Küçük ofis ağlarında en sık görülen problem, her cihazın aynı ağda ve aynı yetkilerle çalışmasıdır. Bu yapı ilk kurulumda kolay görünür; fakat güvenlik, performans ve arıza tespiti tarafında işleri zorlaştırır. Bir yazıcı problemi, misafir cihazı veya güvenlik kamerası tüm ağı etkileyebiliyorsa ağ tasarımı gereğinden fazla düz kalmış demektir.
İyi bir küçük ofis ağı pahalı olmak zorunda değildir. Önemli olan cihazları mantıklı gruplara ayırmak, erişim kurallarını net yazmak, uzaktan bağlantıyı kontrol altına almak ve sorunları görebilecek kadar temel izleme kurmaktır. Bu planlama ağ altyapısı hizmetleri kapsamında daha detaylı yapılabilir.
1. Ağları ayırın
Personel, misafir, kamera, yazıcı ve yönetim cihazları mümkünse ayrı ağlarda tutulmalı. VLAN veya ayrı SSID kullanmak, yetkisiz erişim riskini azaltır. Misafir Wi-Fi üzerindeki bir cihazın muhasebe bilgisayarlarına veya sunucuya erişebilmesi beklenen bir davranış değildir.
Basit bir başlangıç modeli şöyle olabilir: personel ağı, misafir ağı, kamera veya IoT ağı, sunucu/yönetim ağı. Bu ayrım küçük ofiste bile arıza tespitini kolaylaştırır. Hangi cihazın hangi ağda olduğu belli olursa sorun yaşandığında tüm ağı değil, ilgili bölümü incelersiniz.
2. Firewall kurallarını sade tutun
Firewall tarafında "her şey açık" yaklaşımı yerine ihtiyaç bazlı izin verin. Hangi ağın hangi servise erişebileceği net olmalı ve gereksiz portlar kapalı kalmalı. Kurallar okunabilir isimlerle yazılmalı; altı ay sonra bakıldığında kuralın neden var olduğu anlaşılmalıdır.
Örneğin misafir ağı internete çıkabilir ama şirket içi dosya paylaşımına erişemez. Kamera ağı sadece kayıt sunucusuna veya ilgili yönetim paneline erişebilir. Yönetim arayüzleri ise sadece yetkili cihazlardan veya VPN üzerinden açılmalıdır. Firewall ve erişim kuralları daha geniş güvenlik planının parçası olduğu için siber güvenlik hizmetleri ile birlikte değerlendirilmelidir.
3. VPN ile kontrollü uzaktan erişim sağlayın
Uzak masaüstü veya yönetim panellerini internete doğrudan açmak yerine VPN kullanın. Kullanıcı bazlı yetki ve güçlü parola politikası ekleyin. Her çalışanın tüm ağa erişmesi gerekmez; muhasebe uygulamasına erişecek kişi ile kamera sistemini yönetecek kişinin yetkisi farklı olmalıdır.
VPN hesapları kişiye özel olmalı, ortak kullanıcı adı kullanılmamalıdır. İşten ayrılan kullanıcıların erişimi hemen kapatılmalı, bağlantı logları düzenli aralıklarla kontrol edilmelidir. Mümkünse çok faktörlü doğrulama kullanılmalıdır.
4. Kablosuz ağı düzenleyin
Misafir Wi-Fi ayrı olmalı, personel ağı güçlü şifreyle korunmalı ve mümkünse eski güvenlik protokolleri devre dışı bırakılmalı. Şifreler düzenli aralıklarla yenilenmeli. Ofis içinde şifrelerin duvara asılması veya herkesin aynı yönetici parolasını kullanması uzun vadede ciddi risk oluşturur.
Kablosuz kapsama da güvenliğin parçasıdır. Zayıf sinyal nedeniyle kullanıcılar farklı cihazlar veya kişisel modemlerle çözüm üretmeye başlarsa ağ kontrolü dağılır. Erişim noktalarının konumu, kanal planı ve yayın gücü kontrol edilmelidir.
5. İzleme ve kayıt tutun
Bağlantı kopmaları, yüksek trafik, cihaz erişimleri ve firewall logları izlenebilir olmalı. Küçük bir izleme düzeni bile sorunların kaynağını hızlı bulmayı sağlar. İnternet yavaşladığında hangi cihazın yüksek trafik ürettiğini görebilmek, tahminle işlem yapmaktan daha sağlıklıdır.
Başlangıç için modem/firewall durumu, ana switch portları, erişim noktaları, sunucu erişilebilirliği ve kritik servisler izlenebilir. Bu yapı büyüdükçe alarm, rapor ve bakım rutinine dönüşmelidir. Bu noktada izleme ve bakım hizmetleri devreye alınabilir.
Hızlı kontrol listesi
- Misafir ağı şirket içi cihazlardan ayrıldı mı?
- Sunucu, kamera, yazıcı ve personel cihazları mantıklı gruplara ayrıldı mı?
- Firewall kuralları ihtiyaç bazlı ve açıklamalı mı?
- Uzaktan erişim VPN ile ve kişi bazlı yetkiyle mi sağlanıyor?
- Kablosuz ağda güçlü şifreleme ve ayrı misafir SSID var mı?
- Ağ cihazları, internet hattı ve kritik servisler izleniyor mu?
Örnek senaryo
Beş ila yirmi kişilik bir ofiste muhasebe bilgisayarları, satış ekibi cihazları, birkaç yazıcı, kamera sistemi ve misafir Wi-Fi bulunabilir. Bu yapıda misafir ağı sadece internete çıkmalı, kameralar yalnızca kayıt cihazıyla konuşmalı, yazıcılar personel ağına kontrollü açılmalı, yönetim panelleri ise sadece yetkili cihazlardan erişilebilir olmalıdır. Böyle bir ayrım hem güvenliği artırır hem de arıza anında etki alanını küçültür.
Sık yapılan hatalar
En sık hata, tüm cihazları tek modem arkasında aynı ağa bağlamaktır. İkinci hata, uzak masaüstünü internete açık bırakmaktır. Üçüncü hata, firewall kurallarını zamanla temizlememektir. Geçici açılan bir port veya eski bir VPN kullanıcısı aylarca unutulabilir. Bu yüzden ağ düzeni kurulduktan sonra periyodik kontrol listesiyle yaşatılmalıdır.
Sonuç
Güvenli ofis ağı; ayrıştırma, kural netliği, kontrollü uzaktan erişim ve temel izleme ile başlar. Firewall ve erişim kuralları için siber güvenlik hizmetlerini de değerlendirebilirsiniz. Ağ yapınızı sadeleştirmek isterseniz benimle iletişime geçebilirsiniz.