Yeni Nesil Ağ Güvenliği

Benzer belgeler
Yeni Nesil Ağ Güvenliği

İleri Düzey Bilgisayar Ağları

Denial-of-Service Attacks

IPSEC. İnternet Protokol Güvenliği

FortiGate IPSec VPN (Gateway-to-Gateway) v4.00-build /02

Outlier/Anomali: Aykırı, Sapan veri Sapan veri: Verinin geri kalan kısmından oldukça farklı olan veriler Uygulamalar:

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

ERİŞİM ENGELLEME DOS VE DDOS:

APT Tehditlerine karsı 7x24 Güvenlik İzlemesi SOC. Serkan ÖZDEN

Computer Networks 5. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

Bilgisayar Ağlarında Güvenlik. Prof. Dr. Eşref ADALI www. Adalı.net

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

ZAFİYET TESPİTİ VE SIZMA YÖNTEMLERİ. Eyüp ÇELİK Bilgi Teknolojileri Güvenlik Uzmanı

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

Internet te Veri Güvenliği

Açık Kaynak Güvenlik Duvarı Sistemi

Bilgi Güvenliği Eğitim/Öğretimi

BM 402 Bilgisayar Ağları (Computer Networks)

Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri. Barkın

İşletim Sistemleri. Hazırlayan: M. Ali Akcayol Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Firewall/IPS Güvenlik Testleri Eğitimi

Şekilden daha iyi anlaşılacağı gibi kırmızı veriler zararlı olup ateşi ifade ediyorlar. Ortadaki ateş duvarı da zararlı içeriği tanımlayıp ateşin

Internet te Veri Güvenliği

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Bölüm3 Taşıma Katmanı. Transport Layer 3-1

Ağ Yönetiminin Fonksiyonel Mimarisi

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

Secure Networks Capabilities Dragon Network Defense

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Ağ Temelleri Semineri. erbil KARAMAN

Ağ Topolojisi ve Ağ Yazılımları

Ön Koşullar : Temel Network

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

AĞ GÜVENLİĞİ VE GÜVENLİK DUVARINDA VPN UYGULAMASI

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Cyberoam Single Sing On İle

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Simetrik (Gizli) Kriptografik Sistemler Blok Şifreler Standartlaştırma. DES-Data Encryption Standard (Bilgi Şifreleme Standardı)

BİLGİSAYAR AĞLARI VE İLETİŞİM

IPSEC IKE ŞİFRELEME STANDARTLARI

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA


Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri

Bilgisayar Güvenliği Etik ve Gizlilik

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

SAVUNMA YÖNTEMLERY NTEMLERİ. ASES Bilgi Güvenlik G Teknolojileri

Computer Networks 4. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI

BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

DDoS El Kitabı. Eylül 2014 UR.RHB.004

Devrim Seral. Proceedings/Bildiriler Kitabı. ve hatta siyasi yada politik nedenlerle sorun. (Domain Name System Amplification)

Đstanbul Teknik Üniversitesi Bilgi Đşlem Daire Başkanlığı. 9 Kasim 2007 INET-TR Ankara

Ipv6 Egitimi. Mustafa Reşit Şahin. Software Engineer.

Bulut Bilişim ve Güvenlik

Ipv6'da Güvenlik. Hüseyin Gömleksizoğlu

FOUR FAİTH ROUTER LARDA IPSEC GÜVENLİ HABERLEŞME KILAVUZU

Altyapı Güvenliği. Prof. Dr. Eşref ADALI www. Adalı.net

BLM 6196 Bilgisayar Ağları ve Haberleşme Protokolleri

İleri Düzey Bilgisayar Ağları

Uygulama 6. Sunum 5. Oturum 4. Taşıma 3. Ağ 2. Veri iletim 1

OPNET IT Guru- Güvenlik Duvarı ve Sanal Özel Ağ (Firewalls and Virtual Private Network, VPN)

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

Ssl Vpn konfigurasyonunda öncelikle Sslvpn yapmasına izin vereceğimiz kullanıcıları oluşturuyoruz.

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Bölüm 8 : PROTOKOLLER VE KATMANLI YAPI: OSI, TCP/IP REFERANS MODELLERİ.

Useroam Cloud Kurulum Rehberi

FOUR-FAITH F-DPU100 M2M 3G/4G ENDÜSTRİYEL PROTOKOLLERİ DESTEKLEYEN ÖZEL MODEM

Seminar. İnternetin Kontrol Edilmesi. Recep Tiryaki Teknik Servis Muduru 1

1 WEB UYGULAMALARI GÜVENLİĞİ

Bilgisayar Programcılığı

Hping ile IP, ICMP ve UDP Paketleri Oluşturma

Data Communications. Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü. 2. Ağ Modelleri

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

FTP ve Güvenlik Duvarları

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

KAMPÜS AĞLARINDA ETKİN BANT GENİŞLİĞİ YÖNETİMİ

Ayni sistem(host) üzerinde IPC. Ağ(network) aracılığı ile IPC

DNS. Linux Yaz Kampı Bolu 2012 Eray Aslan

IPv6 Geçiş Yöntemleri Analizi

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Mediant 500L MSBR. Multi Service Business Router

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

FortiMail Gateway Modunda Kurulum. v4.00-build /08

Transkript:

Yeni Nesil Ağ Güvenliği Ders Notu 3 TLS, IPsec, Firewall, DDoS, IDS/IPS Mehmet Demirci 1

Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları Denial of Service Intrusion Detection 2

SSL/TLS SSL ilk olarak Netscape tarafından geliştirildi ve IETF in TLS standardına temel oldu. Webden alışverişin güvenliğine çözüm amacıyla önerildi. Gizlilik Ödeme bilgilerinin başkasının eline geçmemesi Bütünlük Alıcının isteği dışında işlem yapılmaması Kimlik doğrulama Satıcının gerçek ve güvenilir olması 3

SSL/TLS SSL/TLS, uygulama katmanının altında çalışır ve uygulamaya güvenli bir taşıma katmanı olarak görünür. Ama TCP gibi taşıma protokollerinde bir değişiklik yapmaz yani onların üstünde çalışır ve TCP özelliklerinden faydalanır. HTTP, SSL/TLS üzerinde çalışında HTTPS olur. 4

SSL/TLS TLS te iletişimin başlangıcında kripto bileşenleri seçilir. Bütünlük için hash türü Gizlilik için simetrik şifreleme türü Oturum anahtarı oluşturmak için yöntem Buna el sıkışma protokolü denir. 5

SSL/TLS Daha sonra kayıt protokolü (record protocol) taşımayı güvenli hale getirir. Uygulamadan gelen mesajlar Bloklara bölünür. HMAC ile bütünlük kazandırılmış hale getirilir. Simetrik anahtarlı algoritmayla şifrelenir. TCP ye gönderim için iletilir. 6

IPsec Birçok protokolü barındıran bir çerçeve (framework) IPv4 da isteğe bağlı, IPv6 te zorunlu. Modüler: Kullanıcı/admin farklı algoritma ve protokollerden istediğini seçebilir. Özellik seçimi yapılabilir. Bütünlük, kimlik doğrulama vs. Etki kapsamı seçimi yapılabilir. Tek bir uçtan uca akış veya iki yönlendirici arasındaki tüm paketler gibi. 7

IPsec IPSec te iki protokol vardır: Authentication Header (AH) ve Encapsulating Security Payload (ESP). AH pek kullanılmaz, ESP kullanılır. ESP de erişim denetimi, mesaj bütünlüğü, kimlik doğrulama ve gizlilik vardır. Altta Security Association (SA) denen tek yönlü bir bağlantı vardır. 8

IPsec Her SA iki moddan birinde çalışır. 1. Taşıma (transport) modu IP paketinin sadece payload kısmı şifrelenir/hashlenir. Başlık değişmez. ESP payloadu alıp üst protokole iletir. 2. Tünel (tunnel) modu IP paketinin bütünü şifrelenir/hashlenir ve başka bir IP paketi içine koyulur (encapsulation). VPN veya uzaktan kullanıcı erişimi gibi sistemlerde kullanılır. 9

Kablosuz Bağlantı Güvenliği Fiziksel güvenlik konrolleri geçerli olmadığından kablosuz bağlantılar saldırılara daha açıktır. 802.11 için ilk güvenlik tekniklerinden biri olan WEP, ciddi açıkları yüzünden kolayca kırılabilir. Onun yerine WPA ve WPA2 getirilmiştir. 10

Kablosuz Bağlantı Güvenliği: WPA2 Kablosuz cihaz ile erişim noktası (AP) arasında paroladan üretilen bir ana anahtar (master key) bulunur. Mode 1 AP, bir AS (auth. server) ile bağlantılı çalışır, cihaz ile AS arasındaki EAP (extensible auth. protocol) mesajlarını iletir. AS, Pairwise Master Key oluşturur ve AP ye bildirir. Mode 2 Bir de kişisel mod (Personal Mode) vardır. AS bulunmaz. Her cihaz auth. için paroladan türetilen aynı anahtarı kullanır. 11

Güvenlik Duvarı Firewall Bilgi güvenliğinde kriptografinin çözüm olmadığı birçok alan vardır. Sistemlerde kriptografi ile çözülemeyecek açıklar ve zayıf noktalar varsa, kötü amaçlı yazılımlar bunları kullanırlar. Ağları zararlı trafikten korumak için yaygın olarak kullanılan yöntemlerden biri güvenllik duvarlarıdır. 12

Güvenlik Duvarı Firewall Genellikle ağla İnternet i ayıran bir noktada durup gelen-giden trafiği filtreleyen bir sistem. Ağı az güvenilir ve daha fazla güvenilir iki alana ayırmış olur. İki firewall ile üçe de ayrılabilir: İç ağ, DMZ (demilitarized zone tampon bölge), İnternet. DMZ de DNS, e-posta sunucuları gibi dışarıdan erişilebilmesi gereken servisler tutulur. 13

Güvenlik Duvarı Firewall neye göre filtreler? IP, TCP, UDP gibi protokollere dair bilgiler (adres, port vs.) < Kaynak IP, Kaynak port, Varış IP, Varış port > Bazı kurallar engelleme, bazıları ise izin verme amaçlı olabilir. Bunları çelişmeyecek şekilde düzenlemek önemli ve zordur. Açıkça izinli olmayan bütün paketleri engellemek tutarlı bir yöntem olabilir. İhtiyaç duyuldukça yeni izinler eklenir. 14

Güvenlik Duvarı Firewall neye göre filtreler? HTTP gibi protokollerin bilgilerine (URL) göre de filtreleme olabilir. Çoğu sunucu, istemciye cevap verirken dinamik port numarası kullanır. İstemci tarafındaki firewall bunu önceden bilemez. Firewall stateful (durum tutan) şekilde çalışırsa, istemci isteklerinin kaydını tutar. Gelen cevap kayıtlı bir istekle alakalıysa izin verir. 15

Güvenlik Duvarı Firewall neye yarar? İstenen şekilde çalışırsa ağı İnternet ten gelecek istenmeyen erişimlerden korur. Fakat iletişimin güvenliğini sağlamaz. Tek tarafta uygulanabilir olması, birtakım güvenlik kontrollerini tek noktada toplayıp ağın içindeki cihaz ve kullanıcıları bazı endişelerden kurtarması avantajdır. 16

Güvenlik Duvarı Firewall: Zayıf noktalar Ağın içinde herhangi bir etkisi yoktur. İçeriye normal erişim sağlayan kötü niyetli kullanıcıyı bu noktadan sonra durduramaz. Firewall dan geçiş hakkı verilen her uzak sistem yeni bir güvenlik zaafı oluşturabilir. 17

Denial-of-Service Attacks Denial-of-Service (DoS) attacks target availability. NIST definition of DoS: An action that prevents or impairs the authorized use of networks, systems or applications by exhausting resources such as CPU, memory, bandwidth, and disk space. 18

Simple DoS Attacks Single attacker launches an attack such as ping flood. This has two major disadvantages for the attacker: The source is easy to detect. Responses will be sent to the source, so the attack will be reflected. 19

IP Address Spoofing IP Address Spoofing (or Source Address Spoofing) can be used by attackers in order to conceal themselves. The attacker has the ability to generate and use a different source IP address for each packet sent. 20

SYN Flood and Spoofing Normal TCP operation: SYN Flood: 21

Distributed DoS (DDoS) Attacks Usually, the attacker controls many bots or zombie systems. All of these attack the target together. 22

Defenses Against DoS Attacks Prevention: Backup resources, system modification, antispoofing Egress filtering: Do not allow outgoing packets with spoofed source address. Rate limiting: Limit the rate for certain packet types such as ICMP packets. Detection: Identifying suspicious patterns and filtering Source identification: Not very useful during the attack Reaction: Analyzing and learning lessons 23

Intruder Types and Behavior Masquerader: Unauthorized user who gains control of a legitimate user s account Misfeasor: Legitimate user who uses the system to do things for which she is not authorized. Hacker White Hat: harmless Black Hat: harmful Grey Hat: somewhere in between 24

Intruder Types and Behavior Intruders can attack a software vulnerability to obtain access, or they can try to crack passwords. After gaining access, they can Copy critical data, Deface a web server, Capture usernames and passwords, Turn machines into bots, And do many more things. 25

Intrusion Detection: Concepts Intrusion: Gaining unauthorized access (in short) Intrusion detection: Finding attempts for unauthorized access IDS: Intrusion detection system Sensors collect data. Analyzers interpret the data and decide whether an intrusion has occurred. User interface communicates with the user. 26

Intrusion Detection: Principles Why do we want to detect intrusions? Let s discuss. How are we able to detect intrusions? Intruders behave differently from legitimate users. IDS must be lightweight, configurable, adaptive, fault tolerant, robust,... 27

Host-Based Intrusion Detection A host-based IDS monitors the events within a single host to detect intrusions. 1. Anomaly detection Collect data for legitimate users. If new behavior is found to be different as a result of statistical tests, it is considered an anomaly. General thresholds or user profiles can be used. 28

Host-Based Intrusion Detection A host-based IDS monitors the events within a single host to detect intrusions. 2. Signature detection Define a common pattern of behavior for attacks and attackers. Actions/users who fit this pattern are labeled as intrusions/intruders. 29

Network-Based Intrusion Detection A network-based IDS monitors network traffic to detect intrusions. NIDS sensors may be deployed at different points. Outside the external firewall. Just inside the external firewall. In front of servers or workstation networks. 30

Network-Based Intrusion Detection A network-based IDS monitors network traffic to detect intrusions. Similar to host-based ID, network-based ID uses anomaly and/or signature detection. Anomaly detection is useful against DoS attacks, worms etc. Signature detection is useful against password guessing, buffer overflows, scans for vulnerabilities etc. 31

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim