cihazları izole edilerek kritik bir güvenlik açığı kapatıldı.
- İyileşen Yönetilebilirlik: Her segmentin kendi IP aralığına sahip olması ve trafiğin merkezi olarak kontrol edilmesi, ağ yönetimini ve sorun gidermeyi kolaylaştırdı.
- Performans Artışı: Gereksiz broadcast trafiğinin azalmasıyla ağ performansı genel olarak iyileşti.
- Gelişmiş Uyumluluk: Segmentasyon, endüstriyel güvenlik standartlarına uyum konusunda önemli bir adım oldu.
Bu proje, düz ağ yapılarının modern iş ortamları için ne kadar riskli olabileceğini ve VLAN segmentasyonu gibi temel ağ altyapısı iyileştirmelerinin ne kadar değerli olduğunu bir kez daha gösterdi. AI’ın bu süreçteki rolü ise, dokümantasyon ve tekrarlayan görevlerde verimliliği artırma potansiyelini ortaya koydu.
Çıkarılan Dersler ve Gelecek Adımlar
Bu üretim firması projesini tamamladıktan sonra, hem teknik hem de operasyonel açıdan önemli dersler çıkardık. Bu tür altyapı dönüşüm projelerinde karşılaşılan zorluklar ve başarıya giden yollar, gelecekteki benzer projeler için bize rehberlik edecektir.
En önemli derslerden biri, segmentasyonun en zor kısmının VLAN tanımlamak değil, doğru cihaz-port eşleştirmesini yapmak olduğudur. Özellikle OT ortamlarında, cihaz envanterinin eksikliği veya belirsizliği, bu süreci karmaşıklaştırabilir. MAC adresleri, LLDP verileri, DHCP kayıtları ve manuel envanter bilgilerini birleştirmek, bu zorluğun üstesinden gelmenin anahtarıdır. Bu süreçte gösterilen titizlik, ağın güvenli ve doğru bir şekilde yapılandırılmasını sağlar.
Bir diğer kritik ders ise, EOL (End-of-Life) işletim sistemine sahip OT cihazlarının yönetimi konusudur. Bu cihazlar genellikle yamalanamaz ve ciddi güvenlik riskleri taşır. Onları “düzeltmeye” çalışmak yerine, izole etmek (ayrı bir segmentte tutmak ve sıkı güvenlik kuralları uygulamak) en gerçekçi ve etkili stratejidir. Bu yaklaşım, hem güvenliği artırır hem de üretim süreçlerinin kesintiye uğramasını önler.
AI’ın rolü konusundaki dersimiz ise oldukça net: AI, vendor-spesifik, adım adım rehberler üretme konusunda sahada gerçekten işe yarayabiliyor. Ancak, port eşlemesi ve sıralama gibi yerinde doğrulama gerektiren işler, insan uzmanlığı ve gerçek verilerle yapılmalıdır. AI, süreci hızlandırabilir ve dokümantasyon yükünü azaltabilir, ancak son kararı vermek ve kritik denetimleri yapmak hala insana düşüyor.
Operasyonel açıdan baktığımızda, bu tür altyapı dönüşümü projelerinin standart bakım anlaşmasının dışında ayrı bir proje olarak ele alınması gerektiğini bir kez daha gördük. Kapsamın net bir şekilde belirlenmesi, ücretlendirmenin doğru yapılması ve beklentilerin yönetilmesi, hem müşteri hem de hizmet sağlayıcı için önemlidir. Altyapı iyileştirmeleri, rutin bakımın ötesinde ayrı bir yatırım gerektirir.
Gelecek adımlar olarak, bu segmentasyon projesini temel alarak ağ güvenliğini daha da artıracak adımlar planlanabilir. Bunlar arasında, Intrusion Prevention System (IPS) kurallarının daha detaylı yapılandırılması, gelişmiş log analizi ve SIEM (Security Information and Event Management) entegrasyonu yer alabilir. Ayrıca, ağ izleme (network monitoring) çözümleriyle segmentler arası trafiği sürekli olarak analiz ederek olası anormallikleri tespit etmek de önemlidir. Bu, ağın genel sağlığını ve güvenliğini sürekli olarak izlememizi sağlayacaktır.