Kurumsal Ağlarda Web Sistem Güvenliği Ar. Gör. Enis Karaarslan Ege Ü. Kampüs Network Yöneticisi ULAK CSIRT http://csirt.ulakbim.gov.tr
İÇERİK 1. Neden Web Güvenliği 2. Kurumsal Web Güvenliği Modeli Standartları Oluşturma/Uygulama Sistem Farkındalığı Eğitim / Sınama Saldırı Saptama Engelleme 3. Ulak Csirt Web Güvenliği Grubu 4. Sonuç
NEDEN WEB GÜVENLİĞİ?
Web Kullanımı Artıyor Doğru bilgiyi zamanında ulaştırmak E ticaret ve bankacılık E öğrenme...vb Kurumların vitrini Uzaktan program çalıştırmak Cihaz yönetimi
Artan Web Saldırıları Zone H in incelemesi 2004 yılında web sunucu saldırıları 2003 yılına göre 400,000 (%36) artmıştır. CSI/FBI Bilgisayar Suç ve Güvenlik Anketi, ankete katılanların %95 i 2005 yılı içinde güvenlikle ilgili 10 dan fazla web sitesi olayı
Başlıca Nedenler... Web güvenliğinin yeterince ciddiye alınmaması. Geleksel güvenlik duvarları yetersiz Yetersiz sunucu güvenliği Güvenli kodlama eksikliği (Örn. Yazılımlarda girdi/çıktı kontrolünün yapılmaması)
Kurumsal Web Güvenliği Modeli
Kurumsal Web Güvenliği Modeli Standartların Oluşturulması Web Sistem Farkındalığı Eğitim / Sınama Saldırı Saptama Engelleme
Standartların Oluşturulması Kurum dışına açılacak web sunucu sistemlerinin uyması gereken özellikler belirlenmeli ve uygulanmalıdır Kurumun web sayfaları belirli bir yapıda ve şablonda olmalıdır.
Standartların Oluşturulması(devam) Hazır web portalları (phpnuke, joomla...vb) yerine kuruma özgü bir şablon hazırlanmalı ve uygulanmalıdır. Kurumsal web uygulamaları test edilmeli ve dökümantasyonu bulunmalıdır...
Sistem Farkındalığı Eğer saldırgan, sistemler hakkında sizden daha fazla bilgiye sahipse, o sistemi koruyamazsınız!
Sistem Farkındalığı Web Altyapısı Farkındalığı Zayıflık Testleri Ör: Nessus, Nikto, Wapiti Sistemin Takip Edilmesi Ör: Cacti
Web Altyapısı Farkındalığı Web sunucu IP adresleri Kullanılan protokoller (https, http) Alan adı (örn. socrates.ege.edu.tr) Kullanılan port'lar (80, 8080 vb) İşletim Sistemi (Linux, Windows vb) Web sunucu yazılımı ve sürümü (Apache 2.0, IIS 6.0 vb)
Web Altyapısı Farkındalığı (devam) Hazır portal yazılımı (Joomla, Phpnuke vb) Web uygulamaları için kullanılan programlama dilleri (cgi, php, asp vb) Web uygulaması dosya adı ve hangi dizin altında bulunduğu (path) Uygulamaya iletilen parametreler ve tipleri
Eğitim / Test Çalıştay Eğitim Portal Ör: http://websecurity.ege.edu.tr Test Sunucusu
Eğitim(devam) Web yazılımlarının girdi/çıktı kontrolünün yapılması gerektiği anlatılmalı Sunuculardaki hata sayfaları yerine varsayılan sabit bir sayfa döndürülmesi gerektiği anlatılmalıdır.
Saldırı Saptama Saldırı Saptama Sistemleri Ör: Snort Log Takibi Bal Küpü (Honeypot) uygulamaları
Saldırı Engelleme Erişimin Kontrolü/Kısıtlanması Ör: ağ güvenlik duvarı, ACL Web Sunucu Güvenliği Ör: Apache Mod Security Reverse Proxy Web Güvenlik Duvarı Ör:Mod Security Mod Rewrite
Ulak Csirt Web Güvenliği konusunda bilinçlendirme Web Güvenliği Belgeleri http://websecurity.ege.edu.tr http://csirt.ulakbim.gov.tr/dokumanlar /dokumanlar İTU Ninova E öğrenme içeriği hazırlanıyor http://ninova.itu.edu.tr
http://websecurity.ege.edu.tr
http://ninova.itu.edu.tr
SONUÇ Kurumsal Ağlarda web güvenliğini sağlamak için öncelikle gerekenler: Web Sisteminizin farkında olmalısınız Sunucu Yöneticilerini ve programcıları bilinçlendirmeli Saldırı Tespiti için sistem takip edilmeli Mümkünse web güvenlik duvarı çözümlerine gidilmelidir.
SONUÇ (devam) Belgeleme çalışmalarımız devam etmektedir. Desteğinizi bekliyoruz: http://websecurity.ege.edu.tr http://csirt.ulakbim.gov.tr/dokumanlar /dokumanlar
İlginiz için teşekkürler... Sorularınızı bekliyoruz. İletişim için: info@karaarslan.net ULAK CSIRT http://csirt.ulakbim.gov.tr