ODTÜ BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI, 2007. ccnet@metu.edu.tr

Benzer belgeler
ERİŞİM ENGELLEME DOS VE DDOS:

Ağ Topolojisi ve Ağ Yazılımları

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

Kurumsal Ağlarda Web Sistem Güvenliği

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

Özgür Yazılım Çözümleri Ağ Yönlendirici Cihazı ODTÜ. metu.edu.tr

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

Sanal IPv6 Balküpü Ağı Altyapısı: KOVAN. Yavuz Gökırmak, Onur Bektaş, Murat Soysal, Serdar Yiğit

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

DTÜ BİLGİ İŞLEM DAİRE

IPv6 Güvenliği. Emre YÜCE - TÜBİTAK ULAKBİM 2 Haziran 2010

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Web Servis-Web Sitesi Bağlantısı

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Yeni Nesil Ağ Güvenliği

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

WiFi RS232 Converter Sayfa 1 / 12. WiFi RS232 Converter. Teknik Döküman

Kampüs Ağlarında Köprü-Güvenlik Duvarı (Bridge Firewall) ve Transparent Proxy

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

Web Uygulama Güvenliği Kontrol Listesi 2010

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Ağ Trafik ve Forensik Analizi

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

Virtual Router Redundancy Protocol (VRRP)

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

İletişim Ağlarında Güvenlik

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

T.C. ERCİYES ÜNİVERSİTESİ HAKAN ÇETİNSAYA İYİ KLİNİK UYGULAMA VE ARAŞTIRMA MERKEZİ

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

ADIYAMAN ÜNİVERSİTESİ (ADYÜ) 2016 YILI PROSES PLANLAMASI

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

Kets DocPlace LOGO Entegrasyonu

Data Link Katmanı olarak adlandırılır. Fiziksel adresleme bu katmanda yapılır.

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri


Bilgisayar Yazılımları

İÇERİK YÖNETİM SİSTEMİ KULLANMA KILAVUZU

Bağlantı Kılavuzu. Desteklenen işletim sistemleri. Yazıcı yükleme. Bağlantı Kılavuzu

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Altyapı Güvenliği. Prof. Dr. Eşref ADALI www. Adalı.net

Giriş. İş Ortamlarına Yerleşimi. SecurityOnion Nedir? SecurityOnion İndirme Adresi. SecurityOnion Kurulumu. Kurulum Sonrası Yapılandırma

Bilgi Güvenliği Farkındalık Eğitimi

Güvenlik Mühendisliği

Kablosuz Yerel Alan Ağlarda Güvenlik Uygulaması

Kullanıcı Hesabı ve Şifre Yönetimi

BEYAZ ŞAPKALI HACKER EĞİTİMİ

IPv6 INTERNET PROTOCOL. Hüsnü Demir hdemir at metu.edu.tr

LASERJET ENTERPRISE M4555 MFP SERIES. Yazılım Yükleme Kılavuzu

NETCAD 6 GIS KURULUMU (2012)

Ön Koşullar : Temel Network

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Yazılım-donanım destek birimi bulunmalıdır.

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

BİLGİSAYAR AĞLARI VE İLETİŞİM

YRD. DOÇ. DR. AGÂH TUĞRUL KORUCU

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

Dağıtık Servis Dışı Bırakma (DDoS) Saldırıları ve Korunma Yöntemleri

Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri

Firewall/IPS Güvenlik Testleri Eğitimi

Açık Kod yazılımlar ile Ağ ve Güvenlik Çözümleri. Huzeyfe ÖNAL

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri. Barkın

ICMP (Internet Control Message Protocol-İnternet Kontrol Mesaj Protokolü) METEHAN POLAT-FIRAT ÜNİVERSİTESİ YAZILIM MÜHENDİSLİĞİ


BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Bağlantı Kılavuzu. Desteklenen işletim sistemleri. Yazıcıyı Yazılım ve Belgeler CD'sini kullanarak kurma. Bağlantı Kılavuzu

YAZILIMLARLA NTEMLERI. Gökhan AKIN, Enis KARAARSLAN

Armitage Nedir? Kullanım Öncesi

DOS, DDOS AtaklarıveKorunma Yöntemleri Huzeyfe ÖNAL

Bağlantı Kılavuzu. Yazıcıyı yerel olarak yükleme (Windows) Yerel yazdırma nedir? Yazıcıyı Yazılım ve Belgeler CD'sini kullanarak kurma

MODELLER D6330, D6530

ÖZ DEĞERLENDİRME SORU LİSTESİ

Labris LBR-S Labris LBR-S4-100A YILI DEVLET MALZEME OFİSİ ÜRÜN KATALOĞU Labris Güvenlik Programlar

Şekilden daha iyi anlaşılacağı gibi kırmızı veriler zararlı olup ateşi ifade ediyorlar. Ortadaki ateş duvarı da zararlı içeriği tanımlayıp ateşin

SMTP Protokolü ve Spam Mail Problemi

G Ü Ç L E N İ N! Technical Assistance for Supporting Social Inclusion through Sports Education

Alt Ağ Maskesi (Subnet Mask)

BĠLGĠSAYAR AĞLARI. 1-Bilgisayar ağı nedir? 2-Ağ türleri 3-Ağ bağlantıları 4-Ġnternet kavramı ve teknolojileri

Kurum Personeli için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

DTÜ BİLGİ İŞLEM DAİRE

Vitel. Manage Engine. Opmanager Yönetici Özeti

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

01 Şirket Profili

Transkript:

ODTÜ BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI, 2007 ccnet@metu.edu.tr

İŞİNİ BİLEN TEKNİK ELEMAN

GÜVENLĠK Güvenliğin amacı: CIA (confidentiality, integrity, and availability). Confidentiality: Bilgilerin gizliliği ve mahremiyet. Integrity: Bilgilerin doğruluğu. Yani bilgilerin taģınırken veya saklanırken değiģtirilmemesidir (MD5SUM gibi). Availability: EriĢilebilirlik. Yani bir kullanıcı istediği bilgiye ulaģabilir olmalıdır. Riziko: Bir tehditin gerçekleģme olasılığıdır. Üç eleman ile; Varlıklar: Maddi veya manevi değerli Ģeylerdir. Tehdit: Varlıklara zarar verebilecek kiģi veya durumlardır. Zayıflıklar: Bunlar ise sistemlerin hassas noktalarıdır. Bu noktalar doğru uygulamalar ile azaltılabilir.

POLĠTĠKA POLĠTĠKA METNĠ Hiç yazılmamıģ bir politika metninin anlamı herşeye izin ver Politika metni olmayan ağların güvenliklerinin sağlanması zordur. Yeterli derecede duyurusu yapılmayan metnin uygulanabilirliği azalır. Ağ, güvenlik, sistem kullanım politikaları ayrı ayrı veya birlikte yazılmalıdır. Bu politika metni yetkili makamlarca onaylanmalıdır. Onaylanmayan uygulamaların yaptırımı hiç yoktur veya azdır.

KAMPÜS GÜVENLĠĞĠ Sınır güvenliği Nasıl her ülkenin güvenliği sınırda baģlarsa ağ güvenliği de sınırda baģlar. Sınırların belirlenmesi önemlidir. Ġnternet bağlantıları DıĢ kampüs bağlantıları Burada her dıģ kampüsü de ayrı birer kampüs olarak tasarlamak gerekir. Modem hatları GPRS bağlantıları Kablosuz iletiģim hatları Son olarak, dıģarıdan gelen tüm taģınabilir cihazlar.

KAMPÜS GÜVENLĠĞĠ Sistem Güvenliği Kampüs ağ güvenliği bir bütündür. Ağ güvenliği için tüm sistemlerin güvenliği sağlanmalıdır. Güvenlik duvarı ve virus koruma uygulamaları zorunlu olmalıdır. Pekçok ticari Ģirket bu konuda çözüm sunmaktadır. Ayrıca açık kaynaklar da bu konuda yardımcı olmaktadır (snort gibi). ICMP (Internet Control Message Protocol) IP haberleģmesinde genelde hata mesajları için kullanılır. Tamamen kısıtlanması iyi değildir. (Echo Reply, Destination Unreachable, Echo Request gibi tipleri hala kullanılmaktadır.) QoS ile Ģekillendirilmesi yararlı olur.

KAMPÜS GÜVENLĠĞĠ IPv4 dıģında kalanlar eğer kullanılmıyorsa kapatılmalıdır. Mümkün olduğu zamanlarda herşeyi engelle gerekli olanlara izin ver güvenlik kuralı uygulanmalıdır. Multicast eğer kullanılmıyorsa engellenmeli veya kontrol altında tutulmalıdır.

KAMPÜS GÜVENLĠĞĠ Saldırı çeģitleri Uygulama tabanlı saldırılar E-posta saldırısı gibi Servis engelleme (Denial of Service, DoS) saldırıları. IP Spoofing ġifre saldırısı

KAMPÜS GÜVENLĠĞĠ ÖNEMLĠ BĠR NOKTA Güvenlik nedeni ile sınırlandırılan TÜM kullanıcılar (IP, MAC veya kullanıcı kodu bazında) mutlak surette bilgilendirilmelidirler.

KAMPÜS GÜVENLĠĞĠ Ağ güvenliği parasal bir sorundur. Ne kadar maddi kaynak o kadar güvenlik. Ağa eriģim ağ güvenliğinin önüne geçmemelidir. Hiç kimsenin kullanamadığı paronayak bir ağ kurmak kaynakların anlamsız bir şekilde harcanması demektir. Ağ kullanımı ile güvenlik arasında düzgün bir orantı kurulmalıdır. Yüksek Kullanılabilirlik DüĢük Güvenlik Yüksek

SINIR YÖNLENDĠRĠCĠ Akıllı olmalıdır. 3. seviye IPv4 yönlendirme yapması zorunludur. Filtreleme yapabilir olmalıdır. En azından 4. seviye olmalıdır. Ġstenen 7. seviye filtreleme yapabilmesidir. Politika metnine uygun yapılandırılmalıdır. Para/güvenlik Birden fazla Ġnternet bağlantısı sahibi olanların BGP kullanması gereklidir. Her zamanki gibi iģini bilen bir teknik elemana ihtiyaç vardır. Özellikle açık kaynak kodlu bir yapılandırma için bu gereklidir. INLINE cihazlar performans kaybına neden olmaktadır. Güvenlik duvarı olması iyi bir özelliktir. Ġçeriden dıģarıya baģlatılan bağlantılara izin ver ama dıģarıdan içeriye bağlantı kurulmasına izin verme?

BLACKHOLE Kara Delik BaĢıboĢ bir Ģekilde içeride dolaģan paketleri yakalamanızı sağlar. Ġstenmeyen trafiklerin (adaware, spyware gibi) yoğunluğunu ölçmenizi sağlar. Bu cihaz özel hazırlanmıģ bir PC tabanlı sunucu olabilir. Yönlendirilmesi olmayan IP ler bu cihaza yönlendirilir. Mümkünse bu cihaz IDS olarak konumlandırılmalıdır. Cihaza gelen bilgiler değerlendirilmeli ve gerekli tedbirler alınmalıdır. Mesela; bir kaynaktan toplam 5dk içerisinde gelen paketler sayılıp port taraması yapan cihazların otomatik eriģimi kısıtlanabilir. Eğer varsayılan yönlendirme kullanılıyorsa olmayan IP blokları bu cihaza yönlendirilebilir. http://www.iana.org/assignments/ipv4-address-space Reserved Networks Ayrıca genelde virüsler tarafından kullanılan Microsoft portları (135-139, 445 gibi) bu cihaza yönlendirilebilir. Mesela herkesin bildiği bir yöntem: # tcpdump i eth0 n port 135 or port 445 Bu komutun çıktısı size tarama yapan virüslü bilgisayarların IPlerini verecektir. Son olarak http://www.bleedingsnort.com/blackhole-dns/ adresinde benzer bir yöntem kullanılarak DNS kara deliği mekanizması kurulabilir.

KABLOSUZ AĞLAR Esasen kablosuz ağların kendisinin bir güvenlik sorunu olmasının dıģında bu teknolojiye sahip cihazlarda aynı güvenlik sorunlarına neden olmaktadır. TaĢınabilir tüm cihazlar yanlarında güvenlik tehditlerini de taģımaktadırlar. Bu ağdan gelen bağlantılar kampüs dıģı bağlantı olarak algılanmalıdır. Bu ağa giriģler düzgün bir Ģekilde yapılanmalıdır. Mümkünse IEEE 802.1X kullanılmalıdır. IEEE 802.1X yapısı RADIUS, LDAP ile merkezi yapılabilir. WPA veya daha iyi WPA2 (IEEE 802.11i) kullanılması sağlanmalıdır. Kullanıcılar ağ kullanımı hakkında bilinçlendirilmelidir.

P2P PaylaĢım Uygulamaları Ağ kullanım yoğunluğu artmaktadır. Mümkünse engellenmelidir. Engelleme iģlem daha çok idari bir süreçte yapılmalıdır. Para/Güvenlik P2P aynı zamanda önemli bir güvenlik açığıdır. Güvenli ağlarda kesinlikle izin verilmemelidir. Gerekli durumlarda P2P için özel ağlarda kullanımına izin verilebilir. Güvenlik açıklarının yanında, kullanıcıların indirdiği uygulamaların çalıģtırılması ile oluģan güvenlik açıkları. Önemli bir BOTNET kaynağıdır. Aynı zamanda iyi iģler içinde kullanılabilir. IPHONE Linux, BSD sürümleri Oyun, OS güncellemleri gibi. En azından QoS ile yönetilmelidir.

SALDIRI KAYNAĞI MIYIZ? Saldırılar bize geliyor. Peki bizden saldırı gidiyor mu? Güvenlik çift taraflıdır. Bize gelen saldırılar. Bizden giden saldırılar. Her iki taraf içinde tedbir alınmalıdır. Kullanıcılarımız uyarılmalıdır. Bilinçsiz yapılan iģlemler kullanıcıyı saldırı kaynağı yapabilir. Açık bırakılan bir kablosuz bağlantı kullanılarak hiç tanımadığımız biri hiç tanımadığımız birinin hesabını boģaltabilir. Bağlantı sahibi bu hırsızlıktan sorumlu(mudur?).

HONEYPOTS HONEYNET Saldırıları çekmek için kurulan sisteme honeypot (bal kübü), bu sistemlerden oluģan ağa ise honeynet denir. Düzgün kurulmalıdır. YanlıĢ yapılandırma tüm sistemin ele geçirilmesini sağlar. IDS tabanlı olmalıdır. Ana amaç sistemde yalancı açıklar gösterip saldırganı ve yöntemlerini öğrenmek ve karģı politika oluģturmaktır. Tarpit (http://labrea.sourceforge.net/) KFsensor (http://www.keyfocus.net/kfsensor/) Windows Honeyd (http://www.honeyd.org/) Tüm loglama mekanizmasının merkezi olması ve cihazlar üzerinde tutulmaması sistemin ele geçirilmesinin anlaģılmasında yardımcı olacaktır. 2. Seviye veya 3. seviye olarak yapılandırılabilirler. 2. Seviye cihazların bulunması daha zor olduğu için bu sistemler daha güvenlidir.

GRAFĠKLER Tüm cihazların kullanım grafikleri çizilmelidir. Bunun için MRTG, RRDTOOL veya CACTI kullanılabilir. CACTI kullanımı son zamanlarda artmıģtır. Grafik arayüzünden trafikte oluģabilecek anomali rahatlıkla görülebilmektedir. Aynı zamanda mümkünse cihazların CPU, Bellek gibi değerlerinin grafikleri de hazırlanmalıdır. Kullanıcı sayılarını ve bağlantıları gösteren grafiklerde yararlı olacaktır. Bu grafikler aynı zamanda raporlamalarda da çok iģe yarayacaktır.

MERKEZĠ LOG SĠSTEMĠ LOG tutma iģlemi mümkünse merkezi olmalıdır. Tutulan loglar günlük olarak kontrol edilmeli veya otomatik sistemler kurulmalıdır. Bağlantı izlerinin logları da tutulmalı ve uzun süreli kaydedilmelidir. Sisteme giriģ yapan tüm kullanıcı logları tutulmalıdır. Sistemde bulunan tüm arp kayıtları gün ve yer bilgisi ile beraber arģivlenmelidir.

Örnek 1

Örnek 2 Sana l Ağ

TEġEKKÜR EDERĠZ ccnet@metu.edu.tr

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim