savunma yöntemleri
Transkript
savunma yöntemleri
SAVUNMA YÖNTEMLERİ ASES Bilgi Güvenlik Teknolojileri Bilgi Güvenliği Tasarımının Amaçları • “Bilgi Güvenliği Bir Sistem ve Süreçtir!” • Altyapının her noktasında güvenlik sağlanmalıdır. • Güvenli bir yönetim ve raporlama birimi kurulmuş olmalıdır. Savunmanın Omurgası: Güvenlik Politikası Bir “Güvenlik Politikası” mutlaka oluşturulmalıdır! “Güvenlik politikası, bir kurumun teknoloji ve bilgi kaynaklarına erişim hakkı olan kişilerin uymaları gereken kuralların formal ve yazılı olarak dile getirildiği bir kurallar bütünüdür.” Site Security Handbook, RFC 2196 Bilgi Güvenliği Süreci Güvenliği Sağla Yönet Geliştir Güvenlik Politikası Test Et Gözle Kurumsal Ağ Altyapısında Savunmaya Yönelik Kullanılan Araçlar • • • • • • • Zafiyet Analizi Firewalls Intrusion Detection Systems Strong Authentication Virtual Private Networks LAN switch güvenlik özellikleri Çevre birimler güvenliği (Perimeter Security) Zafiyet Analizi • Güvenlik Açıklarının belirlenmesi: – Host/Operating System – Firewall, Switch, Router, VPN Concentrator,IDS • Default konfigürasyonların belirlenmesi – Paylaşılmış klasörler – SNMP/RMON – TFTP Analiz Yazılım Özellikleri • Verilen IP adres aralığında her IP için: – – – – – – TCP/UDP port taraması Host tanıma (router, switch, OS gibi) Rule database kullanılarak bulunan açıkların belirlenmesi Bu açıkların gerçekten verebileceği zararların belirlenmesi Açıklara karşı alınması gereken önlemler Analiz bir rapor halinde sunulması • Rule database güncellenmeli • Zafiyet analizi sıklıkla tekrar edilmelidir Firewall 1/2 İç Dış Firewall Kurumsal Altyapı Router İnternet DMZ • Üzerinden geçen trafiği tanımlanmış olan kurallara göre denetler • Ek özellikler sunabilir: – VPN, QoS, URL filtering, Virus Checking gibi Firewall 2/2 • Firewall, IP paketlerin yapısını inceler: – – – – Kaynak/Hedef IP adresi TCP/UDP port numarası TCP sıra numarası ve bayrak bitleri Bağlantı ve durum bilgileri • TCP SYN saldırılarını önler • Kurum içi ağda kullanılan IP adreslerini saklar • IP spoofing veya TCP Hijacking saldırılarını zorlaştırır ama %100 savunma sağlayamaz • Data bölümünde gizlenmiş saldırıları önleyemez Firewall Konfigürasyonu İçin Temel Gerekler • Network hakkında detaylı bilgi • Firewall’un koruyacağı sistem ve uygulamaların belirlenmesi • Bu sistemlerin fiziksel konumlarının belirlenmesi • Sistemlerin IP adreslerinin ve uygulamaların TCP/UDP port numaralarını belirlenmesi • Konfigürasyonun bilginin akış yönü, kaynak/hedef IP adresleri ve TCP/UDP port numaralarına göre yapılması. Intrusion Detection Systems • Network Based IDS • Host Based IDS • Signature Database sayesinde saldırıları tespit edebilmektedir. –“.scr” ÎSCR Virus! –“cmd.exe” ÎIIS Web Server’e saldırı! Network Based IDS • Sniffer gibi pasiftir ve sadece bilgi toplar, analiz eder • Bilgiler ikinci bir Ethernet port üzerinden Management Server’e gönderilir • IDS’in fiziksel Konumu – Ağ anahtarı portu üzerinde: • Tekraralayıcı aracılığla • Anahtar “Sniffer Port” özelliği kullanılarak • Ağ anahtarlarında IDS Switch Modül Host Based IDS • İşletim Sistemi üzerine kurulur • Veri önce incelenip sonra işletim sistemine yönlendirilir • Real-time analiz • Signature ve filter’ler sayesinde gereken önlemleri alır Neden Strong Authentication? • Kullanıcı login bilgileri saldırı hedefidir • Default login kullanımı • Akılda kolay tutulabilen şifrelerin kullanımı • Kullanıcı login bilgileri yönetim zorluğu Strong Authentication Nedir? • Güçlü sorgulamada, şifre iki bölümden oluşmaktadır – Kullanıcının aklında tuttuğu şifre – Kullanıcının yanında bulundurduğu, şifre oluşturma cihazı (token) • Bu ikisinin birleşiminden oluşan şifre, bir kere daha üretilmez: OTP, One Time Password • Sorgulama sunucusu kullanıcı-şifre-token bilgilerine sahiptir • Router, Switch, Firewall, VPN Concentrator tarafından doğrudan veya Radius/Tacacs+ Server aracılığıyla kullanılır Virtual Private Network (VPN) • İnternet ortamı üzerinden kurumsal network’e güvenlikli erişim Evden Bağlananlar İnternet Kurumsal Network Hotel E-mail Server Bölge Ofisi File Server VPN – Güvenlik • VPN software / hardware – Bölge / Kullanıcı sorgulaması – Şifreleme – Güvenlikli bir tünel içinden veri aktarımı • Strong Authentication • Personal / Hardware Firewall • Host Based IDS Ağ Anahtarları Güvenlik Özellikleri • MAC adres aldatılmasına karşı (MAC spoofing): – Port security • Sniffer kullanımı engellemek için – Sahte trunk portlara karşı: • Kullanıcı portlarında trunk iptal edilmeli – ARP Spoofing saldırısına karşı: • Port security • Kritik server/PC üzerinde static ARP – MAC adres tablosuna yönelik saldırılara karşı: (dsniff dakikada 155.000 adres üretir) • Port security • 802.1x Port Based Authentication • Private VLAN Port Güvenliği • Port numarası • Hangi MAC adres • Müsaade edilecek maksimum MAC adedi • İhlal sonrası alınacak önlem: Port kapatma • Örnek: – set port security 0/15 enable 00-11-22-3344-55 maximum 1 violation shutdown Private VLAN • Aynı VLAN’a üye portlar birbirini göremezler – 2. Katmanda izolasyon • Port’lar için üç tanım vardır: – Promiscuous: Bütün port’larla bağlantı kurabilir (uplink, router, firewall port) – Isolated: İzole edilmiş port (promiscuous hariç) (Web Server) – Community: Sadece promiscuous ve kendi grup ismini taşıyan port’lara bağlanabilir P P I C I C Private VLAN Promiscuous Port Promiscuous Port Only One Subnet! Primary VLAN Community VLAN Community VLAN Isolated VLAN x x x x Community ‘A’ Community ‘B’ Isolated Ports Managed Device Subnet using PVLANs: Private Ports Promiscuous Ports … … … … … To dedicated management LAN port on each device Trunk Port Trunk port Trunk port • Bir Trunk port bütün VLAN’lara üyedir • PC, Trunk protokolü (ISL veya 802.1q) kullanarak bütün VLAN’lara üye olabilir • VLAN Trunk konfigürasyonuna dikkat etmeli 802.1X Port Based Authentication • Switch port, kullanıcı sorgulaması onaylandıktan sonra açılmaktadır. • PC üzerinde 802.1x protokolü – Windows XP’de standart olarak var – Diğerleri için ek yazılım kullanılır • Switch 802.1X’i desteklemelidir • Extensible Authentication Protocol desteği olan Radius Server kullanılır PC Switch Radius Server User Identity 802.1x for LAN/ Wireless 0. Laptop açılır; istemci, en yakındaki Erişim Noktası (EN) İle 802.11 protokolünü kullanarak iletişim kurar. 1. Kablosuz istemci, EN’na EAPOL-Start paketi göndererek 802.1x kullanıcı tanımlama sürecini başlatır 3. EN RADIUS Sunucusu ile RADIUS-Erişim-İstem sürecini başlatır. 4. RADIUS sunucu login challenge gönderir External Backend: Win32, ODBC, NDS, LDAP... Windows, Harici Veri Deposu NDS Domains RADIUS Wireless EN 5. İstemci kullanıcı adı/şifre ile giriş yapar; EN, “challenge”ı RADIUS Sunucuya gönderir . RADIUS 6.a RADIUS subucu lokal olarak tutulan veritabanını Dynamic, sessiontabanlı WEP anahtarları yada NT domaini veritabanında bu bilgiyi kontrol eder 6.b RADIUS sunucu MPPE kullanarak dinamik session anahtarı oluşturur; EN’ye bu session anahtarını da içeren yanıtı gönderir. 7. İstemci, lokal olarak üretilen MPPE ile sunucunun gönderdiği MPPE anahtarını karşılaştırarak sunucuyu Onaylar. Sadece aynı kullanıcı bilgilerine sahip RADIUS sunucular kullanılabilir. 802.1x erişimine İzin verilir. Kurum Ağı Wireless Desktops Bilgi Ağı İnternet Modülünde Saldırı Riski Azaltma Yöntem ve Araçları Kullanıcıların Onaylanması Analog Telefon Hat Bağlantılarının Sonlandırılması Kullanıcıların Onaylanması IPsec Sonlandırma Durumsal Paket Filtreleme Temel Katman 7 Filtrelemesi Host DoS Riski Azaltma Uzak Bağlantıların Onaylanması IPSec Sonlandırma Private VLANs PSTN Odaklanmış Katmanr 4-7 Analizi Private VLANs Kandırma Riskini Azaltma Temel Filtreleme ISP Kandırma Riskini Azaltma (D)DoS Rate-Limiting Private VLANs Public Services Odaklanmış Katmanr 4-7 Analizi SMTP İçerik İnceleme Yerel Saldırı Riski Azaltmak için Host IDS Yönlendirme Protokolü Güvenliği • Yönlendirme Porotkkol’leri de saldırıya uğrayabilir yada saldırılarda kullanılabilir: –Servis Engelleme (DoS) –Saldırı Saklama –Yanlış Bilgilendirme –Paketlerin Yeniden Yönlendirilmesi Yönlendirme Güvenliği: Rota Onaylama Campus Güncel Rota Bilgilerinin İmzalanması İmzanın Onaylanması İmza Rota Güncelleme Rota güncelleme bilgisini gönderen komşu yönlendiricinin orijinalliği ve rota bilgisinin bütünlüğü onaylanır Rota Bilgisi Güncelleme Onayı DRP Server Agent Açık Metin IS-IS Açık Metin OSPF Açık Metin yada MD5 RIPv2 Açık Metin yada MD5 BGP MD5 EIGRP MD5 Giriş ve Çıkış Rota Filtreleme • Genel olarak, sadece “geçerli” rotaları kabul edin – Örneğin, müşterileriniz için belirlediğiniz rotalar • Internette ASLA yönlendirilmemesi gereken adresleri filtreleyin: – RFC 1918’da belirtilen adresler – 127.0.0.0/8 ve Multicast adres bloğu – ADres kandırmacası ve DoS ataklarını önlemek için, dışardan gelecek paketlerde, kurum içi ağ adresleri • Yukarda belirtilen bütün rotaların bütün BGP peer’lardan gelen rota bilgilerinden filtrelenmesi gerekir. Giriş ve Çıkış Rota Filtreleme Adres filtreleme ile ilgili ayrıntılı bilgi: http://www.ietf.org/internet-drafts/draft-manning-dsua-06.txt Örnek: ip prefix-list rfc1918-dsua deny ip prefix-list rfc1918-dsua deny ip prefix-list rfc1918-dsua deny ip prefix-list rfc1918-dsua deny ip prefix-list rfc1918-dsua deny ip prefix-list rfc1918-dsua deny ip prefix-list rfc1918-dsua deny ip prefix-list rfc1918-dsua deny 0.0.0.0/8 le 32 10.0.0.0/8 le 32 127.0.0.0/8 le 32 169.254.0.0/16 le 32 172.16.0.0/12 le 32 192.0.2.0.0/24 le 32 192.168.0.0/16 le 32 224.0.0.0/3 le 32 •“Yasal” rota bilgilerine izin verilir. •Bunun dışında kalan bütün rota bilgileri silinir. Giriş ve Çıkış Rota Filtreleme BGP rota güncelleme bilgilerinden Prefix-List yöntemi ile Route Filtereleme router bgp 200 no synchronization bgp dampening neighbor 220.220.4.1 neighbor 220.220.4.1 neighbor 220.220.4.1 neighbor 220.220.4.1 neighbor 222.222.8.1 neighbor 222.222.8.1 neighbor 222.222.8.1 neighbor 222.222.8.1 no auto-summary ! remote-as 210 version 4 prefix-list rfc1918-dsua prefix-list rfc1918-dsua remote-as 220 version 4 prefix-list rfc1918-dsua prefix-list rfc1918-dsua in out in out ÖZET: Bilgi Güvenliğini Bir Bütün Olarak Düşünün Kilitli Kapılar İzleme ve Alarm Güvenlik Görevlisi Firewalls & Router ACL Ağ ve Host-Tabanlı IDS Tarayıcı Güvenlik İzleme-CCTV Odası Merkezi Güvenlik Politikası Denetimi Kart Okuyucular Kimlik Doğrulama, AAA, Erişim Denetimi Güvenli Taşıma Şifreleme ve Virtual Private Networks (VPN’s) Teşekkürler