Bugün Benim uzmanlık alanıma giren Ag Denetimi ve Güvenligi Hakkında Tüyolar ve yardımcı olacagını düşündügüm bilgiler verecegim. Evet Başlayalım
- Ağ Güvenliği -
Ağ güvenliğine giriş yapalım. şimdi kendimize bir kaç soru soralım. Ağ güvenliği nasıl sağlanır? hangi aşamalardan geçer? Nasıl bir yol izleriz? ilk önce Ağ güvenliğini sağlayacak araçlar bulunmaktadır, Bilgisayar sistemlerinin güvenliklerini sağlama amacıyla bir çok çalışma yapılır Bu çalışmalar genelde sistem güvenlik duvarları, saldırı tespit yazılımları,iletişim protokolleri, zarar verici kodlara karşı yazılımlar kullanmak gibi çözümler, Bunlar güvenlik için yazılan yazılımlardır. var olan güvenlik yazılımları saldırı amacıyla geliştirilmiştir. Burdaki temel fikir saldırgandan önce acıkları kapatmak, Bundan Sonra çeşitli alanlarda güvenlik araçlarından bahsedilecek,
-NMAP-
*Nmap (network mapper) Ağ denetlemelerinde kullanılan acık kaynak kodlu bir programdır.
*Geniş ölçekli ağları tarama amacıyla tasarlanmıştır.
*IP Paketleri göndererek,Ağ üzerinde canlı sistem noktalarını gösterebilir.
*Ağ üzerinde bulunan aktif noktalar hakkında bilgi toplama özelliği barındırmaktadır.
-NESSUS-
*Nessus ğüçlü ve güncel uzaktan tarama ve güvenlik aracıdır.
*1200’ün üzerinde güvenlik acığı yakalayabilecek yetenekte olup rapor verme özelliği taşır. ( HTML-LATEX - ACCII- vs.)
*örneğin 1221 no’lu portta çalışan web sunucusunu tespit edip güvenlik taramasında gecirip oluşabilecek açıklar hakkında güvenlik çözümleri sunar.
-ETHEREAL-
*Bir ağ protokolü analizcisidir.
*Canlı bir ağdan veya daha önce sistemde kaydedilmiş bir ağ üzerinde inceleme yapar.
-SNORT-
*snort IP ağları için trafik analizi yapan, paket kaydedebilen acık kaynak kodlu bir sızma belirleme yazılımıdır.
*Port analizi, eşleşme, içerik araştırması ve bir çok inceleme ve saldırıları tesbit edebilir.
*Alarm mekanizması oldugundan dolayı herhangi bir saldırı tespitinde kullanıcıyı uyarmaktadır.
-TCPDUMP-
*Ağ izleme ve veri incelemeye olanak sağlayan en pratik analiz yazılımıdır.
*Ağ hareketlerini inceleme amacıyla kullanılır,Paket bilgisi sunar.
-DSNIFF-
*Dsnıff ağ denetlemesi,içeri sızma testleri yapmaya yarayan bir araç takımıdır.
*Dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf ve webspy gibi programlar içerir.
*içerdiği programlar pasif bir şekilde ağı dinleyerek ilgi çeken verinin (şifreler,epostalar vs) yakalanmasını sağlarlar.
-GFI LANGUARD-
*windows platformları için ücretli bir ağ güvenliği tarama aracıdır.
*LANguard ağı tarayarak her makine için çeşitli bilgiler sunar. Bu bilgiler makinelerin hangi servis paketlerini kullandığı,
eksik güvelik yamaları,herkese açık paylaşımları, açık portları, çalışan serverler ve uygulamalar kapsamaktadır.
*Tarama sonuçları HTML formatında raporlanır.
-ETTERCAP-
*Ettercap ethernet ağlarında kullanılan terminal tabanlı bir koklama(sniff)/araya girme/kaydetme aracıdır.
*Aktif ve pasif olarak şifreli olanlar dahil birçok protokolü izleyebilir ve araya girebilir.
-JOHN THE RIPPER-
*John the Ripper çok güçlü bir şifre kırma aracıdır.
*Hızlı bir şekilde çalışma ve birden çok platform için şifre kırma özelliklerine sahiptir.
-TRIPWIRE-
*Bütünlük kontrolü yapan araçların büyük babası olarak tanımlanan tripwire belirlenen dosya ve dizinlerin zaman
içinde bütünlüklerinin bozulup bozulmadığını araştırır.
*Düzenli bir şekilde sistem dosyalarını kontrol ederek herhangi bir değişiklik halinde sistem yöneticisini uyarır.
*Linux için ücretsiz, diger işletim sistemleri için ücretlidir.
güvenlik araçlarının özelliklerini yazarak bilgi verdik,Bundan sonra işletimsel olarak bir sistemde veya bir Pc de Güvenlik nasıl sağlanır onu ele alacağız. Bu konumuzuda kategorilere ayırarak anlatmak, gerekli işlemlerin gerekli alanlarında nasıl çalıştıgı ortaya koymuş olacagız. Hem Ağ Güvenliğini Hemde yapılması gerekenlerin ve oluşacak sorunların nerelerden kaynaklandıgını tesbit edebilmenizde yardımcı olsun. Bir Soru Soralım kendimize, Ağ Güvenliği Nasıl sağlanır?
Güvenlik Duvarı(Firewall); Firewall, yerel ağınızla dış ağ arasındaki güvenlik kontrol yazılımlarıdır.firewall ilk kuruldugunda yerel ağ ile dış ağ arasındaki noktada bütün geçişleri durdurur,daha önce işletim sisitemi dahilinde hangi data paketinin geçip geçmeyecegini kontrol altına alır.
hangi geçiş işlemlerinde parola dogrulama yapılacagı gibi bilgiler güvenlik duvarı(firewall) kural tablolarına eklenir, bundan dolayı sisteme ulaşan kişi ve bilgi trafiği kontrol altına alınmış olur.
Firewall yazılımı, adresler arası dönüştürme,maskeleme (NAT) sayesinde, LAN(Local Area Network)’daki cihazların IP adreslerini gizleyerek tek IP ile dış ağlara erişimini sağlar.
Adres saklama, adres yönlendirme işlemleri Güvenlik duvarı(firewall) üzerinden yapılabilir.Böylece dış ağ’daki kullanıcılar yerel ağdaki kritik topoloji yapısını ve IP hakkında bilgi edinemezler.
güvenlik duvarı(Firewall) yazılıma üstlenilen şüpheli durumlarda sorumluları uyarabilir(e-mail, SNMP, vb.)
güvenlik duvarı(firewall) üzerinden geçen bütün aktif işlemleri kaydederler.Günümüzde gelişmiş firewall’er sistem denetleme işlemi yapmamaktadırlar,bu tip hizmetler frewall yazılımı ile entegre edilmiş güvenlik yazlımları ile kontrol altına alınır.
örnegin; indirdiğin,actıgın vs. dosyalarda virüs olup olmadıgını yada atak yapılıp yapılmadıgını güvenlik duvarı tarafından kontrol edilmez, Eger frewall ile entegre çalışan bir güvenlik yazlımı varsa ve ayarlardan güvenlik yazlımına aktarılmış ise öncelikle
güvenlik duvarı data paketini güvenlik yazlımına gönderir, güvenlik yazlımı taramasını gercekleştirir, sonuç olumlu(yani temiz ise) data paketi güvenlik duvarına tekrar döner ve işlem kaldıgı yerden devam eder.
Kısa kısa özelliklerinden bahsettik, agırlık maddeler halinde anlatılmış oldu. Ama ekleyecegim son madde ise şu dur ki Güvenlik duvarı(firewall) yazılımları bir sistemde şart ama kesinlikle firewall’ler tek başlarına güvenlik sağlamak için yeterli değillerdir.
firewall yazılımları toplumsal yerel ag için tek bir makinada merkezi olarak kurulabilir, yerel ağda bulunan sistemlerin trafik bilgileri(log) tutulabilir,uzak sistemlerden kolayca yönetim yapılıp mevcut bilgiler(LDAP) uygulamalarından temin edilebilinir,Aktif bağlantılardan; gerektigi durumda kurallara engel olmadan baglantılara mudahale edilebilir.
VPN (Virtual Private Networks); VPN’yi anlatmadan önce kısa ve öz bilgiler verip azda olsa ne işe yaradıgını anlamanıza yarayacaktır.
VPN, Virtual Private Network’ün (Sanal Özel Ağ) kısaltması olup, ağlara güvenli bir şekilde uzaktan erişimde kullanılan bir teknolojidir.
Sanal bir ağ uzantısı yarattığından uzaktan bağlanan makine konuk gibi değil, ağa fiziksel olarak bağlıymış gibi görünür.
Firmalar tarafından yaygın olarak kullanılan VPN, yöneticilerin, uzak ofislerin, bayi, acenta, satış temsilcilerinin güvenli bir şekilde özel ağlara bağlanmalarını sağlar.
VPN Sayesinde hem maliyetimizi azaltmamız hemde önceden daha güvenli şekilde PC ve LAN üzerinden farklı makinalarımızı aynı platforma taşımamız mümkün, bunun sayesinde evimizde iken şirketimize bağlanıp sanki orda çalışıyor gibi güvenli bir şekilde şirket kaynaklarına ulaşmamıza yardımcı olmaktadır.
Bu sistem sayesinde mobil çalışanlar,uzak çalışanlar,bayiler, iş ortaklar vs. merkezin belirlerdigi gibi şirket içi kaynaklardan faydalanabilirler.
Akla gelen ilk soru internet üzerinden bilgi alış verişi yapılırken bilgilerimiz ne derece güvende? VPN teknolojilerinde taraflar arasında karşılıklı şifreleme söz konusudur,VPN şifreleme teknolojileri gelişmiş durumdadırlar.
güvenlik için bilgiler karşılıklı aynı anda dijital olarak imzalanır,sonra bu paketler protokollere uygun bir şekilde biri tarafından şifrelenir, ve karşı taraftada aynı şekilde işlem sırası ile uygulaması şarttır. yalnız VPN her ne kadar bilgi alış-verişinde güvenli olsada VPN sisteminin içindeki makinalara firewall ve güvenlik yazılımları ile korunmalıdır,
bir tarafın bölgesi çok güvenli olabilir ama karşı tarafın güvenli olmaması, peki size bağlananda güvenliği söz konusudur. Aksi takdirde zincirin zayıf halkası haline gelir. Siteme sızmak isteyenler zincirin zayıf halkasından içeri girebilme ihtimalleri yüksek, bunuda tabi ki firewall ve gerekli güvenlik araçları ile giderebiliriz.
Antivirüs; Ev kullanıcılarında büyük şirketlere kadar kullanması gereken güvenlik yazılımıdır.kurumların ihtiyacları ev kullanıcıları gibi düşünemeyiz, artık eski deskop bazlı korumalar tek başına yeterli olmamaktadır. Örneğin; kullandığımız tip bilgisayar sistemlerinde, bilgisayarın acılması sırasında daha virüs koruma yazılımı devreye girmeden ağdaki virüslenmiş
bir sistem tarafından dosya paylaşımından faydalanarak sisteme girip antivirüs korumasını devre dışı bırakabilir,son günlerde tanık oldugumuz "worm"’lar buna örnek verilebilir. Bu yüzden teknoloji takip edilere yeni teknolojilerde virüsleri merkezi bir yapı tarafından daha yerel ağa girmeden taranması fikri esas alınmalı, Alınmaktadır.
Virüsler en çok yayıldığı servisler olan e-mail, http ve ftp trafikleri güvenik duvarı(firewall) mantıgı esas alınarak ağ gecidine yönlendirilir. burada tarama işlemine alınır, sonuç alındıktan sonra gerekli yere yönlendirilir,Bu sayade dışarıdan gelecek virüsler engellnemiş olur.
yeni teknolojide mail sunucularına kurulan antivirüs sistemleri sayesinde maillerimizde ön planda herhangi tehdit edici dosyalar barındırılmamaktadır, Ama e-mailde oluşacak Adres, indirme linkleri sayesinde yönlendireceginiz yerler pek güvenli olmayabilir.
istenirse Antivirüs yazılımları firewall sistemleri ile entegre halinde çalıştırılabilir, firewall sayesinde otomatik güncellemeleri yapabilmekte, sisteme gelen rahatsız edici mailler engellenebilinir, mail içeri kısıtlanabilir.
Virus taraması yaparken performans kaybı yaşanmamalıdır. Mümkünse sertifikalar sorulmalıdır.Her türlü zararlı kodlara karşı tarama yapabilmelidir (Trojans, droppers, ActiveX ve Java) Müşteri tarafına her türlü yoldan zararlı kodların ulaşabileceği düşünülmeli sunulan
çözüm bütün zararlı kodları tesirsiz hale getirebilmelidir. Sizi virüslerin çoğundan değil hepsinden koruyan sistemlere ihtiyacınız olacaktır.. Merkezi raporlama ve otomatik güncelleme (yeni virüslere karşı) yapması da işlerinizi kolaylaştıracaktır.
IDS (Saldırı Tespit Sistemleri); Saldırı Tespit Sistemleri, Internet dünyasının gelişim sürecinde özellikle tüm dünyada kullanılan web trafiğinin artması ve de web sayfalarının popüler hale gelmesi ile birlikte kişisel ya da tüzel sayfalara yapılan saldırılar sonucu ihtiyaç duyulan en önemli konulardan biri haline gelmiştir.
Bununla birlikte kurum ya da kuruluşların sahip oldukları ve tüm dünyaya açık tuttukları mail, dns, database gibi sunucularının benzeri saldırılara maruz kalabilecekleri ihtimali yine Saldırı Tespit Sistemlerini Internet Güvenliği alanının vazgeçilmez bir parçası haline getirmiştir. Kurumların sahip oldukları çalışan sayısı ve bu
çalışanların kendi kurumlarındaki kritik değer taşıyan yapılara saldırabilme ihtimalleri de iç ağın ya da tek tek kritik sunucuların kontrol altında tutulma gerekliliğini beraberinde getirir.
IDS(Intrusion Detection System) genel olarak iki tip olarak karşımıza çıkar; Sunucu tabanlı IDS ve Ağ tabanlı IDS.
Ağ tabanlı IDS in görevi, bir kurum yada kuruluşun sahip olduğu ağ yada ağlara yönlenmiş olan tüm trafiği algılayarak, bu ağa doğru geçen her bir data paketinin içeriğini sorgulamak, bir atak olup olmadığına karar vererek kaydını alabilmek, kendisi ya da konfigüre edebildiği başka bir aktif cihaz tarafından atakları kesmek, sistem yöneticisini bilgilendirmek ve ilgili raporlar oluşturabilmektir
Sunucu Tabanlı IDS in görevi ise kurulu bulunduğu sunucuya doğru yönlenmiş bulunan trafiği yine üzerinde bulunan atak veritabanı(İşletim Sistemine göre özelleştirilmiş) baz alınarak dinlemesi ve atakları sezerek cevap vermesidir.
Web filtreleme çözümleri (URL Filtering); bugun çalışanların, hatta herkesin internete erişim hakları var. kurumsal ve kişisel olarak iki kısımdan ayırılmalıdır bu konu..
Kişisel Web Filtreleme (genel olarak insanların zararına olacak web sitelerin telekominikasyon tarafından yayınlarının kesilmesi)
Kurumsal yerlerde web filtrelemeler; Bunlar genellikler kurumlarda yapılan ve çalışanların hangi sayfalara gittikleri oralarda ne kadar zaman gecirdikleri bunların ne kadarının iş ile ilgili oldugu gibi soruların yanıtlanması gerekir, Bundan dolayı Web Filtreleme gibi yöntemlere başvurulmaktadır.
sakıncalı sayfa ziyaretlerinin sistemlere virüs/trojan bulaşmasına, gereksiz bant genişligi harcanmasına ve yasal olmayan siteleren indirilen programların sistemlere sahte lisanslarla kurulmasına (ki bu programların lisanssız yada sahte lisanslarla kurulmasından sistem yöneticileri ve şirket sahipleri BSA ya karşı sorumlular) sebep olmakta.
Bütün bunları engelleyebilmek için URL filtering denilen yazılımlar kullanılmakta.Bu yazılımların her gün güncellenen veri tabanları sayesinde dünyadaki çoğu web sayfaları sınıflandırılmış durumda. Bu yazılımlar kişi, grup, IP adres aralıklarına kural tanımlamamızı sağlamaktadır. Bu sayede daha önceden tanımladığımız kişilere hangi zaman aralıklarında nerelere girebileceklerini belirlenebilir. Yada gün içerisinde bizim belirlediğimiz kategoriler için zaman kotası uygulana bilinir.
Engellenen sayfalarla ilgili olarak kullanıcı karşısına bilgilendirici bir ekran çıkar ve neden engellendiği yada hangi zaman aralıklarında geçerli olduğu belirtilir.Bu tür yazılımlarının raporlama modülleri sayesinde kimlerin nerelere gittikleri oralarda ne kadar süre boyunca kaldıkları gibi ayrıntılı bilgilere ulaşmak mümkündür.
Internetin pozitif kullanımı; E-mail, eTicaret, Araştırmalar, Önemli Gelişmeler, Döküman Alış-verişi, Web Tabanlı uygulamalar.+
Negatif amaçlarla kullanım; Porno, eğlence, kumar, Download, Spor, Müzik, Alışveriş, hisse senedi (Bunlar kurumsal yerlere göre düzenlenmiştir)
Güçlü Tanılama (Strong Authentication); Gerçekten sistemlerinize kimlerin ulaştığını biliyor musunuz? Eğer VPN, mail, Web sayfa erişimleri, uzak erişim (remote access) v.b. bağlantılarınızda statik kullanıcı isimleri ve şifreler kullanıyorsanız bundan tam olarak emin olamazsınız.
Dışarıdan yapılan bağlantılarda sizin verdiğiniz şifrelerin başkaları tarafından ele geçirilmesi yada "brute force" denilen yöntemle şifrelerin bulunması söz konusudur. Güçlü tanılama yöntemleri sisteminize erişenlerin kimliğinden emin olmanızı sağlar.
Güçlü tanılama nedir?
Güçlü tanılama, bir kullanıcıyı tanırken en az iki metot kullanır. 3 metotla mevcut tanılama güçlendirilebilir:
Sahip olduğunuz şey ; Kapı anahtarı, ATM kartı veya token
Bildiğiniz şey ; Şifre, PIN numarası
Biyometrik tanılama ; Parmak izi, ses tanıma sistemleri, retina taramaları
Bu yöntemlerin her biri tek başına yeterli değildir mesela ATM kartınızı kaybedebilirsiniz, şifreniz tahmin edilebilir. Biyometrik tanılama güçlü bir yöntem olmasına rağmen halen pahalı ve açık noktaları bulunabilmektedir.
Örneğin ATM makineleri iki kombinasyonu birlikte kullanırlar plastik bir kard ve bir PIN numarası.
Token ve smart kartlar güçlü tanılama sistemleri kullanırlar.
Kaynakda yardımcı olan arkadaşlara Tşk ederim:Silent,Setlist,CrIrMC
