.net Güvenli¤i

beyaz sapka
A⁄USTOS 2006
Bilgi Güvenli¤i Platformu
Beyaz fiapka’ya
abone olmak için
web formumuzu
doldurabilirsiniz.
www.beyazsapka.org
BU SAYIDA
Befl Güvenlik
Mimarisi Hatas› (2-3)
Microsoft Forefront (4-5)
McAfee’nin
“Az Bilinen Yerleri” (6-7)
Masaüstü Güvenli¤inde
Yeni Yaklafl›mlar - 8
.net Güvenli¤i
Sektörde çal›flt›¤›m›z birçok projede, bafllang›çta
projenin özellikleri, ifllevsel gereksinimleri, zaman tablolar›, kod analizleri, gözden geçirmeler, uyarlamalar,
yerellefltirmeler, kurulum ve nihayet güvenlik konular›
ile ilgili detayl› bir doküman haz›rlan›r.
Bu dokümanlarda, genellikle güvenlik en önemli unsur
olarak nitelendirilmesine ra¤men, nedense zaman içerisinde projenin sonlar›na do¤ru ötelenir. Sak›n yanl›fl
anlamay›n bunu her proje için söylemiyoruz ama günlük ifllemlerimizi, gizli bilgilerimizi emanet etti¤imiz bir
çok yaz›l›m›n güvenlik katmanlar›n›n yamalar fleklinde
yap›ld›¤› da bir gerçek.
Güvenlik, bafll› bafl›na bir bilim dal› haline gelmek üzere. Dünyan›n elektronik altyap›ya bu kadar ba¤›ml› oldu¤u günümüzde bilgisayar sistemi, güvenlik altyap›s›
sistemlerin esas› olmaya bafllad›.
Öncelikle tamamen güvenli bir sistem olmayaca¤›n›
belirtmek gerek. E¤er bilgisayar›m›z ve yaz›l›m›m›z herhangi bir flekilde kullan›ma aç›k ise güvenlik aç›klar› da
çeflitli yerlerden geliyor demektir.Yaz›l›m›n›z›n güvenli
olmas› tabii ki flart ancak yeterli de¤il; üzerinde çal›flt›¤› platformun, kullan›ld›¤› cihazlar›n, iflletim sisteminin,
veri taban›n›n, iletiflim içinde oldu¤u di¤er program ve
servislerin ve kullan›c›lar›n›n da güvenli olmas› laz›m.
Güvenlik tam ve bütün olmad›¤› sürece yat›r›mlar›m›z›n
bofla gitmesi bir an meselesi olarak kalacakt›r.
Yani: “Hatt› müdafaa yoktur; Sath› müdafaa vard›r”, buradaki sat›h ise bütün bileflenlerinin dikkate al›nmas›
gereken tüm bilgisayar sistemidir. Günümüzden yaklafl›k yüz y›l önce öne sürülen ve tüm savunma flekillerini
de¤ifltiren bu gerçek, teknolojik güvenlikte birkaç y›ldan beri uygulanmaya bafllanm›flt›r. Bilmem bu stratejiyi ortaya koyan kiflinin ne kadar öngörüfllü oldu¤unu
belirtmeye gerek var m›?
Günümüzde “Holistic approach to security” olarak nitelendirilen bu yaklafl›m her gün artan teknolojik geliflmeler ile daha da karmafl›k ve probleme özgü bir çözüm
haline gelmektedir. Bu durumda uygulama gelifltiricileri ve sistem yöneticilerinin yapmas› gereken, tüm sorunlara ayr› ayr› çözümler getirmek de¤il, haz›r araçlar› bir araya getirip amaca ulaflmak olmal›d›r.
Devam› 9. sayfada
.net Güvenli¤i - 9
Underground (10-11)
Befl Güvenlik Mimarisi Hatas›
Uygulama
H›zland›rma (12-13)
‹nternet korsanlar› “kurba¤a tekni¤i” kullan›rlar. Yani
bir sisteme s›zar, daha sonra bu sistem üzerinden di¤er sistemlere s›çrarlar: T›pk› bir kurba¤an›n, durgun
suda bir yapraktan di¤erine s›çramas› gibi.
Herkesin bildi¤i gibi siber ataklar›n çok büyük bir bölümü konfigürasyon hatalar›ndan kaynaklan›yor. Oysa
yar›n› görerek, bugünden önlem almak mümkün. Tek
yapmam›z gereken deremizdeki yapraklar aras›nda
önlem almak, yani tampon bölgeler oluflturmakt›r.
Oldukça büyük flirketlerden önemli bilgilerin çal›nd›¤›
haberlerini son zamanlarda Türkiye’de de s›kça duymaya bafllad›k. Unutmayal›m ki bu siber sald›r›lar›n en
önemli sebebi iyi tasarlanmam›fl sistemlerdir. Global
terör ile ilgili bir belgeselde bir Amerikan havaalan› güvenlik müdüründen duydu¤um sözü yazmak için iyi bir
zaman:
“Biz iflimizi her zaman iyi yapmak zorunday›z. Teröristlerin ise ifllerini sadece bir defa iyi yapmalar›, amaçlar›na ulaflmalar› için yeterli.”
e-Ticaret Güvenli¤i
ve PCI Veri Güvenli¤i
Standard› (14-15)
Adli Biliflim Sistem
Analizi “Dijital
Forensics” (16-17)
Hiyerarflik Arflivleme
ve Yedekleme (18-19)
Devam› 2. sayfada
Masaüstü Güvenli¤inde
Yeni Yaklafl›mlar
Günümüzde flirketlerin gizli, kritik bilgi ve uygulamalar›na gittikçe daha fazla say›da denetim/yönetim d›fl› sistem eriflmektedir. Yönetim/denetim d›fl› sistemler
aras›nda dan›flmanlar›n, outsource flirket çal›flanlar›n›n,
bayilerin ve müteahhit flirketlerin sistemleri say›labilir.
Merkezi IT birimi taraf›ndan denetlen(e)meyen bu tür
sistemler, a¤ güvenli¤i aç›s›ndan yeni zay›f noktalar
oluflturmaktad›r. Bu yaz›m›zda bu sorunlar›n VMware
ACE ve Vmware Virtual Desktop Infrastructure (VDI)
ürünleri ile nas›l çözülebilece¤ini irdeleyece¤iz.
Devam› 8. sayfada
Befl Güvenlik
Internet
korsanlar›
kurba¤a tekni¤i
kullan›r. Yani
bir sisteme
s›zar, daha
sonra bu sistem
üzerinden di¤er
sistemlere
s›çrar. T›pk› bir
kurba¤an›n
dura¤an suda
bir yapraktan
di¤erine
s›çramas› gibi.
2
BEYAZfiAPKA
1. SMTP Protokolü Hatalar›
Güvenli¤i sa¤lamak için hizmet verece¤imiz her protokolü
iyice incelemeli ve sistemimize gereken tan›mlamalar› yapmal›y›z. Bu konuda maalesef en s›k gördü¤ümüz hata,
SMTP sunucular› üzerinde yap›lan hatalard›r.
‹flletim sistemlerine entegre posta sunucumuz varsa, güvenlik duvar›ndan NAT yaparak gelen postalar› direkt lokal
a¤›m›zda bulunan posta sunucumuza iletmek, bombay›
kuca¤›m›za almaktan farks›zd›r. DMZ ad› verilen bölge, güvenilir iletiflim sa¤lamak için dizayn edilmifl bir yap›d›r. Gelen postalar› karfl›layan sunucumuz bu bölgede bulunmal›d›r; fakat ne yaz›k ki bu bölge dahi tam olarak yeterli olmamaktad›r.
Birçok sistemde DMZ bölgesinde postay› karfl›lamak için
Active Directory bilgisi tafl›yan veya Windows Domain üyesi olan bir sunucu kullan›lmaktad›r. Hatta ço¤u sistemde
DMZ ile lokal a¤ aras›nda daha kolay iletiflim sa¤lamak için
güvenlik duvar› tan›mlar›nda full eriflim verildi¤ini görmekteyiz. Bu flekilde tasarlanm›fl bir sistemin, NAT ile içeriye
posta alan sistemden hiçbir fark› yoktur.
Yap›lmas› gereken ifl, fake SMTP olarak adland›r›lan, lokal
domain veya Active Directory ile hiçbir ba¤› olmayan,
Smart Host mimarili bir e-posta sunucusu kullanmak ve bu
sunucuyu DMZ bölgesinde bar›nd›rmak. Bu flekilde e-posta sunucumuz, bir internet korsan› taraf›ndan ele geçirilse
bile, bu korsan di¤er sunucular›m›za kolayca geçifl yapamayacakt›r.
Ancak en do¤rusu, bir fake SMTP sunucusu yerine, bu ifl
için tasarlanm›fl güvenlik ürünleri kullanmakt›r. Bu ürünler
sayesinde hem SMTP sistemi ile lokal sistemimiz aras›nda
bir tampon bölge oluflturmufl oluruz hem de gelen postalar› virüs, trojan, spyware, phishing veya antispam taramas›na tabi tutabiliriz. Asl›nda antispam çözümlerini bu kadar
basit geçmemek gerekir. Nitekim sadece antispam taramas› yaparsak Tetris oyunu oynar gibi ard› arkas› kesilmeyen spam postalarla mücadele etmeye çal›flm›fl oluruz ve
gerçekte hiçbir zaman kazanamay›z. Bu tip postalar› sistemimiz kabul etmeden rejection code ile geri döndürmeli ve
spam listelerinden kendi alan ad›m›z› düflürmeye çal›flmal›y›z. Antispam konusu bu yaz›m›z›n d›fl›nda oldu¤undan
daha fazla detaya giremiyorum.
SMTP sunucular›m›za gelen authentication isteklerini de
güvenlik politikam›za uygun olarak tan›mlamal›y›z. E¤er bir
güvenlik politikam›z yoksa derhal haz›rlamal›y›z.
Hacking Exposed kitaplar›n› okuyanlar›m›z, Banner Grabbing yöntemini bilirler. Sistemsel bilgilerin internetten kolayca al›nmas›n› engellemek için varsay›lan sistem etiketlerimizi de¤ifltirmeliyiz.
2. Web-mail/POP3 Hatalar›
Yo¤un ifl temposu, flirket çal›flanlar›n›n ofis d›fl›nda da elektronik maillerine ulaflmas›n› ve ifllerini uzaktan yönetmesini
gerektiriyor. Dolay›s›yla kullan›c›lar›n, flirketlerinin elektronik
postalar›na eriflmeleri için çeflitli yöntemler gelifltiriliyor. En
eski yöntem POP3. Kullan›c›, bilgisayarlar›na POP3 tan›mlamas› yaparak, nerede olursa olsun postalar›na ulaflabilmektedir; ancak bu durumda POP3 sunucumuzu da internetten eriflilebilir hale getirmemiz gerekmektedir. POP3,
do¤as› gere¤i kullan›c› ad› ve flifre denetimi yapt›¤›ndan,
zay›f bir nokta oluflturmaktad›r. Ayr›ca POP3 sistemlerinin
di¤er sistemlerimiz ile entegre durumda olmas›, sunucuya
s›z›larak sistemin ele geçirilmesini kolaylaflt›r›r.
Web-mail yöntemi ise ikinci uzaktan posta eriflim hizmeti olmaktad›r. Bu yöntemin en fazla bilinen örne¤i Outlook Web
Access (OWA). Ancak durum OWA’da da farkl› de¤il, kullan›c› ad› ve flifre denetimi yapan her sistem zay›f noktad›r.
Ayr›ca unutmamam›z gerekir ki OWA sunucumuz Active
Directory sistemine entegredir; yani OWA hack edilirse tüm
sistemimize s›z›labilir.
Peki güvenli bir eriflim yöntemi yok mu?
Elbette var, SSL-VPN. SSL-VPN kimlik do¤rulama sistemi,
Windows Domain sistemimizden ba¤›ms›zd›r. Güvenlik çok
yüksek seviyede tasarlanm›flt›r. Ancak buna ra¤men hack
edilse bile direk olarak lokal sunucular›m›za s›z›nt› yap›lamaz. Ayr›ca tüm eriflim SSL flifrelemesi ile sa¤lan›r. Yani
clear-text olarak çal›flan SMTP ve POP3 gibi sistemlerimize
kolayca flifreleme sa¤layabiliriz. SSL-VPN sistemlerinin yönetimi ve bak›m› da çok kolayd›r. SSL-VPN ürünleri ile merkez ofisimize eriflimi kolaylaflt›ran ve güvenli k›lan yat›r›m›
yapabilir, üzerine de güvenli dosya eriflimi veya full VPN
hizmetlerini sa¤lam›fl olabiliriz.
3. Web Sunucular› Hatalar›
Art›k hemen hemen her flirkette web hizmetleri sunuluyor
ve yaz›l›mlar›n birço¤u web uyumlu olarak gelifltiriliyor, do¤al olarak bu durum da internet korsanlar›n›n ifline yar›yor.
Aç›kça söylemeliyim ki web hizmetlerinin güvenli¤ini sa¤lamak oldukça zordur. Bu yüzden kullan›lan protokolleri çok
iyi tan›mak ve yaz›l›m altyap›lar›n› iyi bilmek gerekir. Ancak
yine de web sunucumuzun http authentication yöntemlerine kolayca müdahale edebiliriz. Daha önce söyledi¤im gibi her authentication sistemi, e¤er Windows Domain’imize
entegre ise, her an patlamaya haz›r bir saatli bombad›r.
Web sistemimize yap›lacak bir atak tüm sistemimizi internet korsan›n›n önüne aç›kça koyabilir. Bu yüzden sistemimizi iyi yap›land›rmal›y›z. SSL-VPN bu noktada yine iyi bir
çözüm olacakt›r. Personelimizin kulland›¤› web uygulamalar›na veya B2B sistemi kullanan ifl ortaklar›m›za SSL-VPN
üzerinden hizmet sa¤layabiliriz. Bu sayede, say›lar› zaten
fazla olmayan sistem kullan›c›lar›n›n eriflece¤i noktalar›, internete ba¤l› herkese açmak gibi ölümcül bir hata yapmam›fl oluruz.
E¤er herkese aç›k bir sunucumuz varsa Reverse-Proxy veya Application Firewall ürünlerini kullanmaktan baflka çaremiz yok. Tabi burada bahsetti¤im teknik bir tespit. Söz konusu yat›r›mlar ve sistemlerin de¤eri bu yat›r›ma olanak tan›yacak kadar büyük olmayabilir ancak teknik olarak bu
güvenlik sistemlerini kullanmak zorunludur. Bu konuda en
iyi yorumu güvenlik dan›flman›n›z yapacakt›r.
4. FTP Protokolü Hatalar›
Benzer hatalar FTP protokolümüz için de geçerli. FTP sistemi, kolay dosya transferi için oldukça elveriflli; fakat FTP
sistemini Windows Domain’imiz ile entegre etmek, bindi¤imiz dal› kesmekten farks›z. Kullanaca¤›m›z FTP sunucusunun kendine ait bir authentication metoduna sahip olmas›na ve mümkünse FTP sunucusunun iflletim sisteminin Windows Domain’ine üye olmamas›na dikkat etmeliyiz. E¤er
Mimarisi Hatas›
sadece kendi personelimize veya ifl ortaklar›m›za hizmet
veren bir FTP sunucumuz var ise SSL-VPN hizmetleri burada da iyi bir tercih olacakt›r.
FTP sunucumuza bir Directory Traversal ata¤› gelece¤ini
düflünmeli ve bu sunucu üzerinde gerekli eriflim kurallar›n›
uygulamal›y›z ve FTP sunucumuz üzerine baflka bilgiler
saklamamal›y›z.
5. Atak Denetimi
A¤ tabanl› atak engelleme sistemleri Network Intrusion Prevention System, (NIPS) h›zla hayat›m›za girmeye bafllad›.
Birçok Türk flirketi NIPS sat›n ald› birço¤u da eski atak tespit sistemi olan (IDS) ürünlerini yeni nesil NIPS ürünleri ile
de¤ifltirdi. Son zamanlarda s›kça hacking haberi duyar olduk. Bu flirketlerin hâlâ IPS ürünleri kullanmad›¤›n› düflünüyorum. Bunun yan› s›ra IPS kullan›m›nda da birçok konfigürasyon hatas› gözlemliyoruz.
Bu hatalardan en önemlisi konumland›rma hatalar›. NIPS
ürünlerinin ço¤u, birden fazla fiziksel segment üzerinde
hizmet verebilir. NIPS ürünümüzün a¤ üzerinde trafi¤i karfl›lad›¤› nokta mutlaka güvenlik duvar›n›n önü olmal›d›r. Bu
sayede güvenlik duvar›na gelecek uygulama tabanl› ataklar› ve DDoS ataklar›n› engelleyebiliriz. Ürünün konumland›r›laca¤› ikinci nokta, güvenlik duvar›m›z ile lokal a¤›m›z
aras›nda olmal›d›r. Ancak bu sayede lokal a¤dan ç›kmas›
muhtemel ataklar›n kayna¤› NIPS taraf›ndan tespit edilebilir. Aksi takdirde Dinamik NAT yüzünden güvenlik duvar›
önünde bulunan NIPS lokal a¤ kaynakl› ataklar›n kaynak
adresini, güvenlik duvar›n›n NAT adresi olarak tan›mlayacakt›r. Korumam›z gereken di¤er önemli bir nokta ise flube
veya B2B ba¤lant›lar›m›z›n lokal a¤ ile bulufltu¤u noktad›r.
Bu sayede flubelerden veya B2B ba¤lant›lar›m›zdan gele-
Serkan AKCAN
[email protected]
cek olan atak ve solucan gibi tehditleri merkez sistemimize
ulaflmadan durdurabiliriz. Ayn› durumun tersi de elbette
geçerli.
Unutmamam›z gerekir ki Atak Engelleme Sistemi iki parçadan oluflur. Network Intrusion Prevention System (NIPS) ve
Host Intrusion Prevention System (HIPS). Dolay›s› ile bir
atak engelleme sistemi dizayn ederken HIPS ürünlerini kesinlikle unutmamal›y›z. Özellikle de NIPS ürünleri https gibi
flifrelenmifl paketlerin içine bakamazken (flu an için sadece bir NIPS markas›n›n orta ve yüksek seviyeli modelleri
https trafi¤inde ataklar› bulup engelleyebilmektedir).
HIPS ürünleri kullananlar gayet iyi bilir ki, baz› ataklar sadece HIPS ile durdurulabilir. Çünkü Buffer Overrun korumas›
veya Windows Registry ve dosya korumas› gibi özellikler
baflka hiçbir üründe bulunmaz. Bu sayede güvenlik yamalar› yüklenmemifl bir sunucu bile güvenle çal›flabilmektedir.
Üstelik HIPS ürünlerinin fiyatlar› da gayet caziptir. Henüz
HIPS kullanm›yorsan›z mutlaka ve h›zl›ca bir demo istemenizi tavsiye ederim. HIPS raporlar›n› görür görmez bu ürünlerin k›ymetini daha net anlayacaks›n›z.
NIPS ve HIPS ürünlerinde kural yönetimi üzerinde durulmas› gereken oldukça önemli bir görevdir. Ço¤u yerde anlat›lan›n aksine NIPS ve HIPS ürünleri “kur-unut” ürünlerden
de¤ildir. Atak imzalar› özenle düzenlenmemifl bir IPS sahibi sistem ile IPS sahibi olmayan sistemin çok büyük bir fark› yoktur. En az antivirus sistemlerini güncelledi¤imiz h›zda
IPS ürünlerini güncellemeliyiz. Unutmay›n ki ataklar büyük
oranda yeni bir güvenlik a盤›n›n duyurulmas›n› takiben yap›l›r. Her sistem yöneticisi Hacker’lardan daha h›zl› davranmak ve sistem zaaflar›n› kapatmakla yükümlüdür.
Tüm sorular›n›z ve fikirleriniz için lütfen bana yaz›n.
BEYAZfiAPKA
3
Microsoft Forefront
Günümüzde güvenlik, birçok flirketin öncelik s›ralamas›n›n en üstünde yer al›yor. fiirketler, bir yandan düzenli
olarak güvenlik alan›na yat›r›m yaparken, di¤er yandan
sektöre her gün yeni ürünler ve teknolojiler kat›l›yor.
Güvenlik, Microsoft aç›s›ndan da oldukça önemli. Microsoft, müflterilerinden ve ifl ortaklar›ndan gelen talepler
do¤rultusunda 2002 y›l›ndan bu yana bilgi güvenli¤i konusunda sürekli yat›r›mlar yap›yor. 2002’de bafllayan
“Trustworthy Computing Hareketi” sayesinde Microsoft’taki her ürün güvenlik, gizlilik ve güvenilirlik bak›m›ndan en üst seviyeye çekildi. Bununla beraber, mevcut
ürünler d›fl›nda yeni güvenlik ürünleri gelifltirildi ve kendi
sektöründeki en baflar›l› flirketler sat›n al›narak onlar›n
ürünleri Microsoft ürün ailesine entegre edildi.
4
fiekil 1. Microsoft Forefront Ürün Ailesi Yol Haritas›
BEYAZfiAPKA
Bugün ise Microsoft, mevcut bütün Güvenlik Ürün Ailesini Forefront ad› alt›nda birlefltirmeye karar verdi. Forefront ad›, ayn› zamanda, Microsoft’un “güvenli¤e” olan ve
hep devam edecek ba¤l›l›¤›n› yans›tmaktad›r. Güvenlik
sadece uçtan uca sa¤lan›rsa anlaml› olabilir. Microsoft
Forefront Ürün Ailesi de flu anda kullan›c› bilgisayar›ndan sunucuya, sunucudan d›fl ba¤lant› noktas›na kadar,
uçtan uca güvenli¤i sa¤lamaktad›r.
Forefront’un özelliklerine geçmeden önce k›saca ürün ailesine ve Forefront yol haritas›na bir göz atal›m.
Client taraf›nda daha önce Microsoft Client Protection
olarak duyurulan ve Microsoft taraf›ndan gelifltirilmekte
olan ürün 2007 y›l›nda Microsoft Forefront Client Security
ad› alt›nda piyasaya ç›kacak. Forefront Client Security,
Anti-Malware olarak Windows Defender ve Anti-Virüs
olarak Microsoft AV Engine özelliklerini bünyesinde bar›nd›racak. Ayn› zamanda Forefront Client Security Management Console’u ile de merkezi olarak yönetilebilecek.
Server taraf›nda ise Sybari firmas›n›n sat›n al›nmas›yla
beraber Antigen ad›yla Microsoft ürün ailesine kat›lan ve
Microsoft Antigen for Exchange, Microsoft Antigen for
SMTP Gateways, ve Microsoft Antigen Spam Manager
ürünleri, 2007 y›l›ndan itibaren Microsoft Forefront Security for Exchange Server ad›yla piyasada olacak. Yine
server taraf›ndan an›nda mesajlaflma için kullan›lan Antigen for Instant Messaging ürünü, Microsoft Forefront Security for Office Communications Server ad›yla gelecek
y›llarda piyasada olacak. Server taraf›ndaki Forefront ailesi ise Forefront Server Security Management Console
ile merkezi olarak yönetilebiliyor olacak.
D›fl Ba¤lant› Noktas› taraf›nda ise güvenlik bak›m›ndan
Microsoft’un en önemli ve be¤enilen ürünlerinden biri
olan Microsoft Internet Security and Acceleration (ISA)
Server, yeni versiyonu ile Forefront ürün ailesinin bir parças› olacak. Çok k›sa bir sure sonra piyasada olacak
olan Internet Security&Acceleration Server 2006, kendine özel Forefront ad›na ise bir sonraki versiyonunda sahip olacak.
Mehmet ÜNER
[email protected]
Comprehensive Security
Product Portfolio
Kapsaml› Güvenlik Ürün Portföyü
fiekil 2. Tam ve Detayl› Güvenlik Çözümleri
Günümüzde
güvenlik, birçok
flirketin öncelik
s›ralamas›n›n
en üstünde
yer al›yor.
fiirketler, bir
yandan düzenli
olarak güvenlik
alan›na yat›r›m
yaparken, di¤er
yandan sektöre
yeni ürünler ve
teknolojiler
kat›l›yor.
Forefront ürün ailesine ve yol haritas›na bakt›ktan sonra,
Forefront’un önemli özelliklerini ve flirketlere getirece¤i
yararlar› inceleyelim. Forefront’un günümüzde güvenlik
aç›s›ndan birçok sorunla karfl› karfl›ya olan flirketlere getirdi¤i en önemli yararlar, tam ve detayl› bir çözüm sunmas›, yönetiminin basit olmas› ve mevcut IT yap›s›yla entegrasyonu sa¤lamas›d›r.
Tam ve Detayl› Çözüm
l Forefront sayesinde flirketler, virüs, spyware, rootkit
ve di¤er malware tehditlere karfl› kullan›c› bilgisayarlar›n› ve sunucular›n› koruyabilmekteler.
l Forefront, eriflim kontrolü, uygulama ve protokol datas› inceleme, birden çok engine kullanma gibi özellikleri ile flirket a¤lar› için çok derin ve detayl› bir koruma
sa¤lamaktad›r.
l Forefront, Firewall, VPN ve flifreleme teknolojileri sayesinde sadece eriflim izni verilmifl kullan›c›lar›n gerekli datalara eriflimini sa¤lamaktad›r.
l Forefront’un sa¤lad›¤› tam ve detayl› çözümün son
özelli¤i ise 3. Parti güvenlik çözümleri ile birlikte çal›flmak ve network güvenli¤inin kapsam›n› artt›rmakt›r.
Yönetim Basitli¤i
l Forefront ürün ailesi geliflmifl log toplama, raporlama
ve gözlem özellikleri sayesinde flirket a¤lar› için güvenlik yönetimini çok basitlefltirmektedir.
l Forefront, merkezi yönetim konsolu say›s›n› azaltmakta ve IT yöneticilerinin ifllerini kolaylaflt›rmaktad›r.
l Forefront güvenlik ürünleri merkezi olarak basit bir flekilde kurulabilmekte ve tek bir noktadan güvenlik imzalar› ve politika yönetimi yap›labilmektedir.
Mevcut Yap›yla Entegrasyon:
l Forefront, mevcut Microsoft tabanl› IT altyap›s›yla
(Active Directory, Group Policy, Windows Server Update Services gibi) entegre bir flekilde çal›flabilmektedir.
l Forefront, Microsoft sunucu uygulamalar›n› korumak
için optimize edilmifl durumdad›r.
l Forefront’un log toplama ve analiz için SQL altyap›s›n› kullanmas›, yönetim konsollar›n›n MOM, SMS ve
WSUS gibi Microsoft ürünleri ile entegre olmas› sayesinde, flirketlerin karfl›laflabilece¤i birçok maliyet önlenebilmektedir.
BEYAZfiAPKA
5
McAfee'nin “Az Bilinen Yerleri”
Gezi dergilerindeki “gizli do¤a harikalar›, az bilinen yerler” gibi köfleler hep ilgimi çekmifltir. Meflhur olmufl yerlerin d›fl›nda gözden kaç›r›lm›fl, mutlaka görülmesi
gereken yerler hakk›nda bilgi sahibi olmak kendimi
ayr›cal›kl› hissettirir. Her ne kadar daha az bilinir olsalar
da Kütahya'daki Aizonai antik flehri ya da 3000 y›ll›k gemi
yap›mc›l›¤› tarihi olan flirin Karadeniz kasabas›
Kurucaflile, en az Efes ya da Türkiye'nin güney sahilleri
kadar büyüleyicidir çünkü. Bu yaz›da sizlere McAfee
“co¤rafyas›ndaki” baz› az bilinen yerler hakk›nda bilgiler
sunmak istiyorum. Günün birinde yolunuz düflerse ya da
gitmek isterseniz önceden bilmenin keyfini yaflaman›z
için.
Microsoft ISA Server ‹çin “McAfee SecurityShield”
McAfee'nin anti virüs, anti spam ve içerik filtreleme
teknolojilerine dayanan McAfee SecurityShield “Microsoft
ISA Server 2000 ve 2004” korumas› için gelifltirilmifltir.
E¤er Microsoft ISA sunucular› dahili olarak kullan›l›yorsa,
flirket departmanlar› aras›ndaki trafi¤i filtrelemek
olanakl›d›r. SecurtiyShield ile zararl› kodlardan etkilenmifl
dosyalar otomatik olarak onar›labilir, kesilebilir veya
karantinaya al›nabilir ve böylece zararl› kodlar›n SMTP,
HTTP ve FTP üzerinden a¤a girmesi ya da a¤dan ç›kmas›
önlenir. McAfee'nin metinsel taramas› 300'ün üzerinde eposta eklenti türünü Adobe® Acrobat® ve Microsoft®
Office dosya türleri de dahil olmak üzere, belirlenen içerik
filtreleme kurallar›n› baz alarak kontrol eder. Önceden
belirlenmifl kurallar›, ilgili flirkete özgü kurallar haline
getirmek olanakl›d›r. McAfee Spamkiller yaz›l›m›n›n entegre edilebildi¤i SecurityShield McAfee'nin genel yönetim
platformu olan “Event Policy Orchestrator” (ePO)
üzerinden yönetilebilmektedir.
E-Business
Server'›n
kurulumu ve
yönetimi
kolayd›r.
Kullan›c› her
nereden eriflim
sa¤l›yor olursa
olsun otomatik
flifreleme, flifre
çözümü, dijital
imza ve
do¤rulama
kullan›labilir.
6
BEYAZfiAPKA
Microsoft SharePoint için
McAfee PortalShield
McAfee® PortalShield™ for Microsoft® SharePoint®
doküman içeri¤i, web içeri¤i ve sunucuda saklanan
dokümanlar için kapsaml› ve geliflmifl güvenlik sa¤lar.
Üstün metinsel tarama ve içerik filtreleme özelliklerine ek
olarak kay›tl› dokümanlardaki izinsiz içeri¤i arama
yetene¤i ile PortalShield paylafl›lan ortamlardaki geleneksel anti virüs korumas›n›n ötesine geçmektedir. McAfee®
PortalShield™ for Microsoft® SharePoint® McAfee'nin
genel yönetim platformu olan “Event Policy Orchestrator”
(ePO) üzerinden yönetilebilmektedir.
Sistem gereksinimleri:
Microsoft® SharePoint® Portal Server 2001
• Microsoft® Windows® Server 2000/2003
• Microsoft Internet Information Services (IIS) 5.0 or later
• Microsoft® Internet Explorer v5.5 or later installed
Microsoft SharePoint Portal Server 2003
• Microsoft Windows Server 2003
• Microsoft Internet Information Services (IIS) 6.0 or later
• Microsoft Internet Explorer v6.0 or later installed
Microsoft Windows SharePoint Services
• Microsoft Windows Server 2003
• Microsoft Internet Information Services (IIS) 6.0 or later
• Microsoft Internet Explorer v6.0 or later installed
McAfee fiifreleme Yaz›l›mlar›
- McAfee E-Business Server
fiubeleri, üreticileri ve ifl ortaklar› ile hassas ve fikri
mülkiyet haklar›na konu bilgiler paylaflan kurumlar veri ve
uygulamalar›n› korumak durumundad›rlar. McAfee EBusiness Server yaz›l›m› ile verilerin endüstri standard›
olan PGP ile flifrelenmifl olarak internet üzerinden güvenli paylafl›m› olanakl›d›r. 128 bit PGP flifrelemesi uygulamalar ve e-postalar içindeki verileri korur, dosya transferlerinin güvenli olarak yap›lmas›n› sa¤lar.
E-Business Server'›n kurulumu ve yönetimi kolayd›r.
Kullan›c› her nereden eriflim sa¤l›yor olursa olsun
otomatik flifreleme, flifre çözümü, dijital imza ve do¤rulama kullan›labilir. Birden fazla sunucuya kurulan EBusiness Server tek bir yerden yönetilebilir. Hatalar› en
aza indirmek için flifreleme komutlar› oldukça basitlefltirilmifltir. Yaz›l›m gelifltiriciler kendi tercih ettikleri diller ya da
ilgili API'leri kullanarak flifreleme özelliklerini istenen
uygulamalara entegre edebilirler.
E-Business Server adanm›fl hat kullan›m ihtiyac›n›
ortadan kald›r›r ve kolaylaflt›r›r. Bütünleflik s›k›flt›rma özelli¤i ile 4GB'den daha büyük dosyalar› flifreleyebilir ve
böylece bant geniflli¤inin ve saklama alan›n›n efektif kullan›m› sa¤lanm›fl olur.
E-Business Server'›n çok genifl bir yelpazedeki sunucular
ve iflletim sistemleri ile uyumlu olmas› farkl› platformlar
aras›ndaki veri paylafl›m›n› kolaylaflt›r›r. Hatta farkl› bir
platformda flifrelenmifl veriler baflka bir platformda
aç›labilir. E-Business Server uluslararas› PGP standartlar›n› ve en fazla kullan›lan sertifikasyon kurulufllar›n›n
protokollerini destekler.
‹flletim sistemleri
Microsoft® Windows® için: 32 MB RAM ve 6 MB bofl disk
alan›, Unix için 32 MB RAM ve 9 MB bofl disk alan›
Desteklenen platformlar:
E-Business Server 8.0/8.1
Microsoft Windows NT4, Server, 2000 Advanced Server,
and 2003 SunSM Solaris™ 9, 10 HPUX 11.0, 11.1
RedHat® 3.0 Enterprise Server SuSE Linux™ 9.0
Enterprise Server
- McAfee E-Business Server for OS/390
E-business Server ile benzer fonksiyonlara sahip olan
McAfee E-Business Server for OS/390
IBM® PCM mainframe sistemleri için kullan›l›r.
Platform deste¤i: OS/390 V2 R10 veya sonras›ndaki
sürümler üzerinde çal›flan her tür sistem
Çapraz platform uyumlulu¤u: AIX, HP-UX, Linux™,
Solaris™, SuSE Linux™ for S/390 or zSeries ve
Microsoft® Windows® 98, NT and 2000.
- McAfee E-Business Server Partner Edition
E-Business Partner Edition ile ifl ortaklar›n›z ile güvenli
bilgi paylafl›m› için gerekli ortam› yaratm›fl olursunuz.
Microsoft® Windows® için: 32 MB RAM ve 6MB disk
alan›
UNIX için : 32 MB RAM ve 6MB disk alan›
- McAfee E-Business Client
McAfee E-Business Client ile kullan›c›lara masaüstünde flif-
Arma¤an ZALO⁄LU
[email protected]
press® veya Netscape Mail
• FTP transferleri için Internet eriflimli bir ftp sunucusu gerekir.
• En az Intel® Pentium® 166vMHz ifllemci.
• En az 32 Mb haf›za (64vMB sunucu platformalar› için)
• En az 3MB hard disk kapasitesi
Desteklenen algoritmalar
• MD-5, SHA1, RIPE MD 160
Desteklenen algoritmalar: Simetrik ve asimetrik “key”
flifrelemesi
• DSS, RSA, Twofish, AES, CAST5, 3DES, IDEA
releme ve güvenli iletim olanaklar› sa¤lam›fl olursunuz.
Herhangi bir teknik e¤itime gerek kalmadan E-business
Client'in “tut-b›rak” fonksiyonu ile flifreleme, açma ve do¤rulatma fonksiyonlar› yerine getirilebilir. Sonras›nda bu veriler herhangi bir McAfee® E-Business Server'a gönderilebilir ya da herhangi bir McAfee® E-Business Server'dan
al›nabilir.
E-Business Client Microsoft® FTP and SMTP kulland›¤› için
dosya transferleri otomatik olarak gerçekleflir. Markalama
ve kimlik tan›t›m› için ilgili kurum ya da onun ifl ortaklar› dokümanlara logo ekleyebilirler. Endüstri sertifikasyonlar›na
uyum kontrolleri için yap›lan tüm ifllemlerin ve al›nan tün
konfirmasyonlar›n kay›tlar› tutulur.
E-Business Client otomatik olarak flifreleme için “public
key” (bütün kullan›c›larca bilinen) ve flifreyi çözmek için
“private key” (sadece al›c› taraf›ndan bilinen) yarat›r. Public-key bilinse dahi private key kodunu k›rmak olanaks›zd›r.
Sistem Gereksinimleri:
E-Business Client ile iletiflim için McAfee® E-Business
Server® or McAfee® E-Business Server® for OS/390
gerekmektedir (kurum içinde ya da d›fl›nda).
E-Business
Client
Microsoft® FTP
and SMTP
kulland›¤›
için dosya
transferleri
otomatik
olarak
gerçekleflir.
Yönetim ve Konfigürasyon
• Microsoft® Windows® NT Server 4.0, SP 4 or later, Microsoft Windows NT Workstation 4.0, SP 4 ya da sonraki
sürümler.
• Microsoft Windows 2000 Advanced Server, Microsoft
Windows 2000 Professional or Microsoft Windows 2000
Server
• Microsoft Windows XP Professional.
• E-posta transferi için MAPI uyumlu eposta sistemi gerekir: örne¤in Microsoft® Outlook®, Microsoft® Outlook Express® veya Netscape Mail
• FTP transferleri için Internet eriflimli bir ftp sunucusu gerekir.
• En az Intel® Pentium® 166vMHz ifllemci.
• En az 32 Mb haf›za (64vMB sunucu platformalar› için)
• En az 10MB hard disk kapasitesi
McAfee E-Business Client
• Microsoft Windows 95, 98, ME, NT Server 4.0, NT Workstation 4.0, 2000 Advanced Server, 2000 Professional,
2000 Server, XP Professional, XP Home.
• Eposta transferi için MAPI uyumlu eposta sistemi gerekir: örne¤in Microsoft® Outlook®, Microsoft® Outlook Ex-
McAfee E-Business Server - Native API'ler
McAfee E-Business Server'in Native API'leri ile tüm uygulamalar -endüstri spesifik, özel, ticari vb.- flifrelenerek
izinsiz eriflimin önüne geçilebilir. Yaz›l›m gelifltiriciler kendi tercih ettikleri dilleri ya da McAfee'nin sa¤lad›¤› API'leri kullanabilirler. Özel bir e¤itime gerek yoktur. Otomatik
flifreleme, çözme, dijital imza ve do¤rulama fonksiyonlar›
entegre edilerek veri nereden eriflilirse eriflilsin koruma alt›na al›n›r. A¤ trafi¤i flifrelemesini bir çok farkl› uygulama
ile entegre etmek olanakl›d›r:
Veri saklama, finansal ifllemler, sigorta talep ifllemleri, her
tür FTP aktar›mlar›, web tabanl› kredi kart› ifllemleri, di¤er
online ifllemler, flifreleme ve veri imzalama, web tabanl›
sa¤l›k sistemleri...
Gelifltirme ifllemi tamamland›¤›nda verileri internet üzerinden en çok kulland›¤›n›z uygulamalar arac›l›¤› ile aktarabilirsiniz. Farkl› bir platformda flifrelenmifl veriler baflka bir
platformda aç›labilir
E-Business Server için Perl API
• E-Business Server
• ActiveState™ Perl 5.6 [Microsoft® Windows®]
• ActiveState Perl 5.005 or later [UNIX]
• Supported platforms: HP-UX 10.20, RedHat® Linux™
6.2, Solaris™ 2.6 and Microsoft Windows NT 4.0 SP6
E-Business Server için Java API
• E-Business Server
• SunSM Java™ 2 SDK 1.3.1 ve sonraki sürümler, Sun
JRE 1.3.1 ve sonraki sürümler, veya Microsoft Visual J++
[Visual Studio 6.0 ile beraber gönderilir]
• Desteklenen platformlar: HP-UX 10.20, RedHat Linux
6.2, Solaris 2.6 veya Windows 2000 Workstation
E-Business Server için COM API
• McAfee E-Business Server
• Microsoft Visual Basic 6.0
• Desteklenen platformlar: Microsoft Windows NT and
Microsoft Windows 2000
E-Business Server için C/C++ Native API
• C/C++ native API McAfee E-Business Server 'a dahildir.
Çapraz platform uyumlulu¤u
• fiifrelenmifl veriler PGP ürünlerinin çal›flt›¤› flu iflletim
sistemleri ile paylafl›labilirler: OS/390, AIX, HP-UX, Linux,
Solaris, or Microsoft Windows 98, Microsoft Windows NT,
and Microsoft Windows 2000
• Mainframe Linux deste¤i SuSE Linux™ for S/390 ve
zSeries için vard›r.
Daha detayl› bilgi için [email protected] ile konta¤a
geçebilirsiniz. http://www.mcafee.com
BEYAZfiAPKA
7
Masaüstü
Güvenli¤inde
Yeni Yaklafl›mlar
Günümüzde flirketlerin gizli, kritik bilgi ve uygulamalar›na gittikçe daha fazla say›da denetim/yönetim d›fl› sistem
eriflmektedir. Yönetim/denetim d›fl› sistemler aras›nda dan›flmanlar›n, d›fl kaynak sa¤lay›c›s› flirket çal›flanlar›n›n,
bayilerin ve yüklenici flirketlerin sistemleri say›labilir. Merkezi BT birimi taraf›ndan denetlen(e)meyen bu tür sistemler, a¤ güvenli¤i aç›s›ndan yeni zay›f noktalar oluflturmaktad›r. Bu yaz›m›zda bu sorunlar›n VMware ACE ve VMware Virtual Desktop Infrastructure (VDI) ürünleri ile nas›l çözülebilece¤ini irdeleyece¤iz.
VMware ACE
VMware ACE, kurumun BT birimi taraf›ndan özel olarak
haz›rlanm›fl bir sanal makinan›n denetim d›fl› (kurum d›fl›)
sistemlere yüklenmesi temelinde çal›flan bir çözümdür. Bu
özel sanal makinan›n sahip oldu¤u, olaca¤› yetkiler sistem
yöneticileri taraf›ndan önceden belirlenir ve bu sanal makina bir flablon olarak bu PC’lere yüklenir. Böylelikle, yönetim d›fl› bir PC, tüm a¤ iletiflimi ve donan›m› kontrol edilebilen bir sisteme dönüflür ve uç noktalardaki bu tür sistemlerdeki kritik bilgiler korunmufl olur. Sistem yöneticisi birden fazla flablon haz›rlayabilir ve de¤iflik tipte sistemler
için uygun olan› yükleyebilir.
Bu flablonlar, sistem/a¤ güvenli¤i yöneticileri taraf›ndan
VMware ACE Manager ile üretilir ve MSI uyumludur. Yönetici; sanal makinan›n iflletim sistemini, yüklenecek uygulamalar›, a¤ eriflimini, kimlik denetimini, sanal makina süreli
ise bitifl tarihini, kopyalama koruma özelli¤ini belirler. Virtual Rights Manager (VRM) ile tüm bu güvenlik politikalar›
merkezi olarak yönetilebilir. Bu flablon sanal makina(lar)
bilinen yöntemlerden herhangi biri kullan›larak (download,
da¤›t›m programlar› veya CD/DVD ile) uç sistemlere da¤›t›l›r ve kurulur.
VMware ACE ile yarat›lm›fl sanal makinalar›n host sistem
üzerindeki ayg›tlara (yaz›c›, USB bellekler veya CD/DVD
writer gibi) eriflimi e¤er istenirse engellenebilir.
Digital Rights Management (DRM) özelli¤i sayesinde bu
8
BEYAZfiAPKA
O¤uz ÜLKER
[email protected]
flablon sanal makinan›n kullan›c› taraf›ndan baflka bir sistem üzerine, a¤ üzerindeki bir alana veya tafl›nabilir bir ortama kopyalanmas› engellenmektedir.
VMware Virtual Desktop Infrastructure (VDI)
Bu çözümün temeli, kullan›c›lar›n flirketin veri merkezindeki ESX sunucular üzerindeki sanal makinelere uzaktan
ba¤lanmalar› ve ifllerini orada yapmalar› ilkesine dayan›r.
Bu asl›nda VMware’in sanal sunucu yaz›l›m›n› satmaya
bafllad›¤› zamandan beri ad› konulmadan kullan›lmakta
olan bir çözümdür.
Günümüzde pek çok ifllevin (call center, help desk, software development, test, vd) ve çal›flan›n flirket d›fl›na ç›kar›ld›¤›, d›fl kaynak kullan›m›n›n artt›¤› gözlenmektedir.
Pek çok kifli art›k evlerinden veya ofise gelmeden uzaktan
çal›flmaktad›rlar. VDI ile yap›lan, bu çal›flanlara merkezde
kurulmufl olan VMware sanal altyap›s› üzerinde çal›flan sanal sistemler tahsis etmektir. Uzak çal›flan(lar)›n tek yapaca¤› herhangi bir PC veya thin client üzerine kurduklar› bir
uzaktan eriflim yaz›l›m› ile kendi sanal sistemlerine eriflmek ve onu kullanmakt›r.
VDI kullanman›n yararlar› aras›nda flunlar say›labilir:
Geliflkin güvenlik. Kurum için kritik bilgiler ve uygulamalar
kurum içindeki altyap› içinde kalm›fl olur, d›flar› ç›kmaz.
Böylelikle, Sarbannes-Oxley, HIPAA ve Gramm-Leach-Bliley gibi düzenlemelere de s›k› s›k›ya uyulmufl olur. Ayr›ca,
d›fl kaynak sa¤lay›c›s› flirket ile sözleflme bitti¤i zaman veya bir çal›flan iflten ayr›l›p a¤ eriflimleri kesildi¤inde bile
onlar›n kullanm›fl olduklar› sanal makinalar hala sizin elinizin alt›ndad›r.
Donan›m ba¤›ms›zl›¤›. Uzak kullan›c›lar›n gereksinimi olan
tek fley bir uzak eriflim program› oldu¤u için, d›fl kaynak
sa¤lay›c›s› flirketler kendi masaüstü donan›mlar›n› istediklerini belirleyebilirler. Veya bir uzak çal›flan isterse bir internet cafeden bile çal›flabilir!..
Geliflkin masaüstü yönetim, destek ve geri dönüfl. Veri
merkezindeki sistem yöneticileri, uzak çal›flanlar için haz›rlad›klar› sanal makinalar› Virtual Center ile kolayl›kla yönetebilirler. Donan›m ve uygulamada standardizasyon
çok kolay bir biçimde sa¤lanabilir. Güncellemeler ve yedeklemeler, kullan›c› müdahalesi olmadan kolay ve güvenli bir biçimde yap›labilir.
ESX sunucular üzerindeki her bir uzak masaüstü sistem
bir di¤erinden izole bir biçimde çal›flt›¤› için herhangi birinin çökmesi durumunda di¤er sistemler çal›flmaya devam
ederler. Çöken sistem ise çok k›sa bir zamanda aya¤a kald›r›labilir. Üzerinde sanal masaüstü sistemler çal›flan bir
ESX sunucu çok yüklenirse sanal masaüstü sistemlerin bir
k›sm› baflka sunucular üzerine sistemler çal›fl›rken bile aktar›labilir.
Bir VDI altyap›s› flekilde gösterildi¤i gibidir. Veri merkezi
taraf›nda gerekenler ESX Server ve VirtualCenter yaz›l›mlar›, ofis d›fl› kullan›c› taraf›nda ise üzerinde uzak eriflim yaz›l›m› kurulu bir masaüstü sistem veya bir ince ifllemcidir.
Bu ürünler hakk›nda daha fazla bilgi VMware’in VIP Reseller’i olan Elmer Yaz›l›m’dan temin edilebilir.
.net Güvenli¤i
.NET Framework 2.0, Windows güvenlik araçlar›, SQL güvenli¤i bize bu kolayl›¤› sa¤layabiliyor. Örne¤in “Membership ve Role Providers” bize her uygulamam›zda kullanabilece¤imiz haz›r kullan›c› bilgilerini saklama araçlar›n›
sunuyor. Login kontrolleri bu araçlar›n ara yüzü olarak çal›fl›p kullan›c› ismi flifresi ve di¤er bilgilerini otomatik olarak
standart ama ayarlanabilir bir güvenlik altyap›s› içinde
sakl›yor. Böylece kullan›c› hesaplar›n› açmak, bunlar› flifrelemek, saklamak, rol tan›mlamak, gerekti¤inde istedi¤imiz
flekilde de¤ifltirebilece¤imiz s›n›flar bize sunuluyor.
Bilgisayar güvenli¤inde iki kilit oyuncu vard›r: yaz›l›m› üreten uygulama gelifltiricisi ve bunu kurup biçimleyen sistem yöneticisi. Birçok güvenlik kitab› sistem yöneticilerine
yöneliktir. Ancak kötü niyetli giriflleri ve sald›r›larla ilgilenen kodun yaz›lmas› sorumlulu¤u yaz›l›mc›lar›n elindedir.
Kulland›¤›m›z yaz›l›m›n , kimlik belirleme, yetkilendirme,
gizlilik, bütünsellik, güvenilirlik ve kiflisellik gibi temel özellikleri standart olarak bar›nd›rmas› gerekir. .NET ile birlikte bu özelikler araç olarak yaz›l›mc›lara sunulmufl, .NET
2.0 ile ise yaz›l›mc› ve güvenlik uzmanlar›n›n istekleri ile
daha da gelifltirilmifl ve kolay kullan›ml› araçlar olarak verilmifltir.
Bilgisayar
güvenli¤inde
iki kilit oyuncu
vard›r: yaz›l›m›
üreten
uygulama
gelifltiricisi
ve bunu kurup
biçimleyen
sistem
yöneticisi.
Örnek olarak System.Security s›n›f›n› gösterebiliriz. Bu s›n›f verileri Data Protection API kullanarak saklayabilir.
Managed stringlerin haf›zada saklanmas› bir güvenlik
a盤› do¤urabilece¤inden (Garbage collector taraf›ndan
al›nan stringler bir sure üzerlerine yaz›lmadan saklan›rlar)
dolay›s› ile bir süre sonra haf›zada program›n kendi içinde kulland›¤› gizli bilgiler memory taramas› ile ö¤renilebilir. Bu sorunu çözmek amac› ile SecureString s›n›f› kullan›labilir. SecureString’in içindeki bilgi her zaman için flifrelenerek saklan›r. fiifre anahtar› ise yerel güvenlik alt sistemi (LSASS.EXE) taraf›ndan sa¤lan›r. Veriler ise interprocess communication ile decrypt edilece¤inden,
stringlere at›lan gizli bilgeler haf›za taramas› ile çal›namaz. Bu ise .NET Framework 2.0 içerisinde olan yüzlerce
Güvenlik s›n›f, özellik ve metotlar›ndan yaln›zca biri. Görüldü¤ü gibi bu gibi araç ve kolayl›klar ile yaz›l›mc› flifreleme ve depolama algoritmalar› ile u¤raflmak yerine bu
s›n›flar› kullan›p kendi yaz›l›m›n›n özelliklerini gelifltirmeye
odaklanabilir ve baflta bahsetti¤imiz, güvenli¤in ikinci
plana at›lmas›, sorunu yaflanmadan çözülmüfl olur.
Peki gelifltirdi¤imiz uygulamalar›n ne kadar güvenli oldu¤unu ölçmek hiç akl›n›za geldi mi? E¤er güvenli¤e önem
veriyorsan›z, uygulaman›z›n tehditlere karfl› ne kadar güvende oldu¤unu ölçmeniz flart. Güvenlikte de art›k performans ölçümleri gibi seviye ölçümleri yap›labilir. Unutmamak laz›m ki; ölçemedi¤iniz bir fleyi iyilefltiremezsiniz, ayr›ca de¤erlendirmeler s›ras›nda hiç düflünmedi¤iniz aç›klar› da yakalayabilirsiniz.
Güvenlik ölçümleri için en çok kullan›lan yöntemler aras›nda OCTAVE (Operationally Critical Threat, Asset, and Vulnerability) ve STRIDE (Spoofing, Tampering, Repudiation,
Information disclosure, Denial of service, Elevation of privilege) say›labilir. Bu yöntemler, uygulaman›n varl›klar›n›n
belirlenmesi, bileflenlerine ayr›lmas›, tehditlerin belirlenmesi, derecelendirilmesi ve uygulama bileflenlerinin bu
Gürkan SALK
[email protected]
tehditlere ne derece maruz kald›klar›n›n derecelendirilmesi ile uygulan›r. Sonuçta ç›kan de¤erler de hem güvenli¤i
ölçmek hem de güvenli¤i artt›rmak için kullan›labilir.
Sonuç olarak uygulamalar›m›z›n güvenli olmas› için bize
.NET 2.0 ile sunulan araçlar› detayl› olarak incelemek ve
gerekli yerlerde kullanmak, hem uygulamam›z›n güvenli¤ini artt›racak hem de uygulama gelifltiricilerin zamanlar›n› güvenlik aç›klar›n› kendileri kapatmak yerine oluflmadan önlemelerini sa¤layacakt›r. Bunun yan› s›ra kod gözden geçirme ve güvenlik de¤erlendirmeleri ile yaz›l›m›n›z›n güvenilirli¤inin de sa¤lamas› yap›lm›fl olacakt›r.
Son olarak güvenlik için önerilen baz› noktalar› da s›ralamakta fayda olaca¤› görüflündeyiz.
Genel Kodlama Kurallar›
1. Tüm girdilerin kontrol edilmesi, her giriflin kötü amaçl› olaca¤› varsay›m› ile girifl güvenli¤inin sa¤lanmas›
2. Buffer overrun kontrolünün yap›lmas›
3. Hata ve bilgi mesajlar›nda kötü niyetle kullan›labilecek bilgi verilmemesi
4. Exception handling için kiflisellefltirme kontrolünün
yap›lmas›
5. En az yetki prensibinin uygulanmas›
6. Her aflamada yetki kontrolünün uygulanmas›
7. Kritik bilginin mutlaka flifrelenmesi
8. Gerekirse tek yönlü flifreleme uygulanmas›
9. Assembly’ler için strong name kulan›lmas›
10. Partial trust’›n her aflamada kontrol edilmesi
11. Stack trace’e izin verilmemesi
12. Unmanaged code ve wrapper’lar›n çift kontrolden
geçirilmesi
13. FxCop ve di¤er güvenlik araçlar›n›n kullan›larak yaz›l›m›n›z›n kod testinin yap›lmas›
14. Bir güvenlik modeli ile uygulaman›z›n ve sisteminizin
güvenli¤inin ölçülmesi
15. Kurulum güvenli¤inin ihmal edilmemesi
Uygulama Sunucusu Güvenlik Kurallar›
1. ‹flletim sistemi güvenli¤inin biçimlendirilmesi
2. MBSA kullan›lmas›
3. ‹flletim sistemi service pack’nin ve patch’lerinin yüklenmesinin ihmal edilmemesi
4. Sadece gerekli servislerin kurulmas›
5. Sadece gerekli yetkinin verilmesi
6. Uygulama hesaplar›n›n asgari yetki ile yarat›lmas›
7. Defense in Depth prensiplerinin uygulanmas›
SQL server Güvenlik kurallar›
1. Son servis pack’in kullan›lmas›
2. MBSA kullan›lmas›
3. Windows Authentication’n›n biçimlendirilmesi
4. Sunucunun izole edilmesi ve yedeklenmesi
5. sa flifresinin kontrol edilmesi
6. SQL servislerinin asgari yetki ile çal›flt›¤›n›n kontrol
edilmesi
7. Firewall portlar›n›n kontrol edilmesi
8. Kurulum dosyalar› ve örnek veritabanlar›n›n silinmesi
9. Ba¤lant›lar›n ve hatalar›n gözden geçirilmesi
BEYAZfiAPKA
9
Son birkaç y›ld›r Google (www.google.com) arama motorunu kullanarak, internete aç›k sunucularda konfigürasyon hatalar› sebebi ile dosyalara ulaflman›n mümkün oldu¤una dair makaleler oldukça yayg›n. Google, herkesin
belki de günde onlarca kez ziyaret etti¤i, internetin medyum'u olarak adland›r›lan, 'Google'lamak (to google) deyimiyle sözlüklere girmifl, çok bilinen ve güçlü tarama motorudur. Kullan›c›lar›na verdi¤i çok farkl› hizmetlerle (harita, diller aras› çeviri, sesli iletiflim vs.) bilinen Google son
zamanlarda sald›rganlar›n da yo¤un flekilde kulland›¤› bir
site haline geldi.
Google Hacking kavram›n›n ard›ndaki fikir, asl›nda oldulça basittir. Tarama sonucunda genelde size gösterilen
sonuçlar html/php sayfalar›d›r. Ancak bunun ötesinde akla gelebilecek her türlü dosya arama ifllemi de yap›labilir.
Google tarama motorunda 'Index of / +banques +filetype:xls' gibi bir araman›n yap›l›p Frans›z bankalar›ndan
baz› önemli Excel dosyalar›n›n sald›rganlar taraf›ndan ele
geçirildi¤i, internetteki tart›flma sitelerinde yer almaktad›r.
Ayn› teknik, sadece Excel dosyalar›n› bulmakta de¤il;
*.doc, *.pdf, *.ps, *.ppt, *.rtf, hatta password *.pwd dosyalar›n› bulmakta, daha da ileriye gidecek olursak *.mdb,
*.db gibi database dosyalar›n› aramakta dahi kullan›labilir. Basit bir örnek verecek olursak: Google tarama motoruna yaz›lan “Select a database to view” aramas›n›n ver-
yaz›lmas› durumunda ilgili sayfan›n dizin listesini verir.
Inurl: Verilen sözcük URL'de aran›r.
Site: Verilen sözcü¤ün sadece belirli domainlerde aranmas›n› sa¤lar. “Admin” sözcü¤ünün, sadece .com veya
.edu sitelerinde aranmas› site opsiyonuna örnektir. Bu tip
bir aramay› .gov ve .mil domainlerinde de yapabilirsiniz.
Intitle: Aranmak istenen sözcü¤ün, web sayfalar›n›n bafll›klar›nda aranmas›n› sa¤lar, “Intitle: admin pages” buna
bir örnektir.
Yukar›da bahsetmifl oldu¤umuz arama opsiyonlar› tek tek
veya ayn› anda kullan›labilir. Örnek verecek olursak: TR
domainli sitelerde ismi password olan Excel dökümalar›n›
aramak için kullanmam›z gereken arama bilefleni, site:Tr
filetype:xls "password"dür.
“Index of” “Oracle-HTTP-Server” Server at Port “Last modified” arama opsiyonu kullan›ld›¤› takdirde sonuç afla¤›daki gibi olacakt›r.
Bu tip arama teknikleri kullan›larak her türlü bilgiye ulaflmak oldukça kolayd›r. Sald›rgan sadece Google tarama
fiekil 1
10
BEYAZfiAPKA
di¤i sonuçlar› kullanarak afla¤›daki gösterilmifl olan sayfalara ulaflmak oldukça basittir. (fiekil 1)
Bafll›ca tarama opsiyon listesi:
Index of: Directory listing için kullan›l›r. “Index of Admin”
motorunu kullanarak birçok bilgiye ulaflabilir, dosyalar›
kopyalayabilir; hata mesajlar› Google kullan›larak taranabilir, yamas›z web sunucular› hedef haline gelebilir.
Password dosyalar›ndan flifreler al›nabilir ve sisteme izinsiz girifl için rahatl›kla kullan›labilir.
Underground
Coflkun KAM‹LO⁄LU
[email protected]
Google hacking sald›r›lar›ndan korunmak için kullan›labilir en güçlü silah›n basit bir txt dosyas› oldu¤unu biliyor
musunuz?
Internet arama motorlar› bir siteyi taramaya bafllamadan
once web sunucusunda robots.txt adl› bir dosya arar. Bu
basit txt dosyas›, arama motorunun nereyi indekslemesi,
nereyi indekslememesi gerekti¤ini söyler.
Basitçe, robots.txt dosyas›n›n içine arama motorlar›n›n
hangi dosya ve dizinleri taramas› gerekti¤ini söyleyebildi¤imiz gibi, indekslemesi yasaklanm›fl dosya ve dizinlerimizi de belirtebiliyoruz. Hem de her bir arama motoru için
ayr› ayr› kural yazabiliyoruz.
‹flte önemli dizinlerin arama motorlar›nca indekslenmesini
engelleyen robots.txt içeri¤i:
User-agent: *
Disallow: /sepet/
Disallow: /gizli/
Disallow: /admin/
Disallow: /tmp/
Disallow: /upload/
Disallow: /exchange/
Disallow: /~
Disallow: /stats/
Sald›rgan
sadece Google
tarama
motorunu
kullanarak
birçok bilgiye
ulaflabilir,
dosyalar›
kopyalayabilir.
Bu tip sorgular›n bir databasede toplanm›fl haline Google Hacking Database (GHDB) denir. Database, 700'den
fazla
say›da
farkl›
tarama
imzas›
içerir.
http://johnny.ihackstuff.com adresinden database içeri¤i
ve nas›l kullan›labilece¤i detayl› olarak incelenebilir. Bu
database kullan›larak web sitelerinde aç›k arayabilen bir
çok bedava yaz›l›m da internet üzerinde mevcuttur. Sensepost Wikto bu yaz›l›mlardan biridir. Yaz›l›mlar›n proxy
deste¤i mevcut oldu¤undan yap›lan sald›r›lar›n hangi adresten geldi¤ini tespit etmek oldukça güçtür. Bir di¤er yaz›l›m ise McAfee Sitedigger™'d›r. Sitedigger hem Google
hacking database'ini kullanabilir, hem de Foundstone imza database'ini kullanabilir. Ürün sadece web sitelerinde
flimdiye kadar bahsetmifl oldu¤umuz aç›klar›n bulunup
kapat›lmas› için tasarlanm›fl olmas› sebebi ile proxy üzerinden kullan›lamaz. Sitedigger kullan›larak tek bir site veya tüm domain taranabilir ve bu tip sald›r›lara karfl› web
sunucular›n›n davran›fllar› gözlemlenebilir. Afla¤›da Foundstone Sitedigger kullan›larak .NZ domaini taranm›fl ve
karfl›m›za ç›kan yüzlerce web sitesinden xls içeren bir tanesi örnek olarak kullan›lm›flt›r. Belirtilen link bir web
browser'a yaz›ld›¤› takdirde sunucu excel dosyas›n› göndermifltir.
Robots.txt hakk›nda daha fazla bilgi için http://www.robotstxt.org sitesini ziyaret edebilirsiniz.
Robots.txt dosyas›n›n haricinde Html Meta Tag bilgileri ile
de arama motorlar›na her bir sayfa için indeksleme ya da
indekslememe emri verebiliyoruz.
<META NAME="ROBOTS" CONTENT="NOINDEX">
Elbette sadece Robots.txt ve Meta Tag kullan›m› Google
Hacking’e maruz kalmam›z› engellemeyecektir. Çünkü
birçok haz›r yaz›l›m Google Hacking taraf›ndan avlanabilir. Dolay›s› ile Google Hacking Database kullanabilen yaz›l›mlarla kendi sitemizi taramam›z, siber korsanlardan
once web aç›klar›m›z› tespit etmemiz ve kapatmam›z gerekir.
Güvenlik bir h›z yar›fl›d›r, h›zl› olan kaybetmez.
Siber korsanlardan h›zl› olman›z dile¤i ile…
KAYNAKÇA:
http://johnny.ihackstuff.com/
http://www.mcafee.com
http://www.foundstone.com
http://www.robotstxt.org
BEYAZfiAPKA
11
Uygulama H›zland›rma
Web sadece bir iletiflim yöntemi de¤il, stratejik bir ifl arac›d›r. Bu yüzden kurumlar stratejik ifl yaz›l›mlar› olan client/server mimarili PeopleSoft, SAP, Oracle, Siebel ve
Outlook gibi yaz›l›mlar›n web versiyonlar›na geçifl yap›yor. Özellikle büyüyen flirketlerin kullan›c›lar›n›n büyük bir
k›sm›n›n merkez ofis ve sistemden uzakta çal›flmalar› web
tabanl› uygulamalar› kullanmay› zorunlu hale getiriyor.
Zorunlulu¤un iki temel sebebi vard›r. ‹lk sebep, flüphesiz
performans: Hangi flirket h›zl› ve kesintisiz çal›flmak istemez? ‹kinci sebep ise maliyet: Yüksek bant geniflli¤i, çok
büyük kapasiteli sunucular ya da her flubeye bir online/offline sistem kurmadan ve bu sistemlerin bak›m maliyetlerine girmeden web uyumlu yaz›l›mlar ile çok daha
h›zl› ve çok daha düflük maliyetle çal›flabiliyoruz. Üstelik
web uyumlu yaz›l›mlar›m›z› internet ya da extranet gibi ortamlara kolayca tafl›yabiliyoruz.
Bu yeni sistemlerin yükünü omuzlar›na alan kritik noktam›z ise Data Center’›m›z. Sunucular›m›za eriflim imkânlar›n› art›rmak için yük dengeleme sistemleri, özel anahtarlama sistemleri kullan›yoruz. Güvenli¤i de düflünüp SSL
uygulamalar› yap›yoruz.
Juniper tüm bu ihtiyaçlar› anl›yor ve web uygulamalar›nda
a¤ optimizasyonu sa¤lamak için DX Application Acceleration (Uygulama H›zland›r›c›s›) platformunu müflterilerine
sunuyor.
Bu yaz›da k›saca, DX Application Acceleration platformunun teknolojisini sizlerle paylaflmaya ve hangi sistemlerde bu platformlar› kullanabilece¤imizi anlatmaya çal›flaca¤›m.
Yo¤un web
uygulamas›
kullan›m›
olan sistemlerin
tamam›nda
DX platformlar›
kullan›labilir.
12
BEYAZfiAPKA
DX mimarisi
DX platformu, web uygulamalar›n› h›zland›rmak, DoS ve
benzeri d›fl tehditlerle bafl edebilmek ve genifl bir Data
Center’› h›zland›rmak amac›yla dört ana özellik üzerine dizayn edilmifl özel bir mimariye sahiptir.
1. H›zland›rma
Web uygulamalar›nda kötü performans›n iki temel sebebi
vard›r; sunucular›n afl›r› yük alt›nda bulunmas› ve yetersiz
ya da kalitesiz a¤ yap›s›.
Sunucular gelen isteklerin tamam›n› karfl›lamakla yükümlüdür. Bu afl›r› yük ifllem görürken, daha kritik uygulamalar›n yavafllamas› kaç›n›lmazd›r. TCP ba¤lant› yönetimi ve
SSL flifreleme ve sonland›rma ifllemleri özellikle tekrar
edilen isteklerde yo¤un bir yük yarat›r. DX platformu bu
noktada tcp ba¤lant›lar›n› düzenleyerek oturum bombard›man›na son verir. Uygulama cevap süresini yükseltmek
için DX 3Gbyte boyutunda özel bir DRAM mimarisi ile donat›lm›flt›r. Özellikle s›kça talep edilen web içerikleri henüz sunucuya ulaflmadan tampon bellekten h›zl›ca gönderilebilir.
DX platformu nerelerde kullan›labilir?
Yo¤un web uygulamas› kullan›m› olan sistemlerin tamam›nda DX platformlar› kullan›labilir. DX platformunun bafll›ca kullan›ld›¤› web uygulamalar› olarak internet portallar›, B2B/B2C shopping uygulamalar›, internet bankac›l›¤›
ve benzeri uygulamalar, web tabanl› intranet/extranet sistemleri, yüksek kullan›c› say›s›na sahip Outlook Web Access ve benzeri sistemler, web tabanl› ERP/MRP yaz›l›mlar› ve müflteri iliflkileri yönetim yaz›l›mlar› say›labilir. Özellikle Türkiye gibi henüz çok geliflmifl bir internet altyap›s›na sahip olmayan ülkelerde genel kullan›m tarz› internet
üzerinden h›zl› web hizmeti vermektir.
DXOS: DX Operating System
DX Application Acceleration platformu DX Operating
System ile güçlendirilmifl özel bir üründür. DXOS’un trafik
s›k›flt›rma, flifreleme, yük dengeleme ve adapte edilebilir
içerik iflleme özellikleri DX platformunun her modeline entegre edilmifl durumda.
Yüksek performans, düflük maliyet
DX platformu Data Center’lar için ideal bir uygulama h›zland›rma çözümüdür. Sunucu kapasitesini ortalama üç ya
da dört kat art›rabilen DX platformu % 80’e kadar maliyetleri düflürebilir. Söz konusu sistem tasar›m aflamas›nda
ise DX platformu iyi bir yat›r›m maliyeti düflürme arac› olacakt›r. Halen çal›flan sistemlere de kolayca entegre edilebilen ürün ek yat›r›m gerekmeden sistemi geniflletmeye
olanak tan›r.
WAN ya da internet ba¤lant› h›z›m›z›n yetersiz kalmas›n›n
ya da kalitesinin düflük olmas›n›n getirdi¤i performans sorunlar› DX platformu ile kolayca çözülür. Keep-alive özelli¤i ile h›zl› oturum açma imkân› sa¤lan›rken SSL h›zland›rma özelli¤i flifreleme hizmetlerinde performans sa¤lar.
DX platformu istemci internet taray›c›lar›n› s›k kullan›lan
içerik için önbellek tutmaya zorlayabilir ve a¤ iletiflimi yükünü azalt›r.
HTML, SHTML, DHTML, JHTML, PHTML, Javascript,
J2EE, JSP, CSS, WebDay, XML ve SOAP altyap›lar›n›
destekleyen DX platformu ifl hayat›n›n en büyük parçalar›ndan biri olan Microsoft Office dokümanlar›na da s›k›flt›rma uygulayabilir. Bu geliflmifl özellikleri ile karfl›laflt›r›labilir di¤er çözümlerden % 25 daha fazla performans sa¤lar ve lokal a¤ deneyimini tüm kullan›c›lara dünyan›n her
yerinde sunar.
Tunç GÜNERGÜN
[email protected]
A¤ seviyesi
güvenli¤i
özellikleri
SYN flood
ve di¤er
DoS
ataklar›na
karfl›
duyarl›d›r.
2. Eriflilebilirlik
DX platformu Layer4-7 aras›nda sunucu yük dengeleme
özelli¤i sunarak kaynaklara h›zl› eriflim sa¤lar. Patentli Fewest Outstanding Requests (FOR) algoritmas›, etkili http
yük dengelemesi yapmaktad›r. Round-robin ve bilinen di¤er yük dengeleme tekniklerinden farkl› olarak FOR, uygulama seviyesinde tam olarak her bir sunucu için kaç
http iste¤inin bekledi¤ini bilerek çal›fl›r. Yeni eriflim istekleri, iste¤i karfl›lamaya en müsait olan sunucuya gönderilerek di¤er sunucular›n optimal çal›flmas› sa¤lan›r.
Ayr›ca Global Server Load Balancing (SLB) özelli¤i sunucular›n yan› s›ra Data Center’lar aras›nda yük dengeleme
yap›lmas›na olanak tan›r. Bu özellik iyi bir performans
kayna¤› oldu¤u gibi iyi bir Disaster Recovery çözümüdür.
HTTP protokolü gere¤i bulunan 404-Page not found ve
500-Server busy hatalar› DX platformunun http Proxy
özelli¤i sayesinde, özellikle tekrarlanan denemelerde
önemli bir bant geniflli¤i korumas› sa¤lar.
ActiveN ölçeklendirme özelli¤i ile h›zla büyüyen sistemlere kolayca yeni DX platformlar› eklenebilir. 64 DX cihaz›
“Mesh” topolojisi ile kümelendirilerek tek bir cihaz gibi
davranmas› sa¤lanabilir. Di¤er yük dengeleme çözümlerinin aksine DX platformunda kümelendirilmifl tüm cihazlar aktif çal›flt›r›labilir ve görülmemifl bir performans yarat›labilir.
3. Güvenlik
Internal Firewall özelli¤i DX platformunun Layer 4-7 aras›nda çal›flarak web uygulamalar›na ve sunuculara yap›lacak TCP ve HTTP ataklar›n› önler.
DX platformu istemci ve sunucu aras›nda bir tampon gibi
çal›flarak ikinci bir güvenlik katman› yarat›r. Kimlik do¤rulama her bir kullan›c› için çal›flt›r›l›r ve istek tabanl› kimlik
do¤rulama talepleri platformun mevcut RADIUS ve LDAP
altyap›s›na gönderilebilir.
A¤ seviyesi güvenli¤i özellikleri SYN flood ve di¤er DoS
ataklar›na karfl› duyarl›d›r. ‹stenirse tüm oturumlar SSL flifrelemesine tabi tutulabilir, bu sayede güvenli¤inden flüphe edilen uygulamalara kolayca güvenlik sa¤lanabilir.
4. Görüfl ve Kontrol
Göremedi¤iniz bir fleyi yönetemezsiniz. DX platformu
200’den fazla anl›k performans istatisti¤i ile gelen/giden
trafi¤i raporlayabilir. Geçmifl y›llara kadar uzanan genifl
bir yelpazede raporlama (Historical Reporting) özelli¤i
kullan›labilir ve grafiksel raporlar ile detayl› bilgi toplanabilir. Bu bilgilerin tamam› birçok dosya ve sitem biçimine
aktar›labilir ve yönetim yaz›l›mlar› ile entegrasyon sa¤lanabilir.
AppRules
AppRules özelli¤i web uygulamalar›n› yeniden gelifltirmeye gerek duymadan yaz›l›ma müdahale imkân› sa¤lar. Bu
sayede kurumlar yaz›l›m gelifltirme maliyetlerinden ve zamandan tasarruf sa¤layabilirler. S›n›rs›z say›da kural›n
hem gelen hem de giden trafik için yaz›labilmesine olanak tan›yan AppRules özelli¤i SAP, Oracle, Outlook Web
Access, PeopleSoft, Siebel, SharePoint gibi bilinen birçok
web tabanl› uygulamay› destekler.
Hem Application Acceleration çözümleri, hem de di¤er
Juniper Networks çözümleri hakk›nda detayl› bilgi için bizimle irtibata geçebilirsiniz.
BEYAZfiAPKA
13
e-Ticaret Güvenli¤i ve
Kredi kart›
bilgilerini
elektronik ortamda
iflleyen tüm
kurulufllar için
geçerli k›l›nan
PCI-DSS ile
güvenlik ihlallerini
azaltacak bir dizi
temel güvenlik
önleminin
al›nmas›
hedefleniyor.
14
BEYAZfiAPKA
Elektronik ortamda gerçeklefltirilen ticaretin hacmi
artt›kça bu alanda gözlenen suçlarda da önemli bir art›fl
söz konusu olmufltur. Kredi kart› bilgilerinin çal›nmas›,
sahtecilik vb. suçlarda önemli bir art›fl gözlenmifl, baflka
kredi kart› yay›mc›lar› (Mastercard, Visa vb.) olmak üzere
bankalar ve e-ticaret yapan kurulufllar önemli ölçüde
zarar görmüfltür.
2005 y›l› bafl›nda Ödeme Kart› Endüstri Forumu (Payment
Card Industry Forum - PCI) bir veri güvenli¤i standard›
(PCI Data Security Standard – PCI-DSS) oluflturmufl ve
tüm e-ticaret uygulay›c›lar›n›n bu standarda uyumunu
zorunlu k›lm›flt›r. PCI Forum’u oluflturan kurulufllar
aras›nda Visa, Mastercard, Amex gibi tan›nm›fl kredi kart›
yay›mc›lar› yer almaktad›r. Kredi kart› bilgilerini elektronik
ortamda iflleyen tüm kurulufllar için geçerli k›l›nan bu
standart ile güvenlik ihlallerini azaltacak bir dizi temel
güvenlik önleminin al›nmas› hedeflenmektedir.
Standard›n tüm kurulufllar taraf›ndan kullan›lmas› ile küresel bir baz güvenlik düzeyinin oluflturulmas› hedeflenmektedir. Di¤er bir deyiflle standart, olas› en yüksek
güvenlik düzeyini hedeflememektedir, yaln›zca en temel
önlemler konu edilmektedir. PCI Forumun önümüzdeki
y›llar içerisinde baz güvenlik düzeyini yavafl yavafl
art›rmas› beklenmektedir.
Kredi kart› bilgilerini iflleyen, depolayan ve transfer eden
tüm kurulufllar (e-ticaret sat›c›lar›, bankalar, arac›
kurulufllar vb.) standart taraf›ndan öngörülen önlemleri
almak ve bunlar›n sonucunda standart uyumlulu¤unu
sa¤layarak bunu sürekli korumak durumundad›r.
Standart, alt› ana bafll›k alt›nda toplanm›fl on iki maddelik
bir yap›lmas› gerekenler listesini içermektedir:
A. Güvenli bir a¤ kurun ve iflletin
1. Verilerinizi korumak için bir güvenlik duvar›
konfigürasyonu kurun ve iflletin
2. Sistem güvenlik parametreleri ve parolalar için
üreticilerin ön-tan›ml› de¤erleri kullanmay›n
B. Kart sahibi bilgilerini koruyun
3. Depolanan verileri koruyun
4. Kart sahibi bilgileri ve di¤er hassas verileri
a¤ üzerinden transfer edilirken flifreleyin
C. Bir zafiyet yönetimi program› gelifltirin
5. Anti-virüs yaz›l›mlar›n› düzenli olarak kullan›n ve
güncelleyin
6. Güvenli sistemler ve uygulamalar gelifltirin ve iflletin
D. Güçlü eriflim denetimi mekanizmalar› uygulay›n
7. Bilgilere eriflimi gerekti¤i kadar bilgi prensibi
do¤rultusunda k›s›tlay›n
8. Bilgisayar eriflimi olan herkese tekil bir kimlik atay›n
9. Kart sahibi bilgilerine fiziksel eriflimi k›s›tlay›n
E. A¤lar› düzenli olarak izleyin ve test edin
10. A¤ kaynaklar›na ve kart sahibi bilgilerine tüm
eriflimleri izleyin
11. Güvenlik süreçlerini ve sistemlerini düzenli
olarak test edin
F. Bir güvenlik politikan›z olmal›
12. Bilgi güvenli¤ini adresleyen bir
politikan›z olsun
PCI Veri Güvenli¤i Standard›
Burak DAYIO⁄LU
[email protected]
Standarda iliflkin baz› maddelerin (örne¤in 1, 2, 4, 5, 8 ve
Kredi kartlar›n› elektronik ortamda iflleyen tüm kuru12. maddeler) karfl›lanmas› göreli olarak kolayken
lufllar›n (elektronik ticaret yapan firmalar, bankalar, IP
baz›lar›n›n karfl›lanmas› daha karmafl›k olabilmektedir.
tabanl› POS altyap›s› kullanan marketler ve di¤er perKredi kart› bilgilerinin depolanm›fl halde korunmas›n›
akendeciler vb.) bu standarda uymal›d›r. Standard›n
hedefleyen 3 numaral› maddenin sa¤lanmas› daha güç
uygulanmas›ndan her kurulufl kendi bafl›na sorumolabilir; kredi kart› bilgileri mümkünse saklanmamal›, sakludur. Standarda uymayan kurulufllar, Mastercard ve
lanmalar› zorunlu ise kredi kartlar› üzerindeki veriler bir
Visa taraf›ndan 2.000 ilâ 500.000 dolar cezaya
bütün halinde saklanmamal›d›r. Kartlar›n arka yüzünde
çarpt›r›labilir, uygunsuz ticari ifllemlerin tümünden
bas›l› olan CVV2 ya da CVC2 de¤erleri ise hiç bir koflul
do¤rudan sorumlu tutulabilirler ve bir daha kredi kart›
alt›nda saklanmamal›d›r.
ifllemi yapamayacak biçimde hizmetten men
Listelenen maddelere iliflkin detaylar kredi kartlar› ile elekedilebilirler.
tronik ortamda ifllemler gerçeklefltiren kurulufllar
Detaylar›na bak›ld›¤›nda, maliyeti yüksek olmayan bir
taraf›ndan detayl› biçimde incelenmeli ve gereksinimleri
çal›flmalar dizisi ile PCI Veri Güvenli¤i Standard›’na
karfl›lanmal›d›r.
uyumun sa¤lanmas› ve korunmas›n›n mümkün oldu¤u
PCI Veri Güvenli¤i Standard› kredi kart› ifllem hacimlerine
görülecektir. Standard›n gerektirdi¤i temel önlemleri
göre kurulufllar› dört düzeyde ele almaktad›r. En alt
almam›fl olman›n güvenlik ihlallerine davetiye ç›kartadüzeydeki kurulufllar için kurulufllar›n standart uyumluluk
ca¤› da göz önünde bulundurulmal›d›r.
beyanlar› (ben standarda uyuyorum ifadelerini gösteren anket
sonuçlar›) yeterli iken, ifllem hacmi
Standarda iliflkin detayl› bilgilere
çok yüksek kurulufllar için stanafla¤›daki adreslerden eriflilebilir:
dard›n uyumlulu¤unun yetkilendirilmifl bir denetçi firma taraf›ndan
l https://sdp.mastercardintl.com/pdf/pcd_manual.pdf
gerçeklefltirilmesi hedeflenmifltir.
Düzeylendirme ile ifllem hacmi da(PCI Standart K›lavuzu)
ha yüksek olan ve bu nedenle de
l https://sdp.mastercardintl.com/doc/758_pci_self_assmnt_qust.doc
güvenlik ihlali söz konusu oldu¤un(Durum De¤erlendirme Anketi)
da parasal kayb›n daha büyük oll https://sdp.mastercardintl.com/pdf/pcs_manual.pdf
du¤u kurulufllar›n daha iyi bir bi(Zafiyet Tarama Yönergesi)
çimde kontrol alt›nda tutulmas› hel https://sdp.mastercardintl.com/doc/pci_audit_procedures.doc
deflenmektedir. Kurulufl düzeyleri(Güvenlik Denetimi Yönergesi)
ne ve denetim/kontrol gereksinimlerine iliflkin tablo afla¤›daki gibidir:
Standard›n
uygulanmas›ndan
her kurulufl
kendi bafl›na
sorumludur.
Standarda
uymayan
kurulufllar,
Mastercard ve
Visa taraf›ndan
cezaland›r›l›r.
Firma Düzeyi
Seçim Kriteri
Denetim Gereksinimi
1. Düzey
l
Y›ll›k 6 milyon ve üzeri
kredi kart› ifllemi
l Daha önce bir güvenlik
ihlalinin söz konusu
oldu¤u kurulufllar
l Kart yay›mc›s› taraf›ndan
seçilerek 1. Düzey olarak
belirlenenler
l
l
Y›ll›k yerinde denetim
Her üç ayda bir
zafiyet taramas›
Denetçi
Yerinde denetim
Visa taraf›ndan yetkilendirilmifl
firmalarca ya da flirket tepe
yöneticisince onayland›¤›nda
iç denetim birimi taraf›ndan
gerçeklefltirilir
l Mastercard taraf›ndan
yetkilendirilmifl tarama
sa¤lay›c›lar›nca gerçeklefltirilir
l
2. Düzey
l
Y›ll›k 150.000 ila 6 milyon
aras› kredi kart› ifllemi
l
Y›ll›k PCI durum
de¤erlendirme anketi
l Her üç ayda bir
zafiyet taramas›
l
Mastercard taraf›ndan
yetkilendirilmifl tarama
sa¤lay›c›lar›nca gerçeklefltirilir
3. Düzey
l
Y›ll›k 20.000 ila 150.000
aras› kredi kart› ifllemi
l
Y›ll›k PCI durum
de¤erlendirme anketi
l Her üç ayda bir
zafiyet taramas›
l
Mastercard taraf›ndan
yetkilendirilmifl tarama
sa¤lay›c›lar›nca gerçeklefltirilir
4. Düzey
l
Di¤er türm firmalar
l
Y›ll›k PCI durum
de¤erlendirme anketi
(önerilen)
l Y›ll›k zafiyet taramas›
(önerilen)
l
Mastercard taraf›ndan
yetkilendirilmifl tarama
sa¤lay›c›lar›nca gerçeklefltirilir
BEYAZfiAPKA
15
Adli Biliflim Sistem Analizi
Adli biliflim araçlar›
Adli biliflim sistem analizlerinde, dikkat edilmesi gereken
en önemli unsurlardan birisi de, iflletim sistemleri üzerinde yer alan ps, ls, arp, netstat, route gibi önemli komutlar›n CD/DVD ortamlar›nda yer alan güvenilir kopyalar›n›n
kullan›lmas›d›r. Benzer flekilde, bu araçlar kullan›l›rken
sistemleri de¤ifltirmemek için, sistemlerin lokal disklerine
do¤rudan yazmak yerine harici disk birimlerine yazma ifllemleri gerçeklenmelidir.
Birkaç y›l öncesine kadar, tamamen manuel olarak ve s›n›rl› say›da araçla yapmaya çal›flt›¤›m›z adli biliflim incelemeleri için günümüzde özelleflmifl birçok yaz›l›m ve
araç bulunmaktad›r. Fport, ethereal, windump gibi a¤
analizi araçlardan; captive, explore2fs, dd gibi disk araçlar›n›n bir bütün olarak yer ald›¤› aç›k kaynak kodlu birçok
boot edilebilir, forensics cd’leri art›k kolayl›kla bulanabilmektedir. Da¤›t›mlar› ve güncellefltirilmeleri devam eden
araçlar›n bafl›nda, Knoppix tabanl› olan BackTrack, Insert, Penguin Sleuth Kit, Knoppix STD ve Helix gelmektedir. BackTrack; Auditor ve Whax güvenlik araçlar›n›n birlefltirilmesi ile oluflturulmufl, güvenlik uzmanlar› taraf›ndan
daha çok penetrasyon testleri için
kullan›lan, Slax tabanl› güçlü bir da¤›t›md›r. (Bkz. http://www.remoteexploit.org)
lanm›fl, hem do¤rudan windows üzerinde çal›flabilen uygulamalara, hem de boot edilebilir bir linux da¤›t›m› ile
windows ve linux sistemleri offline olarak inceleyebilme
özelli¤ine sahip geliflmifl bir araçt›r. Yukar›da bahsedilen
di¤er tüm da¤›t›mlar›n içerdi¤i adli biliflim araçlar›n›n hemen hepsini tek bafl›na içerir.
(Bkz. http://www.e-fense.com/helix)
t
Adli biliflimin ne oldu¤u ve önemini anlatmaya çal›flt›¤›m›z yaz› dizimizin bu say›s›nda, Linux ve Windows sistemler üzerinde teknik olarak delil toplanmas›na yönelik
incelemeler üzerinde duraca¤›z. Hack edilmifl, herhangi
bir flekilde suç amaçl› kullan›lm›fl ya da suça alet olmufl
sistemler üzerinde, adli makamlara rapor edilmek üzere
titizlikle inceleme yap›lmal› ve raporlanmal›d›r.
Sald›r› amaçl› kullan›lan sistemler ile sald›r›ya u¤ram›fl ya
da suça dolayl› olarak kar›flm›fl ve alet olmufl sistemlerin
incelenmesi birbirinden farkl›l›k arz edecektir. Adli biliflim
uzman›, teknik inceleme yap›lacak biliflim sistemlerini incelemeye tabi tutmadan önce olay hikâyesini ilgili kiflilerden mutlaka dinlemeli ve buna göre strateji belirleyerek
araçlar›n› haz›rlamal›d›r.
fiekil-2 Helix windows taraf› olay müdahale araçlar›
Adli biliflim incelemelerinde, çok say›da arac›n olmas›,
hepsinin ayr› ayr› kullan›lmas›n›n gerekti¤i durumlarda inceleme yapacak uzman›n iflini zorlaflt›rarak daha da karmafl›k hale getirebilmektedir. SecureDVD projesi (Bkz.
http://www.securedvd.org) birçok Knoppix tabanl› da¤›t›m› tek bir DVD içinde toplamay› baflarm›flt›r. Bu sayede
tek bir boot yöneticisi ile Operator, Phlak, Auditor, LAS,
STD, Helix, FIRE, nUbuntu ve INSERT araçlar›na tek bir
medya ile eriflmek mümkündür.
t
fiekil-1 BackTrack araçlar›
Penguin Sleuth Kit, linux tabanl› sistemleri incelemek üzere gelifltirilmifl,
daha çok dosya sistemlerinin incelenmesinde kullan›lan sleuth kit, rootkit arayan chrootkit benzeri araçlar› içeren bir da¤›t›md›r.
(Bkz.
http://www.linux-foren-
16
BEYAZfiAPKA
Helix, tamamen adli biliflim sistem incelemeleri için tasar-
t
sics.com)
Standart Knoppix ve Knoppix STD da¤›t›mlar› içinde de,
adli biliflim amaçl› kullan›labilecek birçok araç bulunmaktad›r. ‹flletim sistemi temel dosyalar›n›n analiz edildi¤i coreography, partition’lar› analiz eden testdisk, disk imajlar›ndan belirli dosyalar› kurtarabilen foremost benzeri birçok araç içerir. (Bkz. http://www.s-t-d.org)
fiekil 3: SecureDVD boot yöneticisi
Disk ve bellek imajlama
Adli biliflim incelemesi yap›lan sistemler üzerinde, olaya
müdahale an›nda yeteri kadar detayl› inceleme yap›lamamas› ihtimaline karfl›, daha sonra analiz yap›lmak üzere
(Digital Forensics)
mutlaka, disk ve belleklerinin birebir kopyalanmas› yap›lmal›d›r. Bu ifllem için, h›zl› özel donan›mlar kullan›labilmekle birlikte (Bkz. http://www.ics-iq.com), genellikle yaz›l›m araçlar› kullan›l›r.
Mehmet DALYANDA
[email protected]
bulan efsinfo, gizli dosyalar› tarayan hfind gibi araçlar ile
sistemde saatlerce sürebilecek ifllemler yapabilir. Benzer
flekilde sistem üzerinde mutlaka de¤ifliklik yaparak çal›flan, modem kontrol arac› mdmcheck, paket dinleme için
kullan›lan WinPcap’i arayan sniffer, dosyalar›n yarat›lma,
eriflilme ve de¤ifltirilme (MAC) zamanlar›n› gösteren mac
gibi araçlara da sahiptir. Bitmesi uzun süren ya da sistem
üzerine yazan bu araçlar›n çal›flt›r›lmas› istenmiyorsa, wft,
-noslow, -nowrite parametreleri ile çal›flt›r›labilir.
Wft, windows sistemler üzerinde, dosya bilgileri, kullan›c›
hesaplar›, sistem prosesleri, servisler, yüklenen uygulamalar, login olmufl kullan›c› bilgileri, sistem loglar›, a¤
konfigürasyonu ve soket bilgileri, registry, en son kaydedilmifl dosyalar, otomatik bafllayan uygulamalar, yüklü
patchler, zamanlanm›fl görevler gibi birçok faydal› bilgiyi
merkezi olarak toplama özelli¤ine sahiptir.
Zararl› yaz›l›mlar›n aranmas›
Sistemde bulunabilecek kötü amaçl› yaz›l›mlar›n bulunmas›, olay analizinin kritik noktalar›ndan birisidir. Özellikle
keyloggerlar, klavyeye basitçe tak›labilen donan›mlar olarak da gerçeklenebildi¤i için, sistemin öncelikle fiziksel
olarak incelenmesi gerekir.
t
fiekil 4: Helix windows bellek ve disk imajlama
Bu ifllem için, Helix windows içinde Live Acquisition bölümündeki, dd ya da FTK Imager araçlar› kullan›labilir.
‘dd’ arac›, netcat ile ya da a¤ paylafl›mlar› ile imaj› baflka
bir bilgisayara yönlendirebilir. ‹maj boyutu çok büyük oldu¤u takdirde “split image” parametresi ile cd, dvd için
imaj birden çok parçaya bölünebilir. Al›nan dd imajlar›, linux sistemler üzerinde #mount –o loop /path/ddfile
/mnt/mountpoint komutu ile sisteme ba¤lanabilir. FTK
imager arac› kullan›larak, windows sistemler içinden de
dd imajlar› incelenebilir.
Windows sistemlerin incelenmesi
Windows sistemler, sald›r› yüzey alanlar›n›n çok fazla olmas› ve yayg›n olarak kullan›lmas› nedeniyle, hemen tüm
biliflim suçlar› olaylar›nda karfl›m›za ç›kmaktad›r.
Adli biliflim sistem analizleri için, birkaç sene öncesine
kadar, birçok arac› manuel olarak tek tek elle çal›flt›rmam›za karfl›n, flimdilerde batch ifllemler yapan araç kitlerini kullanma ve basit ifllemler için hemen raporlayabilme
flans›m›z bulunmaktad›r.
Windows Forensic Toolchest - WFT (Bkz. http://www.foolmoon.net/security/wft) bunlardan birisi olmakla birlikte
güncel versiyonuna Helix içinden de eriflilebilmektedir.
Wft içerdi¤i, bellek ve disk imajlama arac› dd, rootkit taramas› için Rootkit Revealer, tüm dll listesini alan listdlls,
NTFS dosya sistemleri için efs ile flifrelenmifl dosyalar›
t
Windows
sistemler,
sald›r› yüzey
alanlar›n›n çok
fazla olmas›
ve yayg›n
olarak
kullan›lmas›
nedeniyle,
hemen tüm
biliflim
suçlar›
olaylar›nda
karfl›m›za
ç›kmaktad›r.
Günümüzde oldukça popüler olan, keylogger, trojan benzeri casus yaz›l›mlar›n aranmas› için birçok araç beraberce kullan›lmal›d›r. Sistem online ve offline yap›larak ayr›
ayr› tarama gerçeklenmelidir.
fiekil 5: KL-Decector ile keylogger tespiti
Easy, Invisible (IKS), Ghost, Perfect (BPK), Ardamax Keylogger yaz›l›mlar› en çok kullan›lan klavye ve ekran kaydedici yaz›l›mlard›r. Ekran kay›t görüntüleri, resim formatlar›ndan biri olmakla birlikte, ilk bak›flta tespit edilemez
özelliklere de sahip olabilece¤i için, mutlaka Helix imaj tarama araçlar› ile sistem taranmal›d›r.
Bir sonraki say›da görüflmek üzere...
BEYAZfiAPKA
17
Hiyerarflik Arflivleme
ve Yedekleme
Son y›llarda ifl yaflam›n›n “etkin veri yönetimi” ihtiyac›n› karfl›lamak amac› ile uluslararas› literatürde de “Information Lifecycle Management” (ILM) olarak an›lan
veri yaflam döngüsü yönetimi konsepti ortaya ç›kt›. Bu
konsept; bir firman›n farkl› kullan›m amaçlar› için kulland›g› veri ve uygulamalar› (dokümanlar, e-mail,
CRM-ERP bilgileri ve müflteri kay›tlar› gibi) etkin bir flekilde yönetebilmesini sa¤layacak bir modeldir. Bu sayede IT tabanl› çözümler ile kullan›c› say›s› ve veri kapasite art›fl› karfl›s›nda, verilerin korunmas›, süreklili¤i
ve eriflilebilirli¤i sa¤lan›r.
Günümüzde kullanmakta oldu¤umuz dosyalar›n say›s›
ve boyutlar› h›zla büyümektedir. Bunun sonucu olarak
bu dosyalar›n saklanmas› için gerekli olan disk alanlar›n›n artmas› gerekmektedir. Çözüm olarak kullanmakta oldugumuz server ve storage’lar üzerinde bulunan
disk alanlar›n› art›rmak sorun için tek çözüm gibi görünse de, bunun, maliyeti yüksek ve pratik olmayan bir
çözüm oldu¤u ortaya ç›kmaktad›r.
disk üniteleri ile oluflturulacak bir yap›yla hiyerarflik
olarak depolanmas› server ve storage taraf›nda bize
ciddi tasarruflar sa¤lamaktad›r. Bu sayede backup ve
restore ifllemlerinin sürelerinin en aza indirilmesi ile zaman konusunda da tasarruf sa¤lanmas› mümkün olmaktad›r.
Maliyeti ve performans› yüksek olan alanlar, günlük çal›flmam›zda sürekli olarak ihtiyaç duydugumuz verilere
eriflim için kullan›lmakta; aktif olarak kullan›lmayan veriler için daha düflük maliyetli olan disk alanlar›n› kullanarak dosyalar›n saklanmas› için gerekli olan maliyetin
düflmesi sa¤lanmaktad›r.
Bu konuda kullanabilece¤imiz yaz›l›mlar üzerinde çal›flma ortam›m›za uygun politikalar oluflturmak mümkündür. Mesela dosyan›n en son de¤iflti¤i ya da eriflildi¤i tarihe göre veya dosyan›n, .xls, .ppt, .doc vs. gibi
uzant›lar›na göre ve tafl›n›rken bunlar›n nerelere kaydedilebilece¤ine kadar, çal›flma ortam›na uygun politikalar oluflturulabilir. Bu çözüm sayesinde öncelikleriniz
desteklenmekte, depolama için kulland›g›n›z ürün maliyetleri azalmakta buna karfl›n düzgün bir yap›da büyümenizin devam› sa¤lanmaktad›r.
Elimizdeki dosyalar›n hangisini silip sistemden ç›kartabiliriz? Bu sorunun basit bir cevab› var: ‹flletmenizin
çal›flmas›na engel olmayacak veya yasal olarak bizi
zor durumda b›rakmayacak verileri silebiliriz. Ama as›l
sorun bu verilerin hangileri oldu¤unu kimsenin bilmemesi veya “ileride bize laz›m olur” endiflesi ile birçok
dosyan›n ya da e-mail’lin silinmemesidir.
Bu konudaki tek iyi haber ise, sürekli yer ihtiyac›na neden olarak karfl›m›za ç›kan verinin büyük bir k›sm›n›,
aktif olarak kullan›lmayan dosyalar›n oluflturmas›d›r.
18
BEYAZfiAPKA
Dosyalar›n aktif olarak kullan›lan server ve Storage’lar
üzerindeki disk alanlar› yerine daha düflük maliyetli
Ne zaman bir dosyay› ya da herhangi bir veriyi sistemden kald›rmak isteseniz, ortaya ç›kan sorun, bu verinin
ilerisi için önemli olup olmad›¤›n› bilmemizin çok zor olmas›d›r. Verinin kategorisine karar verilememesi ve
hepsinin ayn› yerde saklanmas› nedeniyle disk alanlar›m›z h›zla dolup tafl›yor. Disk alanlar›n›n dolmas›, çal›flma performans›n›n sürekli olarak düflmesine ve bu
alanlara ilave disk alanlar›n›n eklenmesi nedeniyle de
bizi maliyetli çözümlere zorlamaktad›r.
Bu ve di¤er sebepler nedeniyle elimizdeki aktif olma-
Sinan YILMAZ
[email protected]
yan ama iflletmemiz için gerekli olan dosyalar›n ve emaillerin esas ifllevi ifllerimizi yapmam›z› sa¤lamak
olan ve performanslar›na ihtiyaç duydu¤umuz sunucular ve disk alanlar› üzerinden, belirlenecek bir hiyerarfli içinde, düflük maliyetli disk alanlar›na arflivlenmesi;
buradan da gerekli görülen depolama ve saklama cihazlar›na yedeklenmesi ihtiyac› karfl›m›za zorunlu olarak ç›kmaktad›r.
Elimizdeki
dosyalar›,
e-mailleri yani
tüm bu
verileri e¤er
silemiyorsak
mevcut çal›flma
ortam›n›
yavafllamaktan
koruman›n en
iyi yolu bu
verileri
arflivlemektir.
Elimizdeki dosyalar›, e-mailleri yani tüm bu verileri
e¤er silemiyorsak mevcut çal›flma ortam›n› yavafllamaktan koruman›n en iyi yolu bu verileri arflivlemektir.
Bu dosyalar arflivlenme amac›yla daha düflük maliyetli disk alanlar›na kayd›r›l›rken, kullan›c›lar›n çal›flmas›nda ve al›flkanl›klar›nda herhangi bir de¤ifliklik
olmamaktad›r. Kullan›c›lar dosyalar›na ayn› yerde b›rak›lan bir k›sayol ile ulaflabilmektedirler. Bu flekilde
görüp ulaflabildikleri dosyalar›nda önceden oldu¤u
gibi istedikleri flekilde çal›flabilmekte ve gerekli güncellemeleri yapabilmektedirler. Böylece kullan›c›lar›n
al›flkanl›klar› aç›s›ndan da herhangi bir de¤iflim gerekmemektedir.
Çözüm sistem yöneticilerine dosya sistemini elle ay›klamak gibi uzun ve zahmetli bir ifllemden kurtard›¤› gibi belirlenen politikalar sayesinde yeni oluflturulan veya oluflturulan politikalara uyan dosyalar otomatik olarak düflük maliyetli disk alan›na kaydedilir. Sistem yöneticisine sadece oluflturulan politikalar›n do¤rulu¤unu
ve çal›flma ortam›na uygunlu¤unu denetleme d›fl›nda,
yap›lmas› gereken bir ifllem b›rakmamaktad›r.
Böylece kaynaklar›n yönetimi için gerekli beceri sahibi
kifli say›s› azalt›labilir. Kiflilerden kaynaklanan hatalar›n
önüne geçilir. Birden fazla platform kullanan ortamlarda birbirleri ile tutarl› uygulamalar ortaya konur ve bir
kiflinin yönetebilece¤i depolama cihaz say›s›n› art›rarak yönetim maliyetinde de tasarruf sa¤lanabilir.
Tüm bu avantajlar›n sayesinde yedekleme ve geri yükleme sürelerinin en aza indirilmesi, yedekleme aral›klar›n› art›rman›z› sa¤layabilir. Bu sayede veri bütünlü¤ünüzü en üst düzeye ç›karm›fl olarak iflletmenizde bilgi
kay›plar› veya geri yükleme sürelerindeki gecikmelerin
önüne geçilmesi sayesinde ifl gücü kay›plar›n› en az
düzeyde tutulmas› sa¤lanm›fl olur. Bu da iflletmenizin
hedeflerine vakit ve para kaybetmeden ulaflmas›nda
sizlere yard›mc› olacakt›r.
Bilgi arflivleme ve yedekleme konusunda ifllemenizde
bir hiyerarfli oluflturmak gerekmektedir. Böylece aktif
olarak kullan›lmayan dosyalar› çeflitli aktif kaynaklardan (aktif olarak kullan›lan server, storage vs.) merkezi bir veri deposu, arflivleme ve yedekleme olarak ifllev
görecek olan ve çeflitli maliyetlerde olan ürünlerle
oluflturulan bu depolama hiyerarflisine dosyalar›n›z›
aktar›rs›n›z. Bu yap›, maliyeti düflük olan SATA disklerden oluflan disk alanlar›, optik veya manyetik ortamlardan biri veya birkaç›n›n birlikte kullan›lmas› ile oluflturulabilir. Bunlar› seçerken bilgiye verdi¤iniz de¤ere göre bu seçeneklerden biri veya birkaç› ile hiyerarflinizini
istedi¤iniz flekilde optimize edebilirsiniz.
Sürekli olarak artan verileriniz nedeniyle server ve storage’lar›n›z bo¤uluyorsa, aktif olarak kullanmakta oldu¤unuz veriler için sürekli disk alan›na ihtiyaç duyuyorsan›z, iflletmeniz için gerekli ama silemedi¤iniz veri
(dökümanlar, e-mail, CRM-ERP bilgileri vs.) miktar› artmakta ise; gerekli yaz›l›m ve donan›mlar› kullanarak
oluflturacag›n›z hiyerarflik arflivleme ve yedekleme yap›s› sayesinde etkin olarak kullanmad›¤›n›z verileri aktif olarak kulland›¤›n›z alandan tafl›yarak, serverlar›n›z›
rahatlat›p çal›flma performans›n›z› art›rabilirsiniz.
Bunun yan›nda yapaca¤›n›z bu yat›r›m sayesinde, aktif olarak kulland›¤›n›z serverlar üzerinde sadece aktif
olarak kulland›¤›n›z verilerin tutulmas› sayesinde bunlar›n yedeklenmesi ve olumsuz bir durumda geri yükleme ve kurtarma zamanlar›n› en aza indirgemifl olursunuz. Bu da size performans ve iflgücü kayb›ndan ciddi anlamda avantaj sa¤layacakt›r.
Bu konuda piyasada de¤iflik markalar›n çözümleri
mevcuttur. Yaz›l›m konusunda baflta IBM olmak üzere
Symantec, Computer Associates, EMC gibi birçok üreticinin çözümleri mevcuttur. Yine donan›m konusunda
IBM, EMC, NetApp, Overland vb. üreticilerin çözümlerinden yararlan›labilir. Burada önemli olan konu, iflletmenizin gereksinimlerine karar vermek ve bu konuda
sizleri dogru flekilde yönlendirebilecek bir çözüm orta¤› ve üretici ile ifl birli¤i yapmakt›r.
BEYAZfiAPKA
19
K›sa K›sa K›sa K›sa K›sa K›sa K›sa K›sa
l Marketler zinciri Gima Hack edildi. Binlerce kredi
kart› bilgisinin çal›nd›¤› olay sonras› bankalarla iflbirli¤i yaparak müflterilerini korumaya çal›flan Gima,
Carrefoursa marketlerinin de kulland›¤› güvenilir kredi kart› yönetim sistemine geçti¤ini duyurdu.
l Microsoft kullan›c›lar›n güvenlik seviyesini art›rmak
için Microsoft Private Folder 1.0 yaz›l›m›n› duyurdu.
Yaz›l›m istenilen bilgilerin kolayca flifrelenmesini
sa¤l›yor ve Windows XP Service Pack 2 ile çal›flabiliyor.
l Beyaz fiapka yazarlar›ndan Coflkun Kamilo¤lu,
McAfee Türkiye ofisinde sistem mühendisi olarak göreve bafllad›.
l Secure Computing e-mail güvenli¤inin güçlü
oyuncular›ndan ChipherTrust'› 274 milyon dolara sat›n almay› planlad›¤›n› aç›klad›.
l EMC flirketi RSA Security flirketini 2,1 milyar dolar
ödeyerek sat›n ald›. RSA yönetimi aylar önce flirketi
sat›fla ç›kard›klar›n› duyurmufl ve yapt›klar› çetin pazarl›klar yüzünden elefltirilere maruz kalm›flt›.
l U.S. Department of State Lenovo marka bilgisayarlar› kullanmayaca¤›n› aç›klad›. IBM'in masaüstü
ve dizüstü bilgisayar grubunu sat›n alan Lenovo'nun
kullan›m›n›n yasaklanmas›n›n sebebi Lenovo Group
Ltd'nin bir Çin flirketi olmas›.
l Symantec güvenlik donan›m› iflinden çekiliyor. fiirket yöneticileri SGS (Symantec Gateway Security) ve
SNS (Symantec Network Security) ürün gruplar›na
ileriye yönelik yat›r›mlara devam etmeyeceklerini,
daha kazançl› gördükleri güvenlik yönetim ve hizmetlerine odaklanacaklar›n› aç›klad›.
l Secure Computing yeni bir atak tipi tan›mlad›: Vishing. Dünyada h›zla yay›lan VOiP altyap›s›n›n doland›r›c›lar taraf›ndan kullan›ld›¤›n› belirten Secure
Computing, telefonla kredi kart› gibi bilgileri isteyen
robot operatörlere dikkat edilmesi konusunda uyar›da bulundu.
l Microsoft güvenlik ürün portföyüne ForeFront ad›n› verdi. ISA2006, Antigen ve Microsoft Client Protection gibi ürünleri bundan böyle ForeFont flemsiyesi alt›nda görece¤iz.
l Proxy Networks, Juniper'in Proxy Remote Control
yaz›l›m grubunu sat›n ald›. Proxy Remote Control yaz›l›m grubu uzaktan yönetim ve ekran yakalama yapabiliyor. Juniper yeni ifl oda¤› d›fl›nda oldu¤u için
ürün grubunu satt›¤›n› aç›klarken sat›fl anlaflmas›n›n
finansal de¤eri gizli tutuldu.
ANA SPONSORLARIMIZ
Beyaz fiapka...
bir e-gazete de¤ildir.
Sadece bas›l› olarak
yay›nlan›r ve seçkin
okuyucular›na
gönderilir,
nebula
www.nebulabilisim.com.tr
sayfalar› okuyucular›na
aç›kt›r,
www.microsoft.com/turkiye
KATILIMCI SPONSORLARIMIZ
marka ba¤›ms›zd›r,
bilgiye yöneliktir,
ücretsizdir,
bilgi güvenli¤ine önem
veren sponsorlar›n›n
katk›s›yla
okuyucular›na ulafl›r,
üç ayda bir yay›nlan›r.
Nebula Biliflim
Sistemleri Sanayi ve
Ticaret Ltd. fiti.
taraf›ndan da¤›t›lan
ücretsiz bir dergidir.
www.nebulabilisim.com.tr
Beyaz fiapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teflekkür ederiz.
Yay›nlanan yaz›lar›n tüm sorumlulu¤u yazarlar›na aittir.
Lütfen her konuda fikrinizi yaz›n.
www.beyazsapka.org
[email protected]
beyaz sapka
‹mtiyaz Sahibi: Sinan Y›lmaz
Sorumlu Müdür: Erkan fien
Yönetim Yeri: fiehit Ahmet Sokak
Mecidiyeköy ‹fl Merkezi No:4 K:12
D:121 Mecidiyeköy - ‹stanbul
Yap›m: Umar ‹letiflim Hizmetleri
Harman Sokak No: 31/1
34153 Florya - ‹stanbul
Tel: 0212 573 15 65
Bask›: Ohan Matbaac›l›k
Had›mköy Yolu San1 Bul. 4 Böl. 9. Cad
No:143 Çakmakl›
Büyükçekmece - ‹stanbul
Yay›n Türü: Yayg›n Süreli