Ağlarda En Önemli 10 Açık-Bilgisayarınızdaki Açıklara Dikkat!Port Açıkları Önemli

**Prof. Dr. Sinsi** · 09-09-2012

Ağlarda En Önemli 10 Açık
Ağlarda En Önemli 10 Açık-Bilgisayarınızdaki Açıklara Dikkat!Port Açıkları Önemli
Ağlarda En Önemli 10 Açık-Bilgisayarınızdaki Açıklara Dikkat!Port Açıkları Önemli Tehlike

Hacker'ların sayılarının hızla artması ve ağlara sızmak için sürekli yeni ve sinsi gibi yöntemlerin geliştirilmesi, ağ güvenliğini en önemli konulardan biri dueumuna getiriyor

CHIP ağınızı bekleyen tehlikeleri ve bujlardan korunma yöntemlerini anlatıyor

Güvenlik ve kurumsal firewall yazılımları başta olmak üzere ağ topolojisi ve ağ yönetimi(Management) üzerine bilinmesi gereken tüm incelikler bu yazı dizisinde ayrıntılı olarak ele alınacak olup, karşılaşılması muhtemel sorunlara çözüm önerileri getirilecektir

Ağ Topolojisi
Profesyonel Ağ Yönetimi
Sistem açıklarının kapatılması
Profesyonel Firewall kurulumları
Firewall testleri
Uzaktan Yönetim / Remote Monitoring
Internet - Intranet ve Extranet güvenliği
LAN / WAN
DNS / FTP / MAIL Server problemleri

Bunlara ek olarak 3

parti bir çok yazılımın incelenmesi ve konfigüre edilmesi bu yazı dizisinde ele alınacak konuların ana başlıklarını oluşturmaktadır

5 bölüm halinde sizlere sunacağımız bu yazı dizisinde, en önemli güvenlik açıklarının neler olduğu, hacker'ların nasıl bloke edileceği ve ağ denetiminin nasıl olması gerektiğine dair önemli bilgiler bulacaksınız

Bunlara ek olarak firewall yazılımları ve ağa yönelik bazı donanımsal ürünlerin testleri de yapılacaktır

Ciddi bir laboratuar ortamında test edilecek bu araçlar mümkün olduğu kadar çok platformda denenerek sizlere lanse edilecektir

Ayrıca ağınızda tam olarak ne olup bittiğine dair detaylı rapor alabileceğiniz yazılım incelemeleri de yine bu seride bulabileceklerinizden bazıları

Öncelikle konuya girmeden önce bu kadar geniş içerikli bir yazı dizisinin hazırlanmasındaki etkenleri kısaca aktarmak ve ağ güvenliğinin nasıl olması gerektiğine dair orta ve ileri düzey metodolojileri tanıtmak istiyoruz

Ağ güvenliğinin önemi ve tehlikeler
BT ve Sistem yöneticileri (özellikle son 2 yıldır) oldukça büyük zararlara yol açan hacker ve virüs saldırılarına karşı çeşitli güvenlik önlemleri almaya başladılar

Atak davranıp ileriyi görebilenler sistem üzerindeki mevcut yapılandırmayı değiştirirken bir kısmı da ciddi anlamda firewall kurma yolunu seçtiler

Sisteme dışarıdan sızma, tescilli bilginin çalınması, sabotaj, virüsler, denial of service (hizmet durdurma saldırısı), içeriden yetkisiz erişim, ActiveX kontrolleri, kötü niyetli java applet'ler, trojan, polymorphic, macro, boot virüsler ve daha bir çok saldırı yöntemi önlem alınmamış bir sistem üzerinde kesinlikle yıkıcı etki yapacak etkenlerdir

Özellikle dış dünyaya açık güvenliği olmayan bir ağa sahipseniz ve hala çökertilmediyse ya çok şanslısınız ya da sizden bilgi sızdırılıyor anlamına gelir

Bu yazılanlar özellikle orta ve büyük ölçekli firmalar için geçerlidir

Çünkü profesyonel hacker'lar genelde marka özelliği olan, piyasada belirli bir saygınlığa ulaşmış firmaları hedef seçerler, fakat bu hiç bir zaman küçük ölçekli firmalara saldırılmayacağı anlamına gelmez

Sonuç her ne olursa olsun şirket sırları ve veritabanınızın güvenliği açısından server'larınızın mutlaka koruma altına alınması gerektiğidir

Yazının girişinde de belirtildiği gibi, sistem yöneticileri son 2 yıl içinde yapılan başarılı veya başarısız tüm saldırı atraksiyonlarına karşı, iki farklı yöntemden birini tercih etme durumunda kaldılar

İlk yöntem olan sistemi tekrardan yapılandırmak, sadece basit ve bilinen saldırıları bloke ederken, ikinci yöntem olan güvenlik araçları (Firewall) -doğru konfigüre edildiği takdirde- her tür saldırıya karşı etkin koruma sağlayabiliyor

FireWall: Ağ kontrolü ve trafik kaydının tutulması
Ayrıntılı incelemeye geçmeden önce firewall'un ne olduğuna dair kısa bir tanımlama yapmak gerekir

Firewall (Ateş Duvarı), özel bir ağ'a (ve/veya ağ'dan) yetkisiz erişimleri engelleyen gerek donanımsal, gerek yazılımsal ya da her ikisinin kombinasyonu şeklinde uygulanabilen sisteme adapte edilmiş kurulumlardır

Genelde büyük şirketler ve ISP'lerde kullanılır

Fonksiyonu ağ kontrolünü sağlamak ve bütün elektronik trafiği loglamaktır

Sitem Yöneticisi(Administrator) tarfından belirlenen güvenlik politikası tabanında firewall'dan geçitler ya yasaklanır ya da serbest bırakılır

Firewall bütün iletişim girişimlerindeki kimlik bilgilerini denetler ve varolan geçerli politika ile karşılaştırır

İletiyi kabul etme ya da reddetme kararı sistem yöneticisi tarafından belirlenmiş kurallar doğrultusunda işleme alınır ve daha sonra incelenmek üzere loglanır

Bu tip yazılımlar daha çok büyük ağ'lar ve önemli bir veritabanını korumak için kullanılır

Ve en önemli nokta hiçbir firewall %100 güvenlik sağlamaz

Bu handikap ancak işletim sistemlerinde bulunan açıkların sona ermesi ve geliştirilecek yeni güvenlik yöntemleri ile ortadan kaldırılabilir!

Şimdi sırasıyla alınabilecek güvenlik yöntemlerini inceleyip, hangisinin orta ve uzun vadede işe yarar olduğu sorusuna bir açıklık getirelim

Ancak konuya girmeden önce bilinmesi gereken, söz konusu her iki yöntemin de kendi aralarında alt seçeneklere ayrıldığı ve koruma amaçlı yapılacak her hareketin sistemin işleyiş performansını doğrudan etkilediğidir

Üzerinde anti-virüs özelliği bulunan veya ekstra bir anti-virüs programı ile entegre edilmiş tüm güvenlik yazılımları -doğal olarak- maksimum %10'a yakın performans düşüklüğü gösterebilir

Aslında bu kabul edilebilir bir ölçüdür

Fakat son versiyonlarını incelediğimiz bir çok anti-virüs ve firewall yazılımının bunu mümkün olduğunca minimuma indirdiğini tespit ettik

Ortalama işlem yapan bir sistem için %10'luk kayıp normal gözükebilir ancak farklı ünitelere bağlı terminal sayısı yüksek olan server'lara fazladan yük getireceği kesindir

Bu da web'i ağırlıklı olarak kullanan, yoğun e-ticaret yapan, farklı DNS'ler barındıran, kendi iç ağı dışında başka ağlara da bağımlı olan her kurum için hiçte hoş olmayan bir durumdur

Yazı dizimizin sonunda bu amaca yönelik hazırladığımız, önemli ağ işletim sistemleri ve kurumsal firewall programlarını kapsayan bir performans analiz tablosu bulacaksınız

Sistemin tetkik edilerek tekrar yapılandırılması
Yetkilendirme diagramını kısıtlayarak tekrardan belirleyin, bu davetsiz misafirleri azaltacaktır

Bu yöntem ilk bakışta küçük ölçekli firmaların benimseyebileceği bir seçenek gibi gözükse de aslında ciddi anlamda profesyonellik gerektiren bir olaydır

Bu işi yapacak sistem yöneticisinin sunucu ve ağ üzerindeki mevcut işletim sistemlerini çok iyi tanıması, ne gibi açıklar bulunduğunu iyi analiz etmesi gerekir

Ayrıca yetkilendirme diagramını kısıtlayarak tekrardan belirlemesi, güncellemeleri(up-date) ve yamaları(patch) kısa aralıklarla takip ederek varsa yenilik ve direktifleri (mutlaka vardır) sisteme derhal entegre etmesi gerekir

Yetkilendirme diagramının incelenerek tekrardan belirlenmesi sisteme izinsiz girebilecek davetsiz misafirlerin sayısını azaltacaktır

Ayrıca sisteme giriş yapan kullanıcıların parolaları belirli periyotlarda akılda kalıcı olmayan yeni şifrelerle değiştirilmeli

Bunlara ilave olarak üçüncü parti yazılımlara güvenip, işletim sistemin elverdiği ölçüde, kendini kanıtlamış bir anti-virüs programı kurulmalıdır

Aynı zamanda port denetleyici (port audit) 'de kurubilirsiniz

Ancak bu server üzerinde duraksamalara sebebiyet verecektir

Anti-virüs programları, paylaşılan ağ dosyalarından gelen e-mail ek'lerine ve Internet'ten download edilen her tür dosyaya karşı etkili virüs taraması yapabilen bir yazılım olmalı

Daha da önemlisi tarama sırasında ciddi bir duraksamaya sebebiyet vermemeli

İyi bir yazılım: SOPHOS ANTİ-VİRÜS
Sophos Anti-Virus Multi-platform seçeneklerinden dolayı kurumsal anti-virüs yazılımlarına iyi bir örnek

Sadece kurumsal ağlar için geliştirilmiş bir anti-virüs yazılımı olan Sophos, yukarıda saydığımız özellikleri üzerinde bulundurması açısından örnek bir program olarak gösterilebilir

Sophos virüs güncellemelerini her ay bir CD üzerinde müşterilerine yolluyor

Bunun yanında web sitesi üzerinden de güncellemeler elde edilebiliyor

Sürekli internet bağlantısına sahip olan firmalar "automated update" seçeneği ile yeni gelen virüslerin güncelleme dosyalarını alabiliyorlar

Bu programın bizi en etkileyen tarafı, Multi-Platform desteği ve istemci-sunucu mimarisi oldu

Çok geniş sunucu ve istemci desteğine sahip Sophos, sunucu tarafında Windows NT/2000, Novel Netware, OpenVMS, OS/2, Lotus Notes ve değişik Unix platformları üzerinde çalışıyor

İstemci tarafında ise tüm Windows familyası, Dos, Macintosh ve OS/2 üzerinde versiyonlar mevcut

Bu programın ayrıntılı incelemesi ilerleyen bölümlerde yayınlanacaktır Bazı virüs programlarında, URL ve istenmeyen dosya uzantılarını bloke etme gibi ekstra araçlarda bulunmaktadır Biz burada her ne kadar Sophos'u örnek olarak verdiysek te piyasada bulunan kaliteli bir çok anti-virüs yazılımı her türlü virüs ve trojanı başarıyla bulup yokedebiliyor Önemli olan sizin zamanında tedbirinizi almış olmanızdır International Computer Security Association'ın virüs saldırıları ile ilgili 300 BT profesyonelini kapsayan bir araştırmasına göre, katılımcıların %80'i "iş gücü kaybı, kilitlenme ve bozuk dosyaları" en önemli zararlar olarak belirlemiş

Ağları bekleyen tehlikeler: Hacker - Trojan ve Virüs kaosu
Bir ağ analizörü (ya da sniffer) kullanan hacker, iletilen verinin tipi konusunda ipuçları sağlayacaktır

Yapım amaçları ve çalışma şekilleri itibariyle trojanlar virüslerden daha tehlikelidir

Ayrıntıya girmeden kısaca tanımlamak gerekirse, trojanlar Truva atı olarakta tanınırlar

"

exe,

vbs" gibi çalıştırılabilir dosyalar yoluyla bulaşan ve bulaştıkları sistemi tüm dünyaya açan casus programlardır

Bu tip programlar sayesinde, yeterli tecrübesi olan herhangi biri bile sisteminize sızıp dosyalarınızı kurcalayabilir, yaptıklarınızı haberiniz olmadan gözleyebilir, ve o andaki ruh durumuna göre canı isterse sisteminize 'format' dahi atabilir

Yukarıda da belirtildiği gibi piyasadaki kaliteli anti-virüs yazılımlarının hepsi tehlikeli trojanları tanıyabiliyor

Ancak anti-virüs yazılımlarının mutlaka güncellenmesi ve varsa (automated-update) seçeneğinin daima açık tutulması gerekir

Tüm bunlara rağmen bir trojanın sisteminize bulaşması bir dosyanın önizleme yapılmasıyla dahi olabilir

Bu yüzden ağ'daki tüm kullanıcıların sözkonusu programlarındaki otomatik önizleme seçeneklerini mutlaka "Disable" konuma getirin

Kolaylık gibi görünen bu özellik, 'gif' sanılan bir dosyayı görüntülemek için çalışır ve bu eğer bir trojansa ve çalıştırıldıysa artık çok geçtir

Sonuç olarak trojanlar executable(çalıştırılabilir) programlardır ve sadece chat odalarında insanların dosya göndermeleri ile bulaşmaz, alınan bir e-mail'deki programı çalıştırarak da trojanlanabilirsiniz!

Sinsi Tehlike: AĞI KOKLAMA (sniffer)
Gereksiz protokolleri kapatın

IP ve MAC bazında protokol ataması yapın

Ne kadar güvenlik tedbiriniz olursa olsun kullanıcıların sitelerden veya FTP'den dowload seçeneklerini kısıtlayın ya da bu protokolleri kapatın

Çok gerekliyse IP ve MAC bazında protokol ataması yapın

External ve Internal servisleri gözden geçirerek sadece gerekli olanları açın

Çünkü hacker'lar genelde açık protokoller ve portlar sayesinde amaçlarına ulaşmaya çalışırlar

Hacker, açık protokoller ve protları bir ağ analizörü ya da sniffer kullanarak kolayca tespit edebilir ve bir kalıp ortaya çıktığında bunun kıstaslarına uygun verileri de ele geçirmiş olur

Bir kullanıcı ağa her bağlandığında aynı veriyi iletiliyorsa bunun kullanıcı adı ve parola olma olasılığı yüksektir ve hacker tarafından deşifre edilmeside an meselesidir

Ancak ağ trafiğini izlemek, ağa fiziksel bir bağlantı gerektirir

Yine de eğer hacker yasadışı etkinliklerini yürütmek için kurallara uygun olarak bağlanmış bir cihaz kullanıyorsa, bulunma olasılığı oldukça düşüktür

Bu aşamada sistem yöneticilerine düşen görev yasadışı sniffer'lara karşı düzenli, ilan edilmemiş denetimler gerçekleştirilmesini sağlamaktır

Özellikle unutulmaması gereken bir gerçek var! İçeriden oluşabilecek saldırılarında en az dış saldırılar kadar sık ve ciddi olabileceği

USA FBI/CBI'ın Bilgisayar suçları ve güvenlik üzerine yapmış olduğu bir ankete göre ağ üzerindeki saldırıların %55'i nin içeriden kaynaklandığı tespit edilmiş

Trojan mantığını kullanan sadece hacker'lar mı?
Trojan mantığını kullanan sadece hacker'lar değil! Bir çok program bu tip casus script'lerini kendilerine adepte etmiş durumdalar

Birçok shareware ve freeware program casus script'ler içermekte! Örneğin hızlı ve düzgün dosya indirmesiyle tanınan ünlü download aracı Getright bu yazılımlardan sadece biri

Getright, herhangi bir dosyayı download ettiğiniz sırada dosyanın türü ve içeriği konusunda IP numaranızı da kaydederek kendi server'ına bilgi yollayan bir program

CuteFTP ve RealPlayer'da sabıkalılar arasında

Ancak RealPlayer almış olduğu tepkilere karşılık olsa gerek son sürümüne bu işlemin iptal edilebildiği bir seçenek koymuş

Aslında bu tip teknolojilere Aureate/Radiate denmekte

Piyasada şu anda bulunan 700'ün üzerinde shareware ve freeware program bu Aureate/Radiate denen bu teknolojiyi hiç haber vermeden kullanmaktalar

Browser'lar cephesinde de durum pek farklı değil

Örneğin Netscape'in 4

7 sürümünden itibaren eklenen Smart Download seçeneğini kullandığınızda, Smart Download size hiç bir haber vermeden hangi sunucudan (server) hangi dosyayı çektiğinizi, IP numaranızı ve e-mail adresinizi Netscape'e haber veriyor

Hatta bir süre sonra arama modülünün de aynı davranışı sergilediği farkedilince, Christopher Specht isimli bir ABD vatandaşı Netscape'in sahibi AOL firmasını, "kişilerin özel hayatının gizliliğine karışmak" iddiası ile mahkemeye vermişti

Netscape/AOL ikilisinin iddialara cevabı, yarım kalan download'ları daha sonra devam ettirebilmenizi sağlayan Smart Download fonksiyonunun çalışabilmek için bu dasyalara ihtiyaç duyduğu yolunda olmuştu

Ancak bu açıklama, arama fonksiyonunda aynı davranışı sergilemesine yetmedi

Internet Explorer için de aynı durum sözkonusu

Yalnızca metod ve amaç değişik

Internet Explorer'a 5

0 sürümünden itibaren eklenen bu metot, sol tarafta bulunan arama panelinin kullanılması durumunda ortaya çıkıyor

Bu paneli kullanarak herhangi bir arama motorundan sorgulama yaptığınızda vermiş olduğunuz direktifler önce Microsoft'a gidiyor

Microsoft istekleri paketliyor ve verileri tarama yapmak istediğiniz arama motorundan alıyor

Bu işlemin nasıl gerçekleştiğini görmek isterseniz:
Registry'deki HKEY_LOCOL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch kayıt yolunu inceleyebilirsiniz

Açık tehlike kaynakları: Portlar
Güvenliğin ihlal edildiği ortamlarda başrolü 'Portlar' oynar! Karşılıklı veri iletişimine dayalı her tür programın ve dolayısıyla trojanların çalışma sistemi portlara dayanır ve açık portlar sayesinde işlevlerini yerine getirirler

Peki nedir bu çok konuşulan portlar? PC'lerde Internet bağlantılarında kullanılmak üzere ayrılmış 65535 adet sanal port bulunur

0-1024 arasındaki portlar "Well known port numbers" olarak bilinir ve her birinin standart görevleri vardır

Örneğin; 80 numaralı port Web sayfalarını gezerken, 25 numaralı port e-mail gönderirken, 110 numaralı port ise e-mail alırken kullanılır

"Bu standart portlar hakkında başvurabileceğiniz en güvenilir kaynaklar RFC belgeleridir" 1024'ten büyük port numaraları ise programların ve sistemlerin diledikleri gibi kullanmaları için serbest bırakılmıştır

Dolayısıyla herhangi bir standartları yoktur

Sonuç olarak güvenliği ihlal edici ortamlarda 'Portlar' başrolü oynamaktadır ve çok iyi incelenmeleri gerekmektedir

İlerleyen bölümlerde portlar hakkında daha ayrıntılı bilgiler bulacaksınız…

09-09-2012	#1
Prof. Dr. Sinsi	Ağlarda En Önemli 10 Açık-Bilgisayarınızdaki Açıklara Dikkat!Port Açıkları Önemli Ağlarda En Önemli 10 Açık Ağlarda En Önemli 10 Açık-Bilgisayarınızdaki Açıklara Dikkat!Port Açıkları Önemli Ağlarda En Önemli 10 Açık-Bilgisayarınızdaki Açıklara Dikkat!Port Açıkları Önemli Tehlike Hacker'ların sayılarının hızla artması ve ağlara sızmak için sürekli yeni ve sinsi gibi yöntemlerin geliştirilmesi, ağ güvenliğini en önemli konulardan biri dueumuna getiriyor CHIP ağınızı bekleyen tehlikeleri ve bujlardan korunma yöntemlerini anlatıyor Güvenlik ve kurumsal firewall yazılımları başta olmak üzere ağ topolojisi ve ağ yönetimi(Management) üzerine bilinmesi gereken tüm incelikler bu yazı dizisinde ayrıntılı olarak ele alınacak olup, karşılaşılması muhtemel sorunlara çözüm önerileri getirilecektir Ağ Topolojisi Profesyonel Ağ Yönetimi Sistem açıklarının kapatılması Profesyonel Firewall kurulumları Firewall testleri Uzaktan Yönetim / Remote Monitoring Internet - Intranet ve Extranet güvenliği LAN / WAN DNS / FTP / MAIL Server problemleri Bunlara ek olarak 3 parti bir çok yazılımın incelenmesi ve konfigüre edilmesi bu yazı dizisinde ele alınacak konuların ana başlıklarını oluşturmaktadır 5 bölüm halinde sizlere sunacağımız bu yazı dizisinde, en önemli güvenlik açıklarının neler olduğu, hacker'ların nasıl bloke edileceği ve ağ denetiminin nasıl olması gerektiğine dair önemli bilgiler bulacaksınız Bunlara ek olarak firewall yazılımları ve ağa yönelik bazı donanımsal ürünlerin testleri de yapılacaktır Ciddi bir laboratuar ortamında test edilecek bu araçlar mümkün olduğu kadar çok platformda denenerek sizlere lanse edilecektir Ayrıca ağınızda tam olarak ne olup bittiğine dair detaylı rapor alabileceğiniz yazılım incelemeleri de yine bu seride bulabileceklerinizden bazıları Öncelikle konuya girmeden önce bu kadar geniş içerikli bir yazı dizisinin hazırlanmasındaki etkenleri kısaca aktarmak ve ağ güvenliğinin nasıl olması gerektiğine dair orta ve ileri düzey metodolojileri tanıtmak istiyoruz Ağ güvenliğinin önemi ve tehlikeler BT ve Sistem yöneticileri (özellikle son 2 yıldır) oldukça büyük zararlara yol açan hacker ve virüs saldırılarına karşı çeşitli güvenlik önlemleri almaya başladılar Atak davranıp ileriyi görebilenler sistem üzerindeki mevcut yapılandırmayı değiştirirken bir kısmı da ciddi anlamda firewall kurma yolunu seçtiler Sisteme dışarıdan sızma, tescilli bilginin çalınması, sabotaj, virüsler, denial of service (hizmet durdurma saldırısı), içeriden yetkisiz erişim, ActiveX kontrolleri, kötü niyetli java applet'ler, trojan, polymorphic, macro, boot virüsler ve daha bir çok saldırı yöntemi önlem alınmamış bir sistem üzerinde kesinlikle yıkıcı etki yapacak etkenlerdir Özellikle dış dünyaya açık güvenliği olmayan bir ağa sahipseniz ve hala çökertilmediyse ya çok şanslısınız ya da sizden bilgi sızdırılıyor anlamına gelir Bu yazılanlar özellikle orta ve büyük ölçekli firmalar için geçerlidir Çünkü profesyonel hacker'lar genelde marka özelliği olan, piyasada belirli bir saygınlığa ulaşmış firmaları hedef seçerler, fakat bu hiç bir zaman küçük ölçekli firmalara saldırılmayacağı anlamına gelmez Sonuç her ne olursa olsun şirket sırları ve veritabanınızın güvenliği açısından server'larınızın mutlaka koruma altına alınması gerektiğidir Yazının girişinde de belirtildiği gibi, sistem yöneticileri son 2 yıl içinde yapılan başarılı veya başarısız tüm saldırı atraksiyonlarına karşı, iki farklı yöntemden birini tercih etme durumunda kaldılar İlk yöntem olan sistemi tekrardan yapılandırmak, sadece basit ve bilinen saldırıları bloke ederken, ikinci yöntem olan güvenlik araçları (Firewall) -doğru konfigüre edildiği takdirde- her tür saldırıya karşı etkin koruma sağlayabiliyor FireWall: Ağ kontrolü ve trafik kaydının tutulması Ayrıntılı incelemeye geçmeden önce firewall'un ne olduğuna dair kısa bir tanımlama yapmak gerekir Firewall (Ateş Duvarı), özel bir ağ'a (ve/veya ağ'dan) yetkisiz erişimleri engelleyen gerek donanımsal, gerek yazılımsal ya da her ikisinin kombinasyonu şeklinde uygulanabilen sisteme adapte edilmiş kurulumlardır Genelde büyük şirketler ve ISP'lerde kullanılır Fonksiyonu ağ kontrolünü sağlamak ve bütün elektronik trafiği loglamaktır Sitem Yöneticisi(Administrator) tarfından belirlenen güvenlik politikası tabanında firewall'dan geçitler ya yasaklanır ya da serbest bırakılır Firewall bütün iletişim girişimlerindeki kimlik bilgilerini denetler ve varolan geçerli politika ile karşılaştırır İletiyi kabul etme ya da reddetme kararı sistem yöneticisi tarafından belirlenmiş kurallar doğrultusunda işleme alınır ve daha sonra incelenmek üzere loglanır Bu tip yazılımlar daha çok büyük ağ'lar ve önemli bir veritabanını korumak için kullanılır Ve en önemli nokta hiçbir firewall %100 güvenlik sağlamaz Bu handikap ancak işletim sistemlerinde bulunan açıkların sona ermesi ve geliştirilecek yeni güvenlik yöntemleri ile ortadan kaldırılabilir! Şimdi sırasıyla alınabilecek güvenlik yöntemlerini inceleyip, hangisinin orta ve uzun vadede işe yarar olduğu sorusuna bir açıklık getirelim Ancak konuya girmeden önce bilinmesi gereken, söz konusu her iki yöntemin de kendi aralarında alt seçeneklere ayrıldığı ve koruma amaçlı yapılacak her hareketin sistemin işleyiş performansını doğrudan etkilediğidir Üzerinde anti-virüs özelliği bulunan veya ekstra bir anti-virüs programı ile entegre edilmiş tüm güvenlik yazılımları -doğal olarak- maksimum %10'a yakın performans düşüklüğü gösterebilir Aslında bu kabul edilebilir bir ölçüdür Fakat son versiyonlarını incelediğimiz bir çok anti-virüs ve firewall yazılımının bunu mümkün olduğunca minimuma indirdiğini tespit ettik Ortalama işlem yapan bir sistem için %10'luk kayıp normal gözükebilir ancak farklı ünitelere bağlı terminal sayısı yüksek olan server'lara fazladan yük getireceği kesindir Bu da web'i ağırlıklı olarak kullanan, yoğun e-ticaret yapan, farklı DNS'ler barındıran, kendi iç ağı dışında başka ağlara da bağımlı olan her kurum için hiçte hoş olmayan bir durumdur Yazı dizimizin sonunda bu amaca yönelik hazırladığımız, önemli ağ işletim sistemleri ve kurumsal firewall programlarını kapsayan bir performans analiz tablosu bulacaksınız Sistemin tetkik edilerek tekrar yapılandırılması Yetkilendirme diagramını kısıtlayarak tekrardan belirleyin, bu davetsiz misafirleri azaltacaktırBu yöntem ilk bakışta küçük ölçekli firmaların benimseyebileceği bir seçenek gibi gözükse de aslında ciddi anlamda profesyonellik gerektiren bir olaydır Bu işi yapacak sistem yöneticisinin sunucu ve ağ üzerindeki mevcut işletim sistemlerini çok iyi tanıması, ne gibi açıklar bulunduğunu iyi analiz etmesi gerekir Ayrıca yetkilendirme diagramını kısıtlayarak tekrardan belirlemesi, güncellemeleri(up-date) ve yamaları(patch) kısa aralıklarla takip ederek varsa yenilik ve direktifleri (mutlaka vardır) sisteme derhal entegre etmesi gerekirYetkilendirme diagramının incelenerek tekrardan belirlenmesi sisteme izinsiz girebilecek davetsiz misafirlerin sayısını azaltacaktır Ayrıca sisteme giriş yapan kullanıcıların parolaları belirli periyotlarda akılda kalıcı olmayan yeni şifrelerle değiştirilmeli Bunlara ilave olarak üçüncü parti yazılımlara güvenip, işletim sistemin elverdiği ölçüde, kendini kanıtlamış bir anti-virüs programı kurulmalıdır Aynı zamanda port denetleyici (port audit) 'de kurubilirsiniz Ancak bu server üzerinde duraksamalara sebebiyet verecektir Anti-virüs programları, paylaşılan ağ dosyalarından gelen e-mail ek'lerine ve Internet'ten download edilen her tür dosyaya karşı etkili virüs taraması yapabilen bir yazılım olmalı Daha da önemlisi tarama sırasında ciddi bir duraksamaya sebebiyet vermemeli İyi bir yazılım: SOPHOS ANTİ-VİRÜS Sophos Anti-Virus Multi-platform seçeneklerinden dolayı kurumsal anti-virüs yazılımlarına iyi bir örnek Sadece kurumsal ağlar için geliştirilmiş bir anti-virüs yazılımı olan Sophos, yukarıda saydığımız özellikleri üzerinde bulundurması açısından örnek bir program olarak gösterilebilir Sophos virüs güncellemelerini her ay bir CD üzerinde müşterilerine yolluyor Bunun yanında web sitesi üzerinden de güncellemeler elde edilebiliyor Sürekli internet bağlantısına sahip olan firmalar "automated update" seçeneği ile yeni gelen virüslerin güncelleme dosyalarını alabiliyorlar Bu programın bizi en etkileyen tarafı, Multi-Platform desteği ve istemci-sunucu mimarisi oldu Çok geniş sunucu ve istemci desteğine sahip Sophos, sunucu tarafında Windows NT/2000, Novel Netware, OpenVMS, OS/2, Lotus Notes ve değişik Unix platformları üzerinde çalışıyor İstemci tarafında ise tüm Windows familyası, Dos, Macintosh ve OS/2 üzerinde versiyonlar mevcut Bu programın ayrıntılı incelemesi ilerleyen bölümlerde yayınlanacaktır Bazı virüs programlarında, URL ve istenmeyen dosya uzantılarını bloke etme gibi ekstra araçlarda bulunmaktadır Biz burada her ne kadar Sophos'u örnek olarak verdiysek te piyasada bulunan kaliteli bir çok anti-virüs yazılımı her türlü virüs ve trojanı başarıyla bulup yokedebiliyor Önemli olan sizin zamanında tedbirinizi almış olmanızdır International Computer Security Association'ın virüs saldırıları ile ilgili 300 BT profesyonelini kapsayan bir araştırmasına göre, katılımcıların %80'i "iş gücü kaybı, kilitlenme ve bozuk dosyaları" en önemli zararlar olarak belirlemiş Ağları bekleyen tehlikeler: Hacker - Trojan ve Virüs kaosu Bir ağ analizörü (ya da sniffer) kullanan hacker, iletilen verinin tipi konusunda ipuçları sağlayacaktır Yapım amaçları ve çalışma şekilleri itibariyle trojanlar virüslerden daha tehlikelidir Ayrıntıya girmeden kısaca tanımlamak gerekirse, trojanlar Truva atı olarakta tanınırlar "exe, vbs" gibi çalıştırılabilir dosyalar yoluyla bulaşan ve bulaştıkları sistemi tüm dünyaya açan casus programlardır Bu tip programlar sayesinde, yeterli tecrübesi olan herhangi biri bile sisteminize sızıp dosyalarınızı kurcalayabilir, yaptıklarınızı haberiniz olmadan gözleyebilir, ve o andaki ruh durumuna göre canı isterse sisteminize 'format' dahi atabilir Yukarıda da belirtildiği gibi piyasadaki kaliteli anti-virüs yazılımlarının hepsi tehlikeli trojanları tanıyabiliyor Ancak anti-virüs yazılımlarının mutlaka güncellenmesi ve varsa (automated-update) seçeneğinin daima açık tutulması gerekirTüm bunlara rağmen bir trojanın sisteminize bulaşması bir dosyanın önizleme yapılmasıyla dahi olabilir Bu yüzden ağ'daki tüm kullanıcıların sözkonusu programlarındaki otomatik önizleme seçeneklerini mutlaka "Disable" konuma getirin Kolaylık gibi görünen bu özellik, 'gif' sanılan bir dosyayı görüntülemek için çalışır ve bu eğer bir trojansa ve çalıştırıldıysa artık çok geçtir Sonuç olarak trojanlar executable(çalıştırılabilir) programlardır ve sadece chat odalarında insanların dosya göndermeleri ile bulaşmaz, alınan bir e-mail'deki programı çalıştırarak da trojanlanabilirsiniz! Sinsi Tehlike: AĞI KOKLAMA (sniffer) Gereksiz protokolleri kapatın IP ve MAC bazında protokol ataması yapın Ne kadar güvenlik tedbiriniz olursa olsun kullanıcıların sitelerden veya FTP'den dowload seçeneklerini kısıtlayın ya da bu protokolleri kapatın Çok gerekliyse IP ve MAC bazında protokol ataması yapın External ve Internal servisleri gözden geçirerek sadece gerekli olanları açın Çünkü hacker'lar genelde açık protokoller ve portlar sayesinde amaçlarına ulaşmaya çalışırlar Hacker, açık protokoller ve protları bir ağ analizörü ya da sniffer kullanarak kolayca tespit edebilir ve bir kalıp ortaya çıktığında bunun kıstaslarına uygun verileri de ele geçirmiş olur Bir kullanıcı ağa her bağlandığında aynı veriyi iletiliyorsa bunun kullanıcı adı ve parola olma olasılığı yüksektir ve hacker tarafından deşifre edilmeside an meselesidir Ancak ağ trafiğini izlemek, ağa fiziksel bir bağlantı gerektirir Yine de eğer hacker yasadışı etkinliklerini yürütmek için kurallara uygun olarak bağlanmış bir cihaz kullanıyorsa, bulunma olasılığı oldukça düşüktür Bu aşamada sistem yöneticilerine düşen görev yasadışı sniffer'lara karşı düzenli, ilan edilmemiş denetimler gerçekleştirilmesini sağlamaktır Özellikle unutulmaması gereken bir gerçek var! İçeriden oluşabilecek saldırılarında en az dış saldırılar kadar sık ve ciddi olabileceği USA FBI/CBI'ın Bilgisayar suçları ve güvenlik üzerine yapmış olduğu bir ankete göre ağ üzerindeki saldırıların %55'i nin içeriden kaynaklandığı tespit edilmiş Trojan mantığını kullanan sadece hacker'lar mı? Trojan mantığını kullanan sadece hacker'lar değil! Bir çok program bu tip casus script'lerini kendilerine adepte etmiş durumdalar Birçok shareware ve freeware program casus script'ler içermekte! Örneğin hızlı ve düzgün dosya indirmesiyle tanınan ünlü download aracı Getright bu yazılımlardan sadece biri Getright, herhangi bir dosyayı download ettiğiniz sırada dosyanın türü ve içeriği konusunda IP numaranızı da kaydederek kendi server'ına bilgi yollayan bir program CuteFTP ve RealPlayer'da sabıkalılar arasında Ancak RealPlayer almış olduğu tepkilere karşılık olsa gerek son sürümüne bu işlemin iptal edilebildiği bir seçenek koymuş Aslında bu tip teknolojilere Aureate/Radiate denmekte Piyasada şu anda bulunan 700'ün üzerinde shareware ve freeware program bu Aureate/Radiate denen bu teknolojiyi hiç haber vermeden kullanmaktalar Browser'lar cephesinde de durum pek farklı değil Örneğin Netscape'in 47 sürümünden itibaren eklenen Smart Download seçeneğini kullandığınızda, Smart Download size hiç bir haber vermeden hangi sunucudan (server) hangi dosyayı çektiğinizi, IP numaranızı ve e-mail adresinizi Netscape'e haber veriyor Hatta bir süre sonra arama modülünün de aynı davranışı sergilediği farkedilince, Christopher Specht isimli bir ABD vatandaşı Netscape'in sahibi AOL firmasını, "kişilerin özel hayatının gizliliğine karışmak" iddiası ile mahkemeye vermişti Netscape/AOL ikilisinin iddialara cevabı, yarım kalan download'ları daha sonra devam ettirebilmenizi sağlayan Smart Download fonksiyonunun çalışabilmek için bu dasyalara ihtiyaç duyduğu yolunda olmuştu Ancak bu açıklama, arama fonksiyonunda aynı davranışı sergilemesine yetmedi Internet Explorer için de aynı durum sözkonusu Yalnızca metod ve amaç değişik Internet Explorer'a 50 sürümünden itibaren eklenen bu metot, sol tarafta bulunan arama panelinin kullanılması durumunda ortaya çıkıyor Bu paneli kullanarak herhangi bir arama motorundan sorgulama yaptığınızda vermiş olduğunuz direktifler önce Microsoft'a gidiyor Microsoft istekleri paketliyor ve verileri tarama yapmak istediğiniz arama motorundan alıyor Bu işlemin nasıl gerçekleştiğini görmek isterseniz: Registry'deki HKEY_LOCOL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch kayıt yolunu inceleyebilirsiniz Açık tehlike kaynakları: Portlar Güvenliğin ihlal edildiği ortamlarda başrolü 'Portlar' oynar! Karşılıklı veri iletişimine dayalı her tür programın ve dolayısıyla trojanların çalışma sistemi portlara dayanır ve açık portlar sayesinde işlevlerini yerine getirirler Peki nedir bu çok konuşulan portlar? PC'lerde Internet bağlantılarında kullanılmak üzere ayrılmış 65535 adet sanal port bulunur 0-1024 arasındaki portlar "Well known port numbers" olarak bilinir ve her birinin standart görevleri vardır Örneğin; 80 numaralı port Web sayfalarını gezerken, 25 numaralı port e-mail gönderirken, 110 numaralı port ise e-mail alırken kullanılır "Bu standart portlar hakkında başvurabileceğiniz en güvenilir kaynaklar RFC belgeleridir" 1024'ten büyük port numaraları ise programların ve sistemlerin diledikleri gibi kullanmaları için serbest bırakılmıştır Dolayısıyla herhangi bir standartları yoktur Sonuç olarak güvenliği ihlal edici ortamlarda 'Portlar' başrolü oynamaktadır ve çok iyi incelenmeleri gerekmektedir İlerleyen bölümlerde portlar hakkında daha ayrıntılı bilgiler bulacaksınız…