DOS vs Kurumsal Güvenlik. 15 Şubat 2011 Murat H. CANDAN

Transkript

1 vs Kurumsal Güvenlik 15 Şubat 2011 Murat H. CANDAN

2 Tanım olarak DOS / DDOS nedir? DOS, IT sistemlerinin faaliyetlerinin bu sistemlerin sahiplerinin isteği dışında yavaşlatılması veya durdurulmasıdır. DDOS, DOS saldırısının dağıtık olarak uygulamasına verilen isimdir ve DOS un bir alt bölümüdür. DOS elektronik ortamda gerçekleşeceği gibi fiziksel olarak da gerçekleştirilebilir. DOS saldırıları mutlak bir servisi veya bir kurumu tamamen hizmet dışı bırakmak zorunda değildir. Genel olarak herhangi bir servis ve hizmet ile ilgili olarak kaliteyi düşürücü miktarda saldırılar da yapılmaktadır (degredation of service). DOS saldırısı altındaki kurum veya kuruluşlar esas hedef olmak zorunda değildir. Tek başına bir DDOS saldırısı 100Gbit Internet trafiği tüketecek yoğunluğa ulaşabilmiştir. Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti

3 DOS saldırılarını mümkün / başarılı kılan şey nedir? TCP/IP temelleri atılırken kapalı devre sistemler söz konusuydu ve güvenlik düşünülmemişti, İnsan kaynağının azlığı, gerekli teknik bilgiye sahip personelin istihdamının zorluğu ve yönetimin desteğinin azlığı bu saldırıların başarılı olmasında rol oynamaktadır, Sanallaştırma gibi bazı teknolojiler yanlış değerlendirilmektedir. FKM senaryoları, doğal afetler için tasarlanmakta ve DOS durumunda devreye girmemektedir. Sorunlar, ürünlerle adreslenmeye çalışılmaktadır. Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti

4 Gerçek saldırı mı, "spike" mı? Ayrım nereden başlar? Çoğu anlık kullanım artışı ( spike ) ile ortaya çıkan sorunlar, DOS ile karıştırılır. Çeşitli kurum ve kuruluşlarla ilgili bilgilerin, popüler internet sitelerinde kurum kaynaklarını kullanacak şekilde duyurulması buna sebep olabilir. Slashdot effect olarak bilinen bu etkiye ek olarak da, çeşitli dönemlerde periyodik olarak gerçekleşen kullanıcı hareketleri de DOS olarak değerlendirilebilir. Yük testi veya kapasite testi yapılmadığı için herhangi bir servisin (SMTP/DNS/WEB vs), ne kadar yük ve kullanıcı kaldıracağı bilinmemektedir. Ölçüm verileri ve gözlem kabiliyeti olmadan sorunların çözüm süreçleri bilinememektedir. Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti

5 DOS sadece internet saldırısı mıdır? DDOS kavram olarak DOS un önüne geçmekte ve sadece internet üstünden yapılabildiği düşüncesine sebep olmaktadır. DOS saldırıları internet üstünden gerçekleşmek zorunda değildir. İyi planlanmış ve uygulanmış DOS saldırıları internet üstünden gerçekleşmez. Anlık ve keskin kesintiler yerine; sürekli ve anlaşılamaz performans problemleri yaratır. DOS ikinci katmandan 7. katmana kadar yayılabilir yılındaki pasifik okyanusundaki bir fiber kablo kesintisine, okyanus fiber kablo bağlantı noktalarına özellikle çekilen köpek balıklarının sebep olduğu düşünülmektedir. Fiziksel DOS için örnek gösterilmektedir. IPV6 ile ilk saldırı 2002 yılında gözlemlenmiştir. IPV6 bazı önlemler barındırsa da, DOS saldırılarına bağışık değildir. Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti

6 DOS saldırı vektörleri ve kurum zafiyet ara yüzleri Internet LAN HTTP, DNS, SMTP ve HTTPS en çok saldırılan protokollerdir. İyi planlanmış ve uygulanmış bir DOS saldırısı; Internet üstünden gelebilecek DOS saldırılarının, Arp spoofing gibi yöntemlerle yerel ağdan yapılması ile etkin olur. Kablosuz bağlantılar Kablosuz bağlantılar ile verilen erişim kabiliyetlerinden bağımsız olarak, kablosuz sistemlerle alakalı IT bileşenleri tamamen tehdit altındadır. Kurumlar arası bilgi paylaşım servisleri Eğer webservisleri aracılığı ile başka kurumlar ile onlar için önemli bilgileri paylaşıyorsanız, DOS saldırısının hedefi siz olmayabilirsiniz. Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti

7 DOS saldırılarının etkisini artıran hususlar nelerdir? "Single Point Of Failure, Güvenlik ve standartlar gözetilmeden hazırlanmış kodlar ve tasarımlar, Kaynakların paylaşımlı ve sınırlı olmasına rağmen yapılan tasarımlar (sanallaştırma, tek sunucu ile servis vermek vs), NAT, DNS ve yansıma saldırıları, "Default" yapılandırmalar, Kurumların birbirine karşı olan bağımlılıkları, DOS saldırısında takip edilecek genel bir planın bulunmaması ve panik yaşanması, Kanunların yerleşmemesi ve hukuk'un uygulanmasındaki problemler, IPv6 Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti

8 DOS saldırılarının etkisini azaltmak için yapılması gerekenler nelerdir? Kurum IT altyapısının "sınırlarının" belirlenmesi, tehdit vektörlerinin analiz edilmesi ve iyi bir destek hizmeti ile IT bileşenlerin yeniden yapılandırılması, Genişleyebilir bir altyapı için temellerin atılması, Sanallaştırma ile saldırganlara yeni saldırı vektörleri yaratılmaması, Kurum ve kuruluşlar arası bilgi paylaşımı sistemleri internet ile etkileşmemesi, Dışa açık temel servisler (DNS, WEB, SMTP, vs) için özel tedbirlerin alınması, Doğru ürünlerin, doğru destek ve eğitim şartlarıyla temin edilmesi, Risk yönetiminden iş süreçlerine kadar bazı konuların adreslenmesi. Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti