bilgiz.org

BiLGİ GÜvenliĞİNİn sağlanmasinda kullanilan yöntemler ve bunlarin etkin kullanimi

  • SALDIRI TESPİT SİSTEMİ(INTRUSİON DETECTİON SYSTEM)
  • Saldırı Tespit Sisteminin Önemi
  • Saldırı Tespit Sistemlerinin İçerik Olarak Çalışma şekilleri
  • Tespit Sistemlerinin Yerleşim Olarak Çalışma şekilleri
  • Saldırı Tespit Sistemlerinin Yararları
  • VERİ MADENCİLİĞİ İLE SALDIRI TESPİTİ
  • Kütüphane Web Sitesinde Saldırı Tespiti
  • Web kullanım madenciliği ile saldırı tespitinin yapılması
  • Birim Puanlar Şekil var Hesap Edilmiş Puanlar
  • SİMETRİK ANAHTAR ALGORİTMALARI
  • , VPN-SANAL ÖZEL AĞ
  • İÇERİK FİLTRELEME YAZILIMLARI
  • MAIL ŞİFRELEME ARAÇLARI



  • Tarih06.07.2017
    Büyüklüğü80.54 Kb.

    Indir 80.54 Kb.


    BİLGİ GÜVENLİĞİNİN SAĞLANMASINDA KULLANILAN YÖNTEMLER VE BUNLARIN ETKİN KULLANIMI
    Arş.Gör.Oğuz FINDIK,Arş.Gör.Taha SADAY
    T.C. Selçuk Üniversitesi, Mühendislik Mimarlık Fakültesi, Bilgisayar Mühendisliği Bölümü
    ÖZET :
    Günümüzün gelişen ağ teknolojileri sayesinde artık birçok iş ağ üzerinden yapılmaktadır. Bilgilerin, özellikle de değerli bilgilerin herkese açık bir ortam üzerinden taşınması,ve bu ortamın bir çok kişi tarafından kullanılması, verilerin izinsiz kullanılmasına olanak sağlar. Bunun yanında saldırılar ağ üzerindeki sunucuları da hedef alabilir ve sistemlerin çalışmasını engelleyebilir.
    Bu saldırılardan korunmak için çeşitli sistemler geliştirilmiştir.Bunlardan bazıları muhtemel saldırılara karşı firewall yazılımları, e-maillerin virüslere karşı ve saldırı kodlarına karşı korunabilirliğini sağlayacak virüs yazılımları, saldırıları tespit etmek için IDS(Intrusion Detection System) yazılımları, güvenli bir ağ altyapısı için switch’li yapılar, şube veya birimler de doğrudan Internet üzerinden değil de Sanal Özel Ağlar (VPN) kullanılarak internete çıkılması, haberleşmede bilgilerin şifrelenerek gönderilmesi (Cryptology) yöntemleri kullanılabilir. Bu çalışmada ağırlıklı olarak güvenlik sistemlerinin tanıtılması, bunların kullanım amaçları ve güvenli bir sistemin oluşturulabilmesi için bu sistemlerin etkin olarak nasıl kullanılabileceği açıklanmıştır.
    Anahtar Kelimeler :

    Bilgi güvenliği,Firewall,IDS,VPN,Cryptology


    Giriş:
    Ağ ve İnternet teknolojilerinin baş döndürücü gelişme hızı, yepyeni ağ uygulamalarının ortaya çıkmasına neden olduğu gibi mevcut uygulamaların ve sistemlerin de ağ teknolojileri ile entegrasyonu konusunda kurumları zorlayıcı nitelik göstermektedir. Bilgisayar ağlarının artan kullanımı ise, hiç kuşkusuz, biz bilişim teknolojisi (BT) kullanıcıları için yepyeni kolaylıklar ve fırsatlar doğurmaktadır. Üniversitelerde ders kayıtlarının ağ üzerinden gerçekleştirilmesi, İnternet üzerinden kredi kartı aracılığı ile alışveriş yapılması ve muhtelif belge paylaşım ortamları bu yeni kolaylıklar arasında bugün sıkça kullanılanlardan birkaçı olarak sayılabilir. Ancak BT kullanımının ayrık bilgisayar sistemlerinden birbirine bağlı ağ ortamlarına ve uygulamalarına doğru gidişi, pek çok alanda olduğu gibi bilgi güvenliği alanında da yepyeni endişeleri ve sorunları beraberinde getirmektedir. Doğrudan bilgi güvenliğini ilgilendiren bu yeni sorunlardan bazıları dağıtık erişim denetimleri, farklı ağlar arasında izolasyonların sağlanması, dağıtık verilerin bütünlüğünün korunması ve ağ üzerinden taşınan verilerin gizliliğinin sağlanmasıdır.


    FİREWALL

    Ağ güvenliği ile ilintili teknolojilere göz atıldığında, bu alanda en yaygın uygulaması bulunan teknolojinin güvenlik duvarları (firewall) olduğunu öne sürmek mümkün olacaktır.


    Firewall ingilizceden ateş duvarı olarak çevrilebilir.Aslında itfaiyecilerin kullandığı bir tabir olan Firewall kelimesinin nereden geldiğini anlatmak ne işe yaradığını daha iyi özetleyecektir. Binalarda yangın çıkması durumunda yanan bir odadaki alevlerin diğer odalara sıçramaması için özel oda duvarları yapılmıştır. Bu duvarlar ateşten etkilenmez ve ateşin yayılmasını büyük ölçüde önler. Bu duvarlara itfaiyecilerin verdiği isim ise Firewall'dur.
    İnternet güvensiz bir ağdır , onu güvensiz kılan paylaşımın fazlalığı ve insanın doğal yok etme içgüdüsüdür. Yerel ağdaki özel bilgileri internetin getirdiği risklerden yalıtmak isteniyorsa kullanılabilecek sistemlere de yukarıda anlatıldığı gibi Firewall denir. Bu bir ya da daha fazla ağ arasına yerleştirilen ve bu ağlar arasında belirlenen bir politika çerçevesinde izolasyon sağlayarak onları birbirinden yalıtan bir ağ bileşenidir.

    Birden fazla ağ parçası arasına kurulan Firewall sistemleri bu ağların yalıtılması işlemini gerçekleştirir. Bu ağlar internet , bayi ağı , müşteri ağı , hizmet alınan şirketlerin ağı yada yerel şirket ağı olabilir. Kullanım alanını sadece internet ile sınırlamak yanlıştır. Bu ağlar arası geçiş için çeşitli kural zincirleri ve erişim yetkileri belirlenir, böylece söz konusu ağlardaki kötü niyetli insanlardan etkilenme oranı büyük ölçüde düşer.Ağlar arası yetkilendirme göründüğü yada bahsedildiği kadarda basit bir kavram değildir. Bunun için çeşitli yöntemler uygulanmaktadır ve uygulanan yöntemler Firewall mimarilerini de çeşitlendirmektedir. Amacın sadece gelen paketi portuna, protokolüne veya geldiği yere bakarak filtrelemek olduğunu düşünmek bugün oldukça ilerlemiş olan Firewall sistemlerini yok saymak ile aynı düşüncedir. Çünkü bu sistemlerin farkları arasında statik olarak paket filtreleme , dinamik paket filtreleme (stateful inspection -stateful screenning) ve uygulama proxy (vekil sunucu) gibi mimari farklılıkları , donanım veya yazılım çözümü olmaları , üzerinde çalıştıkları işletim sistemleri sayılabilir.


    Firewall Nerelerde Gereklidir ?
    Çeşitli ağ parçalarının birbirleriyle iletişim kurmalarını kısıtlamak ve bir ağı veya sunucuyu korumak amaçlı olarak Firewall kullanılabilir. Bugün Firewall ihtiyaç olarak düşünülmelidir , çünkü gelişen teknoloji ve saldırı teknikleri sahip olunan bilgileri yeterince büyük bir risk altında bırakmaktadır. Kaldı ki bireysel olarak internete bağlanan kullanıcılarda bile güvenlik sağlamak önemli olmaktaysa ticari kurumlarda güvenlik çok daha ileride olmak zorundadır. Bireysel kullanıcılara her gün çeşitli trojan saldırıları, DOS atakları gerçekleşirken kurumsal kullanıcılara da çok daha fazla saldırı gerçekleşmektedir. Ağda doğru şekilde düzenlenmiş bir Firewall gerek hız gerekse de güvenlik sağlayacaktır. Tüm bahsi geçen saldırıları önlemek için öncelik Firewall sistemlerini düzenlemekten geçmektedir.Ağın dış dünyaya çeşitli kapılarla açıldığı unutulmamalıdır, eğer bu kapıların bazıları kapatılmazsa yada bu kapılardan gelen/giden paketler takip edilmezse davetsiz misafirleri ağda bulma olasılığı yükselir. Ağın ve bilgilerin mahremiyetini korumak için ilk ve en önemli bileşenlerden olan Firewall sistemleri saldırganları karşılayacak ilk sistem olması sebebiyle ciddi bir önem arz etmektedir. Eğer bir sunucu için yerel ağın erişim yetkileri düzenlemek isteniyorsa , güvenilmeyen ağların veya kişilerin ağa girişleri kontrol altına alınmak isteniyorsa ve çalışanların çeşitli ağlara erişimleri kısıtlanmak isteniyorsa Firewall bu amaçlar için ciddi bir gereklilik teşkil etmektedir.

    Firewall Mimarileri ve Farkları


    Günümüzde Firewall sistemleri genel olarak 3 ayrı yapı ile birbirlerinden ayrılmaktadırlar. Bu yapılar Firewall'lara çeşitli artılar ve eksiler kazandırmaktadır. İlk mimari, statik paket filtreleme teknolojisidir. Bu mimari eskimiş olmasına rağmen halen Linux IPChains gibi bazı Firewall sistemlerinde kullanılmaktadır. Gelen ve giden paketleri sadece geldiği yer, erişmek istediği port numarası , protokolü gibi değerleri ile inceler ve bu değerlerden paketin erişimine izin olup olmadığının saptamasını yapar. Örneğin bir http isteği eline geldiğinde erişmek isteği portun 80, protokolün TCP ve geldiği yerin 1.2.3.4 IP'si olduğunu görür ve içerideki sunucuya ulaşmasına izin verilmişse, bu paketin içerideki sunucuya gitmesine izin verir. Basit bir mimaridir. Günümüzde ticari Firewall sistemlerinde kullanılmamaktadır. En büyük zayıflığı paketleri ilk gönderen sistemi yani oturumu ilk başlatan sistemi saptayamıyor olmasıdır. Bu durum ciddi riskler oluşturmaktadır, kaynak portu taramaları ve bağlantıları bu risklere örnektir. Bir örnek ile incelemek gerekirse ağdaki bir çalışanın FTP portundan iletişim kurabilmesi için izin verilmiştir. Oturumun işleyişi ise önce çalışanın 21/TCP portunu hedef port olarak belirleyerek bir sisteme dosya isteği göndermesi ile başlar, hedef sistem, kaynağı portu 20/TCP olan paketler ile çalışana dosya transferi yapar. Böyle bir durumda saldırgan ağa kaynak portu 20/TCP olan bir paket gönderdiğinde Firewall sistemi bu paketi görecek ve içeriden bu pakete istek gelmeseydi bu paket gönderilmezdi mantığına dayanacak ve paketin içeriye girmesine izin verecektir.Firewall'un paketin hedef portuna bakmaması sebebiyle saldırgan kaynak portu 20/TCP olan paketlerle içerideki herhangi bir sistemin örneğin 139/TCP portuna ulaşabilecektir. Böylece Firewall üzerindeki erişim kontrol listeleri etkisiz kalacaktır. Bu sebeple oturumun baştan sona takip edilmesi , kimin ne istediği ve kimin ne gönderdiği bir tabloda tutulacak ve karşılaştırılacak bir sistem yaratılmıştır ; dinamik paket filtreleme sistemi - stateful inspection. Dinamik paket filtreleme mimarisindeki Firewall'larda yukarıdaki örnekte anlatıldığı gibi klasik paket filtrelemenin yanı sıra oturumu takip etme özelliği de vardır. Checkpoint firmasının ürettiği bu teknoloji yine bu firmanın tescilli markası olan Stateful Inspection ismiyle anılmaktadır. Günümüz Firewall sistemleri genelde bu sistem ile çalışmaktadırlar. Temel olarak TCP oturumları bir başı , ortası ve sonu olan oturumlardır. Hiçbir oturum başından veya ortasından kurulamaz. Bu durumda Firewall'lar kuralları sadece SYN flag'ıyla gönderilen paketlere (nereden gönderildiği önemli değil) uygular ve geriye kalan paketler oturumun tutulduğu tabloya bakılarak takip edilir. Böylece örneğin FIN veya SYN/ACK flag'lı paketlerin bir oturumun devamı olmadığından geçişi engellenebilir. Oturumun SYN flag'lı paketler ile başlayacağını düşünerek tasarlanan bu sistemin kuralları bu paketlere uygulaması oldukça mantıklı ve güvenlidir. Ayrıca TCP için olan bu oturum izleme işlemi ICMP ve UDP paketlerine de uygulanabilmektedir. Ticari olmayan ürünlerden IPFilter (*BSD) , ticari ürünlerden Checkpoint FW-1 , Netscreen , Cisco PIX gibi birçok Firewall bu teknolojiye dayanır.
    Ancak bu teknolojinin zayıflıkları da vardır, paketlerin içeriğini kontrol etmemeleri bu zayıflıklarının başlıca sebebidir, ayrıca FTP protokolünün proxy özelliğini desteklemesi ve bunun kötüye kullanım oranın oldukça fazla olması Stateful Firewall sistemlerinin en büyük dezavantajlarındandır.
    Proxy mimarisini destekleyen Firewall'larda ise oturum başlatan ve hedef arasında gerçekleşmez. Oturum açmak isteyen taraf isteği Firewall'a gönderir ve Firewall bu paketi hedefe ulaştırır, hedeften cevap yine Firewall'a gelir ve Firewall tarafından oturumu açmak isteyen tarafa iletilir. Oturum açıldıktan sonrada aynı şekilde devam eder. Böylece 2 sistem arası tamamen yalıtılır ve Firewall paketlerin gerek içeriklerine , gerek hedef ve kaynak portlarına gerekse de gönderenin IP adresine müdahale edebilir. Paketlerin içeriğini kontrol edebilme Proxy Firewall'ların en büyük artılarındandır, böylece istenmeyen komutlar (HTTP paketlerinde POST komutunun kullanılmaması gibi) veya içerik (Java , ActiveX gibi) filtrelenebilir. Özellikle FTP Protokolü kesinlikle proxy olarak hizmet vermelidir, aksi taktirde FTP protokolünün pasif FTP seçeneği ile saldırgan FTP sunucusundan içerideki sistemlere ulaşabilir, FTP Proxy kullanımı bu tür isteklerin Firewall tarafından filtrelenmesini sağlamaktadır. Stateful Firewall'lar gibi oturumu takip etmek zorunda değildir ; çünkü oturum zaten kendisi tarafından devam ettirilmektedir. Bu proxy'ler transparan (görünmeyen) proxy'ler olabileceği gibi normal proxy'lerde olabilmektedir. Yetersiz olduğu noktalara gelince araya girmesi ve paketleri kendisinin iletmesinin doğal sonucu olan yavaşlık ortaya çıkmaktadır. Ciddi bir yavaşlık olmamasına rağmen artan bağlantı sayısı ve yoğun ağlardaki veri trafiği , hızı olumsuz yönde etkilemektedir. Bu mimarilerin 2 veya daha fazlasını barındıran Firewall sistemleri de bulunmaktadır, bu sistemlere Hybrid sistemler denir. Bazı protokoller için proxy (Örneğin FTP, SMTP,HTTP) diğer protokoller için ise Stateful çalışabilen yada sürekli Stateful çalışabilen gereğinde proxy kullanılabilecek sistemlerdir. Yoğun

    ağlarda Stateful Firewall'lar , daha az yoğun yada güvenliğin önemli olduğu noktalarda Proxy Firewall'lar tercih edilmektedir.

    Örnek şekiller ile bu mimarilerdeki farklılıklar aşağıda gösterilmiştir.
    Şekil var
    Şekil.1 de statik paket filtrelemenin nasıl olduğu görülmektedir. PC 1.2.3.4 IP'li dosya sunucusunun 21/TCP portuna bağlanırken Firewall izin veriyor. Ancak 25/TCP portuna bağlanmak istediğinde Firewall izin vermiyor. Dosya sunucusu ise isterse kaynak portunu 20/TCP yaparak PC'ye istediği porttan ulaşabilir. Çünkü Firewall PC'nin bir isteğinin karşılığında bu paketlerin gönderildiğini düşünür.
    Şekil var
    Şekil.2 de ise dinamik paket filtreleme sisteminin nasıl işlediği görülmektedir. PC'nin isteklerinde sonuç değişmezken dosya sunucusunun kaynak portu 20/TCP olan paketi ise engellenmektedir.

    Şekil var


    Şekil.3 de ise proxy mimarisinin işleyişi görülmektedir. PC'nin istekleri Firewall'a gelmekte ve Firewall üzerinden dosya sunucusuna ulaşmaktadır, cevaplar ise yine Firewall üzerinden PC'ye ulaşmaktadır. Kaynak portu 20/TCP olan paketler için yine engelleme söz konusudur.

    ZAYIFLIK İNCELEME ARAÇLARI (VULNERABİLİTY ASSESSMENT TOOLS)


    Zayıflık inceleme araçları, bilgisayar sistemlerini ve ağ aktif cihazlarını inceleyerek doğrudan ya da dolaylı olarak güvenlik problemlerine neden olabilecek noktaları işaret etmeye çalışan yazılımlardır.Genel olarak bu yazılımlara inceleme öncesinde ağ üzerindeki kaynaklarla ya da ağ topolojisi ile ilgili herhangi bir bilgi verilmez. Sıfır ön-bilgi olarak nitelendirilen bu durumda, yazılımın ortalama ya da ortalamanın üstünde beceriye sahip bir saldırganın tespit edebileceği kadar zayıflığı tespit etmesi beklenir. Yazılımların bir eki olan zayıflık veri tabanları, anti-virüs yazılımları tarafından kullanılan tanım-dosyası benzeri bir yaklaşım çerçevesinde geliştirilmektedir; yeni zayıflıklara ilişkin bilgiler yazılıma sonradan zayıflık veri tabanı güncellemeleri yolu ile eklenebilmekte ya da istendiği taktirde kullanıcılar tarafından yeni zayıflık tanımları yapılabilmektedir.
    Zayıflık incelemesi alanında özellikle iki ticari ürün oldukça başarılıdır; Internet Security Systems (http://www.iss.net) firmasının Internet Security Scanner’ı ve Network Associates (http://www.nai.com) firmasının Cybercop Scanner’ı. Ticari alternatifleri kadar zengin zayıflık veri tabanlarına sahip olmasalar da kayda değer ve serbestçe dağıtılan zayıflık inceleme yazılımları arasında Nessus’u (http://www.nessus.org), Saint’i (http://www.wwdsi.com/saint) ve Sara’yı (http://www.www-arc.com/sara) saymak mümkündür. Bu yazılımları büyük ölçekli bir güvenlik denetimi çalışmasında kullanmak çok mümkün olmasa da, anılan teknoloji konusunda daha net bir fikir edinmek ve yaklaşımları anlamak bağlamında faydalı olacaktır.

    SALDIRI TESPİT SİSTEMİ(INTRUSİON DETECTİON SYSTEM)

    Saldırı tespit sistemleri, internet veya yerel ağdan gelebilecek ve ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşabilen saldırıları fark etmek üzere tasarlanmış sistemlerdir. Temel amaçları belirlenen kurallar çerçevesinde bu saldırıları tespit ederek mail , sms , snmp mesajları gibi araçlarla haber vermek ve gerekliyse bu saldırıyı önlemektir. Ticari yada ticari olmayan çeşitli yazılımlarla bu saldırı tespit sistemleri kurulmaktadır. Teknolojilerinin yeni olmasından dolayı , henüz tam olarak güvenilir sonuçlar üretememektedirler.


    Saldırı Tespit Sisteminin Önemi

    Günümüzde her gün binlerce sistem saldırıya uğramaktadır, bu saldırılardan bazıları ise maddi ve manevi kayıplara neden olmaktadır. Genel olarak bu saldırıların yapısı ve karakteristiği konusunda bir fikir ortaya atılamamaktadır. Bu durum saldırıların engellenmesi olasılığını da güçleştirmektedir. Saldırganlar bir sisteme saldıracakları zaman 2 genel yoldan birini benimseyebilir. İlk yol , bilgisi kısıtlı olan saldırganların tercih ettiği otomatize edilmiş araçlarla saldırıdır. İkinci yol ise uzman seviyesindeki saldırganların saldırdıkları hedefe göre değişebilen çeşitli yöntemler uygulaması sonucu oluşan saldırılardır. İlk tip saldırıları önlemek ikinci tip saldırılara göre daya kolaydır. Otomatize edilerek bu işleri yapan araçların çalışma mantıkları incelenir ve önlemler alınır ; ancak ikinci tip saldırılarda daha savunmasız kalınır. Çünkü belirgin bir hareket veya tarz yoktur, su gibi bardağın şeklini alabilen saldırganlar engellenebilirliği minimum seviyeye çekmektedirler.Bu durumda saldırı önleme yöntemleri de çeşitlilik ve heterojen bir görünüm kazanmıştır. Böylece yerel ağ ne kadar karmaşık olursa veya ne kadar bilinmedik yöntemler kullanılırsa saldırıların o kadar zor gerçekleşebileceği fikri oluşmuştur, büyük ölçüde doğru gibi görünmesine rağmen bir saldırganı durdurmak için kesinlikle yeterli değildir.Yerel ağı korumak amaçlı olan Firewall ve Anti-virüs gibi sistemler sadece ilk tip saldırganları engelleme imkanı sunmaktadırlar. Ancak günümüz Firewall'larının mimarilerinden kaynaklanan zayıflıklar, ayarlarından kaynaklanan hatalar , Firewall ile hiç alakası olmayan saldırıların Firewall tarafından önlenmesini beklemeler , Anti Virüsleri güncellemeyerek yeni virüslere davetiye çıkartmalar bu ilk tür saldırganların bile başarılı olabilmesine olanak tanımaktadır. Böylece güven hissiyle kahveler yudumlanırken saldırganlar sistemlerde rahatça gezebilir hale gelmektedirler.

    Korunmak için kurulan bu sistemlerin aslında saldırganları yavaşlattığını ve bu yavaşlama aşaması sırasında onları tespit edip yakalama imkanı sunduğu kabul edilerek güvenli olma yolunda ilk adımlar atılmış olabilir. Eğer bu sistemler saldırganları yavaşlatma amaçlı olarak kurulduysa düzenli olarak saldırı kayıtlarının incelenmesi de gerekmektedir. Bu durumda pasif olan Firewall ve Anti-Virüs sistemlerine ek olarak Saldırı Tespit Sistemleri de kurmak gereklidir. Böylece gerektiğinde aktif olabilecek bir savunma aracı da kazanılmış olur.


    Saldırı Tespit Sistemleri ile ağa yapılabilecek tüm saldırıları belirleme ve gerektiği durumda engelleme imkanı kazanılır. Düzenli olarak tuttukları kayıtlar incelenerek saldırganların neler yaptıkları ve hangi gruba dahil oldukları anlaşılabilir. Gerektiğinde kötü niyetli görülen isteklerin ağa girmesine izin verilmeyebilir. Bugün basitçe bir modem aracılığıyla internete bağlanan kullanıcıların sistemlerine bile girmek isteyenler varsa ve bu şekilde ki saldırılar yoğun olarak yaşanıyorsa kurumsal yapılara saldırmadığını düşünmek yanıltıcı olacaktır. En azından ücretsiz ve çok uğraştırmayan bir saldırı tespit sistemi kurularak şaşırtacak kadar fazla sayıda saldırı yakalanabilir.

    Saldırı Tespit Sistemlerinin İçerik Olarak Çalışma şekilleri

    Saldırı tespit sistemleri içerik olarak 2 ayrı prensipte çalışmaktadırlar. İlk yapıda Anti-Virüs sistemlerinde olduğu gibi oluşturulmuş çeşitli imzalar ile paketleri incelemek ve saldırıları saptamak hedeflenmektedir. İkinci yapıda ise sistemlerin ve ağın işleyişi belirli bir düzenle özdeşleştirilmiştir , bu düzende olabilecek herhangi bir normal dışı hareket saldırının tanımlanmasını sağlamaktadır.


    İlk tür saldırı tespit sistemleri günümüzde yaygın olarak kullanılmaktadırlar. Belirlenen çeşitli kurallar çerçevesinde ağ üzerinde yakalanan paketleri inceleme şeklinde çalıştıkları için her saldırının izlerinin tanımlanmış olması gereklidir. Genelde bu tür sistemlerde saldırıların çokluğu , her saldırı varyasyonu için ayrı kurallar koyma işi bir miktar zorlaştırmaktadır. Ancak ticari yazılımlarda otomatik olarak internetten her gün yeni saldırı imzaları indirilebilmektedir. Ticari olmayan yazılımlarda da benzeri bir durum geçerlidir ; örneğin snort için hergün White Hats ve Snort sitelerinde yeni kurallar bulunmaktadır.
    İkinci tür saldırı tespit sistemlerinde ise durum bir miktar daha akla yatkındır. Ağda yada çeşitli sunucularda düzenli olarak yapılmakta olan işlemleri takip ederler ve farklı yada olağandışı hareketler gördüklerinde ise rapor ederler. Örneğin , IIS web sunucusuna gelen ziyaretçiler %99 index.html dosyasını çağırıyor ise cmd.exe dosyasını çağıran biri hemen fark edilebilir. Ancak gerçek durum örnekte anlatıldığı kadar da parlak değildir. Çünkü bu tür sistemlerin normal olarak nitelendirilebilecek hareketleri öğrenmeleri oldukça fazla zaman almaktadır. Ayrıca bu hareketlerin zaman içerisinde değişebilirliği , kurulduğu sistemlerin yeniden yapılandırılması veya ağa yeni sistemler eklemek işi daha da zorlaştırmaktadır. Saldırı

    Tespit Sistemlerinin Yerleşim Olarak Çalışma şekilleri

    Saldırı tespit sistemleri yerel ağda çalıştıkları yere göre yine 2'ye ayrılmaktadırlar. Birinci grup Ağ Tabanlı sistemler olarak tanımlanır, yerel ağdaki tüm bilgileri yakalayabilen bir sisteme kurulurlar ve ethernet kartını promiscuous moda geçirerek ağdaki tüm trafiği dinlerler , saldırıları rapor ederler ve gerektiğinde bir sunucuya açılmakta olan oturumu engellerler. İkinci grup ise Sunucu Tabanlı sistemler olarak anılmaktadır, Ağ Tabanlı sistemler gibi tüm ağı değil de sadece üzerinde kurulduğu sunucuya gelip gitmekte olan verileri ve o sunucunun kayıt dosyalarını , işlemlerini incelerler.


    Ağ Tabanlı saldırı tespit sistemleri ağa yapılabilecek olası saldırıları raporlamak üzere tasarlanmıştır. Ağdaki yakalayabildiği tüm paketleri incelerler ve ağa giriş izni olup olmadığına karar vererek haber verirler. Kuruldukları sistemde dinleyecekleri ağ sayısı kadar kaliteli ethernet kartı bulunmalıdır. Genel olarak posix tabanlı sistemlerde yada kendi özel işletim sistemlerinde çalışmaktadırlar. Ciddi bir performans kaybı söz konusu olabildiği için Windows tabanlı sistemler tercih edilmemektedir. Ağ parçalarını dinlerken bazı saldırı tespit sistemleri tek bir sistem ile bu işlemi tamamlarlar, bazı sistemler ise her ağ parçasını kendisinden farklı her biri agent (yardımcı) olarak adlandırılan sistemler ile dinlemektedir. Böyle durumlarda örneğin 5 yardımcı lisansı ile gelmektedirler. Her yardımcı 1 veya 2 ağ parçasını dinleyebilir özelliğe sahiptir.Sunucu Tabanlı saldırı tespit sistemleri ise çeşitli özel sunuculara yüklenerek , o sunucuya yönelik saldırıları tespit etmek veya önlemek şeklinde çalışırlar. Bulundukları sistemlerin konfigürasyon dosyalarını izlemeye almak , sistem ile ilgili kayıtların tutulduğu dosyaları izlemeye almak , o sistemin bütünlüğünde meydana gelebilecek değişiklikleri incelemek ve sisteme yönelik kötü niyetli kullanımları engellemek görevlerinden başlıcalarıdır. Kuruldukları sistemlere tam olarak uyum sağlayabilmeleri konusunda zorlukları vardır. İşletim sistemlerinin doğası gereği birbirleriyle uyumluluk göstermeleri nadirdir ve bu durum saldırı tespit sistemlerinin o işletim sistemine özel yazılmış olması , o sistemin zayıflıklarına uygun yapılandırılmış olması gibi zorunlulukları ortaya çıkarmaktadır. Özel bir sunucu yazılımı için üretilmiş olanları da vardır.


    Saldırı Tespit Sistemlerinin Yararları

    • Ağda olası saldırıları saptamada ve engellemede en büyük yardımcılardır.

    • Saldırganları yavaşlatan Firewall ve diğer önlemlerin kazandırdığı önemli zamanı bu sistemlerin tuttukları kayıtları incelemek ve düzenli saldırıları saptamak için harcaya yardımcı olurlar.

    • Yerleştikleri sistem gereği gerek sunuculara özel gerek tüm ağa özel koruma sağlamaktadırlar.

    • Firewall ve Router gibi pasif güvenlik araçları değildirler, aktif olarak raporlama, engelleme ve öğrenme gibi artıları sunmaktadırlar.

    • Ürettikleri sonuçlar ile potansiyel olarak tehlike arz eden güvenlik zaafları saldıranların tepkilerinden belirlenebilir.Gerekiyorsa bu sonuçları değerlendirerek çeşitli önlemler alınabilir.

    • Gelen saldırıların karakteristiğini saptama ve ağırlık verilmesi gereken noktaları daha gözle görülür biçimde görme imkanı sunarlar.


    VERİ MADENCİLİĞİ İLE SALDIRI TESPİTİ

    Saldırı tespiti konusu server üzerinde veya ağ cihazları üzerinde yapılabilmektedir. Ağ cihazları üzerinde saldırı tespiti yapan sistemler cihazdan gönderdikleri bilgi ile saldırının nereden ve kimden geldiğinin bulunmasına yarar. Server üzerinde yapılan saldırı tespiti çalışmalarında ise server olan makinede toplanan bilgilerle bu işlem yapılır.

     

    Veri madenciliği adı verilen teknik saldırı tespiti içinde kullanılabilmekte ve saldırganın tanınmasında başarılı sonuçlar vermektedir. Server üzerinde tutulan log dosyaları yapılan bağlantı ve istek bilgilerini tutarlar. Bu dosyalarda her tür bağlantı bilgisi tutulduğundan yapılan saldırı amaçlı bağlantılarda bulunabilir.



     

    Hazırlanan yazılımlar sayesinde servera yapılan bağlantı sıklıklarından veya serverdan istenen dosya tiplerinden bir saldırı olayının olup olmadığı ve saldırıyı yapanın kim olduğu rahatça bulunabilir.

     

    Veri madenciliği tekniklerinden sınıflandırma ve kümeleme saldırganı tanıma maksatlı kullanılabilir. Ayrıca saldırılar bazen istisna durumlar olarak ortaya çıktıklarından istisna saptanması uygulaması olarak ta sonuç elde edilebilir.



     

    Kütüphane Web Sitesinde Saldırı Tespiti


     

    Web üzerinde bulunan bilgi ve hizmetler her zaman saldırıya açık vaziyettedirler. Alınan güvenlik önlemleri ise savunma amaçlı çalışmalardır. Saldırıyı yapan kişi veya kişilerin tespiti güvenlik açısından önemli bir faydadır. Saldırının kimlerden ve nerelerden geldiği bilindiği takdirde daha akılcı önlemler alınabilecektir.

     

    Web üzerinde hizmet veren bütün sitelerde web kullanım madenciliği yapılabilir ve her biri sistemin işleyişine yardımcı bilgiler üretir. Web kullanım madenciliği yapılabilecek yerlerden biride kütüphane web siteleridir. Kütüphane web sitelerine yapılabilecek saldırılar web kullanım madenciliği yapılarak bulunabilir. Kullanıcı davranışları bulunurken saldırgan kullanıcı davranışı da bulunmuş olur.



     

    Web kullanım madenciliği ile saldırı tespitinin yapılması


     

    Saldırı tespiti yapılırken kullanılabilecek tekniklerden birisi kullanıcıların kümelenmesidir. Kümelemede kullanıcılar genel özelliklerine dayalı olarak grublara ayrılırlar [9]. Benzer özellikleri taşıyan kullanıcıları kümelemek stratejik açıdan önemli bir veri madenciliği işidir.

     

    Kullanıcılar kabaca iyi kullanıcılar ve iyi olmayan (saldırgan) kullanıcılar gibi iki gruba ayrılabilir. Erişim yapılan dosyaların niteliği bir bakıma erişimi yapan kullanıcılarında niteliğini ortaya çıkarmaktadır. Örneğin, katalog tarama hizmeti gibi bir hizmeti kullanan kullanıcıyla site tanıtım bilgilerine gözatan kullanıcı aynı nitelikte değildir. Birisi sadece ziyaret maksadıyla siteye uğramışken diğeri bir iş yapmak amacıyla siteye uğramıştır.



     

    Web log dosyaları derinlemesine analiz edildiğinde, web sitesinden üç tipte dosyanın istendiği ortaya çıkmıştır.

     


    • Herhangibir işlevi olan dosyalar (genellikle .asp uzantılı dosyalar ile veritabanlari.htm)

    • Bilgi amaçlı dosyalar (genel.htm veya personel.htm gibi dosyalar ve resimler)

    • Sitede olmayan dosyalar (exe ve dll uzantılı ve siteye saldırı amaçlı dosyalar)

    Herhangi bir işleve sahip olan dosyaları isteyen kullanıcılar, kullanım yoğunluklarına göre iyi, daha iyi, en iyi şeklinde gruplandırılabilir.

     

    Bilgi amaçlı dosyaları isteyen kullanıcılara potansiyel iyi kullanıcı gözüyle bakılabilir. Bilgi amaçlı dosyalar eğer iyi hazırlanmışsa siteye iyi kullanıcı kazandırmakta önemli bir işleve sahip olabilir.



     

    Bazı kullanıcılar ise sitede olmayan dosyalara istekte bulunmaktadır. O tip kullanıcıların amacı web sunucu üzerindeki boşluklardan faydalanarak sistemi çalışmaz hale getirmektir. Bu tip dosyaları isteyen kullanıcılar tehlikeli veya saldırgan kullanıcı olarak tanımlanabilir.

     

    Yapılan çalışmada kullanıcılar, erişim yaptıkları dosya adetlerine göre puanlandı ve almış oldukları bu puanlara görede değerlendirildiler.



     

    Hazırlanan yazılım ile elde edilen verilerden bazıları aşağıdadır.


    Şekil var
    Bu verilere dayanarak puanlama yapıldığında 2, 3 ve 4 numaralı bilgisayarların hacker bilgisayarları olduğu ortadadır. Yoğunluk testi ile de aynı bilgisayarların hackerlara ait olduğu bulunabilmektedir.

     

    Hitlerden elde edilen katsayılar ile dosya niteliklerinden elde edilen birim puanların belli bir işlemden geçirilmesi sonucu elde edilen puanlar ile kullanıcılar benzer grublar halinde toplanabilir ve böylece kümelenmeleri mümkün hale gelmiş olur.



     

    Birim Puanlar


    Şekil var

    Hesap Edilmiş Puanlar

    Şekil var


    Bu sonuçlara göre 1. ve 5. bilgisayarlar benzer gözatma etkinliği gösterirken, 2., 3. ve 4. bilgisayarlarda kendi aralarında benzer gözatma etkinliği göstermişlerdir.

     

     



     

    Veri madenciliği elde bulunan veriden iş akışına faydalı bilginin açığa çıkarılması için kullanılmaktadır. Web üzerinde iş yapan kullanıcılar gözatma etkinlikleri sayesinde sunucuya veri sağlarlar. Bu veriler sunucu üzerinde günlük dosyalarında tutulur.

     

    Hizmetin kalitesi üzerinde veri madenciliği tekniklerinden faydalanıldığı kadar hizmetin devamı konusunda da veri madenciliği tekniklerinden faydalanılır. Hizmetin devamı için hizmet devamlılığını sekteye uğratacak zararlı etkilerin tespiti ile devamlık sağlanabilmektedir.



     

    Çeşitli tekniklerle yerine getirilen saldırı tespitinde veri madenciliğinin önemli bir yeri bulunmaktadır. Bir elektronik ticaret sitesi için en iyi müşteri veri madenciliği sayesinde bulunabildiği gibi bir hacker da aynı yöntemlerle bulunabilir (kötü kullanıcı).


    KRİPTOLOJİ

    Şifreleme (Encryption), Veriyi bir anahtarla şifrelemeye verilen addır. Hedef, veriyi, gerekli anahtar olmadan çözülebilmesi imkansıza mümkün olduğunca yakın şekilde kodlamaktır. Şifre Çözme ise (Decryption) şifrelenmiş veriyi çözüp eski haline getirme işlemidir. Kriptolojide en çok kullanılan kelimelerden olan anahtar ise bir metni şifrelemekte veya açmakta kullanılan veri parçasına (sayı, kelime veya herhangi bir sayısal veri parçası) verilen isimdir.


    Başlangıcı itibariyle daha çok askeri uygulamalarda kullanıl­mış. Günümüzde ise İnternet uygulama­larının hız kazanması kriptografinin Web güvenliği alanında uygulanabilirliğini kanıtladı. Özellikle elektronik ticaret, online banka işlemleri gibi birçok dina­mik uygulamada bilginin saklanması şart. Kriptografi bu anlamda en uygun teknikleri öneriyor.
    Verinin şifrelenmesi nasıl yapılıyor? Ori­jinal verinizin şifrelenmesi için bir algorit­maya, bir de anahtara ihtiyacınız var. Al­goritma aslında hangi şifreleme yöntemi­ni kullandığınızı gösteriyor. Kriptografi al­goritmaları kabaca iki grupta toplanabilir: Kısıtlı algoritmalar, anahtar tabanlı algo­ritmalar. Kısıtlı algoritmaların güvenilirliği algoritmanın kendisi saklı kaldığı müddetçe geçerli. Anahtar tabanlı algoritmalarda ise tam tersine algoritmanın yapısı saklı değil. Herkes tarafından bilinebilir. Saklı olan şifreleme için kullanılan anahtarın kendisi. Algoritma açıkça bilinse de anah­tar gizli olduğu için algoritma çıktısı (şif­relenmiş veri) gizli olmuş oluyor. Kısıtlı al­goritmalar büyük işletmeler için uygun bir şifreleme yöntemi değil. Kullanılan algo­ritmayı bilen birinin işten ayrılması veya kazara algoritmanın açığa çıkması duru­munda sistemin yeni bir algoritmaya göre yeniden güvenliğinin sağlanması gerekli. Bu da işletmenin büyüklüğüyle orantılı olarak artan, başlı başına hacimli bir iş. Bu nedenle işletmeler güvenliğin sağlan­masında anahtar tabanlı algoritmaları ter­cih etmekteler.
    Anahtar tabanlı algoritmalarda bir veri şifreleneceği zaman şifreleme anahtarı kullanılır. Şifre çözüleceği zaman ise kar­şılık gelen şifre çözücü anahtar kullanılır. Bu anahtarın gizli tutulması son derece kritik çünkü bu anahtarı eline geçiren her­hangi biri bütün verileri/mesajları çözebi­lecektir. Esasen şifreleme ve şifre çözme işlemleri oldukça kolay. Zor olan ise anahtarların güvenli bir şekilde saklanıp, gerekli olduğunda yine güvenli bir şekilde ilgili şahıslara gönderilmesi.
    Kriptografi literatüründe değişik şifre­leme algoritmaları mevcut. Bunla­r:


    SİMETRİK ANAHTAR ALGORİTMALARI

    Şekil var


    Bu tür şifrelemede şifreleme ve şifre çözme için aynı anahtar kullanılır. Anahtarın saklı tutulmasından ötürü bu tür algoritmalara "gizli anahtar" algo­ritmaları da denilmekte. Bu algoritma­ların avantajı basit ve kolay uygulana­bilir oluşu. Aynı zamanda bunlar hızlı ve verimli. Ancak bu algoritmaların en zayıf tarafı şifreleme ve şifre çözme için aynı anahtarın kullanılıyor olması. Tek bir anahtarın güvenliği nasıl sağlanabi­lir? Diğer şahıslara bu anahtar güvenli olarak nasıl gönderilebilir? Kendi içinde tekrar eden bir durum, ilaveten diğer şahısların anahtarı gizli tutacağından nasıl emin olabilirsiniz? Dolayısıyla bu algoritmalar daha çok paylaşımın ol­madığı durumlarda uygun. Bilgisayarı­nızdaki dosyaların veya sabit diskinizin şifrelenmesi gerektiğinde rahatlıkla kullanılabilir.

    Literatürde bilinen bazı simetrik anah­tar algoritmaları şunlar:


    DES (Data Encryption Standard): IBM tarafından geliştirilen DES 1977 yılında Amerikan hükümeti tarafından resmi bir standart olarak kabul edildi. En meşhur kriptografi algoritmalarından olan DEŞ yayınlandığı günden itibaren sayısız sal­dırılara uğradı. Bu girişimlerden bir kıs­mı başarılı oldu. Şifreleme için DEŞ 56 bit anahtar kullanıyor.
    IDEA (International Data Encryption Algorithm): Bu yöntem DES’e kıyasla iki kat daha hızlı ve oldukça yüksek güven­lik sağlıyor. Şimdiye dek üretilen en hızlı ve en güvenilir algoritma olduğu düşünü­lüyor. 128 bit anahtar kullanıyor.
    RC5 (Rivest Cypher version 5): RSA gru­bu tarafından geliştirilmiş anahtar uzun­luğu değişken bir yöntem. Anahtar uzun­luğu 56, 64 veya 128 bit olabilir. Blowfish: Bruce Schneier tarafından yazılmış algoritma orta düzeyde hıza sa­hip. Güvenilirliği ise yüksek. Anahtar uzunluğu 32 ile 448 bit arasında değişi­yor.

    ASİMETRİK ANAHTAR ALGORİTMALARI


    Şekil var
    Bu algoritmalara "açık anahtar algoritma­ları" da deniliyor. Anahtarın güvenlik problemi bu algoritma sayesinde çözülü­yor. Çünkü şifreleme için ve şifre çözme için iki ayrı anahtar kullanılıyor. Şifreleme için kullanılan anahtar açık, alenen bili­nen bir anahtar (public key). Ancak şifre çözmede kullanılan anahtar ise gizli (pri-vate key). Gizli anahtar kimseye verilmi­yor. Açık anahtar ise bilakis rahatlıkla herkese dağıtılabiliyor. Her iki anahtar da ne kadar uzun olursa şifrenin kırılma ih­timali o kadar zayıflıyor. Algoritmanın bir kısıtlayıcı yönü fazla CPU işlemi gerektir­mesi. CPU yoğun başka işlerin tamamlan­ması gerektiği zamanlarda ciddi perfor­mans problemlerine sebebiyet verebilir.
    Asimetrik anahtar algoritmaları daha çok verinin paylaşılması veya verinin netvwork üzerinde dolaşması gereken ortamlarda veriyi şifreleme amacıyla kulla­nılmakta. Algoritmanın ardında yatan şif­releme mantığına bir örnekle bakalım: Varsayalım bir iş yerinde bu tür bir şifre­leme uygulanmakta. Bu durumda herke­sin kendine ait bir açık ve gizli anahtarı olacaktır. Ayrıca herkes başkalarının açık anahtarlarını da bilecek. Hattâ bu, liste halinde ellerinin altında olacak. Diyelim ki Bay X, Bay Y’ ye bir mesaj göndermek istiyor. Bu durumda X, Y'nin açık anahta­rına listeden bakacak, mesajı Y'nin açık anahtarıyla şifreleyecek ve gönderecek. Mesaj Y'nin eline ulaştığında Y, kendi gizli anahtarını kullanarak mesajı açabi­lecek. Bu, son derece güvenli bir yön­tem. Çünkü Y'nin gizli anahtarı sadece Y'de bulunduğundan başkalarının mesa­jı açması mümkün değil. Tabii Y gizli anahtarını kaybetmediği sürece...
    En meşhur asimetrik anahtar algorit­ması Ron Rivest, Adi Shamir ve Len Adleman tarafından tasarlanmış ve 1977'de patenti alınmış olan RSA. Algo­ritma, tasarımcılarının ismini taşıyor.

    ,

    VPN-SANAL ÖZEL AĞ

    İki ağın yada 2 sistemin arasındaki veri trafiğinin bir sniffer ile dinlenememesi için trafiği

    şifreleyen ve internet gibi güvenilmeyen bölgeden bile güvenilir veri akışı sağlayan sistemlerdir. Farklı platformlarda, donanım yada yazılım olarak yapılabilir ; önemli olan hızı mümkün olduğunca az etkilemesi , desteklenen şifreleme standartları, performans ve lisans ücretleridir. Loglarının düzenli olarak incelenmesi gerekir. Ayrıca veriyi şifrelerken aslında girilebilecek bir kapı da açtığından harici onaylama yöntemleri (RADIUS, SecureID gibi) kullanılabilir.

    İÇERİK FİLTRELEME YAZILIMLARI

    Çalışanlarınızın internetten yeterince faydalanması bazen iş verimini düşürmektedir. Bazen girilmesini istemediğiniz, şiddet , oyun ve siyaset sitelerini engellemek isteyebilirsiniz. Bu durumda içerik filtreleme yazılımları kullanılmalıdır. Genelde bir veritabanı tutup sürekli güncelleyerek size geniş bir seçim yelpazesi sunar. Seçimliktir, gerekliliği tartışılabilir, belirleyici olan unsurları lisans bedelleridir.


    AĞ İZLEME ARAÇLARI

    Ağ da neler olduğunu anlamak için çesitli programlar kullanılabilir. Trafiğin ağırlıklı bölümünü hangi servislerin kullandığı , elemanlarınızın önemli dökümanları şifreleyerek gönderip göndermediği ve içerideki elemanlarınızın ağı meşgul eden saldırılar yada bilinçsiz kullanımlar yapıp yapmadığını görmek için sniffer denilen bu programlar kullanılır. Genelde sorun giderme amaçlı kullanılır. En ünlüsü NAI`in Sniffer ürünüdür. Ağ yöneticilerinin en temel yardımcılarıdır.



    RAPORLAMA ARAÇLARI

    IDS , Otomatik Açık Tarayıcıları , VPN , Sniffer ve Firewall`ların loglarını daha anlaşılır kılarlar.Düzenli raporlar ile ihtiyacınız olan bilgileri saptayıp tüm logları incelemenizi engellerler. Genelde yöneticilerin önemli yardımcılarındandır. Webtrends ve Crystal Reports en ünlüleridir. Logları düzenli incelenmeyen IDS ve Firewall`lar ancak sizi %20 koruyabilir, esas amaç olan sistematik saldırıları ancak tutulan kayıtlardan fark edebilirsiniz.




    MAIL ŞİFRELEME ARAÇLARI

    PGP , NAI`nın en ünlü ürünlerindendir. Tüm posta ve dosya transferlerini şifreli olarak yapar sadece gönderdiğiniz kişideki anahtar bu şifreleri açabilir. Her işletim sistemi için ve neredeyse her posta programı için sürümleri mevcuttur. Ticari, Ticari olmayan ve Açık kodlu versiyonları mevcuttur.


    Sonuç:

    Neler yaptığımızı ve hangi bilgi sistemleri altyapısını nasıl oluşturduğumuzu bilirsek almamız gereken önlemleri de düzenli olarak saptama imkanımız olmaktadır.


    • Müşterilerinizi yada merkezlerinizi internet üzerinden birleştirmek istiyorsunuz ama güvenli olsun diyorsunuz ; VPN (Virtual Private Network - Sanal Özel Ağ) çözümleri kullanmalısınız.

    • Önemli yazışmalarınızı e-posta ile yapıyorsunuz , sadece göndereceğim kişi okusun diyorsunuz ; e-maillerinizi şifrelemelisiniz.

    • Çalışanlarınızın istemediğiniz sayfalara girdiğini görmek istemiyorsunuz ve bu şekilde ağ trafiğinizi arttırmalarını istemiyorsunuz ; Content Filter (İçerik Kontrol) çözümleri kullanmalısınız.

    • Ağınıza istemediğiniz kimselerin girmesini istemiyorsunuz, çalışanlarınızın da internette sizin izniniz olmayan hizmetlerden yararlanmasını istemiyorsunuz ; Firewall çözümleri kullanmalısınız.

    • Web sayfanız var , Posta sunucunuz var , Veritabanı Sunucunuz var ve bunları korumak istiyorsunuz ; Firewall kullanmanız yeterli değil, tüm yazılımları elden geçirmeli , yamalarınızı güncel olarak takip etmeli ve uygulamalısınız.

    • Ağınızın toplam güvenlik bütülüğünü belirlemek ve bu şekilde ağınızda olası tehlikeleri saptamak istiyorsunuz ; Firewall, sunucularınız ve ağınızın tamamının güvenliğinin devamlılığını görmek istiyorsunuz ; otomatik açık tarama araçlarını kullanmalı ve düzenli olarak ağınızı elden geçirmelisiniz.

    • Önemli görüşmelerinizi internette yapıyorsunuz ve güvenli olsun diyorsunuz; VPN çözümleri kullanmalısınız hatta bu görüşmeleri şifreli yapan programları kullanmalısınız.

    • Size kimlerin saldırdığını görmek istiyorsunuz, saldırıların içeriden mi dışarıdan mı geldiğini belirlemek istiyorsunuz ;IDS (Intrusion Detection System - Saldırı Tespit Sistemi) çözümlerini kullanmalısınız.

    • Siz ve çalışanlarınıza hergün yüzlerce mail geliyor, ayrıca çalışanlarınız her ay dergilerden programlar bulup bilgisayarlarına yüklüyor virus bulaşırsa diyorsunuz ; Anti-Virüs sistemleri kurmalı düzenli güncellemeli ve ağınızın tamamını incelemelere dahil etmelisiniz.

    • Çalışanlarınızın bir kısmına notebook verdiniz , dışarıdan da çalışmalarına devam ediyorlar ve sizin ağınıza girerek çeşitli görevlerini yerine getiriyorlar ; kesinlikle VPN kullanmalı mümkünse RADIUS, SecureID ve Tokenlar gibi harici onaylama sistemleri kullanmalısınız. Ayrıca çalışanlarınızın sistemine girebilecek kişilerin sizin sisteminize sızabileceğini düşünerek kişisel güvenlik ürünlerinin de kullanımı tavsiye edilir.

    • Ağınızda ve sunucularınızda neler olduğunu düzenli görmek, yöneticilerinizin neler yaptığını bilmek istiyorsunuz ; Raporlama yazılımları kullanmalısınız ve bu raporları düzenli olarak inceleyecek kişileri görevlendirmelisiniz.

    • Şirketinizde kötü niyetli insanlar var mı ? ağınıza zarar verir mi ? ağınız gereksiz trafiklerle meşgul ediliyor mu ? görmek istiyorsunuz ; Sniffer kullanmalısınız.

    Kaynakça:

    1. Secure Computers and Networks Analysis,Design ,and Implementation,1999

    2. Actıve Defense, Chrıs Brenton,2001

    3. Cısco Ios Network Securıty,1998

    4. Managıng Cısco Network Securıty, Mıchael J. Wenstrom,2001

    5. Saldırı tesbit Sitemleri ,Fatih ÖZSAVCI

    6. Firewall,Burak DAYIOĞLU

    7. http://www.packetfactory.net

    8. http://securityfocus.com

    9. http://www.snort.org

    10.http://www.whitehats.com

    11.http://dikey8.com.tr



    12.http://www.siyahsapka.com

    13.http://linux.org.tr






        Ana sayfa


    BiLGİ GÜvenliĞİNİn sağlanmasinda kullanilan yöntemler ve bunlarin etkin kullanimi

    Indir 80.54 Kb.