MCAFEE FOCUS 12 GÜVENLİK KONFERANSININ

2012
• MCAFEE FOCUS 12 GÜVENLİK KONFERANSININ ARDINDAN
• VERİ BÜTÜNLÜĞÜ, ŞİFRELEME ve GÜVENLİK
• SANAL SİSTEMLERDE YEDEKLEME VE REPLİKASYON – 2
• UNDERGROUND
• OBSERVE IT / SİSTEMİNİZDEKİ GÜVENLİK KAMERA SİSTEMİ
• VERİ VE AĞ ŞİFRELEME ÇÖZÜMLERİNDE GÜNCEL YAKLAŞIMLAR
Kasım 2012 beyazşapka 1
McAfee Focus 12 Güvenlik
Konferansından Kareler
2 beyazşapka Kasım 2012
Değerli abonemiz,
İçindekiler
04 >> McAfee Focus 12 Güvenlik Konferansının
Ardından
Serkan Akcan
06 >> Veri Bütünlüğü, Şifreleme ve Güvenlik
Erkan Şen
08 >> Veeam–2: Sanal Sistem Yedekleme ve
Replikasyon Çözümü
Tarkan Çiçek
10 >> Underground
İrfan Kotman
12 >> Modern Veri Merkezi Koruması–1
Birant Akarslan
Beyaz Şapka’yı her sayıda biraz daha ileriye götürmek için çalışmalarımız
devam ediyor. Amacımız abonelerimize ve müşterilerimize içeriği
dolu bir yayın sunmak. Elli sayfalık bir yayın hazırlayıp içini otuz sayfa
reklam ile doldurmuyoruz. Ürün ve teknolojiden bilgi güvenliği yönetim
ilkelerine, sektörel konferanslardan bilişim hukukuna kadar oldukça geniş
bir yelpazede reklamsız bir içerik yaratmaya çalışıyoruz.
Abonelerimizin ve abone olmayanların Beyaz Şapka hakkındaki en büyük
beklentileri eski sayılara erişim. Birçok abonemize talepleri üzerine
eski sayılarımızı gönderdik. Ancak sınırlı lojistik imkanları nedeniyle her
abonemize eski sayıları göndermemiz mümkün olmuyor. Ayrıca abone
olmayan veya aboneliğe kabul edemediğimiz kişiler de Beyaz Şapka’yı
okumak istediklerini belirten mesajlar gönderiyorlar.
Abonelerimizin eski Beyaz Şapka sayılarına ulaşmasını sağlamak ve
abone olmayanları Beyaz Şapka içeriğinden mahrum bırakmamak için
Beyaz Şapka’nın PDF sürümlerini web sitemizde yayınlamaya başlıyoruz.
Bugün itibarı ile web sitemizden herhangi bir erişim sınırlaması olmaksızın
Beyaz Şapka’nın eski sayılarını indirebilirsiniz. Web sitemize her yeni sayı
çıktığında bir önceki sayı yüklenecektir. Eski sayılarımıza ulaşmak için
şimdi web sitemizi ziyaret edebilirsiniz.
http://www.nebulabilisim.com.tr/beyazsapka
16 >> Observe IT / Sisteminizdeki Güvenlik
Kamera Sistemi
İrfan Kotman
18 >> Veri ve Ağ Şifreleme Çözümlerinde
Güncel Yaklaşımlar
Serhat Kahraman
www.nebulabilisim.com.tr
Beyaz Şapka’nın web sayfalarında dergiye
konu olmuş makaleleri destekleyen videolar
bulunduğunu tekrar hatırlatmak istiyoruz.
Beyaz Şapka’nın içeriği üretici, iş ortağı, bilgi güvenliği uzmanı ve
danışman gözüyle yaratılıyor. İçerik zincirimizde son kullanıcı eksiğimiz
bulunduğunu düşünüyoruz. Abonelerimizin Beyaz Şapka’ya yazmak
isteyeceği her türlü teknik analiz, proje dokümanı, teknoloji karşılaştırması,
how–to dokümanı, kurumsal veya kişisel tecrübeyi anlatan makaleye
sayfalarımız açık. Lütfen yayınlamak istediğiniz makaleniz için bizimle
temasa geçin.
Nebula Bilişim olarak Türkiye’nin ilk ve tek bilgi güvenliği dergisi
Beyaz Şapka’yı sizlere büyük emekler harcayarak ulaştırmaya çalışıyoruz.
Nebula Bilişim olarak Türkiye’nin ilk ve tek bilgi güvenliği dergisi
Beyaz Şapka’yı sizlere büyük emekler harcayarak ulaştırmaya çalışıyoruz.
Beyaz Şapka Nebula Bilişim tarafından
üç ayda bir yayınlanır ve Nebula Bilişim
müşterilerine ücretsiz dağıtılan
bir broşürdür. Beyaz Şapka Nebula
Bilişim’in tescilli markasıdır ve
her hakkı saklıdır.
İçeriğimizi zenginleştirmek ve beklentileri daha çok karşılayan bir Beyaz
Şapka yaratmak için lütfen bize eleştiri, görüş ve önerilerinizi yazın.
Güvenli Günler!
Beyaz Şapka Ekibi
Kasım 2012 beyazşapka 3
Serkan AKCAN
[email protected]
McAfee Focus 12 Güvenlik
Konferansının Ardından
McAfee Focus konferans serisinin beşincisi ABD’nin Las Vegas şehrinde
gerçekleştirildi. İşte katılamayanlar için kısa bir özet!
Rock Hotel’in 4000 kişilik muhteşem konser salonunda Rock
müzik tarihinin efsanelerinden, Rebel Yell ve White Wedding
gibi şarkıların sahibi Billy Idol’ın Focus konferansı katılımcıları
için verdiği muhteşem konserle konferans sona erdi. Bir Rock
müzik fanatiği olarak konferansın en güzel anının konser
olduğunu söyleyebilirim.
McAfee Focus 12, her yıl Las Vegas’ta düzenlenen Focus
güvenlik konferans serisinin beşincisi. Öncelikle konferansın
genel içeriğinden bahsedeyim. Konferans 2 ila 4 gün arası
sürüyor. Açılış resepsiyonunun ardından ilk iki gün son
kullanıcılar için oturumlar yapılıyor. Onlarca paralel oturumun
yanısıra genel oturumlarda genel güvenlik konuları ve onur
konuğunun yer aldığı sunumlar yapılıyor. Sunum içeriklerinde
yoğun biçimde güncel tehditler ve ürün yol haritaları yer alıyor.
Katılımcıların ürün müdürleri ve diğer yetkili McAfee çalışanları
ile bire bir toplantılar düzenleyebildikleri oturumlar da mevcut.
İkinci günün sonunda konferansa özel kapanış konseri ile
son kullanıcılar için konferans eğlenceli biçimde sona eriyor.
Üçüncü ve dördüncü gün ise iş ortakları ve teknoloji ortakları
için özel sunumlar ve toplantılar düzenleniyor.
Bu yıl 3100’den fazla katılımcının
olduğu konferansa Türkiye’den
büyük çoğunluğu Nebula ve
müşterilerinden oluşan yaklaşık
15 kişi katıldı. Konferansta 70’ten
fazla sunum yapıldı ve 40’tan fazla
teknoloji ortağı sponsorun standı
fuar alanında yer aldı. Geçtiğimiz
yıllarda ABD’nin 42. başkanı Bill Clinton ve Virgin Group’un
kurucusu ve başkanı Sir Richard Branson gibi dünya gündeminde
olan kişilerin onur konuğu olduğu McAfee Focus’un bu yılki
onur konuğu ABD’nin 43. Başkanı George W. Bush’du. Hard
4 beyazşapka Kasım 2012
Yeni Tehditler Yeni Önlemler
Gelelim teknik konulara ve teknik verilere. Konferansta yer alan
her sunum güvenlik tehditlerinin ne kadar çok çeşitlendiği ve
sayısının ne kadar arttığını bize gösterdi. McAfee’nin araştırma
laboratuvarı McAfee Labs’a gelen malware örneği sayısının
günde ortalama 200.000 olduğu açıklandı. 2012 yılının ikinci
çeyreğinde iletilen toplam örnek sayısı 8 milyonun üzerinde.
Teknolojik olarak bu rakamların anlamı şu: İmza bankası tekniği
ile atakları bulmak ve durdurmak her geçen gün daha da zor
olacak. Bu rakamlar sadece McAfee’ye iletilen örnek rakamları.
Kimbilir bilinmeyen kaç malware yaşamını sürdürüyor?
McAfee bu rakamları açıklayarak iki konunun üzerine basıyor.
Biri McAfee Global Threat Intelligence (GTI) diğeri Whitelisting
teknolojileri.
McAfee GTI itibar temelli bir güvenlik sistemi. Örneğin
10 saniye önce Avustralya’da tespit edilen bir malware’i
McAfee ürünlerimiz güncellemeye ihtiyaç duymadan hemen
tanımlayabiliyor ve engelleyebiliyor. GTI sorgulaması bir DNS
Query paketi ile yapıldığından ve büyük ağlar için bir GTI
Proxy yazılımı bulunduğundan sisteme getirdiği yük gözardı
edilebilecek kadar az. GTI sistemi kullanılarak dosya, IP, URL,
alan adı ve uygulama itibarı bilgileri Antivirus, NIPS, Integrity
Control, Web Gateway, Mail Gateway ve SIEM gibi birçok
McAfee ürünü tarafından sorgulanabiliyor. GTI hakkında
bloklamayı içermeyen güzel bir örnek daha vermek istiyorum.
GTI atak yapan IP adreslerini de barındırıyor ve SIEM ürünü
ile entegre çalışabiliyor. McAfee SIEM kullanarak web sitenize
bağlanıp işlem yapan IP adreslerini gerçek zamanlı otomatik bir
sorgulamaya tabi tutabilir ve örneğin Internet bankacılığında
işlem yapan bad–reputation IP adreslerini otomatik olarak
görebilirsiniz. Aynı şekilde e–ticaret sitenizde alışveriş
yapanların IP adres itibarlarını görebilirsiniz.
Whitelisting (Beyazliste) teknolojisi ise daha basit ve etkili
bir yöntem. Bildiğimiz güvenlik ürünlerinin neredeyse tümü
karaliste yöntemini kullanıyor. Listeye yazılan kötü kodlar ve
uygulamaları bulup durdurmaya çalışan bir yöntem. Beyazliste
yönteminde ise tam tersini yapıyoruz. Sadece kullandığımız
uygulamaların çalışmasına izin veriyoruz. Bunlar haricinde kalan
legal veya illegal tüm yazılımların ve tüm kodların çalıştırılmasını
yasaklıyoruz. Bu sayede sunucumuzda, istemcimizde veya ATM
cihazımızda bulunan bir güvenlik açığını kullanan exploit gelse
bile çalışması mümkün olmuyor. File Integrity Control/Monitor
özelliğini de barındıran bu ürünlerin PCI tarafından zorunlu
tutulduğunu hatırlatmak isterim.
entegre çalışıp uzaktan yönetim işlemlerimizi kolaylaştırıyor.
Örneğin bozulmuş bir Master Boot Record (MBR) uzaktan
Deep Command ile onarılabiliyor ve uzaktan KVM monitoring
mümkün hale geliyor. Bu yıl ise yeni bir entegrasyonun
tanıtımı yapıldı. McAfee’nin disk şifreleme yazılımı McAfee
Endpoint Encryption for PCs (EEPC) versiyon 7’de Intel i5 ve
i7 işlemcilerle birlikte çalışacak. Bu işlemcilerde bulunan AES–
NI çipleri disk veya dosya şifreleme işlemlerini çip seviyesinde
yapacak ve bu sayede sıfıra yakın bir gecikme ile şifreleme
işlemleri tamamlanmış olacak.
SIA Teknoloji Ortakları
McAfee geçmişte Security Risk Management (SRM) olarak
adlandırdığı birlikte çalışma platformunu “Security Connected”
sloganı ile genişleterek devam ettiriyor. Yüzlerce güvenlik
ürünü McAfee’nin ürünleri ile teknoloji birlikteliği yapıyor. Bir
çoğu McAfee’nin efsanevi yönetim konsolu ePO ile yönetilip
raporlanabiliyor. McAfee Security Innovation Alliance (SIA)
adı verilen bu teknoloji ortaklığı programı üyesi üreticilerden
bazıları McAfee Focus 12 konferansına sponsor oldular.
Nebula müşterilerinin bazılarının kullandığı veya haberdar
olduğu Accuvant, SAIC, Firemon, Cyber–Ark, FireEye,
ForeScout, Core Security, Crossbeam, TITUS ve Avecto gibi
onlarca şirket McAfee ile entegre çalışan ürünlerini konferans
katılımcılarına tanıtma şansı buldu.
Intel&McAfee İşbirliği
Konuyu McAfee’nin Intel tarafından alınması ve buna paralel
olarak geliştirilen teknolojilere getirmek istiyorum. Yukarıda
okuduğunuz rakamlar genel olarak malware sayılarını
gösteriyor. Başımızın belası olan Rootkit tehditleri ise biraz
daha farklı bir konu. Rootkit işletim sistemine kendini legal bir
yazılım veya driver gibi tanıtıp güvenlik yazılımlarınca tespit
edilmeden faaliyet gösteren malware yazılımlara verilen ad.
Intel McAfee’yi satın aldıktan sonra birlikte geliştirdiği Deep
Defender ürünüyle boot öncesi ve boot süreci kontrolleri
yaparak Rootkit’lerle mücadele edebiliyor. Rootkit problemi
bilgi güvenliği sektöründe yeterince tanınmadığı ve riskin
büyüklüğü anlaşılmadığı için bu ürünün piyasaya yayılmasının
uzun zaman alacağını düşünüyordum ancak konferansta
gördüğüm rakamlar fikrimi değiştirdi. Sunumlarda McAfee
Labs’ın günde ortalama 3500 kernel mode rootkit malware’ini
tespit edip Deep Defender ile engellediği gösterildi. Rootkit
gerçeğini bilenler için bu rakam gerçekten ürkütücü ve açıkça
Deep Defender yazılımının sandığımdan çok daha hızlı biçimde
piyasada yerini alacağının habercisi.
Geçtiğimiz yıl McAfee Focus konferansında Intel ve McAfee
işbirliğinin bir parçası olarak Deep Defender ve Deep Command
yazılımlarının tanıtımı yapılmıştı. Deep Defender’dan çok
kısa bahsettim. Deep Command ise Intel AMT teknolojisi ile
McAfee Focus 13
McAfee Focus 13 konferansı için çalışmalara çoktan başlandı.
Önümüzdeki haftalarda McAfee Focus 13 konferansının tarihi
açıklanacak. Her zamanki gibi Ekim ayının üçüncü haftasında
22–24 Ekim tarihleri arasında olmasını bekliyoruz. Bu yılki
konferansın sunumlarını temin etmek veya McAfee Focus
13 konferansı hakkında bilgi almak için bizi arayabilirsiniz.
Ayrıca McAfee Focus konferansının web sitesini inceleyebilir
ve Facebook sayfasından konferans video ve fotoğraflarına
erişebilirsiniz.
http://www.mcafeefocus.com
http://www.facebook.com/FOCUSConference
Kasım 2012 beyazşapka 5
Erkan Şen
[email protected]
Veri Bütünlüğü, Şifreleme ve
Güvenlik
Standart uygulamaları ve yönetmelikler sizin ve müşterilerinizin güvenliğini
arttırıyor. Bu standartlara tabii olmasanız dahi…
Web sayfalarından, internet bankacılığı ve çevirim içi alış–
veriş sitelerinin sipariş sayfalarına kadar hepimiz aşinayız SSL
sertifikalarına. Son kullanıcıların birçoğu da sertifika kullanılan
sitelerin doğruluğunu kontrol eder durumda artık. En azından
yeni bir özellik olarak gelen Genişletilmiş Doğrulama (Extended
Validation) sayesinde sertifika kullanan sitelerde yeşil rengi arar
olduk. Bu güvenlik bilincinin oluşması adına güzel bir gelişme.
SSL sertifikası dediğimiz şey, her gün kullandığımız sistemlerin
elektronik belgelerin imzalanmasında SSL sertifika kullanımı
çok kısıtlıdır. Hele ki konu, ilgili web sitelerinin arka planında
kullanılan veri tabanlarının ve uygulamaların güvenliğini
sağlamaya gelince iş tamamen çıkmaza giriyor.
Standartlar ve yönetmelikler
PCI–DSS, Cobit gibi standart ve yönetmeliklere tabii kurumlar bu
tarz bilgi güvenliği önlemlerini zaten almak zorundalar. Örneğin
web sitesi üzerinden kredi kartı ile satış yapan bir kurum PCI–DSS
standardı gereğince en azından kredi kartı sahibinin bilgilerini
iletişim ortamı boyunca şifreli olarak taşımakla yükümlüdür[1].
Bunun dışında eğer kurum, kredi kartı verisini sistemi üzerinden
geçirmekle kalmayıp aynı zamanda bu veriyi saklıyorsa, veriye
ulaşanları denetlemeli ve kayıt altına almalı [2], veriyi güvenli
bir şekilde saklamalı[3] yani şifreleme ya da maskeleme gibi
teknikler kullanmalıdır.
Herhangi bir standarda uyma zorunluluğum yok, o halde
güvendeyim!
söylediği şeylerin doğru olduğu ve gerçekten onlar tarafından
söylendiğinin kanıtlarıdır. Şöyle ki; bir internet bankacılığı
sitesinden işlem yapmaya kalktığınızda adres barında
gördüğünüz yeşil renk ve kontrol ettiğiniz doğrulanmış bir
sertifika, doğru sunucu ile konuştuğunuzu ve sunucunun size
söylediği/sağladığı bilgilerin doğru olduğunu gösterir. (Son
zamanlarda sertifika otoritelerinin yaşadığı sorunları bir kenara
bırakıyoruz.)
SSL sertifikalarından ötesi
Buraya kadar olan kısmı herkes biliyor ve kullanıyor zaten. Ancak
bunun dışında kalan sistemler için aynı şeyi söyleyemiyoruz.
Örneğin e–postaların imzalanması ya da şifrelenmesinde,
6 beyazşapka Kasım 2012
Yukarıdaki gibi illa ki bir standarda tabii olmamız gerekmez.
Buradaki esas nokta veri merkezimizde ve sunduğumuz
hizmetlerde bizim için kritik bilgilere sahip olup olmadığımızdır.
Örneğin sürekli yanımızda bulundurduğumuz taşınabilir
bilgisayarımızdaki veriler bizim için önemliyse onların da
güvenliğini ve bütünlüğünü sağlamak öncelikli olmalıdır.
Bunu sağlamak için sistemlerin gerek diskini gerekse önemli
dosyalarını şifrelemek yeterli görünebilir. Peki, gerçekten öyle
mi? Bu soru aslında bilgi güvenliğine nasıl bakıldığı ve ihtiyaçların
neler olduğuyla çok yakından ilgilidir. Bilgi güvenliği bir süreç
olarak ele alındığında alacağımız önlemlerin istediğimiz güvenlik
seviyesini sağlayıp sağlamadığının aynı zamanda süreçlerin
işleyişle de alakalı olduğunu görürüz.
İletişim ve talimat verme aracı olarak e–postalar
Örneğin bizim için kritik bir bilginin elektronik posta ile bir
başkasına iletilmesi süreci göz önüne alındığında salt disk ya
da dosya şifrelemenin bizim için yeterli bir çözüm olamayacağı
ortadır. E–postanın sadece ilgilisi tarafından okunabilmesi ya da
gönderen kişinin yazdıklarının değişmezliği için elektronik olarak
imzalanması gerekliliği karşımıza yeni ihtiyaç ve çözümlerin
varlığını çıkartır.
Günümüzde bankacılık işlemlerinden teknik destek işlerine
kadar birçok işlem elektronik postalar vasıtasıyla görülmekte.
Bunun için birçok kurum insan faktörlü doğrulama teknikleri
kullanıyor. Ancak sosyal mühendislikle bunların aldatılabileceği
asla unutulmamalıdır. Bu nedenle bu örnekte de olduğu gibi
doğrulama için kullanılabilecek en basit ve etkili yöntem dijital
imzalama, eklenen verinin kriptolanması ve benzeri çözümlerdir.
Standartlar sizi bağlamasa dahi...
Standartlar bazı bilgiler dışındaki bilgilerin güvenli taşınma ve
saklanmasını zorunlu tutmasa dahi sizin için kritik olan bilgilerin
güvenliğini sağlamak hayati olabilir.
Yaşanmış örneklerden hareket edecek olursak; Bir kimyagerseniz
ve fabrikanızda kullanılan kimya formüllerini herkesin
okuyabileceği ve erişebileceği bir şekilde sunucularınızda ya
da taşınabilir bilgisayar gibi cihazlarınızda barındırıyorsanız
büyük bir risk taşıyorsunuz demektir. Ya da bir bankada müşteri
temsilcisiyseniz ve bilgisayarınızdan herkesin okuyabileceği
formatta sakladığınız müşteri bilgileriniz çalınacak olursa bu
sizin adınıza hiç de iyi bir haber olmaz.
Erişim kontrolü ve yetkilendirme konusu
Verilerin güvenliği konusunda en sık yapılan yanlış; verilerin
bilgisayarlardaki kullanıcı adı ve parolalarla güvenliğinin
sağlanabildiği yanlışıdır. Örneğin; veri tabanında bulundurulan
bilgilerin her zaman güvende olduğu gibi yanlış bir kanı
mevcuttur. Ancak bilgi güvenliği çok katmanlı bir yapıdır ve
yaşayan bir süreçtir. Veri tabanı sunucunun kullanıcı adı ve
parolası ile girişleri kontrol altında tutması verinizin yüzde yüz
güvende olduğu anlamı taşımaz.
2. İlgili veri tabanına erişebilecek uygulamalar izleniyor,
yetkilerine göre kontrol ediliyor ve çeşitli kurallara göre mi
çalıştırılıyor?
3. Veri
tabanınız
yedekleniyor
mu?
Yedekleniyorsa
kritik verilerin açık (herkesin okuyabileceği) bir şekilde
yedeklenmediğinden emin misiniz?
4. Sistem yöneticilerinin, veri tabanı yönetim araçları gibi
araçlar ile ilgili verilere erişimi kısıtlanmış durumda mı?
5. Veri tabanı sunucunuz güvenlik açıklarına karşı düzenli olarak
denetleniyor ve üretici yamaları düzenli olarak geçiliyor mu?
6. Veri tabanı sunucusu ile istemciler arasındaki ağ trafiği
kriptolu bir şekilde mi işliyor?
7. Sıfırıncı gün açıklarına karşı bir korumanız var mı?
Bu liste daha da uzatılabilir. Ancak önemli olan yukarıdaki ve
benzer sorulara altı dolu cevaplar verebilmektir. Veri bütünlüğü
ve güvenliğinin sağlanması konusunda bazen PCI–DSS, Cobit ve
ISO 27001 gereği önlemler alırken bazen de standartlar zorunlu
tutmasa dahi daha güvenli süreçler işletebilmek adına çeşitli
önlemler almak gerekir.
Defaten söylediğim gibi bilgi güvenliği yaşayan bir süreçtir.
Bu süreci otomatikleştirmek işleri fazlasıyla kolaylaştırmakla
birlikte, bu planlamaların tamamının bizim elimizde olması
dolayısıyla “insan”, bilişim/bilgi güvenliğinin anahtar kavramıdır.
Güvenli günler.
Basit bir örnek
Müşterilerinize ait çok kritik bilgilerin bulunduğu bir veri tabanınız
olduğunu düşünün. Bu verilere erişimi bir uygulama vasıtasıyla
gerçekleştiriyorsunuz ve ilgili uygulamaya da bir kullanıcı adı ve
parolasıyla giriş yapıyorsunuz. Peki, bu ilgili verilerin güvenliği
adına yeterli midir? Aşağıdaki soruların hepsinin cevabı evetse…
1. Veri tabanınıza erişen kullanıcılar ve yaptıkları işlemler kayıt
altında tutuluyor mu?
Notlar:
[1] PCI–DSS Madde 4 Encrypt transmission of cardholder data across
open, public networks
[2] PCI–DSS Madde 7 Restrict access to cardholder data by business
need–to–know
[3] PCI–DSS Madde 3 Protect stored cardholder data
Kasım 2012 beyazşapka 7
Tarkan Çiçek
[email protected]
Veeam–2: Sanal Sistem
Yedekleme ve Replikasyon
Çözümü
İkisi bir arada; Backup + Replikasyon
Geçen
sayıda
yarıda
bırakıp replikasyonu bu
sayıda devam edeceğimizi
söylemiştim. Öncelikle replikasyonun ne olduğunu anlatmakta
fayda görüyorum: Replika veya replikasyon kelimesini
bilişim dünyasında çokça kullanmamıza rağmen ne yazık
ki TDK Türkçe sözlükte bulamadım. Yani resmi olarak bu
kelimelerin Türk Dil Kurumu’na göre bir karşılığı yok. Teknik
terimler sözlüğünde ise Eşlem, Kopya olarak karşılık verilmiş.
Uzatmadan anlamlarını İngilizceden çevirerek devam edeyim.
Replica bir ürünün birebir kopyası anlamına geliyor. Bilinen
bir resmin veya bir heykelin replikası en çok rastlanılan
örnekleri. Bilişim dünyasında ise bir sunucunun veya disk
alanının anlık kopyasının (snapshot) alınarak bir başka yerde
birebir oluşturulması anlamında kullanılıyor. Belli işlemlerin de
aynı anda farklı yerlerde çalıştırılması veya aynı yerde farklı
zamanlarda tekrarlanmasına da replikasyon deniliyor.
Burada anlatacağımız konu ise sanal sunucuların replikasyonu.
Sunucu replikasyonu İş Sürekliliği, Felaket Kurtarma, Sistem
Klonlama gibi farklı amaçlar için kullanılabiliyor. Veeam’in bu işi
nasıl yaptığına gelecek olursak;
dağıtmak ve performansı artırabilmek için birden fazla backup
sunucusu kurmak gerekiyordu. Yeni yapı ile backup sunucusu
otomatik olarak gerektiği kadar proxy sunucu oluşturarak yük
dağılımı yapabiliyor.
Konu replikasyon olduğunda Veeam kaynak taraftaki proxy
sunucularına ek olarak hedef tarafta da proxy sunucular
oluşturuyor. Böylece replikasyonun performansı en üst
seviyede tutulabiliyor. Çalışma şekli ise şu şekilde:
Veeam 6 versiyonu ile birlikte (yakında 6.5 çıkacak) backup
sunucusu üzerindeki parçaları ayırarak performansını ve
ölçeklenebilirliği en üst düzeye çekti. Önceki versiyonda yükü
Veeam backup sunucu kontrolündeki Veeam kaynak proxy
sunucusu, replikası alınacak olan sunucuya belirlenen şekilde
erişip (Lan, San veya Vm hot–add) kaynak sunucunun değişen
bloklarını tespit ederek okur. Vmware için bu işlem CBT yani
ChangedBlockTracking ile gerçekleştirilirken, Hyperv’de böyle bir
8 beyazşapka Kasım 2012
özellik olmadığından Veeam’ in kendi ara uygulamasının Hyper–v
hostlara yüklenmesi gerekir. Veeam proxy okuduğu bilgileri
tekilleştirir ve sıkıştırarak hedef proxy sunucusuna gönderir.
Hedef proxy sunucusu ise gelen bilgiyi açar (decompress) ve
hedef sistem üzerinde yeni bir geri dönüş noktası (restore
point) olarak yazar. Bu geri dönüş noktaları hypervisor
tarafında snapshot olarak görünecek şekilde kaydedilirler. Bu
şekilde Wan bağlantısı üzerinden çok az bir veri geçirilmesi
sağlanmış ve en kısa sürede replikasyonun gerçekleşmesi
sağlanmış olur. Bu işlemlerin tamamı ayarlanabilir özelliklere
sahiptir. Yani sıkıştırma, tekilleştirme, wan optimizasyonu
gibi özellikler detaylı olarak ayarlanabilir. Böylece backup
sunucunun performansı veya wan bağlantısının hızına göre
farklı ayarlamalar yapılarak sistemin en iyi performansta
çalışması sağlanabilmektedir.
Veeam, yarattığı replikalar ile failover ve failback
yapabilmektedir. Yani istenildiğinde Felaket Kurtarma Merkezi
üzerindeki sunucular ile çalışmaya geçilip, istenildiğinde de
Felaket Kurtarma Merkezi üzerindeki aktif edilmiş sunucular
üzerinde değiştirilmiş olan bilgileri Merkeze doğru aktararak
tekrar merkezden çalışmaya devam etmek mümkündür.
Bunu bir kaç örnek ile açıklayalım;
Failback: FKM üzerinde çalışmakta olan sunucunun son
durumunun bir snapshot’ı alınarak Merkez’deki Vm’e değişen
bilgiler yani ilk failover işlemi bağlanıcında alınan snapshot ile
failback işlemine kadar olan zamandaki değişen bilgiler geri
gönderilerek Merkezdeki sunucunun son duruma gelmesi
sağlanır ve sunucu power–on yapılarak son durum ile merkez
üzerinden ayağa kaldırılır. Eğer bu işlem sırasında Merkezdeki
sunucu tamamen silinmişse iki işlemden biri gerçekleştirilir:
1. Merkezdeki son yedekten sunucuyu geri dönmek ve replika
sunucu üzerindeki farkları transfer etmek.
2. Full replikasyon ile tüm bilginin geri taşınması.
Replikasyon hakkında anlatacaklarım bu kadar. Hyper–v
ve Vmware kullanımı ve prosedürleri biraz farklılıklar
gösterebiliyor.
Failover: Orijinal Vm’e erişim kesilerek failover işlemi başlatılır.
Bu işlem ile FKM’deki sanal sunucunun son durumunu
koruması amacı ile yeni bir snaphot’ının alınması ve ardından
power–on yapılarak çalıştırılmasıdır. Bu işlem sırasında
gerekli IP ayarlamaları da otomatik olarak Veeam tarafından
gerçekleştirilir. Kullanıcılar son replika zamanındaki hali ile
sunucuyu kullanabilirler.
Bunlarla ilgili sorularınız için [email protected]
adresim üzerinden bana ulaşabilirsiniz.
Kasım 2012 beyazşapka 9
İrfan Kotman
[email protected]
Underground
Size gelen bir e-postanın orijinal olduğuna emin misiniz?
İnternet teknolojisinin hayatımıza girmesiyle beraber
e–postalar okul yaşantısından, iş yaşamından, sosyal
paylaşımlardan, özel hayatımıza, günümüz dünyasının
önemli bir aktörü haline geldi. Özellikle iş yaşamındaki
hemen hemen bütün yazışmalar artık e–postalar üzerinden
gerçekleşmektedir. E–posta trafiğinde oluşabilecek bir
kesinti veya e–postalar ile ilgili kayıplar şirketler açısında
gitgide kabul edilemez seviyeye ulaştı.
Hayatımızın bu kadar içine girmiş e–postaların değişmeden
bize ulaştığından emin miyiz?
Genel olarak iş hayatındaki birçok kullanıcıya bu soruyu
yöneltirseniz, e–postaların güvenli bir iletişim aracı olduğunu,
kendilerine gelen e–postaların herhangi bir değişikliğe
uğramadan ellerine ulaştığını söyleyeceklerdir. Birçok
noktadan bakıldığında bu konuda haklı oldukları düşünülebilir.
Çünkü e–postalar ile ilgili kullanıcıların en çok karşılaşılan
güvenlik problemi “kullanıcı adı” ve “şifre” bilgilerinin ele
geçirilmesi ile meydana gelen sıkıntılar olmaktadır. Fakat
kullanıcılar tarafından daha da tehlikeli olabilecek bir durum
göz ardı edilmektedir. E–postalar üzerinde kullanıcılar
tarafından fark edilmeyecek değişikliklerin oluşması riski.
Bu sayımızda e–postaların nasıl değiştirilerek kullanıcılara
ulaştırılabileceği hakkında kısa bir örnek gerçekleştireceğiz.
E–posta oynamalarında genel olarak uygulanan işlemler,
e–postanın çeşitli yöntemler ile kullanıcıya ulaşmadan ele
geçirilmesi, istenilen değişikliğin yapılması ve kullanıcıya
değiştirilen e–postanın gönderilmesidir.
E–postanın ele geçirilmesi sırasında kullanılan yöntemlere
birkaç örnek verecek olursak DNS üzerinde yapılacak
değişikler ile e–postanın farklı bir noktaya iletilmesinin
sağlanması, network trafiğine hacking araçları kullanılarak
müdahale edilmesi sonucunda e–postanın ele geçirilmesi
veya e–posta sunucusu üzerinde e–postayı ele geçirilmesi ve
kullanıcıya yollanmasıdır.
Biz paketleri ele geçirmek için güvenlik duvarı ile e–
posta sunucusu arasına girerek trafiği kendi üzerimize
yönlendirmeyi tercih ettik. E–posta trafiğinin büyüklüğüne
göre saniyelik yönlendirmeler ile onlarca e–posta bu şekilde
ele geçirilebilir.
10 beyazşapka Kasım 2012
İlerideki sayılarımızda bu tip ataklar ile ilgili birkaç küçük
örnek gerçekleştireceğiz.
E–posta ele geçirme senaryomuz:
Kullanıcı tarafından bir satıcıya banka hesap bilgilerinin
istendiği bir e–posta yollanmıştır. Biz bu e–postaya cevap
olarak satıcının banka bilgilerini yazdığı e–postayı ele geçirip
ve üzerinde istediğimiz değişikleri gerçekleştireceğiz.
Aşağıda kullanıcı tarafından satıcıya atılan e–postayı
görebilirsiniz.
Banka hesap bilgilerinin iletildiği e–postayı ele geçirmek için
kendi yazdığımız bir programı kullanacağız. Programımız
e–postaları eml formatında depolamamıza ve tekrar
yollamamıza imkân sağlamaktadır. İnternet üzerinde
yapacağınız araştırmalar ile bu tip, birçok programa
ulaşmanız mümkün olabilmektedir.
İlk olarak programımızı çalıştırıyoruz ve yönlendirme
sayesinde e–postayı sunucuya erişmeden ele geçiriyoruz.
Aşağıda programımız tarafından yakalanan e–posta ile ilgili
bilgileri görebilirsiniz.
E–postayı ele geçirdikten sonra eml formatındaki dosyayı
Outlook yardımı ile açıyoruz. Orjinal e–posta gönderici
adresinin değişmemesi için Outlook üzerinde yeni bir e–posta
adresi tanımlıyoruz ve relay hakkımız olan bir sunucuyu
e–postayı yollamak için kullanıyoruz. (Bu yöntem dışında
Eml formatındaki e–postayı teks dosyası olarak açıp telnet
yardımı ile e–postayı kullanıcıya ulaştırabilirsiniz.)
Outlook üzerine tanımlı adres yardımı ile eml formatındaki e–
postayı açıyoruz e–posta üzerindeki banka hesap bilgilerini
değiştirerek kullanıcıya iletiyoruz.
Orijinal e–posta
E–postalar üzerinde yapılacak değişiklerin engellenmesi ile
ilgili kullanılan yöntemlerden bazılarını aşağıda görebilirsiniz.
Kullanıcı Kontrolu (Sender Authentication)
E–posta atan kullanıcın atılan e–posta sunucusu üzerinde
bulunup bulunmadığının kontrol edilmesi.
Ters DNS Sorgusu (Reverse DNS Lokkup)
Bizim tarafımızdan adres bilgileri değiştirilen e–posta
E–postanın yollandığı alan adının sahip olduğu DNS bilgilerinin
e–postanın geldiği adresteki DNS bilgilerinin karşılaştırılması
ve uygunsuzluk görülür ise e–postanın reddedilmesi.
TLS Protokolu Kullanımı
SMTP üzerinden Aktarım Katmanı Güvenliği (TLS) protokolü
kullanmak. Bu sayede sertifika tabanlı kimlik doğrulaması
yapabilir ve simetrik şifreleme anahtarları kullanılarak
güvenliği artırılmış veri aktarımları sağlanmasına yardımcı
olabilirsiniz. Hiçbir şekilde sertifikaya sahip olmayan
kullanıcının e–posta trafiğine müdahale şansı olmayacaktır.
Secure/Multipurpose Internet Mail Extensions(s/MIME)
kullanımı
Aşağıdaki ekran görüntüsünde görebileceğiniz gibi kullanıcı
tarafından e–postaya baktığı zaman, bizim tarafımızdan
değiştirilmiş banka hesap bilgilerini e–posta üzerinde
görecektir.
Örneğimizde görebileceğiniz gibi e–posta ele geçirildikten
sonra e–posta üzerinde istenilen herhangi bir bilgi
değiştirilebilmektedir.
Digital (Sayısal) İmza: Bilgisayarınıza yüklenecek digital
imza sertifikası yardımı ile e–postanın içeriğini değiştirilmesini
önleyebilir ve şifrelenmiş e–posta ile e–postanın içeriğinin
farklı alıcılar tarafından görüntülenmesini engelleyebilirsiniz.
Kriptolanmış e–posta: E–postanın özel ve genel anahtarlar
yardımı ile kriptolanması ve alıcının bir kripto yazılımı
yardımı ile bu anahtarları kullanarak kriptonun açılması
esasına dayanan şifreli e–postalar ile güvenli bir şekilde e–
postalarınızı yollayabilirsiniz.
Kasım 2012 beyazşapka 11
Birant Akarslan
[email protected]
Modern Veri Merkezi
Koruması–1
Günümüzde veri merkezleri, kurumların çalışabilmesi için en önemli
bileşenleri bünyelerinde bulundurmaktadırlar. Gelir yaratmak, hassas
veriyi korumak, ticari kritiklik arzeden servisler sağlamak bu rollerin
sadece birkaçıdır.
Veri Merkezi Koruması konusu geniş bir içeriğe sahip
Gelir yaratmak, hassas veriyi korumak, ticari kritiklik
olduğundan iki bölüm halinde işlemeye çalışacağım.
arzeden servisler sağlamak bu rollerin sadece birkaçıdır.
Günümüzde veri merkezleri, kurumların çalışabilmesi için
Kritiklikleri ve değerleri sebebiyle kötü niyetli kişiler için
en önemli bileşenleri bünyelerinde bulundurmaktadırlar.
hedef teşkil etmektedirler. Hassas veri, ticari uygulamalar,
12 beyazşapka Kasım 2012
veritabanları, ağ cihazları, depolama bileşenleri ve
destekleyici altyapılar, uzun zamandır dahili ve harici
saldırganlar ile düzenleyici role sahip denetçiler
arasında bir kavşak görevi görmektedir. Sanal
olarak her veri merkezi güvenlik konusu
ve kanuni düzenleme, bir nokta çözüme
işaret etmektedir. Bu reaktif süreç,
her seferinde yeni nokta çözümlerin
altyapıya eklenmesine yol açmakta
ve
veri
merkezi
karmaşık,
yönetimini
sayısız,
pahalı
ve
birbiriyle haberleşmeyen bir hale
getirmektedir. Mevcut ihtiyaçlara
ek olarak yeni tehdit ve eğilimler
her gün mücadele sahnemize
girmektedirler. Örneğin mobilite
ve Web 2.0 desteğine ihtiyacı
olan veri merkezleri, aynı zamanda
hedefli ve fırsatçı ataklara karşı
koruma
arıza
ve
sağlamalı,
sürelerini
sıklıkla
tüm
asgariye
uyum
bunları
indirerek
raporları
üreterek
gerçekleştirmelidirler.
Klasik veri merkezi güvenliği, yeni ihtiyaçları,
verimlilik ve etkinlik gerektiren güvenlik yönetimini,
günümüzün
kritik
operasyonları
için
gerekli
olan
elverişlilik ve bütünlüğü, maliyet verimliliği için gerekli
olan mükemmel tasarımı, hızlıca ve eksiksiz biçimde
1. Veri Merkezinin Temel Bileşenlerinin
karşılayacak ticari çeviklikten yoksun olup evrilme ihtiyacı
Mükemmelleştirilmesi
arz etmektedir. Bugünün BT departmanları çığır açmak
ve başkalarına yol göstermek zorunda olup ve tarihsel
açıdan birbirine benzemeyen parçaları birleştirecek
stratejik bir iskelete ihtiyaç duymaktadırlar.
Veri
merkezinin
temel
bileşenlerini
aşağıdaki
gibi
sıralayabiliriz:
• Uygulamalar: Farklı katmanlar ve uygulamalar için
esnek koruma sağlanmalıdır.
Veri Merkezi Teknoloji Referans Modeli
• Fiziksel
McAfee’nin kurumlara önerdiği veri merkezi teknoloji
referans modeli, çeşitli katmanlarda koruma sağlayarak
hem bütünleşik bir güvenlik altyapısına sahip olmanızı
hem de veri merkezinizin temel bileşenlerinin en etkin
hale gelmesini sağlayacaktır.
ve
sanal
sunucular:
İşletim
sistemi,
uygulamalar, dosya ve klasörler korunmalıdır.
• Ölçeklendirilebilir
depolama
güvenliği:
Uygulama
elverişliliği desteklenmelidir.
• Ağ Güvenliği: Geniş ağ erişimi desteklenmelidir.
Kasım 2012 beyazşapka 13
Birant Akarslan
[email protected]
• Yönetim (Tekil Kumanda Merkezi): Yaygın ve açık bir altyapıya sahip olmalıdır.
Kurumda faaliyet gösteren uygulamalar, hem ticari hem de kurum içinde geliştirilmiş olan uygulamalardan müteşekkil
olup sanal ya da fiziksel sunucular üzerinde faaliyet göstermektedirler. Örnek çalışma mekanizmasını aşağıda
görebileceğimiz yapılarda şu bileşenlere dikkat edilmelidir:
Farklı katmanlar ve uygulamalar için esnek koruma
• Kara liste ve beyaz liste seçenekleri
• Veritabanları ve Microsoft uygulamaları için özelleştirilmiş çözümler
Sanal Makine Taşınabilirliği ve Göç İşlemleri
• Canlı göç işlemleri için destek
Hypervisor farkındalığı
Sunucu yoğunluğu ve elvirişliliğini en üst düzeye çıkarma
• Sadece ihtiyaç duyulan uygulamaların çalıştırılması
• Sanal sunucular için antivirüs yükünün ortadan kaldırılması
Daha hızlı denetim için endüstri standartlarında konfigürasyon
tanımları
• Politika kıyaslama, Değişiklik Politika Yönetimi, File Integrity Monitoring
Ölçeklendirilebilir depolama güvenliğinde ise genel altyapıyı destekleyen güvenlik bileşenleri tercih edilmelidir:
NetApp, EMC ve diğer cihazlar için kesintisiz koruma
• Veri kaybı, verinin tahrifatı ve zararlı kodlara karşı kurum verilerinin
korunması, ileri seviyede sezgisel yaklaşımlarla sağlanmalıdır.
Merkezi yönetim, operasyonel zaman ve maliyeti düşürmektedir
Maksimum veri elverişliliği için ölçeklendirilebilir mimari
• Multiscanner ve multifiler konfigürasyonları sayesinde arttırılmış veri
yükleri ve sanal makine imajlarına erişim desteklenmelidir
14 beyazşapka Kasım 2012
Dinamik ve katmanlı ağ güvenliği günümüzün hızla artan ihtiyaçlarını karşılayabilmelidir:
Geniş Bant Ağ Erişimi
• Politikanın kullanıcı, grup ve uygulama bazında yönetimi
Fiziksel ve sanal varlıklar üzerinden yönetim
• VM trafiği içinde gerçek zamanlı görünürlük ve tehdit tespiti
İşinizin korunmasına yönelik çok katmanlı mimari
80 Gigabit’lik yüksek performans mimarisi
Yönetim altyapısı merkezi olmalı, mevcut altyapılarla bütünleşmeye olanak sağlayacak açık mimariyi desteklemelidir:
Yüksek Düzeyde Genişleyebilir
• Değişen ticari ve pazar gereksinimlerine uyum sağlayabilir
Farklı ürünleri destekleyen
Uçtan uca görünürlük ve kontrol
• Uygulamalar, uç noktalar, sunucular ve ağlar
Fiziksel, Sanal ve Bulut üzerinde tekil yönetim
• Web tabanlı arayüz sayesinde her yerden erişim
Önümüzdeki sayıda yazımın devamı olarak sınır güvenliği, sanal altyapı sunucuları, veritabanı sunucuları, dosya
sunucuları, uygulama sunucuları, web sunucuları ve bulut altyapısı korumasında nelere dikkat edilmesi gerektiğinden
bahsedeceğim.
Saygılarımla,
Birant Akarslan
[email protected]
[email protected]
Twitter: www.twitter.com/CokNetGuvenlik
Facebook: www.facebook.com/CokNetGuvenlik
Kasım 2012 beyazşapka 15
İrfan Kotman
[email protected]
Observe IT / Sisteminizdeki
Güvenlik Kamera Sistemi
Yasal zorunluluklar, standrat uyumlulukları, sistemlerinizde bilerek ya da
bilmeyerek meydana gelen kayıpların tespiti ve daha bir çok nedenle tutulan loglar ve bu loglar içinde kanıt bulmak için samanlıkta iğne arayan
BT çalışanları. Şirketleri bu zorluğu görerek daha kolay kanıt bulunabilecek
ve uyumluluk raporu oluştabilecek yazılımlar ortaya çıkarmaya başladılar.
Sunucunuzda bilginiz dışında bir dosyanız silindi,
sistemlerinizde yapılan bir konfigurasyon değişikliği sonucu
sisteminizde kesintiler yaşadınız. Sunucuya bağlı kullanıcıların
yaptığı işlemleri detaylı olarak bilmek istiyorsunuz. Onlarca log
arasından gerekli bilginin nerede olduğunu bulmanın zorluğunu
yaşıyorsunuz.
Yapılan araştırmalar sistemler tarafından alınan logların
sadece % 5 lik kısmının değerlendirildiği % 95’lik kısmının
içindekiler ile beraber kaybolduğu ortaya koymaktadır. Bu
kaybın engellenmesi firmalar farklı çözümleri ortaya koymaya
başlamışlardır.
Windows, Unix ve Citrix üzerindeki oturumları anlık kaydetme
ve izleyebilme
Sunucularınız üzerindeki tüm kullanıcı oturumlarınızı
kaydedebilir ve istediğiniz zaman oturum üzerinde yapılan
bütün hareketleri izleyebilirsiniz. Otomatik uygulama öğrenme
özelliği sayesinde istediğiniz uygulamaları kaydedebilir
veya kayıt harici bırakabilir, bazı uygulamalar üzerindeki
kayıtlarını sadece yazılı olarak Observe IT üzerinde tutulmasını
sağlayabilirsiniz.
Windows
Observe IT yazılımı bu noktada farklı bir çözümle ortaya
çıkmıştır. Adli vaka olaylarında olduğu gibi çözüme en kolay ve
en kesin deliller ile götürecek yöntemin, olayın meydana geldiği
andaki video kayıtları olduğu düşünülerek, aynı mantığı bilişim
sistemleri üzerine taşımış ve işletim sistemleriniz üzerinde
video kaydı yapabilen bir teknoloji geliştirmiştir.
Observe IT
Observe IT yazılımı temel olarak sunucularınız üzerinde
kullanıcılarınız tarafından yapılan her hareketi video olarak
kaydeder ve video ile ilgili yazılı ve datylı bir kayıt oluşturur.
Observe IT yardımı ile tüm uzak erişim bağlantılarınızı, Windows
konsol ve Unix oturum bağlantılarınızı RDP, ICA, VMWare, SSH,
Telnet ve daha fazlasını kaydedebilir ve tek bir merkezi yönetim
konsolu üzerinde izleyebilir ve raporlayabilirsiniz.
Observe IT Yazılımının Özellikleri
Kurulum ve kullanım kolaylığı
Observe IT yazılımını 10 dakika içinde sisteminize kurabilir ve
kolayca öğrenebilen, yönetebilen merkezi yönetim yazılımı
sayesinde kolayca gerekli kayıtlara ulaşabilirsiniz.
16 beyazşapka Kasım 2012
Unix
Kolayca istediğiniz videoya ulaşma
3. parti yazılım desteği
Observe IT üzerindeki kayıtlarınız üzerinde kullanıcı, uygulama,
komut, dosya, URL vb. bir çok parametreye göre arama
yapabilir ve kolayca ilgili kayıtlara ulaşabilir ve izleyebilirsiniz.
SSH, Telnet, Terminal Services, Citrix, Remote Desktop, PC–
Anywhere, VMware, VNC, Dameware vb. üzerinden yapılan
bütün uzak oturumları ObserveIT kayıt etme özelliğine sahiptir.
İkincil kimlik doğrulama
Kullanıcı mesajları oluşturabilme,
Sunucularınız üzerinde birden çok kullanıcı tarafından
kullanılan hesaplara sahipsiniz. Örnek olarak sunucu üzerinde
bulunan “administrator” kullanıcısı bir kaç çalışanınız
tarafından kullanılıyor. Observe IT üzerinde bulunan ikinci
kimlik doğrulama ile sunucunuza bağlanan “administrator”
kullanıcısına, Active Directory kullanıcı ismi ya da Observe IT
üzerinde oluşturulan özel kullanıcı adı ve şifresi ile ikincil bir
kimlik sorgusu yapabilirsiniz.
Uzak erişim yapan kullanıcı oturumlarında sunucu ile ilgili
bütün bilgilendirmeleri mesaj olarak kullanıcı oturumlarında
yayınlayabilirsiniz.
Observe IT Agent Geniş İşletim Sistemi Desteği
Observe IT yazılımı hemen hemen bütün Windows işletim
sistemleri ve birçok Unix işletim sistemi üzerinde kayıt yapma
şansı sağlamaktadır. Desteklediği işletim sistemleri (32 bit ve
64–bit) örneklerini aşağıda görebilirsiniz.
• Microsoft Windows Server 2003/2003 R2/2008/2008 R2
Raporlama
• Windows XP Pro/Vista/Windows 7
Kullanıcı, uygulama,komut, dosya, URL vb. bir çok parametreye
göre raporlar oluşturabilir ve ilgili raporların ve raporlar
üzerindeki kayıtların, Observe IT kullanıcılarına e–posta atılarak
ilgili oturumları kolayca seyretmelerini sağlayanabilmektedir.
• Solaris 10
Uyumluluklar
• SuSE 10 SP2–SP4, SuSE 11 SP2
Observe IT ile PCI/HIPAA/SOX/ISO gibi uyumlulukların
karşılayalamada gerekli çözüm olarak kullanabilirsiniz.
Örneğin PCI maddelerinin 8, 10.1, 10.2, 10.3 ve 12 maddelerinin
karşılanmasında Observe IT yazılımını kullanılabilmektedir.
• Ubuntu 10.04
• AIX 5.3
• RHEL/CentOS 5.0–5.7 ve 6.0–6.2
Observe IT güvenlik kamera sistemi ile etkin bir şekilde kanıta
ulaşma
ObserveIT yukarıda kısaca bahsettiğimiz özellikler sayesinde
etkili bir loglama ve kanıt sunma çözümü olarak sektördeki
yerini almıştır.
Observe IT ını http://www.observeit–sys.com/ adresinden 15
günlük deneme sürümünü indirebilir, ürün ile ilgili detaylara
ulaşabilirsiniz.
Kasım 2012 beyazşapka 17
Serhat Kahraman
[email protected]
Veri ve Ağ Şifreleme
Çözümlerinde Güncel
Yaklaşımlar
ISO 27001, SOX, PCI gibi birçok standardın gereksinimleri arasında
bulunan “şifreleme” veri ve ağ güvenliğinde neden gerekli?
En basit anlatımı ile “şifreleme” bir verinin başka bir veriye
dönüştürülmesi işidir. Bir noktadan diğer bir noktaya taşınan
ya da durağan olarak saklanan verilerimizin korunmasında ve
saklanmasında şifrelemenin veya diğer bir deyişle kriptografinin
en efektif yol olduğu kaçınılmaz bir gerçektir. Bunun nedeni,
verinin başka bir veriye dönüşmesi sırasında, hem güvenlik
hem de optimizasyon anlamında bu dönüşümden işe yarayacak
yöntemlerin şifreleme ile kolayca çıkarılabilmesidir. AB verisini
CD olarak değiştiren bir şifreleme algoritması verinin sıkıştırılması
ile ilgili optimizasyon sağlamasa da gerçek verinin korunmasını
garanti etmektedir. Diğer taraftan bir mesaj içerisinde fazla
sayıda bulunan karakteri daha az bitle şifrelemek verinin toplam
boyutunda düşüş sağlayıp verinin sıkıştırılabilmesine de olanak
sunmaktadır. Bu temel getirilerin yanında şifreleme işleminin
iletilen verinin değiştirilmediğinden emin olma, doğru alıcıya
ulaşmasını garanti etme gibi pek çok avantajları da bulunmaktadır.
Şifrelemenin birçok güvenlik uyumluluk standardında gereksinim
olmasının temel nedeni, güvenlik açısından getirileridir. Bu
yazımızda daha çok şifrelemenin güvenlik açısından faydalarını
ve kullanılan en son yöntemleri irdeleyeceğiz. Kişilerin yetkisi
olmadığı veriye erişimini engellemek için yetkilendirme ve
kimliklendirme gibi birçok önlem alınır. Tüm önlemlere rağmen
yetkisi olmayan kişilerin veriye yetkisiz olarak erişebilme veya
verilerin çalınması ihtimali az da olsa vardır. Bu ihtimale karşı,
veri yetkisiz kişilerin eline geçtiğinde de korunabilmelidir. Doğru
bir şekilde yapılandırılan şifreleme sistemi ile sadece yetkisi
olan doğru kullanıcı ya da uygulamanın veriye erişimine izin
verilebilmektedir.
Verilerin
korunması
alanındaki ihtiyaçların
çözümü için proaktif
bir yaklaşım izleyen
bir firma var. Devlet
kuruluşları ve Fortune
100 şirketlerinin en
18 beyazşapka Kasım 2012
fazla tercih ettiği PKI altyapı sağlayıcısı olan, toplamda 80 Milyon
üzerinde kripto anahtarı koruyan SafeNet, bilginin yer aldığı
( veritabanı, dosya, klasör, bulut teknolojileri, yüksek hızlı veri
hatları vs.) her noktada onu koruyacak çözümler üretmektedir.
SafeNet bilgiyi korumak, onu risklere karşı güvence altına almak
ve yönetmeliklere (PCI DSS, HIPAA) uyum sağlamak için kapsamlı
güvenlik çözümleri sunmaktadır. Dünya üzerinde elektronik
ortamda taşınan paranın %80’i SafeNet tarafından korunuyor.
Günde yaklaşık $1 trilyon elektronik para transferi yapan SWIFT,
alt yapısında SafeNet ürünlerini kullanmaktadır. En gelişmiş
şifreleme yöntemlerini kullanan SafeNet çözümlerini aşağdaki gibi
sıralayabiliriz.
Uygulama Verilerini Korumak
Uygulamaların kullandığı verilerin güvenliğinde riskin azaltılması
için oluşturulan veya bir kaynaktan alınan iş kritik verilerin güvenli
ve doğru veriler olduğundan emin olunması çoğunlukla gerekir.
Özellikle istemciler ile haberleşen uygulamalara sahip sistemler
için uygulama iletişiminde güvenliğin sağlanması gerekliliği ortaya
çıkmıştır. Sosyal güvenlik/kimlik numaraları, banka bilgileri, ehliyet
bilgileri gibi verileri toplayan veya gönderen ERP, CRM, HCM gibi
uygulamalar için özel üretilmiş şifreleme çözümlerinden Safenet
ProtectAPP, uygulama programlama arayüzü ve kütüphaneleri
sayesinde daha pek çok uygulama ile entegre olabilmektedir.
Veritabanı Güvenliği
Safenet ProtectDB çözümü Oracle dahil olmak üzere bir çok
veritabanını versiyonlarından bağımsız bir şekilde destekler.
Bilgilerinizi, sütun ve/veya tablo bazlı şifreleme imkanı sunar.
Ayrıca Datasecure platformu ile yalnızca veritabanı şifreleme
işlemlerini değil, kripto anahtarlarınızın yönetimi, dosya şifreleme,
uygulama seviyesinde şifreleme gibi bir çok kripto işlem ihtiyacınızı
karşılayabilirsiniz. Ayrıca Tokenization tekniği sayesinde
uyumluluk standartlarını daha kolay sağlayabilir ve toplam sahip
olma maliyetlerinizi düşerebilirsiniz.
Depolanmış Verilerin Korunması
Dosya paylaşım sistemleri, veri depolama ortamları gibi yoğun
miktarda bilgi saklayan sistemlerde barındırılan bilgilerin
güvenliğini sağlamak gerekmektedir. Bu bilgilerin dosya/klasör
seviyesine kadar şifrelenmesi ile güvenlikleri sağlanabilmektedir.
SafeNet StorageSecure, bilginin ulaşılabilirliğini azaltmadan,
güvenlik politikalarına uygun olarak AES methodu ve NFS, CIFS
gibi protokoller sayesinde verilerinizi şifreleyebilmektedir.
Sanallaştırılmış Ortamlarda Veri Güvenliği
Safenet ProtectV sanallaştırılmış ortamlarda şifreleme çözümü
sunarak kurumların public/private bulut sistemlerini güvenli
olarak kullanabilmesini sağlamaktadır. Amazon WebServices
(AWS) EC2 ve Virtual Private Cloud (VPC) destekleyen SafeNet
ProtectV aynı zamanda VMware ile entegre kullanılabilmektedir.
Gelişmiş grafik kulanıcı arayüzü ile sistem izleme, sanallaştırılmış
ortamların güvenlik politikalarının oluşturulması ve olay yönetimi
gibi fonksiyonları sağlayan ProtectV bulut altyapısında şifreleme
kullanılmasını kolay hale getirmektedir.
Ağ Şifreleme
Durağan verilerin korunması, toplam güvenliği sağlamak
noktasında yeterli değildir. İki nokta arasında akan verinin de
şifrelenmesi ihtiyacı ortaya çıkmıştır. Bu amaç doğrultsunda
Layer 2 seviyesinde gecikmesiz şifreleme gerçekleştiren sistemler
kullanılmaktadır. Safenet High Speed Ethernet (HSE) Encryption
çözümleri bu amaç için üretilmiş, Layer 2 bağlı lokasyonlarınız
arasındaki veri akışını güvenli hale getirebilecek özel donanımlardır.
Kurumsal Kripto Yönetimi
audit ve raporlama özellikleri sayesinde kurumsal şifreleme
operasyonlarınızın yönetimini eksiksiz yerine getirebilmektedir.
Kurumsal Anahtar Yönetimi
Kurumların birden fazla şifreleme sistemini ve bu sistemlerin
farklı özellikteki anahtarlarını yönetebilmek için kurumsal
anahtar yönetimi kavramı kritik bir ihtiyaç olarak ortaya çıkmıştır.
Kurumların anahtar yönetimi ihtiyaçlarını karşılamak için SafeNet,
Enterprise Key Management (EKM) çözümleri bulunmaktadır.
OASIS KMIP 1.0 (Key Management Interoperability Protocol)
standardına uygun geliştirilen SafeNet KeySecure çözümü,
şifrelemede kullanılan tüm anahtarların yönetimini sağlar. Bu
çözüm SafeNet şifreleme çözümlerinde kullanılan anahtarların
yanında Brocade SAN Encryption switchleri, Hitachi native
array encryption, NetApp NSE (Full Disk Encryption) gibi NAS
çözümlerinde, HP Enterprise Systems Library (ESL) G3 ve SafeNet
HSMler gibi Anahtar yönetimi uyumluluğuna ihtiyaç duyan pek
çok sistemle entegre çalışabilmektedir.
Güvenli Kripto Anahtarları İçin HSM
Kullanılacak anahtarların güvenli bir biçimde oluşturulması ve
saklanması amacıyla bu iş için özel tasarlanmış dedike donanımlara
ihtiyaç duyulmaktadır. FIPS 140–2 Level 3 onaylı, çeşitli ürün
ailelerinde de CC EAL 4+ sertifikalı SafeNet Hardware Security
Module (HSM) cihazları kurumların kriptografik anahtarlarını
oluşturup saklayabilecekleri güvenli bir ortam oluşturmaktadır.
Serhat Kahraman – Kıdemli Sistem Mühendisi – Prolink
Kaynaklar: www.safenet–inc.com, mgulyurt.wordpress.com,
www.sciencedaily.com
Kurumsal kripto yönetimi,
hassas bilgilerin nerede
olursa olsun güvenliğini
sağlamak için şifreleme
kullanan bir kurumun
önemli bir aracıdır. Bu tip
önemli bir bileşenin tüm
kripto operasyonlarını
yönetebilmek
ve
izleyebilmek için yüksek
seviyede
yedekliliği
ve
ölçeklenebilirliği
olmalıdır.
Safenet
Datasecure
donanımı,
kullanıcı seviyesine kadar
politika tanımlayabilme,
merkezi
loglama,
Kasım 2012 beyazşapka 19
Yusuf Aydın
Kale Holding A.Ş. Kurumsal Ağ ve Güvenlik Yöneticisi
Nebula ekibi ile ilk defa yaklaşık 5 sene kadar önce çalışma fırsatı yakaladım. Bilindiği üzere
Türkiye’deki bilişim sektöründe hizmet veren firmaların genelinde hizmet yönünden stabilite
problemi baş göstermektedir. Nebula’yı öne çıkaran en önemli özelliklerden birisi, alınan hizmetin
her zaman en üst düzeyde olması ve bunun sağlanabilmesi için kendilerinin de sürekli geliştiğini ve
iş süreçlerini geliştirdiklerini görmemizdir. Gerek servis hızları gerekse teknolojinin en güncel halini
her zaman sunabilmeleri kendilerini seçim listelerinde yukarı sıralara taşımaktadır. Grup bilişim
ağımızın genelinde hizmet aldığımız Nebula ile birlikte gönül rahatlığı içerisinde çalışabiliyoruz.
Ekip çalışanlarının da aynı bilinç düzeyinde firmalarını sahiplenmesi, sektörü çeşitli kanallardan
bilgilendirme ve bilinçlendirme çalışmaları yapmaları, tanınan bir şirket olmalarına ve güçlü
referanslar edinmelerine imkan sağlamaktadır.
Sinan Güder
Komtera Bilişim Teknolojileri Satış Müdürü
Nebula Bilişim bilgi güvenliği alanında uzmanlaşmış, bu işe dedike olmuş ve en önemlisi etik iş
ahlakına sahip sektörün öncü firmalarındandır. Sundukları çözümleri öncelikle kendi sistemlerinde
kullanmaları, çözüm odaklı çalışmaları, Beyaz Şapka gibi Türkiye’de bilgi güvenliği farkındalığına
son derece önemli katkısı bulunan projelerle kalitesini ve farklılığını göstermiş bir firmadır. Genç
ve dinamik bir ekip olmaları, sürekli kendilerini geliştirmeleri, teknik yeterliliklerinin üst düzeyde
olması benim açımdan başarılarının sırrı olarak tanımlanabilir. Dağıtıcısı olduğumuz ürünlerde
satış öncesi ve sonrası vermiş oldukları destekler sayesinde sayısız güzel projeye Nebula ekibi
ile birlikte imza atma imkanı yakaladım. Bu keyifli iş ortaklığı için kendilerine teşekkür ediyorum.
SPONSORLARIMIZ
www.nebulabilisim.com.tr
Beyaz Şapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teşekkür ederiz.
Yay›nlanan yaz›lar›n ve görsellerin tüm sorumlulu€u yazarlar›na aittir.
Lütfen her konuda fikrinizi yaz›n.
www.nebulabilisim.com.tr
[email protected]