Sayfayı Yazdır | Pencereyi Kapat

Internet Güvenliği (Bölüm 1)

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliği / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarınızı Her Türlü Saldırıya Karşı Korumak İçin Yapmanız Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8994
Tarih: 22-11-2024 Saat 06:35


Konu: Internet Güvenliği (Bölüm 1)
Mesajı Yazan: megabros
Konu: Internet Güvenliği (Bölüm 1)
Mesaj Tarihi: 29-03-2011 Saat 14:41

Güvenlik ve Internet


Internet milyonlarca bilgisayarı birbirine bağlayan küresel bir ağdır. Dünyadaki binlerce bilgisayar sistemini birbirine bağlar. Bu sistemler bilgiyi bir bölgeden diğerine taşımada FTP ve HTTP gibi veri transferi protokolleri kullanabilirler (FTP - File Transfer Protocol, HTTP - Hyper Text Transfer Protocol). Internet başlangıçta ordu bilgileri alışverişinde kullanılmak üzere tasarlanmıştı. Günümüzde ise aşağıdakileri içeren pek çok farklı kullanım amacı vardır:

• akademik araştırma
• ticari transferler
• elektonik posta
• eğlence
• hükümet birimleri arasında veri alışverişi
• haber grupları

 Internet`in en popüler kullanım alanlarından biri 'World Wide Web'dir. Bu bir browser ile erişilebilen büyük miktarda çoklu-medya bilgilerinin Internet üzerinde sayfalarda yayınlanması ile oluşmaktadır. Internet`i kullanan firmaların ve bireylerin ürün ve servisleri için geniş çapta izleyicisi vardır. Internet üzerinde reklam diğer medyalara oranla daha ucuzdur ve ticari işlemler istenilen herhangi bir vakitte gerçekleştirilebilir.
Bununla birlikte kullanıcı sayısı ve servisler hızlı olarak arttıkça güvenlikde önemli bir konu haline geldi.

Web teknolojisi çeşitli farklı medya tiplerine kolay erişimi sağlar. Internet üzerindeki bilgiye hızlı ve maliyeti-düşük erişim sağlar. Çok yönlü olmasına karşın kullanımı çok kolaydır.

Intranet özel bir ağda Internet teknolojisinin kullanılmasıdır. Örneğin bir firma kendi dahili ağında interaktif bilgi dağıtımı için web sunucuları, browser`lar ve Internet protokollerini kullanabilir. Intranet`ler özel ağlar için dizayn edilmiş olsa da kullanıcıların uygun olan yerlerde Internet`e erişimini de sağlarlar.

Bir Intranet içerisinde transfer edilen bilgi genelde aşağıdaki kategorilerden birine dahildir:

• firma politika ve haberleri
• departman bilgileri
• firma mali bilgileri
• çalışanların web sayfaları ve tartışma forumları
• işle ilgili mesajlar ve aktivite takvimi

Güvenlik dahili ağlarda da önemli bir konudur. Firma çalışanları bazen veri hırsızlığı yapabilir yada sisteme virüs bulaştırabilir.
Extranet firma dışındaki kullanıcıların erişimine izin veren bir intranet`tir. Bu erişim dahili ağla küresel internet arasında güvenli haberleşme için belirli harici kullanıcılara ve belirli bilgilere erişilecek şekilde ayarlanır. Örneğin bir firma iş ortaklarıyla ürün bilgilerini paylaşmak isteyebilir. Veya müşterilerin sipariş verebilmesi için, malların teslimatında ve ödemeleri elektronik olarak işleme tabi tutmak için elektronik doküman değişimi (Electronic Document Interchange - EDI) kullanabilir.
Extranet`ler tipik olarak bir firmanın aşağıdaki kategorilerde bilgi paylaşmasını sağlar:

• satış ve müşteri hizmetleri
• ürün geliştirme ve pazarlama
• eleman alımı

Önemli bilgilerin, mesela kredi kartı detaylarının, geniş bir ağda depolandığını varsayalım.

Bu tip veriye yetkisiz personel tarafından erişilmemesi önemlidir. Birisi başkasının kredi kartı bilgileri ile kendisine birşeyler satın alabilir.
Firmanız hangi ağ çözümünü uygularsa uygulasın güvenlik son derece önemlidir. Bilgisayar güvenliği bilgi, donanım ve yazılım gibi firmanın kaynaklarını koruyacak şekilde dizayn edilir.

Üst yönetim firma için uygun güvenlik politikalarının geliştirilmesi ve yürütülmesinden sorumludur. Ve bireysel kullanıcılar da bu politikalara uymaktan sorumludurlar. Ayrıca kullanıcılar kişisel bilgilerinin güvende olduğundan herhangi mevcut bir güvenlik mekanizması kullanarak emin olmalıdırlar.

Bilgisayar ve ağ servisleri sağlayıcıları yönettikleri sistemlerin ve sağladıkları servislerin güvenliğinden sorumludurlar. Ayrıca bütün kullanıcıların güvenlik politikalarından haberdar olduğundan emin olmalılar. Bu politikaları belirli aralıklarla güzden geçirmeli ve yapılan değişikliklerden kullanıcıları haberdar etmelidirler.

Eğer bir sistemin harici kullanıcıları varsa, doğru bilgilerin paylaşıldığından sistemin sahibi sorumludur. Üretici firmalar ve sistem geliştiriciler sağladıkları sistemlerin güvenli olduğundan emin olmalıdırlar. Ayrıca güvenlik kontrollerinin uygulanmasında kullanıcılar ve servis sağlayıcılar ile haberleşmelidirler.

Bilgi güvenliği ilkeleri

Kriptolama Internet teknolojisi ile transferde bilgiyi koruyan temel mekanizmaya verilen isimdir. Verinin özel bir kod yada anahtar kullanılmadan diğerleri tarafından anlaşılmayacak şekle dönüştürülmesidir. Dekriptolama veriyi bir anahtar kullanarak orjinal şekline dönüştürme işlemidir.

Kriptolama bilgi sistemlerinde aşağıdaki fonksiyonları sağlamak için kullanılabilir:

• kimlik tanılama (authentication)
• veri bütünlüğü (data integrity)
• gizlilik/mahremiyet (confidentiality/privacy)
• inkar edememe (non-repudation)

Çoğu sistemde kullanıcıların sisteme giriş yapmasına izin verilmeden önce doğru kullanıcı ismi ve şifre sağlamaları gerekmektedir. Kimliklerin doğrulanması işlemine 'authentication' (kimlik tanılama/doğrulama) denir.

Erişim kontrolü veya kimlik tanılama bir kullanıcının sistemde kullanabileceği bilgi ve servisleri belirler. Bireylere yada gruplara kimlik tanılama seviyelerine göre erişim izni verilir.

Kriptolama teknikleri dijital imzalarla mesajların kaynağını doğrulamada kullanılabilir. Bu imzalar mesajın yazarının kimliğini doğrular ve alıcı mesajın doğru kişiden geldiğine emin olur.

 
Dijital imzaları şifreler ile birlikte yada şifrelerin yerine kullanabilirsiniz.
Kriptolama transfer edilen verinin bütünlüğünü garantiler. Mesaj özetleri (digest) doküman ile birlikte dijital parmakizlerini yaratarak doküman ve dosyaların bütünlüğünü test eder. Bu dijital olarak imzalanmış mesaj özetleri verilerin transfer edilirken değiştirilmediğini kontrol etmede kullanılabilir. Kulakmisafiri (eavesdropper) olarak tabir edilen kişiler Internet üzerinde transfer edilen verileri yakalayan/dinleyen yetkisiz kişilerdir. Kriptolama veriyi karışık hale getirerek gizliliği korur.
Teyit servisleri bir mesajın yaratıcısını mesajın alınıp alınmadığı konusunda haberdar eder. Ayrıca mesajın transfer sırasında değiştirilmediği konusunda da haberdar edebilir. İnkar edememe mesajı gönderen kişinin daha sonra mesajı gönderdiğini inkar edememesi veya alıcının mesajı aldığını inkar edememesidir. Bu teknikler genelde kaynağın inkar edilememesi (nonrepudiation of origin) ve teslimatın inkar edilememesi (nonrepudiation of delivery) olarak adlandırılır. Emin olmak için kriptografik alındı mesajları yayınlanabilir.

Güvenli Hesaplama

Ağlar protokoller ile birbirleriyle haberleşirler. Bir veri transfer protokolü bilginin nasıl transfer edileceğini belirleyen bir kurallar grubudur. Bilgisayar ağları kavramsal olarak çoklu katmanlar şeklinde temsil edilebilir. Her bir katman diğerlerinden bağımsız olarak çalışır. Bu tip bir temsile örnek olarak Uluslararası Standartlar Organizasyonu (ISO) tarafından yaratılan OSI modeli verilebilir. Ve bu modelde her bir katman için farklı protokoller vardır. OSI modelinde link veya alt-ağ katmanı birbirine direk olarak bağlı iki ekipman arasında veri çerçeveleri (frame) transfer eden arabirimleri ve standartları tanımlar. (Burda kullanılan çerçeve terimi transfer için özel bir şekilde düzenlenen belirli sayıda byte veya veri dizisini temsil etmektedir.) Fakat genelde çerçeveleri birden fazla bilgisayara göndermeniz gerekir, bu sebeple ağ katmanı uzaktaki birimler arasında veri transferinde gerekli olan aktivitelerin tümü için standartları belirler.

Nakil (transport) katmanı ağ katmanı ile transfer edilen veri çerçevelerinin bir uygulamaya doğru sırada teslim edildiğinden ve hiçbirinin kaybolmadığından emin olmayı sağlar.
Oturum (session) katmanı bir kullanıcının ağ üzerinden bir makineye login olup dosya transfer edebilmesini sağlamak için nakil katmanını kullanır.

Sunum (presentation) katmanı veriyi gönderilmeden önce kodlar ve alındığında dekod eder.

Uygulama katmanında, çerçevelerin içeriği işlenir. Bu durumda kullanıcı kimlik tanılaması, yetkilendirme ve anahtar yönetimi güvenlik sisteminizde yüksek önceliğe sahip olmalıdır.

Diyelimki harici kullanıcıların ağınıza erişimine izin vermek istiyorsunuz. Tüm kriptolama sistemleri ve dijital imzalar anahtar yönetimi metodlarına ihtiyaç duyar (Bunlar anahtar yaratımı, dağıtımı, iptal etmeyi içerebilir).

Biyometrik-tabanlı kimlik tanılama talep sahibinin parmak izi gibi eşsiz fiziksel karakteristikleri üzerine dayalıdır.

Sisteme yakınlıkları dolayısıyla yetkili kişiler sahtecilik ve hırsızlık olaylarında sorumlu tutulabilirler. Bu sebeple kimlik tanılama ve erişim kontrolü intranet`te olduğu kadar extranet`de de önemlidir. Bireylerin dahili ağınızdaki işlemlerini izlemek için uygun denetleme sistemleri tasarlamalısınız. İhtiyaç olduğunda kullanıcıları yaptıklarından sorumlu tutmada bu bilgilerden yararlanabilirsiniz.

Bilgisayar virüsleri sadece PC`lere değil bütün platformlara saldırırlar. Yetkisiz yazılımların ağa girmesi birbirine bağlı tüm cihazlara virüs bulaşması tehditini ortaya çıkarır. Güvenli bilgisayar kullanımı virüsler gibi tehditlerin kontrolünü gerektirir.

Anti-virüs önlemleri firmanın intranetinde virüsün tehdit olabileceği her seviyede uygulanmalıdır:

• masaüstü bilgisayarlar
• sunucular
• groupware veya e-posta sunucuları
• web sunucuları

Güvenlik duvarı (firewall) Internet gibi harici ağlara yada ağlardan erişim gerektiren ağlarda uygulanan ana güvenlik mekanizmalarından biridir. Bir güvenlik duvarı firmanın dahili ağını harici Internet`ten ayıran bileşenlerdir. Güvenlik duvarları spesifik bağlantıların geçmesini ve diğerlerinin bloklanmasını sağlar ve genelde dahili ağın Internet`e bağlandığı sınırda uygulanır.

Güvenlik duvarı bileşenleri aşağıdakilerin kombinasyonu olabilir:

• paket-filtreleme router`ları (packet-filterin routers)
• devre ağ-geçitleri (circuit gateways)
• uygulama ağ-geçitleri (application gateways)

Özel Sanal Ağlar (VPN) herkese açık olan (Internet gibi) ağlar üzerinde güvenli haberleşmeyi sağlar. Güvenlik duvarları Özel Sanal Ağlar ile birlikte kullanılarak güvensiz ağlar üzerinde güvenli web siteleri sağlar. Güvenlik duvarları ağlar arasında giriş ve çıkış erişiminde kontrol mekanizmaları sağlar ve yetkisiz erişimi engeller.

Internet`teki makinelerin sayısı arttıkça güvenlik spesifikasyonları veya standartları ihtiyacı da arttı. Bu standartlar uzaktan-erişim, kaynak-paylaşımı yapan bilgisayar sistemlerinde gizli bilgileri korumada çeşitli önlemler tanımlar. Standartların ana hedeflerinden biri üreticilere ürünlerini geliştirmede kullanabilecekleri güvenlik kriterlerini sağlamaktır. Bu sayede önemli uygulamalar için güvenlik gereksinimlerini karşılayacak sistemler üretebilirler. Standartlar farklı üreticiler tarafından üretilen çeşitli bileşenlerin birarada çalışabilmesini (interoperabilitiy) sağlar. Kullanıcılar önemli bilgileri güvenli olarak işlemede bilgisayar sistemlerine ne kadar güvenebileceklerini değerlendirmede standartları kullanabilirler.

 
Çeşitli organizasyonlar güvenli bilgisayar işlemleri için standartlar geliştirdi. Örneğin Amerikan Savunma Bakanlığı Orange Book adı verilen yayınlarında çeşitli güvenlik seviyeleri tanımlamaktadır. Orange Book bilgisayar sistemini içerdiği bileşenlere göre sınıflandırmaktadır. Örneğin, C2 güvenlik seviyesi kullanıcıların komutları çalıştırmasında kimlik tanılama seviyeleri kullanır ve denetlemenin kullanılmasını belirler (Avrupa Birliğinin ITSEC Standartlar Kataloğu sistemleri Orange Book`dakine benzer şekilde sınıflandırır).

Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) açık sistemler standartlarını ve birlikte çalışabilirliği geliştirmekten sorumludur. Gizli veriler için standartlar geliştirdi ve kriptolama standartları geliştiren Ulusal Güvenlik Kurumu (NSA) ile birlikte çalışmıştır.

IETF (Internet Engineering Task Force) Internet standartları dahil kısa-dönem mühendislik konularından sorumludur.

Güvenlik Yönetimi

 
Risk, bir olay olduğunda hasarın derecesi yada olayın olma ihtimali olarak tanımlanabilir. Risk analizi bir firmanın potansiyel risklerinin ve sonuçlarının değerlendirilmesidir.

Risk analizi yönetim stratejisinin bir parçası olmalı ve hem bilgi teknolojisine hemde bilgi teknolojisi dışındaki aktivitelere uygulanabilmelidir. Risk analizinde ilk olarak değerlendirmenin kapsamı düşünülmelidir. Bu, sistemin tanımlanması ve hangi bölümlerin analiz edileceğini belirlemektir. Riskler analiz edilirken, olabilecek hipotetik olayların bir listesini derleyerek senaryo analizleri yapabilirsiniz. Alternatif olarak riskleri yansıtan simulasyon çalışmaları kullanabilir ve potansiyel risklerin etkilerini simule edebilirsiniz. Risk verilerini analiz ederken ve toplarken düşünülecek bazı bileşenler vardır. Örneğin, bilgi, yazılım, donanım ve personel gibi firmanın çeşitli mülklerini değerlendirmelisiniz. Tehditler hata, kötü amaç ve virüsler gibi sisteme zarar verme potansiyeli olan olaylardır. Risk analizinizin bir parçası olarak tehditlerin ihtimallerini ve firma mülklerine zarar verme potansiyellerini belirlemelisiniz.
 
 Ayrıca mevcut güvenlik prosedürlerinizdeki zayıflık ve güvenlik açıklarını tanımlamalısınız. Risk değerlendirme bir olayın olabilme ihtimalini ve her riskin potansiyel mali zararını belirlemeye çalışır. Kardinal (Cardinal) risk değerlendirme bu mali zararı matematiksel terimlerle ifade eder. Örneğin, veri kaybı değerini olma ihtimali ile çarparak mali zararı bulabilirsiniz (1.000.000 x %25 = $250.000).
Sırasal (ordinal) risk analizi riskleri kategorize eder. Örneğin veri kaybı kabul edilebilir yada kabul edilemez olarak sınıflandırılabilir. Bazı durumlarda, örneğin tıbbi bilgi kaybında, sonucundaki risk ölümcül olabilir.

Firmanız için güvenlik risklerini analiz ettikten sonra bu risklere karşılık güvenlik politikaları geliştirmeniz gerekir. Diğer kontroller bütçe kısıtlamaları gerektirebilir ve yararlarının maliyetlerinden daha fazla olduğuna emin olmalısınız. Firma standartları prosedürlerin doğru kullanımını belirler ve normalde firma içinde zorunlu kılınırlar. Amerika`da Bilgisayar Güvenliği Kanunu (Computer Security Act) firmaların önemli sistemler için bilgisayar güvenliği ve gizlilik planları deliştirmesini gerektirir.

Bir güvenlik politikası firmada güvenliği genel terimlerle belirler. Örneğin bir güvenlik politikası sistemdeki tüm kullanıcıların kimlik tanılamasını gerektirebilir. Genel bir güvenlik politikasına ek olarak her firma kullanıcıların düşük maliyetli güvenlik önlemleri uygulamasına yardımcı olmada prosedürlere ihtiyaç duyar. Prosedürler sisteme özgüdür ve spesifik güvenlik elementlerinin nasıl uygulanacağı konusunda detaylı bilgiler içerir. Örneğin prosedürler kullanıcı eğer (önceden belirlenmiş bir süre için) çalışma istasyonundan ayrılıyorsa sistemden çıkış yapmasını gerektirebilir. Ayrıca prosedürler mevcut kuralların ihlali durumunu engellemek için ve güvenlik ihlali durumunda ne yapılacağı konusunda yöntemler belirlemelidir.

Bir plan hazırlarken düşünmeniz gereken kaynaklar aşağıdaki gibidir:

• insanlar
• donanım
• yazılım
• veri
• dokümantasyon

Çalışanlar için tüzük hazırlarken ağı kullanan herkes için hakları ve yükümlülükleri belirlemelisiniz. Örneğin, kimin hangi kaynakları kullanmaya yetkili olacağını belirlemelisiniz.

Sistem veya ağ yöneticisi ağda en çok hakka sahiptir ve sisteme potansiyel olarak en büyük tehdittir. Bu sebeple sistem yöneticisinin rolünü, haklarını, görevlerini belirlemelisiniz.

Donanım için güvenlik önlemleri düşünürken sunucular ve router`lar gibi donanım bileşenlerinin herbirini korumanız gereklidir. Ayrıca yangın alarmı gibi firmanın bütünü için tedbirler belirlemelisiniz.

Uygulamalar için ana risklerden biri virüslerdir. Bu sebeple güvenlik planınız tüm yazılımların virüs içermediğinden emin olunmasını ve oyunlar gibi özel olarak kurulan uygulamaların katı olarak kontrolünü içermelidir.

Gizli veriler uygun şekilde korunmalıdır. Güvenlik planınızın bir parçası olarak hangi kullanıcı veya sunucuların bu tip verilere erişebileceğine ve hangi sistemlere kaydedilebileceğine karar vermelisiniz. Ayrıca gizli verilerin yedeklerinin ve yazıcı çıktılarının nasıl korunacağını da belirlemelisiniz.

Prosedürleriniz güvenlik dokümantasyonu hakkında da bilgi içermelidir. Sistem dokümantasyonu ağ ve güvenlik duvarları hakkında detaylı bilgi içerebilir. İşletim dokümantasyonu yedekler ve sistemin başlatılması, durdurulması hakkında bilgiler içerebilir. İşletim dokümanları bir güvenlik ihlali durumunda takip edilmesi gereken prosedürlerin detaylarını içermelidir. Güvenlik dokümantasyonu sistem yöneticisinin işlemlerinin kaydını içermelidir.

Yetkisiz erişimi monitör etmek güvenlik politikasının önemli bir parçasıdır. Bu erişimin kime ve nasıl rapor edileceğini belirlemelisiniz.
Prosedürlerinizi uyulduğuna emin olmak için düzenli aralıklarla denetlemelisiniz.
 
Saygılar.


-------------
WHİTE HAT
BEYAZ ŞAPKA (BİLGİ NEFERİ)



Sayfayı Yazdır | Pencereyi Kapat