Yerleke A Gvenlii ve Ynetimi

Hsn Demir hdemir at metu.edu.tr A Destek Grubu ODT

zet
Gnmzde kamps alar hzla gelimektedir. Ayn hz ne yazkki kamps gvenlii konusunda salanamamaktadr. Kampslerin niversitelerin merkezleri olmasndan tr zgrlk br yapda olmas gvenlik anlaynda da baz zorunluluklar getirmektedir. Bunlardan en nemlisi hereye izin ver, gereksizleri kapat anlaydr. Ne yazkki bu anlayn getirdii pekok gvenlik a kampslerimizi kt etkilemektedir. Kamps ierisinde alnabilecek baz nlemler mevcuttur. Belki bu nlemlerin en nemlisi kalifiye eleman ihtiyacnn karlanmasdr. Bundan sonra gerekli dkmantasyonun salanmas ve trafik izlerinin takip edilebilir olmasdr. Kamps d balantlarnn kontrol altna alnmas bir balang noktas olmaldr. Dardan gelen saldrlara kar bir duvar oluturulmaldr. Kamps ierisinde ise kampsn byklne gre bir yap tasarlanmaldr. Datk kampslerde her bir kamps b balant gibi dnlebilir. Kamps katmanlar eklinde yaplandrlmaldr. Kamps trafiinin ekli belirlenmeli ve izlenmelidir. Kamps ierisinde oluan gereksiz trafik engellenmelidir. Kamps ierisine bir adet blackhole sistemi kurulmaldr. Gvenlik ihlalelerini nceden tespit iin HoneyNet uygulamas kullanlmaldr. Kamps ierisinde kullanlan gvenlik birimlerinin/elemanlarnn koordinasyonu salanmaldr. A gvenlii sistem gvenliinden balamaldr. P2P yazlmlar sistemlerde kstlanmaldr. Benzer ekilde ICMP trafii de kstlanlam ve hatta dardan eriim engellenmelidir. QoS, yani A letiimi Hizmet Kalitesi, salanmaldr. Bu konuda almalar yaplmal ve zellikle snr ynlendiricilerde uygulanmaldr.

Giri
Amacmz kamps alarnn gvenlini salamak iin yaplabilecek baz almalar sralamak ve mmkn olduunca rnek vermeye almaktr. Ayrca kamps ierisinde uygulanan baz standartlardan bahsedilecektir. Bunlarn ou genel nitelikte olmakla beraber, altyaps iin uygun almalarn tamamlanm olmas gereklidir.

Network Group ODT BDB

Sayfa 1/7 17.01.2007

Kamps Gvenlii
Politika metni olmayan alarn ynetilmesi dnlemez. Bu konuda daha nce ABde yaplan sunumlara bavurmanz neririm. Ksaca, ynetilemeyen alarn gvenliinin salanmas dnlemez. Bu yzden alacanz tm gvenlik tedbirleri ve uygulamalar havada kalacaktr. Yaplmas gereken ilk i gvenlik politikasn da ieren bir a kullanm politikas oluturmak ve ilgili almalar yapmaktr. Kamps gvenlii snrda balar. Bunu lke gvenliine de benzetebiliriz. Snrlarmzdan gelebilecek tm saldrlara kar hazrlkl olmak durumundayz. Peki snrlarmz izmek lke snrlar gibi zor mudur? Evet. Kamps snrlar birka noktadan olumaktadr. Kamps snrlar tek bana d balantlardan olumaz. Buna uzak balantlar ve modem, RAS ve son olarak Wi-Fi balantlarn da eklemek yerinde olacaktr. Bu balantlar ne yazkki kamps saldr kayna ve/veya hedefi yapmaktadr. Tm bu bahsedilen balantlar ayr ayr ele alnmal ve incelenmelidir. Esasen snr ynlendiricide uygulam olduunuz politikalarn burada da geerli olduunu unutmamak gereklidir. Ayrca bu politikalara baz eklemeler yapmak gerekecektir. Ne yazikki son gnlerde artan tanabilir cihazlar nedeniyle gvenlik tehditlerinin yn deimitir. Bundan dolay tm tanabilir cihazlar da snr ii deil snr d tabir edilmeli ve buna gre uygun politikalar gelitirilmelidir. Sistem gvenlii a gvenliinin ayrlmaz bir parasn olmuturmaktadr. Son zamanlarda pek ok gvenlik firmas PC tabanl zmler retmeye balamtr. Ayn zamanda windows sistemleri de artk gvenlik duvar zellii ile beraber gelmeye balamtr. Bu tr sistemler iin bir gvenlik duvar ve virs arac edinme koulu konulmaldr. Nitekim baz reticiler bunu a balantsn salamak iin zorunlu klan yazlmlar retmektedirler. ICMP (Internet Control Message Protocol) kstlanmaldr. Bu kstlama hereyi kapsamamal, baz nemli ICMP (Echo Reply, Destination Unreachable, Echo Request gibi.) mesaj tiplerine izin verilmelidir. QoS parametreleri ile ICMP ekillendirilmelidir. Ipv4 dndaki tm kullanlmayan protokoller engellenmelidir. zellikle yeni kan Ipv6 protokol engellenmelidir. Bu protokol pekok gvenlik ana neden olabilmektedir. Ayn ekilde her trl multicast (oa gnderim) trafii engellenmeli veya kontrol altnda tutulmaldr. Multicast trafii pekok ekilde (bkz http://en.wikipedia.org/wiki/Multicast) olmakla beraber en ok bilineni IP Multicast olarak adlandrlandr. Genelde yaplan baz saldrlar yle sralyabiliriz: Uygulama tabanl saldrlar; e-posta uygulamalar buna bir rnek tekil edebilir. Bu uygulamalar trojan ve virs tehlikeleri iermektedir. Servis engelleme (Denial of Service, DoS) saldrlar; saldrgann sahte isteklerle saldrmasna denir. Eer saldr birden ok saldrgan tarafndan geliyorsa datk servis engelleme saldrs (Distributed DoS) olarak adlandrlr. Bu saldrlar esnasnda sunucu cevap veremeyecek derecede youn olur ve servis kesintisi yaanr. Network Group ODT BDB Sayfa 2/7 17.01.2007

IP Spoofing; IP adreslerinin paketlerde deitirerek saldrnn geldii IP adresini gizlemekte kullanlr. Bu ekilde sadece 3. Seviye IP adresine gre yaplan gvenlik nlemlerinin almas salanr. ifre saldrs; bu saldrlar a eriimini salamak iin kullanlan ifreleri ele geirmek iin dzenlenir. Bu saldr metodundan biri szlk kullanm ile gerekletirilir. Gvenlik nedeni ile erim snrlandrlmas salanan tm kullanclar (IP adresler, kullanc kodu veya MAC adresi baznda) bilgilendirilmelidir. Bu bilgilendirme web sayfas aracl ile olabilecei gibi telefon, e-posta gibi aralarla da olabilir. Son olarak alnan tm gvenlik nlemleri a hizmetlerinin kullanmn engellememelidir. Yani kullanlabilir bir a olmaldr. Kimsenin kullanmad ok gvenli bir a kurmannn bir anlam olmayacaktr. Dolays ile a kullanm ile gvenlik arasnda bir orant oluturulmaldr.

Ynetim Sistemi
Ynetim sistemini syslog, kullanc onaylama, tek seferlik ifre, ayarlarn tutulmas, sistem yetkilendirme, saldr tespit ve nleme sistemleri gibi paralar oluturmaktadr. Tm cihazlarn ynetiminin tek elden yaplmas nem arz etmektedir. Mmknse bu cihazlara ulam iin ayr bir a oluturulmas iyi olur. Ayn zamanda bu cihazlarn ve zerindeki servislerin altn takip etmek gerekmektedir. Bunun iin bedava yazlmlar (snips, nagios, vb.) olduu gibi ticari yazlmlarda mevcuttur. Gelen bilgiler bir a ynetim cihaznda (NMS) toplanmal ve gzden geirilmelidir. Merkezi gnlk tutma ii salkl bir ekilde yrtlmelidir. Gnlklerin dzgn tutulmas salanmal gerekiyorsa devaml kontrol edilmelidir. Gnlk takibi iin baz betikler hazrlanabilir. Bylece sorun annda mdahale hzlanm olur. Mesela; szlk saldrs uygulayan bir saldrgann denemeleri bu gnlk ileme mekanizmalar ile bize bildirilebilir ve biz buna uygun tedbiri zamannda alabiliriz. Syslog bu ilevi (gnlk tutma ilevini) rahatlkla yerine getirmekle beraber syslog-ng uygulamas bu iler iin daha kullanldr. Bu uygulama UNIX tabanl olmasna karn Windows iinde mevcuttur. Gnlk izleme ilemleri iin ise logwatcher, swatch gibi uygulamalar kullanl olmaktadr. zellikle snr ynlendiricilerden gelen izlerin toplanmas ve ilenmesi nem arz etmektedir. Bu i iin genelde flow-tools kullanlmakta ve Cisconun gelitirdii Netflow verileri ile yaplmaktadr. Flow-tools bu i iin kullanl bir aratr.

Snr Ynlendirici
Snr ynlendiricilerin akll cihazlar olmas doaldr. Bunlarn Ipv4 ynlendirme yapyor olamas kanlmazdr. Bu cihazlar zerinde filtreleme yaplabilir olmaldr. Bu filtreleme 2. seviyeden 7. seviyeye kadar kabilir. Tabii istenen nokta 7. seviye filtreleme yapabilmesidir. Bu noktada dnlmesi gereken nasl bir cihaz olacadr ki en bata sylediimiz politika metnine bamldr. Eer politika metni kiileri (kullanclar) yeterince balyorsa konulandrlacak cihaz daha sade olacaktr. Eer yaptrmlar yeterli deil ise bu cihazn gl olmas, hatta baz alar iin ok gl olmas gerekmektedir.

Network Group ODT BDB

Sayfa 3/7 17.01.2007

niversitelerin kamu kurumu olmasndan dolay maliyet analizleri yaplmamakta veya ok az yaplmaktadr. Esasen bu analizler ciddi bir ekilde yerine getirilmelidir. Mesela, ka niversite harcam olduu elektrik masrafn cihaz maliyetlerine yanstmaktadr? Kaldmz yerden devam edersek, snr ynlendiricilerin en az 4. seviye filtreleme yapmas uygundur. Birden fazla d balantya sahip kampsler iin BGPv4 gereklidir. Tabii yapya bal olarak, byle kampsler iin yk paylam da gerekli olacaktr. Bunlarda iini bilen teknik elemanlar aracl ile kolaylkla icra edilebilir. Baz reticiler her ii snr ynlendiriciler zerinden yapmaktadr. Bu ne yazkki yukarda bahsettiim kamps alarna uymamaktadr. Daha ok hereyi engelle, gerekli olanlara izin ver mantna uymaktadr. lk erevede alan alarn INLINE olarak altrlmas performans drmekte veya ok byk maliyetler karmaktadr. Snr ynlendirici zerinde gvenlik duvar bulunmas genede istenen bir zelliktir ve ounukla da baarl sonular vermektedir. zellikle balant izlemeli sistemler (connection tracking) performans sorunu karsalarda gzel sonular vermektedir. Snr ynlendirici zerinde ierden darya ulalmasn izin vermek ama eer ieriden bir istek yok ise dardan ieriye balant kurulmasna izin vermemek ok nemli gvenlik sorunlarn engellemektedir.

Blackhole
Bu sistem kamps ierisinde dolaan babo paketleri bulmanz ve tedbir almanz salar. Pek ok a virs aktif Ipleri renmek iin tarama yapar ve bu tarama esnasnda kamps ierisinde ynlendirmesi olmayan Iplere de ulamaya alr. Bylece blackhole IP ynlendirme ilemi yaplabilir. Uygun donanmlara sahip bir IDS cihaz blackhole makinesi olarak kullanlabilir. Bu cihazn gvenliinin sk tutulmas yararl olur. Cihaza gelen tm gnlk bilgileri incelenmeli ve ilgili tedbirler alnmal veya alacak betikler altrlmaldr. Burada nemli olan dier bir nokta cihaza ulam ayn arayzden yapmamaktr. Bu sistemin kullanlabilir olmas iin varsaylan ynlendirmenin (default routing) kullanlmamas gerekmektedir. nk varsaylan Varsaylan ynlendirme ayarlar yaplan sistemler iin ise neri olarak kullanlmayan IP bloklarn blackhole IPsine ynlendirmesi nerilebilir. Mesela; tm ayrlm olarak tanml alar (bkz http://www.iana.org/assignments/ipv4-address-space Reserved Networks) bu ilem iin kullanlabilir. Ayn zamanda kendi IP blounuzda kullanmadnz IP bloklarn da ynlendirebilirsiniz. Son olarak da genelde virs kayna olan ve Microsoft tarafndan kullanlan portlar da bu IPye ynlendirebilirsiniz. Benzer bir yntem son zamanlarda DNS iin uygulanmaya balamtr. Bu http://www.bleedingsnort.com/blackhole-dns/ adresinde ayrntl olarak anlatlmaktadr. yntem

Kablosuz Alar
Kablosuz alarn gvenlii gerekten byk bir sorun olarak kmaktadr. Bu alarda ileyen pekok cihazn tanabilir olmas gvenlik sorunlarnn da baka yerlerden fiziksel olarak tanmasn salamaktadr. Her ne kadar kamps ann her giriini kapatyor olsanzda tanabilir bilgisayarlarla

Network Group ODT BDB

Sayfa 4/7 17.01.2007

gelen tehlikeler ne yazikki ieriden sizi vurabilmektedir. Bunun en ok yaand nokta kablosuz a balant noktalardr. Bu balant noktalarnn eriimleri iyi bir ekilde dzenlenmeli (mmknse 802.1X kullanlmal) ve bu alardan gelen paketlerin kamps d gibi gvenlik taramasndan gemesi salanmaldr.

802.1X
Aa yetkilendirmeli eriimi salayan bir yntemdir. Port tabanl a erim kontrol salayan bir IEEE standarddr. Aa erimeye alan kullanclarn 2. seviyede kontrollerini yaparak eriimleri ynetir. Bu ilem esnasnda RADIUS, LDAP gibi uygulamalar kullanlabilir. Yetkilendirme ilemi EAP-TLS, PEAP gibi yntemler ile yaplabilmektedir. Bu yntemin kullanlabilmesi iin fiziksel korumann da aktif olmas nemlidir. Cihazlar zerindeki port gvenlii ile beraber iyi bir gvenlik salayabilen bir yntemdir. Fakat tm cihazlarn bu standard desteklemesi gerekmektedir. Bu ise maliyeti arttran bir etken olarak a yneticisinin karsna kmaktadr.

P2P
Peer2Peer olarak adlandrlan ve a kaynaklarn youn bir ekilde megul etmesi ile gndeme gelen bir paylam yntemidir. Bittorrent, emule, edonkey gibi uygulamalar ile hayata geen paylam yntemlerinin kullanlmas zellikle son zamanlarda younlamtr. Bu uygulamalar pekok yasal olmayan uygulama, film, mzik, kitap, vb. materyallerin datmnda kullanlmaktadr. Genelde bu konu ile gndeme gelen bu uygulamalar son zamanlarda oyun gncellemeleri, linux, bsd gibi iletim sistemlerinin datmnda sklkla kullanlmaya balanmtr. Bu ise bu tr uygulamalarn engellenmesinde sknt karmaktadr. in grlmeyen bir yz de gvenliktir. Bu tr uygulamalar Internet ortamna bal pekok bilgisayar saldrlara kar ak duruma getirmekle kalmyor, indirilen uygulamalarn denenmesi ile ortaya kan virs, worm gibi pekok gvenlik skntlarna neden olmaktadr. Ksaca bu tr uygulamalar doal birer truva at niteliinde almakta ve pekok sistemin kolaylkla ele geirilmesini salamaktadr. Bu nedenlerden tr bu tr uyulamalara scak bakmak bir gvenlik eleman iin ok ho olmamaktadr. Dier yandan pekok iyi niyetli giriimleri de gzden karmamak ve buna uygun yntemlerden yararlanmaya almak gereklidir. Mesela; bunlardan biri kullanclarn ekmey isteyebilecei OS datm srmlerinin yanslarn nceden hazr etmek gibi. zin vermeminin getirdii maddi zorluklar amak iin QoS parametreleri kullanlabilir. rnek vermek gerekirse; snort zerinde yakalanan IPlerin aa eriimleri snrlandrlabilir. Bunun iin QoS tanmlar yaplabilen bir cihaz yardm ile oluturulan bant genilii kullanlabilir. Burada kstlama yaplamamasnn iki nemli nedeni var. lki akademik dnyada olduumuzdan kullanclarmz yeni yntemler gelitirmeye sevk etmemektir. Dieri ise aa erimin esas olmasdr. Kullanlmayan a ok bir ie yaramayacaktr.

Honeypots (Bal kpleri) ve Honeynets

Gnmzde saldrlar pekok yerden gelmektedir. Kullanclarmz yukarda da anlattmz gibi sistemlerinde nelerin altnn farknda olmayabiliyor. Bu durum da dardan da ieriden de pekok

Network Group ODT BDB

Sayfa 5/7 17.01.2007

saldrnn gelmesine neden olabiliyor. Bu saldrlarn nne gemek iin bunlardan haberdar olmamz gerekmektedir. IDS sistemleri bu iler iin ideal yaplardr. Bu sistemler yalanc bilgiler kullanarak saldrganlar zerine ekmekte ve saldrganlardan pekok bilgi toplamaktadr. Bylece bu saldrlar engelleyecek yntemler kurulmasn salarlar. Elde edilen bilgiler hzlca gvenlik duvarnda etkin hale getirilebilir. Sistemin ele geirilmesi pek ok soruna neden olabilir. Bu yzden gerekli tedbirlerin alnmas nemlidir. Genelde gerek sistemler zerine kurulan honeypotlar byle durumlarda daha tehlikeli olabilir. rnek vermek gerekirse; snr ynlendiricinin yaknlarna kurulmu bir honeypot kendisine gelen tm balantlar saldr olarak kaydedip gerekli tedbirleri alr. Tarpit (http://labrea.sourceforge.net/) sistemi honeypot iin iyi bir rnektir. KFsensor (http://www.keyfocus.net/kfsensor/) ise windows tabanl bir IDS/honeypot sistemidir. Son olarak da honeyd (http://www.honeyd.org/) rnek verilebilir. Honeynet ise honeypotlarn oluturduu bir aa verilen bir isimdir. Bu a sayesinde tm veri kontrol, veri toplama ve IDS ileri tek elden yaplmaktadr. Bu ayrca honeypotlardan biri ele geerse hzl bir ekilde bulunmasna da yardmc olur. Honeynetler 2. seviye veya 3. seviyede alacak ekilde kurulabilir. lki dierine gre daha gvenli bir sistem kurulmasn salar.

rnek
Aada olas bir a izimi mevcuttur. Burada OSPF ile 3. seviye merkezi (backbone) a kurulmu ve birimlerin merkezi aa balantlar gvenlik duvar zerinden erimeleri salanmtr.

izim 1. Genel ematik kamps izimi. Network Group ODT BDB Sayfa 6/7 17.01.2007

2. izimde ise her alt blge ayrca 3. seviye alabilir hale getirilmitir. Burada ynetim cihaz merkezde bulunmaktadr. Gvenlik duvarlar ayn zamanda IPS, IDS olarak da konulandrlabilir.

izim 2. Genel ematik kamps izimi.

Sonu
Hereye izin ver mant ile alan kamps alarnn gvenliinin salanmas gerekten zordur. Etkileimli metodlar ile gvenlik salama yntemleri trafii ok olan kampsler iin zor olmakta ve maddi andan klfet getirmektedir. Bu tr sistemlerde izle ve tepki ver yntemi daha yararl olmaktadr. Bu yntem ierisinde IDS, honeynet ve sistem ynetimi nemli bir yer tutmaktadr. Devaml takip altnda tutulan bir ada kabilecek sorunlara ve saldrlara kar gerekli mdahaleler yaplarak sistem gvenli ve salkl alr vaziyette tutulabilmektedir. Tabii byle bir sistemi kurmak ve iletmek iin iyi yetimi igcne ihtiya vardr.

Network Group ODT BDB

Sayfa 7/7 17.01.2007