aĞ gÜvenlİĞİ yazilimvizyon21y.com/documan/genel_konular/bilisim/ag_guvenligi... ·...
TRANSCRIPT
T.C.MİLLÎ EĞİTİM BAKANLIĞI
MEGEP(MESLEKÎ EĞİTİM VE ÖĞRETİM SİSTEMİNİN
GÜÇLENDİRİLMESİ PROJESİ)
BİLİŞİM TEKNOLOJİLERİ
AĞ GÜVENLİĞİ (YAZILIM)
ANKARA, 2008
Milli Eğitim Bakanlığı tarafından geliştirilen modüller;
Talim ve Terbiye Kurulu Başkanlığının 02.06.2006 tarih ve 269 sayılı Kararı ileonaylanan, Mesleki ve Teknik Eğitim Okul ve Kurumlarında kademeli olarakyaygınlaştırılan 42 alan ve 192 dala ait çerçeve öğretim programlarındaamaçlanan mesleki yeterlikleri kazandırmaya yönelik geliştirilmiş öğretimmateryalleridir (Ders Notlarıdır).
Modüller, bireylere mesleki yeterlik kazandırmak ve bireysel öğrenmeyerehberlik etmek amacıyla öğrenme materyali olarak hazırlanmış, denenmek vegeliştirilmek üzere Mesleki ve Teknik Eğitim Okul ve Kurumlarındauygulanmaya başlanmıştır.
Modüller teknolojik gelişmelere paralel olarak, amaçlanan yeterliğikazandırmak koşulu ile eğitim öğretim sırasında geliştirilebilir ve yapılmasıönerilen değişiklikler Bakanlıkta ilgili birime bildirilir.
Örgün ve yaygın eğitim kurumları, işletmeler ve kendi kendine mesleki yeterlikkazanmak isteyen bireyler modüllere internet üzerinden ulaşılabilirler.
Basılmış modüller, eğitim kurumlarında öğrencilere ücretsiz olarak dağıtılır.
Modüller hiçbir şekilde ticari amaçla kullanılamaz ve ücret karşılığındasatılamaz.
i
AÇIKLAMALAR ....................................................................................................................iiGİRİŞ .......................................................................................................................................1ÖĞRENME FAALİYETİ-1 .....................................................................................................31. ANTİVİRÜS KURMA.........................................................................................................3
1.1. Antivirüsler ................................................................................................................... 31.1.1. Çalışma Prensipleri ................................................................................................ 31.1.2. Çeşitleri.................................................................................................................. 4
1.2. Ağ (Network) Antivirüsleri........................................................................................... 41.2.1. Ağ Antivirüslerinin Bileşenleri..............................................................................51.2.2. Kurulumu...............................................................................................................61.2.3. Ayarlar ................................................................................................................... 9
UYGULAMA FAALİYETİ .............................................................................................. 15ÖLÇME VE DEĞERLENDİRME .................................................................................... 16
ÖĞRENME FAALİYETİ-2 ...................................................................................................182. GÜVENLİK DUVARI.......................................................................................................18
2.1. Güvenlik Düzeyleri .....................................................................................................182.2. Güvenlik Tedbirleri.....................................................................................................19
2.2.1. Veri Şifreleme......................................................................................................192.2.2. IP Güvenliği (IPSec) (Internet Protocol Security, -IPv6) ....................................212.2.3. SSL (Secure Socets Layer) .................................................................................. 232.2.4. E-Mail (E-Posta) Güvenliği ................................................................................. 232.2.5. PKI (Public Key Infrastructure) Şifreleme .......................................................... 24
2.3. Güvenlik Duvarı..........................................................................................................242.3.1. Kurulum...............................................................................................................252.3.2. Ayarlar ................................................................................................................. 272.3.3. Güvenlik Duvarı Türleri ...................................................................................... 34
UYGULAMA FAALİYETİ .............................................................................................. 37ÖLÇME VE DEĞERLENDİRME .................................................................................... 38
ÖĞRENME FAALİYETİ-3 ...................................................................................................403. AĞ İZLEME VE KONTROL PROGRAMLARI .............................................................. 40
3.1. Ağ İletişim ve Yönetim Programı (NetOp School)..................................................... 403.1.1. Kurulum...............................................................................................................403.1.2. Kullanımı .............................................................................................................44
3.2. İzleyici (Sniffer) Programları...................................................................................... 493.2.1. TCPDump ............................................................................................................493.2.2. DSniff .................................................................................................................. 51
3.3. Ağ Kartı Paket Analiz Programı (Ethereal) ................................................................ 523.4. Saldırı Tespit Programı (Snort)................................................................................... 543.5. Ağ Güvenlik Durumu Kontrol Programı (GFI Languard) ..........................................543.6. Klasör Bütünlük Denetleyici Programı (Samhain) ..................................................... 55UYGULAMA FAALİYETİ .............................................................................................. 56ÖLÇME VE DEĞERLENDİRME .................................................................................... 58
MODÜL DEĞERLENDİRME .............................................................................................. 60CEVAP ANAHTARLARI .....................................................................................................61KAYNAKÇA......................................................................................................................... 63
İÇİNDEKİLER
ii
AÇIKLAMALAR
KOD 481BB0064ALAN Bilişim TeknolojileriDAL/MESLEK Ağ İşletmenliğiMODÜLÜN ADI Ağ Güvenliği (Yazılım)
MODÜLÜN TANIMIAğ sisteminin yazılımsal güvenliğini oluşturmak ve güvenliktedbirlerini almak için gerekli temel bilgi ve becerilerinkazandırıldığı öğrenme materyalidir.
SÜRE 40/32
ÖN KOŞUL Ağ Güvenliği (Donanım) modülünü almış olmakYETERLİK Yazılımsal olarak ağ güvenlik sistemini kurmak
MODÜLÜN AMACI
Genel AmaçBu modül ile gerekli ortam sağlandığında yazılımsal olarak ağgüvenliğini sağlayabileceksiniz
Amaçlar Antivirüs programını kurarak ayarlarını yapabileceksiniz. Güvenlik duvarı kurulumunu ve ayarlarını
yapabileceksiniz. Ağ izleme ve kontrol programlarını kurarak, ağı
izleyebilecek ve kontrol edebileceksiniz.
EĞİTİM ÖĞRETİMORTAMLARI VEDONANIMLARI
OrtamAğla birbirine bağlı bilgisayar laboratuarı.
DonanımAğ güvenlik yazılımları, grup kontrol yazılımları.
ÖLÇME VEDEĞERLENDİRME
Her faaliyet sonrasında o faaliyetle ilgili değerlendirmesoruları ile kendi kendinizi değerlendireceksiniz.
Modül sonunda uygulanacak ölçme araçları ile modüluygulamalarında kazandığınız bilgi ve beceriler ölçülerekdeğerlendirilecektir.
AÇIKLAMALAR
1
GİRİŞ
Sevgili Öğrenci,
Bilgisayar ağlarının tüm dünyayı sardığı günümüzde ağ güvenliği büyük bir sorunolarak karşımıza çıkmaktadır.
Tüm kurumların işlemlerini İnternet ve/veya İntranet gibi ağ ortamlarındangerçekleştirdiğini de göz önüne aldığımızda güvenlik sorunun ne kadar büyük olduğu dahaiyi anlaşılabilir.
Bu modülü bitirdiğinizde tüm ağınızı, yazılımsal olarak izleyebilecek, yönetebilecekve saldırılara karşı koruyabileceksiniz.
GİRİŞ
2
3
ÖĞRENME FAALİYETİ-1
Yeterli koşullar sağlandığında yazılımsal olarak ağ güvenliğini sağlayarak virüs, trojanve worm gibi kötü amaçlı yazılımlara karşı gerekli önlemleri alabileceksiniz.
Bağlı bulunduğunuz ağ ( network ) ortamında sizi bekleyen tehlikeler nelerdir?Araştırınız.
1. ANTİVİRÜS KURMA
Bilgisayar sistemlerinin düzgün çalışmalarını engelleyen, veri kayıplarına, veribozulmalarına ve çeşitli yollarla kendisini kopyalayan kötü amaçlı yazılımlara virüs denir.Her geçen gün yeni virüsler çıkmakta veya var olanların özellikleri değiştirilerek tekrarpiyasaya sürülmektedir.
Virüsler; bilgisayar sistemlerinin çalışmasını aksatma ve bozmanın yanı sıra, verilerinsilinmesi veya çalınması gibi kötü amaçları gerçekleştirmek için hazırlanmaktadır.
Zamanın ve bilginin son derece önemli olduğu günümüzde, kötü amaçlı bu yazılımlarakarşı önlem almak da bir o kadar önem kazanmıştır.
1.1. Antivirüsler
Virüslerden korunmak amacıyla yazılan programlara antivirüs denir. Antivirüslerinamacı; virüsleri önceden tanımlayarak sisteme bulaşmalarını önlemek, bulaşmış olanları datespit ederek temizlemek, silmek veya etkilerini gösteremeyecekleri güvenli bir bölgeye(karantina –quarantine-) taşımaktır.
1.1.1. Çalışma Prensipleri
Antivirüsler veritabanlarında kayıtlı bulunmayan hiçbir kötü amaçlı yazılımıyakalayamaz. Çünkü antivirüsler, ASCII biçiminde kodlanan bazı kötü amaçlı scriptlerdışında.bir programın yapısına bakarak onun virüs olup olmadığına karar veremez.
ÖĞRENME FAALİYETİ-1
AMAÇ
ARAŞTIRMA
4
Bir yazılımın antivirüs tarafından “virüs” olarak değerlendirilebilmesi için öncelikle;antivirüs firması, kullanıcılardan gelen raporlara göre o yazılımı inceler, içeriğin zararlıolduğuna kanaat getirilirse o programdan hexadecimal (16’lık) bir kod bloğu alınır. Bunahex imza denir. Hex imza, antivirüs programının veritabanına eklenir. Daha sonra bir taramaesnasında bu imzayı taşıyan bir programla karşılaşıldığında antivirüs, o yazılımı “virüs”olarak tanımlar ve temizlemeye çalışır.
1.1.2. Çeşitleri
Antivirüsler kullanım amaçlarına göre iki ana başlık altında incelenebilir:
Bireysel (Personel) AV’ler:
Bir bilgisayar için tasarlanmış, tek kullanıcılı AV.(antivirüs)’lerdir. Kişiselbilgisayarlarda kullanılarak sadece kurulu olduğu işletim sisteminde çalışırlar. Sunucuişletim sistemlerinde çalışmazlar.
Ağ (Network) AV’ ler.
Kurumsal (Business) AV. olarak da bilinir. Yapısında birden fazla bilgisayarınbulunduğu ağ ortamlarının korunmasında kullanılır. Sunucu işletim sistemlerinde çalışır.
1.2. Ağ (Network) Antivirüsleri
Sunucu (server) işletim sistemlerinde çalışır. Birçok bilgisayarın bağlı bulunduğu ağortamlarında güvenliği sağlamak üzere tasarlanmıştır.
Örneğin; 1 sunucu (server) + 15 istemci(client) bilgisayarın bulunduğu bir kurumda tümbilgisayarların tek tek korunmasının yanındatüm ağın korunması, gelen e-postalarıntaranması ve sunucudaki dosyalarıngüvenliğinin sağlanması gibi önemli işlerigerçekleştirir.
Resim 1.1: Server tabanlı network
5
1.2.1. Ağ Antivirüslerinin Bileşenleri
Ağ sisteminin belli kademelerinde güvenliği sağlamak üzere hazırlanmış çeşitlibileşenler bulunmaktadır. Şimdi bu bileşenleri inceleyelim:
1.2.1.1. İş İstasyonları İçin ( For Workstation )
İstemci bilgisayarlara kurulur (işletim sistemi çeşidi önemli değildir.). Sunucubilgisayara kurulan bir yönetimsel araç (administrative tool) ile uzaktan yönetilebilir,güncelleştirilebilir ve virüs saldırıları ile ilgili raporlar tutulabilir. Ağda gelen giden dosyataraması yapabilir. Çeşitli veri iletim protokolleri üzerinden e-posta taraması yapabilir.
1.2.1.2. Dosya Sunucuları İçin (For File Servers)
Server işletim sistemlerine kurulur. Dosya sunucularının (file server) güvenliğinisağlar. Erişimde (on-access) korumanın yanı sıra kendisine bağlı istemcilerden birinde virüstespit ettiğinde onu izole ederek ağa bağlanmasını engelleyebilir. Bu sayede ağa bağlı diğeristemci ve sunucu bilgisayarların virüslü bilgisayardan etkilenmelerini önler.
1.2.1.3. E-Posta Sunucuları İçin (For Mail Servers (linux) veya ExchangeServers (windows))
Üzerinde e-posta sunucusu bulunan sunucu bilgisayarlara kurulur. Gelen e-postalarınspam (aldatıcı) olup olmadığını gözden geçirir. Kullanıcının isteğine göre filtrelemeözelliğine sahiptir. Posta adreslerine göre filtreleme yapabileceği gibi IP adreslerine göre deyapabilir. Erişimde taramanın yanı sıra serverde yedeklenen e-postaları da tarayabilir.
1.2.1.4. ISA Sunucu İçin ( For ISA Server )
ISA (Internet security and acceleration server –İnternet güvenlik ve hızlandırıcısunucusu) için hazırlanmıştır. Yerel ağa HTTP ve FTP gibi protokoller yoluyla İnternetüzerinden gelen virüsleri tespit etme özelliğine sahiptirler.
Not: Tüm bu bileşenler ayrı ayrı kurulabileceği gibi, daha yüksek güvenlik önlemigerektiren durumlarda, tamamı aynı anda kurulabilir.
Kurulumları ve yönetimleri ortak özellikler taşıdığından bu bileşenlerden bir tanesinikurarak, kurulumları ve ayarlamaları hakkında bilgi verelim:
6
1.2.2. Kurulumu
Bu kısımda sunucu işletim sistemine kurulan sunucu için antivirüs (antivirus forserver) bileşenini kuracağız. Bu programlar, dosya sunucusu (file server) için antivirüsolarak da bilinir. Sunucu işletim sistemleri üzerine kurulur. Gereksinim duydukları sistemözellikleri şunlardır:
Donanım gereksinimleri Sistem gereksinimleri 50 MB boş disk alanı Sunucu işletim sistemini
karşılayabilecek işlemci ve ram desteği
Tüm Windows Server işletimsistemlerine kurulabilir.
Programın “setup.exe” dosyası çalıştırıldığında açılan bu ilk pencerede “Next”düğmesini tıklayarak kurulumu başlatabiliriz.
Resim 1.2: Server AV kurulumu (karşılama ekranı)
Lisans sözleşmesinin kabul edildiğini gösteren onay kutusu işaretlenir.
7
Resim 1.3: Server AV kurulumu (lisans sözleşmesi)
Yükleme şekli penceresinde; tam kurulumV(1), yönetimsel(2) araçların kurulumu,isteğe bağlı kurulum (3) seçenekleri bulunur. İlk defa kurulum yapılıyor ise “tam kurulum”önerilir. Seçim yapıldıktan sonra “Next” düğmesi tıklanır.
Resim 1.4:Server AV kurulumu (kurulum seçenekleri)
8
Bu adımdan sonra karşılaşılan pencerede (Resim 1.5) programın nereye kurulacağısorulmaktadır. Varsayılan ayar “c:\programfiles\....” şeklindedir. İhtiyaç duyulmadıkça, butanımlamanın değiştirilmemesi önerilir. Devam etmek için“Next” düğmesi tıklanır.
Resim 1.5:Server AV kurulumu (kurulum dizinini belirleme)
Bu adımdan sonra program için gerekli dosyalar kopyalanır ve kurulum tamamlanmışolur.
Resim 1.6:Server AV kurulumu
9
Resim 1.7:Server AV kurulumu (bitiş ekranı)
1.2.3. Ayarlar
Programın, bildirim alanında bulunan simgesi çift tıklanarak anapenceresi açılabilir.
Resim 1.7: Server AV ayarları (genel ayarlama seçenekleri)
Konsolun sol tarafında temel bileşenler, sağ tarafında ise seçilen bileşene ait ayarlamaseçenekleri bulunur.
10
Genel ayarlama seçenekleri kullanılarak (Resim 1.7);
başka bir bilgisayara bağlanılabilir (connect to another computer), program durdurulup başlatılabilir(stop/start), kullanıcı izinleri ayarlanabilir (modify user permission), program hakkında bilgi edinilebilir(about the program), ayarlar tazelenebilir (refresh), program hakkında yardım alınabilir (help).
Şimdi temel bileşenleri inceleyelim:
Real time protection; “gerçek zamanlı koruma” demektir. Sürekli olarak arkaplanda çalışarak, tüm dosyaları ve gelen giden verileri ara vermeden tarar. Altmenüsünde bulunan “Blocking access from computers” (Bilgisayarlardanerişimi engelle) seçeneği ile istemci bilgisayarlardan erişim engellenebilir(Resim 1.8).
Resim 1.8: Server AV ayarları
On-demand scan (isteğe bağlı tarama); bilgisayar üzerinde istenilen herhangibir bölümünün istenilen zamanda taranmasını sağlar (Resim 1.9).
Alt menüde bulunan scan at system startup seçeneği ile sistem başlangıcı, scan mycomputer seçeneği ile bilgisayar, scan quarantine seçeneği ile de programın karantinayaaldığı dosyalar taranabilir.
11
Örneğin sabit diskin “C” sürücüsü taranmak isteniyorsa, scan my computer(bilgisayarımı tara) alt menüsünü açılıp “C” seçilerek start (başlat) seçeneğinin tıklanmasıyeterli olacaktır.
Resim 1.9: Server AV ayarları (isteğe bağlı tarama)
Quarantine (Karantina): Program, kullanıcının gösterdiği veya otomatikmanşüpheli olarak değerlendirdiği bazı dosyaları quarantine (karantina) adı verilengüvenli bir bölgeye taşır. Bu bölgeye taşınan dosyalar çalıştırılamaz. Programgenellikle şüpheli görüp de temizleyemediği dosyaları karantinaya alır.
Resim 1.10:Server AV ayarları (karantina)
12
Backup (Yedekleme): Program, sildiği dosyaların her ihtimale karşı biryedeğini alır. Bu dosyalar ilerleyen zamanlarda silindikleri yere gerigönderilerek tekrar kullanılabilir. Örneğin kullanıcı, virüs bulaşmış önemli birdosyasını disinfect (temizle) düğmesini tıklayarak temizleyebilecekkenyanlışlıkla delete (sil) düğmesini tıklayarak silerse, program bu dosyanın biryedeğini alır. Kullanıcı, istediği zaman da o dosyayı geri alabilir.
Resim 1.11: Server AV ayarları (yedekleme)
Update (Güncelleme); son çıkan virüs bilgilerinin programın veritabanınaişlenmesi için gereken ayarların yapıldığı bölümdür. Güncelleme, genellikleİnternet üzerinden yapılır.
Resim 1.12:Server AV ayarları (güncelleme)
Reports (Raporlar); tespit edilen virüsler ile bu virüsler üzerindegerçekleştirilen işlemler hakkında raporların ve uyarı kayıtlarının tutulduğukısımdır. Kullanıcıyı bilgilendirme amaçlıdır (Resim 1.13).
13
Resim 1.13: Server AV ayarları (raporlar)
System Audit Log (Sistem Denetim Kayıtları); program bileşenleri vegüncellemeleri hakkında kayıtların tutulduğu kısımdır. Bileşenlerin başlatılmave durdurulma saatleri, güncellemelerin tarihi ve kaç günlük olduğu gibikayıtlar tutulur (Resim 1.14).
Resim 1.14:Server AV ayarları (sistem denetim kayıtları)
Statistics (İstatistikler); program hakkında istatistiklerin tutulduğu kısımdır.İstatistik penceresinde, bileşenlerin durumu, güncellemelerin tarihi veprogramın gereksinimlerinin karşılanıp karşılanmadığı hakkında bilgi alınabilir(Resim 1.15).
Örneğin, Resim 1.15’te görülen istatistik penceresi incelendiğinde; gerçek zamanlıkoruma bileşeninin, “bilgisayarlardan erişimi engelleme” bileşeninin ve “script” ekranınındevre dışı (disable) olduğu; güncellemelerin tarihinin geçmiş olduğu, yedekleme vekarantina için gereken boş disk alanının da yeterli olduğu görülmektedir.
14
Resim 1.15: Server AV ayarları (istatistikler)
15
UYGULAMA FAALİYETİBilgisayarın “C” sürücüsü için güvenlik kontrolünü yapınız.
İşlem Basamakları Öneriler
Programın ana penceresiniaçın.
bildirim alanındaki simgeyi çift tıklayın
İsteğe bağlı taramaseçeneğini açın.
Bilgisayarımı tara altseçeneğini açın.
“c” sürücüsünü seçin.
İşlemi başlatın.
UYGULAMA FAALİYETİ
16
ÖLÇME VE DEĞERLENDİRME
Aşağıdaki soruları dikkatlice okuyarak doğru/yanlış seçenekli sorularda uygun harfleriyuvarlak içine alınız. Seçenekli sorularda ise uygun şıkkı işaretleyiniz. Boşluk doldurmalısorularda boşluklara uygun cevapları yazınız.
1- Virüs kötü amaçlı yazılımlardan korunmak için kullanılan bir programdır. (D/Y)
2- Antivirüsler, virüsleri aşağıdakilerin hangisine göre tespit ederler?A) Hex signiture (imza)B) Programın yapımcısına göreC) Yazılan tarihe göreD) Programın çalışma prensibine göre
3- Antivirus for Workstation istemci bilgisayarlara kurulur. (D/Y)
4- Antivirus for File server sadece sunucu işletim sistemlerine kurulur. (D/Y)
5- Real time protection sadece istenildiği zaman çalışarak belirtilen bölgeyi tarar. (D/Y)
6- Aşağıdakilerin hangisi on-demand scan bileşeninin alt seçeneklerinden değildir?A) Scan at system startupB) Scan my computerC) Scan quarantineD) System audit log
7- ………… bileşeni tespit edilen virüsler hakkında raporları ve uyarıları tutar.
8- …………. bileşeni, programın diğer bleşenlerinin başlatılma ve durdurulma zamanlarıgibi kayıtları tutar.
9- Diğer bilgisayarların sunucuya bağlanmalarını engelleyen bileşen aşağıdakilerdenhangisidir?A) Connect to another computerB) Blocking Access from computersC) On-demand scanD) System audit log
10- Aşağıdakilerden hangisi program hakkında istatistik tutan bileşendir?A) Real-time protectionB) ReportsC) QuarantineD) Statistics
ÖLÇME VE DEĞERLENDİRME
17
DEĞERLENDİRME
Cevaplarınızı cevap anahtarı ile karşılaştırınız. Doğru cevap sayınızı belirleyerekkendinizi değerlendiriniz. Yanlış cevap verdiğiniz ya da cevap verirken tereddüt ettiğinizsorularla ilgili konulara geri dönerek tekrar inceleyiniz. Tüm sorulara doğru cevapverdiyseniz diğer öğrenme faaliyetine geçiniz.
18
ÖĞRENME FAALİYETİ-2
Güvenlik duvarını kurabilecek ve istenilen güvenlik düzeyine göre gerekliayarları yapabileceksiniz.
Ağ ortamına dışarıdan gelebilecek saldırılar hakkında bilgi edininiz.
2. GÜVENLİK DUVARI
Gelişen teknoloji, bilgisayar sistemleri kurulumu oldukça kolay hâle getirmiştir.Teknoloji aynı zamanda, sistem kurulmasını da kötü amaçlı kişilerce yıkılmasını dakolay hâle getirmektedir. Bu nedenle “güvenlik” önemli bir sorun olarak karşımızaçıkmaktadır.
Bir sistemin güvenliği, o sistemin büyüklüğü, işlevi ve kullanıcıların beklentileri gibiunsurlara göre ayarlanır.
2.1. Güvenlik Düzeyleri
Güvenlik düzeyleri genel olarak üç kademede incelenir:
Üst seviye; tüm servislerin engellendiği seviyedir. Bu seviye kapsamındaişletim sisteminin bileşenleri de engellenir. Bu durum bilgisayarımızınçalışmasını da (internet bağlantısını, ağ erişimini vb.) büyük orandakısıtlayacaktır. Üst seviye güvenlik uygulamasının sadece gerekli durumlardakullanılması önerilir.
Orta seviye (özel düzey); servislerin, önceden belirlenen düzeyde denetlendiğiseviyedir. Kullanıcı, engellemek ya da izin vermek istediği servisleri belirler(customization), belirtilen bu istekler dâhilinde güvenlik sağlanır. Örneğinkullanıcı bir programın, güncellemelerini yapmak üzere İnternete bağlanmasınıengellemek isteyebilir.
ÖĞRENME FAALİYETİ-2
AMAÇ
ARAŞTIRMA
19
Düşük seviye; en alt seviye güvenlik önlemidir. İyi veya kötü niyetli tümservislerin çalıştığı durumdur. Bu düzeyde sistem, tüm saldırılara açıkdurumdadır. Emin olduğunuz bir uygulamanın güvenlik önlemlerine takılmasınıönlemek için geçici bir süre güvenlik seviyesi düşük duruma getirilebilir. Aksihâlde kesinlikle önerilmeyen bir durumdur.
2.2. Güvenlik Tedbirleri
2.2.1. Veri Şifreleme
Veriler, çeşitli şifreleme yöntemleri kullanılarak şifrelenir (encryption) veokunamaz hâle getirilir. Gönderildiği yerde de yine çeşitli yöntemlerle şifresi çözülür(decryption). Verinin gönderildiği sistemde, kaynakta kullanılan şifreleme tekniği ileaynı mantıkta çalışan şifre çözme programı bulunmak zorundadır. Çünkü şifrelerinçözülebilmesi için kaynakta kullanılan algoritmaların hedefte de kullanılmasıgereklidir. Eğer kaynakta kullanılan algoritmalar hedefte yoksa şifrenin çözülmesiimkânsız hâle gelebilir.
Günümüzde kullanılan bazı şifreleme teknikleri aşağıda sıralanmıştır:
MD5; (Message-Digest algorithm5) veri bütünlüğü veya özet fonksiyon olarakda bilinir. Tek yönlü (açık anahtarlı) şifreleme tekniğidir. Bir yere gönderilecekveri 128 bitlik özetler hâlinde şifrelenir. Veri bütünlüğünü sağlamak içinkullanılır. Aşağıda bir örnek görülmektedir.
'oktay' için MD5 şifreleme:f55694370a2e688a08edd2a3ee184e0d
SHA-1; (Secure Hash Algorithm) özetleme algoritmasıdır. Tek yönlü (açıkanahtarlı) şifreleme tekniğidir. Veri bütünlüğünü sağlamak için kullanılır.Verileri 160 bit uzunluğunda özetler. Web alanında geniş kullanımı vardır.SHA-2 adı altında hazırlanmış 224,256,384,512 bit uzunluğunda özetler üretençeşitleri vardır.
Örneğin; “oktay” isminin SHA-1 ve SHA-2 özetleri aşağıdaki gibidir.
SHA-1 (160bit)22771aca22f13b0e26b3011542bde186a5c47690
SHA-256f6ff3f7aa48c6357fb3f9d09f8fdde97060e3121afc0db0e35ec807c62922456
SHA-384d64f697923b1c8c425643c0f03f86c3c12b0af576521e41096cef9e95474661f947453a5ab2430928dfd02a381af93e2
SHA-512278179b20946ee2cb093545ca8727f53607ba058acb2ed888aac8f32ecaf74d8572479ff6380fbf34be9c274080eeb1e7f055b32e3204ce2bda6afd1714ac75c
20
NOT: MD5, SHA-1, SHA-2 (SHA-256,-384,-512) gibi algoritmalar “Hash”Algoritmaları olarak sınıflandırılır.
DES;(Data Encryption Standart) simetrik şifreleme tekniğidir. 56 bituzunluğunda anahtar kullanır. Blok şifreleme algoritmasını kullanır. (Bitlerönce bloklanır sonra şifrelenir.) Hem şifrelemek için hem de şifre çözmek içinaynı anahtar veri kullanılır. Örneğin, tek kilidi olan bir sandık düşünün.Birbirinin kopyası iki anahtarı olsun. Anahtarlardan biri kaynakta diğeri isehedeftedir. Kaynakta anahtarla kilitlenen sandık, hedefe gittiğinde yine aynıanahtarla açılacaktır.
3DES; (trible DES) DES’teki açıkları kapatabilmek için DES’te kullanılanalgoritmanın üç kez uygulanmasıyla anahtar uzunluğunu artıran yöntemdir.Anahtar uzunluğu 112 bite çıkarılmıştır.(Anahtar uzunluğu ne kadar artarsagüvenlik de o kadar artar.)
AES; (Advanced Encryption Standart) günümüzde en yaygın olarak kullanılanşifreleme yöntemlerinden birisidir. Bu da blok şifreleme algoritmasınıkullanılır. Veriler 4x4’lük diziler (matris) hâlinde bloklandıktan sonra uzunluğuen az 128 bit olan anahtarlar kullanılarak şifreleme gerçekleştirilir.
RC-4; (Ron’s Code), simetrik şireleme tekniğidir. Ama DES ve AES’ten farklıolarak dizi şifreleme algoritmasını kullanır. (Veriler bit bit şifrelenir. Aynıkarakterin karşılığı her seferinde farklı olur.) WEP ve SSL gibi güvenliklibağlantı standartlarında yaygın olarak kullanılmaktadır.
Yukarıda anlatılanlar en çok kullanılan şifreleme yöntemleridir. Bunun yanındayaygın olarak kullanılmayan, sadece özel amaçlarla kullanılan daha birçok şifreleme tekniğibulunmaktadır. Aşağıdaki tabloda “oktay” isminin çeşitli şifreleme teknikleri ile şifrelenmişkarşılıklarını görebilirsiniz.
ŞİFRELEMETEKNİĞİ
ŞİFRELENMİŞ HÂLİ (“oktay” İSMİ İÇİN)
ripemd128 9f4799778dd68f6612d836570edd9766
ripemd160 ee9f516c6548b8235bb7eff9989a42ef2644b6dd
whirlpool42ec9a3fe63f01dac799cb9bfcd832aa4d6c1f476d1c8f4071e22a9db48920c4c75fc177564c86595d273fcc62c40bd2822d71a2b40f519e4d6047ec785fd2eb
tiger128,3 096aa49fc4435cb89010751403a2662c
tiger160,3 096aa49fc4435cb89010751403a2662c2757d666
tiger192,3 096aa49fc4435cb89010751403a2662c2757d666e91b1e0f
tiger128,4 0093e56a8717b3ea78a31653496d1d3d
tiger160,4 0093e56a8717b3ea78a31653496d1d3dcb1cf02e
tiger192,4 0093e56a8717b3ea78a31653496d1d3dcb1cf02e9fd9de11
snefrua05fa3527181fe47bb6639ad7bbdb5fe9536b4a753c2e5f20e68e7be933d5978
21
gost 009608beac9edf7728fbefcaefc5969efc873ea9db36fe895bb709e6201787cb
adler32 29027306
crc32 522b7a83
crc32b 7134a037
haval128,3 b61bf3d1c6ef50d69fbcaa4cb8b4c70a
haval160,3 857a5b1b945010644ef0e86682b2e49c1cf2d239
haval192,3 5aabfdae0eb2309c71069c3de54b201e61410372a180af99
haval224,3 790d92fe4b1e5c1e5ec0b95e7464594d15df27782e047b39345a99ac
haval256,3da930d7368a0012daa8c441b1242f2b41ed0e26c8e6aa39ef4a238f02bd35343
haval128,4 1cc829297b9e9f6749a2daf0e7f31b65
haval160,4 123dcdd457501e282e0349e0ca6636c3ee6364e8
haval192,4 f1ebce84a14e0e651e0bab035ccb9a8f76afea869225ed32
haval224,4 8815cb943908af9d9ac842c74f531ad90ca2f67c4f97353cf85ad2d0
haval256,499b58581b1c7f2296a32538a34b8e503a4294d5a9901608e7f38177d47768962
haval128,5 f838e73834720a5937e4ff73abc7b7cf
haval160,5 40879d12bb1fed806fba8ddfd5c42db93f8c1667
haval192,5 76afc7c1754c92b948875d46a37e0d1e78440eefc7d94a3e
haval224,5 0e751a33bb2fb196a239f3787e7673bc683fcfbdd025b53cc143a9cc
haval256,5 276bb71ff51bac3cd62a37adee93eba1f0a2480f8e64b196b65f35f24bf5ba22
2.2.2. IP Güvenliği (IPSec) (Internet Protocol Security, -IPv6)
Bir veri akışındaki her IP paketinin, şifrelenmesi ve/veya tanımlanması yoluyla tümiletişimin güvenliğini sağlamak için oluşturulmuş protokoller (usuller) takımıdır. SSL(Secure Socket Layer) ve TSL gibi diğer güvenlik protokollerine göre daha esnek vegüvenlidir. Hem TCP hem de UDP tabanlı protokollerin güvenliğini sağlar. Uçtan uca (endto end) bir iletişim olduğundan verinin gönderileceği yerde de IPSec kullanılıyor olmasıyeterlidir. Yani iletişim için kullanılan switch, router gibi cihazların uyumsuzluğu gibi birdurum söz konusu değildir.
IPsec iki iletim modu kullanır:
Transport Mode; yerel ağda bulunan iki istemci arasındaki (client-to-client)iletişim için kullanılır.
22
Tunnel Mode; sadece geçityolları (gateway) arasındaki trafiğin korunmasıesasına dayanır. Bu modda paketler geçityolundan çıktıkları zaman şifrelenir vehedef ağın geçityoluna vardıklarında şifreleri çözülür. Bu modda iki geçityoluarasında bir tünel oluşturulur ve istemciden istemciye olan iletişim, tünelprotokolü kullanılarak kapsüllenir. Bu modda kaynak ve hedef istemcibilgisayarların IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur vebu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LANprotokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler.Bu modda, geçityolu bir tünel server, router, firewall veya VPN cihazıkullanılabilir.
IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:
Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olupolmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilenmesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesajözeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerlerikarşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiğianlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.
Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın dabirbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunanbilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlikdoğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişimkuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemlerkullanabilirler. Bunları şöyle sıralayabiliriz:
Önpaylaşımlı anahtar (preshared key) (MS-CHAP) Kerberos (Windows tabanlı ağlar için) Sertifika yetkilisi (certificate authority)
Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş birşekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler birizleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu içintaşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur.Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.
IPSec’ in güvenli bir iletişim kurmak için kullandığı protokoller aşağıdakigibi sıralayabiliriz:
23
Authentication Header (AH) (kimlik doğrulama başlığı): IPSec’in veribütünlüğü (Integrity) ve kimlik doğrulama (Authentication) özelliklerinidestekler. AH, veriyi şifreleyemediği için IPSec’in gizlilik (Confidentiality)özelliğini kullanamazsınız. Diğer bir deyişle, eğer ağ üzerindeki iletimin şifrelibir şekilde gerçekleşmesini istiyorsanız bu protokol ihtiyacınıza cevapvermeyecektir.
Encapsulating Security Payload (ESP): Bu protokol, IPSec’in veri bütünlüğü(Integrity), kimlik doğrulama (Authentication) ve gizlilik (Confidentiality)özelliklerinin üçünü birden destekler. Yüksek seviyede güvenlik sağlar.Hedefteki sistemlerde, kaynakta kullanılan şifreleri çözebilecek programlarınbulunması gerekmektedir.
2.2.3. SSL (Secure Socets Layer)
Soket Güvenlik Düzeyi (SSL) Protokolü Netscape tarafından, İnternet üzerinde websunucular ve tarayıcıların güvenli haberleşmeleri için geliştirilmiştir.
İnternet üzerinde, veriyi (data) şifrelemek üzere kullanılan bir tekniktir. Bu teknik,içinde dijital imzanın (digital signature) kullanımının da bulunduğu açık (public) ve özel(private) anahtar şifreleme kullanmaktadır. Bu şifrelemeler onay sağlayan birimleryardımıyla çalışır. Bu birimler, ulaşılan ilgili sunucunun, ait olduğu iddia edilen şahıs veyaşirketlere ait olduğuna dair onay verir. Bu onaydan sonra, güvenli iletişim işlemibaşlayabilir. SSL yazılımı yüklü sunucular taklit edilerek, karşı taraf kandırılamaz. SSL,istemci ile sunucu arasındaki iletişim algoritmasını tanımlar ve iletişim ancak karşıdan onayalınırsa başlar.
SSL, e-posta göndermek, anlık ileti gönderip almak, İnternet üzerinden alışverişyapmak gibi uygulamalarda güvenliği sağlamak için kullanılır.
2.2.4. E-Mail (E-Posta) Güvenliği
Gönderilen bir e-posta, hedefine ulaşıncaya kadar birçok sunucudan geçebilir. Busunucular gelen giden postaları kopyalama yeteneğine sahiptir. Bu nedenle sıradan bir e-postanın başkaları tarafından okunabilmesini engelleyen hiçbir unsur yoktur.
Piyasada e-posta şifrelemek için özel olarak hazırlanmış yazılımlar bulunmaktadır.Şifrelenen mesaj ve şifresi, hedefe ayrı ayrı gönderilir. Şifreli mesajlar hedefte tekrarçözülerek okunabilir hâle getirilir.
Burada dikkat edilmesi gereken nokta, hem hedefte hem de kaynakta aynı şifrelemeyazılımının kullanılmasıdır.
24
2.2.5. PKI (Public Key Infrastructure) Şifreleme
PKI (Public Key Infrastructure) teknolojisi, elektronik ortamda gerçekleşen veriiletiminin güvenliğini iki temel aşamada sağlamaktadır:
Veri gizliliği – şifreleme (verinin sadece doğru alıcı tarafından deşifreedilebilmesi)
Verinin tanımlanması (hedefin doğrulanması) ve bütünlüğünün korunması(iletim sırasında herhangi bir değişikliğe uğramadığının doğrulanması)
PKI uygulamalarında her kullanıcının biri özel (private) diğeri genel (public) olmaküzere iki anahtarı bulunur. Kullanıcının genel anahtarı herkese açık olup özel anahtarı sadecekullanıcı (kullanıcı uygulaması) tarafından bilinir. Özel ve genel anahtar arasında çözülmesipratikte imkânsız bir matematiksel ilişki vardır ki kullanıcının genel anahtarı ile şifrelenenbir mesaj yalnızca aynı kullanıcının özel anahtarı ile deşifre edilebilir. Dolayısıyla birkullanıcıya şifreli bir mesaj göndermek istendiğinde mesaj, bu kullanıcının genel anahtarı ileşifrelenebilir ve böylece gerçek alıcısı dışında kimse tarafından deşifre edilemez.
Kullanıcının genel anahtarının gerçekten o kullanıcıya ait olduğundan eminolunabilmesi için sertifika otoritesi (CA :Certificate Authority) kullanılır. CA, şifreleme vekimlik doğrulama işlemleri için anahtarları sağlamak ve atamakla sorumludur. CA, buanahtarları ve sertifikaları yayarak dağıtır. Bir PKI sisteminde, tüm kullanıcıların tanıdığı(güvendiği) ve genel anahtarı tüm kullanıcılar (uygulamalar) tarafından bilinen bir sertifikaotoritesi bulunur. Kullanıcıların genel anahtarları, sertifika otoritesinin güvencesi altındadırve tüm genel anahtarlar sertifika otoritesi tarafından imzalanmıştır. CA, kimlik doğrulmasınıdijital imzalar (digital signiture) yoluyla yapar.
Dijital imzalama için; gönderici mesajın sonuna mesajın tümünden hash (MD5,SHA-1/2 gibi) algoritmaları ile elde edilen bir özeti (digest) kendi özel anahtarı ileşifreleyerek mesaja ekler.
PKI şifreleme veri iletiminin yanı sıra, akıllı kart uygulamalarında, SSL gibi kullanıcıtanımlaması yapan bağlantılarda ve aklınıza gelebilecek şifreli veri transferi gerçekleştirenbirçok uygulamada kullanılmaktadır. Karmaşık yapısı sebebiyle uygulama alanı genişledikçekullanımında zorluklar yaşansa da mevcut olan en güvenli yapı olarak kabul edilmektedir.
2.3. Güvenlik Duvarı
Mevcut ağda karşılaşılabilecek sorunları şu şekilde sıralayabiliriz: Ağa yapılan dış saldırılar İnternet bant genişliğinin maksadı dışında kullanılması Yetkisiz kişi veya yazılımların dış ağa bilgi sızdırması Yetkisiz kişilerin İnternete bağlanması
25
Böylesi durumlardan korunabilmek ve ağ güvenliğini sağlayabilmek için bir ağgüvenlik duvarı (network firewall) kullanılır. Bir ağ güvenlik duvarı kullanarak ağınızı dışsaldırılardan koruyabilirsiniz, ağa gelen ve ağdan giden verileri denetleyebilir veyönetebilirsiniz, istemediğiniz istemcilerin (client) İnternet bağlantısını kesebilirsiniz,mevcut İnternet bağlantınızın bat genişliğini yönetebilirsiniz.
2.3.1. Kurulum
“Setup.exe” çalıştırıldığında karşımıza gelen bu ilk pencerede “Next” düğmesinitıklayarak kurulumu başlatabiliriz (Şekil 2.1).
Resim 2.1: GD kurulum (giriş ekranı)
Lisans sözleşmesinin kabul edildiğini gösteren onay kutusu işaretlenir (Resim 2.2).
Resim 2.2: GD kurulumu (lisans sözleşmesi)
26
Bu adımdan sonra karşılaşılan pencerede (Resim 2.3) programın kurulacağı dizinbelirlenerek “Next” düğmesi tıklanır.
Resim 2.3: GD kurulumu (kurulum dizinini belirleme)
Son olarak “Finish” tıklanarak program bitirilir.
Resim 2.4: GD kurulum (bitiş ekranı)
27
2.3.2. Ayarlar
Resim 2.5(a): GD ana penceresi
Resim 2.5(a)’da GD (güvenlik duvarı)’nın ana penceresi görülmektedir. Bu ekrandaprogramın genel özellikleri ve o anki işlem durumu hakkında genel bilgiler ve göstergeleryer alır.
Resim 2.5(b): GD bileşen, koruma gücü ve ağ trafiği göstergeleri
Resim 2.5(b)’de GD’nin o anki denetleme durumu, koruma gücü ve ağ trafiğigöstergeleri görülmektedir.
28
Resim 2.6: GD Güvenlik seviyesi göstergesi
Resim 2.6’da GD’nin uyguladığı güvenlik seviyesi görülmektedir. Hepsini engelle;(block all) en üst düzey güvenlik ayarlamalarının aktif olduğu seviyedir. Bu seçenek ilehiçbir uygulamaya ve bağlantıya izin verilmez. Özel; (custom) kullanıcının ayarladığışekilde uygulanan güvenlik düzeyidir. Hepsine izin ver; (allow all) GD’nin devre dışıbırakılması anlamına gelir, tüm uygulamalar ve bağlantılara izin verilir.
Resim 2.6-GD ethernet göstergesi
Resim 2.6’da bilgisayara ait ethernet kartı ve LAN adreslerine ait bilgilergörülmektedir.
Şimdi GD’yi kendimize göre ayarlayalım.
Üst menüde bulunan ( ) düğmesini tıkladığımızda karşımıza güvenlikayarlarını yapacağımız pencere açılacaktır.
Güvenlik sekmesi altında sol taraftaki menüden “Görevler” düğmesi seçiliykenkarşımıza Resim 2.7’deki pencere gelecektir.
29
Resim 2.7: GD genel ayarlar penceresi
“Genel Görevler” kısmında yer alan;
“Yeni bir Güvenli Uygulama Belirt” seçeneği, İnternete tam erişim izni verilmekistenen uygulamanın seçilmesi için kullanılır.
“Bölge/Ekle/Kaldır/Değiş” seçeneği, ağ bağlantısı üzerinde bölge eklemeyi,kaldırmayı ve düzenlemeyi sağlar. Bu kısımda eklenilen bölgelere daha sonra izinlerverilebilir veya kısıtlamalar getirilebilir.
“Yeni Yasaklı Uygulama Belirt” seçenği, İnternete erişim izni verilmek istenmeyenprogramın seçilmesi için kullanılır.
“Güncelle, Denetle” program veritabanının güncellenmesi için kullanılır.
Sihirbazlar kısmında yer alan;
“Yeni Güvenli Ağ Bölgesi Belirt” seçeneği, ağda tüm izinlerin verilmiş olacağıbölgeler tanımlanmasını sağlar.
30
“Bilinen Uygulamalar İçin Tara” seçeneği, sık kullanılan uygulamalarınbelirlenerek onlar için erişim kurallarının oluşturulmasını sağlar.
Menüden ( ) düğmesini tıkladığımızda karşımıza Resim 2.8’dekipencere gelecektir.
Resim 2.8: GD uygulama izleyicisi penceresi
Bu kısımda, bilgisayarda çalışan uygulamaların İnternete bağlanma izinleri veyasakları takip edilebilir. Yukarıdaki menüde bulunan “ekle”, “kaldır” ve “kaldır”seçenekleri ile yeni uygulama eklenebilir/kaldırılabilir ve izinler düzenlenebilir.
Menüden ( ) düğmesini tıkladığımızda karşımıza “Bileşen DenetimKuralları” penceresi gelecektir (Resim 2.9).
31
Resim 2.9: GD bileşen izleyicisi penceresi
Bu pencerede, sistemde çalışan tüm programların dijital kütüphane (.dll) dosyalarıgörüntülenmektedir. Görüntülenen bu dosyalarla ilgili izinler, bu pencereden düzenlenir.
Menüden ( ) düğmesini tıkladığımızda karşımıza “Ağ DenetimKuralları” penceresi gelecektir (Resim 2.10).
Resim 2.10: GD ağ izleyicisi penceresi
32
Bu pencerede, ağ ile bilgisayarınız arasındaki alışverişi denetleyebilir veyönetebilirsiniz. Ağınızdaki bir bilgisayarın sizin bilgisayarınıza bağlanmasına izin verebilirveya bağlanmasını engelleyebilirsiniz. Bu izinleri tek bir bilgisayar için ayarlayabileceğinizgibi bir IP aralığı veya daha önceden tanımladığınız bir ağ bölgesi için de ayarlayabilirsiniz.
Bunun için “ekle” seçeneğini tıklayın. Karşınıza Resim 2.11’deki pencere gelecektir.Bu pencerede, izin verilecek veya kısıtlanacak bağlantı protokolünü, IP numarası veyaaralığını, ağ bölgesini ve hedef port ile kaynak port numaralarını ayarlayabilirsiniz.Belirlenen IP ve port numaraları üzerinden sadece gelen veya giden paketlerdenetlenebileceği gibi tüm paketlerin aynı anda denetlenmesi de mümkündür.
Resim 2.11: GD ağ denetim kuralı oluşturma penceresi
Menüden ( ) düğmesini tıkladığımızda karşımıza “İleri GüvenlikYapılandırması” penceresi gelecektir (Resim 2.11).
Resim 2.11: GD gelişmiş ayarlar
Uygulamaya izin ver ya da verme
Bağlantı protokolünü seç
Eylemin uygulanacağı paketin
Tüm IP ve Port numaraları ayarlama
33
Bu pencerede, uyarı sıklığı ve şekli ile GD nin bilgisayarın açılışındaki davranışı gibitemel bazı özeliklerin ayarlanması yapılır.. Bunun yanında “ileri saldırı tespit ve önleme”seçeneği ile ağdan yapılan saldırı girişimleri karşısında nasıl bir davranış izleneceği gibiayarlamalar yapılır.
Menüden ( ) düğmesini tıkladığımızda karşımıza Resim 2.12’deki penceregelecektir.
Resim 2.12: GD etkinlik penceresi
Bu pencerede “Bağlantılar” seçili iken o andaki kurulmuş bağlantılar görüntülenir.Bağlantıyı kuran uygulama, kullandığı protokol, kullandığı IP ve port numarası, ulaşmakistediği IP ve port numarası ile o uygulamanın gönderdiği ve o aldığı paketlerin miktarıgörünmektedir.
“Raporlar” seçeneği ise GD’nin denetlediği olaylar hakkında tuttuğu raporlarıngörüntülendiği pencereyi açacaktır (Resim 2.13).
34
Resim 2.13: GD raporlar penceresi
Kurulum ve ayarlamaları anlattıktan sonra şimdi yazılımsal güvenlik duvarınıntürlerini inceleyelim:
2.3.3. Güvenlik Duvarı Türleri
Güvenlik duvarı türleri aşağıdaki gibi sıralanabilir: Paket Süzmeli Güvenlik Duvarları (packet fitlering FW) Kararlı Paket İzleme GD (stateful packet inspection FW) Uygulama Geçityolu GD (application gateway FW) Devre Düzeyli Geçityolu (circuit level FW)
2.3.3.1. Paket Süzmeli GD (Packet Filtering FW)
Paket filtreleme, en basit paket izleme metodudur. En yaygın kullanımı yönlendiriciveya dual-homed geçityollarındandır.
Paket filtreleme işlemi şu şekilde yapılmaktadır: Her bir paket güvenlik duvarından geçtiği esnada paket başlığı bilgisi
önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Paketin kabul edilme veya reddedilme kararı bu karşılaştırmanın
sonuçları doğrultusunda verilir. Her bir paket diğer paketlerden bağımsız bir şekilde incelenir.
35
Paket filtreleme; Kaynak IP adresi Hedef IP adresi Protocol tipi (TCP/UDP) Kaynak port Hedef port
gibi verileri tarar ve belirtilen eylemleri ona göre işletir. Örneğin izin verilen biruygulama için bu veriler geçerli ise izin işletilir. Aksi hâlde o paketleri durdurmak yolu ile ouygulamanın çalışması engellenmiş olur.
Paket süzmeli güvenlik duvarı, oldukça hızlıdır ve maliyeti düşüktür. Bu güvenlikduvarı kullanıldığında; istemcilerin ek bir ayarlama yapmasına gerek yoktur.Uygulamalardan bağımsız çalışır.
Paket süzmeli güvenlik duvarı, “ya hepsi ya hiçbiri” mantığıyla çalıştıklarından bazentehlikesiz paketleri engelleyebilecekleri gibi bazen de tehlikeli paketlere izin verebilirler.Bu yüzden izinlerin ve kısıtlamaların çok iyi hazırlanması gerekir.
2.3.3.2. Kararlı Paket İzleme GD (Stateful Packet Inspection FW)
Paket filtreleme mantığıyla çalışır. Fakat paketleri daha geniş kapsamlı tarayarakpaket başlık bilgisini edinir ve bu bilgiyi dinamik durum tablosuna ekler. Bu işlem, sıradakitüm paketler için uygulanır ve başlık bilgileri (packet header information) karşılaştırılarakbağlantının aynı olup olmadığı belirlenir.
Bu güvenlik duvarı ile izin ve yasaklar aşağıdaki değişkenler doğrultusunda verilir:
Kaynak IP adresi Hedef IP adresi Protokol tipi (TCP/UDP) Kaynak port Hedef port Bağlantı durumu
Bağlantı durumu, dinamik durum tablosuna göre belirlenir. Bağlantı aynı ise izinlerişletilir. Bağlantının durumunu hatırlayabilme özelliği sayesinde paket filtrelemeden dahagüvenliklidir.
Dinamik paket inceleyen güvenlik duvarları basit paket filtreleyen güvenlikduvarlarına göre daha fazla güvenlik sağlar. Dinamik paket inceleyen güvenlik duvarlarıpaket başlık bilgisini daha derinden incelediğinden istenmeyen veya hakkı olmayanerişimlere göre daha iyi bir koruma sağlar.
36
Fakat paket filtreleme ile mantıkta çalıştıklarından bazen tehlikesiz paketleriengelleyebilecekleri gibi bazen de tehlikeli paketlere izin verebilir. Ayrıca daha genişkapsamlı inceleme yaptıklarından ayarlanmaları daha karışık hâle gelebilir.
2.3.3.3. Uygulama Geçityolu/Vekil Sunucular GD (Application Gateway/ProxiesFW)
Uygulama geçityolları/vekil sunucular, iki uç nokta arasında bir aracı olarakdüşünülebilir. İki ağ ortamının arasına kurulurlar. Bir bağlantı kaynaktan ağ geçidi/vekilsunucuya; diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağgeçidi/vekil sunucu aracılığı ile görüşebilir.
Bu güvenlik duvarı, paket filtreleme ve dinamik paket izlemeden farklı olarakuygulama geçityolu/vekil sunucu iletişimin en uç noktasındaki tüm durumlarıgörüntüleyebilir ve bu sayede daha ayrıntılı inceleme yapabilir. Örneğin, bir yazı içerenposta mesajı ile resim içeren posta mesajı arasındaki farkı anlayabileceği gibi Java kullananweb sayfası ile kullanmayan arasındaki farkı da bilir.
Güvenlik açısından uygulama geçityolu/vekil sunucu izleme yöntemi, diğer paketizleme yöntemlerine göre oldukça mükemmeldir.
Dezavantajı ise uyguladığı bu geniş kapsamlı tarama yüzünden iletişimiyavaşlatmasıdır. Kendisine bağlanan istemci sayısı arttıkça yavaşlık artacaktır. Ayrıcakendisine bağlanan istemciler özel yazılımlara ve ayarlamalara ihtiyaç duyar.
2.3.3.4. Geçityolu Donanımı GD (Circuit Level Gateway FW)
Paket filtreleyen güvenlik duvarlarından farklı olarak geçityolu donanımı, sadecepaketleri incelemez, TCP veya UDP oturumlarını izler. Bir oturum kurulduktan sonrageçityolu donanımları bu oturuma ait bütün paketlerin geçmesi için portu açık bırakır. Portoturum kapanana kadar açık kalır.
Performans açısından avantajlıdır. Fakat açılmış oturumdan gelen tüm paketlere izinverileceğinden güvenlik açığı meydana gelebilir.
Güven
lik
duvarı
Güvenilmeyen Ağ
PC
37
UYGULAMA FAALİYETİ
192.168.1.15/30 IP aralığındaki bilgisayarlardan 135 numaralı porta gelen paketlerikısıtlayan güvenlik duvarı kuralını hazırlayalım.
İşlem Basamakları Öneriler
Programın ana penceresiniaçın.
Bildirim alanındaki simgeyi çift tıklayın.
Ağ izleyicisini seçin.
Ekle düğmesini tıklayın.
Eylem seçeneğinden izinverme seçeneği seçilir.
Yön listesinden Gelenseçilir.
Hedef IP sekmesindenbelirtilen aralık seçilir.
Hedef Port sekmesinden135 nu.lı port seçilir.
İşlemi onaylayın.
UYGULAMA FAALİYETİ
38
ÖLÇME VE DEĞERLENDİRMEAşağıdaki soruları dikkatlice okuyarak doğru/yanlış seçenekli sorularda
uygun harfleri yuvarlak içine alınız. Seçenekli sorularda ise uygun şıkkı işaretleyiniz.Boşluk doldurmalı sorularda boşluklara uygun cevapları yazınız.
1- MD5 bir hash algoritmasıdır. (D/Y)
2- MD5 veriyi …….bitlik özetler hâline getirir.
3- SHA-1 veriyi ….. bitlik özetler hâline getirir.
4- DES veri bütünlüğünü sağlamak için kullanılır. (D/Y)
5- DES ……. bitlik şifreleme yapar.
6- AES dizi şifreleme algoritmasıdır. (D/Y)
7- Aşağıdakilerden hangisi IPSec’ in kullandığı iletim modlarından birisidir?A) Tunnel modB) Slience modC) Advanced modD) Easy mod
8- Aşağıdakilerden hangisi IPsec’in veri bütünlüğünü sağlamak için kullandığışifreleme algoritmalarıdır?A) DES, 3DESB) AES, Havall128C) MD5, SHA-1D) CRC32, Havall256
9- Aşağıdakilerden hangisi IPsec’in veri güvenliğini sağlamak için kullandığışifreleme algoritmalarıdır?A) CRC32, Havall256B) SHA512, Havall128C) MD5, SHA-1D) DES, 3DES
10- SSL mail güvenliğini sağlayan bir uygulama değildir. (D/Y)
ÖLÇME VE DEĞERLENDİRME
39
DEĞERLENDİRME
Cevaplarınızı cevap anahtarı ile karşılaştırınız. Doğru cevap sayınızı belirleyerekkendinizi değerlendiriniz. Yanlış cevap verdiğiniz ya da cevap verirken tereddüt ettiğinizsorularla ilgili konulara geri dönerek tekrar inceleyiniz. Tüm sorulara doğru cevapverdiyseniz diğer öğrenme faaliyetine geçiniz.
40
ÖĞRENME FAALİYETİ-3
Ağ izleme ve kontrol programları ile ağı izleyebilecek ve kontrol edebileceksiniz.
Bakımını üstlendiğiniz bir ağ ortamını bir noktadan izleyebilmenizin ve kontroledebilmenizin size ne gibi faydalar sağlayabileceğini araştırınız.
3. AĞ İZLEME VE KONTROLPROGRAMLARI
3.1. Ağ İletişim ve Yönetim Programı (NetOp School)
Bu bölümde anlatacağımız program ile ağınıza bağlı tüm bilgisayarları bir noktadanizleyebilecek ve yönetebileceksiniz.
3.1.1. Kurulum
Setup.exe dosyasını çalıştırarak kurulumu başlatıyoruz.
Kurulum diğer programların kurulumu gibidir. Programın, yönetici veya yönetilenolarak kurulduğuna dikkat edilmelidir. Bunun için Resim 3.1’de gösterilen pencerede gerekliseçimi yapmalıyız.
Resim 3.1: Kurulum seçenekleri
ÖĞRENME FAALİYETİ-3
AMAÇ
ARAŞTIRMA
41
Burada “teacher” (öğretmen) yönetici, “student” (öğrenci) yönetilendir. Programkurulumu, yönetici seçeneği için gerçekleştirilecektir. Yönetmek istediğimiz bilgisayarlarada “student” olarak kurulum yapacağız. Yönetilecek bilgisayarlarda kurulum sonrasıherhangi bir ayar yapılmasına gerek bulunmamaktadır. “teacher” olarak kurduğumuzbilgisayar “student” kurulu olan bilgisayarları doğrudan görecek ve yönetmeyebaşlayacaktır.
Kurulum ayarları, “teacher” ve “student” tercihleri için aynıdır.
Resim 3.2: Kurulum (giriş ekranı)
Resim 3.2 de görülen giriş ekranında “Next” i tıklayarak ilerliyoruz.
Resim 3.3: Yönetilecek ağ ortamının ismi
42
Giriş ekranından sonra karşımıza gelen pencerede, yönetilecek ağ ortamının ismibelirlenir (Resim 3.3).
Resim 3.4:Yönetilecek bilgisayarların ismi
Resim3.4’teki pencerede yönetilecek olan bilgisayarların hangi isimle tanımlanacağıseçilir.
Burada;- Student login name; öğrencinin ona isim vererek tanımlanmasını,- Windows login name; öğrencinin Windows kullanıcı ismi ile
tanımlanmasını,- computer login name ise; öğrencinin bilgisayar ismi ile tanımlanmasını
sağlar.
Resim 3.5: İletişim protokolünün seçimi
43
Bu adımdan sonra iletişim protokolünün seçimi yapılır (Resim 3.5).
Resim 3.6: Bağlantı protokolünün seçimi
İletişim protokolünün seçiminden sonra gelen pencerede onarım parolasısorulmaktadırv(Resim 3.6). Bu parola, yönetilen bilgisayarları yönetim dışına çıkmasınıönlemek içindir. Yönetilen bir bilgisayardaki kullanıcı, “student” programını kapatmakistediğinde bu parola sorgulaması ile karşılaşacaktır.
Resim 3.7: Kurulum sonu
Son olarak “Finish” düğmesini tıklayarak kurulumu bitirmiş oluyoruz.
44
3.1.2. Kullanımı
Resim 3.8’de programın ana penceresi görülmektedir. Programın sunduğukolaylıklardan biri de student kurulu bilgisayarları doğrudan listelemesidir. Onlarabağlanmak için özel bir işleme gerek yoktur.
Resim 3.8: Yönetici programı ana penceresi
Bu pencerede sol tarafta yer alan menü sınıf kontrol menüsüdür.
Resim 3.9: Sınıf kontrol menüsü (class control menu)
45
Bu menüyü kullanarak şu işlemleri yapabilirsiniz:
“Detail View” seçeneği ile o anda bağlı olan öğrenci bilgisayarları detaylıolarak listelenir.
“Class View” seçeneği ile bağlı bilgisayarlar, sınıf şeklinde görüntülenir.
“Thumbnail View” seçeneği ile bağlı bilgisayarların ekranlarındakigörüntüleri önizleme şeklinde görüntülenir. Genel olarak sınıftaki tüm bilgisayarlarınekranını izlemek için kullanılır.
“Lesson Plan View”; önceden hazırladığınız plana göre öğrencibilgisayarlarına konu sunmanızı sağlar. Bu sunumu önceden hazırlanmış bir videoyugöstererek yapabileceğiniz gibi, o anda kendi ekranınızı da izletebilirsiniz. Bu sayade kendimakinenizde örnek uygulama yaparken sisteme bağlı bulunan diğer bilgisayarlar sizinekranınızı takip edebilir.
“Recordings View” seçeneği; önceden kaydedilmiş görüntülerinlistelendiği yerdir.
“Class Setup View”; yeni sınıflar oluşturmak, oluşturulmuş sınıflarısilmek veya düzenlemek için kullanılır.
Ana pencerenin üst kısmında yer alan Resim 3.10’daki bölüm “Araç Kutusu” olarakadlandırılır. Şimdi araç çubuğundaki seçenekleri inceleyelim:
46
Resim 3.10: Araç kutusu (tool box)
Demonstrate
Bağlı bilgisayarlara yönetici ekranının tümünü/bir bölgesini, varsa ikinci monitörüveya herhangi bir bağlı bilgisayarın ekranını izletebilirsiniz.
Attention
Bu düğmeyi tıklayarak seçili bilgisayarların ekranlarına resim veya yazı yansıtıponların klavye ve farelerini kilitleyebilirsiniz. Başka bir deyişle bağlı bilgisayarlarınekranlarına sabit bir görüntü yansıtarak onların işlem yapmasını engelleyebilirsiniz.
47
Control
Bağlı bilgisayarları yönetebilirsiniz ve onların ekranlarını izleyebilirsiniz. Bu işlemsırasında, istenirse bağlı bilgisayarların klavye ve fareleri de kilitlenebilir.
Communicate
Seçtiğiniz bilgisayarla sesli ve yazılı görüşme yapabileceğiniz gibi doğrudan tek taraflımesaj da gönderebilirsiniz.
Workgroup
Tüm bağlı bilgisayarlar arasında grup veya gruplar oluşturup bu grup veya gruplarıseçilen başka bir bilgisayarın yönetimine bırakabilirsiniz. Bu bir çeşit yetki devridir.Yönetici, bir grup oluşturup bu gurubu seçtiği bir başka bilgisayara devredebilir.
Run
Seçilen bilgisayar üstünde bir programı çalıştırmak için kullanılır. Çalıştırılacak olanprogramın o bilgisayarda kurulu olması gerekir.
48
Commands
Seçilen bilgisayarın oturumu kapatılabilir, yeniden başlatılabilir, gücü tamamenkesilebilir veya merkezle bağlantısı kesilerek gruba yeniden dâhil edilebilir.
Files
Seçilen bilgisayarlara dosya gönderme, onlardan dosya toplama işlemleri yapılabilir.
Policy
Yöneticiye bağlı bir bilgisayarda kurulu olan programlara ait erişim düzenlemeleriyapılabilir.
49
Policy
Yönetici bilgisayarındaki ekran görüntüsünün kayıt edilmesini sağlar..
Programın ana işlevleri bu kadardır. Resim 3.11’de “Groups” bölmesi, oluşturulangrupların gösterildiği yerdir. Yukarıda anlatılan işlemler seçilen tek bir bağlı bilgisayarüzerinde yapılabileceği gibi gruplar kısmında bulunan gruplardan biri de seçilerek bağlıbirçok bilgisayara aynı anda uygulanabilir.
Resim 3.11: Gruplar bölmesi
3.2. İzleyici (Sniffer) Programları
Bir ağda taşınan verileri izleme amaçlı kullanılan programlara genel olarak “sniffer”denilmektedir. Sniffer İngilizce’de “koklayıcı, koklayan, izleyen” manalarına gelmektedir.
En çok bilinen sniffer programları “tcpdump” ve “dsniff”tir. Bu programlar özellikleraçık kaynak kodlu işletim sistemlerinde (Linux, openBSD, freeBSD, unix gibi)çalışmaktadır. Bu programlar, kurulduktan sonra izlemek istedikleri ağa bağlanarak belirtilenIP numarası, port numarası gibi unsurlara bağlı olarak işlevlerini gerçekleştirebilirler.
Yukarıda belirtilen her iki izleyici programının da Windows işletim sistemi içinhazırlanmış sürümleri bulunmaktadır.
3.2.1. TCPDump
Ağ izleme ve veri incelemeye olanak veren en eski ağ analiz (dinleme) programıdır.Ağ hareketlerini incelemek amacıyla kullanılır. Başlangıçta da belirtildiği gibi bu programLinux altında çalışan bir programdır ve kurulumu da ona göre yapılmalıdır. Windowsbilgisayarlarda kullanabilmek için öncelikle “WinPcap” programı kurulmalı. Ardından“WinDump” programı komut isteminde çalıştırılmalıdır. Kullanılan parametreler aynıdır.
Şimdi kısaca TCPDump programına değinelim.
En basit kullanımı doğrudan
# tcpdump
50
yazmaktır. Bu komut ile doğrudan paket yakalanmaya başlanacaktır.
# tcpdump17:18:21.531930 IP oki.32829 > mcp.telnet: S 3115955894:3115955894(0) win 584017:18:21.531980 IP mcp.telnet > oki.32829: R 0:0(0) ack 3115955895 win 0
Burada “oki” adlı makine ile mcp adlı makine arasında bir alışveriş olduğugörülmektedir.
TCPDump ile kullanılan bazı parametreler de şunlardır (WinDump ile kullanılanparametreler de aynıdır.):
-i … Ethernet kartını seçmek için kullanılır. Sıralama 0’dan başlar
# tcpdump –i eth0Yazıldığında 1. ethernetten gerçekleşen iletişim dinlenir.
w; Yakalanan paketleri daha sonradan incelemek istiyorsak bu parametreyi kullanırız.
# tcpdump –w dosya_ismi.
r; Daha önceden kaydedilmiş dosyaları okumak için kullanılır.
# tcpdump –r dosya_ismi
host; Sadece belirtilen bir alanı izlemek için kullanılır. Burada host_adi bir IPnumarası da olabilir.
# tcpdump host 192.168.2.34# tcpdump host hotmail.com
port; belirtilen bir portun izlenmesini sağlar.
# tcpdump port 23
dst; belirtilen bir alan ya da porta giden verileri izler.
# tcpdump dst port 23# tcpdump dst host hotmail.com
src; belirtilen alan ya da porttan gelen veriler izlenir.
# tcpdump src port 21# tcpdump src host 10.1.0.56
51
3.2.2. DSniff
Dsniff ağ güvenliği denetimi ve trafik dinleme amaçlı yazılmış bir programdır.TCPDump gibi açık kaynak kodlu işletim sistemleri üzerinde çalışır. Dsniff bir ağdakiverilerin neredeyse tümünü yakalayabilen komplike bir programdır. Bünyesinde çeşitliişlevler gerçekleştiren alt programlar barındırır.
Dsniff’i oluşturan bazı programları şöyle sıralayabiliriz: Mailsnarf, urlsnarf,filesnarf, msgsnarf, webspy. Bu araçlar ağ ortamında gezen zayıf parolaları ve çeşitlibilgileri okunabilir formatta sunmak için kullanılabilir. Örneğin, urlsnarf aracı kullanılarakakan trafik içerisinden 80, 3128 ve 8080 portlarını dinleyerek web trafigine ait URL’lerinkaydını tutabiliriz.
Bunların dışında kötü amaçlı ellerde oldukça tehlikeli olabilecek arpspoof, macof,dnsspoof gibi ileri düzey araçlara da sahiptir. Bu araçlarla sağlam korunmamış bir LANiçerisinde SSL, SSH ve DNS trafikleri yanıltılabilir. Dsniff Windows işletim sistemiüzerinde de çalışır. Windows üzerinde çalışması için hazırlanmış sürümüne “Cain Abel” adıverilmektedir. Resim 3.12’de “Cain Abel”in bir ekran görüntüsünü görebilirsiniz.
Resim 3.12: Cain Abel arayüzü (network tabı)
52
Resim 3.13: Cain Abel arayüzü (izleyici sekmesi)
Resim 3.13’te ağa bağlı tüm cihazlara ARP (address resolution protocol) paketleriyollayarak onların IP ve MAC adreslerini alır. Ayrıca switchin ARP belleğini şişirerekanahtarlamalı dağıtım yapmasını engeller. Böylece switch, verileri tüm bilgisayarlara MACveya IP gözetmeksizin aynı anda gönderirken sniffer da verileri toplama imkânı kazanır.
3.3. Ağ Kartı Paket Analiz Programı (Ethereal)
Ethereal, açık kaynak kodlu bir trafik analiz programıdır. Gelişmiş grafik arabirimisayesinde kullanımı oldukça kolaydır. Bunun yanında istenirse komut satırından dakullanılabilir (komut satırından kullanabilmek için “tethereal” komutunun ve ekparametrelerinin kullanılması gerekir). Windows, UNIX(BSD, Solaris, vb) ve Linux işletimsistemleri üzerinde ücretsiz lisansı ile özgürce kullanılabilmektedir.
Ethereal’in bazı önemli özelliklerini şöyle sıralayabiliriz: Yakalanan paketleri kaydedebilme, kaydedilen paketleri analiz edebilme, bunu
yanında diğer sniffer programları ile yakalanan paketleri okuyabilme Yakalanan paketler düz yazı ya da PostScript olarak kaydedebilme Filtreleme esnasında istenilen protokollerin istenilen renkte gösterebilme
53
Resim 3.14’te Ethereal programının ana penceresi görülmektedir.
Resim 3.14: Ethereal programının arayüzü
Arayüz yatay olarak 3 bölüme ayrılmıştır: 1. bölüm, yakalanan paketleri; 2. Bölüm,seçili paketin ayrıntılı teknik özelliklerini ve kullandığı protokolleri; 3. bölüm ise yakalananpaketin içeriğini göstermektedir.
Resim 3.15: Ethereal programının arayüzü
Resim 3.15’e bakıldığında yakalanan verinin resim dosyası (jpg) olduğuanlaşılmaktadır.
54
3.4. Saldırı Tespit Programı (Snort)
Snort, IP ağları için gerçek zamanlı trafik analizi yapabilen ve paket kaydedebilen açıkkaynak kodlu bir saldırı belirleme sistemidir. Protokol analizi, içerik araştırması/eşlemesidahil daha birçok inceleme yaparak saldırıları veya yoklamaları (Örneğin tampon taşırma,gizli port taraması, SMB (server message blok protokol) yoklamaları, vs. ) tespit edebilir.
Snort programı kullanıcıya kural belirleme imkânı sağlamaktadır. Kullanıcı istediğiözellikteki trafiği yasaklayabilme imkânına sahiptir. Ayrıca çeşitli alarm mekanizmalarısayesinde herhangi bir saldırı tespitinden sonra kullanıcıyı uyarır.
3.5. Ağ Güvenlik Durumu Kontrol Programı (GFI Languard)
Windows sistemleri için ücretli olarak satılan bir programdır. GFI LANguard, ağınızıtüm potansiyel atak yöntemlerine karşı tarar. İşletim sistemi ve üzerinde çalışanuygulamaları analiz ederek tüm güvenlik açıklarını tespit eder. Başka bir deyişle ağınızdakitüm açıkları belirler ve ağınız bu açıklar üzerinden saldırıya uğramadan size uyarı mesajlarıyollar.
Resim 3.16’da GFI Languard programının arayüzü görülmektedir.Bu ekranda tüm ağıtarayabileceğiniz gibi ağınızdan seçeceğiniz bir bilgisayarı da tarayabilirsiniz. Taramayaptığınız bilgisayar hakkında ayrıntılı bilgiyi işaretli kısımdan takip edebilirsiniz. Bukısımda hem taradığınız bilgisayarın hem de tüm ağınızın tarama sonuçlarını görebilirsiniz.
Resim 3.16: GFI Languard programının arayüzü
55
3.6. Klasör Bütünlük Denetleyici Programı (Samhain)
İşletim sisteminin temelini oluşturan dosyalarda yapılan bir değişikliği zamanında farkedebilirsek ileride oluşabilecek birçok güvenlik probleminin de önüne geçmiş oluruz. Buaçıdan bütünlük denetleyici programlar oldukça büyük önem arz etmektedirler.
Samhain, açık kaynak kodlu, çoklu işletim sistemi desteği olan, merkezî bir yapıdaçalışan bütünlük doğrulayıcı yazılımdır. İstemci sunucu mimarisine uygun bir yapıda çalışır.Dosya bütünlüğü, izlenmek istenen sistemlere ajan bir program kurularak o sisteminkontrolü ajan programa bırakılır. Bu ajan program kayıt tutma yöntemiyle değişen dosyalarındenetimini yapar. “samhain” programının “cygwin” isimli yaması kurularak Windows’tasanal UNIX ortamı oluşturulur. Ve UNIX’e kuruluyormuş gibi Windows’a kurulumyapılabilir.
En çok bilinen diğer bütünlük denetleyicilere; tripwire, crontab gibi programlar daörnek olarak gösterilebilir. Bunlar tamamıyla UNIX/Linux sistemler içindir.
56
UYGULAMA FAALİYETİAşağıda verilen işlem basamakları ve önerileri dikkate alarak Ethereal programı ilepaket yakalama işlemini gerçekleştiriniz.
İşlem Basamakları Öneriler
Programı çalıştırın.
Araç çubuğundakiişaretli düğmeyitıklıyoruz.
Karşımıza gelenpencerede sahipolduğumuz bağlantıkartlarılistelenmemektedir.
Hangi bağlantı
kartından veritoplamak istiyorsakonun önündekicapture (yakala)düğmesinitıklıyoruz
UYGULAMA FAALİYETİ
57
Karşımıza veritoplama sürecinigösteren penceregelecektir. Ne kadarsüre yakalamakistiyorsak o kadarbekleyip daha sonrastop (durdur)düğmesinitıklıyoruz.
Şimdi takip etmekistediğimiz IPnumarasını 1.kısımda bulupüzerini tıklıyoruz.2. kısımdan verileriokuyabiliriz.
1
2
58
ÖLÇME VE DEĞERLENDİRMEAşağıdaki soruları dikkatlice okuyarak doğru/yanlış seçenekli sorularda
uygun harfleri yuvarlak içine alınız. Seçenekli sorularda ise uygun şıkkı işaretleyiniz.Boşluk doldurmalı sorularda boşluklara uygun cevapları yazınız.
1. Aşağıdakilerden hangisi NetOp School teacher ana penceresindeki sınıf kontrolmenüsünün seçeneklerinden değildir?A) Detail ViewB) Thumbnail ViewC) Recordings ViewD) Help
2. NetOP teacher programındaki Demonstrate seçeneği, yönetilen bilgisayarlaragösterim yapmaya yarayan seçenektir. (D/Y)
3. NetOP teacher programındaki Communicate seçeneği, yönetilen bilgisayarlarınkapatılması, yeniden başlatılması gibi işlemleri gerçekleştirmemizi sağlayanseçenektir. (D/Y)
4. Aşağıdakilerden hangisi sniffer programıdır?A) TCP DumpB) SnortC) Gfi LanguardD) Acrobat reader
5. TCPDump programının Windows sistemlerde çalışan sürümünün adı ……. tır.
6. DSniff ……….işletim sistemlerinde çalışır.
7. DSniff programının Windows sistemlerde çalışan sürümü aşağıdakilerdenhangisidir?A) WindumpB) FilesnarfC) GfiD) Cain Abel
8. Ethereal programı aşağıdaki işletim sistemlerinden hangisinde çalışır?A) WindowsB) LinuxC) UNIXD) Hepsi
ÖLÇME VE DEĞERLENDİRME
59
9. Snort programı saldırı tespit programıdır. (D/Y)
10. Samhain programının Windows sistemlere kurulmasını sağlayan yardımcıprogramının adı ………..dir.
DEĞERLENDİRME
Cevaplarınızı cevap anahtarı ile karşılaştırınız. Doğru cevap sayınızı belirleyerekkendinizi değerlendiriniz. Yanlış cevap verdiğiniz ya da cevap verirken tereddüt yaşadığınızsorularla ilgili konulara geri dönerek tekrar inceleyiniz.
60
MODÜL DEĞERLENDİRMEOBJEKTİF TEST (ÖLÇME SORULARI)
Aşağıda verilmiş olan tanımlamalar için uygun seçeneği (Doğru –D-, Yanlış –Y-)işaretleyiniz.
1- Antivirüs, kötü amaçlı yazılımlardan korunmak için kullanılan bir programdır. (D/Y)
2- Antivirüsler, virüsleri, zararlı yazılımın çalışma prensibine göre tespit eder
3- Antivirus for Workstation sunucu bilgisayarlara kurulur. (D/Y)
4- Antivirus for File server farklı türdeki işletim sistemlerine kurulur. (D/Y)
5- MD5 bir hash algoritması değildir. (D/Y)
6- SHA-1 veriyi 160 bitlik özetler hâline getirir. (D/Y)
7- Tunnel mod, IPSec’ in kullandığı iletim modlarından birisidir. (D/Y)
8- DES algoritması, IPsec’in veri bütünlüğünü sağlamak için kullandığı şifrelemealgoritmalarındandır.
9- SSL mail güvenliğini sağlayan bir uygulamadır. (D/Y)
10- Bir ağda taşınan verileri izleme amaçlı kullanılan programlara genel olarak “samhain”denilmektedir. (D/Y)
DEĞERLENDİRME
Yaptığınız değerlendirme sonucunda eksikleriniz varsa öğrenme faaliyetlerinitekrarlayınız.
Modülü tamamladınız, tebrik ederiz. Öğretmeniniz size çeşitli ölçme teknikleriuygulayacaktır, öğretmeninizle iletişime geçiniz.
MODÜL DEĞERLENDİRME
61
CEVAP ANAHTARLARIÖĞRENME FAALİYETİ-1’İN CEVAP ANAHTARI
Sorular Cevaplar1. Yanlış2. A3. Doğru4. Doğru5. Yanlış6. D7. Reports8. System Audit Log9. B
10. Statistics
ÖĞRENME FAALİYETİ-2’NİN CEVAP ANAHTARI
Sorular Cevaplar1. Doğru2. 1283. 1604. Yanlış5. 56 bit6 Yanlış7 A8 C9 D
10 Yanlış
ÖĞRENME FAALİYETİ-3’ÜN CEVAP ANAHTARI
Sorular Cevaplar1. D2. Doğru3. Yanlış4. A5. WinDump6 Açık kaynak kodlu7 D8 D9 Doğru
10 Cygwin
CEVAP ANAHTARLARI
62
MODÜL DEĞERLENDİRME CEVAP ANAHTARI
Sorular Cevaplar1. D2. Y3. Y4. Y5. Y6 D7 D8 Y9 D
10 Y
63
KAYNAKÇA
ÇÖLKESEN Rıfat, Bilgisayar Haberleşmesi ve Ağ Teknolojileri, PapatyaYayıncılık, Ekim 2000.
ÇÖLKESEN Dr.Rıfat, Bilgisayar Haberleşmesi ve Ağ Teknolojileri,ISBN:975-6797-00-2, 2002.
KAYNAKÇA