Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Teknoloji Uygulamaları !
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Teknoloji Uygulamaları !

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Teknoloji Uygulamaları !
    Gönderim Zamanı: 10-06-2009 Saat 13:11

Bu bölümde, güvenlik tedbirlerinde kullanılan teknolojilerden bahsedilmiştir.

5.1 Kriptografi

Kriptografi, veriyi yalnızca okuması istenen şahısların okuyabileceği bir şekilde saklamak ve göndermek amacıyla kullanılan bir teknolojidir. Kriptografi’de veri, matematiksel yöntemler kullanılarak kodlanır ve başkalarının okuyamayacağı hale getirilir. Bu matematiksel kodlamaya “kripto algoritması” adı verilir. İlk bilinen kripto algoritmaları 4000 yıl kadar önce ortaya çıkmıştır. Zaman geçtikçe, kullanılan teknikler ve cihazlar gelişmiş ve her geçen gün yeni teknikler kullanılır ve yeni algoritmalar üretilir olmuştur. Bu teknoloji şu anda bilişim güvenliğinin vazgeçilmez bir parçasıdır.

Şifrelenmemiş bir bilgiye “açık metin” (clear text) denir. Açık metin, bir insanın okuyabileceği bir yazı ya da bir bilgisayarın anlayabileceği çalıştırılabilir (.exe, .com) bir program ya da bir veri dosyası (.txt) olabilir. Bir kripto algoritması kullanılarak, herkesin okuyamayacağı bir şekilde kodlanmış bilgiye ise “şifreli metin” (ciphered text) denir. Açık metinden şifreli metne geçme işlemi “şifreleme”, şifreli metinden Açık metin Şifreleme Şifreli metin Şifre Çözme Açıkmetin açık metne geçme işlemi ise “şifre çözme” olarak adlandırılır. Şifreleme ve şifre çözme yapan bir sistem de “kriptosistem” olarak adlandırılır. Bir kriptosistemin, şifreleme ve şifre çözme yapan hem donanım hem de yazılım bileşenleri olabilir. Algoritmalar, açık metin üzerinde yapılan karmaşık işlemlerden oluşan matematiksel formüllerdir. Bir algoritma, hem yazılımla hem de donanım bileşenleri ile gerçekleştirilebilir. Birçok algoritma, şifreleme ve şifre çözme işlemini gerçekleştirmek amacıyla, açık metinden başka, “anahtar” denen bir değer de kullanır. Anahtar “0” ve “1”lerden oluşan uzun bir bit dizisidir. Her algoritmanın kullandığı anahtar boyları farklıdır. Genellikle anahtar boyu arttıkça, olası anahtar sayısı arttığından, saldırganın bu şifreyi çözmesi güçleşir, ama aynı zamanda da şifreleme ve şifre çözme hızı yavaşlar. Bir algoritmanın olası tüm anahtarlar olasılıklarının oluşturduğu topluluğa “anahtar uzayı” denir.

Şekilde bir saldırganın hattı dinleyerek mesajı ele geçirmesi gösterilmiştir. Ancak saldırgan mesaja sahip olsa bile, mesaj kriptolu olduğundan içeriği konusunda bilgi sahibi olamaz.

Kripto sistemleri, ilk bölümde bahsedilen Gizlilik, Veri Bütünlüğü, Kimlik Sınaması ve İnkâr Edememe hizmetlerinde kullanılır.

Kripto algoritmaları temelde ikiye ayrılırlar: Simetrik Algoritmalar ve Asimetrik algoritmalar. Aşağıdaki bölümlerde bu iki algoritma türü sırasıyla tanıtılmıştır. Bölüm 5.1.3’de ise özetleme fonksiyonlarından bahsedilmiştir.

5.1.1 Simetrik Algoritmalar

Simetrik algoritmalarda şifreleme ve şifre çözme için aynı anahtar kullanılır. Bu anahtara gizli anahtar (secret key) denir. Bu gizli anahtar iki tarafça da (gönderici ve alıcı) bilinir. Simetrik algoritmalar asimetrik algoritmalara nazaran daha hızlı çalışırlar. Bununla beraber, asimetrik algoritmalara nazaran saldırıya karşı daha az dirençlidirler. Simetrik algoritmalara örnek olarak AES, DES, 3DES, Blowfish, IDEA, RC4 ve SAFER algoritmaları verilebilir.

5.1.2 Asimetrik Algoritmalar

Şifreleme ve şifre çözme için ayrı anahtarlar kullanılır. Bu anahtarlardan birine açık anahtar (public key), diğerine özel anahtar (private key) denir. Kullanılacak bu iki anahtar birlikte üretilirler. Bununla birlikte bu anahtarlardan herhangi birine sahip olan bir şahıs, diğer anahtarı üretemez, bu matematiksel olarak imkansız denebilecek derecede zordur.
Asimetrik algoritmalar, simetrik algoritmalara göre daha güvenli ve kırılması zor algoritmalardır. Bununla birlikte, başarımları (performans) simetrik algoritmalara göre oldukça düşüktür. Asimetrik algoritmalarda her şahsın bir anahtar çifti vardır. Bir şahsın özel anahtarı, yalnızca kendi kullanımı içindir ve başkalarının eline geçmemesi gerekir. Bu şahsın açık anahtarı ise, bu şahısa mesaj göndermek isteyen herhangi biri tarafından kullanılabilir. Gönderici mesajı, alıcının açık anahtarı ile şifreler. Alıcı, gelen mesajı kendi özel anahtarı ile açar.

Mesaj gönderebileceğimiz kullanıcıların sayısı arttıkça, elde etmemiz
gereken açık anahtar sayısı da artacaktır. Sistemde 100 kullanıcı varsa, her bir kullanıcının ayrı bir açık anahtarı olacağından, tüm bu açık anahtarlar, erişilebilir olmalıdır. Bu problem de sayısal sertifikalar teknolojisi yardımı ile çözülebilmektedir.

Asimetrik algoritmalara örnek olarak RSA, ECC, Diffie-Hellman ve El Gamal algoritmaları verilebilir. Görüldüğü gibi simetrik ve asimetrik algoritmaların birbirlerine göre bir takım üstünlükleri ve zayıf yönleri vardır. Her iki algoritma grubunun üstünlüklerinden faydalanarak zayıf yönlerini bir kenara bırakmak amacıyla “hibrid kripto sistemler” kullanılmaktadır. Bu tür sistemlerde hem simetrik hem de asimetrik algoritmalarla hem başarımı hem de güvenliği yüksek şifreleme yapılabilmektedir.

5.1.3 Özetleme Fonksiyonları

Bir özetleme fonksiyonu, herhangi bir uzunluktaki metni, giriş değeri olarak alır ve sonuç olarak sabit uzunluklu bir değer üretir. Bu değere mesaj özeti (message digest) adı verilir. Burada üretilen özet, fonksiyona giren metnin karakterini taşımaktadır denilebilir. Giriş metninde yapılacak tek bir karakter değişikliği bile üretilecek özette büyük değişikliklere yol açar. Ayrıca, özetleme fonksiyonu tek yönlü olduğundan, özetten asıl metne geri dönüş yoktur. Özetleme fonksiyonları, uzun metinlerin, asimetrik bir algoritma ile şifrelenmeleri sırasında, asimetrik algoritmanın başarım dezavantajını ortadan kaldırmak amacıyla kullanılırlar. Tüm mesaj metni değil de yalnızca mesajın özeti alınarak asimetrik algoritmayla şifrelenir. Özetleme algoritmalarına örnek olarak SHA-1 , DSS, MD2, MD4, MD5 algoritmaları verilebilir.

5.2 Sayısal İmza ve PKI

Bir sayısal imza, şifrelenmiş bir özet (hash) değeridir. Sayısal imzalar yardımıyla, alıcı taraf göndericinin kimliğinin sınamasını yapar ve göndericinin kim olduğundan tam olarak emin olur. Bunun yanında, sayısal imza teknolojisi, gönderilen verilerin bütünlük sınamasında da kullanılabilir. Buna göre sayısal imza teknolojisi, ilk bölümde bahsedilen Kimlik Sınaması ve Veri Bütünlüğü prensiplerinin gerçekleştirilmesinde kullanılırlar.

Sayısal imzalar, gerçek hayatta kullanılan ve elle atılan imzanın (ıslak imzanın) bilişim dünyasındaki karşılığı olarak görülebilir. Bir sayısal imza, imzaladığı içeriğin, imzalandığı andan itibaren değişmediğinin kanıtlanmasında kullanılabilir.

Sayısal imzalama, asimetrik kripto algoritmaları yardımı ile yapılır. Sayısal imzalama, mesaj bir mektup zarfına konulduğunda üzerinin mühürlenmesi gibi düşünülebilir. Sayısal imzalar, bilgisayar ağları yoluyla yapılan finansal işlemlerin güvenli bir şekilde yapılması ve veritabanı bütünlüğünün kontrolü gibi kullanım alanları bulmuşlardır.

Sayısal imzalar, Açık Anahtar Altyapısı (Public Key Infrastructure – PKI) teknolojisinin de belkemiğini oluşturur. PKI, çok geniş bir coğrafi alana yayılmış kullanıcılar arasında, güvenli bir haberleşme altyapısı kurmayı hedefleyen bir teknolojidir. Açık Anahtar Altyapısı’nı oluşturan elemanlardan başlıcaları şunlardır:

ğ 1. Sayısal sertifikalar: Bir sayısal sertifika, gerçek hayatta kullanılan bir kimlik kartının, bilişim güvenliğindeki karşılığıdır. Bir sertifikanın içinde; sahibinin kimlik bilgileri, yetki derecesi, sertifikanın son kullanma tarihi, sahibinin kripto anahtarı bilgisi yer alır. Bir sayısal sertifika, bir kullanıcının bir sisteme girerken kimlik sınamasının yapılmasında ya da kriptolu e-posta mesajlarının gönderilmesinde kullanılabilir. Sayısal sertifikalar için ISO tarafından X.509 standardı yayınlanmıştır ve bu standart yaygın olarak kullanılmaktadır.

2. Sertifikasyon Otoriteleri: Bir PKI sistemine dahil olan kullanıcılar için sayısal sertifika üretim ve saklama merkezleridir. Bir kullanıcıya mesaj gönderilirken ya da gelen bir mesajdaki sayısal imzanın doğruluğunun sınanırken, o alıcının açık anahtarına ihtiyaç duyulur. Bu açık anahtarı elde etmek için, sertifikasyon otoritesinden, kullanıcının kimliği yardımı ile kullanıcının sayısal sertifikası elde edilir. Kullanıcının açık anahtarı, bu sertifika içerisinden alınarak kullanılır.

5.3 Ağ Bölümlendirmesi ve Güvenlik Duvarları

Güvenlik duvarı (firewall), bir kurumun ağ güvenliği politikasının uygulanmasında kullanılan bir teknolojidir. Güvenlik duvarları, bir bilgisayar ağından başka bir bilgisayar ağına geçişi sınırlarlar. Birçok kurum, kendi bilgisayarlarına, internet üzerinden gelebilecek saldırılara karşı güvenlik duvarlarını kullanır. Bunun yanında, kurum içi bir ağ bölümü ile yine kurum içi başka bir ağ bölümü arasındaki geçiş sınırlamasında da güvenlik duvarı kullanılabilir. Bir güvenlik duvarı, ağ üzerindeki bir boğum noktası olarak düşünülebilir. Çünkü iki ya da daha çok ağ arasındaki tüm trafik güvenlik duvarından geçmek zorundadır. Güvenlik duvarları, yazılım olarak gerçekleştirilebildikleri gibi, yüksek trafik akışı olan noktalarda donanımla gerçeklenmiş güvenlik duvarları da kullanılmaktadır.

Birçok kurum güvenlik duvarlarını, arınmış bölge (demilitarized zone) kurulumu için kullanır. Bu düzenlemede güvenlik duvarının üç bacağı vardır: Birinci bacak dış ağ ile irtibatı ikinci bacak iç ağ ile irtibatı sağlar. Üçüncü bacak ise iç ve dış ağ arasında kalan “arınmış bir bölge” kurmayı sağlar. Bu üçüncü bacağın olduğu bölgeye, kurumun dışarı açık, web, e-posta ve DNS gibi bir takım hizmetlerinin sunulduğu bilgisayar kaynakları koyulabilir. Çünkü bu kaynaklar, saldırganlar tarafından ilk olarak saldırıya maruz kalması beklenen kaynaklardır. Günümüzde arınmış bölgelerin çoğunda kurulan bir “Saldırı Tespit Sistemi” (Intrusion Detection System – IDS) yardımıyla saldırgan davranışları izlenerek gerekli tedbirler alınmaktadır.

Güvenlik duvarları, ağ adres dönüşümü (Network Address Translation – NAT) hizmeti yardımı ile, iç ağdaki bilgisayarların IP adreslerini, dışarıdaki saldırganlardan gizler.

Güvenlik duvarları, iç ağdaki bilgisayarlara vekil (proxy) hizmeti verebilirler. Bu şekilde, örneğin iç ağdaki bir kullanıcının bilgisayarı ile bu kullanıcının internet üzerinde bağlandığı web sayfası arasında doğrudan bir bağlantı kurulmaz. Bunun yerine kullanıcı ile vekil sunucu ve vekil sunucu ile internet sayfası arasında kurulan iki bağlantı söz konusudur. Vekil sunucunun görevi, kullanıcıya, kendi varlığını hissettirmeden, bağlantılar arasında verilerin taşınması ve bu sırada da tanımlanmış güvenlik politikasına göre de gelip geçen verilerin kontrol edilmesidir.

Internet üzerinde belli ağ bölümlerine ya da hizmetlere erişilmesini engellemek ya da internet üzerinden kurumsal ağlardaki kaynaklara erişimi düzenlemek için de güvenlik duvarının paket eleyici (packet filtering) hizmetinden faydalanılır. Bir paket eleyici, kendisine gelen veri paketinin 5 özelliğine bakarak paketin, diğer ağ bölümüne geçişine izin verip vermeme kararını verir. Bu özellikler şunlardır:

1. Kaynak IP adresi
2. Kaynak hizmet noktası (port)
3. Hedef IP adresi
4. Hedef hizmet noktası
5. Bağlantı tipi (TCP, UDP, ICMP, vb.)

Paket eleyicilerin karar vermede kullandıkları politika tablosu da iki tür olabilir:

ğ 1. Tanımlı olmayanlara izin verilmesi: Paket eleyicinin politika tablosunda tanımlı olan kurallar dışındaki tüm trafiğin geçişine izin verilir. Örneğin kurum, kendi kullanıcılarının ICQ’ya ve IRC’ye bağlanmalarını istemiyorsa bu kurallar yazılır ve geri kalan tüm trafiğin geçişine izin verilir.

ğ 2. Tanımlı olmayanlara izin verilmemesi: Paket eleyicinin politika tablosunda tanımı olan kurallar dışındaki hiçbir trafiğin geçişine izin verilmez. Bu tür çalışmaya örnek olarak, kurum, kullanıcıların yalnızca web sayfalarına bağlanmasını istiyorsa, burada web sayfalarına erişimde kullanılan HTTP protokolünün hizmet numarası (port number) olan 80 tanımlanır. Bu şekilde herhangi bir sunucu üzerinde 80 numaralı porta erişimler hariç hiçbir trafiğe izin verilmez. Bir kurumda birden fazla güvenlik duvarı art arda konularak çalışma verimi ve sağlanan güvenlik arttırılabilir. Daha yüksek güvenlik düzeyi gerektiren kurumsal bölümlerin ağ girişlerine de gerekirse ikinci bir güvenlik duvarı koyulabilir.

5.4 Yedekleme

Bir sistemin yedeğini almak ve bunu düzenli olarak yapmak insanlara genellikle hep zor gelir; ta ki sistemlerinin devre dışı kaldığı, verileri kaybolduğu ya da bozulduğu güne kadar. Sürekli ve tutarlı bir şekilde, çalıştığımız verilerin yedeğini almak, bir gün yaşayacağımız bir saldırı ya da doğal bir afetin sonuçlarının bizi en az şekilde etkilemesini sağlayabilir. Bir yedek alma sisteminin kurulmasının maliyeti, üretilmesi uzun zaman alan verimizi kaybettikten ya da veritabanımızdaki tüm kayıtlar silindikten sonra
yeniden kazanma maliyetinden çok daha düşüktür.

Doğal olarak, sistemdeki her verinin yedeği alınmamalıdır. Bu tür bir çalışma yedekleme sistemimizin maliyetini oldukça arttıracaktır. Bu nedenle, hangi verinin bizim için kritik, önemli ve yedeği alınması gerekli veri olduğunun tespiti gerekir. Bu şekilde, farklı veri gruplarının yedekleme açısından öncelik sıraları belirlenir. Yedeği alınacak verilerin ve yedek alma sıklığının doğru tespiti ile, yedekleme sürecini, sistemin günlük işleyişini en az şekilde etkileyecek şekilde düzenlemek gerekir. Özellikle doğal afetlere karşı, yedeklerin farklı bir coğrafi bölgede saklanması gerekir. Bu tür bir yedeklemede veriler, çevrim-içi ve çevrim-dışı şekilde aktarılabilir. Çevrim içi aktarımda veriler, farklı bölgedeki merkeze, periyodik olarak bilgisayar ağı üzerinden aktarılır. Çevrim-dışı yolu ile yapılan yedeklemede ise, veriler, yüksek kapasiteli bir saklama ünitesi (teyp, flash bellek, taşınabilir hard disk, CDROM, DVD-rom gibi) üzerine yazılarak güvenli bir şekilde yedekalınan bölgeye ulaştırılır.

Veritabanı yedeklemesi, iş-sürekliliğinin sağlanmasında önemli bir faktördür. Kurumun veritabanlarını farklı bilgisayarlarda yedeklenmiş şekilde tutmak (replicated database), bir veritabanı sunucusunda meydana gelebilecek arıza ya da sistem güncelleme gibi durumlara karşı tüm sistemi toleranslı hale getirecektir. Sistemlerin, elektrik kesilmelerine ve güç kaynağı arızalanmalarına karşı korunması da yedekleme konusunda ele alınabilir. Elektrik kesilmesi, hem kesinti boyunca çalışmamızın durmasına neden olur, hem de çalışan sunucumuz, “shutdown” gibi bir komut verilerek değil de sanki bir anda fişi çekilerek kapatıldığından, sunucuda geri dönülemez donanım ya da yazılım arızaları meydana gelebilir.

Bu tür durumlardan korunmak amacıyla, sistemler kesintisiz güç kaynakları ve yedek güç üniteleri ile desteklenmelidir.

Saygılar..


Düzenleyen megabros - 10-06-2009 Saat 13:11
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.207 Saniyede Yüklendi.