Firewall ve Siber Güvenlik Hizmeti

Bu yapı doğru tasarlanmadığında tek bir açık RDP portu, zayıf VPN hesabı, kontrolsüz Wi-Fi ağı, güncellenmemiş endpoint cihazı veya yanlış firewall kuralı tüm işletme verisini riske atabilir.

BilgisayarServisi.com olarak İstanbul genelindeki kurumsal işletmelere firewall kurulumu, UTM güvenlik yapılandırması, VLAN segmentasyonu, VPN kurulumu, web filtreleme, IPS/IDS, DPI, SSL Inspection, SD-WAN, Syslog yönlendirme, endpoint güvenliği ve EDR destekli uç nokta koruma hizmetleri sunuyoruz.

Amacımız yalnızca firewall cihazı kurmak değildir. İşletmenizin ağ topolojisini, veri akışını, kullanıcı erişimlerini, sektörel risklerini ve KVKK kapsamında korunması gereken kişisel verileri birlikte değerlendirerek sürdürülebilir bir siber güvenlik mimarisi oluşturmaktır.

İstanbul İçi Kurumsal İşletmelere Özel Yerinde Ücretsiz Ağ Güvenliği Analizi

Firewall ve siber güvenlik projelerinde en doğru başlangıç, mevcut ağ yapısının yerinde analiz edilmesidir. Bu nedenle İstanbul içindeki kurumsal işletmeler için yerinde ücretsiz ağ güvenliği analizi sunuyoruz.

Bu analiz, klasik bir teknik servis kontrolünden farklıdır. Kurumsal ağınızın güvenlik seviyesini, dış erişim risklerini, kullanıcı trafik akışını ve kritik sistemlerin korunma durumunu mühendislik bakışıyla değerlendiririz.

Ücretsiz ağ güvenliği analizimiz kapsamında; ağınızdaki paket trafiği, firewall policy yapısı, WAN arayüzündeki açık portlar, RDP ve VPN erişimleri, brute-force saldırılarına zemin hazırlayan port yönlendirmeleri, içeriden dışarıya sızan kontrolsüz trafik riskleri, Layer 2 / Layer 3 topoloji uyumu, VLAN ihtiyacı, misafir ağ izolasyonu, Syslog / loglama ihtiyacı ve endpoint güvenlik durumu incelenir.

Analiz sonrasında işletmenize özel güvenlik öncelikleri belirlenir. Gereksiz donanım satışı yerine, mevcut altyapının ne kadarının korunabileceği, hangi noktaların yeniden yapılandırılması gerektiği ve hangi güvenlik katmanlarının eklenmesi gerektiği net şekilde raporlanır.

Kurumsal Firewall Neden Gereklidir?

Kurumsal ağlarda güvenlik, yalnızca internet bağlantısını sağlayan cihazlarla çözülemez. Asıl güvenlik katmanı; UTM firewall, VLAN mimarisi, endpoint koruması, VPN erişim kontrolü ve loglama altyapısı ile oluşturulur.

Doğru yapılandırılmış bir firewall, ağınızın dış dünyayla olan iletişimini kurallı hale getirir. Hangi cihazın internete çıkacağı, hangi kullanıcının hangi sisteme erişeceği, hangi portların kapalı kalacağı, hangi uygulamaların engelleneceği ve hangi bağlantıların loglanacağı net şekilde tanımlanır.

Firewall ile azaltılabilecek başlıca riskler şunlardır:

WAN arayüzündeki açık portlar, RDP brute-force denemeleri, kontrolsüz VPN hesapları, gereksiz NAT yönlendirmeleri, zararlı web trafiği, yetkisiz cihaz bağlantıları, misafir Wi-Fi üzerinden LAN erişimi, fidye yazılımı yayılım riski, kullanıcı bazlı izlenemeyen internet trafiği ve loglanmayan dış bağlantılar.

Destek Verdiğimiz Firewall, UTM ve Endpoint Platformları

Kurumsal ağ güvenliği projelerinde tek bir marka veya tek bir cihaz modeli her işletme için doğru çözüm değildir. Çalışan sayısı, internet hızı, şube yapısı, VPN ihtiyacı, loglama gereksinimi, endpoint sayısı ve bütçe birlikte değerlendirilmelidir.

Aşağıdaki platformlar, işletme ihtiyacına göre konumlandırılabilecek firewall, UTM ve endpoint güvenliği çözümleri arasında yer alır.

Bu tablo resmi çözüm ortaklığı iddiası değil, işletme ihtiyacına göre değerlendirilebilecek güvenlik platformlarını gösteren teknik bir karşılaştırmadır.

Donanım Firewall ve Endpoint Güvenliği Birlikte Planlanmalıdır

Siber güvenlik sadece firewall cihazından ibaret değildir. Firewall ağ trafiğini kontrol eder; ancak tehditlerin önemli bir bölümü kullanıcı bilgisayarları, notebooklar, sunucular, USB cihazları, e-posta ekleri ve zararlı yazılım davranışları üzerinden başlar.

Bu nedenle kurumsal güvenlik mimarisinde firewall ile birlikte endpoint güvenliği ve EDR katmanı da değerlendirilmelidir.

Firewall tarafında ağ trafiği, VPN erişimi, web filtreleme, IPS/IDS, DPI, SSL Inspection, uygulama kontrolü ve VLAN segmentasyonu yönetilir.

Endpoint tarafında ise kullanıcı bilgisayarlarında oluşabilecek zararlı yazılım hareketleri, fidye yazılımı davranışları, şüpheli dosya çalıştırma denemeleri, yetkisiz uygulamalar, USB kaynaklı riskler ve anormal sistem aktiviteleri izlenir.

Bu iki katman birlikte kurgulandığında işletme ağı sadece dış tehditlere karşı değil, içeriden yayılabilecek risklere karşı da daha kontrollü hale gelir.

Endpoint / EDR Güvenliği Nedir?

Endpoint güvenliği, işletmedeki bilgisayar, notebook, sunucu ve kullanıcı cihazlarının korunmasını hedefler. Geleneksel antivirüs çözümlerinden farklı olarak EDR sistemleri, şüpheli davranışları, olağan dışı dosya hareketlerini, fidye yazılımı benzeri aktiviteleri ve yetkisiz erişim denemelerini daha detaylı izleyebilir.

EDR destekli güvenlik yapıları sayesinde şüpheli dosya çalıştırma denemeleri, zararlı yazılım hareketleri, fidye yazılımı davranışları, USB kaynaklı riskler ve yetkisiz uygulama çalıştırma girişimleri daha erken fark edilebilir.

Firewall dışarıdan gelen ve ağ içindeki trafiği yönetirken, endpoint güvenliği kullanıcı cihazları üzerinde oluşabilecek tehditleri takip eder. Bu iki katman birlikte kullanıldığında işletme ağı sadece dış tehditlere karşı değil, içeriden yayılabilecek risklere karşı da daha kontrollü hale gelir.

Endpoint tarafını ayrıca detaylandırmak isteyen işletmeler için ilerleyen aşamada Endpoint / EDR ve Antivirüs Çözümleri sayfası üzerinden daha ayrıntılı bilgi verilebilir.

VLAN Segmentasyonu ve Ağ İzolasyonu

Kurumsal ağlarda tüm cihazların aynı yerel ağda bulunması ciddi güvenlik riski oluşturur. Muhasebe bilgisayarları, kamera kayıt cihazları, NAS depolama, yönetici notebookları, misafir Wi-Fi kullanıcıları, yazıcılar ve sunucular aynı LAN üzerinde kontrolsüz şekilde çalışmamalıdır.

VLAN segmentasyonu ile ağ farklı güvenlik bölgelerine ayrılır. Böylece misafir Wi-Fi trafiği şirket lokal ağından izole edilir, kamera sistemleri ayrı bir ağda tutulur, muhasebe ve yönetici bilgisayarları daha kontrollü erişim kurallarına bağlanır.

Örnek VLAN ayrımları:

Kurumsal kullanıcı ağı, misafir Wi-Fi ağı, kamera sistemi ağı, sunucu/NAS ağı, yönetim ağı, muhasebe ağı, VoIP ağı ve yazıcı ağı.

Bu yapı sayesinde bir cihazda oluşabilecek güvenlik problemi tüm ağa yayılmadan sınırlandırılabilir.

VPN, RDP ve Güvenli Uzaktan Erişim

Uzaktan çalışan personeller, şube bağlantıları, saha ekipleri ve dışarıdan erişilmesi gereken muhasebe/ERP sistemleri için VPN bağlantıları doğru tasarlanmalıdır.

En sık görülen güvenlik açıklarından biri, RDP yani Uzak Masaüstü portunun doğrudan internete açılmasıdır. WAN arayüzünde açık bırakılan RDP portları, brute-force saldırılarına ve yetkisiz erişim denemelerine zemin hazırlayabilir.

Bu nedenle uzaktan erişimlerde doğrudan port açmak yerine güvenli VPN tünelleri, kullanıcı bazlı yetkilendirme, güçlü parola politikası, mümkün olan yapılarda çok faktörlü doğrulama, IP kısıtlaması ve bağlantı loglarının izlenmesi tercih edilmelidir.

İhtiyaca göre şu yapılar kurulabilir:

Kullanıcı bazlı VPN erişimi, şubeler arası site-to-site VPN, muhasebe veya ERP programlarına kontrollü erişim, NAS ve dosya sunucusuna güvenli bağlantı, kamera sistemlerine sınırlı dış erişim, geçici teknik destek VPN hesabı ve bağlantı loglarının Syslog sunucusuna yönlendirilmesi.

Web Filtreleme, DPI ve SSL Inspection

Firewall cihazları sadece port açma-kapama için kullanılmaz. Kurumsal yapılarda web filtreleme, uygulama kontrolü, DPI ve SSL Inspection gibi gelişmiş güvenlik özellikleri de önemlidir.

Web filtreleme ile riskli web siteleri, zararlı kategoriler, yetişkin içerikler, kumar siteleri, bilinmeyen dosya indirme kaynakları ve iş akışını bozan trafik kategorileri engellenebilir.

DPI yani Deep Packet Inspection, ağdan geçen trafiğin daha detaylı analiz edilmesini sağlar. SSL Inspection ise şifreli HTTPS trafiğinin güvenlik politikaları açısından incelenebilmesine yardımcı olur. Bu özellikler doğru yapılandırılmadığında performans ve kullanıcı deneyimi etkilenebileceği için işletmenin ihtiyacına göre dikkatli planlanmalıdır.

Özellikle e-ticaret, finans, mali müşavirlik, sağlık ve üretim firmalarında kullanıcıların hangi uygulamalara erişebileceği, hangi dosya indirme kaynaklarının engelleneceği ve hangi trafiğin loglanacağı net şekilde tanımlanmalıdır.

5651 Loglama, Syslog ve SIEM Entegrasyonu

Çalışanlara, müşterilere veya misafirlere internet erişimi verilen işletmelerde internet kullanım kayıtlarının tutulması gerekebilir. Bu noktada firewall, hotspot, Syslog sunucusu ve 5651 yasal loglama altyapısı birlikte planlanmalıdır.

5651 loglama ihtiyacı olan işletmelerde kullanıcıların internete kimlikli veya kontrollü çıkması, bağlantı kayıtlarının merkezi olarak saklanması ve gerektiğinde geçmiş erişimlerin incelenebilmesi için teknik altyapı kurulabilir.

Bu yapı yalnızca firewall ayarı değil, işletmenin genel bilgi işlem düzeniyle birlikte ele alınmalıdır. Bu nedenle loglama, kullanıcı yönetimi, yedekleme, ağ güvenliği ve cihaz yönetimi ihtiyaçları için Kurumsal IT Destek hizmetimizle birlikte planlama yapılabilir.

Daha gelişmiş yapılarda firewall logları Syslog sunucusuna, log yönetim sistemine veya SIEM platformlarına yönlendirilebilir. Bu sayede VPN bağlantıları, başarısız giriş denemeleri, engellenen web istekleri, IPS uyarıları ve kritik güvenlik olayları merkezi olarak izlenebilir.

Bu hizmet hukuki danışmanlık değil, teknik loglama ve ağ yapılandırma hizmetidir. Yasal kapsamın net değerlendirilmesi gereken durumlarda işletmenin kendi hukuk danışmanı veya ilgili mevzuat uzmanıyla birlikte ilerlemesi önerilir.

Sektörel Firewall ve Siber Güvenlik Paketleri

Her sektörün veri tipi, kullandığı yazılım, çalışma modeli ve güvenlik riski farklıdır. Bu nedenle firewall ve siber güvenlik projeleri tek tip hazırlanmaz.

İstanbul’daki işletmeler için sektör bazlı güvenlik planı oluşturuyoruz.

Tekstil ve Üretim Firmaları İçin Firewall Paketi

Tekstil ve üretim firmalarında ERP, stok programı, muhasebe yazılımı, barkod sistemi, kamera kayıt cihazı, depo bilgisayarları ve ofis kullanıcıları genellikle aynı ağ üzerinde çalışır.

Merter, Bayrampaşa, Güngören ve İkitelli OSB başta olmak üzere İstanbul’un üretim merkezlerindeki tekstil firmalarında ERP ve stok sistemlerinin dış tehditlere karşı izole edilmesi kritik öneme sahiptir.

Bu yapılarda üretim ağı, ofis ağı ve kamera ağı VLAN segmentasyonu ile ayrılmalıdır. NAS veya ortak klasörlere herkesin sınırsız erişmesi engellenmeli, üretim bilgisayarları ile yönetim bilgisayarları farklı güvenlik politikalarına bağlanmalıdır.

Önerilen yapı:

FortiGate veya benzeri UTM firewall, VLAN segmentasyonu, site-to-site VPN, kamera ağı izolasyonu, web filtreleme, kullanıcı bazlı internet politikası, Syslog loglama, endpoint güvenliği ve düzenli yapılandırma yedeği.

KVKK açısından çalışan, müşteri, tedarikçi ve cari hesap verilerinin korunması için erişim yetkileri sınırlandırılmalı ve yetkisiz cihazların ağa dahil olması engellenmelidir.

Sağlık, Klinik ve Poliklinikler İçin Siber Güvenlik Paketi

Sağlık işletmelerinde hasta kayıtları, randevu sistemleri, görüntüleme cihazları, kamera sistemleri ve personel bilgisayarları daha hassas korunmalıdır. Sağlık verileri KVKK kapsamında özel nitelikli kişisel veri niteliği taşıdığı için ağ güvenliği kritik öneme sahiptir.

Bakırköy, Şişli, Kadıköy, Ataşehir ve Bahçelievler gibi yoğun sağlık hizmeti verilen bölgelerde klinik, diş hekimi, özel muayenehane ve poliklinik ağlarında hasta kayıt sistemlerinin misafir Wi-Fi ve kamera sistemlerinden ayrılması gerekir.

Önerilen yapı:

Hasta kayıt sistemleri için erişim kontrolü, personel ve misafir ağı ayrımı, güvenli VPN, endpoint/EDR koruması, kamera sistemi dış erişim kontrolü, kullanıcı bazlı yetkilendirme, 5651 loglama, güçlü parola politikası, Syslog kayıt altyapısı ve yedekleme sistemlerinin izole ağda konumlandırılması.

Bu çalışma hukuki danışmanlık değil, KVKK kapsamında teknik güvenlik tedbirlerini destekleyen ağ ve sistem güvenliği hizmetidir.

E-Ticaret Firmaları İçin Firewall ve Endpoint Paketi

E-ticaret firmalarında müşteri bilgileri, sipariş kayıtları, pazar yeri panelleri, ödeme altyapısı bağlantıları, kargo entegrasyonları ve yönetici bilgisayarları kritik sistemlerdir.

İstanbul’da özellikle İkitelli, Başakşehir, Bağcılar, Merter, Mecidiyeköy ve Kadıköy çevresinde çalışan e-ticaret firmalarında yönetici hesabına erişen bir bilgisayarın ele geçirilmesi, satış operasyonunu doğrudan riske atabilir.

Bu nedenle e-ticaret firmalarında firewall ile birlikte endpoint/EDR güvenliği mutlaka değerlendirilmelidir.

Önerilen yapı:

Yönetici bilgisayarları için endpoint/EDR koruması, panel erişimi yapan cihazların sınırlandırılması, VPN ile güvenli uzaktan erişim, web filtreleme, uygulama kontrolü, misafir Wi-Fi ayrımı, sipariş arşivi veya NAS erişim kontrolü, kargo entegrasyon bilgisayarları için güvenlik politikası, Syslog loglama ve düzenli yapılandırma yedeği.

KVKK açısından müşteri ad-soyad, adres, telefon, e-posta ve sipariş bilgilerinin korunması için kullanıcı cihazları, ağ erişimleri ve yedekleme altyapısı birlikte değerlendirilmelidir.

Mali Müşavirlik ve Muhasebe Ofisleri İçin Güvenlik Paketi

Mali müşavirlik ofislerinde çok sayıda firmanın mali kayıtları, e-Fatura, e-Arşiv, e-Defter, beyanname dosyaları, bordro bilgileri ve müşteri evrakları işlenir. Bu nedenle hem ağ güvenliği hem de uç nokta güvenliği kritik öneme sahiptir.

Mecidiyeköy, Şişli, Kadıköy, Bakırköy, Fatih ve Bahçelievler gibi yoğun iş merkezlerinde faaliyet gösteren mali müşavirlik ofislerinde en sık görülen riskler; açık RDP bağlantıları, kontrolsüz uzak erişim, ortak klasörlerde sınırsız yetki, zayıf endpoint koruması ve yedeksiz çalışma düzenidir.

Önerilen yapı:

Muhasebe bilgisayarları için özel güvenlik politikası, güvenli VPN, RDP portlarının kapatılması, NAS ve ortak klasör yetkilendirmesi, endpoint/EDR koruması, kullanıcı bazlı internet politikası, 5651 loglama, misafir Wi-Fi ayrımı, yedekleme sisteminin korunması ve firewall admin erişiminin güvenli hale getirilmesi.

KVKK kapsamında mükellef bilgileri, çalışan verileri ve mali evrakların korunması için erişim yetkileri, loglama ve uç nokta güvenliği düzenli kontrol edilmelidir.

KVKK Açısından Teknik Güvenlik Tedbirleri

Firewall, endpoint güvenliği, VPN kontrolü, loglama, kullanıcı yetkilendirme, ağ segmentasyonu ve merkezi izleme KVKK kapsamında teknik güvenlik tedbirlerini destekleyen önemli başlıklardır.

Ancak firewall tek başına KVKK uyumluluğu sağlamaz. Kişisel verilerin korunması için erişim yetkileri, parola politikası, yedekleme, kullanıcı eğitimi, cihaz güvenliği, log kayıtları, veri saklama politikaları ve kurumsal süreçler birlikte değerlendirilmelidir.

BilgisayarServisi.com olarak işletmenin ağ ve sistem güvenliği tarafındaki teknik eksikleri analiz eder, uygulanabilir güvenlik adımlarını planlar ve gerekli yapılandırmaları gerçekleştiririz.

Kurulum Sonrası SLA ve Yönetilebilir Destek Modelleri

Siber güvenlik projelerinde tek seferlik kurulum kadar, kurulum sonrası takip ve destek modeli de önemlidir. Bu nedenle firewall, VPN, endpoint ve loglama projelerinde işletmenin ihtiyacına göre SLA tabanlı destek modeli oluşturulabilir.

Kurulum sonrası stabilite testleri tamamlandıktan sonra işletmenizin büyüklüğüne ve risk seviyesine göre 8x5 kurumsal destek, periyodik güvenlik kontrolü, firewall policy güncelleme, VPN kullanıcı yönetimi, firmware güncelleme planı, yapılandırma yedeği, log kontrolü ve acil müdahale süreçleri ayrıca planlanabilir.

Kritik yapılarda destek kapsamı proje özelinde belirlenir. Şubeli işletmeler, üretim tesisleri, sağlık kuruluşları, mali müşavirlik ofisleri ve e-ticaret firmaları için daha düzenli izleme ve bakım modeli önerilir.