BT Varlıklarının Güvenlik Testi Adımları
Gönderilme zamanı: Pzr Ağu 23, 2009 12:49 am
Bilgi Teknolojileri (BT) varlıklarının güvenlik testleri son yılların popüler, bir o kadar da kalitesinden şüphe edilen konuları arasında yer almaktadır. Farklı varlıklar için hazırlanan güvenlik kontrol listelerinin derinliğinin ölçülebilmesi için genel bir iskeletin üzerine bina edilmesi bir ihtiyaçtır. Bu makalede BT varlıklarının güvenlik testlerinde kullanılabilecek genel test adımlarından bahsedilecek, bu test adımlarının nasıl algılanması ve uygulanması gerektiği konularına ışık tutulmaya çalışılacaktır.
Giriş
Güvenlik açıklıklarının son yıllarda hızla artması, kurumların bu açıklıklara karşı önlem almasına ve yeni bilgi sistemi pozisyonları oluşmalarına yol açmıştır. Kurumun güvenlik anlamında daha kararlı bir noktaya ulaşabilmesi için çalışan bu kişiler, genellikle sağlıklı bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulması ve bilgi güvenliği denetimi; orta ölçekli firmalarda ise güvenlik yazılım ve donanımlarının yönetilmesi amaçlı çalışmalar yürütmektedirler.
Bilgi güvenliği denetlemelerini gerçekleştirmekle sorumlu denetçiler çalışmalarında çoğunlukla Internet ortamında ya da literatürde var olan kontrol listelerini kullanmayı tercih etmektedirler. BT güvenliği konusunda pek çok kaynağın erişilebilir olması bu yönelimi haklı çıkarmaktadır. Fakat bu yönelim, yapılan testler hakkında bazı soru işaretlerinin oluşmasına sebep olmaktadır. Bu sorular şöyle sıralanabilir:
Denetimlerde kullanılan kontrol listeleri yeterince detaylı mıdır? Farklı kontrol listeleri ile karşılaştırılarak sağlaması gerçekleştirilmiş midir?
Kullanılan hazır kontrol listelerinde geçen maddeler net olarak anlaşılmış mıdır? Denetleme sonucunda oluşturulacak tavsiyelerin güvenliğe, performansa ve verilen servise olan etkileri net olarak bilinmekte midir?
Kontrol listesi var olmayan BT varlıklarının denetimi ne şekilde gerçekleşmektedir?
Özetleyecek olursak, tüm BT varlıkları için hazır kontrol listelerinin olması mümkün değildir. Var olan kontrol listelerinin yeterliliği ise uzman gözler tarafından değerlendirilmelidir. Bu iki konu BT varlıkları için hazırlanacak kontrol listelerinin içeriği konusunda bazı ön bilgilerimizin olmasını zorunlu kılmaktadır.
İlerleyen bölümde tüm BT varlıklarının güvenlik testlerinde uygulanabilecek genel test adımlarından bahsedilecektir.
Genel Test Adımları
Ağ Topolojisindeki Konum
Bilgi güvenliğinin popüler olduğu ilk yıllarda dış dünyadan korunma amaçlı güvenlik duvarları ortaya çıkmış daha sonra iç ağlardan kaynaklanan tehditlerin artmasıyla yarı güvenli bölge (Demiliterized Zone- DMZ [1]) olarak isimlendirilen ağ segmentinin yaygınlaştığı görülmüştür. Hem dış dünyadan, hem de iç ağdan korunması gerekli servislerin yer aldığı bu alt ağ, güvenli ağ topolojilerinin temelini oluşturmaktadır. Günümüzde kompleks saldırıların yaygınlaşması ve bazı araçlarla otomatik olarak gerçeklenebilmesi DMZ ağında yer alan sunucuların da birbirlerinden korunmasını gerekli kılmaktadır. Özellikle veritabanı, dosya sunucuları gibi sadece kurum bilgisayarları üzerinden erişilen bazı servislerin dış dünyadan erişilen servislerden ayrılması bu düşüncenin altındaki ana fikirdir. Şekil 1′de gösterilen ağ topolojisinde burada bahsedilen ağ segmentleri ve bu segmentler arasındaki trafik akışı resmedilmiştir. Kurum içi servislerin yer aldığı ağ segmenti Güvenli Ağ olarak isimlendirilmektedir.
Testi gerçekleştirilen BT varlıklarının Şekil 1′de gösterilen topolojide olması gerektiği alt ağda yer alıp almadığının kontrolü bu test adımının temelini oluşturmaktadır. Resimde hangi ağ bileşeninin nerede yer alması gerektiği ile ilgili bazı örnekler verilmektedir. Topolojik konum ve erişim kontrolünde şu genel kuralların uygulanmış olması beklenebilir:
Web, e-posta sunucu gibi kurumun verdiği servisler Internet ve kurum ağından korunan Yarı Güvenli Bölgede yer almalıdır. Erişimler sadece ilgili portlara açılmalıdır.
Veritabanı gibi hassas veri taşıyan BT varlıklarına direk erişim engellenmelidir. Dolaylı erişim, sadece uygulamaların koştuğu web platformları üzerinden sağlanmalıdır.
Yönetim merkezleri gibi bağlanılmaya ihtiyacı olmayan fakat diğer sunuculara bağlanma ihtiyacı olan varlıklara erişimler tümüyle kapatılmalıdır.
Kurum ağında yer alan bilgisayarlara ve sunuculara diğer ağlardan erişim engellenmelidir.
Kuruma ait sunuculardan hiçbirisi güvenlik duvarının önünde yer almamalıdır.
Güvensiz kurulum yöntemleri
Özellikle birden çok işleve sahip yazılımlar kurulum sırasında farklı seçenekler sunmaktadır. Güvenlik açısından bu tür yazılımlarda farklı opsiyonların ne anlama geldiği anlaşılmalı gereksiz servis kurulumu engellenmelidir. Denetçi testini gerekleştirdiği varlıkta bu yazılımların kurulum yöntemini incelemeli ve kullanım şartlarına uygun en güvenli kurulum moduna sistemin geçirilebilmesi için tavsiyelerde bulunmalıdır.
Bu konuda Unix tabanlı ortamlarda dikkat edilebilecek diğer bir husus da chroot ya da jail olarak ifade edilen hücre yapısının[2] oluşturulup oluşturulmadığıdır. İşletim sistemi ile çalışan servis arasında sanal bir duvar oluşturan bu yapı ile servis üzerinden gelebilecek tehditlerin etkileri minimize edilmesi amaçlanır. Chroot kurulumunu destekleyen yazılımların bu formatta kurulup kurulmadığının irdelenmesi de denetçinin kontrol listesinde yerini almalıdır. Var olan servislerin Chroot yapısına geçirilmesi ile ilgili tavsiyelerde açık kaynak kodlu CAMMP [3] yazılımından bahsedilebilir.
Son güvenlik yamalarının eksikliği
Güvenlik yamalarının eksikliği tüm sistemler için tehdit oluşturmaktadır. Örneğin 2009 yılının ilk 6 haftasında BT varlıkları için yayınlanan açıklıkların sayısı Şekil 2′de[4] gösterilmektedir. Görüldüğü gibi her hafta ortalama 200′ün üzerinde açıklık ortaya çıkarılmaktadır. Yaması yapılmayan açıklıklar her geçen gün daha büyük tehdit oluşturmakta, etkileri ve istismar edilme olasılıkları artmaktadır. Bu sebeple BT varlıklarında güncel yamaların kontrolü denetçinin birincil görevleri arasında yer almalıdır.
Burada dikkat edilmesi konu, denetçinin güvenlik ile ilgili güncellemelere yoğunlaşmasıdır. Üretici firmalar fonksiyonel hatalardan, iyileştirme sebebiyle birçok yama yayınlayabilmektedirler. Denetçi bu yamalar ile ilgili tavsiyelerde bulunmaktan kaçınmalı, mümkünse güvenlik yamalarından da sadece sistem için tehlike arz edenlerin kapatılması ile ilgili yorum yapmalıdır. Bu şekilde tavsiyenin bilgi sistemi yöneticileri tarafından uygulanabilirliği de atacaktır.
İkinci bir konu da tüm yama eksikliklerinin yüksek risk oluşturmayacağının bilinmesidir. Denetçi var olan açıklıkları derinlemesine irdelemeli eğer kendisinden bir risk saptaması yapması bekleniyorsa bu değerlendirmesine göre yorumda bulunmalıdır.
Uzaktan bağlanma metotları
BT varlıkları genellikle başka varlıklara ya da son kullanıcıya bağlanma ihtiyacı duyarlar. Bu bağlantı metotlarının güvensiz olması hassas verinin ortaya çıkarılması ihtimalini de yükseltir. Güvensiz bağlantı örnekleri olarak şunlar gösterilebilir:
Bir sunucunun SSH yerine telnet protokolü ile yönetilmesi
Dosya sunucu ile kullanıcı bilgisayarlarının şifresiz haberleşmesi
Uygulama sunucuların veritabanı sunucuları ile güvensiz bağlantıları
Kullanıcıların web tabanlı uygulamalara HTTPS yerine HTTP ile bağlanmaları
BT varlıklarının büyük bir bölümü için bu tür bağlantılar için mevcut güvenli çözümler bulunmaktadır. Denetçiler, varlığın barındırdığı verinin önem derecesine göre bağlantı yöntemini irdelemeli ve güvenli yöntemleri önermelidirler.
Bu konuda ayrıca, kullanılan güvenli bağlantı yönteminin yeterli seviyede güvenlik sağlayıp sağlanmadığı da irdelenmelidir. Örneğin IPSEC kullanımında 3DES yerine günümüz teknolojisi ile kolaylıkla kırılabilen DES kullanımı güvensiz olacaktır.
Kullanılmayan servisler
Bu konu üç alt başlıkta ele alınmalıdır. Öncelikle yazılımın kurulumu ile gelen ve kullanılmayan servisler kontrol edilmelidir. Bu alt başlık Güvensiz Kurulum Yöntemleri başlığında anlatılanlar ile yakın ilişki içerisindedir.
İkinci konu ise her bir ana servisin sadece bir sunucu üzerinde çalıştırılmasıdır. Örneğin DNS servisi ile E-posta servisi farklı makinelerde yer almalıdır.
Son olarak işletim sistemleri ile gelen, kullanılmamasına rağmen açık durumda olan servislerin tespitine yönelik denetleme yapılmalıdır.
Her üç adımın sonunda tespit edilen servislerin kapatılması, mümkünse sistemlerden kaldırılması tavsiye edilmelidir.
Varlık yapılandırması (!!!)
BT varlıkları için özel çalışma gerektiren test adımları bu başlık altında yer alır. Internet ortamından bulunan varlığa özel test adımları kullanılabileceği gibi literatürdeki kabul görmüş kaynaklara da başvurulabilir [5]. Her iki durumda da denetçi laboratuar ortamında test adımlarının üzerinden geçmeli, testlerde beklenen sonuçların ne anlama geldiğini anlamalı; süreklilik ve işlevsellik üzerine olan etkilerini irdelemelidir.
Tehlikeli varsayılan değerler
Üretici firmalar genellikle yazılımlarının kolay bir şekilde kullanılabilir hale getirilebilmesi için yaygın kullanılan özellikleri kurulum sırasında aktif hale getirirler. Bu durum yazılımların güvensiz durumlarda kalmasına yol açabilir. Örneğin bir e-posta sunucusunun kurulduğunda aktif olarak çalışmaya başlayabilmesi için e-posta yönlendirme özelliğinin (relaying) açık olması gerekmektedir. Bu şekilde varsayılan yapılandırması gerçekleştirmiş e-posta sunucularının güvenlik ayarı yapılmadığı takdirde kaynakları, Spam e-postaların gönderimi için kötüye kullanılabilir.
Bu örnekleri arttırmak mümkündür. Denetçi, güvenlik denetlemesi gerçekleştirilen varlık için tehlikeli varsayılan yapılandırma değerlerini incelemeli ve nihai yapılandırmada güvenli değerlerin atandığını görmelidir.
İhtiyaç duyulmayan örnekler, dosyalar
BT varlıklarında önemli bilgileri açığa çıkaran veya sistemde güvenlik açığı meydana getiren diğer faktör de kurulum ile beraber gelen örnek uygulamalardır. Bu uygulamalar, en düşük ihtimalle kurulu yazılımın çeşidi ve sürüm bilgisi hakkında bilgi verici olacaktır. Bu örneklerden bazıları ise içerdikleri güvenlik açıklıkları sebebiyle saldırganların sisteme giriş noktaları olarak kullanılabilmektedir. Örneğin Oracle Application Server yazılımı, kurulumunda echo.exe isimli bir CGI örnek dosyasını barındırmaktadır. Oracle, son güvenlik yamalarında (Critical Patch Update – CPU [6]) bu örneğin tehlikeli olabileceğini ve kaldırılması gerektiğini bildirmektedir.
Denetçi kurulumla gelen bu örnekleri bilmeli ve sistemlerden kaldırılmaları yönünde tavsiyede bulunmalıdır. Eğer bu örnek uygulamalara ihtiyaç duyuluyorsa sadece ihtiyaç anında erişime açılabilmesi için dosya erişim ayarlarının kısıtlanması, sadece belirli IP adreslerinden erişilebilmesi/kullanılabilmesi gibi farklı çözümler de önerebilir.
Performans parametreleri
Son yıllarda BT varlıklarına gerçekleştirilen saldırıların giderek daha kompleks ve dağıtık olması, servis dışı bırakma ile sonuçlanan denemelerin daha başarılı olmasını sağlamaktadır. Son yıllarda Internet altyapısına gerçekleştirilen ve servis dışı bırakmayı hedefleyen bazı saldırılar bunun göstergesidir [7]. Özellikle dağıtık olarak gerçekleştirilen servis dışı bırakma saldırılarını önlemek güçtür. Fakat BT varlığının performans parametrelerinde gerçekleştirilebilecek bazı ayarlamalar saldırıların etkilerini azaltma veya belirli ölçekteki saldırılara karşı korunabilmek adına faydalı olacaktır.
Bu bağlamda denetçi, testi gerçekleştirilen BT varlığının optimum performans parametreleri hakkında araştırma yapmalı ve bu değerlerin sistemlerde uygulanması için tavsiyelerde bulunmalıdır.
[code]
Giriş
Güvenlik açıklıklarının son yıllarda hızla artması, kurumların bu açıklıklara karşı önlem almasına ve yeni bilgi sistemi pozisyonları oluşmalarına yol açmıştır. Kurumun güvenlik anlamında daha kararlı bir noktaya ulaşabilmesi için çalışan bu kişiler, genellikle sağlıklı bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulması ve bilgi güvenliği denetimi; orta ölçekli firmalarda ise güvenlik yazılım ve donanımlarının yönetilmesi amaçlı çalışmalar yürütmektedirler.
Bilgi güvenliği denetlemelerini gerçekleştirmekle sorumlu denetçiler çalışmalarında çoğunlukla Internet ortamında ya da literatürde var olan kontrol listelerini kullanmayı tercih etmektedirler. BT güvenliği konusunda pek çok kaynağın erişilebilir olması bu yönelimi haklı çıkarmaktadır. Fakat bu yönelim, yapılan testler hakkında bazı soru işaretlerinin oluşmasına sebep olmaktadır. Bu sorular şöyle sıralanabilir:
Denetimlerde kullanılan kontrol listeleri yeterince detaylı mıdır? Farklı kontrol listeleri ile karşılaştırılarak sağlaması gerçekleştirilmiş midir?
Kullanılan hazır kontrol listelerinde geçen maddeler net olarak anlaşılmış mıdır? Denetleme sonucunda oluşturulacak tavsiyelerin güvenliğe, performansa ve verilen servise olan etkileri net olarak bilinmekte midir?
Kontrol listesi var olmayan BT varlıklarının denetimi ne şekilde gerçekleşmektedir?
Özetleyecek olursak, tüm BT varlıkları için hazır kontrol listelerinin olması mümkün değildir. Var olan kontrol listelerinin yeterliliği ise uzman gözler tarafından değerlendirilmelidir. Bu iki konu BT varlıkları için hazırlanacak kontrol listelerinin içeriği konusunda bazı ön bilgilerimizin olmasını zorunlu kılmaktadır.
İlerleyen bölümde tüm BT varlıklarının güvenlik testlerinde uygulanabilecek genel test adımlarından bahsedilecektir.
Genel Test Adımları
Ağ Topolojisindeki Konum
Bilgi güvenliğinin popüler olduğu ilk yıllarda dış dünyadan korunma amaçlı güvenlik duvarları ortaya çıkmış daha sonra iç ağlardan kaynaklanan tehditlerin artmasıyla yarı güvenli bölge (Demiliterized Zone- DMZ [1]) olarak isimlendirilen ağ segmentinin yaygınlaştığı görülmüştür. Hem dış dünyadan, hem de iç ağdan korunması gerekli servislerin yer aldığı bu alt ağ, güvenli ağ topolojilerinin temelini oluşturmaktadır. Günümüzde kompleks saldırıların yaygınlaşması ve bazı araçlarla otomatik olarak gerçeklenebilmesi DMZ ağında yer alan sunucuların da birbirlerinden korunmasını gerekli kılmaktadır. Özellikle veritabanı, dosya sunucuları gibi sadece kurum bilgisayarları üzerinden erişilen bazı servislerin dış dünyadan erişilen servislerden ayrılması bu düşüncenin altındaki ana fikirdir. Şekil 1′de gösterilen ağ topolojisinde burada bahsedilen ağ segmentleri ve bu segmentler arasındaki trafik akışı resmedilmiştir. Kurum içi servislerin yer aldığı ağ segmenti Güvenli Ağ olarak isimlendirilmektedir.
Testi gerçekleştirilen BT varlıklarının Şekil 1′de gösterilen topolojide olması gerektiği alt ağda yer alıp almadığının kontrolü bu test adımının temelini oluşturmaktadır. Resimde hangi ağ bileşeninin nerede yer alması gerektiği ile ilgili bazı örnekler verilmektedir. Topolojik konum ve erişim kontrolünde şu genel kuralların uygulanmış olması beklenebilir:
Web, e-posta sunucu gibi kurumun verdiği servisler Internet ve kurum ağından korunan Yarı Güvenli Bölgede yer almalıdır. Erişimler sadece ilgili portlara açılmalıdır.
Veritabanı gibi hassas veri taşıyan BT varlıklarına direk erişim engellenmelidir. Dolaylı erişim, sadece uygulamaların koştuğu web platformları üzerinden sağlanmalıdır.
Yönetim merkezleri gibi bağlanılmaya ihtiyacı olmayan fakat diğer sunuculara bağlanma ihtiyacı olan varlıklara erişimler tümüyle kapatılmalıdır.
Kurum ağında yer alan bilgisayarlara ve sunuculara diğer ağlardan erişim engellenmelidir.
Kuruma ait sunuculardan hiçbirisi güvenlik duvarının önünde yer almamalıdır.
Güvensiz kurulum yöntemleri
Özellikle birden çok işleve sahip yazılımlar kurulum sırasında farklı seçenekler sunmaktadır. Güvenlik açısından bu tür yazılımlarda farklı opsiyonların ne anlama geldiği anlaşılmalı gereksiz servis kurulumu engellenmelidir. Denetçi testini gerekleştirdiği varlıkta bu yazılımların kurulum yöntemini incelemeli ve kullanım şartlarına uygun en güvenli kurulum moduna sistemin geçirilebilmesi için tavsiyelerde bulunmalıdır.
Bu konuda Unix tabanlı ortamlarda dikkat edilebilecek diğer bir husus da chroot ya da jail olarak ifade edilen hücre yapısının[2] oluşturulup oluşturulmadığıdır. İşletim sistemi ile çalışan servis arasında sanal bir duvar oluşturan bu yapı ile servis üzerinden gelebilecek tehditlerin etkileri minimize edilmesi amaçlanır. Chroot kurulumunu destekleyen yazılımların bu formatta kurulup kurulmadığının irdelenmesi de denetçinin kontrol listesinde yerini almalıdır. Var olan servislerin Chroot yapısına geçirilmesi ile ilgili tavsiyelerde açık kaynak kodlu CAMMP [3] yazılımından bahsedilebilir.
Son güvenlik yamalarının eksikliği
Güvenlik yamalarının eksikliği tüm sistemler için tehdit oluşturmaktadır. Örneğin 2009 yılının ilk 6 haftasında BT varlıkları için yayınlanan açıklıkların sayısı Şekil 2′de[4] gösterilmektedir. Görüldüğü gibi her hafta ortalama 200′ün üzerinde açıklık ortaya çıkarılmaktadır. Yaması yapılmayan açıklıklar her geçen gün daha büyük tehdit oluşturmakta, etkileri ve istismar edilme olasılıkları artmaktadır. Bu sebeple BT varlıklarında güncel yamaların kontrolü denetçinin birincil görevleri arasında yer almalıdır.
Burada dikkat edilmesi konu, denetçinin güvenlik ile ilgili güncellemelere yoğunlaşmasıdır. Üretici firmalar fonksiyonel hatalardan, iyileştirme sebebiyle birçok yama yayınlayabilmektedirler. Denetçi bu yamalar ile ilgili tavsiyelerde bulunmaktan kaçınmalı, mümkünse güvenlik yamalarından da sadece sistem için tehlike arz edenlerin kapatılması ile ilgili yorum yapmalıdır. Bu şekilde tavsiyenin bilgi sistemi yöneticileri tarafından uygulanabilirliği de atacaktır.
İkinci bir konu da tüm yama eksikliklerinin yüksek risk oluşturmayacağının bilinmesidir. Denetçi var olan açıklıkları derinlemesine irdelemeli eğer kendisinden bir risk saptaması yapması bekleniyorsa bu değerlendirmesine göre yorumda bulunmalıdır.
Uzaktan bağlanma metotları
BT varlıkları genellikle başka varlıklara ya da son kullanıcıya bağlanma ihtiyacı duyarlar. Bu bağlantı metotlarının güvensiz olması hassas verinin ortaya çıkarılması ihtimalini de yükseltir. Güvensiz bağlantı örnekleri olarak şunlar gösterilebilir:
Bir sunucunun SSH yerine telnet protokolü ile yönetilmesi
Dosya sunucu ile kullanıcı bilgisayarlarının şifresiz haberleşmesi
Uygulama sunucuların veritabanı sunucuları ile güvensiz bağlantıları
Kullanıcıların web tabanlı uygulamalara HTTPS yerine HTTP ile bağlanmaları
BT varlıklarının büyük bir bölümü için bu tür bağlantılar için mevcut güvenli çözümler bulunmaktadır. Denetçiler, varlığın barındırdığı verinin önem derecesine göre bağlantı yöntemini irdelemeli ve güvenli yöntemleri önermelidirler.
Bu konuda ayrıca, kullanılan güvenli bağlantı yönteminin yeterli seviyede güvenlik sağlayıp sağlanmadığı da irdelenmelidir. Örneğin IPSEC kullanımında 3DES yerine günümüz teknolojisi ile kolaylıkla kırılabilen DES kullanımı güvensiz olacaktır.
Kullanılmayan servisler
Bu konu üç alt başlıkta ele alınmalıdır. Öncelikle yazılımın kurulumu ile gelen ve kullanılmayan servisler kontrol edilmelidir. Bu alt başlık Güvensiz Kurulum Yöntemleri başlığında anlatılanlar ile yakın ilişki içerisindedir.
İkinci konu ise her bir ana servisin sadece bir sunucu üzerinde çalıştırılmasıdır. Örneğin DNS servisi ile E-posta servisi farklı makinelerde yer almalıdır.
Son olarak işletim sistemleri ile gelen, kullanılmamasına rağmen açık durumda olan servislerin tespitine yönelik denetleme yapılmalıdır.
Her üç adımın sonunda tespit edilen servislerin kapatılması, mümkünse sistemlerden kaldırılması tavsiye edilmelidir.
Varlık yapılandırması (!!!)
BT varlıkları için özel çalışma gerektiren test adımları bu başlık altında yer alır. Internet ortamından bulunan varlığa özel test adımları kullanılabileceği gibi literatürdeki kabul görmüş kaynaklara da başvurulabilir [5]. Her iki durumda da denetçi laboratuar ortamında test adımlarının üzerinden geçmeli, testlerde beklenen sonuçların ne anlama geldiğini anlamalı; süreklilik ve işlevsellik üzerine olan etkilerini irdelemelidir.
Tehlikeli varsayılan değerler
Üretici firmalar genellikle yazılımlarının kolay bir şekilde kullanılabilir hale getirilebilmesi için yaygın kullanılan özellikleri kurulum sırasında aktif hale getirirler. Bu durum yazılımların güvensiz durumlarda kalmasına yol açabilir. Örneğin bir e-posta sunucusunun kurulduğunda aktif olarak çalışmaya başlayabilmesi için e-posta yönlendirme özelliğinin (relaying) açık olması gerekmektedir. Bu şekilde varsayılan yapılandırması gerçekleştirmiş e-posta sunucularının güvenlik ayarı yapılmadığı takdirde kaynakları, Spam e-postaların gönderimi için kötüye kullanılabilir.
Bu örnekleri arttırmak mümkündür. Denetçi, güvenlik denetlemesi gerçekleştirilen varlık için tehlikeli varsayılan yapılandırma değerlerini incelemeli ve nihai yapılandırmada güvenli değerlerin atandığını görmelidir.
İhtiyaç duyulmayan örnekler, dosyalar
BT varlıklarında önemli bilgileri açığa çıkaran veya sistemde güvenlik açığı meydana getiren diğer faktör de kurulum ile beraber gelen örnek uygulamalardır. Bu uygulamalar, en düşük ihtimalle kurulu yazılımın çeşidi ve sürüm bilgisi hakkında bilgi verici olacaktır. Bu örneklerden bazıları ise içerdikleri güvenlik açıklıkları sebebiyle saldırganların sisteme giriş noktaları olarak kullanılabilmektedir. Örneğin Oracle Application Server yazılımı, kurulumunda echo.exe isimli bir CGI örnek dosyasını barındırmaktadır. Oracle, son güvenlik yamalarında (Critical Patch Update – CPU [6]) bu örneğin tehlikeli olabileceğini ve kaldırılması gerektiğini bildirmektedir.
Denetçi kurulumla gelen bu örnekleri bilmeli ve sistemlerden kaldırılmaları yönünde tavsiyede bulunmalıdır. Eğer bu örnek uygulamalara ihtiyaç duyuluyorsa sadece ihtiyaç anında erişime açılabilmesi için dosya erişim ayarlarının kısıtlanması, sadece belirli IP adreslerinden erişilebilmesi/kullanılabilmesi gibi farklı çözümler de önerebilir.
Performans parametreleri
Son yıllarda BT varlıklarına gerçekleştirilen saldırıların giderek daha kompleks ve dağıtık olması, servis dışı bırakma ile sonuçlanan denemelerin daha başarılı olmasını sağlamaktadır. Son yıllarda Internet altyapısına gerçekleştirilen ve servis dışı bırakmayı hedefleyen bazı saldırılar bunun göstergesidir [7]. Özellikle dağıtık olarak gerçekleştirilen servis dışı bırakma saldırılarını önlemek güçtür. Fakat BT varlığının performans parametrelerinde gerçekleştirilebilecek bazı ayarlamalar saldırıların etkilerini azaltma veya belirli ölçekteki saldırılara karşı korunabilmek adına faydalı olacaktır.
Bu bağlamda denetçi, testi gerçekleştirilen BT varlığının optimum performans parametreleri hakkında araştırma yapmalı ve bu değerlerin sistemlerde uygulanması için tavsiyelerde bulunmalıdır.
[code]