| UniFi altyapısının audit-ready, - compliance |
| “UniFi altyapısının audit-ready, güvenli, dokümante edilmiş ve şirket kontrolünde olacak şekilde devralınması ve temizlenmesi.” Yani: Eskiden pfSense + externe Dienstleister + sertifikalar Şimdi UniFi + internal IT Audit geliyor → kim, neye, nasıl erişiyor sorusu cevaplanmalı Bu teknik + governance görevi. Senin UniFi ile ilgili ana sorumluluğun (yüksek ihtimalle) 1️⃣ Mevcut sistemi görmek ve anlamak Ama şu an: ❌ UniFi Controller’a erişimin yok ❌ Topoloji, cihazlar, ayarlar bilinmiyor >>> Bu aşama bitmeden senden hiçbir şey beklenemez. 2️⃣ Eski Dienstleister’in izlerini kaldırmak Audit perspektifinden bakarsak: Onların: Admin account’ları Cloud access’leri Zertifikat’ları VPN / Remote access SSH key’leri API token’ları tamamen yok olmalı. 3️⃣ Compliance için beklenenler (UniFi tarafı) Audit’te klasik sorular şunlar olur: >>> Access & Security UniFi Controller’a kimler admin? MFA açık mı? Cloud mı Local mi? (UniFi OS / Cloud Account) Backup’lar nerede? >>> Network VLAN’lar tanımlı mı? Guest / Corp / IoT ayrımı var mı? Firewall rules dokümante mi? AP’ler doğru SSID’leri mi yayıyor? >>> Documentation Network diagram IP ranges Admin users listesi Change history (kim neyi değiştirdi) Senin ilk görevlerin (mantıklı sıralama) ✅ 1. Access talep etmen gerekenler Bunları net şekilde istemelisin: UniFi için: UniFi Controller URL / IP Admin access (read-only bile olur başlangıçta) UniFi Cloud Account var mı? Local mi hosted mi? Genel: Eski Dienstleister ne yapıyordu? (Scope) Audit tarihi Compliance framework (ISO 27001? SOC2? BSI?) ✅ 2. Discovery (IST-Zustand) Access aldıktan sonra: Hangi UniFi cihazları var: USG / Dream Machine Switch Access Point Firmware versiyonları SSID’ler VLAN & Firewall Zertifikalar (HTTPS, RADIUS vs.) Bu aşama dokunmadan sadece bakma. ✅ 3. Cleanup Plan Audit öncesi: Externe admin’leri sil Passwort rotation MFA zorunlu Gereksiz SSID’leri kapat Sertifika ownership’i şirkete al ŞEF’ine SORMAN gereken NET sorular Bunları aynen sorabilirsin (Almanca yazıyorum, direkt kullan): „Damit ich die Aufgabe korrekt übernehmen kann, brauche ich zuerst Transparenz über den aktuellen UniFi-Stand.“ „Habe ich bereits Zugriff auf den UniFi Controller?“ „Ist der Controller lokal oder Cloud-basiert (UniFi OS)?“ „Welche Rolle hatte der externe Dienstleister konkret?“ „Bis wann muss die Umgebung audit-ready sein?“ „Gibt es Compliance-Vorgaben (ISO, BSI, interne Policies)?“ „Erwarten Sie nur Betrieb oder auch Dokumentation?“ Bu sorular çok profesyonel durur. Özet (kafanda netleşsin diye) ❌ Bu görev “bir AP ayarla” değil ✅ Bu görev: Ownership + Security + Audit Readiness ❌ Access olmadan iş olmaz ✅ Önce görmek, sonra temizlemek, sonra dokümante etmek ################ 1️⃣ Şefine Gönderebileceğin Mail (net + profesyonel) Betreff : UniFi Aufgabe – Zugriff, Ist-Analyse und Audit-Vorbereitung Merhaba [Name], UniFi sorumluluğunu sağlıklı şekilde devralabilmem için öncelikle mevcut durumun netleşmesi gerekiyor. Bunun için rica edeceğim bilgiler: UniFi Controller erişimi (URL/IP ve admin veya read-only yetki) Controller’ın lokal mi yoksa UniFi Cloud üzerinden mi yönetildiği Eski externe Dienstleister’in UniFi kapsamındaki görev ve yetkileri Yaklaşan audit için hedef tarih ve uyulması gereken compliance gereksinimleri (örn. ISO 27001, BSI vb.) Erişim sağlandıktan sonra mevcut yapıyı analiz edip: Externe erişimlerin kaldırılması Güvenlik ve compliance açısından gerekli düzenlemeler Gerekli teknik dokümantasyon için net bir plan paylaşabilirim. Teşekkürler, 2️⃣ UniFi Audit / Compliance Checklist (kendin için) >>> Access & Security UniFi Controller admin listesi kontrol edildi Externe Dienstleister hesapları silindi MFA aktif Admin rolleri least-privilege Cloud account şirkete ait Backup’lar aktif ve test edildi >>> Network & WLAN SSID listesi gözden geçirildi Guest / Corp / IoT ayrımı var VLAN’lar tanımlı ve dokümante Firewall rules anlaşılır ve gerekli Gereksiz açık port yok >>> Devices Tüm AP / Switch / Gateway’ler listelendi Firmware up-to-date EOL cihaz yok SSH access kontrol altında >>> Certificates HTTPS cert controller için geçerli RADIUS / WPA-Enterprise varsa sertifika ownership şirkette Externe tarafından yüklenen cert’lar kaldırıldı >>> Documentation (audit için ALTIN DEĞERİNDE) Network diagram IP ranges Admin users & roles Backup & Restore süreci Change responsibility (kim değişiklik yapabilir) 3️⃣ Externe Dienstleister Cleanup Plan (adım adım) >>> Phase 1 – Sichtbarkeit (dokunma yok) UniFi Topology incele Admin & cloud accounts çıkar VPN / Remote Access var mı bak Zertifikaları listele >>> Phase 2 – Access Cleanup Externe UniFi admin’leri sil Cloud access revoke API token’ları iptal SSH key rotation >>> Phase 3 – Security Hardening MFA zorunlu Passwort rotation Firmware update Backup enable + test >>> Phase 4 – Ownership & Compliance Tüm erişimler internal IT’de Sertifikalar company-owned Dokümantasyon tamam Audit sorularına hazır cevap >>> Şunu bil: Bu junior işi değil, Audit + UniFi + externe cleanup = kritik sorumluluk. ####################################### 1️⃣ Audit’te Sorulabilecek Birebir Sorular (ve senin vermen gereken cevap tipi) >>> Access & Identity Soru: Who has administrative access to the UniFi Controller? Beklenen cevap: İsim + rol Internal IT only Externe yok MFA aktif Soru: How is access to network devices controlled? Cevap: UniFi Controller üzerinden merkezi Role-based access SSH access restricted Soru: Is multi-factor authentication enabled? Cevap: Yes, enforced for all admin users >>> Network Segmentation Soru: Is the network segmented? Cevap: VLAN-based segmentation Corp / Guest / IoT ayrı Firewall rules documented Soru: How is guest access isolated? Cevap: Separate SSID + VLAN No lateral access Optional captive portal >>> Devices & Lifecycle Soru: How do you ensure devices are up to date? Cevap: Firmware centrally managed Regular review No EOL devices >>> Logging & Monitoring Soru: Are network changes logged? Cevap: UniFi change history Admin actions traceable >>> Backup & Recovery Soru: How do you recover from a controller failure? Cevap: Automated backups Restore tested Responsibility defined >>> Third Parties Soru: Do external service providers have access? Cevap (çok önemli): No active access All credentials revoked Access removal documented >>> Audit’te en çok burası patlar. 2️⃣ UniFi Controller’da Ekran Ekran Nerelere Bakacaksın Aşağıdaki sırayı birebir takip et >>> >>> ️ 1. Dashboard Bak: Offline device var mı? Critical alert var mı? Audit mesajı: “Environment is centrally monitored.” >>> 2. Settings → System → Admins Bak: Kaç admin var? Externe isim/email var mı? Rol tanımları net mi? ❗ Externe görürsen → finding >>> 3. Settings → Security Bak: MFA enabled mi? Password policy Remote access açık mı? >>> 4. Settings → Networks Bak: VLAN’lar IP ranges Network purpose (Corporate / Guest) Audit için: Segmentation görünür olmalı >>> 5. Settings → WiFi Bak: SSID listesi Guest policy Eski / kullanılmayan SSID var mı? >>> 6. Firewall & Security Bak: WAN IN rules LAN rules “Allow any any” gibi saçmalık var mı? >>> 7. Devices Her cihaz için: Model Firmware Last seen SSH enabled mi? >>> 8. System Logs / Events Bak: Admin changes Errors Suspicious activity Audit’te “log var” demek yeterli değil → gösterilebilir olmalı >>> 9. Backup Bak: Automatic backup açık mı? Lokasyon Restore test edildi mi? 3️⃣ Şefinle Yapacağın 30 Dakikalık Meeting Agenda- Bunu birebir aç, kontrol sende olur >>> >>> 0–5 dk | Context Audit yaklaşımı UniFi benim sorumluluğumda Hedef: audit-ready environment >>> 5–10 dk | Current State UniFi Controller access durumu Local vs Cloud Eski Dienstleister rolü >>> Eğer access yoksa: “Without visibility I can’t ensure compliance.” >>> 10–20 dk | Risk & Plan Externe access = audit risk Cleanup plan (admins, certs, access) Security hardening Documentation >>> 20–25 dk | Expectations Netleştir: Audit tarihi Compliance standard Dokümantasyon beklentisi >>> 25–30 dk | Next Steps Access verilecek Timeline Decision points >>> Sana küçük ama ALTIN bir tavsiye Audit’te senden mükemmel network beklenmez. Ama şunlar beklenir: Kontrol kimde? Kim erişiyor? Dokümantasyon var mı? Riskler biliniyor mu? Bunları cevaplıyorsan → geçersin ✅ ################### 4️⃣ UniFi için Audit-Ready Network Diagram Şablonu Bunu draw.io / Visio / Lucid ile çizersin. Audit için basit ama net olmalı. >>> Diagram’da MUTLAKA olacaklar Internet | [ ISP Modem ] | [ UniFi Gateway ] | ----------------- | | [ Corp VLAN ] [ Guest VLAN ] | | Switch + AP Switch + AP | [ Servers / Clients ] >>> Etiketlemen gereken bilgiler Her obje için: >>> Gateway Model (UDM / USG / Cloud Gateway) Firewall aktif Admin access: Internal IT >>> VLAN’lar VLAN Purpose IP Range Access 10 Corp 10.10.10.0/24 Full 20 Guest 10.10.20.0/24 Internet only 30 IoT 10.10.30.0/24 Restricted >>> WiFi / SSID SSID VLAN Security Corp-WiFi 10 WPA2/WPA3 Guest-WiFi 20 Captive Portal >>> Access Control Notu (audit sever) “All network components are centrally managed via UniFi Controller. Administrative access is restricted to internal IT staff only.” ❗ Audit İpucu Diagram çok karmaşık olursa eksi yazar. Audit sevmez: “spaghetti network”. 5️⃣ İlk 7 Gün Planı (altın değerinde) Bunu şefine de gösterebilirsin. >>> ️ Day 1 – Access & Visibility UniFi Controller erişimi al Cloud vs Local netleşsin Admin listesi çıkar >>> Çıktı: “Ben sistemi görebiliyorum” >>> ️ Day 2 – Inventory Tüm UniFi cihazlarını listele Firmware versiyonları Offline / EOL kontrolü >>> Çıktı: Device inventory >>> ️ Day 3 – Security Check Admin hesapları MFA durumu SSH & remote access >>> Çıktı: Risk listesi >>> ️ Day 4 – Network & WiFi VLAN / SSID mapping Guest isolation Gereksiz SSID’leri kapat >>> Çıktı: Clean WLAN setup >>> ️ Day 5 – Externe Cleanup Eski Dienstleister erişimleri sil Sertifikaları kontrol et Password / key rotation >>> Çıktı: External access = 0 >>> ️ Day 6 – Backup & Recovery Automatic backup aç Restore test et Backup ownership netleştir >>> Çıktı: Disaster recovery ready >>> ️ Day 7 – Documentation & Audit Prep Network diagram tamamla Admin listesi Change responsibility >>> Çıktı: Audit-ready folder >>> >>> Şimdi SEN ne durumdasın? Bu noktada: Yeni olman dezavantaj değil Aksine: “eski hataları temizleyen kişi” sensin Audit’te “kontrol kimde?” sorusunun cevabı → sen ####################### >>> 1️⃣ 1 Sayfalık Audit Status Report (Şefine Sunum İçin) >>> Amaç: Audit’e hazır olup olmadığımızı üst yönetimin 2 dakikada anlaması Audit Status Report – UniFi Infrastructure Prepared by: [Senin Adın] Date: [Tarih] Scope: UniFi Network (Gateway, Switches, Access Points, Controller) 1. Current State (IST-Zustand) UniFi altyapısı merkezi olarak UniFi Controller üzerinden yönetilmektedir. Controller: ☐ Local ☐ UniFi Cloud (netleştirildi) Tüm UniFi cihazları görünür ve envantere alınmıştır. Eski externe Dienstleister’in erişimleri incelenmiştir. 2. Access & Security Admin erişimleri internal IT ile sınırlandırılmıştır. Externe Dienstleister erişimleri: ☐ Kaldırıldı ☐ İnceleme aşamasında MFA: ☐ Aktif ☐ Planlandı SSH / Remote access: ☐ Kısıtlı ☐ İnceleniyor Risk değerlendirmesi: ☐ Düşük ☐ Orta ☐ Yüksek (Açıklama: __________________________) 3. Network Segmentation Network yapısı VLAN’lar ile ayrılmıştır: Corporate Guest IoT (varsa) Guest network izole edilmiştir. Firewall kuralları gözden geçirilmiştir. 4. Devices & Lifecycle Tüm UniFi cihazları listelenmiştir. Firmware durumu: ☐ Güncel ☐ Kısmen güncel EOL (End of Life) cihaz: ☐ Yok ☐ Var (aksiyon planı mevcut) 5. Backup & Recovery Controller için otomatik backup: ☐ Aktif ☐ Planlandı Restore süreci: ☐ Test edildi ☐ Test edilecek 6. Documentation Network diagram: ☐ Hazır ☐ Devam ediyor Admin & role listesi: ☐ Hazır Sorumluluklar (ownership): ☐ Net 7. Overall Audit Readiness Status: ☐ Audit-ready ☐ Minor findings (kontrollü) ☐ Aksiyon gerekli Next Steps: >>> Şef için mesaj: “UniFi altyapısı kontrol altındadır. Audit için gerekli temel güvenlik ve erişim kontrolleri sağlanmıştır / sağlanmaktadır.” >>> 2️⃣ UniFi Controller “KIRMIZI BAYRAKLAR” Bunlar audit’te direkt finding olur. Görürsen hemen aksiyon. >>> Access & Accounts ❌ Externe Dienstleister hâlâ admin ❌ Generic admin (admin/admin, it@…) ❌ MFA kapalı ❌ Cloud account kime ait belli değil ✅ Aksiyon: Externe sil Named accounts MFA zorunlu >>> Network & WiFi ❌ “Allow any any” firewall rule ❌ Guest WiFi → LAN erişimi var ❌ Kullanılmayan SSID’ler açık ❌ Corp & Guest aynı VLAN ✅ Aksiyon: Segmentasyon Gereksiz SSID kapat Firewall tighten >>> Devices ❌ Offline cihazlar ❌ EOL firmware ❌ SSH açık + password rotation yok ✅ Aksiyon: Firmware update SSH disable / key-based Inventory temizliği >>> Certificates & Encryption ❌ Sertifika externe tarafından yönetiliyor ❌ Expired cert ❌ HTTPS kapalı controller ✅ Aksiyon: Sertifika ownership şirkete Expiry takibi >>> Backup & Logging ❌ Backup kapalı ❌ Backup sadece controller üzerinde ❌ Log’lar görünür değil ✅ Aksiyon: Otomatik backup Restore test Log erişimi net >>> Documentation (audit killer) ❌ “Bu ayarı kim yaptı bilmiyoruz” ❌ Network diagram yok ❌ Admin listesi güncel değil ✅ Aksiyon: Basit ama net dokümantasyon Ownership tanımı >>> Sana son ama çok önemli bir içgörü Audit’te kimse senden şunu beklemez: “Her şey mükemmel.” Ama şunu kesin bekler: “Riskleri biliyorum, kontrol bende ve aksiyon planım var.” Bu iki dokümanla o seviyedesin. ############################################ >>> 1️⃣ Şef için PowerPoint – 5 Slide Outline (10 dakika anlat, soru gelirse 20 dakika sen yönet) Slide 1 – Title & Scope Title: UniFi Infrastructure – Audit Readiness Status Content: Scope: UniFi Gateway, Switches, Access Points, Controller Responsibility: Internal IT Goal: Audit-ready, secure, compliant environment >>> Mesaj: “Bu sunum UniFi tarafının audit’e hazır olup olmadığını özetler.” Slide 2 – Current State (IST-Zustand) Central management via UniFi Controller Controller type: Local / UniFi Cloud Full device visibility established External service provider access reviewed >>> Mesaj: “Ortam artık görünür ve kontrol edilebilir durumda.” Slide 3 – Security & Access Control Admin access restricted to internal IT MFA enforced (or in progress) External access removed SSH & remote access restricted Traffic light (çok etkili): >>> Access control >>> MFA rollout (if applicable) >>> External access cleanup >>> Mesaj: “Audit’in en kritik noktası olan access kontrol altında.” Slide 4 – Network & Technical Controls VLAN-based segmentation (Corp / Guest / IoT) Guest isolation ensured Firmware lifecycle managed Automated backups enabled >>> Mesaj: “Network yapısı hem güvenli hem de anlaşılır.” Slide 5 – Risks & Next Steps Risks (dürüst ama kontrollü): Legacy configurations under review Documentation being finalized Next Steps: Final documentation Backup restore test Audit walkthrough readiness >>> Kapanış cümlesi (çok güçlü): “UniFi environment is under control and audit-ready with minor, managed actions.” ########### ⏱️ 2️⃣ Audit’ten Önce Son 24 Saat Checklist Bunu yazdır, yanına kalem al ✍️ >>> Access (ilk bakılacak yer) UniFi Controller admin listesi güncel Externe hesap = 0 MFA açık ve çalışıyor Cloud account şirkete ait >>> Network & WiFi Guest WiFi internete çıkıyor ama LAN’a girmiyor Gereksiz SSID kapalı Corp & Guest aynı VLAN değil Firewall’da “any any” yok >>> Devices Offline cihaz yok (ya da açıklaması hazır) Firmware EOL değil SSH kapalı veya kontrollü >>> Logs & Monitoring Event log açılıyor mu kontrol et Son admin change’ler görünür Hata / alarm yok >>> Audit’te gerekirse: “Here are the recent admin activities.” >>> Backup & Recovery Otomatik backup son 24 saat içinde alınmış Backup lokasyonu biliniyor Restore nasıl yapılır biliyorsun (ezber) >>> Documentation (mutlaka yanında olsun) Network diagram (1 sayfa) Admin & role listesi UniFi Audit Status Report (1 sayfa) >>> Sana çok kritik bir taktik (insider) Audit’te bir şey bilmiyorsan ASLA: “Bilmiyorum” deme. Onun yerine: “I can verify this in the controller and provide it immediately.” Bu cümle = hayat kurtarır. Artık sende şunlar var: ✔ Audit soruları ✔ Teknik kontrol noktaları ✔ Yönetici sunumu ✔ Son 24 saat planı ################################################## >>> ️ 1️⃣ Audit Cheat Sheet – Hazır İngilizce Cevaplar Amaç: Panik yok, kısa cevap, kontrol sende hissi. >>> Access & Ownership Q: Who has administrative access to the UniFi Controller? A: “Administrative access is restricted to named internal IT staff only. There is no active external service provider access.” Q: How do you prevent unauthorized access? A: “We use role-based access control, enforced multi-factor authentication and regular access reviews.” Q: Is multi-factor authentication enabled? A: “Yes, MFA is enforced for all administrative users.” (MFA henüz rollout’taysa) “MFA is currently being rolled out and enforced according to our security plan.” >>> Network Segmentation Q: How is your network segmented? A: “The network is segmented using VLANs for corporate, guest and IoT traffic. Firewall rules prevent lateral movement between these networks.” Q: Can guest users access internal systems? A: “No. Guest traffic is isolated in a separate VLAN with internet-only access.” >>> Devices & Lifecycle Q: How do you manage firmware updates? A: “All UniFi devices are centrally managed via the controller and reviewed regularly for firmware updates.” Q: Are end-of-life devices in use? A: “No end-of-life devices are in productive use. Lifecycle status is monitored.” (Varsa) “Identified legacy devices are documented with a defined replacement plan.” >>> Third Parties Q: Do external service providers have access to your network? A (çok kritik): “No. All external access has been removed and credentials revoked. Any future access would be time-limited and documented.” >>> Backup & Recovery Q: How do you recover from a controller failure? A: “The UniFi Controller is backed up automatically. Restores are documented and have been tested.” >>> Logging & Changes Q: Are administrative actions logged? A: “Yes. Administrative changes and events are logged centrally and can be reviewed.” >>> Hayat kurtaran cümleler Bunları çekinmeden kullan: “I can show this directly in the UniFi Controller.” “This is documented and available if required.” “The risk is known and managed.” >>> 2️⃣ UniFi Default Secure Baseline Audit için “minimum olması gereken” ayarlar >>> Controller Security ✔ Named admin accounts only ✔ MFA enabled ✔ Cloud account owned by company ✔ Automatic backups enabled ✔ HTTPS enabled >>> Access Control ✔ Role-based access ✔ No generic/shared accounts ✔ External users = 0 ✔ SSH disabled or key-based only >>> Network ✔ VLAN segmentation (Corp / Guest / IoT) ✔ No flat network ✔ Firewall default deny between VLANs ✔ WAN rules minimized >>> WiFi ✔ WPA2/WPA3 for corporate SSID ✔ Separate SSID for guests ✔ Guest isolation enabled ✔ Unused SSIDs disabled >>> Devices ✔ Firmware up to date ✔ EOL devices removed ✔ Device names meaningful ✔ Rogue AP detection enabled (if used) >>> Certificates & Crypto ✔ Valid HTTPS cert for controller ✔ Cert ownership internal ✔ Expiry monitored >>> Logging & Monitoring ✔ Events enabled ✔ Alerts reviewed ✔ Admin changes traceable >>> Documentation ✔ Network diagram (1 page) ✔ Admin list ✔ Backup & restore process ✔ Ownership defined >>> Son ama çok önemli gerçek Audit’te “secure baseline” demek: “Her şeyi kapattım” değil, “Ne açık, neden açık ve kim biliyor” demek. Bu iki listeyle: Ne söyleyeceğini biliyorsun Ne yapman gerektiğini biliyorsun Panik yapmıyorsun ################################################### >>> 1️⃣ Audit Günü – 1 Sayfalık Cheat Card (PDF) UniFi Audit Day – 1 Page Cheat Card Golden Rules Stay calm and concise. Show answers directly in the UniFi Controller whenever possible. If unsure: “I can verify this immediately in the controller.” Most Common Audit Questions – Ready Answers Topic Answer Admin Access Administrative access is restricted to named internal IT staff only. No active external access. MFA MFA is enforced for all administrative accounts. Network Segmentation VLAN-based segmentation for Corporate, Guest, and IoT networks. Guest Access Guest traffic is isolated and has internet-only access. External Providers All external access has been removed and credentials revoked. Backups Controller backups are automatic and restore is documented. Logging Administrative actions and events are centrally logged and reviewable. Have Ready During Audit Network diagram (1 page) Admin & role list Backup & recovery explanation UniFi Controller access Quick Audit Tips Keep a copy of this cheat card on your laptop. Keep a printed copy for quick reference. Use the phrases below to stay confident: “I can show this directly in the UniFi Controller.” “This is documented and available if required.” “The risk is known and managed.” ✅ Optional Notes (Audit Day Prep) Check MFA is active for all admins Ensure no external accounts exist Verify guest network isolation Confirm backup & restore tested Have network diagram & admin list open and ready >>> 2️⃣ UniFi Secure Baseline (Controller içinde adım adım, ekran ekran) Aşağıdaki sırayla gidersen audit-ready default state elde edersin. >>> ️ ADIM 1 – Controller Access Settings → System → Admins Kontrol et: Sadece named users Externe hesap = 0 Role’ler minimum yetki >>> Audit cümlesi: “Administrative access is restricted to named internal IT staff.” >>> ADIM 2 – MFA Settings → Security → MFA MFA enabled MFA enforced for admins >>> Audit cümlesi: “MFA is enforced for all administrative accounts.” >>> ADIM 3 – Network Segmentation Settings → Networks Oluştur / kontrol et: Corp VLAN Guest VLAN IoT VLAN (varsa) Her network için: Purpose doğru mu? IP range net mi? >>> Audit cümlesi: “We use VLAN-based segmentation.” >>> ADIM 4 – WiFi (SSID Hygiene) Settings → WiFi Corp SSID → WPA2/WPA3 Guest SSID → Guest Policy ON Kullanılmayan SSID = Disabled >>> Audit killer’ı kapatmış olursun: ❌ Eski, kimsenin bilmediği SSID >>> ADIM 5 – Firewall Settings → Firewall & Security Kontrol: Guest → LAN DENY VLAN’lar arası default deny “Allow any any” YOK >>> Audit cümlesi: “Firewall rules prevent lateral movement.” >>> ADIM 6 – Devices Devices → Her cihaz Kontrol: Firmware up to date SSH kapalı (veya key-based) Device name anlamlı >>> Audit cümlesi: “All devices are centrally managed and maintained.” >>> ADIM 7 – Logs Insights / Events / Logs Admin changes görünüyor Errors / critical alerts yok (ya da açıklaması hazır) >>> Audit cümlesi: “Administrative actions are logged and reviewable.” >>> ADIM 8 – Backup Settings → System → Backup Automatic backup ON Backup location biliniyor Restore adımlarını EZBERE biliyorsun >>> Audit cümlesi: “Backups are automated and recovery is documented.” >>> ADIM 9 – Documentation (son dokunuş) Hazır olacak: Network diagram (1 sayfa) Admin listesi Audit status report >>> Audit’te sihirli cümle: “This is documented and available.” >>> Gerçekçi ama çok önemli bir kapanış Bu noktada sen: Yeni çalışan değil UniFi owner’sın Audit’te senden beklenen: Kontrol Şeffaflık Plan Hepsi sende var artık. ##################################### >>> UniFi – Audit Sonrası Hardening & İyileştirme Roadmap Amaç: Audit bulgularını kalıcı iyileştirmelere dönüştürmek Odak: Güvenlik · Stabilite · Operasyonel olgunluk >>> Phase 1 – Immediate Stabilization (0–30 gün) “Audit finding’leri kapat, riskleri düşür” >>> Security MFA %100 enforced Admin access review (quarterly cadence) SSH tamamen kapalı veya key-based Password & API token rotation >>> Network VLAN kuralları sadeleştirildi Guest isolation double-check WAN firewall rules minimize edildi >>> Devices Firmware update policy tanımlandı EOL cihazlar işaretlendi Device naming standardı getirildi >>> Governance UniFi ownership resmi olarak internal IT Externe access policy yazıldı >>> Çıktı: Audit finding’leri kapalı, düşük risk seviyesi >>> Phase 2 – Hardening & Standardization (30–90 gün) “Ortamı sağlamlaştır, tekrar audit gelirse sorun olmasın” >>> Identity & Access Role-based admin model (Admin / Operator / Read-only) Break-glass admin account (offline stored) Admin change approval süreci >>> Network Default-deny inter-VLAN policy IoT network micro-segmentation Optional IDS/IPS (UniFi destekliyorsa) >>> WiFi WPA3 rollout (uygun client’larda) SSID sayısını minimize et Scheduled WiFi reviews >>> Backup & DR Offsite backup Quarterly restore test Backup retention policy >>> Çıktı: Standartlaşmış, tekrar edilebilir, güvenli yapı >>> Phase 3 – Monitoring & Operational Maturity (3–6 ay) “Sorun çıkmadan gör” >>> Monitoring Alert thresholds tanımlandı Critical event escalation path Dashboard standardı >>> Logging Log retention süresi tanımlı Gerekirse SIEM entegrasyonu Change log düzenli review >>> Documentation Living documentation (güncel tutulur) Network diagram versioning Audit pack güncel >>> Çıktı: Proaktif IT, sürpriz yok >>> Phase 4 – Strategic Improvements (6–12 ay) “Sadece güvenli değil, akıllı altyapı” >>> Architecture High availability (controller redundancy) Controller lifecycle plan Capacity planning >>> Zero Trust (hafif) Device-based access (MAC / cert) NAC değerlendirmesi User vs device separation >>> Third-Party Governance Time-bound external access Approval + expiration Access logging >>> Çıktı: Audit değil, best practice driven altyapı >>> Yöneticiye Söylenecek Altın Cümle Bunu birebir kullanabilirsin: “Audit sadece bir kontrol noktasıydı. Bu roadmap ile UniFi altyapısını sürdürülebilir, güvenli ve ölçeklenebilir hale getiriyoruz.” >>> Senin için kısa gerçeklik check’i Bu roadmap ile: >>> “Sadece ticket çözen IT” değilsin >>> “Risk yöneten, yapı kuran IT”’sin >>> CV’ye yazılacak iş çıkar ######################## >>> 1️⃣ 1 Sayfalık Yönetici Özeti (PDF / Slide / Mail body olarak aynen kullanılabilir) UniFi Infrastructure – Post-Audit Hardening & Improvement Roadmap Owner: Internal IT Scope: UniFi Controller, Gateway, Switches, Access Points Trigger: Security & Compliance Audit Executive Summary Audit sonrası UniFi altyapısı kontrol altına alınmıştır. Bu roadmap’in amacı, mevcut güvenlik seviyesini kalıcı hale getirmek, operasyonel riski azaltmak ve gelecekteki audit’leri low-effort hale getirmektir. Phase 1 – Immediate Stabilization (0–30 days) Goal: Audit finding’lerini kapatmak MFA %100 enforced External access tamamen kaldırıldı Firmware & device inventory güncellendi Backup & recovery doğrulandı Risk Level: ⬇️ Low Phase 2 – Hardening & Standardization (30–90 days) Goal: Tekrar audit-ready standart yapı Role-based admin model Network segmentation hardening Backup retention & restore testleri SSID & firewall sadeleştirme Risk Level: ⬇️⬇️ Very Low Phase 3 – Operational Maturity (3–6 months) Goal: Proaktif IT operasyonu Monitoring & alerting Log retention & review Living documentation Business Value Reduced audit risk Clear ownership & accountability Lower operational overhead Improved security posture Conclusion: UniFi altyapısı sadece audit’e uygun değil, sürdürülebilir şekilde güvenli hale getirilmektedir. >>> 2️⃣ Jira / Ticket Breakdown (Epic → Story → Task mantığında) >>> EPIC: UniFi Post-Audit Hardening >>> STORY 1 – Access & Identity Hardening Priority: High Tasks: Remove all external admin accounts Enforce MFA for all admins Implement role-based admin access Create break-glass admin account Acceptance Criteria: External access = 0 MFA enforced Admin list documented >>> STORY 2 – Network Segmentation & Firewall Priority: High Tasks: Review VLAN structure Enforce inter-VLAN default deny Validate guest isolation Remove unused firewall rules Acceptance Criteria: Corp / Guest / IoT fully isolated No “allow any any” rules >>> STORY 3 – WiFi Hardening Priority: Medium Tasks: Remove unused SSIDs Enforce WPA2/WPA3 for Corp SSID Review guest policy Document SSID ↔ VLAN mapping Acceptance Criteria: SSID count minimized Clear separation enforced >>> STORY 4 – Device Lifecycle Management Priority: Medium Tasks: Firmware update policy Identify EOL devices Standardize device naming Disable SSH or enforce key-based access Acceptance Criteria: No EOL devices in production Firmware compliance documented >>> STORY 5 – Backup & Disaster Recovery Priority: High Tasks: Enable offsite backups Define retention policy Perform restore test Document recovery steps Acceptance Criteria: Restore test successful Backup ownership clear >>> STORY 6 – Monitoring, Logging & Documentation Priority: Medium Tasks: Configure alerts & thresholds Define log retention Update network diagram Maintain audit documentation pack Acceptance Criteria: Alerts actionable Documentation current >>> Bonus – Yöneticiye Söylenecek Tek Cümle Bunu toplantıda kullan: “Audit bir snapshot’tı. Bu ticket’larla UniFi altyapısını kalıcı olarak güvenli ve yönetilebilir hale getiriyoruz.” >>> Şu an sen hangi seviyedesin? Bu noktada sen: Teknik olarak hazır Audit dilini konuşuyorsun Yöneticiye roadmap + plan sunuyorsun Bu çok güçlü bir pozisyon. ################################# 1️⃣ Şefine gönderebileceğin kısa Almanca mail + roadmap özeti 2️⃣ CV’ye yazılacak şekilde bu işi nasıl formüle edeceğin >>> 1️⃣ Şefine Gönderilecek Almanca Mail + Roadmap Özeti Betreff: UniFi Post-Audit Hardening & Improvement Plan Text (Almanca, profesyonel): Hallo [Name des Chefs], im Anschluss an das Audit habe ich einen Post-Audit Hardening & Improvement Plan für unsere UniFi Infrastruktur erstellt. Ziel ist es, die gefundenen Risiken zu beseitigen, die Sicherheit zu erhöhen und eine nachhaltige, audit-fähige Umgebung zu schaffen. Kurzüberblick – Roadmap Phase Zeitraum Fokus Ziele Phase 1 – Immediate Stabilization 0–30 Tage Audit Findings schließen MFA 100%, externe Zugriffe entfernt, Firmware & Backup geprüft Phase 2 – Hardening & Standardization 30–90 Tage Standards implementieren Role-based Access, VLAN Segmentation, SSID & Firewall Optimierung, Backup Retention Phase 3 – Operational Maturity 3–6 Monate Proaktives Monitoring Alerts, Logging, Living Documentation Phase 4 – Strategic Improvements 6–12 Monate Architektur & Best Practices HA Controller, Zero Trust Evaluation, Third-Party Governance Nächste Schritte: Umsetzung der Aufgaben über Tickets / Jira Regelmäßige Status-Updates an das Team Überprüfung der Verbesserungen vor dem nächsten Audit Fazit: Die UniFi Infrastruktur ist nun nicht nur audit-ready, sondern nachhaltig sicher und kontrollierbar. Vielen Dank, [Dein Name] >>> 2️⃣ CV’ye Yazılacak Şekil Senaryo: UniFi sorumluluğu, audit & hardening odaklı. Option 1 – Kısa ve güçlü (1 satır) “Took ownership of company’s UniFi network infrastructure, implementing post-audit hardening, access control, VLAN segmentation, device lifecycle management, and backup & recovery processes to ensure audit readiness and security compliance.” Option 2 – Madde madde (Bullet points) Owned UniFi network infrastructure for internal IT, transitioning from external service provider Conducted full audit readiness assessment and cleaned up legacy configurations Implemented MFA, role-based admin access, and eliminated unauthorized accounts Enforced VLAN-based network segmentation and guest isolation Standardized firmware management, device lifecycle, and WiFi configurations Established automated backup, restore testing, and documentation for compliance purposes Developed post-audit improvement roadmap aligned with security best practices https://chatgpt.com/c/69746a39-dbc0-8327-89c9-eae6e65b88af |
| Edit Delete |