sendetiklat Sahip | Gönderilme Tarihi: 20 Nisan 2009 14:46:30
Paylaşımlı bilgisayarların her türlü elektronik saldırıya karşı korunması için kurulan savunma mekanizmaları ve kritik bilgilerin başkalarının eline geçmemesi için yapılan çalışmalar bilgisayar-ağ sistemleri güvenliği konusunu oluşturur.
“Bilgi istenildiği gibi değerlendirilebilir, bu bir özgürlüktür”, diye düşünülebilir. Doğru olabilir, sorun; “kullanma biçimindedir”. Herkes gibi, tecrübeli sistem uzmanlarının da böyle bir özgürlüğü vardır ve virüs, hacking, cracking gibi bize fantastik gelen ama ortalama bir bilişimci için aslında sıradan olan bu kavramlar, bu özgürlüğün ifade edilme biçimi sonucu ortaya çıkmıştır. Elbette, bilgiyi kötü amaçlarla kullanmak doğru değildir ama bir bilişimcinin de bu oyunda kendi kurallarını koyması ve güvenliği için bilgi-işlem cihazlarında maksimum seviyede bir hizmet barındırması gerekir. Aksi durumda, her an bir davetsiz misafiri konuk etmesi muhtemeldir.
Davetsiz misafirleri gerçekte biz mi davet ediyoruz? Evet, durum böyle. En sık rastlanan ziyaret biçimi virüsler aracılığı ile gerçekleştirilen saldırılardır. Her yeni virüs, bir öncekinden daha gelişmiş bir çok özellik içermektedir. Bilgisayar sistemlerinde bulunan verilerin, başkaları tarafından öğrenilmemesi, bütünlüğünün korunması ve her zaman izin verilenler dahilinde kullanıma hazır olması istenir. Virüs saldırıları “kötü niyetli saldırı” sınıfına girer. Şu ana kadar tanımlanmış hiç bir virüs kullanıcı veya sistem için bir yarar içermez. Aksine sistemi yıkmak eğilimindedir. Virüsleri engellemenin en yaygın yolu, bir antivirüs programı edinmek ve güncellemelerini sürekli takip etmektir. Güncellemeler önemlidir ve virüs, sizin hata yapmanızı bekleyecektir. Güncellemelerin ihmal edildiği gün, sizin için kara bir gün olabilir. Virüsler yayıldıktan sonra kişi inisiyatifinden çıkarlar ve tamaman kod içeriğine göre davranış göstererek, sistemi yıkmaya başlarlar. Günümüzün en yaygın virüs tipini elektronik posta yoluyla yayılan virüsler oluşturmaktadır. Elektronik posta açıklarını kullanan virüsler, genellikle, açılmaması gereken eklenti dosyalarının açılması sonucu ve büyük çoğunluğu kontak (contact) listedeki adresleri kullarak yayılırlar. Eklenti dosyaları kesinlikle ilgi çekici isimler taşırlar ve uzantıları, “*.exe, *.pif, *.gif.exe, *.vbs” gibi, ne işe yaradığı dışarıdan anlaşılmayan isimlere sahiptir.
Günümüzün en yaygın saldırı çeşidi virüsler olduğu halde, hacker’lık yada bilgisayar korsanlığı daha çok konuşulur olmuştur. Nedeni açıktır; sisteme tam anlamıyla hükmeden ve sistem açıklarını çok iyi bilen kişilerce gerçekleştirilir ve başkalarının bilgisayarlarına erişmek için dahice yollar kullanırlar. Göz önündedirler ama çok iyi gizlenmişlerdir, aramızda gezerler, prestij sahibidirler, çoğu iyi bir firmada üst düzey teknik eleman pozisyonundadırlar. Neden yapıyorlar; kendilerini kanıtlamaya ihtiyaçları yok, belki uğraştıkları sistemlerin güvenlik mekanizmalarıyla dalga geçmek için belki de karşı sistem yöneticilerinin bilgisizliklerini ortaya çıkarmak için. Ünlü güvenlik organizasyonu CERT (Computer Emergency Response Team) ( http://www.cert.org/ ) hacker’lık konusunu incelerken iki tür saldırı biçimini tanımlar; a) kötü niyetli olan saldırılar b) kötü niyetli olmayan saldırılar.
Kötü niyetli saldırılar ve saldırganlar : Girdikleri sisteme zarar vermek onlar için büyük keyiftir. Bazı durumlarda sisteme zarar vermeden, sistemde bulunan çeşitli özel bilgilere erişmeye çalışırlar. Kredi kartı bilgileri, özel veriler, parolalar yada bunlara benzer çeşitli evraklar hacker’ların hedefidir. Bununla birlikte bir çok saldırının karşı firma casusluğu, terörist eylemler, kişisel veya kurumsal karalamalar (özellikle veri dinleme sistemleri ile) adına yapıldığı da bir gerçektir.
Kötü niyetli olmayan saldırılar ve saldırganlar : Bu tip saldırıda, karşı sistem yöneticine güvenlik açıklarını belirten notlar iletirler. Amaç genelde eğlenmektir. Sistem yöneticisinin açıklarını ve sistemdeki zayıf noktaları açığa çıkarmaları bu tip eylemleri bir anlamda yararlı kılar. Ama, ne olursa olsun izinsiz başka bir sisteme girdikleri için, korsanlık yaptıkları kabul edilir. Meraklı tiplerdir ve bu iş onlar için bir eğlencedir.
Saldırı metodları CERT tarafından tanımlanmış ve maddelendirilmiştir. Buna göre en yaygın kullanılan metodları; virüsler yoluyla yapılan saldırılar veya ağ sistemlerine kurtçuk (worm) veya trojan (truva atı) adı verilen zararlı programlar yerleştirme, sistemdeki port açıklarını kullanarak bu portlardan sisteme sızma, “e-mail spoofing”; bir başka kullanıcı hesabına mesaj gönderilmesi, “e-mail bombardment”; bir hesaba aynı anda binlerce mesaj göndererek karşı elektronik posta hizmetlerini kararsız hale getirme, “break-in”; aktif çalışan hizmetleri geçersiz hale getirmek için yapılan saldırılar, normal kullanıcılı veya misafir kullanıcı hesabını en üst düzey yönetici hesabına yükseltme, ağ sistemlerine konulan bir uygulama ile o ağı dış saldırılara karşı açık hale getirme, tahmini kolay şifreleri sözlük programlarıyla bulmak için yapılan saldırılar, IP adres yanıltmasıyla oluşturulan saldırılar olarak sayabiliriz.
Saldırı gruplandırmalarını yaparken çok çeşitli kriteler göz önüne alınabilir, ama yine CERT organizasyonunun sıralaması daha çok dikkate değer bulunacaktır. CERT’e göre iletişim protokolleri saldırıları, IP saldırıları, işletim sistemine özel Saldırılar, OSI modeline ait uygulama katmanı saldırıları belli başlı saldırı türlerini oluşturur.
Internet’in gelişimi ile birlikte iletişim protokolleriyle yapılan saldırılar büyük artış göstermiştir. IP yanıltması (IP Spoofing), TCP dizi numarası saldırısı (TCP sequence number attack), IP parçalama saldırısı (IP Fragmentation Attack), Rastgele Port Taraması (Random Port Scanning), ICMP saldırıları vb. iletişim protokolleri saldırılarına sayılabilir.
IP saldırıları genellikle IPV4 protokolünde bulunan açıklardan faydalanılarak yapılır. Bu tarz en çok görülen saldırı; “Nuke” saldırılarıdır ve bilgisayar sistemlerini, yeniden açılıncaya kadar bağlantı kuramaz hale getirir.
İşletim sistemine özel saldırılar, bilgisayarın işletim sisteminde bulunan açıkları kullanılarak yapılır. Bu tip saldırılar Exploit olarak adlandırılır ve her işletim sistemi için değişik özellikler içerir. Windows işletim sistemi için yapılan bir “Exploit”, Unix işletim sistemi için kullanılamaz , ya da tam tersi... En tanınmış Exploit’ler “ASP Exploit”, “Windows Null Session Exploit”, “Sendmail Exploit” tir.
Genel saldırılar OSI Referans modelinin “Uygulama (Application)” katmanına ait olan saldırılardır. Uygulama katmanı OSI ağ modeli 7 nci katmanını oluşturur. Bu katmanda bilindiği gibi kullanıcının kullandığı uygulamalar yer alır; dosya aktarım programları (ftp), elektronik posta (e-mail), ağ yönetimi (snmp), Internet hizmeti erişimi için kullanılan programlar ve benzerleri sayılabilir. Bu katmana ait saldırılar; Uzaktan giriş (hacking), DNS, SMTP, MIME, NFS vb, URL Sahteciliği (URL Spoofing), Java veya Active-X uygulamaları, virüs veya worm adı verilen kurtçuklar ve truva atları (trojan).
Bir ağ sisteminin büyüklüğü oranında, sistem güvenliği yönetimi zorlaşır ve güvenlik için kurulan algoritmalar karmaşıklaşır. Bu nedenle seçilecek olan güvenlik projelerinin çok dikkatli planlanması ve uygulanması gerekir. Ne olursa olsun temel güvenlik önlemlerini almak gerekir. Çok pahalı güvenlik sistemlerini kurmadan önce alacağımız basit önlemler bizi yıkımdan kurtarabilir. “Firewall” adı verilen “güvenlik duvarı sistemleri”, güvenlik için kullanılan en önemli mekanizmalardır. Güvenlik duvarının amacı; güvenilir iç hat ile güvenilir olmayan dış hatlar arasında bir koruma duvarı oluşturmaktır. Fiziksel bağlantıların kontrolü, erişim kontrolleri, kayıt dosyalarının tutulması ve açık sistem portlarının kapatılması gibi çeşitli işlevleri barındırırlar. Haberleşme trafiği için güvenlik politikası (security policy) metodları sunar. Bununla birlikte, içeriden dışarıya çıkılması gerektiği yerlerde de hizmet verir. Çok basit bir örnek verirsek; Internet erişiminine açık bir lokasyonda, her kullanıcının farklı yetkilerle Internet’i kullanması istenebilir ve bu olağan bir durumdur. Çalışanların pornografik veya gerekli olmadığı düşünülen sitelere erişimi güvenlik duvarı uygulaması ile engelenebilir ya da kısıtlanabilir. Güvenlik duvarı deyince, elle tutulur tek bir sistem yerine genel anlamda sisteme gelebilecek saldırıları engelleyen her türlü uygulama veya donanım bileşenleri anlaşılmalıdır. Bu nedenle güvenlik yatırımını gerçekleştirirken, uygulamaya girecek olan cihazların ve yöntemin dikkatli seçilmesi gerekir. Bu, “sistem bütünüyle risksizdir” anlamı taşımaz. Sisteminiz dışarıya açıksa, her durumda muhakkak bir açık kapı bulunur. Dolayısıyla en güvenilir sistemi; hiç bir ağa bağlı olmayan ve bütün fişleri çekilmiş sistem, olarak tanımlamak mümkündür.
Ağ yapısının boyutu ne olursa olsun, fiziksel olarak güvenliği sağlanmış olmalıdır. Bunun anlamı açıktır; veri iletilecek noktalar (node) üzerinde problemsiz olarak iletilebilmeli ve karşı tarafa yine aynı şekilde problemsiz olarak gelmiş olmalıdır. Bu nedenle, ağ sistemlerinin alt yapısını oluşturan omurgalar son derece dikkatli kurulmalıdır.
Var olan bir ağ için çalışacak ilk güvenlik mekanizması Erişim Kontrolü’dür. İşletim sistemlerinin yapısına göre farklı farklı erişim kontrol sistemleri çalışsa da, temel amaç; sisteme erişen her veri paketinin sisteme girip girmemesini kararlaştırmaktır. Sisteme erişmesi düşünülen bir kullanıcı için, ulaşacağı sistemde gerektiği kadar yetki vermek, daha fazlasına izin vermemek gerekir. Bunu sağlamak için de, işletim sisteminin var olan güvenlik politikaları uygulanır.
Yetkili-yetkisiz kişilerin sisteme ulaşma eyleminden itibaren bir kimlik onay mekanizması devreye girer. Kimlik onayı uzak erişen kullanıcıyı tanımlar. Yani, yetkisi yoksa sisteme sokmaz, tersi durumda, yetkisi dahilinde sistemi kullanmasına izin verir. Kimlik onayından sonra ilgili olay logları tutulmalıdır ki, kullanıcının sistemde neler yaptığı gözlenebilsin.
Bir veri yığını başka bir tarafa aktarılırken, ilgili verinin karşı tarafa bozulmadan gitmesi istenir. Buna bir ilave de biz yapalım; iletime giren bilgi çerçeveleri, karşı tarafa sağlıklı ve başkaları tarafından incelenmeyecek şekilde gönderilmelidir. Veri karşı tarafa iletilirken şifreleme algoritmaları ile şifrelenmeli ve karşı tarafta yine aynı algoritma ile açılabilmelidir. Elbette bunları biz yapmayacağız, bu işleri yapan uygulamaları kullanacağız. Internet’te çok kullanılan SSL (Secure Socket Layer) mantığı budur. Bu ve buna benzer algoritmalar veri yığınlarını karmaşık yollarla şifreleyerek, incelenmesini engeller.
Koruma sistemleri OSI ağ modelinin bütün katmanları için uygulanabilir. Bilindiği gibi, ağ yapısı tanımlaması OSI modeli ile açıklanır. OSI modeli 7 katmandan oluşmaktadır. Günümüzde, TCPIP protokolünü kullanan sistemler daha çok saldırıya uğramaktadır. Esnek olması ve yaygınlığı, bu protokol üzerinde çalışan sistemleri saldırıya açık hale getirmektedir. TCPIP servisleri (SMTP, FTP, TFTP, HTTP, TELNET gibi.) iletişim için, ağ sistemindeki portları kullanırlar.
Uygulama katmanı ile ulaşım katmanı arasında port adı verilen geçitler tanımlıdır. Bu iki katman birbirleriyle portları kullanarak haberleşir. Bir TCP protokolünde tam 216 adet port tanımlıdır. IP adresleme sisteminde ki 32 bit’tir bir adres, 16 bit’lik bir port ile birleşir ve ortaya çıkan adres soket (socket) numarası olarak adlanır. TCP iletişimi bu soketler üzerinden gerçekleşir. Genellikle, güvenlik duvarlarının yaptığı iş, bu soketler ve portları kontrol altına almaktır. Böylece; statik paket filtreleme, dinamik paket filtreleme ve vekil sunucu ağ geçidi algoritmalarından birini veya bir kaçını kullanarak izinsiz erişimleri veya hizmet dışı istekleri engeller.
Bireysel olarak yapacağımız temel güvenlik mekanizmaları; antivirüs uygulamalarının güncel olarak sistemde tutulması, sık kullanılan sistem portlarının denetimi ve kullanılmayan, açık olan portların kapatılması, elektronik posta yoluyla gelen dosyaların güvenliğinden emin olunmadıkça çalıştırılmaması, sohbet ortamlarında kullanılan “script” adı verilen dosyaların alınmaması gibi önlemler belki ciddi anlamda güvenlik kontrolü sağlamayabilir ama en azından “lamer” adı verilen, acemi saldırganların geçişini engelleyebilir.
Internet üzerinde güvenlik konusu ile ilgili bulabileceğiniz bir çok adres var. Bir söz vardır; “bilgisayar sisteminizin fişini çekin, bütün ağ bağlantılarını kesin, onu bir kale içine ve kale içinde çelik kapılı bir kasa içine koyun, sisteminiz yine de tam olarak güvende sayılmaz.”
Ramazan KARAÇALI
(PC Network Uzmanı)
|