Professional Documents
Culture Documents
Konu Balklar
eitli Saldr Teknikleri ve nleme Yntemleri Saldr Tespit Sistemleri Veri Madencilii
Tehdit Trleri
Tehdit Unsurlar
D Tehdit Unsurlar
~ % 80 ~ % 20
Tehdit Unsurlar
Kt Niyetli Hareketler
ten karlan alann, Kuruma Ait Web Sitesini Deitirmesi Bir alannn, Ada Sniffer altrarak E-postalar Okumas Bir Yneticinin, Gelitirilen rnn Plann Rakip Kurumlara Satmas
D Tehdit Unsurlar
Bir Saldrgann Kurum Web Sitesini Deitirmesi Bir Saldrgann Kurum Muhasebe Kaytlarn Deitirmesi Birok Saldrgann Kurum Web Sunucusuna Hizmet Aksatma Saldrs Yapmas
Virs Saldrlar (Melissa, CIH ernobil, Vote) Worm Saldrlar (Code Red, Nimda) Trojan Arka Kaplar (Netbus, Subseven, Black Orifice)
Saldr Kavram
Kurum ve ahslarn sahip olduklar tm deer ve bilgilere izinsiz erimek, zarar vermek, maddi/manevi kazan salamak iin biliim sistemleri kullanlarak yaplan her trl hareket dijital saldr olarak tanmlanabilir.
Saldrgan Trleri
Kurum alanlar
Endstri ve Teknoloji Casuslar D lke ynetimleri
Saldr Yntemleri
Hizmet Aksatma Saldrlar Datk Hizmet Aksatma Saldrlar Ticari Bilgi ve Teknoloji Hrszlklar Web Sayfas erii Deitirme Saldrlar Kurum zerinden Farkl Bir Hedefe Saldrmak
Yerel A Saldrlar
Spoofing Hizmet Aksatma Saldrlar (Dos , DDos) Virs, Worm , Trojan Kullanm
Sosyal Mhendislik
Ama kurum yaps, kurumsal an yaps, alanlarn/yneticilerin kiisel bilgileri, ifreler ve saldrda kullanlabilecek her trl materyalin toplanmasdr. Kuruma alan olarak szmak, alanlarla arkada olmak, teknik servis yada destek alnan bir kurumdan aryormu gibi grnerek bilgi toplamak, bilinen en iyi rnekleridir.
Telefonda kuruma ait bilgiler, kardaki kiinin doru kii olduuna emin olmadan verilmemelidir. alanlar kuruma dahil ederken zgemileri, alkanlklar ve eilimleri mutlak incelenmelidir. nemli sunuculara fiziksel eriimin olduu noktalarda biometrik dorulama sistemleri (retina testi, parmak izi testi vs.) ve akll kart gibi harici dorulama sistemleri kullanlmaldr.
A Haritalama
Aktif sistemlerin belirlenmesi, iletim sistemlerinin saptanmas, aktif servislerin belirlenmesi ve bu bileenlerin a zerindeki konumlarnn belirlenmesi gibi aamalardan oluur. Saldrgan, hedef an yneticisi ile ayn bilgi seviyesine ulaana kadar bu sre devam etmektedir.
Hedef adaki tm bileenler. Hedef aa ait olan alan ad, IP aral ve internet eriim hattnn ait olduu kurumlar, kiiler, biti sreleri. Hedef adaki aktif bileenlerin iletim sistemleri, srmleri, yama seviyesi. Sunucu sistemler zerinde alan servisler, kullanlan uygulamalar ve yama seviyeleri. Hedef adaki tm gvenlik uygulamalar, eriim listeleri, srmleri, yama seviyeleri.
Sosyal Mhendislik Ping Taramas (Ping Sweep) Port Tarama (Port Scanning) letim Sistemi Saptama (Os Fingerprinting) Yol Haritas Belirleme (Tracerouting) Gvenlik Duvar Kural Listesi Belirleme (Firewalking) Saldr Tespit Sistemi Saptama/nceleme
Gvenlik Duvar zerinde, an devamll iin gerekli olmayan, internetten aa ynelik her trl IP paketini engelleyecek kurallar belirlemek. Gvenlik Duvarn uygulama seviyesinde kullanmak veya adaki iletim sistemlerini ele vermeyecek ekilde yaplandrmak. Saldr Tespit Sistemlerini gerekli olmadka tepki vermeyecek ekilde yaplandrmak.
Yerel A Saldrlar
Yerel ada bulunan kullanclarn, sahip olduklar haklar kt niyetli kullanmas sonucu olumaktadr. Ama genelde dier alanlarn e-postalarn okumak, yneticilerin ifrelerini yakalamak, kuruma veya farkl bir alana ait bilgilerin incelenmesi olmaktadr. Paket yakalamak, oturum yakalamak, oturumlara mdahale etmek en sk kullanlan saldrlardr.
Sniffer kullanarak paket yakalamak. Yakalanan paketlerin ait olduu oturumlar yakalamak ve mdahale etmek. SSH ve SSL oturumlarn yakalamak, gvenli sanlan oturumlardan veri almak.
Hub kullanlan alarda Switch kullanmna gemek. Switchleri her porta bir MAC adresi gelecek yaplandrmak, kaliteli Switchler kullanarak MAC adresi tablosunun tamamasn salamak. A zerindeki tm istemcilerde statik ARP tablolar oluturmak ve deiiklikleri izlemek. SSH / SSL kullanlan oturumlarda en yeni srmleri ve en yeni ifreleme algoritmalarn kullanmak.
Spoofing
Basite kaynak yanltma olarak tanmlanabilir. Genelde hedeften ek haklar kazanmak, saldr suundan farkl kiilerin/kurumlarn sorumlu olmasn salamak, kendini gizlemek veya datk saldrlar dzenlemek iin kullanlmaktadr. eitli protokollerde, dorulama sistemlerinde ve uygulamaya zel ilemlerde uygulanabilmektedir.
Spoofing Teknikleri
MAC adreslerinin fiziki olarak deitirilmesi veya ethernet paketlerindeki deiiklikler ile MAC Spoofing yaplabilir. ARP protokolndeki paketlerde IP/MAC adresleri elemesini yanltarak ARP Spoofing yaplabilir. IP Paketlerindeki kaynak IP adresini deitirerek IP Spoofing yaplabilir. DNS sunucularn ele geirerek veya sorgulara sahte cevaplar vererek DNS spoofing yaplabilir. Web sunucudan alnm cookienin kopyalanmas suretiyle kimlik yanltmas yaplabilir. Parmak izi sistemlerinde, daha nce alnm parmak izi rnei kullanlarak yaplabilir.
1
Devre D Kal
2
Ben Oyum
Saldrgan
Harici dorulama sistemleri kullanmak IP, DNS, ARP, MAC adresleriyle dorulama kullanan servisleri devre d brakmak Statik ARP tablolar kullanmak, Switchlerde her porta bir MAC adresi elemesini salamak ve Swtichleri tablo tamalarndan korumak Ters sorgular aktif hale getirmek (RDNS, RARP vb.) Dorulama bilgilerinin (ifre, dosyalar vb.) istemci sisteminde tutulmasn engellemek
Protokol, iletim sistemi veya uygulamada bulunan zayflklarn sonucunda, sunucunun servis veremez hale getirilmesidir.
Hedef bir sunucu, servis, uygulama veya an devre d braklmas olabilir. Tek merkezli yada ok merkezli olarak yaplabilir.
Uygulama ve iletim sistemlerinin yaynlanm tm gncelleme/yamalar uygulanmal, yeni srmlerle hizmet verilmelidir Uygulama seviyesinde gvenlik duvarlar kullanlmal ve uygulamalara ynelik tek merkezli saldrlar takip edilmelidir Gvenlik Duvar zerinde, an devamll iin gerekli olmayan, internetten aa ynelik her trl IP paketini engelleyecek kurallar belirlenmelidir
Virsler e-posta, veri tama ortamlar (disket, cd, dvd vb.) ve web sayfalar ile yaylabilir (Melisa, CIH) Wormlar, Virslerin kullandklar yntemlere ek olarak, uygulama/iletim sistemi zayflklar ile saldrlar dzenleyebilir ve bu ekilde de yaylabilir (Code Red, Nimda) Trojanlar ancak ilgili uygulama altrldnda etkili olmaktadr (Netbus, Subseven) Spamler mail ile sisteme bulaan ve zarar veren yazlmlardr.
Anti-Virs sistemleri, tm istemci ve sunucular koruyacak ekilde kullanlmaldr Worm saldrlarn engelleyebilmek iin Saldr Tespit Sistemleri (eer mmkn ise Gvenlik Duvar) zerinde nlemler alnmaldr nternet zerinden kurumsal aa gelen FTP, HTTP, SMTP, POP3, IMAP gibi protokollere ait paketler AntiVirs sistemleri tarafndan incelenmeli, mmkn ise Anti-Virs a geidi kullanlmaldr
Mteri Maduriyeti Kaynaklarn Tketimi Yavalamas veya Durdurulmas Kurumsal maj Kayb nc ahslara Kar Yaplacak Saldr Mesuliyeti
DMZ
Sekrete ait istemci Router
nternet
Gvenlik Duvar Dier Alar Kaynak Ynlendirme veya Spoofing Yaplabilen Router Blnm Paketleri Gzard Eden Gvenlik Duvar Sistem yneticisine ait istemci
Yerel A
Bir Gvenlik Politikas Oluturulmal. Tm A Sorun Kaldrabilecek ekilde ve Politikada Belirlendii Gibi Yaplandrlmal. Dzenli Olarak Yedekleme Yaplmal ve Yedekler Kontrol Edilmeli.(r:Database Backup) Gerek Duyulan Gvenlik Uygulamalar Kullanlmal
Gvenlik Duvar Saldr Tespit Sistemi(IDS) Saldr Koruma Sistemi(IPS) Anti-Virs,AntiSpam,Anti Spyware Sistemi
A Dzenli Olarak Denetlenmeli ve zlenmeli(Sniffer vb) alanlar Politikalar ve Uygulamalar Konusunda Eitilmeli. Eriim listeleri(ACL),Kullanc kullanm kstlamalar.
Listelenen nlemler alndnda daha verimli ve gvenli bir a elde edilir. eitli saldr yntemlerini grdk, nemli olan saldrnn sisteme byk zararlar vermesine engel olmaktr,bunun iin alarm sistemlerine sahip olan saldr tespit sistemleri kullanlr. imdi gvenlik nlemlerinden saldr tespit sistemleri inceleyelim.
Internet veya yerel adan gelebilecek, adaki sistemlere zarar verebilecek, eitli paket ve verilerden oluan saldrlar fark etmek zere tasarlanm sistemlerdir. Temel amalar saldry tespit etmek ve bunu ilgili kiilere mail, sms vs. mesajlarla iletmektir. Saldr Tespit Sistemleri eitli yazlmlardr.
Anormallik Tespiti:Sistemi nce renen, istatistiksel olarak normal alma yapsn karan sistemlerdir. Buna gre anormal davranlar yakalarlar. Saldrlar tanmak iin normal kullanm rntlerinden sapma yapanlarn bulunmas eklindedir. r:\ Cylant Secure, NFR(Network Flight Recorder) vb.
Adaki saldrlar bulmada ve engellemede en byk yardmclardr. Gvenlik duvarlar ve ynlendiriciler gibi pasif gvenlik cihazlar deildirler. Aktif olarak raporlama, engelleme ve renme gibi ilevleri yerine getirirler. Saldr davranlarndan gvenlik zaaflar bulunabilmektedir.Hangi noktalarn glendirilmesi gerektii bulunabilir.
Bu yaklamlarn ana problemleri ise unlardr: Ktye kullanm tespitinde bilinen saldr rntleri elle kodlanmak zorunda ve ilk kez yaplan saldrlarn tespit edilmesi mmkn olamamaktadr. Anormallik tespitinde ise olaylar arasndaki ilikilerin yakalanmas mmkn olamamaktadr.
Saldr tespiti iin bir baka yaklam veri madencilii yaklamdr. Veri madencilii, byk miktardaki veriden anlaml bilginin aa karlmasdr. Veri madencilii tabanl yaklamda renim ve tespit ajanlar bulunmaktadr. Bu yaklam akll ajan tabanl bir yaklamdr. renim ajanlar, tespit modelleri ile devaml eitilir. Tespit ajanlar ise saldrlarn tespit iin gncellenmi modeller kullanrlar.
Saldr tespitinde veri madencilii kullanmnn sebepleri ise unlardr: Veri merkezli bak asndan bakldnda saldr tespiti bir veri analiz iidir. stisna saptanmas ve hata/alarm ynetimi gibi baarl uygulamalar yerine getirir.
Saldr tespit sistemleri birok avantaja sahip olmakla birlikte baz problemleri de bulunmaktadr. Ktye kullanm tespiti tabanl yaklamda saldr rntleri elle kodlanmak zorundadr ve ilk kez yaplan saldrlar (novel attacks) tannamamaktadr.
Anormallik tespiti tabanl yaklamda ise olaylar arasnda iliki kurmak mmkn olamamaktadr. Saldr tespit sistemleri nemli lde yanl alarm retmektedirler (false alarm). zerinde veri madencilii yaplacak saldr verisi fazla olduunda sistem etkin olarak alamamaktadr.
Veri madencilii yaklaml saldr tespitinin false positive (aslnda saldr meydana gelmedii halde STS tarafndan sanki bir saldr varm gibi alarm verilmesi) oran daha yksektir ve bu tip tespit, eitim ile deerlendirme aamalarnda etkin olmama eilimindedir. Ayrca daha karmaktr.
Kural tabanl saldr tespit sistemleri uzman bilgilerine dayal olarak kodlandklar iin deitirilmeleri olduka pahal ve yavatr.
Sunucu gnlkleri kimi zaman gvenli olamadndan sunucu gnlklerine dayal saldr tespiti de yanl sonular verebilmektedir (sunucu gnlkleri tehdit altnda bulunabilir, birileri kantlar ortadan kaldrmak isteyebilir).
Veri Madencilii
Byk hacimli veri ierisinden; anlaml, gizli kalm ve kuruluun karar destek sistemi iin faydal olabilecek bilgilerin karld ve geri plannda istatistik, yapay zeka ve veritabanlarnn bulunduu veri analiz tekniine Veri Madencilii (Data Mining) ad verilir. Veri madencilii tekniinin web verisine uygulanmasna ise web madencilii ad verilmektedir. Web madencilii temel olarak alt alana ayrlr:
- Web erik Madencilii - Web Yap Madencilii - Web Kullanm Madencilii
Veri madenciliinin alt alanlarndan birisi olan web kullanm madencilii web sunucu gnlk verileri zerinde alr. Bu alma sonucunda kullanc eriim rntleri bulunur. Web kullanm madencilii sayesinde bulunan kullanc davranlar saldr tespitinde de etkin olarak kullanlabilmektedir.
1. A Tabanl (Network Based): Bir bilgisayar ann tamamn ya da belli bir ksmn izlerler. A zerinde herhangi bir noktadan altrlabilirler.
2. Konak Tabanl (Host Based): Belli bir bilgisayar izlerler. Bu tr sistemler, izlenecek olan bilgisayar zerinde alrlar. zlenen bilgisayar kullanan kullanclarn yapacaklar hatalardan dolay oluacak zararlar nlemeye yneliktirler.
STS`LERN KURULUMLARI
Saldr tespit teknolojisi her byk kuruluun bilgisayar a gvenlii yaplandrmasna gerekli bir eklentidir. Etkili bir STS kurulumu dikkatli bir plan, hazrlanma, prototip oluturma, test etme ve zelletirilmi deneyimler gerektirir.
Harici gvenlik duvarnn d iin avantajlar (Location 2 iin) A hedef alan nternet kaynakl saldrlarn dokman numaralar. A hedef alan nternet kaynakl saldrlarn dokman tipleri.
Byk a omurgas iin avantajlar (Location 3 iin) A trafiinin byk bir miktarn grntler, bylece spoofing saldrlarnn olabilirlikleri artar. Kuruluun gvenlik emberinde yetkili kullanclarn yetkisinin olmad/yetkisini aan aktivitelerini tespit eder. Kritik alt alar iin avantajlar (Location 4 iin) Kritik sistem ve kaynaklar hedef alan saldrlar tespit eder.
A tabanl STS`ler altrlnca, buna bilgisayar tabanl STS`lerin eklenmesi sistemler iin koruma seviyesini ykseltebilir. Bununla birlikte, bilgisayar tabanl
Bundan dolay kurulularn bilgisayar tabanl STS`leri ncelikle kritik derecede nemi bulunan sunuculara kurmalar tavsiye edilir. Bu hem maliyeti drecek hem de personelin nemli sunucularn alarmlar zerine odaklanmasn salayacaktr.
Bilgisayar tabanl STS`ler normal alma durumuna geldiklerinde, daha fazla gvenlik eklentileri ilave edilebilir. Bunlar STS`lere
ALARM STRATEJLER
Son olarak, STS`ler yaplandrlrken hangi alarm zelliklerinin hangi nemli durumlar olduunda kullanlaca sorusudur. STS`lerin birou ayarlanabilir alarm zellikleriyle birlikte gelir. Bunlar byk eitlilikle alarm seenekleri, eposta, paging, a ynetim protokol kapanlar ve hatta saldr kaynaklarnn otomatikletirilmi engellenmesidir.
Kaynaka
www.internetdergisi.com Bilgisayar A Sistemleri Gvenlii ,r.Gr Erhan Kahya,Trakya niversitesi. Gvenlik riskleri ve saldr yntemleri,Fatih zavc. eitli Kaynaklar
Teekkrler
Sorular