AG GUVENLIGI

Kaynak: Fatih zavc, Yasemin Balcan

Sunu erii
Bilgi Gvenlii Kavram ve Kapsam Risk ve Tehditler Saldr ve Saldrgan Kavramlar / Geliimleri Saldrgan Amalar ve Adaki Hedefler Saldr Yntemleri ve nlemler Grlebilecek Zararn Boyutu Genel Gvenlik nlemleri

Bilgi Gvenlii Kavram

Biliim rnleri/cihazlar ile bu cihazlarda ilenmekte olan verilerin btnl ve srekliliini korumay amalayan alma alandr.

Bilgi Gvenliinin Amac

Veri Btnlnn Korunmas Eriim Denetimi Mahremiyet ve Gizliliin Korunmas

Sistem Devamllnn Salanmas

Cert/CC Yllara Gre Rapor Edilen Olay Says

60000 50000 40000 30000
21756 52658

20000
9859

10000
6 132 252 406

2340 2412 2573 2134 3734 773 1334

0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001

Tehdit Trleri
Dahili Tehdit Unsurlar
Bilgisiz ve Bilinsiz Kullanm
Kt Niyetli Hareketler

Harici Tehdit Unsurlar

Hedefe Ynelmi Saldrlar
Hedef Gzetmeyen Saldrlar

~ % 80 ~ % 20

Dahili Tehdit Unsurlar

Bilgisiz ve Bilinsiz Kullanm
Temizlik Grevlisinin Sunucunun Fiini ekmesi Eitilmemi alann Veritabann Silmesi

Kt Niyetli Hareketler
ten karlan alann, Kuruma Ait Web Sitesini Deitirmesi Bir alannn, Ada Sniffer altrarak E-postalar Okumas Bir Yneticinin, Gelitirilen rnn Plann Rakip Kurumlara Satmas

Harici Tehdit Unsurlar

Hedefe Ynelmi Saldrlar
Bir Saldrgann Kurum Web Sitesini Deitirmesi Bir Saldrgann Kurum Muhasebe Kaytlarn Deitirmesi Birok Saldrgann Kurum Web Sunucusuna Hizmet Aksatma Saldrs Yapmas

Hedef Gzetmeyen Saldrlar

Virs Saldrlar (Melissa, CIH ernobil, Vote) Worm Saldrlar (Code Red, Nimda) Trojan Arka Kaplar (Netbus, Subseven, Black Orifice)

Saldr Kavram
Kurum ve ahslarn sahip olduklar tm deer ve bilgilere izinsiz erimek, zarar vermek, maddi/manevi kazan salamak iin biliim sistemleri kullanlarak yaplan her trl hareket dijital saldr olarak tanmlanabilir.

Saldrgan Trleri
Profesyonel Sulular Gen Kuak Saldrganlar

Kurum alanlar
Endstri ve Teknoloji Casuslar D lke ynetimleri

Saldr Kalitesi ve Saldrgan Yeteneklerinin Geliimi (CERT/CC)

Saldrgan Kaliteleri ve Tahmini Saylar

ok Tehlikeli Yrtc

Yzlerce Binlerce Onbinlerce Milyonlarca

Carnegie Mellon University (1998-1999-2000)

Orta Seviye

Balang Dzeyinde

Saldrgan Motivasyonu
Maddi Menfaatler Rekabet Avantaj
Politik Ekonomik/Ticari

Ek Kaynaklara Erime stei Kiisel fke veya ntikam Merak veya renme stei Dikkatsiz Davranlar

Ada Bulunan ve Potansiyel Risk eren Sistemler

Relaye zin Veren EPosta Sunucusu

Varsaylan Kurulumda Braklan Web Sunucusu

DMZ
Sekrete ait istemci Router

nternet
Gvenlik Duvar Dier Alar Kaynak Ynlendirme veya Spoofing Yaplabilen Router Blnm Paketleri Gzard Eden Gvenlik Duvar Sistem yneticisine ait istemci

Yerel A

Saldr Yntemleri
Hizmet Aksatma Saldrlar Datk Hizmet Aksatma Saldrlar Ticari Bilgi ve Teknoloji Hrszlklar

Web Sayfas erii Deitirme Saldrlar

Kurum zerinden Farkl Bir Hedefe Saldrmak

Virs , Worm , Trojan Saldrlar

zinsiz Kaynak Kullanm

Saldrlarda Ska Kullanlan Teknikler

Sosyal Mhendislik A Haritalama Uygulama Zayflklar

Yerel A Saldrlar
Spoofing Hizmet Aksatma Saldrlar (Dos , DDos) Virs, Worm , Trojan Kullanm

Sosyal Mhendislik
nsan ilikilerini veya insalarn dikkatsizliklerini kullanarak kurum hakknda bilgi toplamak olarak tanmlanabilir Ama kurum yaps, kurumsal an yaps, alanlarn/yneticilerin kiisel bilgileri, ifreler ve saldrda kullanlabilecek her trl materyalin toplanmasdr Kuruma alan olarak szmak, alanlarla arkada olmak, teknik servis yada destek alnan bir kurumdan aryormu gibi grnerek bilgi toplamak, bilinen en iyi rnekleridir

Sosyal Mhendislik nleme Yntemleri

Telefonda kuruma ait bilgiler, kardaki kiinin doru kii olduuna emin olmadan verilmemelidir alanlar kuruma dahil ederken zgemileri, alkanlklar ve eilimleri mutlak incelenmelidir Kurum pleri (bro malzemeleri, not katlar, bordolar vs.) tamamen kullanlmaz hale getirilmeli daha sonra atlmaldr Sistem yneticilerinin, kurumsal bilgileri posta listelerinde, arkada ortamlarnda ve benzeri yerlerde anmas nlenmelidir nemli sunuculara fiziksel eriimin olduu noktalarda biometrik dorulama sistemleri (retina testi, parmak izi testi vs.) ve akll kart gibi harici dorulama sistemleri kullanlmaldr

A Haritalama
Hedef ada bulunan bileenleri ve bu bileenlere eriim haklarn saptamak iin yaplmaktadr Aktif sistemlerin belirlenmesi, iletim sistemlerinin saptanmas, aktif servislerin belirlenmesi ve bu bileenlerin a zerindeki konumlarnn belirlenmesi gibi aamalardan oluur Saldrgan, hedef an yneticisi ile ayn bilgi seviyesine ulaana kadar bu sre devam etmektedir Otomatize edilmi yazlmlar ile yaplabilmektedir

A Haritalamada Ulalmak stenen Bilgiler

Hedef adaki tm bileenler Hedef aa ait olan alan ad, IP aral ve internet eriim hattnn ait olduu kurumlar, kiiler, biti sreleri Hedef adaki aktif bileenlerin iletim sistemleri, srmleri, yama seviyesi Sunucu sistemler zerinde alan servisler, kullanlan uygulamalar ve yama seviyeleri Hedef adaki tm bileenlere ve servislere eriim haklarnn belirlenmesi Hedef adaki tm gvenlik uygulamalar, eriim listeleri, srmleri, yama seviyeleri Hedef adaki aktif bileenlerin adaki yerleimi

A Haritalamada Kullanlan Teknikler

Sosyal Mhendislik Ping Taramas (Ping Sweep) Port Tarama (Port Scanning) letim Sistemi Saptama (Os Fingerprinting) Servis Al Mesajlarn Yakalama (Banner Grabing) Yol Haritas Belirleme (Tracerouting) Gvenlik Duvar Kural Listesi Belirleme (Firewalking) Saldr Tespit Sistemi Saptama/nceleme

A Haritalama nleme Yntemleri

Gvenlik Duvar zerinde, an devamll iin gerekli olmayan, internetten aa ynelik her trl IP paketini engelleyecek kurallar belirlemek Gvenlik Duvarn uygulama seviyesinde kullanmak veya adaki iletim sistemlerini ele vermeyecek ekilde yaplandrmak Gvenlik Duvar zerinde, adaki bileenlerden, internetteki sistemlere ICMP hata mesajlar gnderilmesini engellemek Sunucu ve servis sunan uygulamalardaki tm al/hata mesajlarn deitirmek, yok etmek Saldr Tespit Sistemlerini gerekli olmadka tepki vermeyecek ekilde yaplandrmak

Uygulama Zayflklar
Servis sunan uygulamalardaki yaplandrma yada programlama hatas sebebiyle oluur ve sistemde komut altrmaya yada servisin durdurulmasna sebebiyet verir Varsaylan yaplandrmay kullanmak, zayf ifreler belirlemek ve eriim haklar belirlememek en ok karlalan yanl yaplandrma rnekleridir Klasr dna geebilmek, bellek tarmak, yazlmda eriim snrlamas bulundurmamak ve normal d isteklere kar nlem almamak ise en sk karlalan programlama hatalardr

Uygulama Zayflklar nleme Yntemleri

Uygulamalarn yeni srmlerini kullanmak, yaynlanan tm yamalar uygulamak Varsaylan yaplandrmay deitirmek ve kuruma/servise zel bir yaplandrma benimsemek Kolay tahmin edilemeyecek ifreler semek ve uygulamaya zel eriim haklarnn belirlenmesini salamak Uygun ekilde yaplandrmak artyla, uygulama seviyesinde gvenlik duvarlar, uygulama geitleri ve saldr tespit sistemleri kullanmak

Yerel A Saldrlar
Yerel ada bulunan kullanclarn, sahip olduklar haklar kt niyetli kullanmas sonucu olumaktadr Ama genelde dier alanlarn e-postalarn okumak, yneticilerin ifrelerini yakalamak, kuruma veya farkl bir alana ait bilgilerin incelenmesi olmaktadr Paket yakalamak, oturum yakalamak, oturumlara mdahale etmek en sk kullanlan saldrlardr

Yerel A Saldrlarnda Kullanlan Teknikler

Sniffer kullanarak paket yakalamak Switchli alarda ARP Spoofing yaparak paket yakalamak Yakalanan paketlerin ait olduu oturumlar yakalamak ve mdahale etmek SSH ve SSL oturumlarn yakalamak, gvenli sanlan oturumlardan veri almak

Yerel A Saldrlar nleme Yntemleri

Hub kullanlan alarda Switch kullanmna gemek Switchleri her porta bir MAC adresi gelecek yaplandrmak, kaliteli Switchler kullanarak MAC adresi tablosunun tamamasn salamak A zerindeki tm istemcilerde statik ARP tablolar oluturmak ve deiiklikleri izlemek SSH / SSL kullanlan oturumlarda en yeni srmleri ve en yeni ifreleme algoritmalarn kullanmak Gerekli grlen durumlarda harici dorulama sistemleri kullanmak

Spoofing
Basite kaynak yanltma olarak tanmlanabilir Genelde hedeften ek haklar kazanmak, saldr suundan farkl kiilerin/kurumlarn sorumlu olmasn salamak, kendini gizlemek veya datk saldrlar dzenlemek iin kullanlmaktadr eitli protokollerde, dorulama sistemlerinde ve uygulamaya zel ilemlerde uygulanabilmektedir

Spoofing Teknikleri
MAC adreslerinin fiziki olarak deitirilmesi veya ethernet paketlerindeki deiiklikler ile MAC Spoofing yaplabilir ARP protokolndeki paketlerde IP/MAC adresleri elemesini yanltarak ARP Spoofing yaplabilir IP Paketlerindeki kaynak IP adresini deitirerek IP Spoofing yaplabilir DNS sunucularn ele geirerek veya sorgulara sahte cevaplar vererek DNS spoofing yaplabilir Web sunucudan alnm cookienin kopyalanmas suretiyle kimlik yanltmas yaplabilir Parmak izi sistemlerinde, daha nce alnm parmak izi rnei kullanlarak yaplabilir

Spoofing rnek Spoofing lemi

Yerine Geilecek Sistem Saldrlacak Sistem

1
Devre D Kal

2
Ben Oyum

Saldrgan

Spoofing nleme Yntemleri

Harici dorulama sistemleri kullanmak IP, DNS, ARP, MAC adresleriyle dorulama kullanan servisleri devre d brakmak Statik ARP tablolar kullanmak, Switchlerde her porta bir MAC adresi elemesini salamak ve Swtichleri tablo tamalarndan korumak Ters sorgular aktif hale getirmek (RDNS, RARP vb.) Dorulama bilgilerinin (ifre, dosyalar vb.) istemci sisteminde tutulmasn engellemek

Hizmet Aksatma Saldrlar

Protokol, iletim sistemi veya uygulamada bulunan zayflklarn sonucunda, sunucunun servis veremez hale getirilmesidir

Hedef bir sunucu, servis, uygulama veya an devre d braklmas olabilir Tek merkezli yada ok merkezli olarak yaplabilir

Datk Hizmet Aksatma Saldrlar

Saldrgan

Saldrlacak Sistem

Daha nce Ele Geirilmi Sistemler

Hizmet Aksatma Saldrlar nleme Yntemleri

Uygulama ve iletim sistemlerinin yaynlanm tm gncelleme/yamalar uygulanmal, yeni srmlerle hizmet verilmelidir Uygulama seviyesinde gvenlik duvarlar kullanlmal ve uygulamalara ynelik tek merkezli saldrlar takip edilmelidir Gvenlik Duvar zerinde, an devamll iin gerekli olmayan, internetten aa ynelik her trl IP paketini engelleyecek kurallar belirlenmelidir Datk saldrlardan korunmak iin, internet servis salaycsna iki ynlendirici ile balanlmal ve biri devre d kaldnda dieri devreye sokulmaldr (Ksmi olarak zm salamaktadr)

Virs, Worm ve Trojan Tehlikeleri

Virs, Worm ve Trojanlar hedef gzetmeksizin bulaan ve genelde sistemin ileyiini durdurmaya alan kk yazlmlardr Virsler e-posta, veri tama ortamlar (disket, cd, dvd vb.) ve web sayfalar ile yaylabilir (Melisa, CIH) Wormlar, Virslerin kullandklar yntemlere ek olarak, uygulama/iletim sistemi zayflklar ile saldrlar dzenleyebilir ve bu ekilde de yaylabilir (Code Red, Nimda) Trojanlar ancak ilgili uygulama altrldnda etkili olmaktadr (Netbus, Subseven)

Virs, Worm ve Trojanlar nleme Yntemleri

Anti-Virs sistemleri, tm istemci ve sunucular koruyacak ekilde kullanlmaldr Worm saldrlarn engelleyebilmek iin Saldr Tespit Sistemleri (eer mmkn ise Gvenlik Duvar) zerinde nlemler alnmaldr nternet zerinden kurumsal aa gelen FTP, HTTP, SMTP, POP3, IMAP gibi protokollere ait paketler Anti-Virs sistemleri tarafndan incelenmeli, mmkn ise Anti-Virs a geidi kullanlmaldr

Web Sayfas Deiimleri NY Times 15/2/2001

Web Sayfas Deiimleri Yahoo 7/2/2000

Saldrya Urayabilecek Deerler

Kurum smi, Gvenilirlii ve Markalar Kuruma Ait zel / Mahrem / Gizli Bilgiler in Devamlln Salayan Bilgi ve Sreler nc ahslar Tarafndan Emanet Edilen Bilgiler Kuruma Ait Adli, Ticari Teknolojik Bilgiler

Grlebilecek Zararn Boyutu

Mteri Maduriyeti Kaynaklarn Tketimi Yavalamas veya Durdurulmas Kurumsal maj Kayb nc ahslara Kar Yaplacak Saldr Mesuliyeti

Gvenlik htiyacnn Snrlar

Saldrya Urayabilecek Deerlerin, Kurum in Arzettii nem Seviyesi Gvenlik htiyacnn Snrlarn Belirlemektedir.

Genel Gvenlik nlemleri

Bir Gvenlik Politikas Oluturulmal Tm A Sorun Kaldrabilecek ekilde ve Politikada Belirlendii Gibi Yaplandrlmal Dzenli Olarak Yedekleme Yaplmal ve Yedekler Kontrol Edilmeli Gerek Duyulan Gvenlik Uygulamalar Kullanlmal
Gvenlik Duvar Saldr Tespit Sistemi Anti-Virs Sistemi

A Dzenli Olarak Denetlenmeli ve zlenmeli alanlar Politikalar ve Uygulamalar Konusunda Eitilmeli

A gvenlik duvar
A gvenlik duvar (network firewall), kurumun a ile d alar arasnda bir geit olarak grev yapan ve internet balantsnda kurumun karlaabilecei sorunlar zmek zere tasarlanan zmlerdir.

Internet balantsnda bir kurumun karlaabilecei sorunlar unlardr:

D dnyadan kurum ana (ieriye) yaplacak saldrlar. Internet'te dolarken kullanc bilgisayarna, bilgisayardan da sisteme virs bulamas. Mesh, edonkey, overnet gibi programlarla dosya paylamnn yaplmas ve band geniliinin (internet veriyolu kapasitesinin) maksad dnda kullanlmas. Internet'te zellikle vakit kaybettirici baz sitelere ulamn kurum ierisinde,kurum zamannda (mesai saatlerinde) yaplmas. eriden yetkisiz kiilerin darya bilgi gndermesi. Yetkisiz kullanclarn Internet'te gezinmesi.

Bir gvenlik duvar zmnde verilebilecek servisler

NAT (Network Address Translation): ada internete kamayacak zel ip emalar (10.0.0.0/8, 192.168.0.0/16 vb) tanmlanr ve d balantlarda NAT sunucusunun reel ipsi kullanlarak i a konusunda saldrgann bilgi salamas engellenir. Gvenlik iin artlar olmakla beraber, NAT ounlukla adres ynetimi iin kullanlmaktadr.

Paket Filtreleme: En basit gvenlik duvardr. Router, modem gibi cihazlarla birlikte gelir. Eriim listelerinin (access list) kullandklar yntemdir. Bu yntemle gvenlik duvarndan geen her nc seviye (IP, IPX ..vb) paketine baklr ve ancak belli artlara uyarsa bu paketin geiine izin verilir. Paket filtrelemede birim zamanda tek bir pakete bakld ve nceki paketler hakknda bir bilgiye sahip olunmad iin bu yntemin eitli zayflklar vardr.

Dinamik (Stateful) Filtreleme: Paket filtrelemeden fark, paketin srf protokolne bakarak karar verilmesi yerine, gvenlik duvarnn bir balanty hangi tarafn balattn takip etmesi ve ift ynl paket geilerine buna gre karar vermesidir. Her balant iin durum bilgisi tablolarda tutulduu iin paket filtrelemedeki zayflklar bulunmamaktadr. Dezavantaj ise; dinamik filtrelemenin ok daha fazla ilemci gcne ve bellee ihtiya duymasdr.

DMZ (Silahtan Arndrlm Blge): D dnyaya hizmet verecek sunucular buraya yerletirilmektedir. zellikle i ada NAT uygulamas yaplyorsa d dnyaya hizmet veren cihazlar reel iplerle burada konumlandrlacaklardr.
Proxy: Proxy bir balant uygulamasnda araya giren ve balanty istemci (client) iin kendisi gerekletiren bir servistir. Proxynin kullanm, uygulama temelli (applicationlevel) gvenlik duvar olarak da adlandrlabilir. Bu tr bir uygulama ayn zamanda su amalar iin kullanlabilir: o Kimlerin bu servisleri kullanacagn belirlemek o Performans amal olarak zellikle ayn isteklerin bir defaya indirgeyerek balant saysn azaltmak ve band genisliginin daha etkin kullanlmasn salamak.

Anti-Virus zmleri: HTTP, FTP ve SMTP trafiini zerinden geirerek virs taramasn yapmay ve kullancya gelmeden nce virslerden temizlemeyi hedefleyen sistemlerdir. erik Filtreleme (content filtering): eitli yazlmlarla ulalmak istenen web sayfalarn, gelen e-postalar filtrelemeye yarayan sistemlerdir. VPN: Ortak kullanma ak veri alar (public data network) zerinden kurum ana balantlarn daha gvenilir olmas iin VPN kullanlmaktadr. letilen bilgilerin ifrelenerek gnderilmesi esas olarak alnr. Public/Private anahtar kullanm ile salanr.

Saldr Tespiti (ID): pheli olaylar ve saldrlar tespit etmeyi hedefleyen bir servistir. Saldr tespit sistemleri(IDS), pheli durumlarda e-posta veya ar cihaz gibi yntemlerle sistem yneticisini haberdar edebilmektedir. Loglama ve Raporlama: Kaytlama (log) ve etkinlik raporlar birok gvenlik duvar tarafndan salanmaktadr. Bu kaytlar ok detayl ve ok fazla veri ierebilmektedir. Baz gvenlik duvarlar bu loglarn incelenmesini kolaylatrmak iin eitli analiz ve raporlama servisleri sunmaktadr. Kaytlar sistemlerin zayflklarnn ve saldrlarn belirlenmesinde ise yaramaktadr.

FortiGate-50A Kk letme kullanm iin Network Gvenlik Sistemi

Firewall Gateway AntiVirs IDP (Saldr Tesbit ve Durdurma) VPN Gateway erik Filtreleme AntiSpam 1 LAN, 1 WAN Port Snrsz Kullanc Lisans 50 Mbps Firewall Throughput 25,000 Session (Oturum) Maksimum Tnel Says (VPN) 20

FortiGate-60 Kk/Orta byklkte letme / Kurum kullanm iin Network Gvenlik Sistemi

Firewall Gateway AntiVirs IDP (Saldr Tesbit ve Durdurma) VPN Gateway erik Filtreleme AntiSpam 1 LAN (4 port switch), 2 WAN, 1 DMZ Port Snrsz Kullanc Lisans 70 Mbps Firewall Throughput 50,000 Session (Oturum) Maksimum Tnel Says (VPN) 40 Yedeklilik ve Yk Paylam

FortiGate-200A Orta byklkte letme / Kurum kullanm iin Network Gvenlik Sistemi

Firewall Gateway AntiVirs IDP (Saldr Tesbit ve Durdurma) VPN Gateway erik Filtreleme AntiSpam 1 LAN (4 port switch), 2 WAN, 2 DMZ Port Snrsz Kullanc Lisans 150 Mbps Firewall Throughput 400,000 Session (oturum) Maksimum Tnel Says (VPN) 200 Yedeklilik ve Yk Paylam

FortiGate-800 Byk letme / Kurum / Telekom Operatr - ISP / niversiteler iin Network Gvenlik Sistemi

Firewall Gateway AntiVirs IDP (Saldr Tesbit ve Durdurma) VPN Gateway erik Filtreleme AntiSpam 4 adet 10/100BaseT, 4 adet 1000BaseT Port (LAN, WAN, DMZ olarak konfigre edilebilir portlar) Snrsz Kullanc Lisans 1 Gbps Firewall Throughput 400,000 Session (oturum) Maksimum Tnel Says (VPN) 3000 40 GB HDD Yedeklilik ve Yk Paylam

FortiGate-5050 Byk letme / Kurum / Telekom Operatr - ISP / Byk niversiteler iin Network Gvenlik Sistemi

Modler Firewall Gateway AntiVirs IDP (Saldr Tesbit ve Durdurma) VPN Gateway erik Filtreleme AntiSpam 20 adet SFP Gigabit + 20 adet 1000BaseT Gigabit Port (LAN, WAN, DMZ olarak konfigre edilebilir portlar) Maks. 20 Gbps Firewall Throughput Maks. 5,000,000 Session (oturum) Maksimum Tnel Says (VPN) 25,000 Snrsz Kullanc Lisans Yedeklilik ve Yk Paylam Yedekli G Kayna

Kaynaklar
CERT http://www.cert.org SANS http://www.sans.org Security Focus http://www.securityfocus.com Siyah apka http://www.siyahsapka.com Dikey8 http://www.dikey8.com Olympos http://www.olympos.org Gvenlik Haber http://www.guvenlikhaber.com Alldas.org Defacement Archive http://defaced.alldas.org/?tld=tr Attrition.org Defacement Archive
http://www.attrition.org/mirror/attrition/tr.html Security Space http://www.securityspace.com