Professional Documents
Culture Documents
ccnet@metu.edu.tr
N BLEN
TEKNK
ELEMAN
GVENLK
Gvenliin amac: CIA (confidentiality, integrity, and availability).
Confidentiality: Bilgilerin gizlilii ve mahremiyet. Integrity: Bilgilerin doruluu. Yani bilgilerin tanrken veya saklanrken deitirilmemesidir (MD5SUM gibi). Availability: Eriilebilirlik. Yani bir kullanc istedii bilgiye ulaabilir olmaldr.
ile;
Varlklar: Maddi veya manevi deerli eylerdir. Tehdit: Varlklara zarar verebilecek kii veya durumlardr. Zayflklar: Bunlar ise sistemlerin hassas noktalardr. Bu
POLTKA
POLTKA METN Hi yazlmam bir politika metninin anlam hereye izin ver Politika metni olmayan alarn gvenliklerinin salanmas zordur. Yeterli derecede duyurusu yaplmayan metnin uygulanabilirlii azalr. A, gvenlik, sistem kullanm politikalar ayr ayr veya birlikte yazlmaldr. Bu politika metni yetkili makamlarca onaylanmaldr. Onaylanmayan uygulamalarn yaptrm hi yoktur veya azdr.
KAMPS GVENL
Snr gvenlii Nasl her lkenin gvenlii snrda balarsa a gvenlii de snrda balar. Snrlarn belirlenmesi nemlidir.
nternet balantlar D kamps balantlar Burada her d kamps de ayr birer kamps olarak tasarlamak gerekir. Modem hatlar GPRS balantlar Kablosuz iletiim hatlar Son olarak, dardan gelen tm tanabilir cihazlar.
KAMPS GVENL
Sistem Gvenlii Kamps a gvenlii bir btndr. A gvenlii iin tm sistemlerin gvenlii salanmaldr. Gvenlik duvar ve virus koruma uygulamalar zorunlu olmaldr. Pekok ticari irket bu konuda zm sunmaktadr. Ayrca ak kaynaklar da bu konuda yardmc olmaktadr (snort gibi). ICMP (Internet Control Message Protocol) IP haberlemesinde genelde hata mesajlar iin kullanlr. Tamamen kstlanmas iyi deildir. (Echo Reply, Destination Unreachable, Echo Request gibi tipleri hala kullanlmaktadr.) QoS ile ekillendirilmesi yararl olur.
KAMPS GVENL
IPv4 dnda kalanlar eer kullanlmyorsa kapatlmaldr. Mmkn olduu zamanlarda hereyi engelle gerekli
altnda tutulmaldr.
KAMPS GVENL
Saldr eitleri
Uygulama tabanl saldrlar E-posta saldrs gibi Servis engelleme (Denial of Service, DoS) saldrlar.
IP Spoofing
ifre saldrs
KAMPS GVENL
NEML BR NOKTA
Gvenlik nedeni ile snrlandrlan TM kullanclar (IP, MAC veya kullanc kodu baznda) mutlak surette bilgilendirilmelidirler.
KAMPS GVENL
A gvenlii parasal bir sorundur. Ne kadar maddi kaynak o kadar gvenlik. Aa eriim a gvenliinin nne gememelidir. Hi kimsenin
kullanamad paronayak bir a kurmak kaynaklarn anlamsz bir ekilde harcanmas demektir.
A kullanm ile gvenlik arasnda
Yksek Kullanlabilirlik
Dk
Gvenlik
Yksek
SINIR YNLENDRC
Akll olmaldr. 3. seviye IPv4 ynlendirme yapmas zorunludur. Filtreleme yapabilir olmaldr. En azndan 4. seviye olmaldr. stenen 7. seviye filtreleme yapabilmesidir. Politika metnine uygun yaplandrlmaldr. Para/gvenlik Birden fazla nternet balants sahibi olanlarn BGP kullanmas gereklidir. Her zamanki gibi iini bilen bir teknik elemana ihtiya vardr. zellikle ak kaynak kodlu bir yaplandrma iin bu gereklidir. INLINE cihazlar performans kaybna neden olmaktadr. Gvenlik duvar olmas iyi bir zelliktir.
eriden darya balatlan balantlara izin ver ama dardan ieriye balant kurulmasna izin verme?
Ayrca genelde virsler tarafndan kullanlan Microsoft portlar (135-139, 445 gibi) bu cihaza ynlendirilebilir. Mesela herkesin bildii bir yntem:
# tcpdump i eth0 n port 135 or port 445
Son olarak http://www.bleedingsnort.com/blackhole-dns/ adresinde benzer bir yntem kullanlarak DNS kara delii mekanizmas kurulabilir.
KABLOSUZ ALAR
Esasen kablosuz alarn kendisinin bir gvenlik sorunu
olmasnn dnda bu teknolojiye sahip cihazlarda ayn gvenlik sorunlarna neden olmaktadr. Tanabilir tm cihazlar yanlarnda gvenlik tehditlerini de tamaktadrlar. Bu adan gelen balantlar kamps d balant olarak alglanmaldr. Bu aa giriler dzgn bir ekilde yaplanmaldr. Mmknse IEEE 802.1X kullanlmaldr. IEEE 802.1X yaps RADIUS, LDAP ile merkezi yaplabilir. WPA veya daha iyi WPA2 (IEEE 802.11i) kullanlmas salanmaldr. Kullanclar a kullanm hakknda bilinlendirilmelidir.
srete yaplmaldr. Para/Gvenlik P2P ayn zamanda nemli bir gvenlik adr.
Gvenli alarda kesinlikle izin verilmemelidir. Gerekli durumlarda P2P iin zel alarda kullanmna izin verilebilir. Gvenlik aklarnn yannda, kullanclarn indirdii uygulamalarn
altrlmas ile oluan gvenlik aklar. nemli bir BOTNET kaynadr. Ayn zamanda iyi iler iinde kullanlabilir. IPHONE Linux, BSD srmleri Oyun, OS gncellemleri gibi. En azndan QoS ile ynetilmelidir.
Ak braklan bir kablosuz balant kullanlarak hi tanmadmz biri hi tanmadmz birinin hesabn boaltabilir. Balant sahibi bu hrszlktan sorumlu(mudur?).
HONEYPOTS HONEYNET
Saldrlar ekmek iin kurulan sisteme honeypot (bal kb), bu sistemlerden oluan aa ise honeynet denir. Dzgn kurulmaldr. Yanl yaplandrma tm sistemin ele geirilmesini salar. IDS tabanl olmaldr. Ana ama sistemde yalanc aklar gsterip saldrgan ve yntemlerini renmek ve kar politika oluturmaktr. Tarpit (http://labrea.sourceforge.net/) KFsensor (http://www.keyfocus.net/kfsensor/) Windows Honeyd (http://www.honeyd.org/) Tm loglama mekanizmasnn merkezi olmas ve cihazlar zerinde tutulmamas sistemin ele geirilmesinin anlalmasnda yardmc olacaktr. 2. Seviye veya 3. seviye olarak yaplandrlabilirler. 2. Seviye cihazlarn bulunmas daha zor olduu iin bu sistemler daha gvenlidir.
GRAFKLER
Tm cihazlarn kullanm grafikleri izilmelidir. Bunun iin MRTG, RRDTOOL veya CACTI kullanlabilir. CACTI kullanm son zamanlarda artmtr. Grafik arayznden trafikte oluabilecek anomali rahatlkla grlebilmektedir. Ayn zamanda mmknse cihazlarn CPU, Bellek gibi
deerlerinin grafikleri de hazrlanmaldr. Kullanc saylarn ve balantlar gsteren grafiklerde yararl olacaktr. Bu grafikler ayn zamanda raporlamalarda da ok ie yarayacaktr.
otomatik sistemler kurulmaldr. Balant izlerinin loglar da tutulmal ve uzun sreli kaydedilmelidir. Sisteme giri yapan tm kullanc loglar tutulmaldr. Sistemde bulunan tm arp kaytlar gn ve yer bilgisi ile beraber arivlenmelidir.
rnek 1
rnek 2
Sana l A
TEEKKR EDERZ
ccnet@metu.edu.tr