Beyaz Şapka`dan Merhaba 2005`de Microsoft Linux

Şubat 2006
Beyaz Şapka’dan Merhaba
Beyaz Şapka’ya abone
olmak için web formumuzu
doldurabilirsiniz
www.beyazsapka.org
Uzunca bir zamandır hayal
ettiğimiz projemizi hayata
geçiriyor olmanın heyecanını
yaşıyoruz.
Beyaz Şapka ilk kez 2005’in
kasım ayında bir deneme
baskısı ile Ankara’da okurları ile buluştu. Almış olduğumuz olumlu tepkiler neticesinde ilk sayımızla karşınızdayız.
Beyaz Şapka’da bilgi güvenliğinde farklı bakış açıları
bulabileceksiniz. Özellikle
güvenlik testleri ve güncel
güvenlik riskleri konusunda
yayınlayacağımız yazılarımızın güvenlik yatırımlarınızı
yönetmekte sizlere yardımcı
olacağını umuyoruz. Anlatacağımız hacking yöntemlerinin ilginizi çekeceğinden
eminiz. Aynı zamanda güvenlik danışmanları ve üreticilerin yazıları ile bilişim sistemlerinde nasıl güvenlik
sağlanabileceğini anlatmaya
çalışacağız.
Beyaz Şapka Nebula Bilişim
önderliğinde dağıtılan bir
gazete. İçeriğinde her zaman Bilgi Güvenliği sektörüne ait haberler yer alacak
olan, Nebula uzmanları haricinde müşteriler, üreticiler,
dağıtıcılar ve diğer bilişim
şirketlerinde çalışan uzman-
G art n e r G ro u p, I D C ,
OmniGroup ve benzeri kurumsal araştırma şirketlerinin raporlarının yanı sıra
Computer Emergency
Response Team gibi kurumların istatistiksel verilerini de
Beyaz Şapka sayfalarına
taşıyacağız.
İngilizce White Hat, bilgi
güvenliği konusundaki tecrübelerini bilişim sistemlerinin
güvenliğini sağlamak amacı
ile kullanan uzmanlar için
kullanılan bir tabirdir. Bu ismi
Türkçeleştirerek projemize
Beyaz Şapka ismini verdik.
Bu sayıda:
Zayıf Nokta:
https
2
Uygulama
Güvenliği
3
Microsoft ve 4-5
Güvenlik
ların da makalelerinin yer
alacağı bir bilgi paylaşım
platformu.
Beyaz Şapka Ekibi
[email protected]
Bizi heyecanlandıran diğer
bir konu da Beyaz Şapka’nın
sizlerin katkılarıyla büyüyecek ve yolunu bulacak olması. Bu sebeple sayfalarımız
sizlere açık. Araştırmalarınızı, fikirlerinizi ve sorularınızı
bize iletin, sayfalarımıza
taşıyalım.
İlk sayımız olmasına rağmen
bilgi güvenliğine gerekli önemi veren ve sponsor olarak
Beyaz Şapka’ya destek olan
Microsoft Türkiye, McAfee
Türkiye, Elmer Yazılım Danışmanlık ve Webizyum’a
teşekkür ederiz.
Beyaz Şapka’nın şimdilik üç
ayda bir yayınlanacağını
hatırlatalım. Mayıs ayında
yayınlanacak olan ikinci sayımızda buluşmak dileğiyle...
Underground 6-7
Ağ Erişim Kontrolü - Cisco NAC
8
Web
Güvenliği
9
Uç Nokta 10
Güvenliği
Nessus 3 10
Versiyonu Çıktı
Güvenlik 11
Ayarları
Kısa Kısa 12
2005’de Microsoft Linux’dan güvenli
United States Computer
Em er g e nc y R e adi n e s s
Team (US-CERT) 2005 yılı
raporunu yayınladı.
2005 yılı raporuna göre
Windows işletim sistemlerinde tespit edilen açık sayısı
812. Linux/Unix işletim sistemlerinde ise 2328. Yaklaşık 3 kat fark var rakamlar
arasında.
Internet üzerinde bu konuda
biraz araştırma yaptım. Bazı
kimseler rakamların doğruları yansıtmadığını söylüyor ve
kendi kayıtlarına göre başka
rakamlar yayınlıyorlar. Ancak o hesaplarda da Microsoft büyük farkla önde.
Birkaç yıldır Microsoft’un
büyük güvenlik yatırımı ve
araştırma-geliştirme faaliyet-
Serkan Akcan
[email protected]
leri yaptığı biliniyor. Bu konu
ile ilgili Microsoft Türkiye’den
Göksel Topbaş’ın yazısını
Beyaz Şapka’da bulacaksınız. Raporlara göre Microsoft güvenlik yatırımlarının
karşılığını almış görünüyor.
US-CERT raporuna aşağıdaki adresten ulaşabilirsiniz.
http://www.us-cert.gov/cas/
bulletins/SB2005.html
Sayfa 2
Zayıf Nokta: https
Online alışveriş yaparken, web bankacılığında ya da
kullanıcı adı ve şifre girdiğiniz sayfalarda gözünüze ilişmiştir: “güvenli alışveriş”, “secure site”, “secured by xxx”.
Bunlar kısmen doğru olsa da güvenlidir diyemeyiz.
Burada bahsedilen güvenlik SSL güvenliğidir. Https protokolü ile web sunucusu ve istemci arasında gidip gelen
trafiği şifreleyerek ağ üzerinde herhangi bir noktadan
sniff edilmesini (dinlenmesini) engellemektir amacı. Özellikle kredi kartı bilgileri veya web bankacılığı giriş şifrelerini korumak için elbette zorunlu bir yöntem. Ancak oldukça büyük riskler de getiriyor web sunucusu barındıran
şirketler için.
Günümüzde güvenlik duvarı kullanmayan sistem kalmadı. Birçok büyük şirkette de ya bir atak engelleme sistemi
çalışıyor ya da proje aşamasında. Bu güvenlik ürünleri
artık olmazsa olmazlardan. Ancak şimdi işin farklı bir
boyutuna bakacağız.
Standart Intrusion Detection (IDS) ürünleri ağ üzerinde
konumlandırılır ve tüm trafiği yakalayıp atak arar. IDS’ler
akıllı cihazlar değildir, yakaladığı atağa karşı iki koruması
vardır. Tcp reset komutu gönderebilir atak yapan ip adresine ve güvenlik duvarına bağlanıp ilgili ip adresini blok
listesine yazdırtabilir. Ancak bu yöntemler oldukça yetersiz hatta risklidir.
Udp ataklarında reset diye bir imkan olmadığından
IDS’ler udp ataklarını izlemekle yetinir. Bazı IDS’ler icmp
ataklarına karşı unreachable cevabı dönebilir ama birçoğu bunu da yapamaz. Firewall’a kural yazdırmak ise bir
atak tipi ortaya çıkarmıştır. Örneğin IDS çalıştıran sisteme bir atak yapıp, atak sırasında source ip adreslerini
mask edip bilinen büyük dns sunucularının ip’sini yerleştirelim (odtu ve büyük isp’ler mesela). IDS’de gitsin bu
ip’leri firewall blok listesine eklesin. Bu durumda kurban
sistem dns çözümleyemez hale gelir. İntihar gibi bir şey
olsa gerek IDS’lerin firewall ürünlerine blok yazdırması.
IDS işi böyle biraz karışık ve amaçsızca giderken
Intrusion Prevention (IPS) sistemleri çıktı. Bunlar in-line
ve transparan olarak çalışıyor ve yapılan atağı kendi
üzerinde gerçek zamanlı olarak engelliyor. Zaten birçoğumuz IDS’lerimizi IPS’ler ile değiştirmiş durumdayız.
Tüm bu ürünleri neden alıyoruz? Güvenlik sağlamak için.
Bu ürünler https güvenliği sağlıyor mu? Hayır. Neden?
Çünkü https şifrelenmiştir ve ağ üzerinde çalışan güvenlik cihazları şifrelenmiş bu trafiği açıp içine bakamazlar.
Öyleyse bir https sunucumuza atak yapıldığında ids veya
ips cihazımızın olaydan haberi olmayacak.
Birçok büyük kurumda https sunucuları içler acısı durumda çalışıyor. Güvenlik danışmanlığı bu yüzden önemli.
Düzenli olarak danışmanlık hizmeti alarak zayıf noktaları
bir uzmana tespit ettirmenizi öneririm.
Serkan Akcan
[email protected]
Https üzerindeki bu tehdidi gören üreticiler önlem almaya
çalışıyorlar. Ancak bunların hiçbiri sektörde henüz standart haline gelmiş değil. Örneğin McAfee, IPS ürünü olan
IntruShield’e https tarayabilen bir özellik getirdi.
IntruShield’e web sunucusunun SSL anahtarını yükleyip
şifreli paketleri kontrol ettirebiliyorsunuz. Üstelik IPS cihazı bu durumda SSL end-point olmuyor. Sadece trafiği
kontrol ediyor, atak bulursa engelliyor, legal trafiği ise
yine şifreli biçimde web sunucusuna yolluyor. Şifreleme
performansını düşürmemek için de SSL Accelerator kartı
cihazda mevcut. Yeterli mi? Değil.
Biliyoruz ki IPS ürünleri genellikle 2 teknolojiye sahiptir.
Pattern-matching ve Protocol-anomaly. Patternmatching’de yapılan iş gelen paketlerde bilinen bir atağın
taranmasıdır. Protocol-anomaly’de ise RFC standartları
kontrol ediliyor ve standart dışı paketler engelleniyor.
Şimdi şu isimlere dikkat edelim: Sql injection, Cross-site
scripting, Command Injection, Cookie/session poisoning,
Parameter/form Tampering, Error Message Interception,
Application Platform Exploits. Tüm bu isimlerdeki ortak
nokta, tamamının uygulama açığı olması. IPS ürünleri
web uygulamaları da dahil olmak üzere, uygulamaları
çok iyi tanımazlar.
Bir çoğumuzun gözden kaçırdığı farklı bir pencere açmış
olduk bu noktada, uygulama güvenliği.
Beyaz Şapka’nın diğer yazılarında da görebileceğiniz gibi
artık eskisi kadar çok işletim sistemi açığı çıkmıyor. Üreticiler bu konuda çok daha hassas ve tecrübeli. Özellikle
otomatik güncelleme mekanizmaları ile yama eksiği bulunan bir kurban yakalamak çok zor internet üzerinde. Dolayısı ile artık ataklar uygulamalara çevrildi. Hatta birkaç
tane olan uygulama güvenliği tarama yazılımı üreten
şirket sayısı 50’ye yaklaştı. Buna paralel olarak ücretsiz
yazılımlar da her geçen gün artıyor. Bütün bu ürünlerin
performansları tartışılır. Ancak 10 tane uygulama güvenliği tarama yazılımı kullandığınız zaman hemen hemen
her web sitesinde açık bulmanız muhtemeldir. Yapmanız
gereken tek şey yazılımların deneme sürümlerini temin
etmek. Şahsen uygulama güvenliği tarama yazılımlarında Top 10 listem şöyle: McAfee FoundStone, Syhunt,
MaxPatrol, AppDetective, Kavado, SPI Dynamics,
Acunetix, VForce, N-Stealth, WHCC.
Tekrar üzerinden geçmek istiyorum. Yukarıda saydığım
uygulama güvenlik tarama yazılımları, web tabanlı her
uygulamayı tarar. Asp yada php sayfalarında bulunan en
küçük kod hatasını bulur ve sonuçlarını gösterir. Üstelik
bu taramayı https üzerinden yaparsanız, atak yaptığınız
sistemde bulunan Firewall, ağ tabanlı atak tespit ve engelleme sistemleri (NIDS/NIPS) gibi güvenlik ürünleri
SSL şifrelemesini bilmediğinden ve uygulama güvenliğinden anlamadığından etkisiz kalır. Bir sonraki sayfada
uygulama güvenliğinin nasıl sağlanabileceğini anlatmaya
çalışacağım.
Sayfa 3
Uygulama Güvenliği
Https zaafından bahsettik ancak http protokolünden hiç
bahsetmedik. Https için geçerli olan tüm riskler http için
de geçerlidir. Dolayısı ile bu yazı https ve http güvenliğini
kapsar.
Web güvenliğini düşündüğümüzde 4 temel güvenlik adımı üzerinde durabiliriz.
Güvenli Yazılım
Tüm güvenlik açıkları hatalı kod yazılması ile ortaya çıkar. Açık istemiyorsak kodlarımız sağlam olmalıdır. Güvenli yazılım için yazılım ekibini eğitimli ve tecrübeli kişilerden oluşturmalıyız. Elbette tek etken bu değil. Neticede bir web uygulamasında binlerce aktif sayfa çalışır ve
insan hatası sebebiyle bazılarında hata bulunması kaçınılmazdır. Hatalı kod üretimini engellemek için kodları
analiz eden ve hataları tespit edip önerilerde bulunan
yazılımlar kullanılmalıdır. Yazılım geliştirme platformu
oldukça geniş bir yelpazeye sahiptir. Bu sebeple uygun
kod denetimi yazılımını bulmak için güvenlik danışmanınıza ve uygulama geliştirme platformu üreticinize danışmanızı öneririm.
Sunucu Tabanlı Atak Engelleme Sistemi
Sonuçta tüm https ve http istekleri web sunucuları üzerinde işleme tabi tutulur. Sunucu Tabanlı Atak Engelleme
Sistemleri (HIPS) bilinen ve bilinmeyen açıklara karşı
koruma sağlayabilir. Doğru HIPS seçimi için korunacak
sistemin analizi yapılması gerekir. Örneğin korumamız
gereken platformda bir Microsoft SQL sunucusu bulunuyorsa, kullanacağımız HIPS sisteminin de Microsoft SQL
destekli bir ürün olması gerekir. HIPS üreticilerinin bazılarında değişik platformlar için değişik çözümler mevcuttur. Doğru seçimi ve konfigürasyonu yaratmak için güvenlik danışmanınıza başvurmanız gerekir.
Application Firewall
Application Firewall ürünleri uygulamaları korumak üzere
dizayn edilmiş özel ürünlerdir. Bu ürünlerde Cookie/
session poisoning, Sql injection veya Cross-site scripting
gibi atakların tamamına karşı koruma kalkanı bulunur.
Yukarıda bahsettiğimiz gibi yazılım geliştirme ekibi binlerce sayfa kod yazarken bazılarında hata yapmış olabilir.
Application Firewall ürünü atak tiplerini bildiği için gözden
kaçmış bu hatalı kodlara yapılacak atakları engeller. Ayrıca uygulamada hata bulunmasa bile, sisteme özel bilgileri web ziyaretçilerinden ve atak yapanlardan saklayacaktır.
Application Firewall piyasası oldukça karmaşık görünüyor. 1.000USD fiyatı olan ürünler de mevcut 30.000USD
fiyatı olan ürünler de. Tabi fiyatı düşük ürünlerin bu kadar
ucuza satılması bir tesadüf değil. Nitekim Microsoft tarafından ücretsiz olarak sağlanan yazılımlar ile (IISLock ve
URLScan) bu ucuz Application Firewall ürünleri arasında
çok büyük bir fark bulunmuyor.
Serkan Akcan
[email protected]
Ancak çok ciddi işler yapabilen ürünler de mevcut. Bunların bir kısmı yazılım olarak sunuluyor bir kısmı da kendi
özel donanımlara sahip. F5 Networks TrafficShield,
SecureComputing G2 Firewall/Security Appliance,
Imperva, InterDo, NetContinuum, AirLock ve e-Gap gibi
ürünler sektörde yer edinmiş ve kaliteleri ile kendilerini
ispatlamış ürünlerdir.
Application Firewall ürününü seçerken yine koruyacağımız bilgiyi ve platformu göz önünde bulundurmamız gerekiyor.
Öncelikle koruyacağımız uygulamayı belirlemeliyiz. Sadece web uygulaması koruyacaksak işimiz daha kolay.
Ancak bilgi bankalarını koruyacaksak kullanabileceğimiz
ürünler azalıyor.
Seçim sırasında önemli olan diğer bir nokta da platformumuz. Application Firewall ürünlerinin bir kısmı direk web
sunucusu üzerine yükleniyor. Microsoft IIS için geliştirilmiş bir ürünü Linux sistemimiz için düşünemeyiz normal
olarak. Kendi donanımına sahip olan ürünler bu noktada
öne çıkıyor, çünkü platform bağımsız. Web sunucu parkımız değişse bile Application Firewall ürünümüzü kullanmaya devam edebiliriz.
Dikkat etmemiz gereken son nokta ise ssl desteği Her
üründe https/ssl desteği bulunmuyor.
Penetration Test
O kadar çok güvenlik ürünü kullanıyoruz ki. Firewall,
antivirus sistemleri, ağ tabanlı ve sunucu tabanlı IDS/IPS
sistemleri, güvenlik tarama yazılımları, SSL Accelerator,
VPN, Application Firewall, Security Enabled Router ve
Switch’ler. İnsan yazmaktan yoruluyor.
Yine de sistemler hack ediliyor. Öyleyse internet korsanlarından daha hızlı davranmalıyız. Kurumsal güvenlik
prosedürümüzü belirlemeli ve denetimlerini yapmalıyız.
Aynı zamanda bu denetimleri güvenlik uzmanları ile paylaşmalıyız. Güvenlik sorunlarının yegane sebebinin insan
hataları olduğunu unutmamalıyız.
Hataları internet korsanlarından önce bulmak için önce
şirket içi denetimleri yeterli hale getirmek daha sonra
güvenlik uzmanlarınca gerekli denetim ve testlerin yapılmasını sağlamak akıllıca bir yol olacaktır. Aynı zamanda
bugüne kadar yapmış olduğunuz güvenlik yatırımının ne
kadar verimli çalıştığını ölçmek için de güvenlik denetimi
ve penetration test hizmetlerinin alınması gerekir.
Bir sonraki sayımızda Atak Engelleme Sistemlerini hakkındaki yazımla Beyaz Şapka’da yer alacağım. Türkiye’de satılan tüm IPS ürünlerinin bağımsız test sonuçları,
Gartner raporları, Türkiye’de desteği ve teknik özellikleri
konusunda yorumlarımı paylaşacağım. Ayrıca IPS ürünlerinin birkaç yıl sonra ne gibi yeniliklerle karşımıza çıkacağını da gelecek yazımda bulabilirsiniz.
Sayfa 4
Microsoft ve Güvenlik
Microsoft olarak, işletmelerin güvenlik ihtiyaç ve çözümlerinin etkin bir şekilde adreslemeyi hedefleyen Beyaz
Şapka Bilgi Güvenliği gazetesine, bu girişimi dolayısıyla
teşekkür ediyor ve yayın hayatının başarılı olmasını diliyoruz. Ülkemizde güvenlik konusunda yolun başında
olduğumuz ve bilgilendirme, yol gösterme konularının
son derece gerekli olduğu düşünüldüğünde, Beyaz Şapka’nın atmış olduğu bu adımın ne kadar doğru olduğu bir
kez daha ortaya çıkıyor.
Son yirmi yıl içinde, bilgi sistemleri modelinin, sınırlı erişime olanak veren merkezi bir yapı olmaktan çıkması, bilginin toplanma, paylaşılma ve kullanıma sunulma biçimine göre dağınık bir yapıya bürünmesi, beraberinde kaçınılmaz olarak bilgi güvenliği kavramını hayatımıza soktu.
Bilgi güvenliği, sadece bilgisayarınıza yapılan saldırılar
ile kısıtlı kalan bir konu değil elbette. Bu konuya, daha
geniş açıdan baktığımızda, zarar veren veya atakta olanın karşı tarafında duran uygulama ve yöntemleri de,
geniş güvenlik konusu içinde incelememiz doğru olacaktır. Microsoft olarak, bilgi güvenliğinin ne kadar önemli
olduğu bilinci içerisindeyiz ve tüm ürünlerimizde ve çözümlerimizde bilgi güvenliğini en ön planda tutarken, aynı
zamanda bilgi güvenliğini sağlayan ve artıran çözümlerimiz ile de, işletmelerin tüm bilgi güvenlik gereksinimlerini
karşılamayı hedefliyoruz. Dijital hak yönetimi, sertifikalar,
ISA Server 2004, Microsoft AntiSpyware, Sybari gibi
ürünlerimiz ve çevresindeki çözümlerimiz ile bilginin güvenli bir şekilde oluşturulması, saklanması ve paylaşılmasını hedeflerken, System Management Server, MBSA,
WSUS, Microsoft Update ve dijital imza konu ve uygulamaları ile de, işletmelerin sistem ve yazılım güvenliklerini
en üst seviyeye çıkarmayı ve güvenliği süreçleri ile birlikte bir bütün olarak ele alınması için gerekli alt yapıyı sağlıyoruz.
Bu ilk yazımızda, Beya Şapka okuyucularına öncelikle
Microsoft olarak bilgi güvenliğine bakışımızı paylaşarak
başlamak istiyoruz. Ardından, mümkün olduğu kadar ilgili
teknoloji ve çözümlerimizi kısa başlıklar halinde tanıtmaya çalışacağız.
Güvenliğe bakışımız
Bilgisayar endüstrisinde lider şirketlerinden biri olarak,
Microsoft’a güvenlik konusunda da büyük bir sorumluluk
düştüğüne inanıyoruz. Bu bilinç ile müşteri ve endüstrimizi korumaya yardımcı olacak yazılım ve hizmetler geliştirmeye odaklanmış durumdayız. Güvenliği, her halkasının
çok güçlü olması gereken bir zincire benzetmek ve zincirin halkalarını ise tasarım, kullanım, kurulum ve kullanıcı
bilinçlendirmesi olarak tanımlamak mümkün. Microsoft,
bilgisayar kullanıcılarına güvenli ve kaliteli bir bilgisayar
tecrübesi yaşatmayı amaçlayan bir vizyon ile, 2002 yılının ilk yarısından itibaren güvenlik alanındaki yatırımlarını artırmış ve 100 milyon doların üzerinde bir yatırım
gerçekleştirmiştir. Amacımız ise, tüm ürünlerimizde güvenliği merkeze oturtarak kullanıcılara daha kaliteli ve
güvenli bir bilgisayar tecrübesi yaşatmaktır. Bu vizyon ile
temel dört nokta hedeflenmiştir;
Göksel TOPBAŞ
[email protected]
Tasarım Güvenliği
Tasarım güvenliğinin amacı, bir ürünün piyasaya sunulmadan önce bütün güvenlik sorunlarının ortadan kaldırılması ve ürünün güvenliğini artırıcı özelliklerin eklenmesidir. Tasarım güvenliği, ürünün kullanıcıya sunulduğu
anda kod olarak en güvenli hale getirilmesini amaçlamaktadır. Microsoft, bu amaç ile yazılım geliştirme süreçlerini düzenlemiş ve bu düzenlemenin getirdiği artıları
Windows Server 2003’ den itibaren kullanıcılarına yaşatmaya başlamıştır. Girişim sonrasında piyasaya sunduğumuz Windows Server 2003’te yayınlamış olduğumuz
güvenlik açıkları, Windows Server 2000’a göre aynı sürede altıda bir (36 iken 6) seviyelerine düşmüştür.
Kurulum Güvenliği
Firmalara yapılan ataklar ve bu ataklar sonucu oluşan
zararların nedenleri araştırıldığında, %80 oranında nedenin yanlış konfigürasyon ya da bilmeden açık bırakılan
bir servis veya ayar olduğu gözlenmiştir. Kullanım güvenliğinin ana fikri, Microsoft’un çeşitli müşteri senaryolarında gerekli olmayan hizmetleri ortadan kaldırarak ve otomatik olarak sağlanan hakları azaltarak daha güvenli
ürünler sunmasıdır. Hedeflenen ise, ürünün kim tarafından kurulur ise kurulsun atak düzeyi en aza indirilmiş
şekilde kurulabilmesini sağlamaktadır.
Kullanım Güvenliği
Tasarım ve kurulum güvenliği, son derece önemli olmakla birlikte, sadece ürün ve çözümler oluşturulduktan sonra uygulanabilirler. Kullanım güvenliği ise, çok daha kritik
bir işleve sahiptir. Sebebi ise, bilgisayar operasyonları ve
ağ sistemleri süreklilik arz eden bir etkinlik alanı olmasıdır. Bu çabaya destek olmak amacıyla Microsoft, müşterilerine kullanım güvenliğini sağlayacak araçları ve teknolojileri geliştirmekte ve kullanıma sunmaktadır. Bu teknolojiler, her türlü ihtiyaca sahip kullanıcıya ulaşabilecek
detayda tasarlanmıştır. Bu alandaki teknolojiler aşağıdaki
gibi özetlenebilir:
Microsoft Update (güncelleme) : Kişisel bilgisayar kullanıcılarının güvenle çalışabilmelerini hedeflemektedir. Bu
sayede Windows, Office ve bir çok sunucu sistemler için
güncellemeler istenir ise, otomatik olarak alınabilmekte
ve kullanıcının her türlü güncellemeye sahip daha güvenli bir bilgisayar tecrübesi yaşaması amaçlanmaktadır.
Windows Server Update (WSUS) Servisi : Bu servis,
küçük ve orta ölçekli firmalar için yüklenecek güncellemelerin merkezi bir noktadan denetimi ve testlerinin yapılabilmesi amacı ile düşünülmüş bir araçtır. Çok yüksek
kullanım oranına sahip olan WSUS, özellikle henüz bir
bilgi işlem çalışanı olmayan firmalar için büyük kullanım
kolaylığı sağlamaktadır. Sahip olmak çok kolaydır.
System Management Server : Çok kullanıcılı, büyük ve
orta ölçekli firmaların merkezi bir yönetim sağlamasını
amaçlayan bir sunucu grubu ürünümüzdür. Amacı sadece tüm istemci ve sunucular için güvenlik güncellemeleri
Sayfa 6
Underground
Coşkun Kamiloğlu
[email protected]
2000 yılının ekim ayında Los Angeles uluslararası
havaalanı hava trafik kontrol sistemi yazılımında
meydana gelen bir sorun, yüzlerce uçağın acil iniş
yapmasına, bir o kadar uçuşun da iptal edilmesine sebep
olmuştu. Problemin hava trafik sorumlusunun 5 karakter
olması gereken uçus tanımlama bilgisinin 9 karakter
olarak sisteme girmesinden kaynaklandığı, bu durumun
aslında bir “Buffer Overflow” hatası olduğu öğrenildi.
char input[ ] = "BUFFERIoverflowYAPALIM";
char buffer[10];
strcpy(buffer, input);
Buffer Overflow veya Buffer Overrun, yazılımın sistem
hafızasında ayırdığı alana , bu alanın kapasitesinin üzerinde bilgi yazılması ile meydana gelen kural dışı durumdur. Sistem hafızasına yazılan bilgi kendisi için ayrılmış
alandan daha fazla yer kapladığı için bu ekstra bilgi muhtemelen diğer bilgi kümelerini tutan başka bir bölgeye
kaydırılır. Bu bölge programda belirtilmediği için kontrol
dışıdır ve herhangi bir kod parçası bu bölgede rahatça
çalıştırılabilir.
char input[ ] = "BUFFERIoverflowYAPALIM";
char buffer[10];
strncpy(buffer, input, sizeof(buffer);
Eski veya yeni yazılım programlama dillerinin büyük bir
kısmı bu tıp olağan dışı durumlara karşı duyarlıdır ve
kendi içlerinde bu tip durumları kontrol edebilen mekanizmalara sahiptir. Bir kaç istisna hariç C ve C++. Bu iki
programlama dili yapılarında Buffer Overflow önleyici
mekanizma barındırmazlar (Bazı versiyonlar da koruma
mekanizması vardır ancak performans sebebi ile yazılımcılar tarafından tercih edilmezler). Bu durumda Buffer
Overflow hatalarının tamamen yazılımcıların dikkatsizliğinden kaynaklandığını ve her zaman bu hataların düzeltilebileceğini söylemek yerinde olur.
Basit bir örnekle söylemeye çalıştığımızı pekiştirelim.
Yukarıda ki kod parçası segmantasyon hatasına sebep
olabilir. Çünkü hafızada 10 byte olarak ayrılan bölgeye
22 byte yazmaya çalışılmaktadır. Kodun güvenli versiyonu aşağıda yazıldığı gibi olmalıdır.
C ve C++ programlama dilleri bu tip hatalara zemin
hazırlayan oldukça fazla sayıda fonksiyon veya sıkça
kullanılan library içerir. Örnek vermek gerekirse realpath
(3), getopt(3), getpass(3), streadd(3), strecpy(3)
fonksiyonlarını sıralayabiliriz. Bu dillerin yapılarında
kontrol mekanizmaları olmadığından dolayı hataların
kontrolü tamamen yazılımcı tarafından yapılmakta,
yazılımcının gözden kaçırdığı noktalar saldırganlar
tarafından bulunmaktadır.
Last Stage of Delirium araştırma grubu tarafından 2003
yılında bulunan, Microsoft® Windows İşletim
sistemlerinin bir çoğunu etkileyen RPC DCOM MSO3026 açığını örnekleyelim.
Gerekli yamalar yüklenmemiş bir Windows 2003
enterprise sunucusuna yukarıda bahsi geçen açığı
Metasploit kullanarak deneyelim. Metasploit ücretsiz
olarak dağıtılan bir hacking aracıdır.
Bu açığı kullanarak kolayca sisteme bağlandık. Windows 2003 sunucu komut satırı karşımızda ve sistemde
dilediğimız değişiklikleri yapabiliriz. Öncelikle hack ettiğimiz sistemde kendimize bir kullanıcı yaratalım.
Sayfa 7
Coşkun Kamiloğlu
Underground
[email protected]
Çok zor bir işmiş gibi görünmüyor değil mi? Tam olarak sunucuya logon olmuş ve komut satırı penceresini açmış gibi
her istediğimiz yapabiliriz bu durumda. Hatta VNC gibi yazılımları enjekte edip grafik ara yüzü ile kendimize bağlantı
yapmasını da sağlayabiliriz.
Atak yaptığımız sunucunun durumunu kontrol ettiğimizde yarattığımız kullanıcı hesabını görebiliriz.
Nasıl Korunurum?
Referanslar
Buffer Overflow açıklarını takip etmek imkansızdır.
Sıfırıncı gün koruması, yani açık tespit edildiği anda bile
koruma altında olmak için tek çaremiz Buffer Overflow
denetimi yapabilen güvenlik yazılımları kullanmak.
http://www.windowsecurity.com/articles/
Analysis_of_Buffer_Overflow_Attacks.html
Aklımıza iki önemli sunucu atak engelleme (HIPS) ürünü
geliyor hemen.
McAfee Entercept ve Cisco Security Agent. Buffer
Overflow koruma teknolojisi birçok HIPS ürününe de
eklenmiş durumda. Ancak bu iki ürünün de oldukça eski
bir mazisi var ve oldukça geniş referans listeleri bulunuyor.
Bu ürünler kendi teknolojileri ile buffer taşmasını algılıyor
ve gerekli yamalar yüklenmemiş olsa bile atağı engelleyebiliyor.
http://www.mcafee.com/us/local_content/white_papers/
wp_ricochetbriefbuffer.pdf
http://www.microsoft.com/technet/security/bulletin/MS03026.mspx
http://www.metasploit.com/
http://www.mcafee.com/us/products/mcafee/host_ips/
desktop_server_agents.htm
http://www.cisco.com/en/US/products/sw/secursw/
ps5057/index.html
Sayfa 8
Ağ Erişim Kontrolü—Cisco NAC
Sayıları günden güne artan güvenlik açıkları, virüsler,
solucanlar, casus yazılımlar ağlar için büyük sorunlar
oluşturuyor ve her yıl şirketlerin milyonlarca dolar zarar
etmelerine neden oluyor. Bu durum sadece bu tehditleri
önlemek için oluşturulan koruma sistemlerinin maliyetleri
olarak algılanmamalı, herhangi bir şekilde bu tehditlerin
ağ içerisinde ortaya çıkması durumunda yaşanan iş gücü
kaybı ve vereceği zararlarda hesaba katılmalıdır. Cisco
Systems’ın önderliğini yaptığı ve güvenlik alanında önde
gelen şirketlerin desteklediği Network Admission Control
(NAC) çözümü ağların karşı karşıya oldukları tehlikeleri
en aza indirmeyi amaçlıyor.
Geleneksel güvenlik teknolojileri bu tehditler karşısında
zaman zaman engelleyici çözümler sağlayamıyor ve ağ
üzerinde bu gibi tehditlerle zaman zaman karşılaşılabiliyor. Bu gibi durumlar için daha iyi bir alternatif çözüm
oluşturan NAC teknolojisi ağ altyapısını kullanarak kullanıcıların gerekli güvenlik politikalarına uyup uymadıklarını
kontrol ederek ağları tehlikelerden koruyor.
NAC’ın amacı ağ kaynaklarına erişmek isteyen cihazların
bu istekleri sırasında kurumsal güvenlik politikalarına
uygunluğunu belirlemek ve uygun olmayan cihazların
uygunluğunun sağlanarak virüs, solucan ve casus yazılım gibi tehditlerin yaratacağı zararları sınırlamaktır. NAC
sadece güvendiği ve uygunluğu belirlenmiş uç cihazların
(Masaüstü, dizüstü, avuç içi bilgisayarlar, sunucular vs)
ağa erişimine izin verir ve bunun dışındaki sistemlerin
erişimini kısıtlar.
Hakan Tağmaç
[email protected]
Ağa bağlanacak dizüstü, masaüstü, sunucu ve avuçiçi
bilgisayarlar üzerine Cisco Trust Agent, CTA yazılımı
yükleniyor. CTA ise üzerine kurulduğu makineden
antivirus, işletim sistemi versiyon, yama vs bilgisini alarak
Cisco ağına gönderir. Cisco yönlendirici, anahtar, kablosuz ulaşım noktası, güvenlik cihazları gibi ağ erişim cihazları CTA tarafından gönderilen bilgiyi politika sunucularına yollar. Politika sunucularında ağ erişim tipi kararı
(İzin ver, izin verme, karantinaya al ve kısıtla gibi) verilerek bu bilgi ağ erişim cihazlarına yollanır ve ağ erişim
cihazı da bu kararı uygular. Bu politika sunucularının
temelini Cisco Access Control Server, ACS oluşturur.
CTA’nın ilettiği bilgiler detaylı değerlendirilerek erişim
tipinin seçimi Antivirus ve benzeri politika sunucularında
gerçekleşir. Örneğin istenilen virus yazılım versiyonunda
olmayan bir kullanıcı karantinadan ağa alınır ve yazılımını güncelleyene kadar sadece ilgili antivirus sunucusuna
erişimi sağlanır.
Cisco Yönlendirici, anahtar, kablosuz ulaşım noktası,
güvenlik cihazları gibi ağ erişim cihazları yerine Cisco
NAC aracı diye geçen Cisco Clean Access yazılımı ve
buna ek olarak Cisco Clean Access Manager’ın kullanılmasının durumunda; uç noktanın değerlendirilmesi, kullanıcı ve politika yönetimi, Microsoft ve önde gelen
antivirüs/antispyware üreticilerinin otomatik güncellemesinin sağlanması mümkün olur.
Günümüzde sunulan ağ erişim kontrol seçenekleri arasında kolay kurulum, basitleştirilmiş ve bütünleşik yapısıyla bu son seçenekte ilgi ile karşılanmaktadır.
Sayfa 9
Web Uygulamaları Güvenliği
Oktay Kılıç
[email protected]
Beyaz Şapka sayfalarında sizlerle web uygulamalarının
güvenlik sorunları ile web barındırmayla ilgili güvenlik
detaylarından ve bunlara karşı alınabilecek önlemlerden
bahsetmeye çalışacağım. Bu konular bildiğiniz gibi geniş
bir kitleye hitap etmekte ve birçok alt dalı bulunuyor. Web
uygulamaları güvenliği ile ilgili okumak ve öğrenmek istediklerinizi bana bildirebilirseniz Beyaz Şapka’nın gelecek
sayılarında bu konularda yazma imkanı bulabilirim.
İlk sayımızda veri tabanı kullanan dinamik web siteleri
için büyük bir tehdit oluşturan SQL Injection saldırı yönteminin ne olduğunu, bu yöntemin işleyişini örnekler yoluyla anlatıp korunma yöntemlerinden bahsedeceğim.
SQL Injection, kötü niyetli kişilerin bir web sitesinin Query
String ya da form değerleri vasıtasıyla otomatik olarak
ürettiği SQL komutlarının içeriğine müdahale etmektir.
Query string, artık hepimizin web sayfalarında gördüğü
http://www.websitesi.com/uyeol.php?
kullanici_adi=deneme gibi soru işaretinden sonra gelen
kısma verilen isimdir. Kötü niyetli kullanıcı bu adresin
sonuna uyeol.php?kullanici_adi=deneme; DROP Table
Uyeler -- gibi bir kod eklerse ve eğer önlem alınmamışsa
veritabanındaki “Uyeler” tablosunu silinir. Yine örneğin bir
üyelik sistemindeki üye olma formunda bir takım sorgularla SQL yapısı zedelenebilir. Bunu bir örnekle açıklayalım.
Bu iki şekilde de yapılabilen SQL Injection işleminden
aralarında yahoo.com, websamba.com, kanald.com.tr
gibi sitelerinde bulunduğu yerli yabancı birçok web sitesi
zarar görmüştür.
SQL Injection yönteminin ne olduğu ve ne gibi zararlar
verebileceği hakkında az çok bir fikir sahibi olduktan sonra, bu saldırı çeşidinden hangi yollarla kurtulabiliriz ondan bahsedelim. Öncelikle SQL Injection ile ilgili önlemi
web sitesindeki dinamik içeriği kodlayan programcı ile
web barındırma hizmetinin alındığı sunucunun yöneticisinin alabileceğini belirtelim. Programcıya düşen ilk ve en
önemli iş Query string ve form ile dışarıdan alınan tüm
verilerin mutlaka kontrol edilmesi ve sonrasında veritabanına işlenmesidir.
İkinci olarak ise SQL içindeki verilerin ‘’ içine alınmasıdır.
Üçüncü önemli önlem de SQL yapısında kullanılan ‘ |
( gibi karakterlerin formlardan ve Query stringten geçişini
engellemek ve bunları bazı karakterlerle etkisiz hale getirip öyle veritabanına işletmektir. Bundan sonraki önlemler programcının kullandığı dil ile ilgilidir. Kullanılan dilde
SQL için zararlı ifadeler oluşabilmektedir. Bunların tek
tek kontrol edilip yazılımın kodlarından çıkarılması şarttır.
Site için web barındırma hizmeti alınan sunucudaki web
programlama dili çalıştırıcısının ayarlarının bu tip saldırılara karşı düzgün yapılandırılması gerekmektedir. Örneğin php kodunda sorgular için root yetkisi gerekmekte ve
mySQL için eğer uzaktan erişim yetkisi verilmişse bu bir
takım açıklara neden olabilir. Bununla birlikte mutlaka
php kodunda SQL yapısında kullanılan özel karakterlerin
SQL Injection açığına olanak sağlamasını önlemek için
kullanılan magic quotes web sunucusunun php yapılandırma dosyasında mutlaka açılmalıdır. Bu ve bunun gibi
birçok önlem hâlihazırdaki SQL Değiştirme açıklarını
önlemek için bulunmaktadır. Önemli olan web uygulaması hazırlanırken ve çalıştırılırken yapılan titizliktir.
Yukarıdaki üyelik sisteminin üye kayıt formunda üye adına “ hacker’,’sifre’), (‘asil_uye “gibi bir girdi yazarsak
eğer, mySQL sorgumuz aynı anda iki üyelik kaydı alacak
şekilde değişecek ve aşağıdaki ekran görüntüsündeki
gibi zarar görecektir.
SQL Injection gibi açıkların özel güvenlik ürünleri ile de
engellenebildiğini hatırlatmadan geçmeyelim.
Verdiğim örnekler umarım açıklayıcı olmuştur. İstek ve
yorumlarınızı bana iletmekte tereddüt etmeyiniz.
Bir sonraki sayımızda buluşmak üzere...
Sayfa 10
Uç Nokta Güvenliği
Mehmet Can
[email protected]
Masaüstü ve dizüstü bilgisayarların uç noktaları ve CDDVD yazıcı gibi sürücüler kurumlarda güvenlik sorunlarının en çok yaşandığı korunmasız yerlerdir. Akıl almaz bir
hızla yaşamımıza giren ve kolayca kurulabilen USB ve
FireWire aygıtları, Bluetooth adaptörleri gibi yeni bağlantı
olanakları, uç noktaların bu denli savunmasız olmalarında en büyük etkendir.
yetkin çözümler sunan ve bu konuda yeni bir güvenlik
katmanı oluşturulmasına olanak sağlayan yazılımlar geliştirilmiştir. Bu yazılımlar yardımıyla, kurum içinde belirlenen uç nokta güvenliği politikaları kolaylıkla uygulanabilir.
Denetimsiz uç noktalar, bilerek ya da bilmeyerek, bilgisayar virüsleri gibi zararlı yazılımların kurum iletişim ağına
girmesine olanak sağlayan noktalar olmasının yanında,
gizli kurumsal verinin kurum dışına çıkarılmasının en
kolay yoludur.
•
Öteden beri bilinen bir gerçeği bir kez daha yinelemekte
yarar var: Bilgi teknolojilerinde yaşanan güvenlik ihlali
olaylarının yarıdan çoğu ne yazık ki kurum içinde gerçekleşmektedir. Ayrıca, kurumsal verinin yaklaşık %60 oranında bir kısmı korunmasız uç noktalarda yer almaktadır.
•
Bir başka önemli konu, güvenlik duvarı ve antivirus yazılımlarının kurum içindeki uç noktalarda verilerin çalınmasına ya da bozulmasına karşı herhangi bir koruma sağlamadığı gerçeğidir. Bilindiği gibi, dijital kamera, MP3 çalıcısı ya da flash bellek kullanarak USB bağlantısı üzerinden yükleme ve indirme yapmak için yönetici haklarına
sahip olmak gerekmez ve donanım düzeyindeki bu tür
etkinlikler Group Policy ile yönetilemez.
Bu yazılımlar çok temel olarak aşağıdaki işlevleri yerine
getirir.
•
•
•
•
•
•
•
•
Ağ yöneticileri uç nokta güvenliğini sağlamak ve denetlemekle yükümlüdürler. Bu nedenle, yetkisiz kullanıcıların
USB ve FireWire aygıtlarını, WiFi ve Bluetooth adaptörlerini, CD-Rom ve disket sürücülerini, seri ve paralel
portları ve daha diğer bir çok tak-çalıştır aygıtlarının kullanımını kısıtlamaları ya da tümüyle engellemeleri gerekmektedir.
Peki nasıl? Kuşkusuz BT yöneticileri bu konuda artık
yalnız değiller. Son yıllarda uç nokta güvenliği alanında .
Nessus 3 versiyonu çıktı
En çok kullanılan ve ücretsiz olan güvenlik tarama yazılımı Nessus yeni versiyonunu duyurdu. Heyecanla beklenen Nessus 3.0 versiyonu fanatiklerini bir parça üzdü.
Üzüntünün 2 ayrı sebebi var. İlk sebebi Nessus artık
open-source değil. Gerçi bu durum daha önce duyurulmuştu. Ücretsiz olarak dağıtılmaya devam edecek olan
Nessus’un kaynak kodunu açmamasının temel sebebi
bazı firmaların bu kaynak kodları ile ürün geliştirip satmaya başlaması yada donanımlara Nessus yüklenerek güvenlik tarama ürünü yaratılması. Nessus bu ticari savaş
içerisinde olmamak için kaynak kodlarını kapadığını söylüyor. Bu durum gerçekte ticari bir oyun. Nessus daha
önce Tenable Network Security adı altında bir şirket kurdu ve kendini ticari olarak korumaya çalışıyor.
Hangi kullanıcı ya da grupların USB ve FireWire
portlarına, WiFi ve Bluetooth adaptörlerine, CDRom, disket sürücü ve diğer çıkarılabilen aygıtlara
erişebilecekleri denetlenebilir
Saat aralığı ya da güne bağlı olarak aygıt erişimleri
denetlenebilir
Diğer ayarlardan bağımsız olarak belirlenen USB
aygıtlarına erişim izni verilebilir
Kullanıcılara ağ bağlantısı olmasa bile USB aygıtlara
geçici erişim hakkı verilebilir
Aygıtlar salt-okunur olarak belirlenebilir
Disklerin kasıtlı ya da kasıtsız formatlanması engellenebilir
Erişim hakları, Group Policy kullanarak Active
Directory ile dağıtılabilir
Merkezi yönetim konsolu ile uzaktan yönetim yapılabilir
Port ve aygıt erişimlerinin, kullanıcıların indirme ve
yükleme bilgileri de dahil tüm kayıtları Windows
Event Log standardında görülebilir
Belirlenen hakların raporu alınabilir.
Bu alanda en bilindik iki ürün DeviceLock ve Safend
Protector olup, her iki yazılım da Elmer Yazılım’dan sağlanabilir. Elmer Yazılım, bir yazılım sağlayıcısı olarak,
başta VMware, WebTrends, NetIQ, InstallShield,
Puresight, Shavlik, NetSupportSoftware, Mindjet,
ISDecisions olmak üzere pek çok yazılım şirketi ürünlerinin satış ve dağıtımını yapmakta, eğitim ve destek hizmetlerini vermektedir.
Sinan Yılmaz
[email protected]
Fanatiklerin ikinci üzüntüsü performans oldu. Her ne kadar Nessus 3.0’ın çok daha hızlı çalıştığı söylense de
aşırı miktarda kaynak kullanıyordu. Nitekim Nessus 3.0
versiyonun çıkmasının üzerinden 1 ay geçmeden yeni
versiyon duyuruldu, Nessus 3.0.1.
Nessus ilk kez Windows üzerinde çalışacak yazılımını da
geliştiriyor. Duyurulara göre 2006 yılı başında Windows
versiyonu hazır olacaktı. Henüz Windows versiyonu piyasaya çıkmadı. Windows versiyonu da diğer versiyonlar
gibi ücretsiz olarak dağıtılacak ancak kaynak kodu açık
olmayacak.
Sayfa 11
Güvenlik Ayarları
Güvenlik sağlamanın en önemli adımlarından biri Sistem
Katılaştırma (System Hardenning) hizmetleri sağlamaktır.
Sistemlerin daha güvenli çalışabilmesi için ihtiyaç duyulmayan ya da risk taşıyan hizmetlerin, teknolojilerin ve
özelliklerin kapatılması yada kısıtlanması gerekir. Bir
çoğumuz örneğin Windows 2003 sunucular için Microsoft
tarafından yayınlanmış olan güvenlik kontrol listesini uyguluyoruz. İşletim sistemi için ne kadar güvenlik tanımı
yapma gereksinimiz varsa servisler için de aynı gereksinim bulunuyor. Güvenlik Ayarları yazı dizimizde servislerin nasıl güvenli hale getirilebileceğini anlatacağız. İlk
konumuz Microsoft DNS servisi.
İlk işimiz DNS altyapımıza göz atmak. Eğer tek DNS
sunucusu ile hem lokal hem de internet isim çözümleme
işlerimizi hallediyorsak hemen ikinci sunucumuzu hazırlamamız gerekir. Nitekim internet üzerinden ulaşılan DNS
sunucusu üzerinde yapılacak sorgulamalarda lokal bilgisayarlarımızın bilgileri temin edilebilir. Güvenlik açısından bu elbette istenmeyen bir durumdur. Öyleyse lokal
ağ için ayrı, internet hizmetlerimiz için ayrı bir DNS sunucusu kullanmamız gerekiyor.
Sırada Zone Transfer tanımlamalarımız var. Internet korsanları bir sisteme atak yapmadan önce sistem hakkında
bütün bilgileri toplar. Bilgi toplamak için başvurulan yöntemlerden biri de Zone Transfer özelliğidir. Zone Transfer
özelliği kısıtlanmamış bir DNS sunucunuz varsa, tüm
DNS kayıtlarının internet korsanının eline geçmesi birkaç
saniyede olup bitecek bir iştir. Zone Transfer tanımlarını
DNS sunucusu üzerinde yapabileceğiniz gibi Microsoft
ISA’da dahil olmak üzere hybrid teknolojisine sahip bütün
güvenlik duvarlarından da kısıtlayabilirsiniz. DNS Zone
üzerinde sağ klik / Properties / Zone Transfer sekmesinde ihtiyaç duyduğumuz tanımları yapabiliriz.
Birden fazla Ethernet kartımız bulunabilir. Tüm güvenlik
duvarı tanımlamalarımızı dns sunucumuzun tek bir ip
adresine göre yaptığımız için gereksiz arabirimlerin dns
servisi vermesini engellememiz gerekir. Gerekli tanımları
Action Menu / Properties / Interfaces / Only the following
IP addresses bölümünden yapabiliriz. Bu bölümde gerekli dns sunucumuzun cevap vermesini istediğimiz IP adresini yazıyoruz.
DNS sunucumuz bir domain controller üzerinde çalışıyorsa Active Directory özelliklerinden yararlanabilir. Yönetim
işlevlerini Active Directory’de tanımlanmış kullanıcı hesapları yada gruplara atayabiliriz. Bu işlemleri dns sunucusu üzerinde sağ klik / Properties / Security bölümünde
bulabilirsiniz.
Active Directory imkanımız varsa Active DirectoryIntegrated DNS Zone özelliğini kullanabiliriz. Bu durumda
active directory güvenlik tanımlarını DNS sunucular üzerinde yapmamızı ve secure dynamic zone update özelliğini kullanmamızı sağlayacaktır. Gerekli düzenlemeler
ilgili DNS Zone’un Protesties sayfasının General sekmesinde yapılabilir. Bu arada hatırlatalım, Active Directory
ile ilgili DNS tanımları Windows 2003 Web Edition’da
bulunmamaktadır.
Erkan Şen
[email protected]
Detaylı DNS güvenlik tanımlamalarımızı Windows
Registry’sinden yapabiliriz. Registry lokasyonumuz
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Se
rvices\DNS\. Örneğin bir kullanıcı hesabına DNS kayıtlarını okusun ama değiştiremesin gibi bir hak tanımlayabilirsiniz buradan. Yapılması gereken Registry Editor ile
ilgili registry bölümüne gelip Permissions’ı işaretlerip Edit
demek.
Sıra geldi oldukça bilinen ve sıkça karşılaştığımız DNS
ataklarını engelleyecek güvenlik tanımları yapmaya.
Dns sunucumuza gelen DNS Pollution ataklarını engellemek için “Secure Cache Against Pollution” tanımlamasını
yapmamız gerekiyor. Bu konuda Windows 2003 kullanıyorsak şanslıyız, çünkü bu özellik varsayılan olarak aktif
durumda geliyor artık. Yine de Action Menu / Properties /
Advanced / Server Options bölümünü ziyaret edip kontrollerimizi yapmamız gerekiyor.
DNS Flood ataklarının önde gelenlerinden DNS
Recursion ataklarını engellemek için recursion özelliğini
kapatmamız gerekiyor. Ayarımızı Properties / Advanced /
Server Options bölümüne gidip Disable DNS Recursion
kutusunu işaretleyerek yapabiliriz.
Son olarak Root Hints kontrollerini yapalım. Eğer lokal bir
dns için tanımlama yapıyorsak, ilgili dns sunucumuzun
internet isimlerini çözmesini engellemek için Root Hints
bölümüne sadece lokal dns sunucularımızı yazmamız
gerekiyor.
Buraya kadar DNS sunucu ayarlarımızı yaptık. Ancak
çok söylenen bir sözü tekrar etmek istiyorum. Güvenlik
bir zincirdir ve en zayıf halkası kadar kuvvetlidir. Öyleyse
dns sistemimizle ilgili her noktayı tek tek kontrol etmeye
başlıyoruz.
Bildiğiniz üzere .tr alan adlarından ODTU’nün nic.tr hizmeti sorumlu. Burada alan adımızı yöneten kullanıcı adı
ve şifremizi güvenlik prosedürümüze uygun hale getirmemiz gerekiyor. Ayrıca uluslar arası alan adlarımızı korumak için hizmet aldığımız sağlayıcımızın güvenlik prosedürlerini kontrol etmek faydalı olacaktır. Artık birçok sağlayıcıda alan adınızın güvenliği için alan adı transferlerini
otomatik olarak engelletebiliyorsunuz.
DNS hizmeti veren sunucumuzda diğer tüm servislerin
güvenlik ayalarını kontrol etmeyi ve tüm güvenlik yamalarını yüklemeyi asla unutmuyoruz.
DNS sunucularımızın yüksek seviyede risk taşır. Örneğin
bir online bankacılık uygulaması kullanıyorsa olayı bir
dns değişikliğinde online bankacılık kullanan müşterilerimiz başka sunuculara yönlendirilebilir, kullanıcı hesapları
ve şifreleri çalınabilir. Bir nevi phishing atağı düzenlenebilir. Bu yüzden güvenlik duvarı üzerindeki dns tanımlarımızı kontrol etmemiz, ağ ve sunucu tabanlı atak engelleme ürünlerimizi kontrol edip dns ataklarını ne ölçüde
engellediğini kontrol etmemiz gerekir.
Kısa Kısa
•
Beyaz Şapka …
bir e-gazete değildir. Sadece basılı olarak yayınlanır
ve seçkin okuyucularına
gönderilir
sayfaları okuyucularına
açıktır
•
reklam ve ilan içermez
marka bağımsızdır
bilgiye yöneliktir
•
ücretsizdir
bilgi güvenliğine önem veren sponsorlarının katkısı
ile okuyucularına ulaşır
•
üç ayda bir yayınlanır
•
Juniper Networks IDP
ürünü ile Gartner’ın
Network IPS Magic
Q u ad r an t li st e s i n e
Leader kategorisinde
girdi. Daha önce farklı
ürünleri ile defalarca bu
listede yer alan Juniper
Network IPS Magic
Quadrant kategorisinde
liderliği
McAfee
IntruShield, 3Com
TippingPoint,
ISS
Proventia ve SourceFire
ile paylaştı.
Symantec şirket satın
almaya devam ediyor.
Son olarak IMLogic
şirketini satın alan
Symantec
Instant
Messaging piyasasına
da girdi.
McAfee Network IPS
ürünü olan IntruShield
için 3.1 versiyonunu
duyurdu. Yeni versiyon
ile korelasyon ve DDoS
atak koruması özellikleri
güçlendirildi.
FBI 2005 yılına ait
Computer Crime Survey
raporunu açıkladı. 5000
rapor edilmiş atağın
bulunduğu rapor FBI’ın
web sitesinden indirilebilir. http://www.fbi.gov/
p u b l i c a t i o n s /
ccs2005.pdf
FoundStone risk ve
güvenlik açığı yönetim
yazılımının yeni versiyonunu duyurdu. Ayrıca
•
•
•
geniş ölçekli dağıtımlar
için FS850 donanımını
da duyuran FoundStone
HIPAA, SarbanesOxley, FISMA, BS7799/
ISO17799 ve PCI gibi
endüstri standartlarına
uyumlu denetimler yaparak rapor üretebiliyor.
Symantec 2005 yılı güvenlik değerlendirme
raporunu duyurdu. Rapora göre online bankacılık sistemlerine karşı
yapılan bir sahtecilik
olan Phishing ataklarında %100’e yakın artış
var. Ayrıca akıllı cep
telefonları için yazılmış
toplam 73 kötü niyetli
kodun 56’sının 2005
yılında ortaya çıktığı
belirtilmiş.
SANS 2005 yılının Top
20 güvenlik açığını duyurdu. SANS yorumuna
göre siber ataklar hedef
değiştiriyor. İşletim sistemi platformlarına yapılan ataklar azalırken
uygulamalara ve ağ
cihazlarına yapılan
ataklarda hızlı bir artış
gözleniyor.
Hack edilmiş web sitelerinin bilgi bankasını
tutan Zone-H portalına
(www.zone-h.org) göz
attığımızda Türk şirketlerinin, belediye ve kaymakamlık gibi küçük
sistemlere sahip devlet
•
kurumlarının oldukça
fazla atağa maruz kaldığını ve hack edildiğini
görüyoruz. Bir başka ilgi
çekici bilgi de son zamanlarda hack edilen
platformların %50’den
fazlasının Linux olması.
Haberi hazırladığımız
sırada kayıt altına alınmış günlük 762 atağın
dağılımı şöyle:
-%57.4 Linux
-%18.3 Win2003
-%11.9 Win2000
-%10.4 FreeBSD
-%1.7 Win NT/9x
-%0.2 SunSolaris
-%0.2 Bilinmeyen
Intel geliştirmekte olduğu yeni donanım teknolojisi ile virüs ve kurtçukların önüne geçmeyi
amaçladığını duyurdu.
System
Integrity
Services adı verilen
proje teknik olarak bilgisayar hafızasını daha
sıkı bir kontrole tabi
tutacak. Bu yeni hizmeti
kullanabilmek için elbette işletim sistemi ve
uygulamaların destek
vermesi gerekiyor. Sistemin çalışması için
antivirus ve benzeri
güvenlik yazılımlarına
ihtiyaç duyulmayacak.
Görünen o ki bu teknolojiyi denemek için
uzunca bir süre beklemeye devam edeceğiz.
Ana Sponsorlarımız
www.microsoft.com/turkiye
www.nebulabilisim.com.tr
Katılımcı Sponsorlarımız
Nebula Bilişim Sistemleri Sanayi ve Ticaret Ltd. Şti. tarafından ücretsiz dağıtılan bir broşürdür.
www.nebulabilisim.com.tr
Beyaz Şapka’ya katkılarından dolayı tüm sponsorlarımıza ve yazarlarımıza teşekkür ederiz.
Yayınlanan yazıların tüm sorumluluğu yazarlarına aittir.
Lütfen her konuda bize fikrinizi yazın.
www.beyazsapka.org
[email protected]