Modern Computer Systems Management

Transkript

1 Modern Computer Systems Management Eğitmen: Ali Serhan Çetin Uğur Kaya Yapı Kredi 2016

2 YapıKredi nin Fikri ve Sinai Hakları Gizlilik: Taraflar (Üniversite, YapıKredi, Öğrenciler) kendilerine diğer tarafça açıklanan bir gizli bilgiyi (*) ; Korumaktan, Herhangi bir 3. Kişiye hangi suretle olursa olsun vermemek ve/veya alenileştirmemekten, Doğrudan ya da dolaylı olarak aralarındaki eğitim ilişkisinin amaçları dışında kullanmamaktan sorumludur, Taraflar ancak zorunlu hallerde ve işi gereği bu bilgiyi, öğrenmesi gereken alt çalışanlarına ve kendilerine bağlı olarak çalışan diğer kişilere verebilirler ancak bilginin gizliliği hususunda alt çalışanlarını ve kendilerine bağlı olarak çalışan diğer kişileri uyarırlar ve alt çalışanların sorumluluğunu alırlar. Haklar: Eğitim için YapıKredi eğitmeni tarafından kullanılan tüm materyalin (sunum, demo, yazılım kodu, yayınlar) fikri ve sınai hakları (başka sahiplik belirtilmediyse, kamuya mal olmamışsa) YapıKredi A.Ş. ye aittir. Eğitim içeriğinin (öğrencilere verilen, anlatılan) çoğaltılması, diğer mecralarda paylaşılması, bunlardan yararlanarak yayın yapılması YapıKredi nin iznine bağlıdır. Banka tarafından verilen eğitimlerden faydalanarak yapılan çalışmaların makale, konferans sunumu vb yayınlar şeklinde kullanımından önce YapıKredi Fikri Haklar Sorumlusundan Yayın Onay Formu ile onay alınmalıdır. Doğacak her türlü uyuşmazlıkların çözümlenmesinde, Türk Hukukunun uygulanacağını ve İstanbul Mahkeme ve İcra Daireleri ile Banka'nın Genel Müdürlüğü'nün bulunduğu yerdeki mahkeme ve icra dairelerinin yetkili olacağını, Kanunen yetkili mahkeme ve icra dairelerinin yetkilerinin saklı olduğunu taraflar kabul ederler. (*): BANKA nın sahip olduğu ve olacağı ve iştigal ettiği her türlü ticari, mali, teknik ya da benzeri konulardaki sözlü, yazılı veya manyetik ortamda veya başkaca herhangi bir şekilde taraflara iletilen ve/veya tarafların öğrenebileceği BANKA ya ya da BANKA nın kendi müşterilerine ve/veya personeline ait her türlü bilgi, yazılım ve yazılım kodu, belge, lisanslar ve hizmetlere ilişkin bilgiler ile her türlü manyetik şerit, kartuş, doküman, el kitabı, şartname, sirküler, program listeleri, veri dosyaları ile BANKA nın yürürlükteki veya henüz kamuya duyurulmamış lisanslar ve hizmetleri, BANKA nın iştigal ettiği her türlü hizmet, bunların keşfi, icadı, araştırılması, geliştirilmesi, imali ve satışı, proses ve genel ticari faaliyetler, satış maliyetleri, kar, fiyatlandırma metotları, organizasyon ve personel listesi dahil olmak üzere her türlü bilgi ve belgeler Gizli Bilgi tanımına girer.

3 Sistem Yönetimi Neden bu dersteyim? Bilgisayar Mühendisi, Sistem Yönetimi zincirindeki en güçlü parça olmak ve sistemin doğru şekilde işlediğini takip ve kontrol etmekten sorumludur Bu ders sonunda profesyonel iş hayatında proje yaparken nelere dikkat etmeniz gerektiği hakkında bilgi vereceğim

4 Mühendislik Dengeleri Esnekllik kazandırılan sistemler standart sistemlerden yavaş çalışır Bu yüzden ihtiyaçları net belirleyerek tasarımlarını yapmalısınız

5 Güvenlik Kullanıcı Güvenliği. Veri Güvenliği / Hardening Sistemlerin / Yazılımların Güncel Tutulması

6 Sorun Çözme Sınırlarınızı doğru yorumlayın. Fırsatları görün. Kahraman olun

7 Mazeret Üretmenin Tehlikesi Mazeret üretmeyin. Zor sorunu çözmek için uğraşın

8 Hızlı Çözüm En Doğru Çözüm?

9 FAILURE = SUCCESS - 1

10 Sistem Yönetimi Sistem Yönetimi neyi kapsar? İnsan (Bilgi İşlem Uzmanı / Müşteri), teknoloji, altyapı bileşenlerini bir araya getirerek, sürdürülebilir ve kesintiz hizmetleri sağlayacak çözümlerin bütününün organizasyonunu kapsar.

11 Temel Kavramlar

12 Single Point Of Failure Bütün yapının arıza anında durmasına neden olabilecek bileşendir. Mühendisliğin en büyük ve en yaygın hatalarından birisidir. Sistem tasarlarken uçtan uca tüm olasılıkların gözden geçirilmesi gerekmektedir.

13 Single Point Of Failure Riski nasıl azaltabilir yada ortadan kaldırabiliriz? Ağ bileşenlerinin yedekliliği Sistem seviyesi yedekliliği Bölge yedekliliği olarak sıralanabilir. Uzman yedekliliği

14 Single Point Of Failure Ağ bileşenlerini nasıl yedekleriz? Tek internet çıkışı üzerinden web sitesi hizmeti veren sistemler günün birinde mutlaka servis kesintisi yaşayacaktır. Kurduğunuz yapı üzerindeki tek bileşenler aslında sizin Tekil Arıza Noktalarınızdır.

15 Single Point Of Failure Ağ bileşenlerini nasıl yedekleriz? Ağ bileşenlerini yedekledik ama sistem üzerinde halen bir eksik var?

16 Single Point Of Failure Sistem seviyesi yedekliliği? Bir sunucuya iki ayrı internet çıkışı sağlayabilirsiniz ama sunucuyu sistem üzerinde kaybettiğinizde sağlamış olduğunuz hattın bir önemi kalmayacaktır. Mutlaka uygulamarınızın bulunduğu sunucuları yedeklemeniz gerekmektedir.

17 Single Point Of Failure Sistem seviyesi yedekliliği? Yedekli yaptığınız bütün sistemlerin güncellik seviyesini aynı tutmak zorundasınız Aksi takdirde tutarsız veri sağlayacağınızı aklınınzdan çıkartmayın

18 Single Point Of Failure Bölge yedekliliği,tüm veri merkezinin erişlemez duruma geldiğinde hizmetin devamlılığını sağlamak için dikkat edilmesi gereken bir proje adımıdır.

19 Domain Vs Workgroup

20 Domain Vs Workgroup WorkGroup(Çalışma Grubu) Domain(Etki Alanı) Domain ile WorkGroup Arasındaki Farklar Directory Service(Dizin Servisi) Active Directory(Aktif Dizin) Active Directory nin Faydaları Active Directory Tasarımı

21 WorkGroup Eşitlik Peer to Peer (P2P) Workspace oturumu Yerel Network Ağı veya subnet Paylaşılan Belgeler

22 Domain Vs Workgroup WorkGroup(Çalışma Grubu) Domain(Etki Alanı) Domain ile WorkGroup Arasındaki Farklar Directory Service(Dizin Servisi) Active Directory(Aktif Dizin) Active Directory nin Faydaları Active Directory Tasarımı 22

23 Domain Farklı Network Ağları Administration Merkezi Database Domain Name Güvenlik 23

24 Domain Vs Workgroup WorkGroup(Çalışma Grubu) Domain(Etki Alanı) Domain ile WorkGroup Arasındaki Farklar Directory Service(Dizin Servisi) Active Directory(Aktif Dizin) Active Directory nin Faydaları Active Directory Tasarımı 24

25 Domain Vs Workgroup ÖZET Domain Client/server network Username ve password serverda tutulur. Binlerce Bilgisayar Farklı networkler veya dünyanın herhangi bir yeri ayrımı yapılmaz Merkezi yönetim Değişiklikler tüm bilgisayarlarda otomatiktir. Kullanıcı yetkileri kısıtlanabilir. WorkGroup Peer-to-peer Network Username ve password Workspace de tutulur. Limit 12 Bilgisayar Aynı Yerel ağ veya Subnet Herkes kendi bilgisayarını yönetir. Değişiklikler manueldir. Eşit haklar. 25

26 Domain Vs Workgroup WorkGroup(Çalışma Grubu) Domain(Etki Alanı) Domain ile WorkGroup Arasındaki Farklar Directory Service(Dizin Servisi) Active Directory(Aktif Dizin) Active Directory nin Faydaları Active Directory Tasarımı 26

27 Directory Service Domain içerisinde ki ; Fiziksel ve mantıksal nesnelerle ilgili bilgileri tutan, Bu bilgileri organize eden, Bu bilgilerin merkezi yönetimini yapan, Bu bilgilere ulaşmak istediğinizde size ulaşmak istediğiniz bilgilerin adresini veren servistir. Microsoft un directory servisine Active Directory adı verilir. 27

28 Domain Vs Workgroup WorkGroup(Çalışma Grubu) Domain(Etki Alanı) Domain ile WorkGroup Arasındaki Farklar Directory Service(Dizin Servisi) Active Directory(Aktif Dizin) Active Directory nin Faydaları Active Directory Tasarımı 28

29 Active Directory Network te bulunan nesnelere ait bilgileri ve özellikleri tutan ve yöneten bir veri tabanıdır. Windows Server 2000 ile hayatımıza girmiştir. En önemli özelliği network te bulunan her şeyi(dosyalar, sunucular, yazıcılar, uygulamalar vs.) nesne olarak görür. Oluşturduğu veri tabanını kendine ait veri tabanı motoru olan ESE(Extensible Storage Engine) ile çalıştırır. 29

30 Domain Vs Workgroup WorkGroup(Çalışma Grubu) Domain(Etki Alanı) Domain ile WorkGroup Arasındaki Farklar Directory Service(Dizin Servisi) Active Directory(Aktif Dizin) Active Directory nin Faydaları Active Directory Tasarımı 30

31 Active Directory nin Faydaları Merkezi bir noktadan yönetim sağlar. Domain içerisinde ki kullanıcı ve grupların listesi tek bir merkezde tutulmaktadır. Network üzerinde ki kullanıcıların, gerekli izinler çerçevesinde, kaynaklara ve uygulamalara erişmesi sağlanır. Replikasyon teknolojisi sayesinde, Active Directory veri tabanını birden fazla network ortamı üzerinde ve birbirinden farklı sunucular arasında kullanmamızı sağlar. 31

32 Domain Vs Workgroup WorkGroup(Çalışma Grubu) Domain(Etki Alanı) Domain ile WorkGroup Arasındaki Farklar Directory Service(Dizin Servisi) Active Directory(Aktif Dizin) Active Directory nin Faydaları Active Directory Tasarımı 32

33 Active Directory nin Faydaları Active Directory nin tasarımı ve geliştirilmesi için iki süreç vardır: Mantıksal Tasarım Fiziksel Tasarım 33

34 Mantıksal Tasarım Merkezi yönetim için bileşenlerin tanımlanmasıdır. Bileşenler: Users, Computers, Groups, Domain, Domain Tree, Organizational Unit ve Forest tır. 34

35 Mantıksal Tasarım Users: Active Directory üzerinde oturum açan tüm hesaplar burada yer alır. Computers: Domaine dahil edilmiş bütün bilgisayarlar burada yer alır. Groups: Kullanıcıları sistemin tanıyabileceği şekilde gruplamak ve yetkilendirme işlemleri her kullanıcıya ayrı ayrı yapmadan direk gruba uygulamak için kullanılan bileşendir. Domain: Ağda bulunan yazılımsal ve donanımsal ürünlerin merkezi bir noktadan yönetilmesini sağlayan birime denir. 35

36 Mantıksal Tasarım Domain Tree: Bir ana domain ve buna bağlı alt domainlerin bulunduğu yapıya denir. Organizational Unit: Kullanıcı, grup ve bilgisayarların yönetimini kolaylaştırmak amacı ile objeleri belirlediğimiz yapıya göre sınıflandırmamızı sağlar. Forest: Domainlerin ve buna bağlı alt domainlerin bulunduğu konteynırlardır. 36

37 Fiziksel Tasarım Active Directory nin yönetiminde fiziksel olarak rol oynayan bileşenlerdir. Bileşenler: Site, Domain Controller ve WAN dır. 37

38 Fiziksel Tasarım Site: Active Directory yapısında ki farklı lokasyonların her birine verilen isimdir. Birbirine bağlanmış bilgisayar kümelerinden oluşur. Domain Controller: Domain veritabanının depolandığı ve domain yapısını kuran bilgisayara verilen isimdir. Yetkilendirme, yönetim ve kimlik denetimi yapmamızı sağlar. WAN: Siteler arasında ki bağlantıyı sağlar. 38

39 SDLC & IDLC 39

40 Sistem Geliştirme Yaşam Döngüsü Planlama İhtiyaçların değerlendirilmesi Önceliklerin belirlenmesi Kaynakların atanması Proje geliştirme takımının oluşturulması Analiz Ön araştırma yapılması Detaylı analizlerin yapılması: Mevcut sistem değerlendirmesi Kullanıcı ihtiyaçlarının netleştirilmesi Çözüm önerileri sunulması Dizayn Yazılım / Donanım tedariği Sistem detaylarının geliştirilmesi Destek Sistemin gözden geçirilmesi Sorunların tespit ve iyileştirilmesi Sistem performansının izlenmesi Uygulama İhtiyaç var ise yazılım geliştirme Yeni sistemin kurulup test edilmesi Kullanıcı Eğitimi Yeni Sisteme Geçiş 40

41 Güvenlik Yapılandırmaları DMZ Nedir? DMZ Network Yapısı Neden DMZ Network Kullanmalıyız? NAC Nedir? NAC Neden Önemlidir? NAC ın Yapısı 41

42 DMZ / De Militarized Zone Büyük ölçekli şirketlerde iç network ile dış dünyayı birbirinden ayıran silahsızlandırılmış bölgedir. DMZ herkese açık bilgilerin konumlanabileceği en iyi alandır. DMZ de konumlandırılabilecek servisler neler olabilir? Web sunucuları, posta sunucuları,reverse proxy, dosya transfer sunucuları gibi dış dünya ile bağlantılı olabilecek servisler DMZ de konumlandırılmalıdır. 42

43 Güvenlik Yapılandırmaları DMZ Nedir? DMZ Network Yapısı Neden DMZ Kullanmalıyız? NAC Nedir? NAC Neden Önemlidir? NAC ın Yapısı 43

44 DMZ Network Diagram Örneği 44

45 Güvenlik Yapılandırmaları DMZ Nedir? DMZ Network Yapısı Neden DMZ Kullanmalıyız? NAC Nedir? NAC Neden Önemlidir? NAC ın Yapısı

46 Neden DMZ? DMZ firewall tarafından daha az korunan ve daha fazla erişime izin verilen bir bölgedir. Büyük bir şirkette, çalışanların bilgileri, web siteleri, dosya transferleri, kaynak kodlar gibi birçok özel bilgi bulunur. Eğer bunların hepsi bir sunucu da konumlandırılırsa; web siteleri de kullanıcıların erişimine açılacağından dolayı, bir saldırı gerçekleştiği zaman bütün veriler riske atılmış olur. Böyle riski göz önüne almak istemeyiz. Bundan dolayı dış dünya ile bağlantı kuracak, yalnızca şirket hakkında bilgilerin yer aldığı, web sitesi gibi dış dünyaya açılan verileri DMZ de konumlandırılır; özel bilgiler başka sunucularda konumlandırılırsa, özel veriler riske atılmamış olur. Güncellemelerimizi(antivirüs, application vb.) ilk önce DMZ de yaparız. Bunun nedeni; ilk önce dış dünyaya açık olan sistemlerimizin açıklarını kapatmak, sonrasında özel ağımızda ki açıkları kapatmaktır.

47 Güvenlik Yapılandırmaları DMZ Nedir? DMZ Network Yapısı Neden DMZ Kullanmalıyız? NAC Nedir? NAC Neden Önemlidir? NAC ın Yapısı

48 NAC Network Access Control Nedir? Network Acces Control, ağ erişim kontrolüdür. İnternet veya özel ağlarda bulunan, kontrolü ve denetimi zor olan(şirket, kurum vb.) organizasyonların ağa çıkmak isteyen son kullanıcı cihazlarının(bilgisayar, yazıcı vb.) merkezi yönetimini sağlamak amacıyla denetimi, yetkilendirilmesi, izlenmesi, güncelleştirilmesi gibi işlemleri kapsayan birleşik sistemler bütünüdür.

49 Güvenlik Yapılandırmaları DMZ Nedir? DMZ Network Yapısı Neden DMZ Kullanmalıyız? NAC Nedir? NAC Neden Önemlidir? NAC ın Yapısı

50 NAC Neden Önemli? Zararlı kullanıcı veya cihazlardan oluşabilecek problemleri engeller. Yetkisiz erişimi engeller. Zararlı yazılımların ağın içerisine erişmesini engeller. Güvenlik politikalarının uygulanmasını sağlar. Önemli kaynaklara erişimi düzenler.

51 Güvenlik Yapılandırmaları DMZ Nedir? DMZ Network Yapısı Neden DMZ Kullanmalıyız? NAC Nedir? NAC Neden Önemlidir? NAC ın Yapısı

52 NAC ın Yapısı Bir client, var olan bir güncellemeyi, bilgisayarına yüklemediği zaman; NAC uygulamaları client ı Quarantine Network e alır ve burada Client üzerinde gerekli güvenlik politikalarını uygular. Client politikaları aldıktan sonra, client ı Quarantine network ten çıkarır.

53 Hardening

54 Hardening Hardening Nedir? Neden Önemlidir? Örnek Bir Senaryo Hardening Yöntemleri Client ın Hardening Edilmesi Server ın Hardening Edilmesi Sorular

55 Hardening Nedir? Server veya client larda bulunan ve gerekli olmayan bütün yazılımların ve yardımcı programların kaldırılmasıdır. Bu yazılımlar, herhangi bir pdf okuyucu, editör vs. olabileceği gibi otomatik başlatılan bir windows servisi de olabilir. Örneğin: Belirli bir kategoride bulunan kullanıcılarının C disklerini görmemeleri gerekebilir. C diskinde sistem dosyaları bulunduğu için erişmeleri, sistem yöneticileri için risktir.

56 Hardening Hardening Nedir? Neden Önemlidir? Örnek Bir Senaryo Hardening Yöntemleri Client ın Hardening Edilmesi Server ın Hardening Edilmesi Sorular

57 Neden Önemlidir? Hardening de amaç; istenmeyen tüm kodların yürütülmesini engellemek sunucu yada istemcileri yetkisiz erişime kapatmaktır. Amaç maksimum korumalı bir sistem elde etmektir. Banka gibi güvenliğin üst düzeyde olması gereken sistemlerde, verilerin korunması şüphesiz en önemli işlerdendir. Banka içerisinde çalışan herhangi bir çalışandan kaynaklanan bir hata güvenliği riske atabilir. Bundan dolayı hardening, her açıdan çok önemlidir.

58 Hardening Hardening Nedir? Neden Önemlidir? Örnek Bir Senaryo Hardening Yöntemleri Client ın Hardening Edilmesi Server ın Hardening Edilmesi Sorular

59 Örnek Senaryo Günümüzde Windows sunucuları üzerinde çalışan bir çok servis LocalSystem hesabı üzerinden çalışmaktadır. Bu durumda bu servislere yapılan bir saldırı da; o servisin bulunduğu bilgisayarın sabit diskini biçimlendirilebilir, çeşitli aygıt sürücüleri kurulabilir veya bilgisayara bir script yerleştirip, periyodik olarak istenilen özel bilgiler elde edilerek, illegal işlerde kullanılabilir.

60 Hardening Hardening Nedir? Neden Önemlidir? Örnek Bir Senaryo Hardening Yöntemleri Client ın Hardening Edilmesi Server ın Hardening Edilmesi Sorular

61 Hardening Yöntemleri Servis bazlı SID lerin oluşturulması: Bu sayede mevcut olan Windows Access Control modeli içerisinde servislerin erişimi de ayrıca tanımlanabilmekte ve kısıtlanabilmektedir. Servislerin ihtiyaç duymayacakları Windows haklarının kaldırılması: Örneğin run > services.msc üzerinden her kullanıcının servisleri restartstart-stop yapamaması. Bir sunucu yada istemciye network route path ler yazılarak yada firewall tanımlamaları yaparak sadece belirli lokasyonlardan erişim sağlanmasının yapılandırılması.! Hardening bir servisin saldırıya uğramasını engelleyemez, saldırganın servisler aracılığı ile vereceği zararı sınırlandırır.

62 Hardening Domain(Etki Alanı) WorkGroup(Çalışma Grubu) Domain ile WorkGroup Arasındaki Farklar Hardening Yöntemleri Client ın Hardening Edilmesi Server ın Hardening Edilmesi Sorular

63 Client ın Hardening Edilmesi Client ın CDROM dan data okuyamaması Client ın USB ye data depolayamaması. Client ın kullanmış olduğu web browser üzerinde proxy ile belirlenen siteler dışında, herhangi bir siteye erişememesi. Client üzerinde application filtering kuralları oluşturarak belirli format taki dosyaların client üzerinde çalışmasının engellenmesi. (.ps1,.vbs gibi)

64 Hardening Domain(Etki Alanı) WorkGroup(Çalışma Grubu) Domain ile WorkGroup Arasındaki Farklar Hardening Yöntemleri Client ın Hardening Edilmesi Server ın Hardening Edilmesi

65 Server ın Hardening Edilmesi Sunucunun hardening edilmesine, bir örnek üzerinden bakalım. Sunucumuzun üzerinde çalışan bir modem servisi var ise; ilk sormamız gereken soru, gerçekten bu sunucu da bu modem servisine ihtiyaç var mıdır? Eğer ki ihtiyaç yoksa, modem servisinin o sunucu da bulunmasına da gerek yoktur. Ancak modem servisine ihtiyaç varsa; modem servisinin hangi portları kullanabileceği, hangi kullanıcıların bu servisin status unu değiştirebileceği, hangi uygulamaların bu servisi kullanabileceği gibi erişimlerin kısıtlanması, server ın hardening edilmesine örnektir.