AĞ ve SİSTEM GÜVENLİĞİ

AĞ ve SİSTEM GÜVENLİĞİ Burak DAYIOĞLU ve Burç YILDIRIM {bd,by}@dikey8.com

Bilişim Güvenliği ve Sorunlar Bilişim sistemlerine bağımlılığımız artıyor Güvenlik ihlalleri her yıl en azından ikiye katlanıyor Her gün yeni yöntemler keşfeden ve kullanan saldırganlar Kullanışlılığı güvenliğe tercih eden kullanıcılar ve üreticiler Eğitilmiş uzman eksikliği

CERT/CC Güvenlik Yaşam Döngüsü Bilgisayar Acil Durum Müdahale Ekipleri Koordinasyon Merkezi (CERT/CC) Acil durum müdahale ekipleri arasında koordinasyonun sağlanması, global tehdit analizi CERT/CC ya rapor edilen ihlalleri ve bunların analizini temel alan bir model Kurumsal güvenlik politikası belirlenmeden uygulanamaz Her biri bir diğerine paralel yürütülebilecek beş adım Bu adımların uygulanması durumunda ihlallerin en azından %80 lik bölümünün gerçekleşmesinin engellenebileceği tahmin ediliyor

Tehdit Saldırının Evreleri Sadece teknik değil, büyük kısmı insan faktöründen kaynaklanıyor. Zayıflık Vakanın gerçekleşmesi ancak tehditin, denk bir zayıflıkla bir araya gelmesiyle olur. Olay Zarar

CERT/CC Güvenlik Yaşam Döngüsü

Saldırı Evreleriyle CERT/CC Güvenlik Yaşam Döngüsünün Birleşmesi Saldırı Evreleri Tehdit Zayıflık Olay Zarar

Saldırı Evreleriyle CERT/CC Güvenlik Yaşam Döngüsünün Birleşmesi Saldırı Evreleri Tehdit Zayıflık Olay Zarar Koruma ve Sağlamlaştırma

Saldırı Evreleriyle CERT/CC Güvenlik Yaşam Döngüsünün Birleşmesi Saldırı Evreleri Tehdit Zayıflık Olay Zarar Koruma ve Sağlamlaştırma Hazırlık

Saldırı Evreleriyle CERT/CC Güvenlik Yaşam Döngüsünün Birleşmesi Saldırı Evreleri Tehdit Zayıflık Olay Zarar Koruma ve Sağlamlaştırma Hazırlık Tespit

Saldırı Evreleriyle CERT/CC Güvenlik Yaşam Döngüsünün Birleşmesi Saldırı Evreleri Tehdit Zayıflık Olay Zarar Koruma ve Sağlamlaştırma Hazırlık Tespit Müdahale

Saldırı Evreleriyle CERT/CC Güvenlik Yaşam Döngüsünün Birleşmesi Saldırı Evreleri Tehdit Zayıflık Olay Koruma ve Sağlamlaştırma Hazırlık Tespit Müdahale Zarar İyileştirme

Koruma ve Sağlamlaştırma - I Amaç: Bilindik saldırılara ve problemlere karşı önlemlerin alınması Ağ aktif cihazlarının ve bilgisayar sistemlerinin yazılım güncellemelerinin gerçekleştirilmesi Ön-tanımlı parolaların ve diğer anahtar sözcüklerin (SNMP topluluk isimleri vb.) değiştirilmesi

Koruma ve Sağlamlaştırma - II Minimalist yaklaşım; açıkça gerekli olmayan her şey durdurulmalı ya da iptal edilmelidir Çalışması şart olmayan sunucu yazılımlarının durdurulması Gereksiz yazılımların kurulmaması Kullanıcılara ve yazılımlara yalnızca işlerinin gerektirdiği kadar yetki verilmesi

Koruma ve Sağlamlaştırma - III Kullanıcı tanımlama düzeneğinin daha güvenlikli hale getirilmesi Akıllı kart, hardware-token ya da biyometrik denetimlerin kullanımının tercih edilmesi Bunlar kullanılamıyor ise S/Key gibi tek kullanımlık parola düzeneklerinin kullanılması Vazgeçilemeyen parola düzenekleri için parolaların düzenli denetlenmesi ve zayıf parolaların atanmasının engellenmesi

Koruma ve Sağlamlaştırma - IV Yedekleme ve geri yükleme düzeneğinin kurulması, düzenli olarak denetlenmesi Anti-virüs yazılımlarının kullanılması ve düzenli güncellemelerinin gerçekleştirilmesi Sunucu yazılımları için üreticiler tarafından tavsiye edilen güvenlik ayarlarının yapılması Ağlar arasında yalıtım için güvenlik duvarlarının kullanılması Bu adımda alınan önlemlerin bilindik saldırıları engellemek için yeterli olup olmadığını denetlemek için zayıflık tarama yazılımlarının kullanılması

Hazırlık - I Amaç: Bir önceki adımda alınan önlemlerden sonra gerçekleşebilecek saldırılara hazırlık Bilinmeyen saldırılara karşı hazırlık yapılması Saldırıların tespit edilmesi ve müdahalenin gerçekleştirilmesi için gerekli alt-yapının hazırlanması

Hazırlık - II Ağ aktif cihazı ve sistem kayıtlarının toplanması İşletim sistemlerinin olabildiğince çok kayıt (ing. log) üretmesinin sağlanması Ağ aktif cihazlarının kayıt düzeneklerinin aktif hale getirilmesi Tüm kayıtların ağ üzerinde merkezi bir sunucu üzerinde toplanması Merkezi kayıtların güvenliğinin sağlanması Kayıt tutan tüm bilgisayar sistemlerinin zaman senkronizasyonunun sağlanması (NTP vb. ile)

Hazırlık - III Kayıtları tutulabilecek diğer uygulamaların belirlenmesi ve kayıtlarının merkezileştirilmesi Veritabanı sunucuları E-posta sunucuları DNS sunucuları Web sunucuları Uygulama sunucuları... Merkezileştirilemeyen kayıtların belirlenmesi ve bunlar için izlenecek stratejinin tespiti

Saldırı Tespit Sistemlerinin Kurulması Hazırlık - IV Bütünlük denetleyicilerinin kurulması ve sistem dosyalarının düzenli olarak denetlenmesi Ağ temelli saldırı tespit sistemleri kurulması ve normal olmayan durumlar ile bilindik saldırıların tespit edilmesinin sağlanması Bu sistemlerin kayıtlarının da merkezi kayıt düzeneği ile birleştirilmesi Saldırganları yanıltmak, onları oyalamak ve tespit edilmelerini kolaylaştırmak için honeypot sistemlerinin kurulması

Amaç: Anormal durumların tespit edilmesi, hangilerinin detaylı inceleme ve müdahale gerektirdiğinin belirlenmesi Tutulan kayıtların düzenli olarak incelenmesi Şüpheli kayıtların belirlenmesi Kayıtlarda saldırı izi olabilecek girdilerin aranması Kayıtlar arası tutarsızlıkların aranması Kayıtlarda zaman-atlamalarının aranması Tespit Saldırı tespit sistemi alarmlarının incelenmesi

Müdahale - I Amaç: Şüpheli durumların etraflıca incelenmesi, müdahale edilmesi ve çözümlenmesi Kayıtlar arasında ilişkilerin aranması Saldırı olduğundan emin olduktan sonra ilgili birim ve kuruluşlar ile bilgi paylaşımı Kurum yönetimi Anlaşmalı/ilgili acil durum müdahale ekibi Saldırının kaynağı olan ağı işleten kuruluş Savcılık Basın...

Müdahale - II Saldırının nasıl gerçekleştiğinin çözümlenmesi Saldırganlar aynı saldırıyı tekrar gerçekleştirebilir Saldırıya ilişkin kayıtların topluca yedeklenmesi

İyileştirme - I Amaç: Diğer adımlarda edinilen bilgi ve deneyimlerin ışığında güvenliğin arttırılması, süreçlerin iyileştirilmesi Yazılım ve yapılandırma güncellemelerinin yapılması, yamaların uygulanması Zayıflıkların düzenli olarak izlenmesi BUGTRAQ ve INCIDENTS gibi tarafsız listelerin takibi Üretici duyuru listelerinin takibi

İyileştirme - II Veri/Kayıt toplama düzeneklerinin iyileştirilmesi, revize edilmesi Zayıflık tarama yazılımlarının düzenli çalıştırılması, tespit edilen zayıflıkların giderilmesi Güvenlik politikasının ve prosedürlerin revize edilmesi

Değerlendirme ve Sonuç 11 Eylül saldırıları, tümüyle elektronik ortamda gerçekleştirilebilecek saldırıların boyutları ile ilgili bir fikir vermektedir Güvenliğin sağlanması için planlı bir çalışma zorunludur CERT/CC tarafından önerilen güvenlik yaşam döngüsünün her adımının titizlikle uygulanması ile saldırıların büyük bir bölümü bertaraf edilebilir ve/veya erken önlenebilir Güvenlik tek seferlik bir çalışma değil bir süreçtir

Dikey8 Girişimi Mart 2002 de bilişim güvenliği alanında çalışan profesyonelleri ve konunun meraklılarını bir araya getirmeye çalışan bir sivil toplum girişimidir Makaleler, güncel haberler, etkinlikler takvimi, güvenlik anonsları ve tartışma listeleri ile ilgililere hizmet veren bir web sitesi bulunmaktadır http://www.dikey8.com Projelere katkı vermek için gönüllülerin desteğine ihtiyaç vardır