ODT BLG LEM DARE BAKANLII, 2007

ccnet@metu.edu.tr

N BLEN

TEKNK
ELEMAN

GVENLK
Gvenliin amac: CIA (confidentiality, integrity, and availability).

Confidentiality: Bilgilerin gizlilii ve mahremiyet. Integrity: Bilgilerin doruluu. Yani bilgilerin tanrken veya saklanrken deitirilmemesidir (MD5SUM gibi). Availability: Eriilebilirlik. Yani bir kullanc istedii bilgiye ulaabilir olmaldr.

Riziko: Bir tehditin gerekleme olasldr. eleman

ile;
Varlklar: Maddi veya manevi deerli eylerdir. Tehdit: Varlklara zarar verebilecek kii veya durumlardr. Zayflklar: Bunlar ise sistemlerin hassas noktalardr. Bu

noktalar doru uygulamalar ile azaltlabilir.

POLTKA
POLTKA METN Hi yazlmam bir politika metninin anlam hereye izin ver Politika metni olmayan alarn gvenliklerinin salanmas zordur. Yeterli derecede duyurusu yaplmayan metnin uygulanabilirlii azalr. A, gvenlik, sistem kullanm politikalar ayr ayr veya birlikte yazlmaldr. Bu politika metni yetkili makamlarca onaylanmaldr. Onaylanmayan uygulamalarn yaptrm hi yoktur veya azdr.

KAMPS GVENL
Snr gvenlii Nasl her lkenin gvenlii snrda balarsa a gvenlii de snrda balar. Snrlarn belirlenmesi nemlidir.

nternet balantlar D kamps balantlar Burada her d kamps de ayr birer kamps olarak tasarlamak gerekir. Modem hatlar GPRS balantlar Kablosuz iletiim hatlar Son olarak, dardan gelen tm tanabilir cihazlar.

KAMPS GVENL
Sistem Gvenlii Kamps a gvenlii bir btndr. A gvenlii iin tm sistemlerin gvenlii salanmaldr. Gvenlik duvar ve virus koruma uygulamalar zorunlu olmaldr. Pekok ticari irket bu konuda zm sunmaktadr. Ayrca ak kaynaklar da bu konuda yardmc olmaktadr (snort gibi). ICMP (Internet Control Message Protocol) IP haberlemesinde genelde hata mesajlar iin kullanlr. Tamamen kstlanmas iyi deildir. (Echo Reply, Destination Unreachable, Echo Request gibi tipleri hala kullanlmaktadr.) QoS ile ekillendirilmesi yararl olur.

KAMPS GVENL
IPv4 dnda kalanlar eer kullanlmyorsa kapatlmaldr. Mmkn olduu zamanlarda hereyi engelle gerekli

olanlara izin ver gvenlik kural uygulanmaldr.

Multicast eer kullanlmyorsa engellenmeli veya kontrol

altnda tutulmaldr.

KAMPS GVENL
Saldr eitleri
Uygulama tabanl saldrlar E-posta saldrs gibi Servis engelleme (Denial of Service, DoS) saldrlar.

IP Spoofing
ifre saldrs

KAMPS GVENL
NEML BR NOKTA

Gvenlik nedeni ile snrlandrlan TM kullanclar (IP, MAC veya kullanc kodu baznda) mutlak surette bilgilendirilmelidirler.

KAMPS GVENL
A gvenlii parasal bir sorundur. Ne kadar maddi kaynak o kadar gvenlik. Aa eriim a gvenliinin nne gememelidir. Hi kimsenin

kullanamad paronayak bir a kurmak kaynaklarn anlamsz bir ekilde harcanmas demektir.
A kullanm ile gvenlik arasnda
Yksek Kullanlabilirlik

dzgn bir orant kurulmaldr.

Dk

Gvenlik

Yksek

SINIR YNLENDRC
Akll olmaldr. 3. seviye IPv4 ynlendirme yapmas zorunludur. Filtreleme yapabilir olmaldr. En azndan 4. seviye olmaldr. stenen 7. seviye filtreleme yapabilmesidir. Politika metnine uygun yaplandrlmaldr. Para/gvenlik Birden fazla nternet balants sahibi olanlarn BGP kullanmas gereklidir. Her zamanki gibi iini bilen bir teknik elemana ihtiya vardr. zellikle ak kaynak kodlu bir yaplandrma iin bu gereklidir. INLINE cihazlar performans kaybna neden olmaktadr. Gvenlik duvar olmas iyi bir zelliktir.

eriden darya balatlan balantlara izin ver ama dardan ieriye balant kurulmasna izin verme?

BLACKHOLE Kara Delik

Babo bir ekilde ieride dolaan paketleri yakalamanz salar. stenmeyen trafiklerin (adaware, spyware gibi) younluunu lmenizi salar. Bu cihaz zel hazrlanm bir PC tabanl sunucu olabilir. Ynlendirilmesi olmayan IPler bu cihaza ynlendirilir. Mmknse bu cihaz IDS olarak konumlandrlmaldr. Cihaza gelen bilgiler deerlendirilmeli ve gerekli tedbirler alnmaldr. Mesela; bir kaynaktan toplam 5dk ierisinde gelen paketler saylp port taramas yapan cihazlarn otomatik eriimi kstlanabilir. Eer varsaylan ynlendirme kullanlyorsa olmayan IP bloklar bu cihaza ynlendirilebilir.

http://www.iana.org/assignments/ipv4-address-space Reserved Networks

Ayrca genelde virsler tarafndan kullanlan Microsoft portlar (135-139, 445 gibi) bu cihaza ynlendirilebilir. Mesela herkesin bildii bir yntem:
# tcpdump i eth0 n port 135 or port 445

Bu komutun kts size tarama yapan virsl bilgisayarlarn IPlerini verecektir.

Son olarak http://www.bleedingsnort.com/blackhole-dns/ adresinde benzer bir yntem kullanlarak DNS kara delii mekanizmas kurulabilir.

KABLOSUZ ALAR
Esasen kablosuz alarn kendisinin bir gvenlik sorunu

olmasnn dnda bu teknolojiye sahip cihazlarda ayn gvenlik sorunlarna neden olmaktadr. Tanabilir tm cihazlar yanlarnda gvenlik tehditlerini de tamaktadrlar. Bu adan gelen balantlar kamps d balant olarak alglanmaldr. Bu aa giriler dzgn bir ekilde yaplanmaldr. Mmknse IEEE 802.1X kullanlmaldr. IEEE 802.1X yaps RADIUS, LDAP ile merkezi yaplabilir. WPA veya daha iyi WPA2 (IEEE 802.11i) kullanlmas salanmaldr. Kullanclar a kullanm hakknda bilinlendirilmelidir.

P2P Paylam Uygulamalar

A kullanm younluu artmaktadr. Mmknse engellenmelidir. Engelleme ilem daha ok idari bir

srete yaplmaldr. Para/Gvenlik P2P ayn zamanda nemli bir gvenlik adr.

Gvenli alarda kesinlikle izin verilmemelidir. Gerekli durumlarda P2P iin zel alarda kullanmna izin verilebilir. Gvenlik aklarnn yannda, kullanclarn indirdii uygulamalarn

altrlmas ile oluan gvenlik aklar. nemli bir BOTNET kaynadr. Ayn zamanda iyi iler iinde kullanlabilir. IPHONE Linux, BSD srmleri Oyun, OS gncellemleri gibi. En azndan QoS ile ynetilmelidir.

SALDIRI KAYNAI MIYIZ?

Saldrlar bize geliyor. Peki bizden saldr gidiyor mu? Gvenlik ift tarafldr. Bize gelen saldrlar. Bizden giden saldrlar. Her iki taraf iinde tedbir alnmaldr. Kullanclarmz uyarlmaldr. Bilinsiz yaplan ilemler kullancy saldr kayna yapabilir.

Ak braklan bir kablosuz balant kullanlarak hi tanmadmz biri hi tanmadmz birinin hesabn boaltabilir. Balant sahibi bu hrszlktan sorumlu(mudur?).

HONEYPOTS HONEYNET
Saldrlar ekmek iin kurulan sisteme honeypot (bal kb), bu sistemlerden oluan aa ise honeynet denir. Dzgn kurulmaldr. Yanl yaplandrma tm sistemin ele geirilmesini salar. IDS tabanl olmaldr. Ana ama sistemde yalanc aklar gsterip saldrgan ve yntemlerini renmek ve kar politika oluturmaktr. Tarpit (http://labrea.sourceforge.net/) KFsensor (http://www.keyfocus.net/kfsensor/) Windows Honeyd (http://www.honeyd.org/) Tm loglama mekanizmasnn merkezi olmas ve cihazlar zerinde tutulmamas sistemin ele geirilmesinin anlalmasnda yardmc olacaktr. 2. Seviye veya 3. seviye olarak yaplandrlabilirler. 2. Seviye cihazlarn bulunmas daha zor olduu iin bu sistemler daha gvenlidir.

GRAFKLER
Tm cihazlarn kullanm grafikleri izilmelidir. Bunun iin MRTG, RRDTOOL veya CACTI kullanlabilir. CACTI kullanm son zamanlarda artmtr. Grafik arayznden trafikte oluabilecek anomali rahatlkla grlebilmektedir. Ayn zamanda mmknse cihazlarn CPU, Bellek gibi

deerlerinin grafikleri de hazrlanmaldr. Kullanc saylarn ve balantlar gsteren grafiklerde yararl olacaktr. Bu grafikler ayn zamanda raporlamalarda da ok ie yarayacaktr.

MERKEZ LOG SSTEM

LOG tutma ilemi mmknse merkezi olmaldr. Tutulan loglar gnlk olarak kontrol edilmeli veya

otomatik sistemler kurulmaldr. Balant izlerinin loglar da tutulmal ve uzun sreli kaydedilmelidir. Sisteme giri yapan tm kullanc loglar tutulmaldr. Sistemde bulunan tm arp kaytlar gn ve yer bilgisi ile beraber arivlenmelidir.

rnek 1

rnek 2

Sana l A

TEEKKR EDERZ

ccnet@metu.edu.tr