Ağ Temelleri

13 - Bilgi ve Ağ Güvenliği

Emre Can Yılmaz
[email protected]

Ondokuz Mayıs Üniversitesi

2024

Bilgi Güvenliği

  • Bilgi güvenliği, bilgilerin izinsiz kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden, bilgilere hasar verilmesinden koruma, veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemidir.

Ağ Güvenliği

  • Ağ güvenliği konusu, ağ sisteminin doğrudan kendisine veya sahip olunan kaynaklara, yetkisiz ve kötü amaçlı erişimleri engelleme, verinin aktarımı sırasında mahremiyetini sağlama, ayrıca veri bütünlüğü ve kimlik doğrulama gibi gereksinimleri karşılamayı hedefler.

Tehdit Türleri

  • Dahili Tehdit Unsurları:
    • Bilgisiz ve Bilinçsiz Kullanım
    • Kötü Niyetli Hareketler
  • Harici Tehdit Unsurları:
    • Hedefe Yöneltilmiş Saldırılar
    • Hedef Gözetmeyen Saldırılar

Dahili Tehdit Unsurları

Bilgisiz ve Bilinçsiz Kullanım

  • Temizlik görevlisinin sunucunun fişini çekmesi.
  • Eğitilmemiş çalışanın veritabanını silmesi.

Kötü Niyetli Hareketler

  • İşten çıkarılan çalışanın, kuruma ait web sitesini değiştirmesi.
  • Bir çalışanın, ağda “sniffer” çalıştırarak e-postaları okuması.
  • Bir yöneticinin, geliştirilen ürünün planını rakip kurumlara satması.

Harici Tehdit Unsurları

Hedefe Yöneltilmiş Saldırılar

  • Bir saldırganın kurum web sitesini değiştirmesi.
  • Bir saldırganın kurum muhasebe kayıtlarını değiştirmesi.
  • Birçok saldırganın kurum web sunucusuna hizmet aksatma saldırısı yapması.

Hedef Gözetmeyen Saldırılar

  • Virüsler:
    • Kendini başka dosyalara veya programlara bulaştırarak yayılan kötü amaçlı yazılımlardır.
    • Yayılmak için kullanıcının virüslü dosyayı çalıştırması veya açması gerekir.
    • Bilgisayarlarda dosyalara zarar verebilir, sistemi yavaşlatabilir veya çökertebilir, bilgi çalabilirler.
  • Worm’lar (Solucanlar):
    • Kendini kopyalayarak ağlar üzerinden otomatik olarak yayılan kötü amaçlı yazılımlardır.
    • Yayılmak için kullanıcı etkileşimine ihtiyaç duymazlar.
    • Ağ trafiğini tıkayarak sistemleri yavaşlatabilir veya hizmet veremez hale getirebilirler.
  • Truva Atları (Trojans):
    • Yararlı veya zararsız bir program gibi görünen, ancak arka planda kötü amaçlı işlemler gerçekleştiren yazılımlardır.
    • Kullanıcılar, Truva Atı’nı genellikle bilmeden ve isteyerek çalıştırır.
    • Truva Atları, bilgisayarda arka kapılar (backdoor) açarak saldırganların sisteme uzaktan erişmesini sağlayabilir, veri çalabilir, veya diğer zararlı yazılımları yükleyebilir.

Saldırgan Türleri

  • Profesyonel suçlular
  • Genç kuşak saldırganlar (Script Kiddies)
  • Kurum çalışanları
  • Endüstri ve teknoloji casusları
  • Dış ülke yönetimleri

Saldırgan Motivasyonu

  • Maddi menfaatler
  • Rekabet avantajı (politik, ekonomik/ticari)
  • Ek kaynaklara erişme isteği
  • Kişisel öfke veya intikam
  • Merak veya öğrenme isteği

Ağda Bulunan ve Potansiyel Risk İçeren Sistemler

Saldırı Yöntemleri

  • Hizmet Aksatma Saldırıları (DoS, DDoS)
  • Ticari bilgi ve teknoloji hırsızlıkları
  • Web sayfası içeriği değiştirme saldırıları
  • Kurum üzerinden farklı bir hedefe saldırmak
  • Virüs, Worm, Trojan saldırıları
  • İzinsiz kaynak kullanımı

Saldırılarda Sıkça Kullanılan Teknikler

  • Sosyal Mühendislik
  • Ağ Haritalama
  • Uygulama Zayıflıkları
  • Yerel Ağ Saldırıları
  • Spoofing
  • Hizmet Aksatma Saldırıları (DoS, DDoS)
  • Virüs, Worm, Trojan kullanımı

Sosyal Mühendislik

  • İnsan ilişkilerini veya insanların dikkatsizliklerini kullanarak kurum hakkında bilgi toplamak olarak tanımlanabilir.
  • Amaç kurum yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.
  • Örnek: Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis ya da destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak.

Sosyal Mühendislikten Korunma Yöntemleri

  • Telefonda kuruma ait bilgiler, karşıdaki kişinin doğru kişi olduğuna emin olmadan verilmemelidir.
  • Çalışanları kuruma dahil ederken özgeçmişleri, alışkanlıkları ve eğilimleri mutlaka incelenmelidir.
  • Kurum çöpleri (büro malzemeleri, not kağıtları, bordolar vb.) tamamen kullanılmaz hale getirilmeli daha sonra atılmalıdır.
  • Sistem yöneticilerinin, kurumsal bilgileri posta listelerinde, arkadaş ortamlarında ve benzeri yerlerde anması önlenmelidir.
  • Önemli sunuculara fiziksel erişimin olduğu noktalarda biometrik doğrulama sistemleri (retina testi, parmak izi testi vb.) ve akıllı kart gibi harici doğrulama sistemleri kullanılmalıdır.

Örnek Olay: Kevin Mitnick

Ağ Haritalama

  • Hedef ağda bulunan bileşenleri ve bu bileşenlere erişim haklarını saptamak için yapılmaktadır.
  • Aktif sistemlerin, işletim sistemlerinin, servislerin belirlenmesi ve konumlarının saptanması gibi aşamalardan oluşur.
  • Saldırgan, hedef ağın yöneticisi ile aynı bilgi seviyesine ulaşana kadar bu süreç devam eder.
  • Otomatize edilmiş yazılımlar ile yapılabilmektedir.

Ağ Haritalamada Kullanılan Teknikler

  • Sosyal Mühendislik
  • Ping Taraması (Ping Sweep)
  • Port Tarama (Port Scanning)
  • İşletim Sistemi Saptama (OS Fingerprinting)
  • Yol Haritası Belirleme (Tracerouting)
  • Saldırı Tespit Sistemi Saptama/İnceleme

Ağ Haritalama – Önleme Yöntemleri

  • Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek kurallar belirlemek.
  • Güvenlik Duvarını uygulama seviyesinde kullanmak veya ağdaki işletim sistemlerini ele vermeyecek şekilde yapılandırmak.
  • Güvenlik Duvarı üzerinde, ağdaki bileşenlerden, internetteki sistemlere ICMP hata mesajları gönderilmesini engellemek.
  • Sunucu ve servis sunan uygulamalardaki tüm açılış/hata mesajlarını değiştirmek, yok etmek.
  • Saldırı Tespit Sistemlerini (IDS) gerekli olmadıkça tepki vermeyecek şekilde yapılandırmak.

Uygulama Zayıflıkları

  • Servis sunan uygulamalardaki yapılandırma veya programlama hatası sebebiyle oluşur ve sistemde komut çalıştırmaya ya da servisin durdurulmasına sebebiyet verir.
  • Örnekler:
    • Varsayılan yapılandırmayı kullanmak
    • Zayıf şifreler belirlemek
    • Erişim hakları belirlememek
  • Sık Karşılaşılan Hatalar:
    • Klasör dışına geçebilmek
    • Bellek taşması (buffer overflow)
    • Yazılımda erişim sınırlaması bulundurmamak
    • Normal dışı isteklere karşı önlem almamak

Uygulama Zayıflıkları – Önleme Yöntemleri

  • Uygulamaların yeni sürümlerini kullanmak, yayınlanan tüm yamaları uygulamak.
  • Varsayılan yapılandırmayı değiştirmek ve kuruma/servise özel bir yapılandırma benimsemek.
  • Kolay tahmin edilemeyecek şifreler seçmek ve uygulamaya özel erişim haklarının belirlenmesini sağlamak.
  • Uygun şekilde yapılandırmak şartıyla, uygulama seviyesinde güvenlik duvarları, uygulama geçitleri ve saldırı tespit sistemleri kullanmak.

Yerel Ağ Saldırıları

  • Yerel ağda bulunan kullanıcıların, sahip oldukları hakları kötü niyetli kullanması sonucu oluşmaktadır.
  • Amaç: Genellikle diğer çalışanların e-postalarını okumak, yöneticilerin şifrelerini yakalamak, kuruma veya farklı bir çalışana ait bilgilerin incelenmesi olmaktadır.
  • Yöntemler: Paket yakalamak, oturum yakalamak, oturumlara müdahale etmek.

Yerel Ağ Saldırılarında Kullanılan Teknikler

  • Sniffer kullanarak paket yakalamak.
  • Switch’li ağlarda ARP zehirlemesi (ARP Spoofing) yaparak paket yakalamak.
  • Yakalanan paketlerin ait olduğu oturumları yakalamak ve müdahale etmek.
  • SSH ve SSL oturumlarını yakalamak, güvenli sanılan oturumlardan veri çalmak.

Yerel Ağ Saldırıları – Önleme Yöntemleri

  • Hub kullanılan ağlarda Switch kullanımına geçmek.
  • Switch’leri her porta bir MAC adresi gelecek şekilde yapılandırmak, kaliteli Switch’ler kullanarak MAC adresi tablosunun taşmamasını sağlamak.
  • Ağ üzerindeki tüm istemcilerde statik ARP tabloları oluşturmak ve değişiklikleri izlemek.
  • SSH / SSL kullanılan oturumlarda en yeni sürümleri ve en yeni şifreleme algoritmalarını kullanmak.
  • Gerekli görülen durumlarda harici doğrulama sistemleri kullanmak.

Spoofing

  • Basitçe kaynak yanıltma olarak tanımlanabilir.
  • Genelde hedeften ek haklar kazanmak, saldırı suçundan farklı kişilerin/kurumların sorumlu olmasını sağlamak, kendini gizlemek veya dağıtık saldırılar düzenlemek için kullanılmaktadır.
  • Çeşitli protokollerde, doğrulama sistemlerinde ve uygulamaya özel işlemlerde uygulanabilmektedir.

Spoofing Teknikleri

  • MAC Adresi Sahteciliği (MAC Spoofing): MAC adreslerinin fiziki olarak değiştirilmesi veya ethernet paketlerindeki değişiklikler ile yapılabilir.
  • ARP Zehirlemesi (ARP Spoofing): ARP protokolündeki paketlerde IP/MAC adresleri eşleşmesini yanıltarak yapılabilir.
  • IP Sahteciliği (IP Spoofing): IP Paketlerindeki kaynak IP adresini değiştirerek yapılabilir.
  • DNS Sahteciliği (DNS Spoofing): DNS sunucularını ele geçirerek veya sorgulara sahte cevaplar vererek yapılabilir.
  • Kimlik Sahteciliği: Web sunucudan alınmış cookie’nin kopyalanması suretiyle yapılabilir.
  • Parmak İzi Sistemlerinde: Daha önce alınmış parmak izi örneği kullanılarak yapılabilir.

Örnek: DNS Spoofing

Örnek 2: IP Spoofing

Örnek 3: ARP Spoofing

Spoofing – Önleme Yöntemleri

  • Harici doğrulama sistemleri kullanmak.
  • IP, DNS, ARP, MAC adresleriyle doğrulama kullanan servisleri devre dışı bırakmak.
  • Statik ARP tabloları kullanmak, Switch’lerde her porta bir MAC adresi eşleşmesini sağlamak.
  • Ters sorguları aktif hale getirmek (RDNS, RARP vb.).
  • Doğrulama bilgilerinin (şifre, dosyalar vb.) istemci sisteminde tutulmasını engellemek.

Hizmet Aksatma Saldırıları

  • Denial-of-Service (DoS)
  • Protokol, işletim sistemi veya uygulamada bulunan zayıflıkların sonucunda, sunucunun hizmet veremez hale getirilmesidir.
  • Hedef bir sunucu, servis, uygulama veya ağın devre dışı bırakılması olabilir.
  • Tek merkezli ya da çok merkezli olarak yapılabilir.

Distributed Denial-of-Service (DDoS)

Hizmet Aksatma Saldırıları – Önleme Yöntemleri

  • Uygulama ve işletim sistemlerinin yayınlanmış tüm güncelleme/yamaları uygulanmalı, yeni sürümlerle hizmet verilmelidir.
  • Uygulama seviyesinde güvenlik duvarları kullanılmalı ve uygulamalara yönelik tek merkezli saldırılar takip edilmelidir.
  • Güvenlik Duvarı üzerinde, ağın devamlılığı için gerekli olmayan, internetten ağa yönelik her türlü IP paketini engelleyecek kurallar belirlenmelidir.
  • Dağıtık saldırılardan korunmak için, internet servis sağlayıcısına iki yönlendirici ile bağlanılmalı ve biri devre dışı kaldığında diğeri devreye sokulmalıdır (Kısmi olarak çözüm sağlamaktadır).

Virüs, Worm ve Trojan Tehlikeleri

  • Virüs, Worm ve Trojan’lar hedef gözetmeksizin bulaşan ve genelde sistemin işleyişini durdurmaya çalışan küçük yazılımlardır.
  • Virüs’ler e-posta, veri taşıma ortamları (cd, dvd, flash bellek vb.) ve web sayfaları ile yayılabilir.
  • Worm’lar, Virüs’lerin kullandıkları yöntemlere ek olarak, uygulama/işletim sistemi zayıflıkları ile saldırılar düzenleyebilir ve bu şekilde de yayılabilir.
  • Trojan’lar ancak ilgili uygulama çalıştırıldığında etkili olmaktadır.

Virüs, Worm ve Trojan’ları Önleme Yöntemleri

  • Anti-Virüs sistemleri, tüm istemci ve sunucuları koruyacak şekilde kullanılmalıdır.
  • Worm saldırılarını engelleyebilmek için Saldırı Tespit Sistemleri (eğer mümkün ise Güvenlik Duvarı) üzerinde önlemler alınmalıdır.
  • İnternet üzerinden kurumsal ağa gelen FTP, HTTP, SMTP, POP3, IMAP gibi protokollere ait paketler Anti-Virüs sistemleri tarafından incelenmeli, mümkün ise Anti-Virüs ağ geçidi kullanılmalıdır.

Saldırıya Uğrayabilecek Değerler

  • Kurum İsmi, Güvenilirliği ve Markaları
  • Kuruma Ait Özel / Mahrem / Gizli Bilgiler
  • İşin Devamlılığını Sağlayan Bilgi ve Süreçler
  • Üçüncü Şahıslar Tarafından Emanet Edilen Bilgiler
  • Kuruma Ait Adli, Ticari Teknolojik Bilgiler

Görülebilecek Zararın Boyutu

  • Müşteri Mağduriyeti
  • Kaynakların Tüketimi
  • İş Yavaşlaması veya Durdurulması
  • Kurumsal İmaj Kaybı
  • Üçüncü Şahıslara Karşı Yapılacak Saldırı Mesuliyeti

Genel Güvenlik Önlemleri

  • Bir Bilgi Güvenliği Politikası Oluşturulmalı
  • Tüm Ağ Sorun Kaldırabilecek Şekilde ve Politikada Belirlendiği Gibi Yapılandırılmalı
  • Düzenli Olarak Yedekleme Yapılmalı ve Yedekler Kontrol Edilmeli
  • Gerek Duyulan Güvenlik Uygulamaları Kullanılmalı
    • Güvenlik Duvarı
    • Saldırı Tespit Sistemi
    • Anti-Virüs Sistemi
  • Ağ Düzenli Olarak Denetlenmeli ve İzlenmeli
  • Çalışanlar Politikalar ve Uygulamalar Konusunda Eğitilmeli

Ağ güvenlik duvarı

Ağ güvenlik duvarı (network firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve internet bağlantısında kurumun karşılaşabileceği sorunları çözmek üzere tasarlanan çözümlerdir.

Bir güvenlik duvarı çözümünde verilebilecek servisler

  • NAT (Network Address Translation)
  • Paket Filtreleme
  • DMZ (Silahtan Arındırılmış Bölge): Dış dünyaya hizmet verecek sunucular buraya yerleştirilmektedir.
  • Proxy: Proxy bir bağlantı uygulamasında araya giren ve bağlantıyı istemci (client) için kendisi gerçekleştiren bir servistir.
  • Anti-Virüs çözümleri
  • İçerik Filtreleme (content filtering)
  • VPN
  • Saldırı Tespiti
  • Loglama ve Raporlama