savunma yöntemleri

SAVUNMA YÖNTEMLERİ
ASES Bilgi Güvenlik
Teknolojileri
Bilgi Güvenliği
Tasarımının Amaçları
• “Bilgi Güvenliği Bir Sistem ve Süreçtir!”
• Altyapının her noktasında güvenlik
sağlanmalıdır.
• Güvenli bir yönetim ve raporlama birimi
kurulmuş olmalıdır.
Savunmanın Omurgası:
Güvenlik Politikası
Bir “Güvenlik Politikası” mutlaka
oluşturulmalıdır!
“Güvenlik politikası, bir kurumun
teknoloji ve bilgi kaynaklarına erişim
hakkı olan kişilerin uymaları gereken
kuralların formal ve yazılı olarak dile
getirildiği bir kurallar bütünüdür.”
Site Security Handbook,
RFC 2196
Bilgi Güvenliği Süreci
Güvenliği
Sağla
Yönet
Geliştir
Güvenlik
Politikası
Test Et
Gözle
Kurumsal Ağ Altyapısında
Savunmaya Yönelik Kullanılan
Araçlar
•
•
•
•
•
•
•
Zafiyet Analizi
Firewalls
Intrusion Detection Systems
Strong Authentication
Virtual Private Networks
LAN switch güvenlik özellikleri
Çevre birimler güvenliği (Perimeter
Security)
Zafiyet Analizi
• Güvenlik Açıklarının belirlenmesi:
– Host/Operating System
– Firewall, Switch, Router, VPN
Concentrator,IDS
• Default konfigürasyonların
belirlenmesi
– Paylaşılmış klasörler
– SNMP/RMON
– TFTP
Analiz Yazılım
Özellikleri
• Verilen IP adres aralığında her IP için:
–
–
–
–
–
–
TCP/UDP port taraması
Host tanıma (router, switch, OS gibi)
Rule database kullanılarak bulunan açıkların belirlenmesi
Bu açıkların gerçekten verebileceği zararların belirlenmesi
Açıklara karşı alınması gereken önlemler
Analiz bir rapor halinde sunulması
• Rule database güncellenmeli
• Zafiyet analizi sıklıkla tekrar edilmelidir
Firewall 1/2
İç
Dış
Firewall
Kurumsal
Altyapı
Router
İnternet
DMZ
• Üzerinden geçen trafiği tanımlanmış
olan kurallara göre denetler
• Ek özellikler sunabilir:
– VPN, QoS, URL filtering, Virus Checking
gibi
Firewall 2/2
• Firewall, IP paketlerin yapısını inceler:
–
–
–
–
Kaynak/Hedef IP adresi
TCP/UDP port numarası
TCP sıra numarası ve bayrak bitleri
Bağlantı ve durum bilgileri
• TCP SYN saldırılarını önler
• Kurum içi ağda kullanılan IP adreslerini saklar
• IP spoofing veya TCP Hijacking saldırılarını
zorlaştırır ama %100 savunma sağlayamaz
• Data bölümünde gizlenmiş saldırıları önleyemez
Firewall Konfigürasyonu
İçin Temel Gerekler
• Network hakkında detaylı bilgi
• Firewall’un koruyacağı sistem ve uygulamaların
belirlenmesi
• Bu sistemlerin fiziksel konumlarının belirlenmesi
• Sistemlerin IP adreslerinin ve uygulamaların
TCP/UDP port numaralarını belirlenmesi
• Konfigürasyonun bilginin akış yönü, kaynak/hedef
IP adresleri ve TCP/UDP port numaralarına göre
yapılması.
Intrusion Detection
Systems
• Network Based IDS
• Host Based IDS
• Signature Database sayesinde
saldırıları tespit edebilmektedir.
–“.scr”
ÎSCR Virus!
–“cmd.exe”
ÎIIS Web Server’e
saldırı!
Network Based IDS
• Sniffer gibi pasiftir ve sadece bilgi toplar,
analiz eder
• Bilgiler ikinci bir Ethernet port üzerinden
Management Server’e gönderilir
• IDS’in fiziksel Konumu
– Ağ anahtarı portu üzerinde:
• Tekraralayıcı aracılığla
• Anahtar “Sniffer Port” özelliği kullanılarak
• Ağ anahtarlarında IDS Switch Modül
Host Based IDS
• İşletim Sistemi üzerine kurulur
• Veri önce incelenip sonra işletim sistemine
yönlendirilir
• Real-time analiz
• Signature ve filter’ler sayesinde gereken
önlemleri alır
Neden Strong
Authentication?
• Kullanıcı login bilgileri saldırı hedefidir
• Default login kullanımı
• Akılda kolay tutulabilen şifrelerin kullanımı
• Kullanıcı login bilgileri yönetim zorluğu
Strong Authentication
Nedir?
• Güçlü sorgulamada, şifre iki bölümden oluşmaktadır
– Kullanıcının aklında tuttuğu şifre
– Kullanıcının yanında bulundurduğu, şifre oluşturma cihazı
(token)
• Bu ikisinin birleşiminden oluşan şifre, bir kere daha
üretilmez: OTP, One Time Password
• Sorgulama sunucusu kullanıcı-şifre-token bilgilerine
sahiptir
• Router, Switch, Firewall, VPN Concentrator
tarafından doğrudan veya Radius/Tacacs+ Server
aracılığıyla kullanılır
Virtual Private
Network (VPN)
• İnternet ortamı üzerinden kurumsal
network’e güvenlikli erişim
Evden
Bağlananlar
İnternet
Kurumsal
Network
Hotel
E-mail Server
Bölge Ofisi
File Server
VPN – Güvenlik
• VPN software / hardware
– Bölge / Kullanıcı sorgulaması
– Şifreleme
– Güvenlikli bir tünel içinden veri aktarımı
• Strong Authentication
• Personal / Hardware Firewall
• Host Based IDS
Ağ Anahtarları
Güvenlik Özellikleri
• MAC adres aldatılmasına karşı (MAC spoofing):
– Port security
• Sniffer kullanımı engellemek için
– Sahte trunk portlara karşı:
• Kullanıcı portlarında trunk iptal edilmeli
– ARP Spoofing saldırısına karşı:
• Port security
• Kritik server/PC üzerinde static ARP
– MAC adres tablosuna yönelik saldırılara karşı: (dsniff
dakikada 155.000 adres üretir)
• Port security
• 802.1x Port Based Authentication
• Private VLAN
Port Güvenliği
• Port numarası
• Hangi MAC adres
• Müsaade edilecek maksimum MAC
adedi
• İhlal sonrası alınacak önlem: Port
kapatma
• Örnek:
– set port security 0/15 enable 00-11-22-3344-55 maximum 1 violation shutdown
Private VLAN
• Aynı VLAN’a üye portlar birbirini
göremezler
– 2. Katmanda izolasyon
• Port’lar için üç tanım vardır:
– Promiscuous: Bütün port’larla
bağlantı kurabilir (uplink, router,
firewall port)
– Isolated: İzole edilmiş port
(promiscuous hariç) (Web Server)
– Community: Sadece promiscuous
ve kendi grup ismini taşıyan port’lara
bağlanabilir
P
P
I
C
I
C
Private VLAN
Promiscuous
Port
Promiscuous
Port
Only One Subnet!
Primary VLAN
Community VLAN
Community VLAN
Isolated VLAN
x x x
x
Community
‘A’
Community
‘B’
Isolated
Ports
Managed Device Subnet
using PVLANs:
Private Ports
Promiscuous Ports
…
…
…
…
…
To dedicated management LAN port on each device
Trunk Port
Trunk port
Trunk port
• Bir Trunk port bütün VLAN’lara üyedir
• PC, Trunk protokolü (ISL veya 802.1q) kullanarak bütün
VLAN’lara üye olabilir
• VLAN Trunk konfigürasyonuna dikkat etmeli
802.1X Port Based
Authentication
• Switch port, kullanıcı sorgulaması onaylandıktan
sonra açılmaktadır.
• PC üzerinde 802.1x protokolü
– Windows XP’de standart olarak var
– Diğerleri için ek yazılım kullanılır
• Switch 802.1X’i desteklemelidir
• Extensible Authentication Protocol desteği olan
Radius Server kullanılır
PC
Switch
Radius Server
User Identity 802.1x for
LAN/ Wireless
0. Laptop açılır; istemci, en yakındaki Erişim Noktası (EN)
İle 802.11 protokolünü kullanarak iletişim kurar.
1. Kablosuz istemci, EN’na EAPOL-Start paketi
göndererek 802.1x kullanıcı tanımlama sürecini başlatır
3. EN RADIUS Sunucusu ile
RADIUS-Erişim-İstem sürecini başlatır.
4. RADIUS sunucu login challenge
gönderir
External Backend: Win32,
ODBC, NDS, LDAP...
Windows,
Harici
Veri Deposu NDS Domains
RADIUS
Wireless EN
5. İstemci kullanıcı adı/şifre ile giriş yapar;
EN, “challenge”ı RADIUS Sunucuya gönderir .
RADIUS
6.a RADIUS subucu lokal olarak tutulan veritabanını
Dynamic, sessiontabanlı
WEP anahtarları
yada NT domaini veritabanında bu bilgiyi kontrol eder
6.b RADIUS sunucu MPPE kullanarak
dinamik session anahtarı oluşturur; EN’ye
bu session anahtarını da içeren yanıtı gönderir.
7. İstemci, lokal olarak üretilen MPPE ile sunucunun
gönderdiği MPPE anahtarını karşılaştırarak sunucuyu
Onaylar. Sadece aynı kullanıcı bilgilerine sahip
RADIUS sunucular kullanılabilir. 802.1x erişimine
İzin verilir.
Kurum Ağı
Wireless Desktops
Bilgi Ağı İnternet Modülünde
Saldırı Riski Azaltma
Yöntem ve Araçları
Kullanıcıların Onaylanması
Analog Telefon Hat
Bağlantılarının Sonlandırılması
Kullanıcıların Onaylanması
IPsec Sonlandırma
Durumsal Paket Filtreleme
Temel Katman 7 Filtrelemesi
Host DoS Riski Azaltma
Uzak Bağlantıların Onaylanması
IPSec Sonlandırma
Private VLANs
PSTN
Odaklanmış
Katmanr 4-7 Analizi
Private VLANs
Kandırma Riskini Azaltma
Temel Filtreleme
ISP
Kandırma Riskini Azaltma
(D)DoS Rate-Limiting
Private VLANs
Public
Services
Odaklanmış
Katmanr 4-7 Analizi
SMTP İçerik
İnceleme
Yerel Saldırı Riski
Azaltmak için Host IDS
Yönlendirme Protokolü
Güvenliği
• Yönlendirme Porotkkol’leri de saldırıya
uğrayabilir yada saldırılarda kullanılabilir:
–Servis Engelleme (DoS)
–Saldırı Saklama
–Yanlış Bilgilendirme
–Paketlerin Yeniden Yönlendirilmesi
Yönlendirme Güvenliği:
Rota Onaylama
Campus
Güncel Rota
Bilgilerinin
İmzalanması
İmzanın
Onaylanması
İmza
Rota Güncelleme
Rota güncelleme bilgisini gönderen
komşu yönlendiricinin orijinalliği ve rota
bilgisinin bütünlüğü onaylanır
Rota Bilgisi
Güncelleme Onayı
DRP Server Agent
Açık Metin
IS-IS
Açık Metin
OSPF
Açık Metin yada MD5
RIPv2
Açık Metin yada MD5
BGP
MD5
EIGRP
MD5
Giriş ve Çıkış
Rota Filtreleme
• Genel olarak, sadece “geçerli” rotaları kabul edin
– Örneğin, müşterileriniz için belirlediğiniz rotalar
• Internette ASLA yönlendirilmemesi gereken
adresleri filtreleyin:
– RFC 1918’da belirtilen adresler
– 127.0.0.0/8 ve Multicast adres bloğu
– ADres kandırmacası ve DoS ataklarını önlemek için, dışardan
gelecek paketlerde, kurum içi ağ adresleri
• Yukarda belirtilen bütün rotaların bütün BGP
peer’lardan gelen rota bilgilerinden filtrelenmesi
gerekir.
Giriş ve Çıkış
Rota Filtreleme
Adres filtreleme ile ilgili ayrıntılı bilgi:
http://www.ietf.org/internet-drafts/draft-manning-dsua-06.txt
Örnek:
ip prefix-list rfc1918-dsua deny
ip prefix-list rfc1918-dsua deny
ip prefix-list rfc1918-dsua deny
ip prefix-list rfc1918-dsua deny
ip prefix-list rfc1918-dsua deny
ip prefix-list rfc1918-dsua deny
ip prefix-list rfc1918-dsua deny
ip prefix-list rfc1918-dsua deny
0.0.0.0/8 le 32
10.0.0.0/8 le 32
127.0.0.0/8 le 32
169.254.0.0/16 le 32
172.16.0.0/12 le 32
192.0.2.0.0/24 le 32
192.168.0.0/16 le 32
224.0.0.0/3 le 32
•“Yasal” rota bilgilerine izin verilir.
•Bunun dışında kalan bütün rota bilgileri silinir.
Giriş ve Çıkış
Rota Filtreleme
BGP rota güncelleme bilgilerinden Prefix-List
yöntemi ile Route Filtereleme
router bgp 200
no synchronization
bgp dampening
neighbor 220.220.4.1
neighbor 220.220.4.1
neighbor 220.220.4.1
neighbor 220.220.4.1
neighbor 222.222.8.1
neighbor 222.222.8.1
neighbor 222.222.8.1
neighbor 222.222.8.1
no auto-summary
!
remote-as 210
version 4
prefix-list rfc1918-dsua
prefix-list rfc1918-dsua
remote-as 220
version 4
prefix-list rfc1918-dsua
prefix-list rfc1918-dsua
in
out
in
out
ÖZET: Bilgi Güvenliğini
Bir Bütün Olarak Düşünün
Kilitli Kapılar
İzleme ve Alarm
Güvenlik Görevlisi
Firewalls & Router ACL
Ağ ve Host-Tabanlı IDS
Tarayıcı
Güvenlik İzleme-CCTV
Odası
Merkezi Güvenlik
Politikası Denetimi
Kart Okuyucular
Kimlik Doğrulama, AAA,
Erişim Denetimi
Güvenli Taşıma
Şifreleme ve Virtual
Private Networks (VPN’s)
Teşekkürler