Beyaz Şapka`dan Merhaba 2005`de Microsoft Linux
Transkript
Beyaz Şapka`dan Merhaba 2005`de Microsoft Linux
Şubat 2006 Beyaz Şapka’dan Merhaba Beyaz Şapka’ya abone olmak için web formumuzu doldurabilirsiniz www.beyazsapka.org Uzunca bir zamandır hayal ettiğimiz projemizi hayata geçiriyor olmanın heyecanını yaşıyoruz. Beyaz Şapka ilk kez 2005’in kasım ayında bir deneme baskısı ile Ankara’da okurları ile buluştu. Almış olduğumuz olumlu tepkiler neticesinde ilk sayımızla karşınızdayız. Beyaz Şapka’da bilgi güvenliğinde farklı bakış açıları bulabileceksiniz. Özellikle güvenlik testleri ve güncel güvenlik riskleri konusunda yayınlayacağımız yazılarımızın güvenlik yatırımlarınızı yönetmekte sizlere yardımcı olacağını umuyoruz. Anlatacağımız hacking yöntemlerinin ilginizi çekeceğinden eminiz. Aynı zamanda güvenlik danışmanları ve üreticilerin yazıları ile bilişim sistemlerinde nasıl güvenlik sağlanabileceğini anlatmaya çalışacağız. Beyaz Şapka Nebula Bilişim önderliğinde dağıtılan bir gazete. İçeriğinde her zaman Bilgi Güvenliği sektörüne ait haberler yer alacak olan, Nebula uzmanları haricinde müşteriler, üreticiler, dağıtıcılar ve diğer bilişim şirketlerinde çalışan uzman- G art n e r G ro u p, I D C , OmniGroup ve benzeri kurumsal araştırma şirketlerinin raporlarının yanı sıra Computer Emergency Response Team gibi kurumların istatistiksel verilerini de Beyaz Şapka sayfalarına taşıyacağız. İngilizce White Hat, bilgi güvenliği konusundaki tecrübelerini bilişim sistemlerinin güvenliğini sağlamak amacı ile kullanan uzmanlar için kullanılan bir tabirdir. Bu ismi Türkçeleştirerek projemize Beyaz Şapka ismini verdik. Bu sayıda: Zayıf Nokta: https 2 Uygulama Güvenliği 3 Microsoft ve 4-5 Güvenlik ların da makalelerinin yer alacağı bir bilgi paylaşım platformu. Beyaz Şapka Ekibi [email protected] Bizi heyecanlandıran diğer bir konu da Beyaz Şapka’nın sizlerin katkılarıyla büyüyecek ve yolunu bulacak olması. Bu sebeple sayfalarımız sizlere açık. Araştırmalarınızı, fikirlerinizi ve sorularınızı bize iletin, sayfalarımıza taşıyalım. İlk sayımız olmasına rağmen bilgi güvenliğine gerekli önemi veren ve sponsor olarak Beyaz Şapka’ya destek olan Microsoft Türkiye, McAfee Türkiye, Elmer Yazılım Danışmanlık ve Webizyum’a teşekkür ederiz. Beyaz Şapka’nın şimdilik üç ayda bir yayınlanacağını hatırlatalım. Mayıs ayında yayınlanacak olan ikinci sayımızda buluşmak dileğiyle... Underground 6-7 Ağ Erişim Kontrolü - Cisco NAC 8 Web Güvenliği 9 Uç Nokta 10 Güvenliği Nessus 3 10 Versiyonu Çıktı Güvenlik 11 Ayarları Kısa Kısa 12 2005’de Microsoft Linux’dan güvenli United States Computer Em er g e nc y R e adi n e s s Team (US-CERT) 2005 yılı raporunu yayınladı. 2005 yılı raporuna göre Windows işletim sistemlerinde tespit edilen açık sayısı 812. Linux/Unix işletim sistemlerinde ise 2328. Yaklaşık 3 kat fark var rakamlar arasında. Internet üzerinde bu konuda biraz araştırma yaptım. Bazı kimseler rakamların doğruları yansıtmadığını söylüyor ve kendi kayıtlarına göre başka rakamlar yayınlıyorlar. Ancak o hesaplarda da Microsoft büyük farkla önde. Birkaç yıldır Microsoft’un büyük güvenlik yatırımı ve araştırma-geliştirme faaliyet- Serkan Akcan [email protected] leri yaptığı biliniyor. Bu konu ile ilgili Microsoft Türkiye’den Göksel Topbaş’ın yazısını Beyaz Şapka’da bulacaksınız. Raporlara göre Microsoft güvenlik yatırımlarının karşılığını almış görünüyor. US-CERT raporuna aşağıdaki adresten ulaşabilirsiniz. http://www.us-cert.gov/cas/ bulletins/SB2005.html Sayfa 2 Zayıf Nokta: https Online alışveriş yaparken, web bankacılığında ya da kullanıcı adı ve şifre girdiğiniz sayfalarda gözünüze ilişmiştir: “güvenli alışveriş”, “secure site”, “secured by xxx”. Bunlar kısmen doğru olsa da güvenlidir diyemeyiz. Burada bahsedilen güvenlik SSL güvenliğidir. Https protokolü ile web sunucusu ve istemci arasında gidip gelen trafiği şifreleyerek ağ üzerinde herhangi bir noktadan sniff edilmesini (dinlenmesini) engellemektir amacı. Özellikle kredi kartı bilgileri veya web bankacılığı giriş şifrelerini korumak için elbette zorunlu bir yöntem. Ancak oldukça büyük riskler de getiriyor web sunucusu barındıran şirketler için. Günümüzde güvenlik duvarı kullanmayan sistem kalmadı. Birçok büyük şirkette de ya bir atak engelleme sistemi çalışıyor ya da proje aşamasında. Bu güvenlik ürünleri artık olmazsa olmazlardan. Ancak şimdi işin farklı bir boyutuna bakacağız. Standart Intrusion Detection (IDS) ürünleri ağ üzerinde konumlandırılır ve tüm trafiği yakalayıp atak arar. IDS’ler akıllı cihazlar değildir, yakaladığı atağa karşı iki koruması vardır. Tcp reset komutu gönderebilir atak yapan ip adresine ve güvenlik duvarına bağlanıp ilgili ip adresini blok listesine yazdırtabilir. Ancak bu yöntemler oldukça yetersiz hatta risklidir. Udp ataklarında reset diye bir imkan olmadığından IDS’ler udp ataklarını izlemekle yetinir. Bazı IDS’ler icmp ataklarına karşı unreachable cevabı dönebilir ama birçoğu bunu da yapamaz. Firewall’a kural yazdırmak ise bir atak tipi ortaya çıkarmıştır. Örneğin IDS çalıştıran sisteme bir atak yapıp, atak sırasında source ip adreslerini mask edip bilinen büyük dns sunucularının ip’sini yerleştirelim (odtu ve büyük isp’ler mesela). IDS’de gitsin bu ip’leri firewall blok listesine eklesin. Bu durumda kurban sistem dns çözümleyemez hale gelir. İntihar gibi bir şey olsa gerek IDS’lerin firewall ürünlerine blok yazdırması. IDS işi böyle biraz karışık ve amaçsızca giderken Intrusion Prevention (IPS) sistemleri çıktı. Bunlar in-line ve transparan olarak çalışıyor ve yapılan atağı kendi üzerinde gerçek zamanlı olarak engelliyor. Zaten birçoğumuz IDS’lerimizi IPS’ler ile değiştirmiş durumdayız. Tüm bu ürünleri neden alıyoruz? Güvenlik sağlamak için. Bu ürünler https güvenliği sağlıyor mu? Hayır. Neden? Çünkü https şifrelenmiştir ve ağ üzerinde çalışan güvenlik cihazları şifrelenmiş bu trafiği açıp içine bakamazlar. Öyleyse bir https sunucumuza atak yapıldığında ids veya ips cihazımızın olaydan haberi olmayacak. Birçok büyük kurumda https sunucuları içler acısı durumda çalışıyor. Güvenlik danışmanlığı bu yüzden önemli. Düzenli olarak danışmanlık hizmeti alarak zayıf noktaları bir uzmana tespit ettirmenizi öneririm. Serkan Akcan [email protected] Https üzerindeki bu tehdidi gören üreticiler önlem almaya çalışıyorlar. Ancak bunların hiçbiri sektörde henüz standart haline gelmiş değil. Örneğin McAfee, IPS ürünü olan IntruShield’e https tarayabilen bir özellik getirdi. IntruShield’e web sunucusunun SSL anahtarını yükleyip şifreli paketleri kontrol ettirebiliyorsunuz. Üstelik IPS cihazı bu durumda SSL end-point olmuyor. Sadece trafiği kontrol ediyor, atak bulursa engelliyor, legal trafiği ise yine şifreli biçimde web sunucusuna yolluyor. Şifreleme performansını düşürmemek için de SSL Accelerator kartı cihazda mevcut. Yeterli mi? Değil. Biliyoruz ki IPS ürünleri genellikle 2 teknolojiye sahiptir. Pattern-matching ve Protocol-anomaly. Patternmatching’de yapılan iş gelen paketlerde bilinen bir atağın taranmasıdır. Protocol-anomaly’de ise RFC standartları kontrol ediliyor ve standart dışı paketler engelleniyor. Şimdi şu isimlere dikkat edelim: Sql injection, Cross-site scripting, Command Injection, Cookie/session poisoning, Parameter/form Tampering, Error Message Interception, Application Platform Exploits. Tüm bu isimlerdeki ortak nokta, tamamının uygulama açığı olması. IPS ürünleri web uygulamaları da dahil olmak üzere, uygulamaları çok iyi tanımazlar. Bir çoğumuzun gözden kaçırdığı farklı bir pencere açmış olduk bu noktada, uygulama güvenliği. Beyaz Şapka’nın diğer yazılarında da görebileceğiniz gibi artık eskisi kadar çok işletim sistemi açığı çıkmıyor. Üreticiler bu konuda çok daha hassas ve tecrübeli. Özellikle otomatik güncelleme mekanizmaları ile yama eksiği bulunan bir kurban yakalamak çok zor internet üzerinde. Dolayısı ile artık ataklar uygulamalara çevrildi. Hatta birkaç tane olan uygulama güvenliği tarama yazılımı üreten şirket sayısı 50’ye yaklaştı. Buna paralel olarak ücretsiz yazılımlar da her geçen gün artıyor. Bütün bu ürünlerin performansları tartışılır. Ancak 10 tane uygulama güvenliği tarama yazılımı kullandığınız zaman hemen hemen her web sitesinde açık bulmanız muhtemeldir. Yapmanız gereken tek şey yazılımların deneme sürümlerini temin etmek. Şahsen uygulama güvenliği tarama yazılımlarında Top 10 listem şöyle: McAfee FoundStone, Syhunt, MaxPatrol, AppDetective, Kavado, SPI Dynamics, Acunetix, VForce, N-Stealth, WHCC. Tekrar üzerinden geçmek istiyorum. Yukarıda saydığım uygulama güvenlik tarama yazılımları, web tabanlı her uygulamayı tarar. Asp yada php sayfalarında bulunan en küçük kod hatasını bulur ve sonuçlarını gösterir. Üstelik bu taramayı https üzerinden yaparsanız, atak yaptığınız sistemde bulunan Firewall, ağ tabanlı atak tespit ve engelleme sistemleri (NIDS/NIPS) gibi güvenlik ürünleri SSL şifrelemesini bilmediğinden ve uygulama güvenliğinden anlamadığından etkisiz kalır. Bir sonraki sayfada uygulama güvenliğinin nasıl sağlanabileceğini anlatmaya çalışacağım. Sayfa 3 Uygulama Güvenliği Https zaafından bahsettik ancak http protokolünden hiç bahsetmedik. Https için geçerli olan tüm riskler http için de geçerlidir. Dolayısı ile bu yazı https ve http güvenliğini kapsar. Web güvenliğini düşündüğümüzde 4 temel güvenlik adımı üzerinde durabiliriz. Güvenli Yazılım Tüm güvenlik açıkları hatalı kod yazılması ile ortaya çıkar. Açık istemiyorsak kodlarımız sağlam olmalıdır. Güvenli yazılım için yazılım ekibini eğitimli ve tecrübeli kişilerden oluşturmalıyız. Elbette tek etken bu değil. Neticede bir web uygulamasında binlerce aktif sayfa çalışır ve insan hatası sebebiyle bazılarında hata bulunması kaçınılmazdır. Hatalı kod üretimini engellemek için kodları analiz eden ve hataları tespit edip önerilerde bulunan yazılımlar kullanılmalıdır. Yazılım geliştirme platformu oldukça geniş bir yelpazeye sahiptir. Bu sebeple uygun kod denetimi yazılımını bulmak için güvenlik danışmanınıza ve uygulama geliştirme platformu üreticinize danışmanızı öneririm. Sunucu Tabanlı Atak Engelleme Sistemi Sonuçta tüm https ve http istekleri web sunucuları üzerinde işleme tabi tutulur. Sunucu Tabanlı Atak Engelleme Sistemleri (HIPS) bilinen ve bilinmeyen açıklara karşı koruma sağlayabilir. Doğru HIPS seçimi için korunacak sistemin analizi yapılması gerekir. Örneğin korumamız gereken platformda bir Microsoft SQL sunucusu bulunuyorsa, kullanacağımız HIPS sisteminin de Microsoft SQL destekli bir ürün olması gerekir. HIPS üreticilerinin bazılarında değişik platformlar için değişik çözümler mevcuttur. Doğru seçimi ve konfigürasyonu yaratmak için güvenlik danışmanınıza başvurmanız gerekir. Application Firewall Application Firewall ürünleri uygulamaları korumak üzere dizayn edilmiş özel ürünlerdir. Bu ürünlerde Cookie/ session poisoning, Sql injection veya Cross-site scripting gibi atakların tamamına karşı koruma kalkanı bulunur. Yukarıda bahsettiğimiz gibi yazılım geliştirme ekibi binlerce sayfa kod yazarken bazılarında hata yapmış olabilir. Application Firewall ürünü atak tiplerini bildiği için gözden kaçmış bu hatalı kodlara yapılacak atakları engeller. Ayrıca uygulamada hata bulunmasa bile, sisteme özel bilgileri web ziyaretçilerinden ve atak yapanlardan saklayacaktır. Application Firewall piyasası oldukça karmaşık görünüyor. 1.000USD fiyatı olan ürünler de mevcut 30.000USD fiyatı olan ürünler de. Tabi fiyatı düşük ürünlerin bu kadar ucuza satılması bir tesadüf değil. Nitekim Microsoft tarafından ücretsiz olarak sağlanan yazılımlar ile (IISLock ve URLScan) bu ucuz Application Firewall ürünleri arasında çok büyük bir fark bulunmuyor. Serkan Akcan [email protected] Ancak çok ciddi işler yapabilen ürünler de mevcut. Bunların bir kısmı yazılım olarak sunuluyor bir kısmı da kendi özel donanımlara sahip. F5 Networks TrafficShield, SecureComputing G2 Firewall/Security Appliance, Imperva, InterDo, NetContinuum, AirLock ve e-Gap gibi ürünler sektörde yer edinmiş ve kaliteleri ile kendilerini ispatlamış ürünlerdir. Application Firewall ürününü seçerken yine koruyacağımız bilgiyi ve platformu göz önünde bulundurmamız gerekiyor. Öncelikle koruyacağımız uygulamayı belirlemeliyiz. Sadece web uygulaması koruyacaksak işimiz daha kolay. Ancak bilgi bankalarını koruyacaksak kullanabileceğimiz ürünler azalıyor. Seçim sırasında önemli olan diğer bir nokta da platformumuz. Application Firewall ürünlerinin bir kısmı direk web sunucusu üzerine yükleniyor. Microsoft IIS için geliştirilmiş bir ürünü Linux sistemimiz için düşünemeyiz normal olarak. Kendi donanımına sahip olan ürünler bu noktada öne çıkıyor, çünkü platform bağımsız. Web sunucu parkımız değişse bile Application Firewall ürünümüzü kullanmaya devam edebiliriz. Dikkat etmemiz gereken son nokta ise ssl desteği Her üründe https/ssl desteği bulunmuyor. Penetration Test O kadar çok güvenlik ürünü kullanıyoruz ki. Firewall, antivirus sistemleri, ağ tabanlı ve sunucu tabanlı IDS/IPS sistemleri, güvenlik tarama yazılımları, SSL Accelerator, VPN, Application Firewall, Security Enabled Router ve Switch’ler. İnsan yazmaktan yoruluyor. Yine de sistemler hack ediliyor. Öyleyse internet korsanlarından daha hızlı davranmalıyız. Kurumsal güvenlik prosedürümüzü belirlemeli ve denetimlerini yapmalıyız. Aynı zamanda bu denetimleri güvenlik uzmanları ile paylaşmalıyız. Güvenlik sorunlarının yegane sebebinin insan hataları olduğunu unutmamalıyız. Hataları internet korsanlarından önce bulmak için önce şirket içi denetimleri yeterli hale getirmek daha sonra güvenlik uzmanlarınca gerekli denetim ve testlerin yapılmasını sağlamak akıllıca bir yol olacaktır. Aynı zamanda bugüne kadar yapmış olduğunuz güvenlik yatırımının ne kadar verimli çalıştığını ölçmek için de güvenlik denetimi ve penetration test hizmetlerinin alınması gerekir. Bir sonraki sayımızda Atak Engelleme Sistemlerini hakkındaki yazımla Beyaz Şapka’da yer alacağım. Türkiye’de satılan tüm IPS ürünlerinin bağımsız test sonuçları, Gartner raporları, Türkiye’de desteği ve teknik özellikleri konusunda yorumlarımı paylaşacağım. Ayrıca IPS ürünlerinin birkaç yıl sonra ne gibi yeniliklerle karşımıza çıkacağını da gelecek yazımda bulabilirsiniz. Sayfa 4 Microsoft ve Güvenlik Microsoft olarak, işletmelerin güvenlik ihtiyaç ve çözümlerinin etkin bir şekilde adreslemeyi hedefleyen Beyaz Şapka Bilgi Güvenliği gazetesine, bu girişimi dolayısıyla teşekkür ediyor ve yayın hayatının başarılı olmasını diliyoruz. Ülkemizde güvenlik konusunda yolun başında olduğumuz ve bilgilendirme, yol gösterme konularının son derece gerekli olduğu düşünüldüğünde, Beyaz Şapka’nın atmış olduğu bu adımın ne kadar doğru olduğu bir kez daha ortaya çıkıyor. Son yirmi yıl içinde, bilgi sistemleri modelinin, sınırlı erişime olanak veren merkezi bir yapı olmaktan çıkması, bilginin toplanma, paylaşılma ve kullanıma sunulma biçimine göre dağınık bir yapıya bürünmesi, beraberinde kaçınılmaz olarak bilgi güvenliği kavramını hayatımıza soktu. Bilgi güvenliği, sadece bilgisayarınıza yapılan saldırılar ile kısıtlı kalan bir konu değil elbette. Bu konuya, daha geniş açıdan baktığımızda, zarar veren veya atakta olanın karşı tarafında duran uygulama ve yöntemleri de, geniş güvenlik konusu içinde incelememiz doğru olacaktır. Microsoft olarak, bilgi güvenliğinin ne kadar önemli olduğu bilinci içerisindeyiz ve tüm ürünlerimizde ve çözümlerimizde bilgi güvenliğini en ön planda tutarken, aynı zamanda bilgi güvenliğini sağlayan ve artıran çözümlerimiz ile de, işletmelerin tüm bilgi güvenlik gereksinimlerini karşılamayı hedefliyoruz. Dijital hak yönetimi, sertifikalar, ISA Server 2004, Microsoft AntiSpyware, Sybari gibi ürünlerimiz ve çevresindeki çözümlerimiz ile bilginin güvenli bir şekilde oluşturulması, saklanması ve paylaşılmasını hedeflerken, System Management Server, MBSA, WSUS, Microsoft Update ve dijital imza konu ve uygulamaları ile de, işletmelerin sistem ve yazılım güvenliklerini en üst seviyeye çıkarmayı ve güvenliği süreçleri ile birlikte bir bütün olarak ele alınması için gerekli alt yapıyı sağlıyoruz. Bu ilk yazımızda, Beya Şapka okuyucularına öncelikle Microsoft olarak bilgi güvenliğine bakışımızı paylaşarak başlamak istiyoruz. Ardından, mümkün olduğu kadar ilgili teknoloji ve çözümlerimizi kısa başlıklar halinde tanıtmaya çalışacağız. Güvenliğe bakışımız Bilgisayar endüstrisinde lider şirketlerinden biri olarak, Microsoft’a güvenlik konusunda da büyük bir sorumluluk düştüğüne inanıyoruz. Bu bilinç ile müşteri ve endüstrimizi korumaya yardımcı olacak yazılım ve hizmetler geliştirmeye odaklanmış durumdayız. Güvenliği, her halkasının çok güçlü olması gereken bir zincire benzetmek ve zincirin halkalarını ise tasarım, kullanım, kurulum ve kullanıcı bilinçlendirmesi olarak tanımlamak mümkün. Microsoft, bilgisayar kullanıcılarına güvenli ve kaliteli bir bilgisayar tecrübesi yaşatmayı amaçlayan bir vizyon ile, 2002 yılının ilk yarısından itibaren güvenlik alanındaki yatırımlarını artırmış ve 100 milyon doların üzerinde bir yatırım gerçekleştirmiştir. Amacımız ise, tüm ürünlerimizde güvenliği merkeze oturtarak kullanıcılara daha kaliteli ve güvenli bir bilgisayar tecrübesi yaşatmaktır. Bu vizyon ile temel dört nokta hedeflenmiştir; Göksel TOPBAŞ [email protected] Tasarım Güvenliği Tasarım güvenliğinin amacı, bir ürünün piyasaya sunulmadan önce bütün güvenlik sorunlarının ortadan kaldırılması ve ürünün güvenliğini artırıcı özelliklerin eklenmesidir. Tasarım güvenliği, ürünün kullanıcıya sunulduğu anda kod olarak en güvenli hale getirilmesini amaçlamaktadır. Microsoft, bu amaç ile yazılım geliştirme süreçlerini düzenlemiş ve bu düzenlemenin getirdiği artıları Windows Server 2003’ den itibaren kullanıcılarına yaşatmaya başlamıştır. Girişim sonrasında piyasaya sunduğumuz Windows Server 2003’te yayınlamış olduğumuz güvenlik açıkları, Windows Server 2000’a göre aynı sürede altıda bir (36 iken 6) seviyelerine düşmüştür. Kurulum Güvenliği Firmalara yapılan ataklar ve bu ataklar sonucu oluşan zararların nedenleri araştırıldığında, %80 oranında nedenin yanlış konfigürasyon ya da bilmeden açık bırakılan bir servis veya ayar olduğu gözlenmiştir. Kullanım güvenliğinin ana fikri, Microsoft’un çeşitli müşteri senaryolarında gerekli olmayan hizmetleri ortadan kaldırarak ve otomatik olarak sağlanan hakları azaltarak daha güvenli ürünler sunmasıdır. Hedeflenen ise, ürünün kim tarafından kurulur ise kurulsun atak düzeyi en aza indirilmiş şekilde kurulabilmesini sağlamaktadır. Kullanım Güvenliği Tasarım ve kurulum güvenliği, son derece önemli olmakla birlikte, sadece ürün ve çözümler oluşturulduktan sonra uygulanabilirler. Kullanım güvenliği ise, çok daha kritik bir işleve sahiptir. Sebebi ise, bilgisayar operasyonları ve ağ sistemleri süreklilik arz eden bir etkinlik alanı olmasıdır. Bu çabaya destek olmak amacıyla Microsoft, müşterilerine kullanım güvenliğini sağlayacak araçları ve teknolojileri geliştirmekte ve kullanıma sunmaktadır. Bu teknolojiler, her türlü ihtiyaca sahip kullanıcıya ulaşabilecek detayda tasarlanmıştır. Bu alandaki teknolojiler aşağıdaki gibi özetlenebilir: Microsoft Update (güncelleme) : Kişisel bilgisayar kullanıcılarının güvenle çalışabilmelerini hedeflemektedir. Bu sayede Windows, Office ve bir çok sunucu sistemler için güncellemeler istenir ise, otomatik olarak alınabilmekte ve kullanıcının her türlü güncellemeye sahip daha güvenli bir bilgisayar tecrübesi yaşaması amaçlanmaktadır. Windows Server Update (WSUS) Servisi : Bu servis, küçük ve orta ölçekli firmalar için yüklenecek güncellemelerin merkezi bir noktadan denetimi ve testlerinin yapılabilmesi amacı ile düşünülmüş bir araçtır. Çok yüksek kullanım oranına sahip olan WSUS, özellikle henüz bir bilgi işlem çalışanı olmayan firmalar için büyük kullanım kolaylığı sağlamaktadır. Sahip olmak çok kolaydır. System Management Server : Çok kullanıcılı, büyük ve orta ölçekli firmaların merkezi bir yönetim sağlamasını amaçlayan bir sunucu grubu ürünümüzdür. Amacı sadece tüm istemci ve sunucular için güvenlik güncellemeleri Sayfa 6 Underground Coşkun Kamiloğlu [email protected] 2000 yılının ekim ayında Los Angeles uluslararası havaalanı hava trafik kontrol sistemi yazılımında meydana gelen bir sorun, yüzlerce uçağın acil iniş yapmasına, bir o kadar uçuşun da iptal edilmesine sebep olmuştu. Problemin hava trafik sorumlusunun 5 karakter olması gereken uçus tanımlama bilgisinin 9 karakter olarak sisteme girmesinden kaynaklandığı, bu durumun aslında bir “Buffer Overflow” hatası olduğu öğrenildi. char input[ ] = "BUFFERIoverflowYAPALIM"; char buffer[10]; strcpy(buffer, input); Buffer Overflow veya Buffer Overrun, yazılımın sistem hafızasında ayırdığı alana , bu alanın kapasitesinin üzerinde bilgi yazılması ile meydana gelen kural dışı durumdur. Sistem hafızasına yazılan bilgi kendisi için ayrılmış alandan daha fazla yer kapladığı için bu ekstra bilgi muhtemelen diğer bilgi kümelerini tutan başka bir bölgeye kaydırılır. Bu bölge programda belirtilmediği için kontrol dışıdır ve herhangi bir kod parçası bu bölgede rahatça çalıştırılabilir. char input[ ] = "BUFFERIoverflowYAPALIM"; char buffer[10]; strncpy(buffer, input, sizeof(buffer); Eski veya yeni yazılım programlama dillerinin büyük bir kısmı bu tıp olağan dışı durumlara karşı duyarlıdır ve kendi içlerinde bu tip durumları kontrol edebilen mekanizmalara sahiptir. Bir kaç istisna hariç C ve C++. Bu iki programlama dili yapılarında Buffer Overflow önleyici mekanizma barındırmazlar (Bazı versiyonlar da koruma mekanizması vardır ancak performans sebebi ile yazılımcılar tarafından tercih edilmezler). Bu durumda Buffer Overflow hatalarının tamamen yazılımcıların dikkatsizliğinden kaynaklandığını ve her zaman bu hataların düzeltilebileceğini söylemek yerinde olur. Basit bir örnekle söylemeye çalıştığımızı pekiştirelim. Yukarıda ki kod parçası segmantasyon hatasına sebep olabilir. Çünkü hafızada 10 byte olarak ayrılan bölgeye 22 byte yazmaya çalışılmaktadır. Kodun güvenli versiyonu aşağıda yazıldığı gibi olmalıdır. C ve C++ programlama dilleri bu tip hatalara zemin hazırlayan oldukça fazla sayıda fonksiyon veya sıkça kullanılan library içerir. Örnek vermek gerekirse realpath (3), getopt(3), getpass(3), streadd(3), strecpy(3) fonksiyonlarını sıralayabiliriz. Bu dillerin yapılarında kontrol mekanizmaları olmadığından dolayı hataların kontrolü tamamen yazılımcı tarafından yapılmakta, yazılımcının gözden kaçırdığı noktalar saldırganlar tarafından bulunmaktadır. Last Stage of Delirium araştırma grubu tarafından 2003 yılında bulunan, Microsoft® Windows İşletim sistemlerinin bir çoğunu etkileyen RPC DCOM MSO3026 açığını örnekleyelim. Gerekli yamalar yüklenmemiş bir Windows 2003 enterprise sunucusuna yukarıda bahsi geçen açığı Metasploit kullanarak deneyelim. Metasploit ücretsiz olarak dağıtılan bir hacking aracıdır. Bu açığı kullanarak kolayca sisteme bağlandık. Windows 2003 sunucu komut satırı karşımızda ve sistemde dilediğimız değişiklikleri yapabiliriz. Öncelikle hack ettiğimiz sistemde kendimize bir kullanıcı yaratalım. Sayfa 7 Coşkun Kamiloğlu Underground [email protected] Çok zor bir işmiş gibi görünmüyor değil mi? Tam olarak sunucuya logon olmuş ve komut satırı penceresini açmış gibi her istediğimiz yapabiliriz bu durumda. Hatta VNC gibi yazılımları enjekte edip grafik ara yüzü ile kendimize bağlantı yapmasını da sağlayabiliriz. Atak yaptığımız sunucunun durumunu kontrol ettiğimizde yarattığımız kullanıcı hesabını görebiliriz. Nasıl Korunurum? Referanslar Buffer Overflow açıklarını takip etmek imkansızdır. Sıfırıncı gün koruması, yani açık tespit edildiği anda bile koruma altında olmak için tek çaremiz Buffer Overflow denetimi yapabilen güvenlik yazılımları kullanmak. http://www.windowsecurity.com/articles/ Analysis_of_Buffer_Overflow_Attacks.html Aklımıza iki önemli sunucu atak engelleme (HIPS) ürünü geliyor hemen. McAfee Entercept ve Cisco Security Agent. Buffer Overflow koruma teknolojisi birçok HIPS ürününe de eklenmiş durumda. Ancak bu iki ürünün de oldukça eski bir mazisi var ve oldukça geniş referans listeleri bulunuyor. Bu ürünler kendi teknolojileri ile buffer taşmasını algılıyor ve gerekli yamalar yüklenmemiş olsa bile atağı engelleyebiliyor. http://www.mcafee.com/us/local_content/white_papers/ wp_ricochetbriefbuffer.pdf http://www.microsoft.com/technet/security/bulletin/MS03026.mspx http://www.metasploit.com/ http://www.mcafee.com/us/products/mcafee/host_ips/ desktop_server_agents.htm http://www.cisco.com/en/US/products/sw/secursw/ ps5057/index.html Sayfa 8 Ağ Erişim Kontrolü—Cisco NAC Sayıları günden güne artan güvenlik açıkları, virüsler, solucanlar, casus yazılımlar ağlar için büyük sorunlar oluşturuyor ve her yıl şirketlerin milyonlarca dolar zarar etmelerine neden oluyor. Bu durum sadece bu tehditleri önlemek için oluşturulan koruma sistemlerinin maliyetleri olarak algılanmamalı, herhangi bir şekilde bu tehditlerin ağ içerisinde ortaya çıkması durumunda yaşanan iş gücü kaybı ve vereceği zararlarda hesaba katılmalıdır. Cisco Systems’ın önderliğini yaptığı ve güvenlik alanında önde gelen şirketlerin desteklediği Network Admission Control (NAC) çözümü ağların karşı karşıya oldukları tehlikeleri en aza indirmeyi amaçlıyor. Geleneksel güvenlik teknolojileri bu tehditler karşısında zaman zaman engelleyici çözümler sağlayamıyor ve ağ üzerinde bu gibi tehditlerle zaman zaman karşılaşılabiliyor. Bu gibi durumlar için daha iyi bir alternatif çözüm oluşturan NAC teknolojisi ağ altyapısını kullanarak kullanıcıların gerekli güvenlik politikalarına uyup uymadıklarını kontrol ederek ağları tehlikelerden koruyor. NAC’ın amacı ağ kaynaklarına erişmek isteyen cihazların bu istekleri sırasında kurumsal güvenlik politikalarına uygunluğunu belirlemek ve uygun olmayan cihazların uygunluğunun sağlanarak virüs, solucan ve casus yazılım gibi tehditlerin yaratacağı zararları sınırlamaktır. NAC sadece güvendiği ve uygunluğu belirlenmiş uç cihazların (Masaüstü, dizüstü, avuç içi bilgisayarlar, sunucular vs) ağa erişimine izin verir ve bunun dışındaki sistemlerin erişimini kısıtlar. Hakan Tağmaç [email protected] Ağa bağlanacak dizüstü, masaüstü, sunucu ve avuçiçi bilgisayarlar üzerine Cisco Trust Agent, CTA yazılımı yükleniyor. CTA ise üzerine kurulduğu makineden antivirus, işletim sistemi versiyon, yama vs bilgisini alarak Cisco ağına gönderir. Cisco yönlendirici, anahtar, kablosuz ulaşım noktası, güvenlik cihazları gibi ağ erişim cihazları CTA tarafından gönderilen bilgiyi politika sunucularına yollar. Politika sunucularında ağ erişim tipi kararı (İzin ver, izin verme, karantinaya al ve kısıtla gibi) verilerek bu bilgi ağ erişim cihazlarına yollanır ve ağ erişim cihazı da bu kararı uygular. Bu politika sunucularının temelini Cisco Access Control Server, ACS oluşturur. CTA’nın ilettiği bilgiler detaylı değerlendirilerek erişim tipinin seçimi Antivirus ve benzeri politika sunucularında gerçekleşir. Örneğin istenilen virus yazılım versiyonunda olmayan bir kullanıcı karantinadan ağa alınır ve yazılımını güncelleyene kadar sadece ilgili antivirus sunucusuna erişimi sağlanır. Cisco Yönlendirici, anahtar, kablosuz ulaşım noktası, güvenlik cihazları gibi ağ erişim cihazları yerine Cisco NAC aracı diye geçen Cisco Clean Access yazılımı ve buna ek olarak Cisco Clean Access Manager’ın kullanılmasının durumunda; uç noktanın değerlendirilmesi, kullanıcı ve politika yönetimi, Microsoft ve önde gelen antivirüs/antispyware üreticilerinin otomatik güncellemesinin sağlanması mümkün olur. Günümüzde sunulan ağ erişim kontrol seçenekleri arasında kolay kurulum, basitleştirilmiş ve bütünleşik yapısıyla bu son seçenekte ilgi ile karşılanmaktadır. Sayfa 9 Web Uygulamaları Güvenliği Oktay Kılıç [email protected] Beyaz Şapka sayfalarında sizlerle web uygulamalarının güvenlik sorunları ile web barındırmayla ilgili güvenlik detaylarından ve bunlara karşı alınabilecek önlemlerden bahsetmeye çalışacağım. Bu konular bildiğiniz gibi geniş bir kitleye hitap etmekte ve birçok alt dalı bulunuyor. Web uygulamaları güvenliği ile ilgili okumak ve öğrenmek istediklerinizi bana bildirebilirseniz Beyaz Şapka’nın gelecek sayılarında bu konularda yazma imkanı bulabilirim. İlk sayımızda veri tabanı kullanan dinamik web siteleri için büyük bir tehdit oluşturan SQL Injection saldırı yönteminin ne olduğunu, bu yöntemin işleyişini örnekler yoluyla anlatıp korunma yöntemlerinden bahsedeceğim. SQL Injection, kötü niyetli kişilerin bir web sitesinin Query String ya da form değerleri vasıtasıyla otomatik olarak ürettiği SQL komutlarının içeriğine müdahale etmektir. Query string, artık hepimizin web sayfalarında gördüğü http://www.websitesi.com/uyeol.php? kullanici_adi=deneme gibi soru işaretinden sonra gelen kısma verilen isimdir. Kötü niyetli kullanıcı bu adresin sonuna uyeol.php?kullanici_adi=deneme; DROP Table Uyeler -- gibi bir kod eklerse ve eğer önlem alınmamışsa veritabanındaki “Uyeler” tablosunu silinir. Yine örneğin bir üyelik sistemindeki üye olma formunda bir takım sorgularla SQL yapısı zedelenebilir. Bunu bir örnekle açıklayalım. Bu iki şekilde de yapılabilen SQL Injection işleminden aralarında yahoo.com, websamba.com, kanald.com.tr gibi sitelerinde bulunduğu yerli yabancı birçok web sitesi zarar görmüştür. SQL Injection yönteminin ne olduğu ve ne gibi zararlar verebileceği hakkında az çok bir fikir sahibi olduktan sonra, bu saldırı çeşidinden hangi yollarla kurtulabiliriz ondan bahsedelim. Öncelikle SQL Injection ile ilgili önlemi web sitesindeki dinamik içeriği kodlayan programcı ile web barındırma hizmetinin alındığı sunucunun yöneticisinin alabileceğini belirtelim. Programcıya düşen ilk ve en önemli iş Query string ve form ile dışarıdan alınan tüm verilerin mutlaka kontrol edilmesi ve sonrasında veritabanına işlenmesidir. İkinci olarak ise SQL içindeki verilerin ‘’ içine alınmasıdır. Üçüncü önemli önlem de SQL yapısında kullanılan ‘ | ( gibi karakterlerin formlardan ve Query stringten geçişini engellemek ve bunları bazı karakterlerle etkisiz hale getirip öyle veritabanına işletmektir. Bundan sonraki önlemler programcının kullandığı dil ile ilgilidir. Kullanılan dilde SQL için zararlı ifadeler oluşabilmektedir. Bunların tek tek kontrol edilip yazılımın kodlarından çıkarılması şarttır. Site için web barındırma hizmeti alınan sunucudaki web programlama dili çalıştırıcısının ayarlarının bu tip saldırılara karşı düzgün yapılandırılması gerekmektedir. Örneğin php kodunda sorgular için root yetkisi gerekmekte ve mySQL için eğer uzaktan erişim yetkisi verilmişse bu bir takım açıklara neden olabilir. Bununla birlikte mutlaka php kodunda SQL yapısında kullanılan özel karakterlerin SQL Injection açığına olanak sağlamasını önlemek için kullanılan magic quotes web sunucusunun php yapılandırma dosyasında mutlaka açılmalıdır. Bu ve bunun gibi birçok önlem hâlihazırdaki SQL Değiştirme açıklarını önlemek için bulunmaktadır. Önemli olan web uygulaması hazırlanırken ve çalıştırılırken yapılan titizliktir. Yukarıdaki üyelik sisteminin üye kayıt formunda üye adına “ hacker’,’sifre’), (‘asil_uye “gibi bir girdi yazarsak eğer, mySQL sorgumuz aynı anda iki üyelik kaydı alacak şekilde değişecek ve aşağıdaki ekran görüntüsündeki gibi zarar görecektir. SQL Injection gibi açıkların özel güvenlik ürünleri ile de engellenebildiğini hatırlatmadan geçmeyelim. Verdiğim örnekler umarım açıklayıcı olmuştur. İstek ve yorumlarınızı bana iletmekte tereddüt etmeyiniz. Bir sonraki sayımızda buluşmak üzere... Sayfa 10 Uç Nokta Güvenliği Mehmet Can [email protected] Masaüstü ve dizüstü bilgisayarların uç noktaları ve CDDVD yazıcı gibi sürücüler kurumlarda güvenlik sorunlarının en çok yaşandığı korunmasız yerlerdir. Akıl almaz bir hızla yaşamımıza giren ve kolayca kurulabilen USB ve FireWire aygıtları, Bluetooth adaptörleri gibi yeni bağlantı olanakları, uç noktaların bu denli savunmasız olmalarında en büyük etkendir. yetkin çözümler sunan ve bu konuda yeni bir güvenlik katmanı oluşturulmasına olanak sağlayan yazılımlar geliştirilmiştir. Bu yazılımlar yardımıyla, kurum içinde belirlenen uç nokta güvenliği politikaları kolaylıkla uygulanabilir. Denetimsiz uç noktalar, bilerek ya da bilmeyerek, bilgisayar virüsleri gibi zararlı yazılımların kurum iletişim ağına girmesine olanak sağlayan noktalar olmasının yanında, gizli kurumsal verinin kurum dışına çıkarılmasının en kolay yoludur. • Öteden beri bilinen bir gerçeği bir kez daha yinelemekte yarar var: Bilgi teknolojilerinde yaşanan güvenlik ihlali olaylarının yarıdan çoğu ne yazık ki kurum içinde gerçekleşmektedir. Ayrıca, kurumsal verinin yaklaşık %60 oranında bir kısmı korunmasız uç noktalarda yer almaktadır. • Bir başka önemli konu, güvenlik duvarı ve antivirus yazılımlarının kurum içindeki uç noktalarda verilerin çalınmasına ya da bozulmasına karşı herhangi bir koruma sağlamadığı gerçeğidir. Bilindiği gibi, dijital kamera, MP3 çalıcısı ya da flash bellek kullanarak USB bağlantısı üzerinden yükleme ve indirme yapmak için yönetici haklarına sahip olmak gerekmez ve donanım düzeyindeki bu tür etkinlikler Group Policy ile yönetilemez. Bu yazılımlar çok temel olarak aşağıdaki işlevleri yerine getirir. • • • • • • • • Ağ yöneticileri uç nokta güvenliğini sağlamak ve denetlemekle yükümlüdürler. Bu nedenle, yetkisiz kullanıcıların USB ve FireWire aygıtlarını, WiFi ve Bluetooth adaptörlerini, CD-Rom ve disket sürücülerini, seri ve paralel portları ve daha diğer bir çok tak-çalıştır aygıtlarının kullanımını kısıtlamaları ya da tümüyle engellemeleri gerekmektedir. Peki nasıl? Kuşkusuz BT yöneticileri bu konuda artık yalnız değiller. Son yıllarda uç nokta güvenliği alanında . Nessus 3 versiyonu çıktı En çok kullanılan ve ücretsiz olan güvenlik tarama yazılımı Nessus yeni versiyonunu duyurdu. Heyecanla beklenen Nessus 3.0 versiyonu fanatiklerini bir parça üzdü. Üzüntünün 2 ayrı sebebi var. İlk sebebi Nessus artık open-source değil. Gerçi bu durum daha önce duyurulmuştu. Ücretsiz olarak dağıtılmaya devam edecek olan Nessus’un kaynak kodunu açmamasının temel sebebi bazı firmaların bu kaynak kodları ile ürün geliştirip satmaya başlaması yada donanımlara Nessus yüklenerek güvenlik tarama ürünü yaratılması. Nessus bu ticari savaş içerisinde olmamak için kaynak kodlarını kapadığını söylüyor. Bu durum gerçekte ticari bir oyun. Nessus daha önce Tenable Network Security adı altında bir şirket kurdu ve kendini ticari olarak korumaya çalışıyor. Hangi kullanıcı ya da grupların USB ve FireWire portlarına, WiFi ve Bluetooth adaptörlerine, CDRom, disket sürücü ve diğer çıkarılabilen aygıtlara erişebilecekleri denetlenebilir Saat aralığı ya da güne bağlı olarak aygıt erişimleri denetlenebilir Diğer ayarlardan bağımsız olarak belirlenen USB aygıtlarına erişim izni verilebilir Kullanıcılara ağ bağlantısı olmasa bile USB aygıtlara geçici erişim hakkı verilebilir Aygıtlar salt-okunur olarak belirlenebilir Disklerin kasıtlı ya da kasıtsız formatlanması engellenebilir Erişim hakları, Group Policy kullanarak Active Directory ile dağıtılabilir Merkezi yönetim konsolu ile uzaktan yönetim yapılabilir Port ve aygıt erişimlerinin, kullanıcıların indirme ve yükleme bilgileri de dahil tüm kayıtları Windows Event Log standardında görülebilir Belirlenen hakların raporu alınabilir. Bu alanda en bilindik iki ürün DeviceLock ve Safend Protector olup, her iki yazılım da Elmer Yazılım’dan sağlanabilir. Elmer Yazılım, bir yazılım sağlayıcısı olarak, başta VMware, WebTrends, NetIQ, InstallShield, Puresight, Shavlik, NetSupportSoftware, Mindjet, ISDecisions olmak üzere pek çok yazılım şirketi ürünlerinin satış ve dağıtımını yapmakta, eğitim ve destek hizmetlerini vermektedir. Sinan Yılmaz [email protected] Fanatiklerin ikinci üzüntüsü performans oldu. Her ne kadar Nessus 3.0’ın çok daha hızlı çalıştığı söylense de aşırı miktarda kaynak kullanıyordu. Nitekim Nessus 3.0 versiyonun çıkmasının üzerinden 1 ay geçmeden yeni versiyon duyuruldu, Nessus 3.0.1. Nessus ilk kez Windows üzerinde çalışacak yazılımını da geliştiriyor. Duyurulara göre 2006 yılı başında Windows versiyonu hazır olacaktı. Henüz Windows versiyonu piyasaya çıkmadı. Windows versiyonu da diğer versiyonlar gibi ücretsiz olarak dağıtılacak ancak kaynak kodu açık olmayacak. Sayfa 11 Güvenlik Ayarları Güvenlik sağlamanın en önemli adımlarından biri Sistem Katılaştırma (System Hardenning) hizmetleri sağlamaktır. Sistemlerin daha güvenli çalışabilmesi için ihtiyaç duyulmayan ya da risk taşıyan hizmetlerin, teknolojilerin ve özelliklerin kapatılması yada kısıtlanması gerekir. Bir çoğumuz örneğin Windows 2003 sunucular için Microsoft tarafından yayınlanmış olan güvenlik kontrol listesini uyguluyoruz. İşletim sistemi için ne kadar güvenlik tanımı yapma gereksinimiz varsa servisler için de aynı gereksinim bulunuyor. Güvenlik Ayarları yazı dizimizde servislerin nasıl güvenli hale getirilebileceğini anlatacağız. İlk konumuz Microsoft DNS servisi. İlk işimiz DNS altyapımıza göz atmak. Eğer tek DNS sunucusu ile hem lokal hem de internet isim çözümleme işlerimizi hallediyorsak hemen ikinci sunucumuzu hazırlamamız gerekir. Nitekim internet üzerinden ulaşılan DNS sunucusu üzerinde yapılacak sorgulamalarda lokal bilgisayarlarımızın bilgileri temin edilebilir. Güvenlik açısından bu elbette istenmeyen bir durumdur. Öyleyse lokal ağ için ayrı, internet hizmetlerimiz için ayrı bir DNS sunucusu kullanmamız gerekiyor. Sırada Zone Transfer tanımlamalarımız var. Internet korsanları bir sisteme atak yapmadan önce sistem hakkında bütün bilgileri toplar. Bilgi toplamak için başvurulan yöntemlerden biri de Zone Transfer özelliğidir. Zone Transfer özelliği kısıtlanmamış bir DNS sunucunuz varsa, tüm DNS kayıtlarının internet korsanının eline geçmesi birkaç saniyede olup bitecek bir iştir. Zone Transfer tanımlarını DNS sunucusu üzerinde yapabileceğiniz gibi Microsoft ISA’da dahil olmak üzere hybrid teknolojisine sahip bütün güvenlik duvarlarından da kısıtlayabilirsiniz. DNS Zone üzerinde sağ klik / Properties / Zone Transfer sekmesinde ihtiyaç duyduğumuz tanımları yapabiliriz. Birden fazla Ethernet kartımız bulunabilir. Tüm güvenlik duvarı tanımlamalarımızı dns sunucumuzun tek bir ip adresine göre yaptığımız için gereksiz arabirimlerin dns servisi vermesini engellememiz gerekir. Gerekli tanımları Action Menu / Properties / Interfaces / Only the following IP addresses bölümünden yapabiliriz. Bu bölümde gerekli dns sunucumuzun cevap vermesini istediğimiz IP adresini yazıyoruz. DNS sunucumuz bir domain controller üzerinde çalışıyorsa Active Directory özelliklerinden yararlanabilir. Yönetim işlevlerini Active Directory’de tanımlanmış kullanıcı hesapları yada gruplara atayabiliriz. Bu işlemleri dns sunucusu üzerinde sağ klik / Properties / Security bölümünde bulabilirsiniz. Active Directory imkanımız varsa Active DirectoryIntegrated DNS Zone özelliğini kullanabiliriz. Bu durumda active directory güvenlik tanımlarını DNS sunucular üzerinde yapmamızı ve secure dynamic zone update özelliğini kullanmamızı sağlayacaktır. Gerekli düzenlemeler ilgili DNS Zone’un Protesties sayfasının General sekmesinde yapılabilir. Bu arada hatırlatalım, Active Directory ile ilgili DNS tanımları Windows 2003 Web Edition’da bulunmamaktadır. Erkan Şen [email protected] Detaylı DNS güvenlik tanımlamalarımızı Windows Registry’sinden yapabiliriz. Registry lokasyonumuz HKEY_LOCAL_MACHINE\System\CurrentControlSet\Se rvices\DNS\. Örneğin bir kullanıcı hesabına DNS kayıtlarını okusun ama değiştiremesin gibi bir hak tanımlayabilirsiniz buradan. Yapılması gereken Registry Editor ile ilgili registry bölümüne gelip Permissions’ı işaretlerip Edit demek. Sıra geldi oldukça bilinen ve sıkça karşılaştığımız DNS ataklarını engelleyecek güvenlik tanımları yapmaya. Dns sunucumuza gelen DNS Pollution ataklarını engellemek için “Secure Cache Against Pollution” tanımlamasını yapmamız gerekiyor. Bu konuda Windows 2003 kullanıyorsak şanslıyız, çünkü bu özellik varsayılan olarak aktif durumda geliyor artık. Yine de Action Menu / Properties / Advanced / Server Options bölümünü ziyaret edip kontrollerimizi yapmamız gerekiyor. DNS Flood ataklarının önde gelenlerinden DNS Recursion ataklarını engellemek için recursion özelliğini kapatmamız gerekiyor. Ayarımızı Properties / Advanced / Server Options bölümüne gidip Disable DNS Recursion kutusunu işaretleyerek yapabiliriz. Son olarak Root Hints kontrollerini yapalım. Eğer lokal bir dns için tanımlama yapıyorsak, ilgili dns sunucumuzun internet isimlerini çözmesini engellemek için Root Hints bölümüne sadece lokal dns sunucularımızı yazmamız gerekiyor. Buraya kadar DNS sunucu ayarlarımızı yaptık. Ancak çok söylenen bir sözü tekrar etmek istiyorum. Güvenlik bir zincirdir ve en zayıf halkası kadar kuvvetlidir. Öyleyse dns sistemimizle ilgili her noktayı tek tek kontrol etmeye başlıyoruz. Bildiğiniz üzere .tr alan adlarından ODTU’nün nic.tr hizmeti sorumlu. Burada alan adımızı yöneten kullanıcı adı ve şifremizi güvenlik prosedürümüze uygun hale getirmemiz gerekiyor. Ayrıca uluslar arası alan adlarımızı korumak için hizmet aldığımız sağlayıcımızın güvenlik prosedürlerini kontrol etmek faydalı olacaktır. Artık birçok sağlayıcıda alan adınızın güvenliği için alan adı transferlerini otomatik olarak engelletebiliyorsunuz. DNS hizmeti veren sunucumuzda diğer tüm servislerin güvenlik ayalarını kontrol etmeyi ve tüm güvenlik yamalarını yüklemeyi asla unutmuyoruz. DNS sunucularımızın yüksek seviyede risk taşır. Örneğin bir online bankacılık uygulaması kullanıyorsa olayı bir dns değişikliğinde online bankacılık kullanan müşterilerimiz başka sunuculara yönlendirilebilir, kullanıcı hesapları ve şifreleri çalınabilir. Bir nevi phishing atağı düzenlenebilir. Bu yüzden güvenlik duvarı üzerindeki dns tanımlarımızı kontrol etmemiz, ağ ve sunucu tabanlı atak engelleme ürünlerimizi kontrol edip dns ataklarını ne ölçüde engellediğini kontrol etmemiz gerekir. Kısa Kısa • Beyaz Şapka … bir e-gazete değildir. Sadece basılı olarak yayınlanır ve seçkin okuyucularına gönderilir sayfaları okuyucularına açıktır • reklam ve ilan içermez marka bağımsızdır bilgiye yöneliktir • ücretsizdir bilgi güvenliğine önem veren sponsorlarının katkısı ile okuyucularına ulaşır • üç ayda bir yayınlanır • Juniper Networks IDP ürünü ile Gartner’ın Network IPS Magic Q u ad r an t li st e s i n e Leader kategorisinde girdi. Daha önce farklı ürünleri ile defalarca bu listede yer alan Juniper Network IPS Magic Quadrant kategorisinde liderliği McAfee IntruShield, 3Com TippingPoint, ISS Proventia ve SourceFire ile paylaştı. Symantec şirket satın almaya devam ediyor. Son olarak IMLogic şirketini satın alan Symantec Instant Messaging piyasasına da girdi. McAfee Network IPS ürünü olan IntruShield için 3.1 versiyonunu duyurdu. Yeni versiyon ile korelasyon ve DDoS atak koruması özellikleri güçlendirildi. FBI 2005 yılına ait Computer Crime Survey raporunu açıkladı. 5000 rapor edilmiş atağın bulunduğu rapor FBI’ın web sitesinden indirilebilir. http://www.fbi.gov/ p u b l i c a t i o n s / ccs2005.pdf FoundStone risk ve güvenlik açığı yönetim yazılımının yeni versiyonunu duyurdu. Ayrıca • • • geniş ölçekli dağıtımlar için FS850 donanımını da duyuran FoundStone HIPAA, SarbanesOxley, FISMA, BS7799/ ISO17799 ve PCI gibi endüstri standartlarına uyumlu denetimler yaparak rapor üretebiliyor. Symantec 2005 yılı güvenlik değerlendirme raporunu duyurdu. Rapora göre online bankacılık sistemlerine karşı yapılan bir sahtecilik olan Phishing ataklarında %100’e yakın artış var. Ayrıca akıllı cep telefonları için yazılmış toplam 73 kötü niyetli kodun 56’sının 2005 yılında ortaya çıktığı belirtilmiş. SANS 2005 yılının Top 20 güvenlik açığını duyurdu. SANS yorumuna göre siber ataklar hedef değiştiriyor. İşletim sistemi platformlarına yapılan ataklar azalırken uygulamalara ve ağ cihazlarına yapılan ataklarda hızlı bir artış gözleniyor. Hack edilmiş web sitelerinin bilgi bankasını tutan Zone-H portalına (www.zone-h.org) göz attığımızda Türk şirketlerinin, belediye ve kaymakamlık gibi küçük sistemlere sahip devlet • kurumlarının oldukça fazla atağa maruz kaldığını ve hack edildiğini görüyoruz. Bir başka ilgi çekici bilgi de son zamanlarda hack edilen platformların %50’den fazlasının Linux olması. Haberi hazırladığımız sırada kayıt altına alınmış günlük 762 atağın dağılımı şöyle: -%57.4 Linux -%18.3 Win2003 -%11.9 Win2000 -%10.4 FreeBSD -%1.7 Win NT/9x -%0.2 SunSolaris -%0.2 Bilinmeyen Intel geliştirmekte olduğu yeni donanım teknolojisi ile virüs ve kurtçukların önüne geçmeyi amaçladığını duyurdu. System Integrity Services adı verilen proje teknik olarak bilgisayar hafızasını daha sıkı bir kontrole tabi tutacak. Bu yeni hizmeti kullanabilmek için elbette işletim sistemi ve uygulamaların destek vermesi gerekiyor. Sistemin çalışması için antivirus ve benzeri güvenlik yazılımlarına ihtiyaç duyulmayacak. Görünen o ki bu teknolojiyi denemek için uzunca bir süre beklemeye devam edeceğiz. Ana Sponsorlarımız www.microsoft.com/turkiye www.nebulabilisim.com.tr Katılımcı Sponsorlarımız Nebula Bilişim Sistemleri Sanayi ve Ticaret Ltd. Şti. tarafından ücretsiz dağıtılan bir broşürdür. www.nebulabilisim.com.tr Beyaz Şapka’ya katkılarından dolayı tüm sponsorlarımıza ve yazarlarımıza teşekkür ederiz. Yayınlanan yazıların tüm sorumluluğu yazarlarına aittir. Lütfen her konuda bize fikrinizi yazın. www.beyazsapka.org [email protected]