Zyxel USG FLEX 100 Firewall/Güvenlik Duvarı İncelemesi

Zyxel’in erişim noktası kontrolü ve güvenlik duvarı ürünü USG Flex ailesinden USG Flex 100 modelini inceliyoruz.

Bu model en son yazılım güncellemeleriyle Zyxel Nebula üzerinden yönetilebilir hale geldi. İster yerel, ister Nebula üzerinden bulut güvenlik ve yönetim teknolojileriyle kullanılabiliyor. En önemli özelliği ofis internetinizi tehlikelerden koruyan bir güvenlik duvarı olması.

Nebula Güncellemesi

Daha önce kurumsal Switch ve AP incelemesinde Zyxel Nebula’nın bir şirketin ister tek, ister çok farklı coğrafi bölgelerindeki ofislerinin, uzaktan ve merkezi yönetiminin ne kadar kolaylaştığını zaten aktarmıştık. Nebula özellikle bayi ağı olan, perakende zinciri gibi yapılanmalarda kurulum sayısı çoğaldıkça daha da avantajlı ve yararlı hale gelen bir sistem. Tek merkez ya da şubeli şirketlerde de zaten az sayıda olan ve her işe koşması gereken kıymetli IT/BT çalışanlarının sisteme uzaktan erişebilmesi ve sorunları çözebilmesi açısından faydalı.

Arabayla trafiğe girip sonra şirkete gidip bir de aracı park etmek, koşturmak, taksi aramak ya da İstanbul trafiğinde toplu taşıma ile ortalama 45 dakika geçirmek yerine tarayıcıda pencere açmak 2021 yılının bir gereksinimi diyebiliriz. Alternatif bir senaryoda da bütün Anadolu bayilerini güncellemeler için bir kez daha dolaşmak oldukça yorucu. Tabii ki halen sahada çok iş var ve bunlar bitmeyecek ama her iş için de fiziksel olarak koşturmak, alternatifi varken mantıksız.

Güvenlik Duvarına Kim, Neden İhtiyaç Duyuyor?

İşin kurulum ve yönetimi bir yana, bir de güvenliği var. Hem yasal zorunluluklar, KVKK gibi gelişmeler, hem de işlerin aksamaması için farklı ve çok katmanlı güvenlik önlemlerinin alınması güç geçtikçe bir zorunluluk haline geliyor. Güvenliği geliştirmenin de bir sonu yok ama bir başı var. Firewall yani güvenlik duvarı.

Bu incelemede daha önceki incelemenin ardından işin içerisine USG Flex’i de katarak kurumsal güvenlik sağlama konusuna değiniyoruz.

Zyxel USG Flex Ailesi Nedir?

Öncelikle USG Flex nedir? Özellikle şirketler için geliştirilmiş bir ağ ürünü. USG Flex 100 modeli, KOBİ’ler için oldukça uygun bir güvenlik ve ağ yönetimi donanımı. Kurup ayarlarını yaptığınızda ağ trafiğini zararlı yazılımlardan ve saldırganlardan korumak için önemli ve gelişmiş pek çok işlev sunuyor. İncelemenin devamında hangi seviyede ve nasıl güvenlik sunduğuna değineceğiz. Güvenlik duvarına ek olarak kablosuz erişim noktalarını USG Flex cihazı üzerinden yönetebiliyorsunuz. Bu sayede kurulumda ağı bir güvenlik duvarının arkasına almış oluyorsunuz.

Access Point = Erişim noktası yani AP’leri USG Flex üzerinden güvenli bağlantı sunacak şekilde ayarlamak mümkün. Bu sayede şirket içinde ya da şirketten uzakta çalışana bir kablosuz AP ayarlayıp verdiğinizde, kimlik denetimli ve güvenli bir bağlantı üzerinden şirket ağına erişimini sağlayabiliyorsunuz. Flex ailesinde ve Zyxel lisans sisteminde AP sayısına ve AP’ler ile USG’lerin birlikte çalışmasına göre listeler var. Genellikle güncel ürünler birbiriyle eşleniyor.

Uzaktan VPN’li ve Güvenli Erişim

Bu özellikle şirkette güvenli bir ağ kurulumu yaptıktan sonra, çalışanın evden çalışmasını gerektiren pandemi koşullarında kullanışlı bir özellik. Bağlanabilirlik sağlamak için güvenliği bir kenara bırakmanız gerekmiyor. VPN kurulumları, ürünlerin seviyesine göre farklı kapasitelerde çalıştırmanın daha kolay ve güvenli, donanıma ve uzaktan yönetilebilir bir bulut panele bağlı yolu diyebiliriz.

Burada şirketteki SSID yani Wi-Fi adı ve giriş bilgilerini içeren bir kablosuz erişim noktasını kullanıcı evinde kullanıyor. Burada tünelleme teknolojisiyle kullanıcı kendi evindeki erişim noktasından, kendi internetinden güvenli olarak şirket ağına erişebiliyor. Remote AP ya da RAP olarak özetlenen cihazların yönetimi uzaktan Nebula üzerinden yapılabiliyor.

USG Flex serisi donanımsal olarak güzel cihazlar ancak esas güçleri Nebula sayesinde uzaktan erişilebilen bulut avantajları diyebiliriz. Ürün ailesine Flex denmesinin önemli bir sebebi, daha önceki Zyxel’in alt modellerinden yeni USG Flex’lere geçişte şirketin eski lisansları aktarma imkanı sunması. Burada pek çok kampanya yapılmış durumda ve ayrı güvenlik ürünlerinin, hizmetlerin lisansları aktarılırken kampanya görülüyor. Bu farklı Kampanyaların koşulları değişebileceği için işin bu kısmı Zyxel ile sizin aranızda diyerek, biz ürün teknolojilerine ve özelliklerine dönelim.

İşin güvenlik kısmına dönersek, öncelikle şirkete bağlanan şirket çalışanları her zaman şirket tarafından ayarlanmış ve bütün ayarları yapılmış, mükemmel durumda cihazlar kullanmıyor. Bağlantı kurdukları bilgisayar ve telefonlar artık genellikle kendi cihazları oluyor. Kişisel cihazlarda güvenlik aşıldığında buradan şirket ağına ilerleyen saldırganlar fidye saldırıları ya da sabotaj düzenleyebiliyor.

Zero Trust Güvenlik

Bu yüzden Zero Trust yani her bağlanan cihazı güvensiz kabul ederek risk almayan bir anlayış gelişti. USG Flex de ağa bağlanan cihazlardan gelen zararlı yazılımları, tehditleri otomatik tespit etmek ve engellemek için farklı teknolojiler kullanıyor. Tespit edilen güvenlik açıklarının bir veri tabanı ve çözümleri, buna ek olarak her gün yenilerinin tanımlanıp eklendiği bulut sistemler var. USG Flex de ikisinden de yararlanabiliyor ve ağı filtreliyor. Ağa bağlanan kullanıcıların kimlik kontrolünün iki adımlı olarak yapılması ve ardından doğru kullanıcı girişinde bile zararlı durumların tespit ve engellemesi yapılıyor.

Zyxel burada 2FA ağ erişimi için 802.1x üzerinden iki adımlı kimlik doğrulama Google Authenticator ile bağlanabiliyor. Bu sayede Nebula üzerinde kullanıcı yönetimi de daha kolay ve güvenli oluyor.  IoT cihazları için de lisans alırsanız DPPSK ve e-posta onayı ile kablosuz IoT cihazların güvenliği sağlanabiliyor. Özetle yönetici, kullanıcı ve VPN girişlerinde güvenlik önlemleri var.

SecuReporter

Diğer önemli nokta CDR ve SecuReporter sistemleri. CDR algılama ağda risk oluşturanları yalıtabiliyor. Güvenlik duvarı tehdit algıladığında ağın içerisinde bu tehlikenin kaynağının ağa erişimini sistem üzerinden kesebiliyor. Güvenlik seviyesi, uygulanacak yöntemler ve istisna olarak asla engellenmeyecek sistemler de tanımlanabiliyor.

Elbette iş engellemeyle bitmiyor, kullanıcıya ne oldu, neden erişimi kesildi diye bir uyarı vermek gerekiyor. Sistem önceden belirlenen bir mesajı gösterebiliyor. Ardından SecuReporter üzerinden tehdit nedir bakmak, araştırmak gerekiyor. Yani USG Flex kullanmak önemli bir güvenlik adımı ancak ne tek adım, ne de bilişim alanında güvenliğin sonu anlamına gelmiyor.

Biz Neler Tecrübe Ettik

İncelememiz esnasında USG Flex 100 cihazını kurduk, bize gelen AX yani Wi-Fi 802.11 AX – Wi-Fi 6 destekli kablosuz erişim noktasını kullandık. Daha önce incelediğimiz PoE Switch’ler olmadığı ve güç adaptörü de kutudan çıkmadığı için elimizdeki farklı bir güç adaptörünü kullandık.

Doğrudan modemimizden çıkan Ethernet kablosunu, kendi güç adaptörünü ve AP’nin Ethernet kablosunu test için Flex 100’e taktık. Ayrıca kurulumda Flex’i Ethernet ile P2 portundan PC’mize bağladık. MyZyxel’i açıp cihaz yönetiminden cihazların MAC adreslerini ve seri numaralarını ekledik. Ardından uzaktan yönetim için Nebula’ya giriş yaptık. Cihazların Nebula’da belirmesi biraz zaman alıyor, verilerin toplanıp raporların belirmesi ise biraz daha uzun kullanmayı gerektiriyor.

Daha kolay kurulum için Zyxel’in mobil uygulamasıyla cihazların arkasındaki QR kodlarını taratarak şirket envanterinize ekleyebiliyorsunuz. Zyxel Nebula Mobile uygulama kısayollarını Android ve iOS için makalenin sonunda bulabilirsiniz. Envantere giriş ve envanterden çıkartmanın yanında cihazlarla birlikte gelen lisansların yönetimi, ek lisanslar ya da mevcut lisansların aktarılması da panellerden kolaylıkla yapılabiliyor.

Buradaki esas kolaylık Zyxel ve Nebula’nın tasarım mantığında yatıyor. Sizin bir şirketiniz, şirketin belirli bayileri var. Bölge bölge, ofis ofis ne var ne yok görüyorsunuz. Ayrıca genel geçer kurallar oluşturabiliyor, bunları kolayca aktarabiliyorsunuz. İsterseniz WiFi bilgilerini bir şirket çalışanının her şubede tekrar girmesine gerek bırakmaz, tek bir SSID oluşturup her yerde, ofise adım atar atmaz internete bağlanmalarını sağlayabilirsiniz.

Burada klasik Switch yerine güvenlik duvarını başa aldığımız ve yönetimi bunun üzerinden Nebula’dan yaptığımız için ardına eklediğimiz cihazların hepsinin şirket ağına erişimini güvenceye almış oluyoruz. Zyxel orta ve büyük şirketler için farklı farklı marka ve model cihazlar yerine, şirketin kurumsal internetinin bağlandığı noktadan, son kullanıcıya kadar her adımda haritalanmış, tek yerden kontrol edilen, güncellenen, takvimlerle erişim saatlerinin ayarlanabildiği, yük dağıtımı yapılabilen bir sistem sunuyor.

Zaten olay da ekosistem ve kurumsal kurulum oluyor diyebiliriz. Amaç gereksinimler artarken, bu ağın sürdürülebilirliğini kolaylaştırmak. Network yani ağ işinde detay, ayar bitmiyor. Ancak bu işin yöneticisi ve sürdürücüsü olan personel, nerede, ne var? Nasıl çalışıyor, geçmişte neler yapılmış, mevcut durum ne? Bunları rahatlıkla görüp, işine hakim bir şekilde yönetebiliyor.

Elbette USG Flex 100 limitleri olan bir cihaz, hiçbir Firewall yani güvenlik duvarı bütün tehditleri tek başına yüklenemez. Ancak daha çok trafik filtreleyen, kapasitesi daha yüksek, daha çok erişim noktası destekleyen modeller mevcut. Flex 100 modeli 1 Gigabit ve altındaki şirket internet hatlarında, 30’a kadar noktaya kadar etkili bir çözüm. Tabii ki tek ölçü internet hızı değil, bağlı cihaz sayısı ve kullanım yoğunluğu da işi değiştiriyor. Ancak bir KOBİ için tek cihaz ve birkaç AP yeterli olacaktır.

Burada konfigürasyonda tehdit analizinde veriler ne kadar anonimleştirilecek, ne kadar detaylı veri istiyorsunuz tarzı önemli ayarlar da var. Ancak hangi ayarda olursanız olun Phishing, sahte bankacılık siteleri, DNS filtreleme, site filtreleme, oyun ve pornografi engelleme gibi pek çok imkan sunuyor. Bu bağlamda şirkette olmaması gereken erişimleri kontrol edebilmek de personele ağ bağlantısını hızlı ve kaliteli sunabilmek kadar önemli.

Siber tehditlere karşı koruma kapsamına gelirsek, her güvenlik çözümü veritabanına işlenen güncel tehditlere karşı etkili. Yani işin yazılım kısmında çok katmanlı korumada halen şirket sistemlerinde güvenlik yazılımları olması size ek koruma sağlayacaktır. Ancak her cihaza gerekli güvenlik kurulumlarını yapamadığımız, her cihazı güvenli hale getiremediğimiz modern ağ yapısında artık ağ ürünlerinin de ağ genelinde tespit, analiz, filtremele yapmasının öneminin artığını görüyoruz. Mükemmel bir güvenlik istiyorsanız bu sistemleri kurduktan sonra siber güvenlik alanında sertifikalı ve uzman şirketlerden resmi penetrasyon testleri gibi hizmetler alarak daha da geliştirmeniz mümkün.

Ürün teknik özellikleri için tıklayınız.

Ek lisans bilgileri için tıklayınız.

Zyxel Nebula girişi için tıklayınız.

Yerel ağınızda Ethernet bağlantısıyla ilk USG Flex erişimi ve bağlantı için: 192.168.1.1

Zyxel Nebula Android uygulaması için tıklayınız.

Zyxel Nebula iOS uygulaması için tıklayınız.