SMARTFILTER BDDK DENET MLER MICROSOFT IAG 2007 SAYI UNDERGROUND LINUX GÜVENL TÜRK YE DE E-FATURA

Transkript

1 B L G G Ü V E N L G P L A T F O R M U FIREWALL A KUfiKULU B R BAKIfi McAFEE INTRUSHIELD SMARTFILTER BDDK DENET MLER MICROSOFT IAG 2007 UNDERGROUND LINUX GÜVENL TÜRK YE DE E-FATURA ABONEL N YEN LEMEYENLER Ç N SON SAYI syf: 3

2

3 May s 2007 mtiyaz Sahibi Sinan Y lmaz Sorumlu Müdür Erkan fien Yay n Dan flman Mehmet Ersin Da l Yay n Kurulu Caner Da l, Erkan fien, Serkan Akcan, Sinan Y lmaz Editor Attila Bilir Grafik Tasar m Erden Gümüflçü dari fller Koordinatörü Serkan Akcan Bu Say ya Katk da Bulunanlar Afflin Taflk ran, Arma an Zalo lu, Cankat Domaniç, Cenk Ceylan, Coflkun Kamilo lu, Erkan fien, Göksel Topbafl, Leyla Keser Berber, Luc Erol Alptuna, Mehmet Üner, Murat Lostar, Özgür Civek, Serkan Akcan, Serkan Ak n, Sinan Y lmaz, Umut Ayd n, Ümit fien Yönetim Yeri Mecidiyeköy fl Merkezi fiehit Ahmet Sokak No:4 Kat:12 D:121 Mecidiyeköy / stanbul info@beyazsapka.org De erli okurumuz, Dergimiz elinize ulaflt ancak abonemiz olmayabilirsiniz! Bildi iniz gibi abone sistemimizde köklü bir de ifliklik yap yoruz. Amac m z Beyaz fiapka y bilgi güvenli i ile ilgilenen aboneye ulaflt rmak. De ifliklik sürecinde tüm abonelerimizden web sitemizde yeniden kay t yaratmalar n istemifltik. 1 Haziran 2007 tarihine kadar abone baflvurular nda eski abonelerimize öncelik vermeye devam edece iz. Bu tarihten sonra abone kay d n yenilememifl okurlar m z maalesef Beyaz fiapka y temin edemeyecekler. Aboneli inizi iki ad mda kolayca do rulayabilirsiniz. 1. Web sitemizden kullan c ad ve flifre ald n z m? Henüz bir kullan c ad ve flifreniz yoksa hemen web sitemizde bulunan formu doldurabilirsiniz. Daha önce ad n za Beyaz fiapka gönderilmiflse Eski Abone seçene ini kullanman z gerekti ini hat rlatmak isteriz. Daha önce bir hesap aç p flifrenizi unuttuysan z fiifremi Unuttum seçene ini kullanabilirsiniz. E er kullan c ad ve flifreniz ile web sitemize girifl yapabiliyorsan z temel kay t ifllemlerinizi tamamlam fls n z demektir. Kullan c ad ve flifre sorunlar n z info@beyazsapka.org adresinden yönetim ekibimize iletebilirsiniz. 2. Posta adresinizi kontrol ettiniz mi? Beyaz fiapka, abone profilinizde belirtti iniz posta adresine otomatik olarak gönderilir. Bilgilerinizin do rulu unu tekrar kontrol etmenizi öneriyoruz. Profil bilgilerinizi web sitemize girifl yaparak görebilir ve de ifltirebilirsiniz. 1 Haziran 2007 tarihinden itibaren abone baflvuru formunda bulunan Eski Abone seçene i iptal edilecek ve her baflvuru yeni abone olarak s raya konacakt r. Mevcut altyap m z abone için haz rlanm flt r, daha fazla abone kabul edilmeyecektir. Beyaz fiapka dergisini almaya devam etmek ve yak n zamanda düzenleyece imiz etkinliklere kat lmak için biran önce aboneli inizi güncellemeniz gerekmektedir. Bask Mikado Matbaac l k Tic. Ltd. fiti. Tel: (212) mam Çeflme Cad. G/47 Sok. Seyrantepe 4.Levent / STANBUL Yay n Türü Yayg n Süreli, 3 Ayda bir yay nlan r nebula Ana Sponsorlar Kat l mc Sponsorlar letiflim Sponsoru Internet Sponsoru Beyaz fiapka, ücretsiz olarak abonelerine da t l r marka ba ms zd r sayfalar okuyucular na aç kt r bilgiye yöneliktir bilgi güvenli ine önem veren sponsorlar n n katk s ile okuyucular na ulafl r üç ayda bir yay nlan r Nebula Biliflim Sistemleri San ve Tic Ltd fiti taraf ndan ücretsiz da t l r. Güvenli Günler! içindekiler 04 >> Firewall'a kuflkulu bir bak fl kinci bir firewall güvenli i art r r m? 06 >> Forefront Güvenlik Ailesi Tamamland Geçen ay yeni üyesiyle karfl m za ç kan Microsoft Forefront Güvenlik Ailesi içinde eksik kalan son nokta da tamamland 08 >> McAfee IntruShield McAfee nin a tabanl atak engelleme sistemi IntruShield'a genel bir bak fl 11 >> Secure Computing SmartFilter Secure Computing Web filtreleme teknolojisi 14 >> BDDK Bilgi Sistemleri Denetimi Bankalarda ba ms z denetim kurulufllar nca gerçeklefltirilecek bilgi sistemleri hakk nda yönetmelik 18 >> Microsoft Tüm Donan m yla S n rda Microsoft un yeni s n r güvenli i ürünü Intelligent Application Gateway (IAG) >> Underground DDoS arac Tomahawk a genel bir bak fl Beyaz fiapka Yönetimi info@beyazsapka.org 22 >> Sanal Dünyadan Felaket Hikayeleri Bir doland r c l n elektronik takibi 24 >> KGB CIA e karfl - Kurumsal Risk Yönetimi Gizlilik, bütünlük ve kullan labilirlik kavramlar ile kurumsal risk yönetimi 26 >> Web Tehdidi Koruma Stratejisi nternet tehditlerine karfl Trend Micro'nun bütünleflik çözümleri 28 >> Çekirdek Seviyesinde Linux Güvenli i Linux iflletim sisteminin kalbi olan Linux çekirde inin geliflmifl güvenlik özellikleri 30 >> Spammer a karfl web korumas Web sitenizde bulunan e-posta adreslerini koruma yöntemleri 32 >> Türkiye de Elektronik Fatura Elektronik fatura kavram n n biliflim teknolojisi hukukundaki yeri 34 >> Kurumlar Big Brother olabilir mi? Kurumsal Güvenlik ve kiflisel haklar savafl may s 2007 beyazflapka 03

4 Serkan AKCAN Firewall a kuflkulu bir bak fl Bir firewall ürünü ile korunmakta olan bir sistemin güvenli ini artt rmak için ikinci bir firewall koymak iyi bir fikir midir? Bu soru bir bilgi güvenli i listesine e-posta olarak gönderildi ve üzerine büyük tart flmalar yafland. O günlerde bu yaz y yazmaya karar verdim ancak bu say m zda yazma f rsat bulabildim. Normal olarak herhangi bir soruyu cevaplarken konu hakk nda detayl ca bilgi sahibi olmal y z. Bu soruyu cevaplarken TCP/IP iletiflimini, hack yöntemlerini ve firewall teknolojilerini iyi tan mam z gerekiyor. Firewall baz lar m z için çok basit ve de iflmez bir teknolojiye sahip baz lar m z için üzerinde günlerce konuflulabilecek bir derya. Önce k saca firewall teknolojilerine göz atal m, sonra hangi sisteme hangi firewall teknolojilerini entegre etmemiz gerekir sorusuna cevap bulmaya çal flal m. Firewall teknolojisi temel olarak birbirinden ba ms z 3 tekni- e sahiptir. Asl nda Unified Threat Management (UTM) dedi- imiz ürünleri de eklersek rakam 4 e ç karabiliriz. Söz konusu tekniklere k saca bir göz atal m. 1. Packet Filtering Firewall teknolojisinin ilk ad m Packet Filtering olmufltur. Sistem basitçe dört bilgiyi kontrol eder ve kural listesine göre pakete izin verir veya durdurur. Bu bilgiler paketi gönderen IP adresi, paketin gönderildi i port, paketin hedef IP adresi ve paketin hedef portu. K saca paketin geldi i ve gitmeye çal flt - sisteme göre basitçe bir filtreleme yapabiliyoruz bu teknik ile. Günümüzde hemen hemen her yönetilebilir a cihaz nda yapabildi imiz basit bir tan m bu. Teknoloji gelifltikçe Packet Filtering ismi Static Packet Filtering olarak de iflti. Çünkü oldukça yetersizdi ve yerini Dynamic Packet Filtering e b rakt. Ülkemizde y llar boyu daha güvenli diye sadece Static Packet Filtering destekleyen Linux üzerindeki firewall yaz l mlar n n müflterilere uyguland n söylemeliyim. Ee tabi o zamanlarda herkesi bilgilendirecek olan Beyaz fiapka yoktu. 2. Dynamic Packet Filtering Static Packet Filtering in önemli dezavantajlar vard. TCP/IP iletiflimini takip edemiyordu. Hangi paketin hangi pakete cevap olarak gönderildi i belli de ildi. Bu durum k sa zamanda genifl çapl ataklara kaynak yaratt. Bu ataklar n en bafl nda da DoS/DDoS geliyordu. Dynamic Packet Filtering bir TCP iletiflimini bafltan sona takip eder. Peki bu ne demek? TCP/IP iletifliminin safhalar n anlatmas gayet kolayd r ama çok tekni e girmek istemedi imden de iflik bir dil ile anlatmaya çal flaca m. TCP/IP iletiflimi insanlar n ikili konuflmalar na benzer. Konuflmay bafllatacak olan merhaba, müsaitseniz sizin flu web sunucusuna ba lant yla ilgili konuflmak istiyorum diyerek konuyu açar. Web sunucusu yöneticisi kifli de tabi ki uygunum ne istiyorsun? diye cevaplar. Konuflmay bafllatan o zaman konuya girip birinci sorumu soray m diyerek devam eder. Biz buna 3 yönlü el s k flma (3-way Handshake) diyoruz. Konuflma her soruya bir numara vererek ve ilgili numara ile cevab alarak devam eder. Atak yapan biri bu soru numaralar yla oynayarak veya 3 yönlü el s k flman n bitmesini beklemeyerek çeflitli DDoS ataklar düzenleyebilir. Dynamic Packet Filtering teknolojisine sahip olan firewall ürünleri 3 yönlü el s k flma iletiflimini ve tüm iletiflim numaralar n takip ederek hata olmas n engelleyebilir ve bozuk iletiflimi durdurabilir. Dikkat ederseniz durdurabilir diyorum, çünkü çok yak ndan tan d m z baz firewall ürünlerinde bile detayl ayar yapmak zorunda kalabiliriz. Do rusu günümüzde firewall ürünlerinin tamam Dynamic Packet Filtering teknolojisine sahiptir. Baz lar bu teknolojiye Statefull Packet Filtering de der. Peki bir sistemin güvenli ini sa lamak için Dynamic Packet Filtering teknolojisi yeterli midir? Cevab yaz n n devam nda Proxied Firewall Afla yukar 2000 y l ndan beri her müflterimize anlatmaya çal flt m z efektif bir teknik. smine kanmamak laz m, nitekim bu teknolojiye sahip firewall ürünlerine bu firewall de il ki Proxy kutusu diyenler de mevcut. Proxied Firewall ürünlerinin tamam n n altyap s Dynamic Packet Filtering teknolojisine sahiptir. TCP iletiflimini ayn flekilde izler. Üstüne baz lar m z için çok ama çok önemli özellikler sunar. Bu arada baz üreticilerin Proxied Firewall yerine Hybrid Firewall terimini kulland n belirtmeliyim. Static ve Dynamic Packet Filtering teknikleri yukar da bahsetti imiz gibi paketin bafll k olarak adland r lan (header) adresleme ve biçimleme bölümlerine bakar. Ancak paketin içeri inde ne oldu u ile ilgilenmez. Bu durum bize baz önemli dezavantajlar yaratacakt r. Proxied Firewall teknolojisi hem TCP paketlerini izler hem de 04 beyazflapka may s 2007

5 paketin içeri ini kontrol eder. Teknoloji önceden tan mlanm fl özel Proxy kurallar ile hizmet verir. Bir Proxied Firewall ürünü üzerinde HTTP, FTP, SMTP, POP3, DNS, Oracle, Ms-SQL, H.323, SIP ve Citrix gibi protokollerin içeri ine bakabilen kurallar bulunur. Bu 'proxied' kurallar güvenli imizin can damarlar ndan biridir asl nda. Güvenlik gözlü ü ile bakt m zda örne in FTP protokolünde d flar dan PUT komutunun gönderilmesini yasaklayabiliriz. FTP sunucumuzda bir güvenlik zaaf bulunsa bile PUT komutu Proxied Firewall taraf ndan durdurulacakt r. Ayn flekilde SMTP protokolünde Auth komutunu yasaklayabiliriz, HTTP protokolünde URL için k s tlamalar getirebiliriz. Hemen hemen her protokolde baz dosya tiplerinin geçmesini engelleyebiliriz. Protokolleri içinde yer alan her komutu iki yönlü olarak yönetmemiz mümkün. Bütün bu yasaklamalar belirli bir ip adresi veya kullan c grubunu hariç tutarak da yapabiliriz. Baz Proxied Firewall teknolojili ürünlerin kullan ma haz r Application Defense özellikleri de mevcuttur. Bu özellik risk bar nd ran komutlar ve özellikleri otomatik olarak basitçe kapatmak isteyenler için ideal bir çözüm olabilir. çerden d flar ya gönderilen paketlerin de gizlili i önemlidir. Mesela SMTP sunucular baz özel bilgileri mesajlar n bafll k bölümüne otomatik olarak ekler. Bunlar IP Adresi ve sunucunun Windows Domain ad gibi internetten ö renilmesi biz güvenlikçilerin hofluna gitmeyen bilgilerdir. Proxied Firewall tekni i ile bu bilgileri firewall üzerinde gizleyebilir veya de- ifltirebiliriz. Görüldü ü üzere Proxied Firewall güzel bir fley. Birçok meflhur üretici yavafl yavafl bu teknolojiye geçiyor zaten. Bu Proxied Firewall un da hiç mi dezavantaj yok diyenlere tek cevab m var: performans. Di er teknolojiler 3 liral k donan mla çal flabilirken Proxied Firewall ürünleri 5 liral k donan mla çal flmak zorunda. 4. Unified Threat Management (UTM) Sektörde son birkaç y lda UTM Firewall ç lg nl yaflan yor. Baflar l ürünler de var yerlerde sürünenler de. UTM temel olarak birden çok güvenlik mimarisinin üst üste binmesiyle oluflturulmufl bir ürün grubu haline geldi. Örne in hepimizin çok bildi i bir markan n UTM cihaz Firewall, Antivirus, Antispam ve IPS (Atak Engelleme) teknolojilerine sahip. Bu noktada sistemimizi iyi düflünüp ürünü çok iyi incelemek gerekiyor. Çünkü birçok UTM cihaz nda IPS özellikleri çok k s tl, sadece birkaç protokol üzerinde çal flabiliyor. As l ifli IPS olan ürünlerde bu say yaklafl k 130. Antivirus e dikkat etmek laz m nitekim baz UTM ürünlerinde antivirus özelli ini aktif etti iniz zaman sistem neredeyse duracak hale geliyor. UTM cihazlar n n içinde bulunan Firewall teknolojisine dikkat etmek gerekli. Baz lar Dynamic Packet Filtering teknolojisine sahip, baz lar Proxied. Yani her UTM cihaz bir Proxied Firewall de ildir. Proxied özellikler istiyorsan z ürünü iyice incelemenizi tavsiye ederim. Hangisini kullanmal y m? Gelelim en bafltaki soruya. ki firewall ile sistem güvenli im artar m? Öncelikle soru net de il. Hangi teknolojiye sahip bir firewall var ve hangi teknolojiye sahip bir firewall daha eklenmek isteniyor, bunlar net de il. E er sistemimizde Dynamic Packet Filtering teknolojisine sahip bir ürünümüz varsa ikinci bir tanesini alman n bir mant yok. kincisini Proxied bir firewall koymak istiyoruz diyelim. Proxied ürünler ayn zamanda Dynamic Packet Filtering teknolojisine sahip, çok mant kl bir yat r m olmaz. UTM alal m desek, teknolojisi Proxied mi de il mi bakmak laz m. Bu uzunca tart fl labilir bir konu. O yüzden ben soruyu de ifltiriyorum. Sizin hangi teknolojiye sahip bir firewall kullanman z gerekir? Birço umuz biliflim sistemleri üzerinden hizmet al yoruz ya da hizmet veriyoruz. E-posta sunucular m z, web sunucular m z var. Hem müflterilerimiz hem de çal flanlar m z internet üzerinden bu sistemleri kullan yorlar. Dolay s ile asl nda hemen hemen hepimizin Proxied Firewall teknolojisine ihtiyac m z var. E er bir a hizmet sa lay c s ysak (Data center veya internet servis sa lay c lar ) Proxied firewall ihtiyac m z olmaz. Nitekim tek görevimiz paketi kontrol etmeden müflterimize h zl ca sunmakt r. Bu durumda Dynamic Packet Filtering teknolojisi gayet yeterli olacakt r. tiraf etmeliyim ki ben UTM cihazlar na çok s cak bakam yorum. Daha önceki yaz lar mda belirtti im gibi genelde UTM ürünlerinin IPS özelli i üç befl temel protokolde atak arama ifllemi yapabiliyor. Bu protokoller de genellikle HTTP, SMTP, POP3, RPC. Üstelik IPS teknikleri de çok k s tl. Oysa ifli sadece IPS olan ürünlerde denetim yap lan protokol say s civar. Atak engelleme projesi yaparken biliflim altyap m z, ürünlerin denetleyebildi i protokolleri ve bu denetimlerin ne kadar genifl yap labildi ini araflt rmam z gerekir. Uzun laf n k sas, firewall deyip geçmeyin. Her firewall ayn de- ildir, ayn oranda sizi korumaz. Biliflim sisteminizi iyi tan mlamal, en uygun teknolojiyi ve ürünü belirlemelisiniz. Sadece basit bir PUT komutu bütün sistemin can na okuyabilecek olan bir internet solucan n n içeriye girmesine neden olabilir. may s 2007 beyazflapka 05

6 Mehmet ÜNER Forefront Güvenlik Ailesi Tamamland Microsoft un Güvenlik Ailesi Forefront geçen ay içinde yeni üyesine merhaba derken, aile içindeki eksik kalan son nokta da tamamlanm fl oldu. Forefront Güvenlik Ailesi, ISA 2006 ve IAG 2007 ile d fl ba lant taraf nda, Forefront Security for Exchange, Forefront Security for Sharepoint, Forefront Security of Office Communications Server ile sunucu taraf nda ve son olarak da Forefront Client Security ile kullan c taraf nda birbiri ile entegre çal flan ve birbirini tamamlayan detayl güvenlik özellikleri sunmakta (fiekil 1). Ailenin yeni üyesi Forefront Client Security, kullan c ve sunucu iflletim sistemlerini dosya sistemi baz nda koruyabiliyor. Forefront Client Security i k saca, klasik bir antivirüs ve antispyware çözümü olarak tan mlayabiliriz ama Forefront Client Security asl nda içinde çok daha fazla özelli i bar nd ran detayl bir güvenlik çözümü. Bunlar aras nda bütünleflik koruma, basitlefltirilmifl yönetim ve entegrasyon, kritik görünürlülük ile denetim özellikleri bulunmakta. Özellikle denetim özellikleri ile bütün kurum içindeki bilgisayarlar n sahip oldu u güvenlik aç klar n tek noktadan görebilme yetene i ile ön plana ç kmakta. Bütünleflik Koruma Forefront Client Security, bütünleflik koruma özellikleri ile kullan c masaüstü, dizüstü bilgisayarlar n veya kurumlar n kritik sunucular n virüs, spyware, ve rootkit lere karfl koruyabiliyor. Gerçek zamanl veya sistem yöneticisi ve kullan c lar taraf ndan istenilen zamanda çal flmak üzere ayarlanabilen taramalar ile bilgisayarlar sürekli koruma alt nda tutabiliyor. Ayn zamanda poliformik virüslere karfl da koruma sa layabiliyor. Poliformik virüsler nas l çal fl yor diye bakarsak asl nda bu virüslerin yay lmak için kendilerini kopyalad klar n ve bu kopyalama s ras nda yap s nda ufak de ifliklikler meydana getirdiklerini görürüz. Böylece antivirüs programlar n n kendilerini fark etmeleri zorlafl r. Ama buna ra men FCS t pk di er zararl yaz l mlar gibi poliformik virüslere karfl da detayl bir koruma sa layabiliyor. Bununla beraber, 2007 sonunda haz r olmas planlanan Microsoft un yeni sunucu iflletim sistemi Longhorn un bir özelli i olan NAP (Network Access Protection) ile entegre çal flabilen FCS, 7 gün 24 saat çal flan küresel bir güvenlik araflt rma kurumu taraf ndan desteklenerek tehditlere karfl en etkin ve h zl cevab verebiliyor. Basitlefltirilmifl Yönetim ve Entegrasyon Forefront Client Security, merkezi yönetim arac l yla basitlefltirilmifl bir yönetim sunar. Tek bir konsol ile FCS zamandan tasarruf sa lar ve karmafl kl azalt r. Di er Microsoft araçlar nda da bulunan tan d k arayüzlerini kullanan konsol, kurulum, imza güncellefltirmeleri, raporlama ve uyarmay içeren tüm yönetici özelliklerini sunabilir (fiekil 2). Merkezi Konsol üzerinden kullan c bilgisayarlar nda veya kurum sunucular üzerinde çal flan Forefront Client Security agent lar için tek bir politika belirlenebilir. Bu politika ile antivirüs, antispyware ve güvenlik de erlendirme ayarlar yap labilir. Bilgisayarlarda tek program çal flmas na ra men birden fazla ifli yapmas ve bu ifllerin hepsinin merkezi olarak tek noktadan, tek politika ile yönetilebilmesi verimlili i oldukça artt r r. Microsot IT altyap s ile birebir entegre olabilen FCS, politikalar n son kullan c bilgisayarlar na Active Directory Group Policy ler ile gönderebilir. Bu ayarlar Merkezi konsol üzerinden veya Group Policy Yönetim Konsolu üzerinden yap labilir. Güncellemeler için WSUS u (Windows Server fiekil 3. IT Altyap ile Entegrasyon fiekil 1. Forefront Güvenlik Ailesi 06 beyazflapka may s 2007

7 Update Services) kullanan Forefront Client Security, ortamda bir WSUS olmamas durumunda (örnek olarak mobil kullan c n n evde olmas ) antivirüs imza güncellemeleri için Microsoft Update sitesine ba lanabilir ve güncel virüs imzalar n oradan kendisine yükleyebilir. Son olarak Raporlama ve Alarm mekanizmalar için SQL teknolojisini kullanan FCS, mevcut IT altyap s nda kullan lan ürünlerle birebir entegre olman n avantaj n kurumlara sunabilmektedir (fiekil 3). Kritik Görünürlülük ve Denetim Forefront Client Security içinde bulunan kritik görünürlülük özellikleri, k saca kurum a içindeki bütün güvenlik tehditlerini tek noktadan kolay bir flekilde görmek ve güvenlik raporlar n kolayca elde edebilmek demektir. MOM ve SQL teknolojilerini kullanan Forefront Client Security içerisinde oldukça geliflmifl raporlama mekanizmalar bar nd rmaktad r. Forefront Client Security, öncelik s ras na konulmufl ayr nt l güvenlik raporlar oluflturabilir ve daha ilk konsol ekran nda tek bir pano görüntüsü ile kurumlar o anki güvenlik durumlar n görebilir ve nereye müdahale edilmesi gerekti ini anlayabilir. Konsol üzerinden özet bilgisi, agent da t m durumu, alarmlar, kurum bilgisayarlar, tehditler ve sistem aç klar gibi birçok rapor al nabilir. (fiekil 4) Denetim k sm nda ise FCS, genel tehditleri ve potansiyel güvenlik aç klar n tespit etmek için durum de erlendirme taramalar yapabilir. Böylece Forefront Client Security taraf ndan yönetilen hangi bilgisayarlar n yamaya ihtiyaç duydu unu veya güvensiz bir flekilde ayarland n anlayabilirsiniz. Microsoft MBSA (Microsoft Baseline Security Analyzer) özelliklerine benzer bir flekilde, FCS ile kritik Windows güncellemeleri yap lm fl m, misafir kullan c hesab aç k m, kapal m veya bilgisayar üzerinde kaç tane yönetici hesab var gibi önemli güvenlik özelliklerini tarayabilirsiniz. Bununla beraber, dosya sistemi, otomatik girifl, gereksiz servisler ve paylafl lm fl dosyalar ve haklar gibi birçok detay da raporlayabilir. MBSA den en önemli fark ise tek bir bilgisayar yerine kurum içindeki her bilgisayar n güvenlik durumunu tek bir noktadan görmenizi sa lamas d r. Özellikle denetimin giderek öneminin artt bu günlerde FCS in bu fiekil 2. Forefront Client Security Merkezi Yönetim Konsolu yetenekleri kurumlar n oldukça ifline yarayacakt r. Windows 2000, Windows XP, Windows Vista ve Windows Server 2003 iflletim sistemlerini korumak için tasarlanan Forefront Client Security ile kurum a n n güvenli i için daha fazla koruma ve daha büyük bir denetim sa lanabilir. Forefront Client Security, Microsoft un uçtan uca güvenlik vizyonunu tamamlayan son halka olarak Forefront ailesi içindeki yerine yerleflmifl ve aileyi tamamlam fl durumdad r. may s 2007 beyazflapka 07

8 Coflkun KAM LO LU McAfee IntruShield Atak Engelleme Sistemleri 2000 li y llar n bafl nda a tabanl atak belirleme sistemleri (IDS) gerek yaratt yanl fl alarmlar (False Positive) gerekse yap lan ataklar n karmafl kl karfl - s ndaki etkisizli i sebebi ile güvenlik uzmanlar n n hedefi haline gelmiflti. Ancak günümüzde kulland m z atak engelleme sistemleri (IPS) sald r lar engellemedeki baflar lar ile günümüzün en popular konular ndan biri haline gelmifllerdir. Bu baflar n n belkide en önemli sebepleri a içerisinde konumland r ld klar yer sebebi ile sald r lar engellemedeki baflar lar ve oldukça düflük orandaki yanl fl alarm oran d r. McAfee Intrushield IDP (Intrusion Detection and Prevention) ASIC mimariye sahip sald r lar tespit ve engellemede kullan lan a tabanl alg lay c (sensor) ve bu alg lay c n n yönetimi için kullan lan yönetim biriminden oluflan sisteme verilen isimdir. Intrushield Sensor Farkl segmentlerin tek bir noktadan korunmas iflleminden sorumlu olan Intrushield Sensor ler tamamen ASIC mimarisine sahiptir. Farkl ifllemcilerin farkl görevlerden sorumlu oldu u alg lay c yap s na k saca göz atmak gerekirse; NP_1 (Network Processor) TCP paketlerinin parçalanmas nda ve birlefltirilmesinde, içerik analizinde, Recon sald r lar n n (Ping Sweeps, TCP Syn Sweeps vs.) analizinde görev yapar. MP (Management Processor) alg lay c ve yönetim yaz l m aras ndaki ifllemlerden sorumludur. FPGA (field programmable gate array) TCP & UDP checksum hesaplamalar, paket içerisinde zafiyet bulunup bulunmad ve paket bafl na 60 farkl kontrol iflleminin yap ld bölümdür (IP violations, Periods, Ampersands vs.) McAfee Intrushield alg lay c ailesi 6 üyeye sahiptir. Destekledi i segment say s, Throughput de erlerine göre farkl l k gösteren alg lay c lar in-line modda 1-6 farkl segmenti koruma alt na alabilirler. Alg lay c tipine göre Fast ethernet yap s n ve Gigabit (Bak r veya Fiber) yap s n desteklerler.basit bir örnekleme yapacak olursak 4010 sensor modeli 12 adet izleme portu bar nd r r ve in-line modda 6 farkl segmenti koruyabilir. Throughput de eri 2Gbit/s olan bu model IDS modunda kullan lmak üzere 2 adet tepki portu ve bir adet yönetim portu içerir. 24 adet ifllemci ile desteklenen alg lay c 5 GB bellek bar nd r r. Virtual IDS teknolojisi ile farkl VLAN lar, Farkl subnet ler veya bu subnet ler alt ndaki tek bir IP için bile farkl politikalar yarat labilir ve uygulanabilir. Yukar da bahsetti imiz 4010 modeli üzerinde 1000 adet VIDS yarat labilir. SSL deste i ile HTTPS kullanan web sunucular na giden kriptolu trafik incelenebilir ve ataklar tespit edilebilir. Alg lay c lar üzerinde ACL (Access Control List) yaz labilir ve istenmeyen trafik daha tarama motorlar na girmeden engellenebilir. Intrushield Manager Yukar da bahsetmifl oldu umuz alg lay c lar n yönetim ifllemlerinden sorumlu olan yaz l m Windows 2003 sunucular üzerinde çal flabilmekte ve veritaban olarak MYSQL kullanmaktad r. Alg lay c lar taraf ndan yarat lan tüm alarmlar ve bu alarmlar neticesinde alg lay c taraf ndan al nan önlemler bu yönetim ara biriminden gerçek zamanl izlenebilir. Yarat lan tüm alarmlar veritaban na kaydedilir ve istenilen zamanda gözden geçirmek üzere tekrar yüklenebilir. Bu yönetim arayüzü imza dosyalar n McAfee güncelleme sunucular ndan otomatik olarak alabilir ve sisteme ba l alg lay c lara gönderebilir. Hem alg lay c hem de yönetim yaz l m felaket senaryolar n desteklemekte ve Fail-over yap da kurulabilmektedirler. McAfee Intrushield sistemlere düzenlenebilecek sald r lar n önlenmesi haricinde istenilen trafi in kesil- 08 beyazflapka may s 2007

9 mesi amac ile de kullan labilirler. MSN, Yahoo, ICQ gibi mesajlaflma trafi inin kesilmesi, Skype ile yap labilecek ses trafi inin kesilmesi, E-mule, Torrent vs gibi oldukça fazla bantgeniflli i tüketen P2P trafi inin ortadan kald r lmas amac ile de kullan labilir. Tüm bunlar n haricinde Intrushield Spyware trafi ini de denetleyebilir ve bu tip zararl kodlar n sistemlere bulaflmas n a n girifl noktas nda engelleyebilir. McAfee Foundstone ve Nessus gibi zafiyet tespit sistemleri konuflabilir ve bu sistemlerden al nan raporlar n McAfee Intrushield a verilmesi ile sistemlerde tespit edilen zafiyetlere yap lan sald r lar tespit edilebilir. McAfee Intrushield yönetim yaz l m ile birden çok farkl politika yarat labilir ve bu politikalar farkl arayüzlere veya yarat lm fl VIDS lere uygulanabilir. Veritaban ile ilgili yedekleme ifllemleri için gerekli olabilecek her türlü ek yaz l m yönetim ara birimi içerisine dahil edilmifltir bu yedekleme ifllemleri istekler do rultusunda zamanlanabilir. McAfee Intrushield ataklar n engellenmesi için birden çok mekanizmay ayn anda kullanabilir. mza Tabal Engelleme : Spesifik ataklara karfl etkili olan bu mekanizma alg lay c üzerinden geçen trafi i kendi üzerinde may s 2007 beyazflapka 09

10 McAfee IntruShield Atak Engelleme Sistemleri tuttu u atak imzalar ile karfl laflt r r. Trafik normalizasyon teknolojisi ile desteklenebilen bu metot tek bafl na kullan ld - taktirde yeni ç kan ve imzas olmayan ataklara karfl yetersiz kalmaktad r. Bu teknoloji baz ek özellikler ile desteklenmektedir. McAfee Intrushield sistemleri yöneticilerin kendi atak imzalar n yazmas na ve IPS e entegre etmesine olanak tan maktad r. Yanl fl alarmlar n ortadan kald r lmas ve ataklar n etkili bir biçimde belirlenebilmesi için Statefull tabanl imza teknolojisi kullan lmaktad r. Layer 3-7 trafi inin analizinde kullan lan bu metot evasion tekniklerinin kullan - labilme olas l n en aza indirir ( TCP segment overlap, RPC record fragmentation, SNMP encoding vs.). Davran fl Tabal Belirleme : A ortam na ilk kez kurulan alg - lay c lar 2 gün boyunca ö renme modunda çal flarak bulundu u konumun trafik analizini yaparlar. Bu ö renme 24 saat sonras nda da devam etmektedir ancak art k normal trafik de erleri bilindi i için anormal bir trafik davran flsal tespit sistemi sayesinde engellenebilir. Kullan c parolalar nda kullan labilen shellcode lar, çok fazla normal olmayan IP fragments, TCP den çok daha fazla UDP trafi i, gibi durumlar bu mekanizma ile tespit edilebilir. Bu teknolojinin dezavantaj false pozitif miktar n n imza tabal engelleme teknolojisi ile karfl laflt r ld zaman daha fazla olmas d r. Ancak imza tabanl teknolojinin fark na varamad yeni solucanlar n yaratt trafi in, yeni exploitlerin yaratt trafik veya var olan ataklar n yeni varyantlar n n yarataca trafi in alg lanabilmesi ve engellenebilmesine olanak sunmaktad r. Protokol Anomaly Tespiti : Bu teknoloji kullan larak protokollerin anormal davran fllar izlenebilir. Buna örnek olarak IP & TCP fragmentation overlap, checksum uygunlu u, yasad fl komut kullan m (HTTP & SMTP vs.), uzun veya k sa alan de erleri, HTTP nin 53 numaral portta kullan lmas Gnutella n n 80 numaral portta kullan lmas verilebilir. statistiksel DDoS : Uzun zamanl ve k sa zamanl olay da - l m n istatistiki de erleri göz önüne al narak gelifltirilen bu metot DDoS sald r lar n n tespitinde ve engellenmesinde kullan l rlar. SYN, SYN-ACK, RST, GIN, FIN Counts, ICMP echo reply süreleri, vs. gibi de erler belirli profiller alt nda tutulur ve o anki trafik de erleri ile karfl laflt r l rlar. Bunun haricinde bu eflik de erleri yöneticiler taraf ndan de ifltirilebilirler. McAfee Intrushield IPS bilinen, bilinen ataklar n de ifltirilmifl versiyonlar, bilinmeyen, DDoS sald r lar ve politika ihlallerine karfl sistemleri birden çok farkl teknolojiyi kullanarak koruyabilir. Her metodun kendisine ait avantajlar ve dezavantajlar bilinmektedir. McAfee farkl metodlar n avantajlar n kullanma esas na dayal olarak teknolojileri gelifltirmeye ve yeni teknolojilerin gelifltirilmesinde oldukça büyük rol oynamaktad r. 10 beyazflapka may s 2007

11 Secure Computing SmartFilter URL filtreleme Çözümü Özgür C VEK ozgur.civek@aptec.com.tr Web filtreleme teknolojisi sadece kullan c lar yetiflkin içerikli sitelerden uzak tutmaktan ibaret de ildir. Web filtreleme teknolojisi günümüzde herhangi bir organizasyon için zorunlu hale gelmifl olan efektif bir güvenlik politikas uygulama arac d r. flverenler, çal flanlar n n internet kullan m konusunda endifle duymal lar m? Cevap net bir flekilde Evet tir. Temelde sebepleri 4 ana bafll k alt nda toplayabiliriz. 1- Potansiyel sorumluluklar n s n rland rmak ve yasal sebepler. Her ne kadar günümüzde internet ve e-posta kullan m flirketler için vazgeçilmez olsa da, do ru kullan lmad nda ve yönetilmedi inde iflverene çok ciddi yasal, maddi ve manevi bedeller ödetebilir. fl yerlerinde internet kullan m n n suistimalini görmezden gelen iflverenler yüksek miktarda tazminat davalar na konu olmaya bafllad. Örne in a ustos 2003 de ABD de Minneapolis halk kütüphanesi 12 çal flan n n kütüphane müdürünün yetiflkin içerikli sitelere girip bunlar bilgisayara indirmesini kötü ve utanç verici bir ifl ortam yaratt n iddia eden ve belgeleyen flikayeti üzerine mahkeme kurumun çal flanlar na Dolar tazminat ödemesine karar verdi. Bu konu ile ilgili di er önemli bir nokta ise telif haklar ve gizli dokümanlar n ihlalleridir. fl yerlerindeki dosya paylafl m programlar ile ilgili endiflelerimiz hiç de bofl de ildir. fiirketler çal flanlar n n yasal olmayan sitelerden yapt klar indirmelerden direkt sorumludur. ndirilen film müzik ve her türlü entellektüel de er sonucu, sadece flirketin çal flan birey olarak de il, flirket ya da kurum direkt bu iflten sorumlu kabul edilmektedir. ABD de RIAA (The Recording Industry Association of America) FORTUNE 1000 de yer alan flirketlere bu tarz giriflimlere karfl sorumluluklar n hat rlatan bir uyar göndermifl ve hatta buna uymayan Arizona da bir flirket hakk nda açt yasal takibat sonucu 1 milyon Dolar tazminat alm flt r. 2- Çal flan verimlili i Yukar da belirtilen sorumluklardan kaçman n bedeli yaln zca ödenecek yüklü tazminatlar de il ayn zamanda ciddi bir verim kayb d r. IDC ye göre ifl yerinde kullan lan internetin %30-40 ifl d fl amaçlar için kullan l yor. Bunu yapan çal flan iflten ç karmak da belki bir çözüm olabilir. Ama bu çok da uzun vadeli olmaz. flten ç kar lacak kifliye ödenecek tazminat, yeni bir eleman n ifle al m süreci, e itimi ve verimli bir flekilde çal fl r hale gelmesinin maliyeti bunu engelleyebilir. Bunun yerine çal flanlar n limitsiz internet eriflimini s n rland rmak ve düzgün bir flekilde yönetmek çok daha iyi bir çözümdür. 3- Bantgeniflli i Bantgeniflli inizi do ru bir flekilde kullanmak en kritik operasyonlardan birisidir. Birçok çal flan, evlerinde geniflbant internet eriflimi olmas na ra men, iflverenlerinin yüksek h z ve bantgeniflli ine sahip a lar na daha fazla güveniyor ve film gibi büyük içerik indirmelerini ifl yerlerinde yap yor. Bu bazen ifl yerinin ifl amaçl kullan mlar n engelleyecek seviyelere bile ulaflabiliyor. Dolay s yla internet ba lant m z n bu flekilde kullan lmas kabul edilemez bir durumdur. Aç k bir flekilde flunu da belirtmek laz m; internet kullan m n tamamen ya da büyük oranda k s tlamak fiirketin rekabet gücünü azaltacakt r. Bir web filtreleme yaz l m kullanarak bu probleme en optimum çözümü bulabilirsiniz. 4- Güvenlik aç klar S n rs z internet eriflimi finansal kay plar ve yasal sorumluluklar getirmesine ra men günümüzde çok az flirket internet olmadan ayakta kalabilir. Asl nda bu noktada ER fi M ve may s 2007 beyazflapka 11

12 Secure Computing SmartFilter URL filtreleme Çözümü GÜVENL K aras nda bir optimizasyon problemini çözmek ve fayda zarar dengesi iyi kurmak gerekiyor. Web filtreleme temel olarak HTTP bazl ataklarla ilgilidir. Korunulmas gereken HTTP tehditleri genel olarak mesajlaflma, e-posta, P2P dosya paylafl m, spyware, adware, hacker lar, cookies, DRM, malware, phishing, spam, worms, ve çal flanlar n web gezintileri etraf nda döner. Bütün bunlara karfl korunmak için çok katmanl bir içerik güvenlik stratejisi gerekir. HTTP üzerinden insanlarla, uygulamalarla ve a larla haberleflme öncelikli metodumuz oldu undan beri WEB filtreleme bu stratejinin en kritik ö esidir. Ortaya ç kabilecek Temel güvenlik aç klar na daha ayr nt l bakacak olursak; Phishing ve pharming ataklar (doland r c l k, sahtekarl k amaçl e-postalar) Doland r c l k, sahtekarl k amaçl e-postalar katmanl güvenlik yap s içerisinde önlenebilir. Öncelikle firewall, indirilebilir executable dosyalar bloklar. Tehlikeli e-postalar antispam teknolojisi ile yakalan r ve web Filtreleme teknolojisi sahte web adreslerinden korunman z sa lar. Spam ataklar Mevcut teknolojiler spam ataklar n bilinen adresler ve domain ler için kara listeler kullanarak, bayesien filtreleme, puanlama gibi de iflik teknikler kullanarak engeller. Web filtreleme buna ek olarak belirlenmifl spam mesajlar ndan URL leri toparlayarak ve bunlar kategorize ederek yeni bir koruma katman oluflturur. Bu yöntemde, bir spam mesaj a a girdi inde ve bir kullan c bu linke t klad nda d flar ya istek yollamadan durdurulur. IM (Instant Messaging yada An nda Mesajlaflma Servisleri) den kaynaklanan ataklar An nda mesajlaflma servisleri (IM) insanlara kolayca dosyalar paylaflma, haberleflme ve iletiflim imkan sunar. fl yapt - m z bir çok kontakla IM üzerinden iletiflim kurmak gerçekten çok mükemmel bir yoldur. Ama ayn derecede riskli bir yoldur bu. IM üzerinden haberleflmek, virüs, worm ve di er malware lere karfl aç k hale gelmektir. IM engellenmeli ya da k s tlanmal d r. E er ifl amaçl yasal bir flekilde kullan lmas gerekiyorsa IT politikas çerçevesinde tek bir uygun program seçilmeli ve di erleri yasaklanmal, seçilen program n kullan m na da k s tl ve kontrollü bir flekilde izin verilmelidir. E-postalardan kaynaklan ataklar E-posta ek dosyalar virüs, worm ve zararl kodlar yaymak için mükemmel ortamlard r. Hacker lar n a lara s zmas içinde çok uygun aç klar sa layabilirler. Javascript yada ActiveX e gömülü flekilde gelen bir HTML e-posta a a büyük hasar verebilir. EXE dosyalar firewall da engellenebilir ama e- posta üzerinden gelen zararl URL linkler kullan c y kand rabilir ve kötü amaçl sitelere yönlendirir. Bir URL filtreleme yaz l m kullanmak bu riski ortadan kald r r. P2P ataklar Birçok executable dosya P2P dosya paylafl m a lar üzerinden zararl kodlarla birlikte indiriliyor. Bu a lar n popülerli i artt kça virüslere casus yaz l mlara ve di er zararl kodlara karfl daha aç k hale geliyoruz. Bir çok güvenlik yöneticisi bu tarz servisleri web filtreleme program ile komple kapatt yada k s tlad. Do ru Web filtreleme Çözümünün Seçilmesi Web filtreleme yaz l mlar n n ilk jenerasyonu 90 lar n ortas nda ortay ç kt. Bunlar göreli olarak incelikten yoksun ve herhangi bir yasaklanm fl kelime geçen tüm web sitelerini tamamen bloke eden yaz l mlard. Aç kças bu yüzden bir çok masum site de engelleniyordu. Bu erken dönemdeki kelime engellemeye dayanan yöntem h zl bir flekilde URL listelerine dayanan ve sürekli güncellenen liste mant yla de- ifltirildi. Bu liste tabanl veri bankalar da daha sonra, pornografi, kumar, al flverifl, hacking araçlar olarak de iflik bölümlere ayr ld. Birçok filtreleme çözümü daha sonra dosya paylafl m yada malware engelleyici uygulamalar çözümlerine ekledi. Bugünün web filtreleme teknolojisi art k güvenlik katmanlar - m z aras nda ilk savunma hatt olarak ifllev görecek derecede sofistike hale gelmifltir. Sadece URL listeler tutarak buna bakan bir çözüm yeterli de ildir. Yeni nesil çözümler her gün geliflen ve de iflen milyonlarca URL bar nd ran listeler ile kullan c davran fllar n n analizinden ç kar lan sonuçlar (reputation score) birlefltirerek bir kullan c n n istedi i ba lant y kurup 12 beyazflapka may s 2007

13 kuramayaca na karar verir. Bu teknik (reputation-based filtering) web filtreleme teknolojilerin geldi i son noktad r. Temel olarak afla daki özellikler bir filtreleme yaz l mda bulunmal d r: 1 - Mevcut altyap ile uyumlu olmal. 2 - Database Veri taban genifl ve kapsaml olmal, s k güncelleniyor olmal, yüksek kalitede bir veri taban olmal d r. Neden Secure Computing Smartfilter veri taban en iyisidir? a.teknik nedenler Filtreleme çözümün kalbi veri taban d r. Bir filtreleme çözümü büyük oranda veri taban ne kadar güçlü ise o kadar güçlüdür. Veri taban düzgün bir flekilde kategorize edilmifl olmal d r. Secure Computing in gücü kategorize edilmifl her alan için bu iflin uzman ve Dünya daki birçok anadilde de- erlendirme yapabilen uzman çal flt rmas d r ki bunlar n aras nda anadili Türkçe olan uzmanlar ve Türkiye de konumland r lm fl uzmanlar çal flt rmaktad r. Veri taban güncelleme otomatik olarak yap labiliyor olmal ve günde birkaç kez bu mümkün olabilmelidir. Secure Computing sürekli potansiyel tehlike oluflturabilecek olan internetteki yeni siteleri ve sayfalar araflt ran otomatiklefltirilmifl araçlar kullan r. Daha sonra bunu 73 ayr kategori ile efllefltirir ve milyonlarca URL den oluflan veri taban n sürekli en güncel ve kaliteli tutar. Buradaki as l önemli nokta ise otomatik ifllemler sonras bu yeni eklenen sitelerin müflterilerin kullan m na sunulmadan önce tecrübeli bir analist taraf ndan gerçek gözlerle de erlendirilmesidir. Secure computing veri taban n n en güçlü yan destekledi i diller ve Secure Computing Web Analistlerinin yetenekleri ve bu alandaki tecrübesine dayan r. Amerikan Adalet Bakanl n n gerçeklefltirdi i 2 ba ms z araflt rma (etesting Labs ve InfoPeople üzerinden) rakipleri ile karfl laflt r ld nda SC veri taban n n en do ru ve kesin sonuçlar verdi ini ispatlam flt r. Secure Computing web analistleri sa l kl teknik uzmanl k ve kültürel farkl l klardan do an yanl fl durumlar n analizini en iyi flekilde birlefltirmektedir. b. Maliyet nedenleri Di er çok önemli bir noktas ise maliyetlendirme aflamas nda ç kar. Bir veri taban size sat l rken nas l fiyatland r l yor bu çok önemlidir. SmartFilter da tüm veri taban tek bir çat alt nda toplanm flt r ve ek gruplar için ek para talep edilmez. Rakiplere bakt m zda bunun böyle olmad n görüyoruz. De iflik gruplardan farkl rakamlar talep ediliyor ki bunlar n tamam bile zaten SmartFilter veri taban n n çok gerisinde seçenekler sunuyor. 3- Yukar da bahsetti imiz Reputation-based filtreleme teknolojisi mutlaka olmal d r. 4-Esnek filtreleme opsiyonu Grup, personel, departman gibi farkl seviyelerde ve farkl filtreleme opsiyonlar olmal d r. 5-Raporlama ve zleyebilme yi bir raporlama modülü olmazsa olmaz özelliklerden birisidir. SmartFilter SmartReporter çözümü ile sezgisel bir web arayüzüne sahip esnek kolay kullan ml tek bir raporlama çözümü sunar. Birden fazla ayn sonuca ulaflan çözümlerle kullan c n n kafas n kar flt rmaz ve ekstra maliyet yaratmaz. Raporlar e-posta üzerinden da t lmas için önceden programlanabilir. SmartReporter tek bir kullan c ya da IP adresi baz nda derinlemesine raporlama kapasitesine sahiptir. Raporlamalar kullan c isimlerine göre de al nabilir. Sonuç olarak bir web filtreleme çözümü kullanmak katmanl güvenlik yaklafl m içerisinde zorunludur. Secure Computing bu alanda kan tlanm fl ürünlerinin hemen hemen tüm a altyap lar ile uyumlu çal flacak flekilde tasarlanm flt r. SmartFilter yaz l m çözümü d fl nda ayn zamanda Sidewinder G2 Firewall, UTM çözümüne ek paket olarak yada Webwasher gateway içerik filtreleme çözümüne ek paket olarak sunulmaktad r. SmartFilter kurulumu için opsiyonlar: SC afla daki anadillere sahip uzmanlar çal flt rmaktad r: Arapça, Bulgarca, Çince, Çekçe, Hollandaca, ngilizce, Frans zca, Almanca, Japonca, Lehçe, Rusça, spanyolca, sveçce, Filipince, Türkçe, Vietnamca. SC afla daki dilleri sonradan ö renen uzmanlara sahiptir: H rvatça, Danimarkaca, Farsça, branice, rlandaca, talyanca, Norveççe, Portekizce, Romence, Slovakça ve Slovence. may s 2007 beyazflapka 13

14 Ümit fien BDDK Bilgi Sistemleri Denetimleri Bafl döndürücü bir h zla geliflen bilgi ve iletiflim teknolojileri sayesinde flirketlerin yerel ya da dünya çap ndaki faaliyetleri ve ifltirakleri artmakta, buna paralel olarak ifl yapma yöntemleri ve süreçleri de sürekli olarak geliflmekte ve karmafl klaflmaktad r. Bu geliflim ve karmafl kl k içinde; Enron, WorldCom veya mar Bankas gibi finansal skandallar n ya da doland r c l klar n yaflanmas n önlemek ad na belirli kanunlar n, yönetmeliklerin, risk yönetim süreçlerinin ve denetimlerin oluflturulmas ve uygulanmas bir zorunluluk olarak karfl m za ç kmaktad r. BDDK Bilgi Sistemleri Denetimi Ülkemizde henüz, Amerika Birleflik Devletleri nde 2002 y - l nda yürürlü e giren ve özellikle 404. Maddesi ile halka aç k flirketlerin finansal raporlama süreçlerinde; iç kontrollerin tesis edilmesini, kurum yönetimlerinin bu kontrollerin etkin bir flekilde çal flt ndan emin olmas n ve söz konusu etkinli in ba ms z denetçiler taraf ndan denetlenip, sonuçlar n n raporlanmas n zorunlu k lan Sarbanes-Oxley1 yasas kadar kapsaml bir yasa bulunmuyor. Elbette halka aç k flirketlerin mali tablolar n n ba ms z denetim firmalar taraf ndan denetlendi ini ve bu denetim raporlar n n sonuçlar n n aç kland n biliyoruz. Ancak bu, firmalar n mali tablolar n etkileyen süreçlerinde iç kontrollere sahip olmas n zorunlu k lm - yor. Bu anlamda Bankac l k Düzenleme ve Denetleme Kurumu (BDDK)?2, 16 May s 2006 tarih ve say l Resmi Gazete de yay mlanan ve üzerinde 17 A ustos 2006 tarih ve say l Resmi Gazete de belirtilen de iflikliklerin gerçeklefltirildi i, Bankalarda Ba ms z Denetim Kurulufllar nca Gerçeklefltirilecek Bilgi Sistemleri Denetimi Hakk nda Yönetmelik ad yla bir yönetmelik gelifltirdi. Yönetmeli in amac n yine Yönetmelik içinde tan mlanan flekliyle verebiliriz:...bu Yönetmeli in amac, bankalar n bilgi sistemleri ile finansal veri üretimine iliflkin süreç ve sistemlerinin, yetkilendirilmifl ba ms z denetim kurulufllar taraf ndan denetlenmesiyle ilgili usul ve esaslar düzenlemektir... Bu yaz da; Yönetmelik ile ilgili olarak, ba ms z denetim firmalar n n yetkilendirilmesi, baflvuru süreçleri ve taraflar n sorumluluklar gibi idari konulara girmeden, denetimlerin kapsam ndan ve denetimlerden beklenen sonuçlardan, konular gerçek hayat örnekleri ile de destekleyerek, bahsetmeye çal flaca z. K saca belirtirsek; BDDK bankalardan, finansal veri üreten süreçleri üzerinde genel ve uygulama kontrolleri ile iç kontrol sistemlerini tesis etmesini ve tüm bu süreçlere ait her türlü belge ve kayd ba ms z denetime uygun olacak flekilde haz r etmesini ve saklamas n beklemektedir. Dolay s ile as l amaç ba ms z denetçinin kendi belirledi i kontroller üzerinden denetim gerçeklefltirmesi de il, aksine banka yönetimlerinin söz konusu iç kontrolleri oluflturmas ve oluflturulan bu kontrollerin etkinli inin ba ms z denetçiler taraf ndan denetlenip raporlanmas d r. Bahsedilen amaç do rultusunda, denetimlerin kapsam yine Yönetmelikte flu flekilde belirtilmifltir:...bilgi sistemleri denetimi, kapsam bak m ndan üçe ayr l r. Bunlar uygulama kontrollerinin denetimi, genel kontrol alanlar n n denetimi ile uygulama kontrolleri ile genel kontrol alanlar n n birlikte gerçeklefltirildi i genifl kapsaml denetimdir... Kapsam dâhilinde denetlenecek olan süreçler ve bu süreçleri destekleyen sistem ve uygulamalar n envanterinin, denetlenecek olan kurum yönetimi taraf ndan haz rlanmas beklenmektedir. Genel ve uygulama kontrollerinin de erlendirilmesinde afla dakilerin göz önünde tutulmas beklenmektedir. Belirlenmifl olan süreç, uygulama ve sistemler üzerindeki yeterliliklerinin ve etkinliklerinin, Dokümantasyona uyumluluklar n n, Finansal verilerin güvenli i, bütünlü ü ve süreklili i prensiplerinin, Asl nda bu y l uygulanan BDDK denetimleri ilk kez gerçekleflmiyor. Geçti imiz y l, pilot bir çal flma olarak da görebilece imiz, daha dar bir kapsamda bir çal flma gerçeklefltirildi ve sonuçlar BDDK ile paylafl ld. Nihayetinde, gerçeklefltirilen bu denetimlerin sonuçlar ndan ç kar mlarla, bahsetmifl oldu umuz Yönetmelik yay mland. Geçen y ldan bu y la, kapsam n d fl nda, en önemli farklardan biri olarak, BDDK n n denetçi firmalardan denetlenen bankan n süreçleri hakk nda bir yorum talep etmesini belirtebiliriz. Bu genel bilgilerden sonra flimdi denetim kapsam nda gerçeklefltirilen çal flmalar detayland rmaya çal flal m. Genel Kontroller BDDK, genel kontroller olarak Control Objectives for Information and related Technology - COBIT?3 (Bilgi Teknolojilerine liflkin Kontrol Hedefleri) çerçeve program nda belirlenmifl olan kontrolleri esas almaktad r. IT Governance Institute - ITGI?4 taraf ndan yay mlanmakta olan COBIT, resmi web sitesinde bulunan tan ma göre; bir Bilgi Teknolojileri yönetiflim altyap s ve kurum yönetimlerine ifl süreçlerindeki riskler, teknik konular ve kontrol gereksinimleri aras ndaki boflluklar gidermeye/birlefltirmeye olanak sa layan ve bu altyap y destekleyen araçlar bütünüdür. Dört bafll kta, beyazflapka may s 2007

15 ana ve bunlara ba l 215 alt kontrol hedefi içeren COBIT, kurum üst yönetimlerine tüm bilgi sistemleri süreçlerini idare ve bu süreçleri kurum ifl hedefleri ve stratejileri ile bütünlefltirebilme flans tan maktad r. COBIT ana bafll klar fiekil 1 de özetlenmifltir: fiekil 1. COBIT ana bafll klar fiimdi bu dört ana bafll kta gerçeklefltirilen çal flmalara yak ndan bakmaya çal flal m: A) Planlama ve Organizasyon faaliyetlerinin denetiminde; organizasyon seviyesinde bilgi teknolojileri faaliyetlerinin tan mlanmas, yönlendirilmesi, ilgili yat r mlar n ve bütçeleme çal flmalar n n yönetimi, kalite yönetimi, insan kaynaklar yönetimi, proje yönetimi ve risk yönetimi gibi süreçlerin ele al nmas beklenmektedir. Söz konusu çal flmalara bir örnek olarak; kurumlarda bilgi teknolojileri yönlendirme komitelerinin bulunup bulunmad -, bu komitelerin bilgi teknolojileri plan ve stratejilerine nas l yön verdi i, kurumun k sa ve uzun vadeli ifl planlar ile bilgi teknolojileri hedeflerinin entegrasyonunun nas l ele al nd ba ms z denetçiler taraf ndan sorgulanmakta, gerçeklefltirilen çal flmalar n belge ve kay tlar n mevcudiyeti ve ilgili tüm yönetici ve personele iletilmifl oldu u aranmaktad r. Çok bilinen bir dokümantasyon örne i olarak; bu tür komitelerin gerçeklefltirmifl oldu u toplant lara ait tutanaklar incelenmekte, al nan kararlar n tüm kat l mc lara ve ilgili personele iletimi ve sonraki aflamalarda al nan kararlara uygun hareket edilip edilmedi i sorgulanmaktad r. B) Tedarik ve Uygulama faaliyetlerinin denetiminde; finansal veri üreten sistem ve uygulamalar ile ilgili kaynaklar n sa lanmas, yaz l mlar n gelifltirilmesi, bak m ve mevcut sistemler ve uygulamalar üzerindeki de ifliklik yönetimi gibi süreçler ele al nmaktad r. Bu bafll k alt nda, en kritik süreç de ifliklik yönetimidir. De ifliklik yönetimi, finansal veri üreten ve nihayetinde mali tablolar etkileyen süreçleri destekleyen sistemler ve uygulamalar üzerinde gerçeklefltirilen düzeltme, yenileme, bak m, sürüm yükseltme ya da yama yüklemeleri gibi ifllemlerin belirli bir süreç dâhilinde, önceden belirlenmifl yöneticilerin onay ile ve bu ifllemler için yetkilendirilmifl personel taraf ndan gerçeklefltirilmesi esas na dayanmaktad r. Bu anlamda; bir sistem veya uygulama üzerinde hangi durumlarda de ifliklik yap laca, de ifliklik taleplerinin kimlerden ve hangi iletiflim kanallar ndan al nabilece i, de erlendirme ve onay mekanizmalar, de iflikliklerin testleri, testlere iliflkin kabul süreci ve gerçeklefltirilen de iflikli in canl ortama kimler taraf ndan tafl nabilece i önem kazanmaktad r. Buna ba l olarak ilgili kontrollerin uygulan p uygulanmad ve kay t alt na al n p al nmad denetçi taraf ndan sorgulanmaktad r. C) Hizmet Sunumu ve Destek faaliyetlerinin denetiminde; üçüncü kiflilerden al nan hizmetlerin yönetimi, performans yönetimi, hizmet süreklili i, sistem güvenli i, problem yönetimi, operasyon yönetimi gibi konular ele al nmaktad r. Bu bafll k alt nda, en önemli kontrol hedefi sistem güvenli idir. Bilgi güvenli i ve veri s n fland rma politikalar, kritik sistemler ve uygulamalar üzerinde kullan c kimlik ve eriflim yönetimi ve yetkilendirmeleri, güvenlik testleri, zararl yaz - l m engelleme/tespit etme ve a güvenli i gibi konular denetçi taraf ndan ele al nmaktad r. Burada yanl fl anlamalara sebep olmamak ad na; ticari, ücretsiz, ya da aç k kaynakl uygulamalar/araçlar kullanarak, sistem zay fl k tespit veya atak ve s zma testleri gibi çal flmalar n genellikle tercih edilmedi i belirtilmelidir. Nihayetinde as l amaç, kurumun kendi kontrollerinin etkinli ini denetlemek oldu u için, sistem güvenli i ile ilgili olarak gerçeklefltirilen veya üçüncü parti firmalardan hizmet olarak al nan benzer çal flmalar n, yönetimin bilgisi ve onay dâhilinde gerçeklefltirilip gerçeklefltirilmedi i ve ilgili dokümantasyonun mevcudiyeti daha çok önem kazanmaktad r. Buna bir örnek olarak, kurum iç a n internetten ve/veya ifl ortaklar a lar ndan ay ran firewall uygulamalar üzerinde tan ml kurallar n içeri i ve do rulu undan ziyade, bu kurallar n konfigürasyonunun yönetimin onay dahilinde gerçeklefltirilip gerçeklefltirilmedi i sorgulanabilmektedir. Bunun yan nda, bahsedilen detayda bir çal flman n bu denetimlerin kapsam dahilinde olmas n n gerekip gerekmedi i elbette ki bir zaman ve maliyet sorunudur. D) Genel kontrollerde zleme ve De erlendirme faaliyetlerinin denetiminde; iç kontrol mekanizmalar, bilgi sistemleri performans n n ölçülmesi ve ilgili mevzuatlara uyumluluk gibi konular ele al nmaktad r. may s 2007 beyazflapka 15

16 BDDK Bilgi Sistemleri Denetimleri Bu çal flmalara örnek olarak, belirlenen kontrollerin etkinli- inin yine kurum taraf ndan kendi kendini de erlendirmek suretiyle ele al n p al nmad n n sorgulanmas verilebilir. Genel kontrollerin denetimi sonucunda, her COBIT ana kontrol hedefi (süreç) için bir olgunluk seviyesi puanlamas /de- erlendirmesi gerçeklefltirilmektedir. Olgunluk seviyeleri ve aç klamalar COBIT te flöyle belirlenmifltir: 0) Uygulanmayan süreç, 1) Standart ve organize olmayan, de iflken süreç, 2) Standart olmayan ancak benzer prosedürlerin bireylere ba l olarak uyguland süreç, 3) Belgelendirilmifl, bildirilmifl ve fakat bireylere ba l olarak yürüyen süreç, 4) zlenebilen ve ölçülebilen süreç, 5) En iyi pratiklerin uyguland otomatize-optimize edilmifl süreç. Olgunluk seviyeleri de erlendirmeleri, kurum yönetimlerine hem uygulad klar süreçler hakk nda genel bir de erlendirme yapma, hem de süreçlerini mevcut standart ve en iyi uygulamalarla karfl laflt rma flans vermektedir. Veri oluflturma/yetkilendirme kontrolleri, Girdi kontrolleri, Veri iflleme kontrolleri, Ç kt kontrolleri, S n r kontrolleri. K saca açacak olursak uygulama kontrolleri, finansal veriyi üreten süreçte; I. Kaynak verilerin, sisteme tan t lmas s ras nda sahip olmas gereken format özellikleri, II. Sisteme tan t lan verinin do rulu unun ve bütünlü ünün kontrol edilmesi, III. Veri iflleme s ras nda gerçekleflen hesaplamalar n do rulu u, IV. Farkl sistem ya da uygulama üzerinden geçen verilerin, bu arayüz geçifllerindeki do rulu u ve bütünlü ü, V. Veri iflleme s ras nda gerçeklefltirilen ifllemlerin yetkili kifliler taraf ndan ve görev ayr l ilkesine uygun olacak flekilde gerçekleflmesi, VI. Veri iflleme s ras nda meydana gelebilecek hatalar n ele al n fl yöntemleri ve VII. fllenen verilere ait ç kt lar n saklanmas nda gizlilik ve güvenlik unsurlar n n göz önünde tutulmas, Genel kontroller ile ilgili denetimlerin her iki y lda bir gerçeklefltirilmesi planlanm flt r. Uygulama Kontrolleri Uygulama kontrolleri finansal ve bilgi sistemleri denetimlerinde s k görülen kontrollerdendir. Genel olarak ifllemlerin; geçerli (meflru), uygun bir flekilde yetkilendirmifl, zaman nda, do ru ve tam olarak gerçeklefltirilmifl oldu unu do rulamak ad na baflvurulan kontrollerdir. Bilgisayar destekli (sistemsel) ve manuel olabilmekte ya da her iki özelli i birden kapsayabilmektedirler. (fiekil 2). Yönetmelikte yap lan tan ma göre de;...uygulama kontrolleri, bilgi sistemleri içerisinde yer alan ve bankac l k faaliyetlerini yürütmek veya desteklemek için kullan lan finansal verilerin tan mlanmas, üretilmesi, kullan lmas, bütünlük ve güvenilirli inin sa lanmas, verilere eriflimin yetkilendirilmesi gibi tüm ifl süreçlerinde kullan lmas gereken iç kontrollerin etkinli inin ve yeterlili inin denetlenmesini ve de- erlendirilmesini kapsar... fiekil 2. Uygulama kontrolleri Bilgi Sistemleri Denetimi kapsam nda asgari bulunmas gereken uygulama kontrolleri, BDDK taraf ndan flöyle s ralanm flt r: 16 beyazflapka may s 2007

17 gibi konularla ilgilenmektedir. BDDK, uygulama kontrollerinin, özellikle bankac l k sistemimizde geçmiflte yaflanan mükerrer (çift) kay t sistemlerinin varl n n ortaya ç kar lmas konusuna hizmet etmesini istemektedir. Nitekim geçti imiz y lki denetimlerde bu konuya yönelik bir çal flma gerçeklefltirilmifltir. Muhasebe fifllerinin; oluflma/yarat lma süreçlerinin anlafl lmas, bu süreçlerde yetkilendirme mekanizmalar n n test edilmesi, geriye dönük (geçmifl tarihli) muhasebe fifl kesim süreçlerinde, daha hassas olmak üzere, izlenen prosedür, yetkilendirme ve kay t (log) ifllemleri üzerindeki kontroller, bu denetimlerin kapsam nda gerçeklefltirilen çal flmalara örnek olarak verilebilir. Bu anlamda, ad her ne kadar Bilgi Sistemleri Denetimi olsa da, söz konusu çal flmalar n gerçeklefltirilebilmesi için finansal denetim profesyonelleri ve/veya kurumsal risk yönetim uzmanlar ndan direkt ya da dolayl olarak destek al nmaktad r. BDDK Bilgi Sistemleri Denetimleri kapsam nda gerçeklefltirilen uygulama kontrollerine baz örnekler vermek istersek; Faiz, gelir, amortisman hesaplamalar ve yaflland rma raporlar ile ilgili kontroller, EFT, Takasbank ve SWIFT sistemleri arac l ile gerçekleflen ifllemlerde ödeme sistemleri kontrolleri ve ilgili güvenlik kay tlar n n kontrolü, Banka ve kredi kartlar nda limit tahsisi ve kullan m na iliflkin kontroller, Menkul k ymet ve fon yönetimi süreçlerine iliflkin kontroller, Muhasebe fifl kesme sürecine iliflkin kontroller, Kredi baflvurular, limit ve geri ödemeleri ile iliflkin kontroller, Elektronik bankac l k süreçlerine (internet, ATM, telefon, vb.) iliflkin muhasebe kontrolleri. Uygulama kontrolleri ile ilgili denetimlerin her y l gerçeklefltirilmesi planlanm flt r Denetim Sonuçlar Gerçeklefltirilen denetimlerin sonucunda BDDK, format hakk nda bir tebli 5 yay mlad bir rapor beklemektedir. Raporda beklenenleri detaylar na çok girmeden flöyle özetleyebiliriz: Denetim s ras nda uygulanan yöntem, Bankan n bilgi sistemleri hakk nda genel bilgiler, Bankan n iç kontrol ve iç denetim yap s ile ilgili de erlendirmeler, Uygulama kontrolleri denetimleri, Genel kontrol denetimleri. Pratikte neler oluyor? Süreci olabildi ince özetleyerek anlatmaya çal flt k. Son olarak canl gözlemlerden k saca bahsetmek gerekir diye düflünüyoruz. Öncelikle, her yeni yönetmelikte beklenece i gibi geçifl sürecinin sanc lar n n yafland n belirtebiliriz. En büyük s k nt - n n, mevcut süreçlerin COBIT te beklenen kontrol hedefleri do rultusunda revize edilmesinde ve bu hedeflerle uyumlu hale getirme çal flmalar nda yaflanmakta oldu u gözlemlenmektir. Zira bu, y llard r süregelen ifl yapma al flkanl klar n n de iflmesi anlam na gelmekte ve günlük yap lmas gereken görevlerin üzerine bir de bu kontrol hedefleri do rultusunda ek ifl yükü ve önemli derecede bir dokümantasyon mesaisi getirmektedir. Bunun yan nda bu süreçlerde görev yapacak personelin bulunmay fl, yönetimleri ya kurum içi personelden baz lar n ayn zamanda bu görevlere atamaya ya da mevcut ç Kontrol veya yeni kurulan Bilgi Teknolojileri/Sistemleri Denetimi bölümlerine yeni eleman al m sürecine yönlendirmektedir. Bu günlerde insan kaynaklar ve ifl arama sitelerinde benzer ifl ilanlar na rastlamak mümkündür. Bitirirken, bu denetimlerin sonucunda oluflturulacak raporlar n raflarda tozlanmak üzere unutulmamas n - ki denetimler bir zorunluluk oldu u için bunu tahmin etmiyoruz - ve ç - kan sonuçlar n, süreç ve kontrollerin gelifltirilmesinde ve iyilefltirilmesinde bir kaynak ve referans noktas olarak kullan lmas n temenni ediyoruz. Ülkemizde, belki de bilgi teknolojilerinin geliflmesinde en büyük rolü oynayan bankac l k sistemi, sadece bu denetimlerle yetinmemeli ve dünyaca kabul görmüfl standart ve pratikleri uygulama konusunda da öncü olmal d r. Referanslar: Aral k 2006 tarih ve say l Resmi Gazete de yay mlanm flt r. BDDK n n resmi web sitesinden incelenebilir. may s 2007 beyazflapka 17

18 Umut AYDIN Microsoft Tüm Donan m yla S n rda! Tarihlerin 18 May s 2006 y gösterdi i gün Microsoft bilgi güvenli i konusundaki uzun süreli stratejisi dahilinde sektörün SSL VPN ve Web Uygulamalar taraf nda lider firewall çözümleri sunan Whale Communications bünyesine ald - n duyurdu. Bu al m n sektöre ve kullan c lara yans yan en önemli etkilerinden biri de flüphesiz düflük sahip olma maliyetiyle donan msal olarak SSL VPN ve Web Uygulamalar Güvenli ini yönetebilme kabiliyeti olacakt. A ve iflletim sistemleri aç klar na karfl koruma Esneklik Kullan c ve cihaz bazl girifl kontrollerinin sa lanmas, uygulamalarda bile bu deste in verilmesi. Bu birleflmeden k sa bir süre sonra Microsoft, Forefront ailesinin yeni ürünü olan Intelligent Application Gateway (IAG) 2007 yi duyurdu. Böylece Microsoft, Internet Security&Acceleration (ISA) Server dan sonra s n r uygulamalar için yeni bir teknolojiye ve ürün ailesine sahip oldu. ç uygulama yönetimi sayesinde kullan c - lar n ifl ihtiyaçlar na yönelik içerik sunarak verimlili i artt rarak a entegrasyonunu sa lay p, son nokta ba lant lar ndaki güvenli i artt r r. Microsoft Active Directory, Windows Networks, RADI- US, LDAP, Novell Dizin ve Dosya Paylafl m, stemci Sertifikalar, RSA SecurID ve güçlü kimlik do rulama uygulamalar yla tümleflik entegrasyon deste i sa lar. IAG 2007 Nedir? Microsoft Intelligent Application Gateway 2007 Uygulama düzenleyicileri ile (optimizer) Secure Socket Layer (SSL) Virtual Private Network (VPN), web uygulamalar taraf nda bir firewall ve son nokta güvenlik yönetimi ile çeflitli ifl uygulamalar na girifl, yetkilendirme ve içerik belirleme hizmetleri sa lamakta. Tüm bu özellikler sayesinde iflletme dahilindeki kullan c lar n uzak noktalardan merkezdeki ifl uygulamalar na güvenli eriflimleri sa lanmakla birlikte farkl yerlerdeki sistemlerin de (sunucular, PC ler, kiosk lar vb.) merkezde bulunan a ve uygulamalara güvenli eriflimlerine imkân vermekte. IAG sayesinde iflletmelerin iliflkide bulundu u ifl ortaklar, müflteriler ve tedarikçilerine yine kullan c ya özel güvenli uzaktan uygulama eriflimi sunabilmeleri de mümkün. Birden fazla sanal SSL VPN portal uygulamas n tek donan mda destekler Çal flanlardan tedarikçilere, iflbirlikçilerden tafleronlara, müflterilere ve hatta baflka uygulamalara uzaktan eriflim platformu sunar (web Servisleri ile) IAG 2007 sayesinde kurumlar n veri ve uygulamalar na güvenli bir flekilde uzaktan eriflim sa lanabilir. Bu ürünün vizyonu ise iç a da ulafl labilen bütün uygulama ve verilere, güvenli bir flekilde d fl a dan ulaflmakt r. IAG 2007, SSL VPN deste i ile uzaktan dosya paylafl m, istemci/sunucu Güvenlik Bütünlefltirilmifl pozitif mant a sahip uygulama güvenlik duvar Tam son nokta güvenli i ve zengin istemci kural uygulama motoru 18 beyazflapka may s 2007

19 uygulamalar n, a kaynaklar n belirlenen kurallar dahilinde istemci taraf nda herhangi bir yaz l m gerektirmeksizin tamam yla web ara yüzünden eriflilebilir hale getirme özelli ine sahip. IAG 2007 üzerine ekleyebilece iniz uygulama düzenleyiciler ile uygulamalara eriflim kurallar n belirlemeniz mümkün. Uygulama düzenleyicileri kullan c lar n kendileri düzenleyebilece i gibi, IAG 2007 üzerinde gelen Microsoft Exchange OWA, Microsoft Sharepoint Server, IBM Lotus Domino, IBM Lotus Domino Web Access ve Websphere Portal, SAP Enterprise Portal, EMC Documentum Webtop gibi çok kullan lan ifl uygulamalar na ve daha fazlas na eriflim için kullanabilece- iniz düzenleyiciler ürünle birlikte gelmekte. IAG Donan m Ürünleri Intelligent Application Gateway 2007 flu an yaln zca Microsoft taraf ndan yetkin OEM üreticilerin üretti i donan mlara tümleflik flekilde geliyor. Bu flekilde güvenli ve amaca özel bir kullan m imkan sunuluyor. Bu senenin fiubat ay bafl nda Microsoft iki OEM iflbirlikçisi Celestix Networks ve Network Engines ile ilk cihazlar piyasaya sundu. Kobi segmenti için hedeflenen 100 kullan c l k modellerden büyük iflletmeler ve flube ofisler için olan yüksek kullan c ve trafik kapasitesine sahip çeflitli ifl segmentlerine yönelik farkl ürünler piyasaya sunulmufl durumda. Ülkemizde ise flu an Celestix Networks e ait ürünlerin tümü temin edebilecek durumda. Network Engines ürünlerinin de çok yak n bir süre zarf nda ülkemize girmesi bekleniyor. may s 2007 beyazflapka 19

20 Erkan fien Underground B R DoS ATA ININ NELERE MAL OLACA INI B LMEK Ç N ATAK YEMEY M BEKL YORSUNUZ? KEND DoS ATA INIZI KEND N Z YAPIN, GERÇEK B R ATA A KARfiI ÖNLEMLER N Z TEST ED N. Yeni bir say ile yeniden merhabalar. Daha önceki say - lar m z n ço unda sistemleri test etmeye yönelik araçlar ya da yöntemlerden bahsettik. Bunlar n birço u ayn zamanda da istemci (HIPS) ve a tabanl atak engelleme (NIPS) sistemlerinizi de test etmenizde yard mc olabilecek araçlard. Ancak bunlar direkt olarak bu sistemleri hedef alm yordu. Bu say m z ile birlikte direkt olarak NIPS sistemlerinin performanslar n ve ayarlar n test edip irdeleyebilece imiz araçlardan bahsetmeye bafllayaca z. NIPS Testleri Öncelikle bir NIPS cihaz n test etmenin neden önemli oldu- unu vurgulamak isterim. Piyasadaki hemen hemen bütün NIPS cihazlar kendi testlerini zaten yapt r p bunlar ilan ediyorlar. Ancak bu testler genellikle sizin sisteminizdeki benzer mimari veya uygulama ortam nda yap lm yor. Ayr ca bu testlerde cihazlar n tüm ayarlar en ince ayr nt s na kadar kontrol edilmifl oluyor. Sizin sisteminizde bulunan NIPS cihaz nda herhangi bir ayar n eksik veya yanl fl düzenlenip düzenlenmedi ini veya cihaz n z n herhangi bir sald r ya ne gibi tepkiler üretti ini görebilmeniz aç s ndan bu testler oldukça önemlidir. Teste bafllamadan önce her ad mda ne yap laca ve bir çöküfl an nda nas l hareket edilece inin belirlenmesi test edilen sistemlerin iflleyiflini kesmemek ya da en az seviyede b - rakmak ad na çok önemlidir. Ayr ca test ifllemleri için kullanaca n z sistemlerin elinizin alt nda haz r bulunmas da size bütünlük aç s ndan çok fazla yard mc olacakt r. Test için uygun yaz l mlar n seçilmesi NIPS sistemleri birkaç katmanl olarak koruma sunarlar. Burada bu yöntemlerini yeniden anlatmayaca m. Ancak detayl bilgi edinmek isteyenler Beyaz fiapka n n önceki say lar nda bu konuda gayet ayd nlat c bilgiler bulabilirler. Di er yaz lar mda verdi im baz yöntem ve yaz l mlar, yukar da da belirtti im gibi, NIPS testlerinde de kullan labilir. Örne in IPS imzalar n test etmek için Metasploit, ya da ba lant noktas testleri için Nessus, FoundStone gibi araçlar kullanabiliriniz. Biz bu say m zda NIPS sistemlerini DoS (Denial of Service) ataklar için teste tabi tutmaya çal flaca z. Bunun içinde hem ücretsiz olan hem de kullan m ve yüklemesi gayet kolay olan Tomahawk yaz l m n kullanaca z. Tomahawk Tomahawk linux platformunda çal flan aç k kaynak kodlu bir test arac d r. Tomahawk bu testleri daha önce kaydedilmifl olan tcpdump dosyalar n kullanarak ilgili trafi i gönderebildi i kadar h zl bir flekilde sistemde bir ethernet inden di erine geçirerek uygular. Bu yöntem size IPS cihazlar d fl nda uygulamalar n z test etmenizde de size yard mc olacakt r. Testler için içerik belirlemek Birçok yaz mda belirtti im gibi burada da test ifllemlerine bafllamadan önce kendinize bir taslak ç kartmal s n z. Bundan kast m sisteminizde ki yap y yeniden gözden geçirip; A topolojisi, kullan labilir ba lant noktalar, bant geniflli i vb., Test edilecek olan sistemlerin seçilmesi, Son olarak NIPS sistemin korumas ve sizin test etmek istedi iniz yöntemlerin belirlenmesi. Tomahawk kullanabilmek için üç adet ethernet e sahip bir linux (Redhat) platformuna ihtiyac n z olacak. Bunlardan ikisi yukar da da bahsetti im gibi test paketlerini üzerlerinden ak tacak olan kartlar olacak. Di er kart ise sizin yönetim vb. 20 beyazflapka may s 2007