SALDIRILAR VE TESPT SSTEMLER

HAMD OKUR 05260013 MER ALTU 05260039

Konu Balklar

eitli Saldr Teknikleri ve nleme Yntemleri Saldr Tespit Sistemleri Veri Madencilii

Bilgi Gvenlii Kavram

Biliim rnleri/cihazlar ile bu cihazlarda ilenmekte olan verilerin btnl ve srekliliini korumay amalayan alma alandr.

Tehdit Trleri
Tehdit Unsurlar

D Tehdit Unsurlar

Bilgisiz ve Bilinsiz Kullanm Kt Niyetli Hareketler

Hedefe Ynelmi Saldrlar Hedef Gzetmeyen Saldrlar

~ % 80 ~ % 20

 Tehdit Unsurlar

Bilgisiz ve Bilinsiz Kullanm

Temizlik Grevlisinin Sunucunun Fiini ekmesi Eitilmemi alann Veritabann Silmesi

Kt Niyetli Hareketler

ten karlan alann, Kuruma Ait Web Sitesini Deitirmesi Bir alannn, Ada Sniffer altrarak E-postalar Okumas Bir Yneticinin, Gelitirilen rnn Plann Rakip Kurumlara Satmas

D Tehdit Unsurlar

Hedefe Ynelmi Saldrlar

Bir Saldrgann Kurum Web Sitesini Deitirmesi Bir Saldrgann Kurum Muhasebe Kaytlarn Deitirmesi Birok Saldrgann Kurum Web Sunucusuna Hizmet Aksatma Saldrs Yapmas

Hedef Gzetmeyen Saldrlar

Virs Saldrlar (Melissa, CIH ernobil, Vote) Worm Saldrlar (Code Red, Nimda) Trojan Arka Kaplar (Netbus, Subseven, Black Orifice)

Saldr Kavram
Kurum ve ahslarn sahip olduklar tm deer ve bilgilere izinsiz erimek, zarar vermek, maddi/manevi kazan salamak iin biliim sistemleri kullanlarak yaplan her trl hareket dijital saldr olarak tanmlanabilir.

Saldrgan Trleri

Profesyonel Sulular Gen Kuak Saldrganlar

Kurum alanlar
Endstri ve Teknoloji Casuslar D lke ynetimleri

Saldr Yntemleri

Hizmet Aksatma Saldrlar Datk Hizmet Aksatma Saldrlar Ticari Bilgi ve Teknoloji Hrszlklar Web Sayfas erii Deitirme Saldrlar Kurum zerinden Farkl Bir Hedefe Saldrmak

Virs , Worm , Trojan Saldrlar

zinsiz Kaynak Kullanm

Saldrlarda Ska Kullanlan Teknikler

Sosyal Mhendislik A Haritalama Uygulama Zayflklar

Yerel A Saldrlar
Spoofing Hizmet Aksatma Saldrlar (Dos , DDos) Virs, Worm , Trojan Kullanm

Sosyal Mhendislik

Ama kurum yaps, kurumsal an yaps, alanlarn/yneticilerin kiisel bilgileri, ifreler ve saldrda kullanlabilecek her trl materyalin toplanmasdr. Kuruma alan olarak szmak, alanlarla arkada olmak, teknik servis yada destek alnan bir kurumdan aryormu gibi grnerek bilgi toplamak, bilinen en iyi rnekleridir.

Sosyal Mhendislik nleme Yntemleri

Telefonda kuruma ait bilgiler, kardaki kiinin doru kii olduuna emin olmadan verilmemelidir. alanlar kuruma dahil ederken zgemileri, alkanlklar ve eilimleri mutlak incelenmelidir. nemli sunuculara fiziksel eriimin olduu noktalarda biometrik dorulama sistemleri (retina testi, parmak izi testi vs.) ve akll kart gibi harici dorulama sistemleri kullanlmaldr.

A Haritalama

Aktif sistemlerin belirlenmesi, iletim sistemlerinin saptanmas, aktif servislerin belirlenmesi ve bu bileenlerin a zerindeki konumlarnn belirlenmesi gibi aamalardan oluur. Saldrgan, hedef an yneticisi ile ayn bilgi seviyesine ulaana kadar bu sre devam etmektedir.

A Haritalamada Ulalmak stenen Bilgiler

Hedef adaki tm bileenler. Hedef aa ait olan alan ad, IP aral ve internet eriim hattnn ait olduu kurumlar, kiiler, biti sreleri. Hedef adaki aktif bileenlerin iletim sistemleri, srmleri, yama seviyesi. Sunucu sistemler zerinde alan servisler, kullanlan uygulamalar ve yama seviyeleri. Hedef adaki tm gvenlik uygulamalar, eriim listeleri, srmleri, yama seviyeleri.

A Haritalamada Kullanlan Teknikler

Sosyal Mhendislik Ping Taramas (Ping Sweep) Port Tarama (Port Scanning) letim Sistemi Saptama (Os Fingerprinting) Yol Haritas Belirleme (Tracerouting) Gvenlik Duvar Kural Listesi Belirleme (Firewalking) Saldr Tespit Sistemi Saptama/nceleme

A Haritalama nleme Yntemleri

Gvenlik Duvar zerinde, an devamll iin gerekli olmayan, internetten aa ynelik her trl IP paketini engelleyecek kurallar belirlemek. Gvenlik Duvarn uygulama seviyesinde kullanmak veya adaki iletim sistemlerini ele vermeyecek ekilde yaplandrmak. Saldr Tespit Sistemlerini gerekli olmadka tepki vermeyecek ekilde yaplandrmak.

Yerel A Saldrlar

Yerel ada bulunan kullanclarn, sahip olduklar haklar kt niyetli kullanmas sonucu olumaktadr. Ama genelde dier alanlarn e-postalarn okumak, yneticilerin ifrelerini yakalamak, kuruma veya farkl bir alana ait bilgilerin incelenmesi olmaktadr. Paket yakalamak, oturum yakalamak, oturumlara mdahale etmek en sk kullanlan saldrlardr.

Yerel A Saldrlarnda Kullanlan Teknikler

Sniffer kullanarak paket yakalamak. Yakalanan paketlerin ait olduu oturumlar yakalamak ve mdahale etmek. SSH ve SSL oturumlarn yakalamak, gvenli sanlan oturumlardan veri almak.

Yerel A Saldrlar nleme Yntemleri

Hub kullanlan alarda Switch kullanmna gemek. Switchleri her porta bir MAC adresi gelecek yaplandrmak, kaliteli Switchler kullanarak MAC adresi tablosunun tamamasn salamak. A zerindeki tm istemcilerde statik ARP tablolar oluturmak ve deiiklikleri izlemek. SSH / SSL kullanlan oturumlarda en yeni srmleri ve en yeni ifreleme algoritmalarn kullanmak.

Spoofing

Basite kaynak yanltma olarak tanmlanabilir. Genelde hedeften ek haklar kazanmak, saldr suundan farkl kiilerin/kurumlarn sorumlu olmasn salamak, kendini gizlemek veya datk saldrlar dzenlemek iin kullanlmaktadr. eitli protokollerde, dorulama sistemlerinde ve uygulamaya zel ilemlerde uygulanabilmektedir.

Spoofing Teknikleri

MAC adreslerinin fiziki olarak deitirilmesi veya ethernet paketlerindeki deiiklikler ile MAC Spoofing yaplabilir. ARP protokolndeki paketlerde IP/MAC adresleri elemesini yanltarak ARP Spoofing yaplabilir. IP Paketlerindeki kaynak IP adresini deitirerek IP Spoofing yaplabilir. DNS sunucularn ele geirerek veya sorgulara sahte cevaplar vererek DNS spoofing yaplabilir. Web sunucudan alnm cookienin kopyalanmas suretiyle kimlik yanltmas yaplabilir. Parmak izi sistemlerinde, daha nce alnm parmak izi rnei kullanlarak yaplabilir.

Spoofing rnek Spoofing lemi

Yerine Geilecek Sistem Saldrlacak Sistem

1
Devre D Kal

2
Ben Oyum

Saldrgan

Spoofing nleme Yntemleri

Harici dorulama sistemleri kullanmak IP, DNS, ARP, MAC adresleriyle dorulama kullanan servisleri devre d brakmak Statik ARP tablolar kullanmak, Switchlerde her porta bir MAC adresi elemesini salamak ve Swtichleri tablo tamalarndan korumak Ters sorgular aktif hale getirmek (RDNS, RARP vb.) Dorulama bilgilerinin (ifre, dosyalar vb.) istemci sisteminde tutulmasn engellemek

Hizmet Aksatma Saldrlar

Protokol, iletim sistemi veya uygulamada bulunan zayflklarn sonucunda, sunucunun servis veremez hale getirilmesidir.

Hedef bir sunucu, servis, uygulama veya an devre d braklmas olabilir. Tek merkezli yada ok merkezli olarak yaplabilir.

Hizmet Aksatma Saldrlar nleme Yntemleri

Uygulama ve iletim sistemlerinin yaynlanm tm gncelleme/yamalar uygulanmal, yeni srmlerle hizmet verilmelidir Uygulama seviyesinde gvenlik duvarlar kullanlmal ve uygulamalara ynelik tek merkezli saldrlar takip edilmelidir Gvenlik Duvar zerinde, an devamll iin gerekli olmayan, internetten aa ynelik her trl IP paketini engelleyecek kurallar belirlenmelidir

Virs, Worm ,Trojan,Spam Tehlikeleri

Virsler e-posta, veri tama ortamlar (disket, cd, dvd vb.) ve web sayfalar ile yaylabilir (Melisa, CIH) Wormlar, Virslerin kullandklar yntemlere ek olarak, uygulama/iletim sistemi zayflklar ile saldrlar dzenleyebilir ve bu ekilde de yaylabilir (Code Red, Nimda) Trojanlar ancak ilgili uygulama altrldnda etkili olmaktadr (Netbus, Subseven) Spamler mail ile sisteme bulaan ve zarar veren yazlmlardr.

Virs, Worm ve Trojanlar nleme Yntemleri

Anti-Virs sistemleri, tm istemci ve sunucular koruyacak ekilde kullanlmaldr Worm saldrlarn engelleyebilmek iin Saldr Tespit Sistemleri (eer mmkn ise Gvenlik Duvar) zerinde nlemler alnmaldr nternet zerinden kurumsal aa gelen FTP, HTTP, SMTP, POP3, IMAP gibi protokollere ait paketler AntiVirs sistemleri tarafndan incelenmeli, mmkn ise Anti-Virs a geidi kullanlmaldr

Web Sayfas Deiimleri Yahoo 7/2/2000

Web Sayfas Deiimleri tk.gov.tr 4/11/2001

Grlebilecek Zararn Boyutu

Mteri Maduriyeti Kaynaklarn Tketimi Yavalamas veya Durdurulmas Kurumsal maj Kayb nc ahslara Kar Yaplacak Saldr Mesuliyeti

Ada Bulunan ve Potansiyel Risk eren Sistemler

Relaye zin Veren EPosta Sunucusu

Varsaylan Kurulumda Braklan Web Sunucusu

DMZ
Sekrete ait istemci Router

nternet
Gvenlik Duvar Dier Alar Kaynak Ynlendirme veya Spoofing Yaplabilen Router Blnm Paketleri Gzard Eden Gvenlik Duvar Sistem yneticisine ait istemci

Yerel A

Genel Gvenlik nlemleri

Bir Gvenlik Politikas Oluturulmal. Tm A Sorun Kaldrabilecek ekilde ve Politikada Belirlendii Gibi Yaplandrlmal. Dzenli Olarak Yedekleme Yaplmal ve Yedekler Kontrol Edilmeli.(r:Database Backup) Gerek Duyulan Gvenlik Uygulamalar Kullanlmal

Gvenlik Duvar Saldr Tespit Sistemi(IDS) Saldr Koruma Sistemi(IPS) Anti-Virs,AntiSpam,Anti Spyware Sistemi

A Dzenli Olarak Denetlenmeli ve zlenmeli(Sniffer vb) alanlar Politikalar ve Uygulamalar Konusunda Eitilmeli. Eriim listeleri(ACL),Kullanc kullanm kstlamalar.

Listelenen nlemler alndnda daha verimli ve gvenli bir a elde edilir. eitli saldr yntemlerini grdk, nemli olan saldrnn sisteme byk zararlar vermesine engel olmaktr,bunun iin alarm sistemlerine sahip olan saldr tespit sistemleri kullanlr. imdi gvenlik nlemlerinden saldr tespit sistemleri inceleyelim.

Saldr Tespit Sistemi

Internet veya yerel adan gelebilecek, adaki sistemlere zarar verebilecek, eitli paket ve verilerden oluan saldrlar fark etmek zere tasarlanm sistemlerdir. Temel amalar saldry tespit etmek ve bunu ilgili kiilere mail, sms vs. mesajlarla iletmektir. Saldr Tespit Sistemleri eitli yazlmlardr.

Saldr Tespit Sistemleri

Saldr tespiti ile ilgili yaklam ikiye ayrrz. Kalp Eletirme (Signature) Sistemleri: nceden tespit edilmi saldrlarn e zamanl olarak ileyici tarafndan karlatrlmasn esas alr.Sistemde saldrlar iin bir veritaban bulunur. Yeni saldrlar tespit edilemez. r:\ Snort vb.

Anormallik Tespiti:Sistemi nce renen, istatistiksel olarak normal alma yapsn karan sistemlerdir. Buna gre anormal davranlar yakalarlar. Saldrlar tanmak iin normal kullanm rntlerinden sapma yapanlarn bulunmas eklindedir. r:\ Cylant Secure, NFR(Network Flight Recorder) vb.

Saldr Tespit Sisteminin Faydalar

Adaki saldrlar bulmada ve engellemede en byk yardmclardr. Gvenlik duvarlar ve ynlendiriciler gibi pasif gvenlik cihazlar deildirler. Aktif olarak raporlama, engelleme ve renme gibi ilevleri yerine getirirler. Saldr davranlarndan gvenlik zaaflar bulunabilmektedir.Hangi noktalarn glendirilmesi gerektii bulunabilir.

Bu yaklamlarn ana problemleri ise unlardr: Ktye kullanm tespitinde bilinen saldr rntleri elle kodlanmak zorunda ve ilk kez yaplan saldrlarn tespit edilmesi mmkn olamamaktadr. Anormallik tespitinde ise olaylar arasndaki ilikilerin yakalanmas mmkn olamamaktadr.

Saldr tespiti iin bir baka yaklam veri madencilii yaklamdr. Veri madencilii, byk miktardaki veriden anlaml bilginin aa karlmasdr. Veri madencilii tabanl yaklamda renim ve tespit ajanlar bulunmaktadr. Bu yaklam akll ajan tabanl bir yaklamdr. renim ajanlar, tespit modelleri ile devaml eitilir. Tespit ajanlar ise saldrlarn tespit iin gncellenmi modeller kullanrlar.

Saldr tespitinde veri madencilii kullanmnn sebepleri ise unlardr: Veri merkezli bak asndan bakldnda saldr tespiti bir veri analiz iidir. stisna saptanmas ve hata/alarm ynetimi gibi baarl uygulamalar yerine getirir.

Saldr Tespit Sisteminin Problemleri

Saldr tespit sistemleri birok avantaja sahip olmakla birlikte baz problemleri de bulunmaktadr. Ktye kullanm tespiti tabanl yaklamda saldr rntleri elle kodlanmak zorundadr ve ilk kez yaplan saldrlar (novel attacks) tannamamaktadr.

Anormallik tespiti tabanl yaklamda ise olaylar arasnda iliki kurmak mmkn olamamaktadr. Saldr tespit sistemleri nemli lde yanl alarm retmektedirler (false alarm). zerinde veri madencilii yaplacak saldr verisi fazla olduunda sistem etkin olarak alamamaktadr.

Veri madencilii yaklaml saldr tespitinin false positive (aslnda saldr meydana gelmedii halde STS tarafndan sanki bir saldr varm gibi alarm verilmesi) oran daha yksektir ve bu tip tespit, eitim ile deerlendirme aamalarnda etkin olmama eilimindedir. Ayrca daha karmaktr.

Kural tabanl saldr tespit sistemleri uzman bilgilerine dayal olarak kodlandklar iin deitirilmeleri olduka pahal ve yavatr.

Sunucu gnlkleri kimi zaman gvenli olamadndan sunucu gnlklerine dayal saldr tespiti de yanl sonular verebilmektedir (sunucu gnlkleri tehdit altnda bulunabilir, birileri kantlar ortadan kaldrmak isteyebilir).

Veri Madencilii
Byk hacimli veri ierisinden; anlaml, gizli kalm ve kuruluun karar destek sistemi iin faydal olabilecek bilgilerin karld ve geri plannda istatistik, yapay zeka ve veritabanlarnn bulunduu veri analiz tekniine Veri Madencilii (Data Mining) ad verilir. Veri madencilii tekniinin web verisine uygulanmasna ise web madencilii ad verilmektedir. Web madencilii temel olarak alt alana ayrlr:
- Web erik Madencilii - Web Yap Madencilii - Web Kullanm Madencilii

Veri madenciliinin alt alanlarndan birisi olan web kullanm madencilii web sunucu gnlk verileri zerinde alr. Bu alma sonucunda kullanc eriim rntleri bulunur. Web kullanm madencilii sayesinde bulunan kullanc davranlar saldr tespitinde de etkin olarak kullanlabilmektedir.

Web Kullanm Madencilii ile Saldr Tespiti

Veri madencilii ile saldr tespiti yaplmasnn en nemli bir tane nedeni vardr o da daha nceden meydana gelmemi bir saldry tanmadr. Veri madencilii kulland kmeleme teknii ile ilk olarak meydana gelen bir durumu tanyabilmektedir. Kmelemede kullanclar genel zelliklerine dayal olarak gruplara ayrlmaktadrlar.

Saldrnn Tespit Yerlerine Gre Saldrlar

Saldr tespit sistemleri saldrnn tespit edildii noktaya gre iki grupta incelenebilir. 1-A tabanl 2-Host tabanl

1. A Tabanl (Network Based): Bir bilgisayar ann tamamn ya da belli bir ksmn izlerler. A zerinde herhangi bir noktadan altrlabilirler.

2. Konak Tabanl (Host Based): Belli bir bilgisayar izlerler. Bu tr sistemler, izlenecek olan bilgisayar zerinde alrlar. zlenen bilgisayar kullanan kullanclarn yapacaklar hatalardan dolay oluacak zararlar nlemeye yneliktirler.

STS`LERN KURULUMLARI

Saldr tespit teknolojisi her byk kuruluun bilgisayar a gvenlii yaplandrmasna gerekli bir eklentidir. Etkili bir STS kurulumu dikkatli bir plan, hazrlanma, prototip oluturma, test etme ve zelletirilmi deneyimler gerektirir.

A TABANLI STS`LERN KURULUMU

A tabanl STS`lerin kurulumu srasnda karlalacak olan bir soru sistem sensrlerinin nerede konumlandrlacadr. A tabanl STS`leri yerletirmede yerine gre farkl avantajlar olan birok seenek mevcuttur. Adaki her bir harici gvenlik duvarnn arkas iin avantajlar (Location 1 iin) D dnyadan kaynaklanan, an evre savunmasn delip geen saldrlar grr. A firewall poliesi ve performansyla problemleri aydnlatr. Web ve ftp sunucularn hedef alan saldrlar grr. Eer gelen saldrlar nlenmeyecek durumda olsalar dahi darya giden trafii dzenleyebilir.

Harici gvenlik duvarnn d iin avantajlar (Location 2 iin) A hedef alan nternet kaynakl saldrlarn dokman numaralar. A hedef alan nternet kaynakl saldrlarn dokman tipleri.

Byk a omurgas iin avantajlar (Location 3 iin) A trafiinin byk bir miktarn grntler, bylece spoofing saldrlarnn olabilirlikleri artar. Kuruluun gvenlik emberinde yetkili kullanclarn yetkisinin olmad/yetkisini aan aktivitelerini tespit eder. Kritik alt alar iin avantajlar (Location 4 iin) Kritik sistem ve kaynaklar hedef alan saldrlar tespit eder.

BLGSAYAR TABANLI STS`LERN KURULUMU

A tabanl STS`ler altrlnca, buna bilgisayar tabanl STS`lerin eklenmesi sistemler iin koruma seviyesini ykseltebilir. Bununla birlikte, bilgisayar tabanl

STS`lerin her bilgisayara kurulumu ve yaplandrlmas ok byk bir zaman kaybdr.

Bundan dolay kurulularn bilgisayar tabanl STS`leri ncelikle kritik derecede nemi bulunan sunuculara kurmalar tavsiye edilir. Bu hem maliyeti drecek hem de personelin nemli sunucularn alarmlar zerine odaklanmasn salayacaktr.

Bilgisayar tabanl STS`ler normal alma durumuna geldiklerinde, daha fazla gvenlik eklentileri ilave edilebilir. Bunlar STS`lere

merkezi ynetim ve rapor oluturma fonksiyonlar getirecektir. Bu zelliklerde

byk bilgisayar kmelerinin alarm ynetimlerinin karmakllarn azaltacaktr.

ALARM STRATEJLER
Son olarak, STS`ler yaplandrlrken hangi alarm zelliklerinin hangi nemli durumlar olduunda kullanlaca sorusudur. STS`lerin birou ayarlanabilir alarm zellikleriyle birlikte gelir. Bunlar byk eitlilikle alarm seenekleri, eposta, paging, a ynetim protokol kapanlar ve hatta saldr kaynaklarnn otomatikletirilmi engellenmesidir.

Kaynaka

www.internetdergisi.com Bilgisayar A Sistemleri Gvenlii ,r.Gr Erhan Kahya,Trakya niversitesi. Gvenlik riskleri ve saldr yntemleri,Fatih zavc. eitli Kaynaklar

 Teekkrler

Sorular