OPT Bilgi Güvenliği Metodolojisi. Çağlar ÇAKICI

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "OPT Bilgi Güvenliği Metodolojisi. Çağlar ÇAKICI"

Transkript

1 OPT Bilgi Güvenliği Metodolojisi Çağlar ÇAKICI

2 İÇİNDEKİLER Optimist Elektronik Hakkında... 3 OPT-NET internet Güvenlik Denetimi... 5 OPT-APP Web Uygulaması Güvenlik Denetimi... 6 OPT-LAN Yerel Ağ Güvenlik Denetimi... 7 OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi... 8 OPT-VPN Sanal Özel Ağ Güvenlik Denetimi... 9 OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi OPT-SCAN Otomatize Güvenlik Denetimi OPT-DMZ DMZ Bölgesi Güvenlik Denetimi OPT-AUDIT Bilişim Sistemleri Denetimi OPT-BGYS Bilgi Güvenliği Yönetim Sistemi Denetimi Sistem Sızma Denetim Metedolojisi Denetim Türüne Özel Bölümler Güvenlik Açıkları Kullanılarak Sisteme Sızılması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Rapor Hazırlığı

3 Optimist Elektronik Hakkında Optimist Elektronik Denetim ve Danışmanlık Servisleri, Şubat 2011 itibariyle bağımsız bir şirket olarak kurulmuş olup, bilgi güvenliği denetimi ve danışmanlığı servisleri sunmakta, güvenlik denetim ve danışmanlık süreçleri ile ilgili araştırmalar yapmaktadır. Kurulduğu günden itibaren 200 ün üzerinde denetim ve danışmanlık projesi başarı ile tamamlanmıştır. Projeler arasında sistem sızma denetimleri, güvenlik politikası danışmanlıkları, ağ yapısı planlama danışmanlıkları, iş süreci güvenlik denetimleri ve yazılım geliştirme danışmanlıkları yer almaktadır. OPT bilgi güvenliği hizmetlerini sunabilmek amacıyla OPT-TEAM ekibini ve dış kaynaklı danışmanlarını kullanmaktadır. OPT-TEAM tarafından güvenlik denetim ve danışmanlık hizmetlerini daha verimli hale getirilmesi amacıyla yeni teknolojiler ve yazılımlar geliştirilmektedir. OPT-TEAM üyelerince sistem sızma denetimi amaçlı geliştirilen OPT Framework ve güvenlik denetim yönetimi amaçlı geliştirilen OPT Audit Framework ile güvenlik denetim ve danışmanlık süreçleri iyileştirilmiştir. 3

4 Optimist Elektronik danışmanları, kurumsal güvenlik ihtiyacınızın belirlenmesi, bilgi güvenliği yatırımınızın verimliliğinin ölçülmesi, bilgi varlıklarınıza yönelik güvenlik tehditlerinin belirlenmesi, kurumsal risk analizinizin yapılması hizmetlerini sunabilmek amacıyla en yeni teknolojileri, kendi geliştirmiş oldukları yöntemleri ve araçları kullanmaktadır. OPT danışmanları, güvenlik denetimi ağa/sunucuya sızma sürecinde kullanmak üzere OPT Framework yazılımını geliştirmiş, kendi geliştirmiş olduğu teknik ve araçları yazılıma entegre etmiştir. OPT Framework yazılımı ile çok sayıda yayınlanmış veya ekipçe geliştirilmiş exploit ler merkezi yapıya sokulmuş, ağa/sunucuya sızma süreci daha verimli hale getirilmiştir. OPT danışmanlarınca geliştirilen bir diğer ortam olan OPT Audit Framework ile de ticari yazılımlar, açık kaynaklı yazılımlar ve OPT Framework arası entegrasyon sağlanmış, raporlama süreçleri iyileştirilmiş ve güvenlik denetim süreçleri yönetilebilir hale getirilmiştir. Optimist Bilgi Güvenliği Denetim Hizmetleri Teknik Denetimler OPT-NET İnternet Güvenlik Denetimi OPT-APP Web Uygulaması Güvenlik Denetimi OPT-LAN Yerel Ağ Güvenlik Denetimi OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi OPT-VPN Sanal Özel Ağ Güvenlik Denetimi OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi OPT-SCAN Otomatize Güvenlik Denetimi OPT-DMZ DMZ Bölgesi Güvenlik Denetimi Süreç Denetimleri OPT-AUDIT Bilişim Sistemleri Denetimi OPT-BGYS Bilgi Güvenliği Yönetim Sistemi Denetimi 4

5 OPT-NET İnternet Güvenlik Denetimi OPT-NET internet güvenlik denetimi, kurumsal ağ altyapınızın verimliliğinin ve sağladığı güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince tam ağa sızma denetimi yapılmakta, saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Erişilebilir Bilgi Taraması Ağ Haritası Oluşturulması Güvenlik Teknolojilerinin Analizi Otomatize Güvenlik Açığı Taraması Yayınlanmış Güvenlik Açıkları Özel Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Güvenlik Açıkları Kullanılarak Sisteme Sızılması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri İnternet Üzerinden Erişilebilir Sistemlerin Haritalanması İnternet Üzerinden Erişilebilir Sistemlerin Servis Analizi İnternet Üzerinden Erişilebilir Sistemlerin Zaafiyet Analizi Güvenlik Teknolojileri Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 5

6 OPT-APP Web Uygulaması Güvenlik Denetimi OPT-APP Uygulama güvenlik denetimi, OPT-TEAM in ileri seviye web uygulaması denetim metodolojisini kullanır ve web uygulamanız en güncel tekniklerle değerlendirilir. Optimist Elektronik danışmanları öncelikle web uygulamanızın fonksiyonalitesi ve risk profilini çıkartır. Bu temelden yola çıkan değerlendirme, uygulamanızın güvenlik açıklarının tespiti için tam kapsamlı bir çalışmadır. Denetim Aşamaları Uygulama Haritası Oluşturulması Yapılandırma Açıkları Taraması Uygulama Platformu Açıkları Taraması Otomatize Araçlar ile Güvenlik Açığı Taraması Uygulama Harici Modüllerinin Analiz Edilmesi Yayınlanmamış Güvenlik Açıklarının Analizi Güvenlik Açıkları Kullanılarak Yetki Kazanılması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Web Uygulaması Haritalama Yapılandırma Açıkları Taraması Otomatize Araçlar ile Güvenlik Açığı Taraması Bilinen Saldırı Yöntemleri ile Güvenlik Açığı Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Saptanan Zaafiyetler Sonucu Uygulamaya Sızılması Servis Engelleme Zaafiyetleri Analizi Web Uygulamasının Kaynak Kod Üzerinden Analizi 6

7 OPT-LAN Yerel Ağ Güvenlik Denetimi OPT-LAN Yerel ağ güvenlik denetimi, kurumsal yerel ağ verimliliğinin ve sağladığı güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince yerel ağ ve uzak alan ağı analizi, ağ cihazları ve sunuculara zaafiyet analizi yapılmakta, saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Erişilebilirlik Analizi Ağ Haritası Oluşturulması Aktif Cihazların Keşfedilmesi ve Analizi Yardımcı Ağ Cihazlarının Analizi Güvenlik Teknolojilerinin Analizi Otomatize Güvenlik Açığı Taraması Yayınlanmış Güvenlik Açıkları Özel Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Yerel Ağ Yapısı Analizi Uzak Alan Ağı Yapısı Analizi Ağ Cihazlarının Güvenlik Denetimi Yerel Ağ Erişim Denetimi Analizi Yerel Ağ Switch Altyapısı Analizi Ağ Yönetimi Analizi Sunucuların Zaafiyet Analizi Örneklenmiş istemcilerin Zaafiyet Analizi VOIP Zaafiyet Analizi Sanal Özel Ağ Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 7

8 OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi VOICE Ses iletişim altyapısı güvenlik denetimi, kurumsal ses altyapısı ve ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetim süresince VOIP sistem, sunucu ve istemcilerine zaafiyet analizi, yerel ve uzak alan ağ bağlantı altyapılarının analizi, VOIP protokol ve kodlama türleri analizi, sistem yönetimi ve yazılımlarının analizi yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları VOIP iletişim Haritası Oluşturulması Kurumsal Ağ Altyapısı ve Santral Bağlantıları Analizi VOIP Sistem, Sunucu ve istemcilerinin Analizi Kullanılan Protokol ve Kodlama Bileşenleri Analizi Erişim Denetimi Analizi Sistem Yönetimi ve Yazılımların Analizi Güvenlik Teknolojilerinin Analizi Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri VOIP Ağı ve Cihazların Analizi VOIP ile Veri Ağlarının Bağlantı Analizi VOIP ile Ses ve Görüntü Sistemlerin Bağlantı Analizi Yerel Ağ Üzerinde Switch, VLAN ve Yönlendirici Analizi Paket Yakalama ve Ses iletişimi Çözümleme Analizi Ses Sistemlerini Kullanarak Çağrı Açma ve Yetki Kazanma Saptanan Zaafiyetler Sonucu Sistemlere Sızılması 8

9 OPT-VPN Sanal Özel Ağ Güvenlik Denetimi OPT-VPN sanal özel ağ güvenlik denetimi, kurumsal ağ altyapısı ve sanal özel ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince sanal özel ağ cihazları ve istemcilerine zaafiyet analizi, yerel ağ ve uzak alan ağlara erişim yöntemleri, erişim denetimi, bağlantı protokolleri ve kriptolama analizleri yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Sanal Özel Ağ Haritası Oluşturulması Kurumsal Ağ Altyapısı ve Sanal Özel Ağ Bağlantıları Analizi Sanal Özel Ağ Sistem, Sunucu ve istemcilerinin Analizi Kullanılan Protokol ve Kriptolama Bileşenleri Analizi Kimlik Doğrulama Yöntemleri Analizi Erişim Denetimi Analizi Sistem Yönetimi ve Yazılımların Analizi Güvenlik Teknolojilerinin Analizi Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Sanal Özel Ağ Sistemi ve istemcilerin Analizi Sanal Özel Ağ ile Kurumsal Ağlarının Bağlantı Analizi Sanal Özel Ağ Erişim Denetimi Analizi Kimlik Doğrulama Yöntemleri Analizi Güvenlik Teknolojilerinin Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 9

10 OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi OPT-WIRELESS kablosuz özel ağ güvenlik denetimi, kurumsal ağ altyapısı ve kablosuz özel ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince kablosuz ağ cihazları ve istemcilerine zaafiyet analizi, yerel ağ ve uzak alan ağlara erişim yöntemleri, erişim Denetimi, bağlantı protokolleri ve kriptolama analizleri yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Kablosuz Ağ Haritası Oluşturulması Kurumsal Ağ Altyapısı ve Kablosuz Ağ Bağlantıları Analizi Kablosuz Ağ Sistem, Sunucu ve istemcilerinin Analizi Kullanılan Protokol ve Kriptolama Bileşenleri Analizi Kimlik Doğrulama Yöntemleri Analizi Erişim Denetimi Analizi Sistem Yönetimi ve Yazılımların Analizi Güvenlik Teknolojilerinin Analizi Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Kablosuz Ağ Sistemi ve istemcilerin Analizi Kablosuz Ağ ile Kurumsal Ağlarının Bağlantı Analizi Kablosuz Ağ Erişim Denetimi Analizi Kimlik Doğrulama Yöntemleri ve Kriptolama Analizi Güvenlik Teknolojilerinin Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi İnternet Üzerinden Erişilebilir Web Uygulamalarının Analizi 10

11 OPT-SCAN Otomatize Güvenlik Denetimi OPT-SCAN otomatize güvenlik denetimi, kurumsal ağların ve sunucuların güvenlik seviyesinin ölçülmesi için internet üzerinden otomatize araçlar kullanılarak güvenlik denetimi ve özel kontroller içermektedir. Güvenlik denetimi süresince çeşitli otomatize yazılımlar ve OPT Framework ile sistemlere ve/veya web uygulamalarına yönelik güvenlik Denetimleri yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Otomatize Araçlar ile Sunucu ve Sistem Analizi Otomatize Araçlar ile Web Uygulaması Analizi OPT Framework ile Otomatize Denetim Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri internet Üzerinden Erişilebilir Sistemlerin Analizi 11

12 OPT-DMZ DMZ Bölgesi Güvenlik Denetimi OPT-DMZ DMZ bölgesi güvenlik denetimi, internet üzerinden erişilebilen sunucuların ve sistemlerin, koruma amaçlı kullanılan güvenlik teknolojileri olmadan sahip oldukları güvenlik seviyesinin ölçülmesi için DMZ ağı üzerinden uygulanan özel kontroller içermektedir. Güvenlik Denetimi süresince DMZ bölgesinde yer alan sunuculara güvenlik teknolojilerinden bağımsız olarak zaafiyet analizi yapılmakta, saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Ağ Haritası Oluşturulması Güvenlik Teknolojilerinin Analizi Otomatize Güvenlik Açığı Taraması Yayınlanmış Güvenlik Açıkları Özel Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Güvenlik Açıkları Kullanılarak Sisteme Sızılması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri DMZ Ağı Erişim Haritası Oluşturulması DMZ Ağı Üzerinden Erişilebilir Sistemlerin Servis Analizi DMZ Ağı Üzerinden Erişilebilir Sistemlerin Zaafiyet Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 12

13 OPT-AUDIT Bilişim Sistemleri Denetimi OPT-AUDIT Bilişim sistemleri altyapısı, süreç prosedürleri, yerel ağ altyapısı, ağ cihazları ile sunucuların verimlilik ve güvenlik Denetimini kapsamaktadır. Bilişim cihazlarının analizi, prosedür ve politikaların analizi, kaynak kullanım verimliliğinin analizi, ağ cihazlarının analizi, ağ ve sunucu altyapısında olabilecek güvenlik açıklarının denetimi ile sunuculara yapılacak otomatize güvenlik açığı taramalarını içermekte olup, sonuçlar çözüm önerileri ile beraber raporlanmaktadır. Denetim Kapsam Bileşenleri Güvenlik Politikası Örgütsel Güvenlik Varlık Sınıflandırması ve Denetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve işletim Yönetimi Erişim Denetimi İş Sürekliliği Yönetimi Yerel Alan Ağı Yapısı, Güvenliği ve Yönetimi Uzak Alan Ağı Yapısı, Güvenliği ve Yönetimi Sunucu Yapısı, Güvenliği ve Yönetimi İstemci Yapısı, Güvenliği ve Yönetimi Sistem Odası internet Erişim Denetimi Güvenlik Zaafiyeti Analizi 13

14 OPT-BGYS Bilgi Güvenliği Yönetim Sistemi Denetimi OPT-BGYS Bilgi Güvenliği Yönetim Sistemi yapısı, kurumun güvenlik politikası, iş süreçleri, hazırlanan prosedürler, kurum çalışanlarının güvenlik politikası yaklaşımları ve politika uygulama alanları TSE/iSO standartları doğrultusunda denetlenmektedir. Sorun veya uyumsuzluk bulunan kontroller değerlendirilmekte, sonuçlar öneriler ile beraber raporlanmaktadır. Denetim Kapsam Bileşenleri BGYS Kurulması Denetim ve izleme Geliştirme ve iyileştirme Güvenlik Politikası Örgütsel Güvenlik Varlık Sınıflandırması ve Denetimi insan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Erişim Denetimi Bilgi Sistemleri Geliştirme ve Yönetimi Güvenlik ihlal Olayı Yönetimi İş Sürekliliği Yönetimi Uyumluluk Haberleşme ve işletim Yönetimi 14

15 Sistem Sızma Denetim Metedolojisi ErIşIlebIlIr BIlgI Taraması Çözüm GelIştIrme ve Raporlama HarItalama (Ağ/ Uygulama) GüvenlIk Açıklarının DeğerlendIrIlmesI GüvenlIk TeknolojIlerInIn AnalIzI GüvenlIk Açığı Kullanarak SIsteme Sızma OtomatIze GüvenlIk Açığı Taraması Denetim Türüne Özel Bölüm Yayınlanmış GüvenlIk Açığı Taraması Yayınlanmamış GüvenlIk Açığı Taraması Denetim aşamaları tüm denetimler için uygulanmakta, içerikte veya detayda denetim türüne bağlı olarak farklılıklar oluşabilmektedir. Bazı denetimler genel aşamalara ek olarak özel kontrollere gereksinim duymaktadır. Bu doğrultuda denetimlere özel bir aşama da belirtilmekte ve her bir Denetim için tanımlanan ek kontroller, tanımlanan Denetim Türüne Özel Bölüm aşamasında uygulanmaktadır. 15

16 Denetim türlerine ve gereksinimlere bağlı olarak aşamalar arasında çapraz bağlantılar da bulunmaktadır. Bir aşamada elde edilen bilgi/bileşen kapsamda yer alıyor ve daha önceki aşamalarda gerekli kontrollerden geçmemiş ise ilgili aşamalar saptanan her yeni bileşen için tekrarlanmaktadır. Denetim Türüne Özel Bölümler OPT-LAN Yerel Ağ Güvenlik Denetimi Yerel ve Uzak Alan Ağlarının Analizi Ağ Cihazları ve Ağ Altyapısı Analizi OPT-APP Web Uygulaması Güvenlik Denetimi Web Uygulaması Kodlama Zaafiyetlerinin Analizi Web Uygulaması Kaynak Kod Analizi OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi VOIP Altyapısı ve Veri/Ses Sistemleri Bağlantı Analizi VOIP Erişim Denetimi Analizi OPT-VPN Sana Özel Ağ Güvenlik Denetimi Sanal Özel Ağ Erişim Denetimi Analizi Harici Doğrulama Sistemleri Analizi OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi Kablosuz Ağ Erişim Denetimi ve Kriptolama Analizi Kablosuz Ağ ve Kurumsal Ağların Bağlantı Analizi 16

17 Erişilebilir Bilgi Taraması Bu aşamada kuruluşunuzun internet üzerindeki varlığı ve alınabilen temel bilgiler gözden geçirilerek bilgisayar ağınızın herhangi bir saldırıda kullanılabilecek temel bilgileri toplanmaktadır. Genel Bilgi Toplama, yapılan bir grup sorgulama sonucu hedef organizasyon ya da yerel ağ hakkında elde edilebilecek bilgileri ortaya çıkarmaya dayanır. Arama Motorları Sorgulaması : Arama motorları aracılığıyla kurum çalışanlarının internet üzerinde farklı kaynaklarda paylaşmış oldukları bilgilerin analizi yapılmaktadır. Web sitesi Analizi : Hedef kurumla ilgili tüm web siteleri özel bir araç ile çevirim dışı olarak içerik analizine tabi tutulur, uygulama içerebileceği önemli bilgiler için taranır. Whois Veritabanı Sorgulamaları: Bu aşamada hedef ağ ile ilgili bütün alan (domain) isimlerinin ve IP adreslerinin bilgileri analiz edilir. DNS sorgulaması: DNS sunucusu analiz edilerek ağda bulunan sistemler ile ilgili bilgiler derlenir. 17

18 Haritalama (Ağ / Uygulama) Kuruma ait ağ üzerinde etkin durumda olan sistemlerin saptanması, servisleri, işletim sistemi ve uygulamaların belirlenmesi ile sistemlerin bağlantı biçimleri analizini içermektedir. Yapılan analiz sonucunda sunucuların işletim sistemi, uygulamaları, servisleri, güvenlik teknolojileri ve sistemlerin bağlantı biçimleri elde edilebilmektedir. Ağ Haritalama Kontrolleri Etkin Sistem Saptama : Hedef ağda erişilebilir durumda olan sistemlerin saptanması işlemidir. ICMP/TCP/UDP veya ham IP paketleri aracılığıyla erişilebilir durumda olan sistemler saptanmaya çalışılmaktadır. Ayrıca DNS alan aktarımı ve ters DNS sorguları kullanılarak erişilemeyen sistemler hakkında ek bilgiler de alınabilmektedir. Kurum DNS sunucusundan ve standart DNS sunuculardan tüm IP adreslerinin ve iç kullanım IP adreslerinin ters kayıtlarının sorgulanması Kuruma ait IP aralığının ve dış bağlantılarının, bilinen TCP/UDP portlarına paketler ve ICMP mesajları gönderilerek saptanması Eğer idle Scanning yapılabilir sistem bulunur ise bilinen TCP portları için tarama yapılması Kurum web sayfası veya arama motorları ile diğer IP adreslerinin saptanması Aktif sistemlerin alan adlarının ters sorgu, kurum DNS sunucusundan sorgu veya açık servislerden sorgu ile belirlenmesi Port ve Servis Tipi Taraması : Güvenlik teknolojileri dahil olmak üzere, tam bir TCP ve UDP port taraması yapılmaktadır. Aktif durumda olduğu tespit edilen cihazların tüm TCP ve UDP portları denetlenerek bu portlar üzerinde çalışan servisler belirlenir. Açık olduğu saptanan iletişim portlarına bağlantı yapılarak ilgili servis tipleri ve servisi sunan uygulamalar denetlenmektedir. Bu Denetim sonrasında saptanan uygulama ve uygulamanın sürüm numarası gibi bilgiler edinilmektedir. Aktif sistemlerin açık TCP ve UDP portlarının taranması Aktif sistemlerin kabul ettiği IP protokollerinin taranması Aktif servislerin, kullanılan uygulamaların ve sürümlerinin belirlenmesi 18

19 İşletim Sistemi Belirleme : Sistemlerin TCP/IP yapıları, iletişim kurma biçimleri ve yüklü uygulamalar analiz edilerek işletim sistemi türleri ve yama seviyeleri saptanmaya çalışılmaktadır. Servis analizi doğrultusunda saptanan ek bilgiler aracılığıyla yama seviyesi, erişilebilir olmayan ancak çalışan servisler gibi ek bilgilerin edinilmesi de mümkün olabilmektedir. Aktif sistemlerin işletim sistemi ve yama seviyelerinin belirlenmesi Aktif sistemlerin görevlerinin belirlenmesi Aktif sistemlerin IP ID sıralamasının analizi Yol Haritası Belirleme : Hedef ağda bulunan sistemlere ICMP/TCP/UDP ve ham IP paketleri aracılığıyla Traceroute işlemi yapılarak ağın haritası çıkarılmaktadır. Bazı özel durumlarda yol izleme işlemi güvenlik duvarı atlatılarak yapılabilmektedir. ICMP, TCP ve UDP protokolleri kullanılarak tracerotue yapılması Güvenlik duvarının belirlenmesi Yönlendiricilerin belirlenmesi Sunucuların belirlenmesi Port yönlendirme ve proxy ayarlarının belirlenmesi Kurum alt birimleri, bayileri veya çözüm ortaklarının ağları ile ilişkilerin analizi Etkin durumda bulunan sistemler ve ağlar arası güven analizi 19

20 Uygulama Haritalama Kontrolleri Uygulama Haritalama: Bu çalışma içerisinde siteniz / uygulamanız içerisindeki bilinen ve bilinmeyen bütün bağlantılar haritalanır ve daha sonraki güvenlik kontrolleri için kullanılır. Dizin Listeleme: Uygulama sunucusu üzerinde tespit edilebilen veya ihtimal gereği kontrol edilerek tespit edilen dizinler tespit edilerek listelenir. Böylece hedef uygulamanın yapısı tama yakın bir şekilde anlaşılmaya çalışılır. Gizli Web Dizinleri: Uygulama içerisinde bulunan gizli veya yorum satırı haline getirilmiş dizin adresleri tespit edilerek, genel kullanıma açık olmayan sunucu adresleri tespit edilir Yedek Dizin Kontrolleri: Yedek ve kod dosyalarının genellikle saklandığı dizinlerin sisteminizde bulunup bulunmadığı kontrol edilir. Sistem yöneticileri ve uygulama geliştiriciler genellikle sistemin yedek kopyalarını sunucu üzerinde başka bir adreste daha bulundurmayı tercih ederler. Bu kontrol, yedeklerin bulunduğu dizinlerdeki bu dosyaların saldırgan tarafından alınıp alınamayacağının kontrol edilmesini içerir. 20

21 Güvenlik Teknolojilerinin Analizi Kuruma ait ağ üzerinde etkin durumda olan güvenlik teknolojilerinin saptanması, yapılandırma bilgilerinin belirlenmesi ve zaafiyet analizini içermektedir. Yapılan analiz sonucunda güvenlik teknolojilerinin sahip olduğu zaafiyetler veya atlatılabilmeleri için kullanılabilecek yöntemler elde edilebilmektedir. Güvenlik Teknolojilerinin Saptanması : Hedef ağı korumakta olan güvenlik teknolojileri yol izleme, etkin sistem saptama, bilgi sızmaları ve özel yöntemler kullanılarak saptanmaktadır. Saptanan servislerin ve TCP/IP yapıları ile tepkilerinin analizi doğrultusunda güvenlik teknolojisi türü, tipi, yazılım türü, yama seviyesi gibi bilgiler edinilebilmektedir. Güvenlik Duvarının Saptanması ve Tipinin Belirlenmesi Saldırı Tespit Sisteminin Saptanması ve Tipinin Belirlenmesi Sanal Özel Ağ Sisteminin Saptanması ve Tipinin Belirlenmesi Ağ Temelli Anti-Virüs Sistemi Saptanması ve Tipinin Belirlenmesi OTP Cihazı Kullanımı Saptanması ve Türünün Belirlenmesi Güvenlik Duvarı Kural Listesi Analizi : Hedef ağda bulunan güvenlik duvarı üzerinde yol izleme işlemi geliştirilerek ve TTL değerleri ile oynayarak güvenlik duvarı kural listesi analizi yapılabilmektedir. Güvenlik duvarının açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Yönetim arabiriminin analizi Güvenlik duvarının izin verdiği protokol türlerinin saptanması Firewalking ile kural listesi analizi Bozuk bayraklı TCP paketleri korumasının analizi Kaynak sahteciliği yapılmış IP paketleri korumasının analizi Güvenlik duvarı ve koruduğu sistemlerin IP ID değerlerinin analizi Servis engelleme saldırıları analizi Güvenlik Duvarı üzerinde çalışan servislerin analizi Hatalı kural analizi 21

22 Sanal Özel Ağ Sistemi Analizi : Hedef ağda bulunan IPSEC, L2TP, PPTP ve TLS temelli olan sanal özel ağ sistemleri analiz edilerek, sanal özel ağ sunucularında kullanılan sanal özel ağ türü, kullanılan doğrulama teknolojileri, seçilen iletişim yöntemleri ve kriptolama algoritmaları analiz edilmektedir. Sanal özel ağ sistemi ve türünün tespiti Sanal özel ağ sistemi açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Yönetim arabiriminin analizi İletişim protokolü ve altyapısının tespiti Kriptolama altyapısının analizi OTP veya sertifika ile doğrulama kullanımının analizi Sanal özel ağ iletişimi içinde paket filtreleme analizi Sanal özel ağ erişim haklarının analizi Saldırı Tespit Sistemi Analizi : Hedef ağı izleyen saldırı tespit/önleme sistemi tepkileri doğrultusunda analiz edilebilmekte, vermiş olduğu etkin tepkiler (TCP Reset, ICMP Hata Mesajları vb.) ve güvenlik duvarı/yönlendirici ile iletişimi analiz edilerek yazılım türü, güncelleme sıklığı hakkında ek bilgiler edinilebilmektedir. Ayrıca özel teknikler kullanılarak saldırı tespit sistemi atlatma temelli işlemler yapılabilmektedir. Saldırı tespit / önleme sistemi ve türünün tespiti Saldırı tespit sitemi açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Saldırı tespit sitemi güncelleme sıklığı analizi Bozuk bayraklı TCP paketleri korumasının analizi Kaynak sahteciliği yapılmış IP paketleri korumasının analizi Saldırı tespit / önleme sistemi kapsamındaki sistemlerin belirlenmesi Yönetim arabiriminin analizi Saldırı engelleme türü analizi Saldırı engelleme türünün kötü niyetli kullanımı analizi Saldırı engelleme özelliğinin başarısı analizi Güvenlik duvarı veya yönlendirici ile ilişki analizi SSL/TLS/VPN ile kriptolu iletişim analizi Dil kodu veya diğer kodlama analizi 22

23 Anti-Virus Sistemi Analizi : Hedef ağda bulunan Anti-Virus yazılımlarının testi için kurumun vermiş olduğu e-posta adreslerine özel hazırlanmış virus ve virus imzası içeren paketler özel yöntemler ile gönderilmektedir. Daha sonra ilgili e- posta adresine erişmiş e-postalar ve Anti-Virus sunucusu kayıtları incelenmektedir. Ağ temelli anti-virüs sistemi ve türünün tespiti Anti-Virüs sistemi açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Yönetim arabiriminin analizi SSL/TLS/VPN ile kriptolu gönderim analizi Dil kodu veya diğer kodlama analizi Farklı sıkıştırma formatları ile analizi Güncelleme sıklığı analizi 23

24 Otomatize Güvenlik Açığı Taraması Denetim süresince saptanan tüm sistemlere ve web temelli uygulamalara otomatize yazılımlar aracılığıyla güvenlik açığı Denetimi yapılmaktadır. Çok sayıda farklı yazılım aracılığıyla saptanamayan birçok güvenlik açığı saptanabilmektedir. Kullanılmakta olan güvenlik açığı tarama yazılımları ticari lisanslara sahiptir veya açık kaynak kodlu ve ücretsizdir. Otomatize yazılımların işlevselliğini arttırmak amacıyla OPT-TEAM tarafından çok sayıda eklenti, özelleştirme ve modül geliştirilmiştir. Özellikle açık kaynaklı yazılımlar ve eklenti desteği bulunan uygulamalara geliştirilen modüller aracılığıyla yazılımlardan alınan verim arttırılmıştır. Otomatize Denetimlerde Kullanılan Bazı Yazılımlar: OPT Framework IBM/ISS internet Scanner IBM/Watchfire Appscan Tenable Security Nessus Scanner GFI Languard Security Scanner Microsoft Baseline Security Analyzer Acunetix Web Security Analyzer Paros Proxy Security Scanner SPIKE Security Scanner Burp intruder Security Suite 24

25 Yayınlanmış Güvenlik Açıkları Özel Taraması Otomatize güvenlik açığı tarama yazılımları, güvenlik açıklarının uygulamaya özel olması, özel doğrulama yöntemi gereksinimi, farklı sistem türlerinde çalışması veya ağ üzerinden erişilebilir olmaması nedeniyle her durumda başarılı sonuçlar üretememektedir. Bu nedenle otomatize tarama araçlarının yetersiz kaldığı göz önünde tutularak, Denetim boyunca saptanan tüm sistem ve uygulamalar özel Denetimler aracılığıyla denetlenmektedir. Özel Denetim aşamasında, saptanmış olan her uygulamanın yayınlanmış güvenlik açıkları sırayla denetlenmekte, yayınlanmış güvenlik açığı sonuçları farklı açılardan yaklaşılarak analiz edilmektedir. Analizler saptanan servisler ve işletim sistemi yapısı dikkate alınarak yapılmaktadır. Servislere özel yayınlanmış veya bilinen güvenlik açıkları elle denetlenmekte, farklı kullanım yöntemleri araştırılmaktadır. Sık kullanılan bazı servisler için hazırlanmış olan Denetim kontrollerinden bazıları aşağıda yer almaktadır. Ağ Cihazları : Ağ cihazları yapılandırması ve bilgi sızmalarının analizi Ağ cihazı amaç ve servis karşılaştırmaları analizi TCP/IP protocol yapısı analizi Yönlendirme Analizi Yönetim bileşenlerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi DNS Sunucusu : DNS Sunucusu yapılandırması ve bilgi sızmalarının analizi 3.parti Alan adları için kullanım analizi Hizmet sunulan alan adlarının analizi Alan adı transferi analizi Sorgulama geçici kaydı ve tampon bellek analizi Ters sorgu analizi Desteklenen sorgu türlerinin analizi 25

26 Web Sunucusu : Web Sunucusu yapılandırması ve bilgi sızmalarının analizi Dizin ve uygulama yetkilendirmesi analizi HTTP alt protokollerinin analizi ISAPI uzantıları ve filtrelerinin analizi Örnek uygulamaların ve dosyaların analizi Yedekleme ve yönetim bileşenlerinin analizi Desteklenen HTTP metodlarının analizi WebDAV servisi analizi Doğrulama yöntemlerinin analizi SSL/TLS desteklerinin analizi Harici yazılım uzantıları ve ek bileşenlerin analizi E-Posta Sunucusu : E-Posta Sunucusu yapılandırması ve bilgi sızmalarının analizi Alt protokollerin analizi (POP/iMAP/MAPi/Webmail) 3.parti alan adları ve sunucuları için kullanım analizi Hizmet sunulan alan adlarının analizi Desteklenen SMTP/POP/iMAP/MAPi metodlarının analizi Yedekleme ve yönetim bileşenlerinin analizi SSL/TLS desteklerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi Netbios/Samba Sunucusu : Netbios/Samba Sunucusu yapılandırması ve bilgi sızmalarının analizi Boş oturum işlemlerinin ve yetkilerinin analizi Netbios alt protokolleri desteklerinin analizi DCE/RPC servislerinin ve ilişkilerinin analizi Yedekleme ve yönetim bileşenlerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi 26

27 FTP Sunucusu : FTP Sunucusu yapılandırması ve bilgi sızmalarının analizi Kullanıcı yönetimi analizi Anonim kullanıcı analizi Dosya işlemleri için yetkilendirme analizi Pasif/Aktif işlemler ve protocol analizi Desteklenen FTP metodlarının analizi SSL/TLS desteklerinin analizi Doğrulama yöntemlerinin analizi LDAP Sunucusu : LDAP Sunucusu yapılandırması ve bilgi sızmalarının analizi LDAP şema yapısı ve özelliklerinin analizi Boş oturum işlemlerinin ve yetkilerinin analizi Desteklenen LDAP metodlarının analizi SSL/TLS desteklerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi Kerberos Sunucusu : Kerberos sunucusu yapılandırması ve bilgi sızmalarının analizi Kerberos sunucusu ve diğer sunucular arası zaman eşlemesi analizi Ağ için Kerberos haritasının çıkarılması Bilet yönetimi analizi Kriptolama türü ve kullanım analizi Veritabanı Sunucusu : Veritabanı Sunucusu yapılandırması ve bilgi sızmalarının analizi Ağ arayüz servisi analizi SSL/TLS desteklerinin analizi Kullanıcı yönetimi ve Doğrulama yöntemlerinin analizi Yedekleme ve yönetim bileşenlerinin analizi Veritabanı kayıtlı prosedürler, görünümler, tetikler, tablo ilişkileri ve dahili yetkilendirme kapsam dışıdır. 27

28 Yayınlanmamış Güvenlik Açıkları Özel Taraması Sistemler ve uygulamalar yayınlanmış gu venlik ac ıkları dışında birc ok gu venlik ac ığı da barındırabilmektedir. So z konusu gu venlik ac ıkları, uygulamanın veya sistemin o zel olmasından, standart dışı kullanımından, yapılandırılmasından, yerleşiminden veya programlamasından kaynaklanabilmektedir. Bu tu r yayınlanmamış gu venlik ac ıkları standart yo ntemler veya aracļar ile saptanamamaktadır. OPT-TEAM bu aşamada sistemleri ve uygulamaları o zel hazırlanmış testlerden gec irmekte, varolduğu bilinmeyen gu venlik ac ıklarını da aramaktadır. Yayınlanmamış gu venlik ac ıklarına o zel hazırlanmış olan Denetim kontrollerinden bazıları aşağıda yer almaktadır. Yapılandırma Hataları Analizi : Birçok uygulama ve işletim sistemi ön tanımlı kurulumları değiştirilmeden kullanılmaktadır. Bu nedenle söz konusu sistemlerde kullanılmadığı halde yüklü olan bileşenler, ön tanımlı kullanıcı hesapları veya erişimler nedeniyle sistemlerin ele geçirilmesi mümkün olmaktadır. Bu doğrultuda, saptanan sistemlerin yapılandırmaları özel olarak incelenmekte ve yapılandırmadan kaynaklanan güvenlik açıkları analiz edilmektedir. Yönetim arabirimi için kullanılan dış yazılımların güvenlik açıklarının araştırılması Yönetim arabiriminin bilinen veya tahmini kolay kullanıcı/şifre denemelerinden geçirilmesi Yönetim arabimi alt bileşenlerine kullanıcı/şifre girişi olmadan doğrudan erişme analizi Doğrulama servis veya takibini analiz ederek, doğrulama gereken yerlere doğrudan erişim analizi Doğrulama veya yetkilendirme amaçlı kullanılan ek yazılımlara doğrudan erişim veya servis engelleme Farklı kimlikler veya geçerli kimlikler ile kimlik sahteciliği analizi Programlama Hataları Analizi : Uygulama geliştiricilerin güvenlikten çok işlevselliğe önem vermesi sonucu oluşan, çoğunlukla kullanıcıdan gelen verinin kontrol edilmemesi, oturum takip sorunları, güvensiz veri depolama kaynağı kullanımı veya hatalı bellek yönetiminden kaynaklanan programlama hataları sonucunda hedef sistemler ele geçirilebilmektedir. Denetim sürecinde ilgili programlama hatalarına yönelik saldırılar saptanan tüm uygulamalarda farklı biçimlerde uygulanmakta ve sonuçları analiz edilmektedir. Girdi olarak gönderilebilecek olan değerlerin, değişken tipleri ile uyuşmayacak veya alan taşması yaratacak biçimde gönderilmesi Girdi olarak gönderilebilecek değerler kullanılarak yeniden değişken tanımlama veya erişim zamanlama saldırıları yapılması Kullanılan harici kütüphanelerin güvenlik açıklarının denetlenmesi 28

29 Tasarım / Yerleşim Hataları Analizi : Genellikle hatalı ağ yerleşimi, uygulamaların geliştirme sürecinde güvenliğe önem verilmemesi veya kullanılan uygulamanın hatalı kurulması sonucunda çok sayıda güvenlik açığı oluşmaktadır. Oluşan güvenlik açıkları denetlenerek, ağa farklı giriş noktaları veya uygulamalara yetkisiz erişim imkanı saptanmaya çalışılmaktadır. Depolama alanlarına doğrudan erişim veya servis engelleme imkanı araştırılması Doğrulama veya yetkilendirme ağ servisleri ile iletişim analizi Güvenilen sistem veya servisler ile iletişim ve kimlik sahteciliği analizi 29

30 Denetim Türüne Özel Bölümler Bazı Denetimler genel aşamalara ek olarak o zel kontrollere gereksinim duymaktadır. Bu doğrultuda Denetimlere o zel bir aşama da belirtilmekte ve her bir Denetim ic in tanımlanan ek kontroller, tanımlanan Denetim Tu ru ne O zel Bo lu m aşamasında uygulanmaktadır. Denetim Türüne Özel Bölümler OPT-LAN Yerel Ağ Güvenlik Denetimi Yerel ve Uzak Alan Ağlarının Analizi Ağ Cihazları ve Ağ Altyapısı Analizi OPT-APP Web Uygulaması Güvenlik Denetimi Web Uygulaması Kodlama Zaafiyetlerinin Analizi Web Uygulaması Kaynak Kod Analizi OPT-VOICE Ses İletişim Altyapısı Güvenlik Denetimi VOIP Altyapısı ve Veri/Ses Sistemleri Bağlantı Analizi VOIP Erişim Denetimi Analizi OPT-VPN Sanal Özel Ağ Güvenlik Denetimi Sanal Özel Ağ Erişim Denetimi Analizi Harici Doğrulama Sistemleri Analizi OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi Kablosuz Ağ Erişim Denetimi ve Kriptolama Analizi Kablosuz Ağ ve Kurumsal Ağların Bağlantı 30

31 OPT-LAN Yerel Ağ Güvenlik Denetimi OPT-LAN yerel ağ güvenlik Denetimi özel bölümünde yerel ağ altyapısı, uzak alan ağlarının bağlantısı ve ağ cihazları analiz edilmektedir. Uygulanan kontroller ile yerel ağ cihazları zaafiyetleri, ağ altyapısında bulunan sorunlar ve ağlar arası erişim zaafiyetleri saptanabilmektedir. Yerel ve Uzak Alan Ağlarının Analizi Kurumsal ağ altyapısı ve merkez yerleşim konumlandırmaları analiz edilmekte, uzak bağlantıların yapısı incelenmektedir. Yapılan analiz neticesinde amaca uygun ağ bölümlemesi, ağ bölümleri arası bağlantılar veya uzak alan bağlantılarındaki zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Yerel ağ yerleşimi ve altyapı analizi Yerel ağ bölümlemesi analizi Ağlar arası erişim Denetimi analizi Tek noktada hata analizi Uzak alan ağları bağlantı ve erişim Denetimi analizi Ağ Cihazları ve Ağ Altyapısı Analizi Kurum ağında yer alan ağ cihazları ve kurum ağının gerçeklemesi analiz edilmekte, cihaz yapılandırmaları, yapısal zaafiyetleri ve bilinen güvenlik açıkları analiz edilmektedir. Yapılan analiz neticesinde ağ altyapısında sorun oluşturabilecek yapılandırmalar, cihaz yerleşimleri veya ağ altyapısı sıkıntıları saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Switch yapılandırması ve VLAN analizi Yönlendirici yapılandırması analizi Yerel ağ bölümlemesi ve bölümleme türü analizi Diğer aktif ağ cihazları analizi Ağ cihazları yönetim özelliklerinin ve yazılımlarının analizi Ağ cihazlarının bilinen güvenlik açıklarının analizi 31

32 OPT-APP Web Uygulaması Güvenlik Denetimi OPT-APP web uygulaması güvenlik Denetimi özel bölümünde uygulama üzerinde bulunan kodlama hataları çalışılan platform üzerinde ve/veya kaynak kod üzerinden denetlenmektedir. Uygulanan kontroller ile web uygulamalarında yer alan SQL sorguları değiştirme, yetkisiz erişim sağlanması, siteler arası komut çalıştırma, yetersiz girdi kontrolü ve oturum yönetim sorunları saptanabilmektedir. Web Uygulaması Kodlama Zaafiyetlerinin Analizi Web uygulamalarında yer alan ve kodlamadan kaynaklanan güvenlik açıkları, çalışılan platform üzerinde girdi/çıktı analizine dayalı olarak kontrol edilmektedir. Yapılan analiz neticesinde yetki aşımı, yetkisiz veri erişimi, sistem ele geçirme veya verilere zarar verme sonuçları doğurabilecek zaafiyetler saptanabilmektedir. Denetim kontrolleri yapılırken anonim ve/veya geçerli bir kullanıcı hesabı kullanılmaktadır. Böylece sistemde tanımlı olmayan kullanıcıların neden olabileceği tehditler ile tanımlı kullanıcıların tehditleri ayrıştırılmaktadır. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Doğrulanmamış Girdi Kabul Edilmesi : Teyid edilmemiş girdi yöntemi ile, sunucu üzerine gönderilen URL parametre değerlerinin değiştirilmesi sonucu, sunucu tarafında izinsiz erişim sağlanabilir ve çalışan web servisi engellenebilir. Bütün URL parametre değerleri, ilgili güvenlik açığı için kontrol edilir. Siteler Arası Komut Çalıştırma : XSS olarak da tanımlanan bu web uygulaması açığı, Teyid Edilmemiş Girdi yöntemi içeriğinde bulunan bir uygulama açığı türüdür. Web uygulamaları bir saldırıyı son kullanıcıya browser ı vasıtasıyla iletmek için bir araç olarak kullanılabilir. Başarılı bir saldırgan, son kullanıcının oturum izini afişe edebilir, yerel makineye saldırabilir veya kullanıcıyı kandırmak için içeriği taklit edebilir. Son kullanıcı odaklı olan bu saldırı türünde uygulama sunucusu araç olarak kullanılır. Bu doğrultuda uygulamanın kabul ettiği parametre değerleri değiştirilerek sayfa içeriğindeki değişimler gözlenir ve değişim sonuçları analiz edilir. Bellek Taşması : Web uygulamaları üzerinde bellek taşması, uygulamanın kullandığı herhangi bir programlama dili kütüphanesinde bulunan bir açıktan kaynaklanan ve sunucu üzerine gönderilen değişkenlerle istismar edilebilen bir açıktır. Genelde web uygulamaları üzerinde Bellek Taşması bulunduğu takdirde sunucu tarafında http bağlantısı direk kesilebildiği gibi sunucu üzerinde kod çalıştırılması da mümkündür. Web uygulamaları için kullanılan kütüphaneler üzerinde oluşmuş hata raporları gözden geçirilerek uygulama üzerinde kontrol yapıldığı gibi uygulama kodları üzerinde parametre değerlerine bellek taşması da uygulanır. 32

33 Hatalı Giriş Kontrolü : Kullanıcılar için site üzerinde yapılandırılmış olan erişim kontrolü sayesinde farklı kullanıcılar farklı kategorilerde erişim sağlayabilmektedirler. Aynı şekilde sunucu üzerinde kullanıcıların fark etmediği dizin erişim yetkileri bulunabilmektedir. Var olan uygulama üzerinde standart kullanıcı hesabı ile erişim Denetimi kontrol edilir. Kırılmış Giriş Kontrolü için, kullanıcı kimlik bilgisinin uygulama üzerinde güvenilirliği test edilir, ters dizin ve dosya erişim analizi yapılır Hatalı Doğrulama ve Oturum Yönetimi : Web Uygulaması üzerindeki oturum kontrolü ve buna bağlı oluşan kimlik doğrulaması üzerinde saptanan açıklar, kullanıcı bazlı bilgi çalınması ve sahtecilik riski taşıyabilmektedir. Öncelikli olarak uygulamanın oturum yönetimi biçimi saptanıp, oturum kimlik değeri çalınma riski tespit edilir ve oturum değerinin şifreleme algoritması kontrolü yapılır. Bundan sonraki süreçte kullanıcı bilgileri ile ilgili verilerin POST / GET üzerindeki dönme değerleri incelenerek site güvenilirliği gözden geçirilir. Uygunsuz Hata İşleme : Web uygulamaları üzerinde oluşan hata çıktıları sistemin çalışması hakkında detaylı bilgiler verebilmektedir. Ayrıca saptanan hata mesajları kendi türüne göre sistem üzerinde yavaşlama ve aynı hata mesajına yoğun istekler yapıldığında sistemin çökmesine sebebiyet verebilmektedir. Denetim sürecinde hata mesajı oluşmasına sebebiyet veren parametreler uygulama üzerinde analiz edilir. Sorgu/Komut Değiştirme Kusurları : Sorgu/Komut değiştirme kusurları, web uygulamasında çalıştırılan kod üzerinden diğer uygulamalar üzerine izinsiz geçiş hakkına sebebiyet verebilmektedir. SQL ve XPath sorguları değişimi olarak tanımlanan ve bu tür içinde en çok görülen açık tanımları olup, sistem üzerinden izinsiz veri çalınması ve okunması riski taşıyabilmektedir. Bunun dışında web uygulamasını kullanarak sistem üzerinde komut çalıştırma da enjeksiyon kusurları arasında yer almaktadır. SQL ve XPath sorgu değiştirme testi, hem normal parametre değeri çalıştırma kontrolü; hemde kör kullanım olarak tabir edilen SQL sistem yapısı üzerinden sorgu kontrolünü içermektedir. Güvensiz Saklama : Uygulama üzerinde barındırılan verilerin saklanma biçimi web uygulamalarında önemli bir risk taşımaktadır.yapılan testlerde daha çok algoritma eksiklikleri, kritik verinin şifrelenmemiş olması, kullanıcı şifrelerinin, anahtarların ve sertifikaların güvensiz yerlerde saklanmış olması güvenlik riski taşımaktadır. Bu doğrultuda erişilebilen veri saklama ortamlarındaki yerleşim ve saklama türleri analiz edilmektedir. Güvensiz Yönetim Arabirimi : Web Sunucusu üzerindeki sistem yapılandırma ayarları kontrol edilir. SSL yapılandırması, güvenlik yamaları, uygulama entegrasyonu, kararlılık ayarları ve web sunucusu ile ilgili sistem güçlendirme ve performans ayarları denetlenir. 33

34 Web Uygulaması Kaynak Kod Analizi Web uygulamalarında yer alan ve kodlamadan kaynaklanan güvenlik açıkları, kaynak kod üzerinden ve yürütme analizleri beraberinde kontrol edilmektedir. Analiz sürecinde yürütme analizinde potansiyel sorun oluşturabilecek noktalar belirlenmekte ve kaynak kod üzerinde nasıl bir yaklaşım izlendiği analiz edilmektedir. Yapılan analiz neticesinde yetki aşımı, yetkisiz veri erişimi, sistem ele geçirme veya verilere zarar verme sonuçları doğurabilecek zaafiyetler saptanabilmektedir. Kaynak kod ilklendirme analizleri ile uygulama yapısı ve kritik uygulama bileşenlerine yönelik yaklaşım incelenmektedir. Kullanıcı yönetimi, oturum yönetimi, girdi kontrol yöntemleri, veritabanı ilişkileri ve kodlama kriterleri, hedeflenen güvenlik seviyesi doğrultusunda kontrol edilmektedir. Merkezi işleyen kontrol süreçleri ve dağıtık kodlama kullanılan bölümler, yürütme analizleri beraberinde incelenmekte; tekil sorunlar veya uygulamanın genelini etkileyen sorunlar belirlenmektedir. Kaynak kod analizi esnasında OPT-TEAM üyelerince hazırlanmış ve/veya ilgili platforma özel hazırlanacak betikler ile otomatize analizler de uygulanmaktadır. Uygulamanın yapısal Denetimi ve kodlama yöntemleri ile yazılım geliştirme standartları karşılaştırılmakta, uygulamaya etkileri analiz edilmektedir. 34

35 OPT-VOICE Ses İletişim Altyapısı Güvenlik Denetimi OPT-VOICE Ses iletişim altyapısı güvenlik Denetimi özel bölümünde, kurumsal ses altyapısı ve ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller uygulanmaktadır. Uygulanan kontroller ile ses iletişim sistemlerinde yer alan yetkisiz erişim sağlanması, ses iletişiminin dinlenebilmesi ve sistemin ele geçirilebilmesine olanak sağlayan sorunlar saptanabilmektedir. VOIP Altyapısı ve Veri/Ses Sistemleri Bağlantı Analizi Kurumsal VOIP iletişim altyapısı ve Santral/Veri Ağları bağlantıları analiz edilmekte, kullanılan protokoller ve cihazların yapılandırması incelenmektedir. Yapılan analiz neticesinde cihaz yapılandırmasında, ağlar arası bağlantılarda veya kullanılan protokollerde bulunan zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. VOIP aği ve cihazların analizi VOIP ile very ağlarının bağlantı analizi VOIP ile ses ve görüntü sistemlerin bağlantı analizi Yerel ağüzerinde Switch,VLAN ve yönlendirici analizi Paket yakalama ve ses i letişimi çözümleme analizi Kullanılan protocol ve kodlama bileşenleri analizi VOIP Erişim Denetimi Analizi Kurumsal VOIP iletişim altyapısına yönelik içeriden ve dışarıdan yapılabilecek erişimlerin yönetimi, kimliklendirme, oturum yönetimi ve çağrı yönetimi incelenmektedir. Yapılan analiz neticesinde VOIP üzerinden izinsiz erişilebilen kaynaklar, ses iletişim hatlarındaki yetkiler, istemci/sunucu erişimleri, kimlik sahteciliği ve çağrı dinleme yapılabilmesine neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. VOIP erişim haritası, kimlik yönetimi ve erişim haklarının analizi VOIP çağrı hakları, sayısal/analoğçağrı hakları ve kısıtlamaların analizi Ses sistemlerini kullanarak çağrı açma ve yetki kazanma Protokol yetkilendirmeleri analizi VOIP cihazı, protocol veya ağ üzerinden çağrı sonlandırma analizi 35

36 OPT-VPN Sanal Özel Ağ Güvenlik Denetimi OPT-VPN sanal özel ağ güvenlik Denetimi özel bölümünde, kurumsal ağ altyapısı ve sanal özel ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller uygulanmaktadır. Uygulanan kontroller ile erişim yetkilerinin aşılması, ağa izinsiz erişim, iletişim dinleme veya kimlik sahteciliğine olanak sağlayan sorunlar saptanabilmektedir. Sanal Özel Ağ Erişim Denetimi Analizi Sanal özel ağ yapısı incelenerek, bağlantı kuran istemci ve sunucuların erişim hakları, ağlar arası bağlantılar ve sanal özel ağ cihazı yapılandırmaları incelenmektedir. Yapılan analiz neticesinde sanal özel ağa yönelik yetkisiz erişime, ağlar arası izinsiz erişimlere ve sahteciliğe neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Sanal özel ağ erişim haritası oluşturulması Sanal özel ağ sistemi ve Iṡtemcilerinin analizi Sanal özel ağ ile kurumsal ağlarının bağlantı analizi Sanal özel ağ erişim Denetimi analizi Kullanılan protocol ve kriptolama bileşenleri analizi Harici Doğrulama Sistemleri Analizi Sanal özel ağ için kullanılan harici doğrulama yöntemleri ve sistemleri incelenerek, istemci/sunucu kimliklendirme ve kimlik yönetimi süreçleri analiz edilmektedir. Yapılan analiz neticesinde kimlik sahteciliği, zaafiyet barındıran kimliklerin kullanımı ve harici doğrulama sistemlerinin atlatılmasına neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Kullanılan harici doğrulama bileşenleri analizi Kimlik doğrulama yöntemleri analizi Sistem yönetimi ve yazılımların analizi 36

37 OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi OPT-WIRELESS kablosuz özel ağ güvenlik Denetimi özel bölümünde, kurumsal ağ altyapısı ve kablosuz ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller uygulanmaktadır. Uygulanan kontroller ile yerel ağ ve uzak alan ağlara erişim yöntemleri, erişim Denetimi, bağlantı protokolleri ve kriptolama analizleri yapılmakta, erişim yetkilerinin aşılması, ağa izinsiz erişim, iletişim dinleme veya kimlik sahteciliğine olanak sağlayan sorunlar saptanabilmektedir. Kablosuz Ağ Erişim Denetimi ve Kriptolama Analizi Kablosuz ağ yapısı erişim yöntemleri, kimliklendirme ve seçilen kriptolama türleri incelenmektedir. Yapılan analiz neticesinde sanal özel ağa yönelik yetkisiz erişim, kimlik sahteciliği ve kriptolu iletişimin kırılmasına neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Kablosuz ağ cihazı yapılandırma ve yönetim analizi Kablosuz ağ erişim Denetimi analizi Kimlik doğrulama yöntemleri analizi Kullanılan protocol ve kriptolama bileşenleri analizi Kriptolu iletişim kırma analizi Paket yakalama ve ortadaki adam analizi Kimlik ve erişim noktası sahteciliği analizi Kablosuz Ağ ve Kurumsal Ağların Bağlantı Analizi Kablosuz ağ yapısı ve kurumsal ağ ile bağlantı yapısı incelenmektedir. Yapılan analiz neticesinde kablosuz ağa ve kurumsal ağa yönelik yetkisiz erişime neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Kablosuz Ağ Haritası Oluşturulması Kurumsal Ağ Alt yapısı ve Kablosuz Ağ Bağlantıları Analizi Kablosuz Ağ Sistem,Sunucu ve Iṡtemcilerinin Analizi Servis Engelleme Zaafiyetleri Analizi 37

38 Güvenlik Açıkları Kullanılarak Sisteme Sızılması Sistemlerde saptanmış olan güvenlik açıkları kullanılarak açığı barındıran sistemlere veya ağa sızılmaya çalışılmaktadır. Yayınlanmış güvenlik açıklarının bir kısmının içeriği de açıklanmış ve exploit olarak bilinen kullanım yöntemleri yayınlanmıştır. Bir kısmının ise içeriği açıklanmamış veya açıklanmasına rağmen açığın kullanım yöntemleri belirlenememiştir. Bu sebeple saptanan bazı güvenlik açıklarının kullanılması mümkün olamamaktadır. Bu sorunlara çözüm olarak OPT-TEAM üyeleri OPT Framework yazılımını geliştirmiş, çok sayıda exploit i özelleştirmiş ve exploit i yazılmamış birçok açık için exploit geliştirerek tek bir yazılım altında birleştirmiştir. Ayrıca sistemlere sızılması noktasında diğer açık kaynaklı yazılımlar ile entegrasyon sağlanmış, Denetim süreci daha verimli hale getirilmiştir. Ağa veya sisteme sızma işlemi sonucunda ilgili sistemde yetki kazanılmakta ve işlem yapılabilir hale gelinmektedir. Ancak kurumun talimatları doğrultusunda bu adım atlanabilmekte, adım içinde kurum bilgilendirilebilmekte veya kurum talimatları doğrultusunda gerçekleştirilebilmektedir. 38

39 Saptanan Güvenlik Açıklarının Değerlendirilmesi Erişilebilen tüm sunucu, yönlendirici, güvenlik teknolojileri ve istemcilerin üzerinde bulunabilecek güvenlik açıkları tespit edilir. Bu son aşamada, önceki aşamalarda elde edilmiş tüm bilgiler toplanarak sınıflandırılır ve haritalandırılır. Çeşitli zayıflıklar, riski ve tahmin edilen saldırı yolları göz önüne alınarak önem derecelerine göre sıralanır. Tespit edilen güvenlik açıkları, taşıdıkları riskler değerlendirilir ve önemine göre sıralanır. Saptanan güvenlik açıklarının öncelikleri ve sonuçları beraber analiz edilerek, güvenlik açıklarının beraber kullanılmasından oluşabilecek yeni güvenlik açıkları konusunda araştırmalar yapılmaktadır. Güvenlik açıklarının beraber kullanımı sonucunda oluşabilecek potansiyel güvenlik açıkları için sürecin gerekli aşamaları tekrar edilir. 39

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net Özgür Yazılımlar ile VoIP Denetimi Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net Konular VoIP Güvenliği VoIP Güvenlik Denetim Süreci Denetim Kapsamının Belirlenmesi Ağ Altyapısı Analizi

Detaylı

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net Bilgi Güvenliği Denetimi Kurumların sahip olduğu politikaların ve uygulamalarının, güvenlik

Detaylı

Web Uygulama Güvenliği Kontrol Listesi 2010

Web Uygulama Güvenliği Kontrol Listesi 2010 Web Uygulama Güvenliği Kontrol Listesi 2010 1 www.webguvenligi.org Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması

Detaylı

Viproy Bilgi Güvenliği Eğitimleri Rehberi

Viproy Bilgi Güvenliği Eğitimleri Rehberi Viproy Bilgi Güvenliği Eğitimleri Rehberi Viproy Eğitimleri Hakkında Temmuz 2006 itibariyle bağımsız bir şirket olarak kurulan GamaSEC Ltd, bilgi güvenliği denetimi ve danışmanlığı servisleri sunmakta,

Detaylı

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Özgür Yazılımlar ile Kablosuz Ağ Denetimi Özgür Yazılımlar ile Kablosuz Ağ Denetimi Fatih Özavcı fatih.ozavci@gamasec.net Afşin Taşkıran afsin.taskiran@avea.com.tr Konular Kablosuz Ağ Güvenliği Kablosuz Ağ Güvenlik Denetim Süreci Denetim Kapsamının

Detaylı

Yeni Nesil Ağ Güvenliği

Yeni Nesil Ağ Güvenliği Yeni Nesil Ağ Güvenliği Ders 6 Mehmet Demirci 1 Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları 2 SSL/TLS SSL ilk olarak Netscape

Detaylı

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir? WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir? Gereksiz yedek dosyaları Default ayarlarla gelen konfigürasyon dosyaları Yetkisi tam olarak verilmiş dosyalar ya da dosya izni kontrolü yapılmadan sunucuda

Detaylı

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı Özgür Yazılımlar ile VoIP Denetimi Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net Konular Ø VoIP Güvenliği Ø VoIP Güvenlik Denetim Süreci Ø Denetim Kapsamının Belirlenmesi Ø Ağ Altyapısı

Detaylı

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güveniği Danışmanı

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güveniği Danışmanı Özgür Yazılımlar ile VoIP Denetimi Fatih Özavcı Bilgi Güveniği Danışmanı fatih.ozavci at gamasec.net gamasec.net/fozavci Konular VoIP Güvenliği VoIP Güvenlik Denetim Süreci Denetim Kapsamının Belirlenmesi

Detaylı

Bilgi Güvenliği Eğitim/Öğretimi

Bilgi Güvenliği Eğitim/Öğretimi Bilgi Güvenliği Eğitim/Öğretimi İbrahim SOĞUKPINAR Gebze Yüksek Teknoloji Enstitüsü İçerik Bilgi Güvenliği Eğitim/Öğretimi Dünyadaki Örnekler Türkiye deki Örnekler GYTE de Bilgi Güvenliği Dersi Sonuç ve

Detaylı

EKLER EK 12UY0106-5/A4-1:

EKLER EK 12UY0106-5/A4-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A4-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği ÖNDER BİLGİSAYAR KURSU Sistem ve Ağ Uzmanlığı Eğitimi İçeriği BÖLÜM 1 KİŞİSEL BİLGİSAYAR DONANIMI 1.1. Kişisel Bilgisayarlar ve Uygulamalar Bilgisayarların Kullanım Şekli ve Yeri Bilgisayar Tipleri (Sunucular,

Detaylı

Siber Güvenlik Hizmetleri Kataloğu

Siber Güvenlik Hizmetleri Kataloğu Siber Güvenlik Hizmetleri Kataloğu Güvenli kurumlar, sistematik yapılar! Yetkinliklerimiz İhtiyacınız olan adımları planlayın! Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi (ISO/IEC 27001:2013) Eğitim

Detaylı

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi) BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi) Sayı: B.02.1.BDK.0.77.00.00/010.06.02-1 24.07.2012 Konu: Bilgi Sistemlerine İlişkin Sızma Testleri GENELGE BSD.2012/1 Bankalarda Bilgi

Detaylı

Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu

Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu T.C. SOSYAL GÜVENLİK KURUMU Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu 29 ARALIK 2016 Amaç Eczanelerin sorgulanan güne ait olan reçete ilaç bilgilerinin istemci tarafına gönderilmesi.

Detaylı

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ Battal ÖZDEMİR Uzman Araştırmacı 15 Mart 2007, İstanbul Sunum İçeriği Kablosuz Ağlar Tehditler Riskler Kurumsal Yaklaşım 2 Neden Kablosuz Esneklik Mobil Veri Erişimi

Detaylı

NGN ve VoIP Ağları Güvenlik Denetimi

NGN ve VoIP Ağları Güvenlik Denetimi NGN ve VoIP Ağları Güvenlik Denetimi Fatih Özavcı Bilgi Güvenliği Araştırmacısı ve Danışmanı fatih.ozavci at viproy.com viproy.com/fozavci # whois Bilgi Güvenliği Danışmanı @ Viproy / Turkey 10+ Yıl Sistem

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

EGE Üniversitesi Network (Ağ) Altyapısı

EGE Üniversitesi Network (Ağ) Altyapısı EGE Üniversitesi Network (Ağ) Altyapısı Dr. Enis Karaarslan Ege Üniversitesi Network Yönetim Grubu Danışmanı 11/4/2009 Dr. Enis KARAARSLAN 1 HEDEF Ege Üniversitesi Bilgisayar Ağı (Computer Network) ) altyapısını,

Detaylı

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır. BioAffix Ones Technology nin tescilli markasıdır. NEDEN BİYOMETRİK?DOĞRULAMA Biyometrik veri taklit edilemez, şifre gibi unutulamaz! Şifre olmadığı için, casus yazılımlara karşı güvenlidir! Biyometrik

Detaylı

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü Kaspersky Open Space Security: Release 2 İşletmeniz için birinci sınıf bir BT güvenliği çözümü Güncellenmiş uygulamalar Updated applications Release 2 uygulamaları: Kaspersky Anti-virus for Windows Workstations

Detaylı

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları 1. MAC adresleri kaç byte dır? 2. Aşağıdaki MAC adresi hangi firmaya aittir. 00:03:6C:1c:2c:3d 3. TCP SYN paketi kaç byte dır? 4. 100

Detaylı

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Mart, 2010 İçerik Veri Kaçağı Önleme Nedir? Dünyada ve Türkiye de Veri Kaçağı Teknoloji Ne Durumda?

Detaylı

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı. devrim@gunduz.org

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı. devrim@gunduz.org Devrim GÜNDÜZ TR.NET Sistem Destek Uzmanı devrim@gunduz.org http://seminer.linux.org.tr http://belgeler.linux.org.tr http://lkd.belgeler.org http://www.linux.org.tr/belgeler.php http://www.gunduz.org/belgeler.php

Detaylı

Kets DocPlace LOGO Entegrasyonu

Kets DocPlace LOGO Entegrasyonu Kets DocPlace LOGO Entegrasyonu Kets DocPlace Kurulumu Öncesinde Yapılması Gereken İşlemler Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012 veya daha yeni işletim sistemlerinde Programlar

Detaylı

Web Application Penetration Test Report

Web Application Penetration Test Report Web Application Penetration Test Report Sızma testleri (Pentest) ve zayıflık tarama (Vulnerability Assessment) birbirine benzeyen iki aşamadan oluşur. Zayıflık tarama hedef sistemdeki güvenlik açıklıklarının

Detaylı

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ /pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ Hakkımızda Pi Kalite Danışmanlık ve Bilişim Hizmetleri Ltd. Şti. başta kalite yönetim sistemleri olmak üzere bilişim, eğitim, danışmanlık ve destek konularında

Detaylı

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri 5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall 5651 Sayılı Kanun Kanunun Tanımı : İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen

Detaylı

Tanımı 46 2-4-6 Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48

Tanımı 46 2-4-6 Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48 1 Yazılım Güvenliği 2 Yazılım Güvenliği Olgunluk Modelleri 4 OpenSAMM 6 Tehdit Modelleme 7 Güvenli Kod Denetimi 8 Statik Kod Analizi 9 Sızma Testleri-Pentest 10 13 Ne Kadar Karmaşık Olabilir ki? 14 HTML

Detaylı

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk 04.04.

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk 04.04. Güvenlik ve Virüsler ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk 04.04.2005 Bilgi güvenliği neden gerekli? Kişisel bilgi kaybı Üniversiteye ait bilgilerin kaybı Bilgiye izinsiz erişim ve kötüye

Detaylı

Ağ Trafik ve Forensik Analizi

Ağ Trafik ve Forensik Analizi Ağ Trafik ve Forensik Analizi Zararlı Yazılım Analiz ve Mücadele Merkezi TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü Ağ Forensik Analizi Tanım Bilgisayar ağlarının herhangi saldırıya karşın izlenmesi ve analiz

Detaylı

T.C. TARIM ve KÖYİŞLERİ BAKANLIĞI BİLGİ VE İLETİŞİM SİSTEMLERİ KULLANIMININ DÜZENLENMESİNE İLİŞKİN YÖNERGE BİRİNCİ BÖLÜM GENEL HÜKÜMLER

T.C. TARIM ve KÖYİŞLERİ BAKANLIĞI BİLGİ VE İLETİŞİM SİSTEMLERİ KULLANIMININ DÜZENLENMESİNE İLİŞKİN YÖNERGE BİRİNCİ BÖLÜM GENEL HÜKÜMLER 1 T.C. TARIM ve KÖYİŞLERİ BAKANLIĞI BİLGİ VE İLETİŞİM SİSTEMLERİ KULLANIMININ DÜZENLENMESİNE İLİŞKİN YÖNERGE Amaç BİRİNCİ BÖLÜM GENEL HÜKÜMLER Madde 1- Bu Yönergenin amacı, Bakanlığın bilgi ve iletişim

Detaylı

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA T.Ü. BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ PLANI FORMU Doküman No: BİDB-F-06 Yürürlük Tarihi: 01.01.2012 Revizyon No: 0 Tarihi: - TRAKYA ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ PLANI FORMU SIRA NO SORUMLU

Detaylı

www.innoverabt.com 01 Şirket Profili

www.innoverabt.com 01 Şirket Profili EĞİTİM HİZMETLERİ www.innoverabt.com 01 Şirket Profili İşiniz Bilgi Teknolojilerine bağlıdır. BT, sizin için değerli olan müşteri veritabanı, ERP, CRM, e-ticaret gibi işinizin can damarı olan pek çok

Detaylı

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır. BioAffix Ones Technology nin tescilli markasıdır. ? NEDEN BİYOMETRİK DOĞRULAMA SUNUCU TABANLI BİYOMETRİK MICROSOFT WINDOWS OTURUM AÇMA UYGULAMASI Biyometrik veri taklit edilemez, şifre gibi unutulamaz!

Detaylı

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m YAZILIM GÜVENLİK TESTLERİ H A L D U N T E R A M A N h a l d u n t e r a m a n @ g m a i l. c o m TEST NEDİR? Test, bir sistemi manuel veya otomatik yollarla deneyerek veya değerlendirerek, belirlenmiş

Detaylı

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

HAKKIMIZDA. Misyonumuz; Vizyonumuz; HAKKIMIZDA SOFTKEY kurumsal teknoloji hizmetlerinde, müşteri odaklı yaklaşımı, rekabetçi fiyatları ve eksiksiz destek hizmeti sunmak amacıyla kurulmuştur. Sektörün önde gelen teknoloji firmaları ile iş

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 17 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy Doküman Numarası

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

Özgür Yazılımlarla Saldırı Yöntemleri. Fatih Özavcı fatih.ozavci at gamasec.net

Özgür Yazılımlarla Saldırı Yöntemleri. Fatih Özavcı fatih.ozavci at gamasec.net Özgür Yazılımlarla Saldırı Yöntemleri Fatih Özavcı fatih.ozavci at gamasec.net 1 Başlıklar Bilgi Toplama ve Ağ Haritalama Ağ Servislerine Yönelik Saldırılar Yerel Ağ Saldırıları Kablosuz Ağ Saldırıları

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir. TEMEL AĞ TANIMLARI Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir WAN ve LAN Kavramları Bilgisayarlar ve paylaşılan

Detaylı

Venatron Enterprise Security Services W: P: M:

Venatron Enterprise Security Services W:  P: M: VENATRON Enterprise Security Services Ltd. Şti. Danger is a click away. (Tehlike bir tık ötede ) sloganı ile 2011 de Siber Güvenlik sektöründe yerini alan Venatron Security güvenlik ihlallerini önlemek

Detaylı

İletişim Ağlarında Güvenlik

İletişim Ağlarında Güvenlik İletişim Ağlarında Güvenlik Burak DAYIOĞLU 98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr Sunum Planı Bilişim Güvenliği ve Kapsamı Bilişim Güvenliği nin Önemi Saldırganlar

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 11 Temmuz 2013 Yayın Taslak Hazırlayan Ersun Ersoy Doküman

Detaylı

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI Gürkan KARABATAK Fırat Üni. Enformatik Bölümü gkarabatak@firat.edu.tr Yrd.Doç.Dr Hasan H.BALIK Fırat Üni. Mühendislik Fakültesi balik@firat.edu.tr ÖZET Günümüzde

Detaylı

Kerberos Kimlik Denetimi Altyapısı

Kerberos Kimlik Denetimi Altyapısı Kerberos Kimlik Denetimi Altyapısı Necdet Yücel nyucel~comu.edu.tr V. Linux ve Özgür Yazılım Şenliği, ODTÜ KAPSAM Nedir? Nasıl Çalışır? Bilet, Oturum Anahtarı, Özel Biletler Süreçler Ataklar Eşzamanlama,

Detaylı

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi Kadriye HUYSAL ÖZGÖÇMEN kkhuysal[at]gmail.com Baran ÇELİK baran.celik[at]gmail.com Halil Özgür BAKTIR ozgur.baktir[at]gmail.com

Detaylı

SİBER SUÇLARA KARŞI SİBER ZEKA

SİBER SUÇLARA KARŞI SİBER ZEKA SİBER SUÇLARA KARŞI SİBER ZEKA Aytuğ Çelikbaş Sistem Mühendisi Copyright 2013 EMC Corporation. All rights reserved. 1 2 Ajanda Günümüz Tehditleri Güvenlikte Büyük Veri Yaklaşımları Siber İstihbarat Atak

Detaylı

FINDIK Herkese Açık Filtre 18.04.2009

FINDIK Herkese Açık Filtre 18.04.2009 FINDIK Herkese Açık Filtre 18.04.2009 FINDIK Ekibi Sunum Planı Neden içerik filtreleme? Peki neden FINDIK? FINDIK nasıl kullanılır? FINDIK uygulama tasarımı FINDIK nasıl geliştirilir? Gelecek

Detaylı

WEB TASARIMIN TEMELLERİ

WEB TASARIMIN TEMELLERİ WEB TASARIMIN TEMELLERİ ~ Sunu 1 ~ Öğr. Gör. Mehmet Fatih TAN http://blog.kmu.edu.tr/mftan mftan@kmu.edu.tr Bilgi paylaşıldıkça kıymetlenir.. Kaynak göstermek şartıyla sunu içeriğini çalışmalarınızda kullanabilirsiniz.

Detaylı

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme LOGO Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme Mustafa COŞAR - İsmail ARIK Hitit Üniversitesi Bilgi İşlem Daire Başkanlığı Ağ Güvenliği ve Önemi Kurumsal

Detaylı

BTK nın IPv6 ya İlişkin Çalışmaları

BTK nın IPv6 ya İlişkin Çalışmaları BTK nın IPv6 ya İlişkin Çalışmaları Sezen YEŞİL Bilişim Uzmanı Bilgi Teknolojileri ve İletişim Kurumu (BTK) IPv6 Konferansı Ankara, Türkiye 12 Ocak 2011 1 Gündem BTK nın Görevleri BTK nın Çalışmaları Başbakanlık

Detaylı

AĞ ve SİSTEM GÜVENLİĞİ

AĞ ve SİSTEM GÜVENLİĞİ AĞ ve SİSTEM GÜVENLİĞİ Burak DAYIOĞLU ve Burç YILDIRIM {bd,by}@dikey8.com Bilişim Güvenliği ve Sorunlar Bilişim sistemlerine bağımlılığımız artıyor Güvenlik ihlalleri her yıl en azından ikiye katlanıyor

Detaylı

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ 1.AMAÇ: Kurumun otomasyon üzerindeki tüm bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kuralları ve uygulamaları belirlemeyi amaçlar. 2. KAPSAM: Bu talimat,

Detaylı

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı Tarih 1 İçerik TCP/IP Temelleri Ağı Dinleme MAC Adres Tablosu Doldurma ARP Zehirlemesi

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

KKTC MERKEZ BANKASI. SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

KKTC MERKEZ BANKASI. SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ KKTC MERKEZ BANKASI SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Kapsam... 1 3 Metodoloji... 2 3.1 Testlerin Gerçekleştirileceği

Detaylı

nezih@dagdeviren.av.tr Merkezi İşletim Sistemi (CPU): Hafıza: Anakart: Güç Kaynağı: Hard disk: İşletim Sistemi: Entegre Elektronik Sürücü Kontrolleri (IDE): Ses Kartı: Grafik Kartı: Portlar: Çevresel

Detaylı

MODSECURITY DENETİM KAYITLARINI ANLAMAK. Gökhan Alkan, gokhan@enderunix.org

MODSECURITY DENETİM KAYITLARINI ANLAMAK. Gökhan Alkan, gokhan@enderunix.org MODSECURITY DENETİM KAYITLARINI ANLAMAK Gökhan Alkan, gokhan@enderunix.org 1 İÇİNDEKİLER MODSECURITY DENETİM KAYITLARINI ANLAMAK... 1 1. ModSecurity Nedir?... 3 2. ModSecurity Nasıl Çalışır?... 3 3. ModSecurity

Detaylı

SAÜ.NET. Kampüs İçi Kablosuz Ağ ve Merkezi Kimlik Doğrulama İşlemleri SAKARYA ÜNİVERSİTESİ 1/ 22. Bilgi İşlem Dairesi Başkanlığı

SAÜ.NET. Kampüs İçi Kablosuz Ağ ve Merkezi Kimlik Doğrulama İşlemleri SAKARYA ÜNİVERSİTESİ 1/ 22. Bilgi İşlem Dairesi Başkanlığı 1/ 22 SAÜ.NET Kampüs İçi Kablosuz Ağ ve Merkezi Kimlik Doğrulama İşlemleri 2/ 22 SAÜ.NET 1. SAÜ Ağ Alt Yapısı 2. Ortaya Çıkan Yeni İhtiyaçlar 3. LightWeight Sistem 4. Yeni Oluşturulan Kablosuz Ağ Bileşenleri

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

Programlama Kılavuzu. IPV Serisi IP Santralleri IPV10 IPV20 IPV50

Programlama Kılavuzu. IPV Serisi IP Santralleri IPV10 IPV20 IPV50 Programlama Kılavuzu IPV Serisi IP Santralleri IPV10 IPV20 IPV50 İçindekiler AMAÇ... 3 KARELPORT CİHAZ KAYIT İŞLEMİ... 3 1. Yeni Santral Ekleme... 3 2. Santral Bilgilerinin Girilmesi... 3 3. Lisans Anahtarlarının

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr PROJE HAKKINDA Bilgimi Koruyorum e Öğrenme Projesi DPT tarafından desteklenmiş olan Ulusal Bilgi Sistemleri Programı kapsamında gerçekleştirilmiş

Detaylı

Exploit Geliştirme Altyapıları. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net

Exploit Geliştirme Altyapıları. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net Exploit Geliştirme Altyapıları Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci@gamasec.net Sunum İçeriği Exploit Kavramı Exploit Geliştirme Süreci Bütünleşik Geliştirme Ortamları Önerilen Yazılımlar

Detaylı

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Sisteminiz Artık Daha Güvenli ve Sorunsuz... Sisteminiz Artık Daha Güvenli ve Sorunsuz... Asistek Firewall kullanmanın pek çok yararı vardır: Asistek Firewall, tamamen web tabanlı ve esnek yapıya sahip Güvenlik Duvarı servislerini barındırarak çeşitli

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

Web Uygulamaları Güvenlik Denetimi. Fatih Özavcı

Web Uygulamaları Güvenlik Denetimi. Fatih Özavcı Web Uygulamaları Güvenlik Denetimi Fatih Özavcı Web Uygulamalarının Güvenlik Sorunları Web temelli yazılım geliştirme, hızlı ve sonuca yönelik yapılmaktadır; güvenlik kriterleri genelde göz ardı edilmektedir.

Detaylı

Kurumsal Ağlarda Web Sistem Güvenliği

Kurumsal Ağlarda Web Sistem Güvenliği Kurumsal Ağlarda Web Sistem Güvenliği Ar. Gör. Enis Karaarslan Ege Ü. Kampüs Network Yöneticisi ULAK CSIRT http://csirt.ulakbim.gov.tr İÇERİK 1. Neden Web Güvenliği 2. Kurumsal Web Güvenliği Modeli Standartları

Detaylı

HAKKARİ ÜNİVERSİTESİ Bilgi İşlem Daire Başkanlığı Hizmet Envanteri Tablosu Hizmetin Sunum Sürecinde. Hizmetin Dayanağı Mevzuatın Adı

HAKKARİ ÜNİVERSİTESİ Bilgi İşlem Daire Başkanlığı Hizmet Envanteri Tablosu Hizmetin Sunum Sürecinde. Hizmetin Dayanağı Mevzuatın Adı HAKKARİ ÜNİVERSİTESİ Hizmet Envanteri Tablosu Hizmetin Sunum Sürecinde Sıra No 1. Kurum Kodu Standart Dosya Planı Kodu 710.04 Hizmetin Adı E-Posta hesabı açma İşlemleri Hizmetin Tanımı İşe yeni başlayan

Detaylı

Firewall/IPS Güvenlik Testleri Eğitimi

Firewall/IPS Güvenlik Testleri Eğitimi 1 bilgisayarı (Laptop) Workstation,2GB ram Alacağınız güvenlik cihazını siz test etmek istemez misiniz? Eğitim Tanımı: FIPS Pentest eğitimi, günümüz bilgi güvenliği koruma katmanlarından Firewall/IPS/WAF

Detaylı

Coslat Monitor (Raporcu)

Coslat Monitor (Raporcu) Coslat Monitor (Raporcu) Coslat Monitor, Coslat Firewall, Hotspot ve Mirror uygulamalarında oluşturulan zaman damgalı kayıtların analiz edilmesini ve raporlanmasını sağlayan uygulamadır. Coslat Monitor

Detaylı

BEYAZ ŞAPKALI HACKER EĞİTİMİ

BEYAZ ŞAPKALI HACKER EĞİTİMİ BEYAZ ŞAPKALI HACKER EĞİTİMİ YARDIMCI DERS NOTLARI - I HUZEYFE ÖNAL BİLGİ GÜVENLİĞİ AKADEMİSİ İçerik Tablosu Backtrack Nedir?... 13 Backtrack Linux kullanımı... 13 Sisteme Giriş... 14 Grafik Arabirimli

Detaylı

Ağ Topolojisi ve Ağ Yazılımları

Ağ Topolojisi ve Ağ Yazılımları 17/05/06 Ağ Topolojisi ve Ağ Yazılımları ODTÜ BİDB - Ağ Grubu 1 Ağ Topolojisi ve Ağ Yazılımları Koordinatörler Toplantısı 17.05.2006 ODTÜ Bilgi İşlem Daire Başkanlığı İbrahim Çalışır İçindekiler Vlan teknolojisi

Detaylı

Güvenlik Java ve Web Uygulama Güvenliği

Güvenlik Java ve Web Uygulama Güvenliği Güvenlik Java ve Web Uygulama Güvenliği Melih Sakarya www.melihsakarya.com melih.sakarya@gmail.com www.mergecons.com Olası Açıklar Donanımsal açıklar Sistemsel Açıklar Yazılımsal Açıklar Sosyal Mühendislik

Detaylı

Ders Kodu Yarıyıl T+U Saat Kredi AKTS. Programlama Dilleri

Ders Kodu Yarıyıl T+U Saat Kredi AKTS. Programlama Dilleri DERS BİLGİLERİ Ders Kodu Yarıyıl T+U Saat Kredi AKTS Programlama Dilleri 354 6 2+2 3 6 Ön Koşul Dersin Dili Dersin Seviyesi Dersin Türü Dersi Veren Öğretim Elemanı Türkçe Lisans Zorunlu Doç. Dr. O. Adem

Detaylı

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler Ders Başlığı İnternette Güvenliğinizi Arttırın Dersin amacı Ders İ zlencesi Bu dersin amacı, katılımcıların İnternet'te karşılaşılabilecek kullanıcı, donanım ve bilgisayar ağı kaynaklı tehditler ve bu

Detaylı

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar.

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar. İnternet Nedir? Internet Nedir? Internet, bilgisayar ağlarını kapsayan uluslararası bir ağdır. Farklı büyüklükteki ve tipteki birbirinden bağımsız binlerce bilgisayar ağından oluşur. Bu ağların her birinde

Detaylı

Veritabanı. Ders 2 VERİTABANI

Veritabanı. Ders 2 VERİTABANI Veritabanı Veritabanı Nedir? Birbiri ile ilişkili verilerin bir arada uzun süreli bulundurulmasıdır. Veritabanı bazen Veritabanı Yönetim sistemi veya Veritabanı Sistemi yerine de kullanılır. Gerçek dünyanın

Detaylı

Linux Çekirdeği 2.6 ve Güvenlik. Fatih Özavcı IT Security Consultant. holden@siyahsapka.com http://www.siyahsapka.com

Linux Çekirdeği 2.6 ve Güvenlik. Fatih Özavcı IT Security Consultant. holden@siyahsapka.com http://www.siyahsapka.com Linux Çekirdeği 2.6 ve Güvenlik Fatih Özavcı IT Security Consultant holden@siyahsapka.com http://www.siyahsapka.com GNU/Linux Linux Çekirdeği Linus Torvalds Tarafından Geliştirilmiş ve İlk Sürüm 25 Ağustos

Detaylı

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz). SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak UYARI: Burada uygulanan/anlatılan yöntem ile yapacağınız erişimler şirket politikalarınıza aykırı olabilir. Lütfen bunu göz önünde bulundurarak kullanın!.

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİ EĞİTİM KATALOĞU (2015)

BİLİŞİM SİSTEMLERİ GÜVENLİĞİ EĞİTİM KATALOĞU (2015) TÜBİTAK BİLGEM SGE SİBER GÜVENLİK ENSTİTÜSÜ BİLİŞİM SİSTEMLERİ GÜVENLİĞİ EĞİTİM KATALOĞU (2015) Sürüm 3.0 2015 TÜBİTAK BİLGEM SGE Siber Güvenlik Enstitüsü P.K. 74, Gebze, 41470 Kocaeli, Türkiye Tel: (262)

Detaylı

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR ozan.ucar@bga.com.tr

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR ozan.ucar@bga.com.tr Sızma Testlerinde İleri Düzey Teknikler Ozan UÇAR ozan.ucar@bga.com.tr Ankara 2012 Konuşmacı Hakkında Bilgi Güvenliği Danışmanı ve Eğitmen Bilgi Güvenliği AKADEMİSİ (www.bga.com.tr) Penetration Tester

Detaylı

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR. 13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme

Detaylı

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU HİZMETİ SUNMAKLA GÖREVLİ / YETKİLİ KURUMLARIN / BİRİMLERİN ADI HİZMETİN SUNUM SÜRECİNDE SIRA NO KURUM KODU STANDART DOSYA PLANI

Detaylı

Bilgisayar Ağlarında Özel Konular (COMPE 435) Ders Detayları

Bilgisayar Ağlarında Özel Konular (COMPE 435) Ders Detayları Bilgisayar Ağlarında Özel Konular (COMPE 435) Ders Detayları Ders Adı Bilgisayar Ağlarında Özel Konular Ders Kodu COMPE 435 Dönemi Ders Uygulama Laboratuar Kredi AKTS Saati Saati Saati Seçmeli 3 0 0 3

Detaylı

Toplu İleti Gönderimi

Toplu İleti Gönderimi Toplu İleti Gönderimi İK ve Bordro Plus ürünlerinde; personelin doğum günü, işe giriş kutlaması gibi özel tarihlerde çalışanlara e-posta ile kutlama mesajları otomatik olarak gönderilebilir. Bu işlem Sicil

Detaylı

Kurumsal Güvenlik ve Web Filtreleme

Kurumsal Güvenlik ve Web Filtreleme S a y f a 1 antikor Kurumsal Güvenlik ve Web Filtreleme SshClient, Putty v.s. S a y f a 2 S a y f a 3 S a y f a 4 S a y f a 5 S a y f a 6 S a y f a 7 şeklini alır. Bu durumda kullanıcı yasaklı konumdadır.

Detaylı

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ http://www.bga.com.tr honal@bga.com.

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ http://www.bga.com.tr honal@bga.com. Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ http://www.bga.com.tr honal@bga.com.tr Amaç Kurumsal iş ortamlarında kullanılan güvenlik duvarı

Detaylı

İş Sürekliliği Ve Güvenliği

İş Sürekliliği Ve Güvenliği İş Sürekliliği Ve Güvenliği Emre KUTLU Dataserv Proje Yöneticisi MCT Dataserv Bilişim Teknolojileri http://www.dataserv.com.tr Kolay ve şeffaf bir şekilde çoklu hesap yönetimi Kimlik ve erişim yönetimi

Detaylı

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş. kerem.can.karakas@linux.org.tr

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş. kerem.can.karakas@linux.org.tr IPCop ile Ağ Güvenliği ve Yönlendirme Kerem Can Karakaş kerem.can.karakas@linux.org.tr Neden Bir Ateş Duvarı Sahibi Olmalıyım? İç ağım dışarıdan korunabilmeli, Birden çok bilgisayar beraberce tek bağlantıdan

Detaylı

WEB UYGULAMASINA YÖNELİK DENETLEMELERDE LİNK KEŞFETME TEKNİKLERİ VE ARAÇLARI. Deniz Çevik, , webguvenligi.

WEB UYGULAMASINA YÖNELİK DENETLEMELERDE LİNK KEŞFETME TEKNİKLERİ VE ARAÇLARI. Deniz Çevik, <denizcev at gmail dot com>, webguvenligi. WEB UYGULAMASINA YÖNELİK DENETLEMELERDE LİNK KEŞFETME TEKNİKLERİ VE ARAÇLARI Deniz Çevik, , webguvenligi.org, 17/11/2008 Güvenlik denetimlerinde kimi zaman sadece bir IP adresi

Detaylı

T.C. İSTANBUL ÜNİVERSİTESİ REKTÖRLÜĞÜ Bilgi İşlem Daire Başkanlığı 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU

T.C. İSTANBUL ÜNİVERSİTESİ REKTÖRLÜĞÜ Bilgi İşlem Daire Başkanlığı 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU Stratejik Gösterge 1 (Stratejik Hedef 2.2.1.) : Yerel Ağ hizmetlerinin son kullanıcılara ulaştırılmasında 2012 yılı sonu itibarıyla %99 oranlarında erişilebilirlik

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

Network Access Kontrol Ağ Erişim Kontrolü (NAC) Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü Demir Hüseyin Yüce Gökhan Akın hdemir @ metu.edu.tr huseyin @ marmara.edu.tr akingok@itu.edu.tr ODTÜ Marmara Ü. İTÜ NAC Nedir? NAC Kullanıcı sistem

Detaylı

Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya

Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama Yılmaz Çankaya Mart, 2010 Kimlik Yönetimi Kaynak (Resource) Uygulamaları oluşturan ve kullanılması hedeflenen bütün yetki seviyelerinin kontrolünü sağlayabilecek

Detaylı

Ağ Protokolleri. Aysel Aksu. Nisan, 2016

Ağ Protokolleri. Aysel Aksu. Nisan, 2016 Ağ Protokolleri Aysel Aksu Nisan, 2016 İçindekiler 1 Giriş................................................ 2 2 AĞ PROTOKOLLERİ....................................... 3 2.1 TCP/IP MİMARİSİ VE KATMANLARI.........................

Detaylı