aĞ ve sİstem gÜvenlİĞİ - yalova

© 2002 Dikey8 Bilişim Güvenliği Girişimi

AĞ ve SİSTEM GÜVENLİĞİBurak DAYIOĞLU ve Burç YILDIRIM

{bd,by}@dikey8.com


Bilişim Güvenliği ve SorunlarBilişim sistemlerine bağımlılığımız artıyorGüvenlik ihlalleri her yıl en azından ikiye katlanıyor– Her gün yeni yöntemler keşfeden ve kullanan

saldırganlar– Kullanışlılığı güvenliğe tercih eden kullanıcılar ve

üreticiler– Eğitilmiş uzman eksikliği


CERT/CC Güvenlik Yaşam DöngüsüBilgisayar Acil Durum Müdahale Ekipleri Koordinasyon Merkezi (CERT/CC)– Acil durum müdahale ekipleri arasında koordinasyonun

sağlanması, global tehdit analizi

CERT/CC’ya rapor edilen ihlalleri ve bunların analizini temel alan bir model– Kurumsal güvenlik politikası belirlenmeden uygulanamaz– Her biri bir diğerine paralel yürütülebilecek beş adım– Bu adımların uygulanması durumunda ihlallerin en azından

%80’lik bölümünün gerçekleşmesinin engellenebileceği tahmin ediliyor


Saldırının EvreleriTehdit– Sadece teknik değil, büyük kısmı insan faktöründen

kaynaklanıyor.

Zayıflık– Vakanın gerçekleşmesi ancak tehditin, denk bir zayıflıkla bir araya

gelmesiyle olur.

OlayZarar


CERT/CC Güvenlik Yaşam Döngüsü


Saldırı Evreleriyle CERT/CC Güvenlik Yaşam Döngüsünün Birleşmesi

Saldırı Evreleri

Tehdit

Zayıflık

Olay

Zarar



Saldırı Evreleri

Tehdit

Zayıflık

Olay

Zarar

Koruma ve Sağlamlaştırma



Saldırı Evreleri

Tehdit

Zayıflık

Olay

Zarar


Hazırlıkk



Saldırı Evreleri

Tehdit

Zayıflık

Olay

Zarar


Hazırlıkk

Tespitk



Saldırı Evreleri

Tehdit

Zayıflık

Olay

Zarar


Hazırlıkk

Tespitk

Müdahale



Saldırı Evreleri

Tehdit

Zayıflık

Olay

Zarar


Hazırlıkk

Tespitk

Müdahale

İyileştirme


Koruma ve Sağlamlaştırma - IAmaç: Bilindik saldırılara ve problemlere karşı önlemlerin alınmasıAğ aktif cihazlarının ve bilgisayar sistemlerinin yazılım güncellemelerinin gerçekleştirilmesiÖn-tanımlı parolaların ve diğer anahtar sözcüklerin (SNMP topluluk isimleri vb.) değiştirilmesi


Koruma ve Sağlamlaştırma - IIMinimalist yaklaşım; açıkça gerekli olmayan her şey durdurulmalı ya da iptal edilmelidir– Çalışması şart olmayan sunucu yazılımlarının

durdurulması– Gereksiz yazılımların kurulmaması– Kullanıcılara ve yazılımlara yalnızca işlerinin

gerektirdiği kadar yetki verilmesi


Koruma ve Sağlamlaştırma - IIIKullanıcı tanımlama düzeneğinin daha güvenlikli hale getirilmesi– Akıllı kart, hardware-token ya da biyometrik

denetimlerin kullanımının tercih edilmesi– Bunlar kullanılamıyor ise S/Key gibi tek kullanımlık

parola düzeneklerinin kullanılması– Vazgeçilemeyen parola düzenekleri için parolaların

düzenli denetlenmesi ve zayıf parolaların atanmasının engellenmesi


Koruma ve Sağlamlaştırma - IVYedekleme ve geri yükleme düzeneğinin kurulması, düzenli olarak denetlenmesiAnti-virüs yazılımlarının kullanılması ve düzenli güncellemelerinin gerçekleştirilmesiSunucu yazılımları için üreticiler tarafından tavsiye edilen güvenlik ayarlarının yapılmasıAğlar arasında yalıtım için güvenlik duvarlarının kullanılmasıBu adımda alınan önlemlerin bilindik saldırıları engellemek için yeterli olup olmadığını denetlemek için zayıflık tarama yazılımlarının kullanılması


Hazırlık - IAmaç: Bir önceki adımda alınan önlemlerden sonra gerçekleşebilecek saldırılara hazırlık– “Bilinmeyen” saldırılara karşı hazırlık yapılması– Saldırıların tespit edilmesi ve müdahalenin

gerçekleştirilmesi için gerekli alt-yapının hazırlanması


Hazırlık - IIAğ aktif cihazı ve sistem kayıtlarının toplanması– İşletim sistemlerinin olabildiğince çok kayıt (ing. log)

üretmesinin sağlanması– Ağ aktif cihazlarının kayıt düzeneklerinin aktif hale

getirilmesi– Tüm kayıtların ağ üzerinde merkezi bir sunucu

üzerinde toplanması– Merkezi kayıtların güvenliğinin sağlanması– Kayıt tutan tüm bilgisayar sistemlerinin zaman

senkronizasyonunun sağlanması (NTP vb. ile)


Hazırlık - IIIKayıtları tutulabilecek diğer uygulamaların belirlenmesi ve kayıtlarının merkezileştirilmesi– Veritabanı sunucuları– E-posta sunucuları– DNS sunucuları– Web sunucuları– Uygulama sunucuları– ...

Merkezileştirilemeyen kayıtların belirlenmesi ve bunlar için izlenecek stratejinin tespiti


Hazırlık - IVSaldırı Tespit Sistemlerinin Kurulması– Bütünlük denetleyicilerinin kurulması ve sistem

dosyalarının düzenli olarak denetlenmesi– Ağ temelli saldırı tespit sistemleri kurulması ve “normal

olmayan” durumlar ile bilindik saldırıların tespit edilmesinin sağlanması

– Bu sistemlerin kayıtlarının da merkezi kayıt düzeneği ile birleştirilmesi

– Saldırganları yanıltmak, onları oyalamak ve tespit edilmelerini kolaylaştırmak için “honeypot” sistemlerinin kurulması


TespitAmaç: Anormal durumların tespit edilmesi, hangilerinin detaylı inceleme ve müdahale gerektirdiğinin belirlenmesiTutulan kayıtların düzenli olarak incelenmesiŞüpheli kayıtların belirlenmesi– Kayıtlarda saldırı izi olabilecek girdilerin aranması– Kayıtlar arası tutarsızlıkların aranması– Kayıtlarda zaman-atlamalarının aranması

Saldırı tespit sistemi alarmlarının incelenmesi


Müdahale - IAmaç: Şüpheli durumların etraflıca incelenmesi, müdahale edilmesi ve çözümlenmesiKayıtlar arasında ilişkilerin aranmasıSaldırı olduğundan emin olduktan sonra ilgili birim ve kuruluşlar ile bilgi paylaşımı– Kurum yönetimi– Anlaşmalı/ilgili acil durum müdahale ekibi– Saldırının kaynağı olan ağı işleten kuruluş– Savcılık– Basın– ...


Müdahale - IISaldırının nasıl gerçekleştiğinin çözümlenmesi– Saldırganlar aynı saldırıyı tekrar gerçekleştirebilir

Saldırıya ilişkin kayıtların topluca yedeklenmesi


İyileştirme - IAmaç: Diğer adımlarda edinilen bilgi ve deneyimlerin ışığında güvenliğin arttırılması, süreçlerin iyileştirilmesiYazılım ve yapılandırma güncellemelerinin yapılması, yamaların uygulanmasıZayıflıkların düzenli olarak izlenmesi– BUGTRAQ ve INCIDENTS gibi tarafsız listelerin takibi– Üretici duyuru listelerinin takibi


İyileştirme - IIVeri/Kayıt toplama düzeneklerinin iyileştirilmesi, revize edilmesiZayıflık tarama yazılımlarının düzenli çalıştırılması, tespit edilen zayıflıkların giderilmesiGüvenlik politikasının ve prosedürlerin revize edilmesi


Değerlendirme ve Sonuç11 Eylül saldırıları, tümüyle elektronik ortamda gerçekleştirilebilecek saldırıların boyutları ile ilgili bir fikir vermektedirGüvenliğin sağlanması için planlı bir çalışma zorunludurCERT/CC tarafından önerilen güvenlik yaşam döngüsünün her adımının titizlikle uygulanması ile saldırıların büyük bir bölümü bertaraf edilebilir ve/veya erken önlenebilirGüvenlik tek seferlik bir çalışma değil bir süreçtir


Dikey8 GirişimiMart 2002’de bilişim güvenliği alanında çalışan profesyonelleri ve konunun meraklılarını bir araya getirmeye çalışan bir sivil toplum girişimidirMakaleler, güncel haberler, etkinlikler takvimi, güvenlik anonsları ve tartışma listeleri ile ilgililere hizmet veren bir web sitesi bulunmaktadır

http://www.dikey8.comProjelere katkı vermek için gönüllülerin desteğine ihtiyaç vardır

aĞ ve sİstem gÜvenlİĞİ - yalova

Documents