Bir güvenlik yolu…

güvenlik akıl gerektirir
güvenlik akıl gerektirir

Evet bunun en yaygın ve doğrusu bir SSH gateway kurmak.

Hayatınız boyunca bir şekilde bir yerlerden evinizdeki bazı verilere erişmek istemişsinizdir. Bunun için deli deli fikirler ve genellikle de çoğu güvenlik sebebiyle çöpe giden girişimler olmuştur. En önemlisi açık bırakmak zorunda olduğunu portlar uykularınızı kaçırabilir olması. Evet internete açık bir kapı ciddi bir güvenlik açığı demek, hacklenmek, saldiriya maruz kalmak , ve/veya izinsiz erişime maruz kalmak. Hiç birisi hoş bir durum değil sonu gerçekten rahatsız edici bir yerlerde bitebilir.

Ama evinizde atıl , az enerji tüketen mesela bir developer board dediğimiz (rasberry pi ve türevleri) bir cihaz ile kendi ağınızda bir SSH erişimi (access) için minik ve güvenli bir yapı kurabilirsiniz. Bu sayede tüm tarifiğinizi güvenli bir şekilde SSH portu üzerinden dünyaya açabilirsiniz. Bu arada hey Kurumsallar!!! binlerce dolar vermeden sizde bunu ofisiniz için yapabilirsiniz.

Hemen hemen tüm routerlar (yönlendiriciler) işletim sistemlerinde port-yönlendirme (port-forwarding) servisi barındırır. SSH erişimi için seçtiğiniz cihaza bir statik IP vermeniz gerekiyor ve router da 22 no’lu portu bu cihazın 22 no’lu portunu map (adresleme) etmelisiniz .

Internet hizmeti aldığınız ISP(Internet Servis Sağlayıcı – Internet Service Provider) size statik IP hizmeti veriyorsa işiniz bitti bile demektir; dışarıdan şu komut ile erişim sağlayabilirsiniz :

ssh kullanici@xxx.xxx.xxx.xxx 

Eğer bir domain adınız var ise sabit ip’nize yönlenmiş bir subdomain ile de sisteminize erişmeniz mümkün olur ve IP nizi zebere bilmek zorunda kalmazsınız :

ssh kullanici@home.benimdomainim.com.tr

Ama yine de cihazınızı internete açtığınızda herhangi bir sniffer’a yakalanmamak adına ya da bir saldırıya maruz kalmamak adına dikkat etmeniz gereken bazı adımlar var. Bu adımları kısaca sıralayacağım lütfen dikkatlice okuyun .

1- Elbette kurduğunuz sistemin güvenliğini dert ediyorsanız standart şifre ile kullanmayacağınızı bilir ama yinede brute force attack dediğimiz aynı anda binlerce şifreyi deneyen saldırıdan korunmak için 2 aşamalı yetki kontrolü (2FA – Two factor authentication) aktif etmelisiniz. Bunu cep telefonunuza kuracağınız bir çok ücretsiz uygulama var; mesela Google , Microsoft gibi güvenilir olduğuna inandığımız (:P) kurumların uygulamaları ile bunu sağlayabilirsiniz. Cihazınızda SSH erişimi için şifre ile erişim (password authentication) seçeneğini kapamalısınız. Böylelikle SSH anahtarı ile erişim sağlamış olursunuz, bu sayede SSH şifresi ile sisteme erişmeye çalışan kim olursa başarısız olacaktır. Sadece ve sadece SSH anahtarı olan kişinin erişim yetkisi olacaktır. Üstüne üstlük standart 22 no’lu port yerine Nmapping ile tahmin edilmeyen başka bir portu kullanırsanız Internete gerçek SSH portunuzu da ifşa etmemiş olursunuz.

2- Ideal olarak kurduğunuz bu cihazın içerisine olduk olmadık işinize yarayacağını düşündüğünüz uygulamaları ve servisleri yüklememelisiniz. Kısaca şöyle özetleyeyim , düşmanlarınızın bahçenizden içeri girmesini istemeyeceğiniz durumlarda onlara merdiven vermek istemezsiniz diye düşünüyorum.

Bu yukarıda paylaştığım resim neden parmaklıkların dik olması gerektiğini anlatırken güvenlik sistemlerinin neden basit olması gerektiğinin de açıklaması. Ayrıca böyle bir kapının önüne üstüne basarak atlamanızı sağlayacak bir blok da koymamanız gerektiğini hatırlatmalıyım. Başka servislerde kullanacaksanız ve gerekliyse lütfen bunu arka tarafta başka bir cihaz ile yapın.

3. SSH sisteminizi yani sunucunuzu (openssh-server) sürekli güncel tutmak iyidir ve sizi bir çok sorundan koruyacaktır. Bu yüzden mümkün olduğunca sık sık güvenlik yamaları (security vulnerabilities patches) konusunda güncellemelerinizi yapın ve bunu otomatikleştirin.

4. Benim şahsi önerim muhakkak sshblack veya fail2ban gibi bir uygulama ile sisteme saldırmaya çalışan kişileri blacklist(karaliste) ye otomatik alınmasını sağlayın. Sisteminiz ne kadar güvenli olursa olsun saldırılar karşısında yavaşlayabilir ve cevap veremez duruma gelebilir. Kapıya geleni kovun bir daha gelemesin, brute force saldırıları için en etkin yöntem budur.

Gerekli güvenlikleri sağladıktan sonra cihazınızı yani SSH Sunucunuzu ( rasbery pi’nizi) canlıya alabilir ve dünyanın her yerinden evinize veya ofisinize erişebilirsiniz.

Sisteminize eriştikten sonra içerideki cihazlara şifreleriniz ile erişebilirsiniz ama güvenliği sağlama almaya devam ettiyseniz ve içeride de SSH Key ile erişim sağlıyorsanız öncelikle tebrik ederim en doğrusu budur. Ama unutmayın bunu yapmak ve içeride kullandığınız KEY in forward (iletilmeye devam) edilmesi gerekir. Bunu SSH üzerinden yapabilmek için ise şu komutu kullanmalısınız :

ssh -A kullanici@xxx.xxx.xxx.xxx

.

About the Author

Melih Melik SÖNMEZ
1976'da İstanbul'da doğdum.