Elektronik Saldırı Tespiti

Elektronik Saldırı Tespiti
Ağ ve İnternet teknolojilerinin baş döndürücü gelişme hızı, yepyeni ağ uygulamalarının ortaya
çıkmasına neden olduğu gibi mevcut uygulamaların ve sistemlerin de ağ teknolojileri ile
entegrasyonu konusunda kurumları zorlayıcı nitelik göstermektedir. Bilgisayar ağlarının artan
kullanımı ise, hiç kuşkusuz, biz bilişim teknolojisi (BT) kullanıcıları için yepyeni kolaylıklar ve
fırsatlar doğurmaktadır. Üniversitelerde ders kayıtlarının ağ üzerinden gerçekleştirilmesi, İnternet
üzerinden kredi kartı aracılığı ile alışveriş yapılması ve muhtelif belge paylaşım ortamları bu yeni
kolaylıklar arasında bugün sıkça kullanılanlardan birkaçı olarak sayılabilir.
Ancak BT kullanımının ayrık bilgisayar sistemlerinden birbirine bağlı ağ ortamlarına ve
uygulamalarına doğru gidişi, pek çok alanda olduğu gibi bilgi güvenliği alanında da yepyeni
endişeleri ve sorunları beraberinde getirmektedir. Doğrudan bilgi güvenliğini ilgilendiren bu yeni
sorunlardan bazıları dağıtık erişim denetimleri, farklı ağlar arasında izolasyonların sağlanması,
dağıtık verilerin bütünlüğünün korunması ve ağ
üzerinden taşınan verilerin gizliliğinin
sağlanmasıdır.
Ağ güvenliği ile ilintili teknolojilere göz atıldığında, bu alanda en yaygın uygulaması bulunan
teknolojinin güvenlik duvarları (firewall) olduğunu öne sürmek mümkün olacaktır. Temel olarak bir
güvenlik duvarı, bir ya da daha fazla ağ arasına yerleştirilen ve bu ağlar arasında belirlenen bir
politika çerçevesinde izolasyon sağlayarak onları birbirinden yalıtan bir ağ bileşenidir.
Güvenlik duvarları, yaygın kanaatin aksine, tek başlarına eksiksiz bir güvenlik çözümü
oluşturamamaktadır. Kişisel olarak sıkça karşılaştığım bir durum, yalnızca kaynak ve hedef
bilgilerine bakarak seçici geçirgenlik gösteren "paket filtreleyen güvenlik duvarı" uygulamalarının
yanlış kullanımlarıdır. İnternet'e açık web hizmeti veren bir sistemi korumak üzere kurulan bir
"paket filtreleyen güvenlik duvarı sistemi" kaçınılmaz olarak bu sisteme doğru gelen tüm web
istemlerini geçirmek zorundadır; ancak saldırganların web üzerinden yapabilecekleri saldırılar için
herhangi bir koruma sağlanamamaktadır. Örnek sistem için aynı düzeyde koruma, doğrudan
sistemin basit ayarları ile de gerçekleştirilebilir durumdadır.
Ağ güvenliğindeki ivme ile özellikle saldırı tespit sistemleri (intrusion detection systems) ve zayıflık
inceleme araçları (vulnerability assessment tools) giderek önem kazanan diğer bilişim güvenliği
uygulamaları olarak çözüm paketinin oluşturulması esnasında dikkatle değerlendirilmesi gereken
bileşenlerdir. Bu yazımızda, saldırı tespit sistemleri ve zayıflık inceleme araçları konusunda temel
kavramlardan, kullanılan teknolojilerden ve örnek ürünlerden söz edeceğiz.
Zayıflık inceleme araçları, bilgisayar sistemlerini ve ağ aktif cihazlarını inceleyerek doğrudan ya da
dolaylı olarak güvenlik problemlerine neden olabilecek noktaları işaret etmeye çalışan yazılımlardır.
Genel olarak bu yazılımlara inceleme öncesinde ağ üzerindeki kaynaklarla ya da ağ topolojisi ile
ilgili herhangi bir bilgi verilmez. Sıfır ön-bilgi olarak nitelendirilen bu durumda, yazılımın ortalama
ya da ortalamanın üstünde beceriye sahip bir saldırganın tespit edebileceği kadar zayıflığı tespit
etmesi beklenir. Yazılımların bir eki olan zayıflık veri tabanları, anti-virüs yazılımları tarafından
kullanılan tanım-dosyası benzeri bir yaklaşım çerçevesinde geliştirilmektedir; yeni zayıflıklara ilişkin
bilgiler yazılıma sonradan zayıflık veri tabanı güncellemeleri yolu ile eklenebilmekte ya da istendiği
taktirde kullanıcılar tarafından yeni zayıflık tanımları yapılabilmektedir.
Zayıflık incelemesi alanında özellikle iki ticari ürün oldukça başarılıdır; Internet Security Systems
(http://www.iss.net)
firmasının
Internet
Security
Scanner’ı
ve
Network
Associates
(http://www.nai.com) firmasının Cybercop Scanner’ı. Ticari alternatifleri kadar zengin zayıflık veri
tabanlarına sahip olmasalar da kayda değer ve serbestçe dağıtılan zayıflık inceleme yazılımları
arasında Nessus’u (http://www.nessus.org), Saint’i (http://www.wwdsi.com/saint) ve Sara’yı
(http://www.www-arc.com/sara) saymak mümkündür. Bu yazılımları büyük ölçekli bir güvenlik
denetimi çalışmasında kullanmak çok mümkün olmasa da, anılan teknoloji konusunda daha net bir
fikir edinmek ve yaklaşımları anlamak bağlamında faydalı olacaktır.
Dikkatle bakıldığında, bilgisayar sistemlerini ve ağ teknolojilerini korumak için kullanılan güvenlik
çözümlerinin büyük bir bölümünün gerçek hayatta sıkça kullandığımız farklı güvenlik çözümlerine
paralellik gösterdiğini görmekteyiz. Zayıflık inceleme araçlarını düzenli denetimler yapan gece
bekçilerine, güvenlik duvarlarını ise parola denetimli ve sağlam kapılara benzetebiliriz. Bu
bağlamda saldırı tespit sistemlerini ise, mağazalarda sıkça karşılaştığımız ve artık kanıksadığımız
güvenlik kameralarına benzetmek mümkün olacaktır.
Elektronik saldırı tespit sistemleri, güvenlik kameralarında olduğu gibi, şüpheli durumları kayıt
altına almak üzere kullanılırlar. Gerçekleşen bir saldırıyı önlemek hedeflenmemekte, yalnızca saldırı
gerçekleştiğinde olabildiğince detaylı bilgilerin toplanması hedeflenmektedir. Saldırı tespit sistemleri
kurumsal kullanıcılara üç temel noktada önemli faydalar sağlamaktadır:
•
Saldırıların erken tespiti: Sistem, gerçekleşen bir saldırıyı hedef ağın ya da sistemlerin
yöneticilerinden önce tespit edebilir. Bu özellik sayesinde bir saldırı tespit edilir edilmez
sorumlu yöneticilere SMS, e-posta vb. yöntemler ile alarm ulaştırılması ve bu yolla saldırılara
karşı olabildiğince erken önlem alınması sağlanabilir.
•
Saldırılara ilişkin detaylı bilgi toplanması: Saldırı tespit sistemleri sayesinde, sona ermiş
ya da sürmekte olan bir saldırı hakkında detaylı bilgiler edinilebilir. Bu bilgiler, saldırının
boyutları ve muhtemel saldırganlar konusunda analizler yapılması noktasında anlamlı olacaktır.
•
Saldırılara ilişkin delil toplanması: Saldırı tespit sistemi tarafından toplanan bilgiler saldırı
sonrasında, mahkemeye ya da saldırının kaynağı olarak görüşen ağın sorumlularına baş
vururken delil olarak kullanılabilir.
Saldırı tespit sistemleri, saldırının tespit edildiği noktaya göre iki grupta incelenmektedir. Sunucu
temelli saldırı tespit sistemleri (host based intrusion detection systems), bir sunucu bilgisayar
üzerinde çalışan ve bilgisayar sistemi üzerindeki aktiviteyi inceleyerek, muhtemel bir kötüye
kullanımı ya da saldırıyı tespit etmeye çalışan sistemlerdir. Ağ temelli saldırı tespit sistemleri ise,
ağın üzerinde kritik bölgelerde konuşlandırılmış alıcılar aracılığı ile ağ aktivitesini izlemeyi ve
saldırıları ağ üzerinde tespit etmeyi hedeflemektedirler.
Sunucu temelli saldırı tespit teknolojisi göreli daha eski bir teknolojidir ve platform bağımlılığı
nedeni ile geliştiriciler tarafından tercih edilmemektedirler. Örneğin Sun Solaris platformunda
çalışmak üzere yazılan bir sunucu temelli saldırı tespit sistemini HP-UX platformuna taşımak ya çok
zahmetli olmakta ya da mümkün olamamaktadır. Bu temel gerekçe ile ağ temelli saldırı tespit
sistemleri giderek sunucu temelli olanların yerini almaktadırlar.
Ağ temelli çözümlerde, tek amacı ağ trafiğini izlemek olan adanmış sistemler ağın kritik noktalarına
yerleştirilmekte, bu alıcı sistemler tarafından üretilen alarmlar merkezi bir sistem üzerinde
toplanmaktadır. Tüm alıcıların verilerinin birleştirilmesi sureti ile saldırının boyutu ve hedefi
konusunda daha keskin tanımlar yapılabilmekte, sorumlu yöneticilere iletilecek alarmlar için daha
rafine bilgiler kullanılabilmektedir.
Saldırı tespit sistemleri pazarına göz attığımızda, bu pazardaki en önemli iki ürünün Internet
Security
Systems
(http://www.iss.net)
firmasının
RealSecure
ve
Cisco
Systems’ın
(http://www.cisco.com) NetRanger olduğunu görmekteyiz. Serbestçe dağıtılan ürünler arasında
ise özellikle Snort yazılımının (http://www.snort.org) başarılı olduğunu söylemek mümkündür.
Saldırı imzalarının düzenli olarak güncellendiği Snort yazılımı ile oldukça farklı sayıda ve türde
saldırıyı tespit edebilmek mümkün olacaktır.
Linux Kullanıcıları Derneği tarafından işletilen web, ftp ve e-posta hizmetlerini taşıyan bilgisayar
sistemine (http://www.linux.org.tr) gerçekleştirilen saldırılar, farklı saldırı tespit yazılımları aracılığı
ile izlenmektedir. Hizmet birimi, günlük ortalama 20000 web sayfası istemini yanıtlamakta ve
1.3GB veriyi ftp aracılığı ile sunmaktadır. Anılan sistem haftada 70 kadar saldırıya maruz kalmakta
ve tümüne ilişkin bilgiler kayıt altına alınmaktadır. Bir saldırı tespit sistemini İnternet sunucularınız
üzerine kurduğunuzda siz de tahminlerinizin çok üzerindeki hacimde saldırıları gözlemlemeyi
bekleyebilirsiniz; sizin bilgisayarınızda önemli bilgiler olmasa da sizin bilgisayarınızı daha büyük bir
saldırı için basamak olarak kullanmak bir saldırganı memnun edebilir.
Bankalar ve diğer finans kuruluşları başta olmak üzere bir çok kurumda kullanılan saldırı tespit
sistemleri, giderek artan bir biçimde bilişim güvenliği çözümlerinin ayrılmaz birer parçası
olmaktadır. Türkiye’de de saldırı tespit ve zayıflık inceleme teknolojilerinin kullanımı giderek artıyor
olmasına rağmen, kullanımın artış hızı gereksinimi karşılamaktan çok uzaktır. Dileğimiz, bilgi
güvenliği konusunun hak ettiği önemi ülkemizde de görmesidir.
Bilişim güvenliği ile ilgili bilgi edinmek isteyenler http://www.securityfocus.com adresindeki web
sitesini bir başlangıç noktası olarak kullanabilirler. Bu yazı ile ya da bilişim güvenliği ile ilintili her
türlü konu için yazara aşağıdaki adresinden e-posta yolu ile ulaşabilirsiniz.