Root > Documents > Security > Determination Of Electronic Atta
Cyber-Warrior.Org \ Doküman \ Security > Determination Of Electronic Atta
Madde
  Yazar : w0rm
  Date : 17.04.2006 21:45:47
 
# Determination Of Electronic Atta
 

Elektronik Saldiri Tespiti

Ag ve Internet teknolojilerinin basdöndürücü gelisme hizi, yepyeni ag uygulamalarinin ortaya çikmasina neden oldugu gibi mevcut uygulamalarin ve sistemlerin de ag teknolojileri ile entegrasyonu konusunda kurumlari zorlayici nitelik göstermektedir.

Bilgisayar aglarinin artan kullanimi ise, hiç kuskusuz, biz bilisim teknolojisi (BT) kullanicilari için yepyeni kolayliklar ve firsatlar dogurmaktadir.

Üniversitelerde ders kayitlarinin agüzerinden gerçeklestirilmesi, Internet üzerinden kredi karti araciligi ile alisveris yapilmasi ve muhtelif belge paylasim ortamlari bu yeni kolayliklar arasinda bugün sikça kullanilanlardan birkaçi olarak sayilabilir.

Ancak BT kullaniminin ayrik bilgisayar sistemlerinden birbirine bagli ag ortamlarina ve uygulamalarina dogru gidisi, pek çok alanda oldugu gibi bilgi güvenligi alaninda da yepyeni endiseleri ve sorunlari beraberinde getirmektedir. Dogrudan bilgi güvenligini ilgilendiren bu yeni sorunlardan bazilari dagitik erisim denetimleri, farkli aglar arasinda izolasyonlarin saglanmasi, dagitik verilerin bütünlügünün korunmasi ve agüzerinden tasinan verilerin gizliliginin saglanmasidir.

Ag güvenligi ile ilintili teknolojilere göz atildiginda, bu alanda en yaygin uygulamasi bulunan teknolojinin güvenlik duvarlari (firewall) oldugunu öne sürmek mümkün olacaktir. Temel olarak bir güvenlik duvari, bir ya da daha fazla ag arasina yerlestirilen ve bu aglar arasinda belirlenen bir politika çerçevesinde izolasyon saglayarak onlari birbirinden yalitan bir ag bilesenidir.

Güvenlik duvarlari, yaygin kanaatin aksine, tek baslarina eksiksiz bir güvenlik çözümü olusturamamaktadir. Kisisel olarak sikça karsilastigim bir durum, yalnizca kaynak ve hedef bilgilerine bakarak seçici geçirgenlik gösteren ’paket filtreleyen güvenlik duvari’ uygulamalarinin yanlis kullanimlaridir. Internet`e açik web hizmeti veren bir sistemi korumak üzere kurulan bir ’paket filtreleyen güvenlik duvari sistemi’ kaçinilmaz olarak bu sisteme dogru gelen tüm web istemlerini geçirmek zorundadir; ancak saldirganlarin web üzerinden yapabilecekleri saldirilar için herhangi bir koruma saglanamamaktadir.

Örnek sistem için ayni düzeyde koruma, dogrudan sistemin basit ayarlari ile de gerçeklestirilebilir durumdadir.
Ag güvenligindeki ivme ile özellikle saldiri tespit sistemleri (intrusion detection systems) ve zayiflik inceleme araçlari (vulnerability assessment tools) giderek önem kazanan diger bilisim güvenligi uygulamalari olarak çözüm paketinin olusturulmasi esnasinda dikkatle degerlendirilmesi gereken bilesenlerdir. Bu yazimizda, saldiri tespit sistemleri ve zayiflik inceleme araçlari konusunda temel kavramlardan, kullanilan teknolojilerden ve örnek ürünlerden söz edecegiz.

Zayiflik inceleme araçlari, bilgisayar sistemlerini ve ag aktif cihazlarini inceleyerek dogrudan ya da dolayli olarak güvenlik problemlerine neden olabilecek noktalari isaret etmeye çalisan yazilimlardir.
Genel olarak bu yazilimlara inceleme öncesinde ag üzerindeki kaynaklarla ya da ag topolojisi ile ilgili herhangi bir bilgi verilmez. Sifir ön-bilgi olarak nitelendirilen bu durumda, yazilimin ortalama ya da ortalamanin üstünde beceriye sahip bir saldirganin tespit edebilecegi kadar zayifligi tespit etmesi beklenir. Yazilimlarin bir eki olan zayiflik veri tabanlari, anti-virüs yazilimlari tarafindan kullanilan tanim-dosyasi benzeri bir yaklasim çerçevesinde gelistirilmektedir; yeni zayifliklara iliskin bilgiler yazilima sonradan zayiflik veri tabani güncellemeleri yolu ile eklenebilmekte ya da istendigi taktirde kullanicilar tarafindan yeni zayiflik tanimlari yapilabilmektedir.

Zayiflik incelemesi alaninda özellikle iki ticari ürün oldukça basarilidir; Internet Security Systems (www.iss.net/) firmasinin Internet Security Scanner’i ve Network Associates ( www.nai.com) firmasinin Cybercop Scanner’i.

Ticari alternatifleri kadar zengin zayiflik veritabanlarina sahip olmasalar da kayda deger ve serbestçe dagitilan zayiflik inceleme yazilimlari arasinda Nessus’u (www.nessus.org), Saint’i (www.wwdsi.com/saint) ve Sara’yi (www-arc.com/sara) saymak mümkündür.

Bu yazilimlari büyük ölçekli bir güvenlik denetimi çalismasinda kullanmak çok mümkün olmasa da, anilan teknoloji konusunda daha net bir fikir edinmek ve yaklasimlari anlamak baglaminda faydali olacaktir.

Dikkatle bakildiginda, bilgisayar sistemlerini ve agteknolojilerini korumak için kullanilan güvenlik çözümlerinin büyük bir bölümünün gerçek hayatta sikça kullandigimiz farkli güvenlik çözümlerine paralellik gösterdigini görmekteyiz.

Zayiflik inceleme araçlarini düzenli denetimler yapan gece bekçilerine, güvenlik duvarlarini ise parola denetimli ve saglam kapilara benzetebiliriz. Bu baglamda saldiri tespit sistemlerini ise, magazalarda sikça karsilastigimiz ve artik kaniksadigimiz güvenlik kameralarina benzetmek mümkün olacaktir.

Elektronik saldiri tespit sistemleri, güvenlik kameralarinda oldugu gibi,süpheli durumlari kayit altina almak üzere kullanilirlar.

Gerçeklesen bir saldiriyi önlemek hedeflenmemekte, yalnizca saldiri gerçeklestiginde olabildigince detayli bilgilerin toplanmasi hedeflenmektedir. Saldiri tespit sistemleri kurumsal kullanicilara üç temel noktada önemli faydalar saglamaktadir:

• Saldirilarin erken tespiti:

Sistem, gerçeklesen bir saldiriyi hedef agin ya da sistemlerin yöneticilerinden önce tespit edebilir. Bu özellik sayesinde bir saldiri tespit edilir edilmez sorumlu yöneticilere SMS, e-posta vb. yöntemler ile alarm ulastirilmasi ve bu yolla saldirilara karsi olabildigince erken önlem alinmasi saglanabilir.

• Saldirilara iliskin detayli bilgi toplanmasi:

Saldiri tespit sistemleri sayesinde, sona ermis ya da sürmekte olan bir saldiri hakkinda detayli bilgiler edinilebilir. Bu bilgiler, saldirinin boyutlari ve muhtemel saldirganlar konusunda analizler yapilmasi noktasinda anlamli olacaktir.

• Saldirilara iliskin delil toplanmasi:

Saldiri tespit sistemi tarafindan toplanan bilgiler saldiri sonrasinda, mahkemeye ya da saldirinin kaynagi olarak görüsen agin sorumlularina basvururken delil olarak kullanilabilir.

Saldiri tespit sistemleri, saldirinin tespit edildigi noktaya göre iki grupta incelenmektedir.

Sunucu temelli saldiri tespit sistemleri (host based intrusion detection systems), bir sunucu bilgisayar üzerinde çalisan ve bilgisayar sistemi üzerindeki aktiviteyi inceleyerek, muhtemel bir kötüye kullanimi ya da saldiriyi tespit etmeye çalisan sistemlerdir.

Ag temelli saldiri tespit sistemleri ise, agin üzerinde kritik bölgelerde konuslandirilmis alicilar araciligi ile ag aktivitesini izlemeyi ve saldirilari agüzerinde tespit etmeyi hedeflemektedirler.

Sunucu temelli saldiri tespit teknolojisi göreli daha eski bir teknolojidir ve platform bagimliligi nedeni ile gelistiriciler tarafindan tercih edilmemektedirler. Örnegin Sun Solaris platformunda çalismak üzere yazilan bir sunucu temelli saldiri tespit sistemini HP-UX platformuna tasimak ya çok zahmetli olmakta ya da mümkün olamamaktadir. Bu temel gerekçe ile agtemelli saldiri tespit sistemleri giderek sunucu temelli olanlarin yerini almaktadirlar.

Ag temelli çözümlerde, tek amaci agtrafigini izlemek olan adanmissistemler agin kritik noktalarina yerlestirilmekte, bu alici sistemler tarafindan üretilen alarmlar merkezi bir sistem üzerinde toplanmaktadir. Tüm alicilarin verilerinin birlestirilmesi sureti ile saldirinin boyutu ve hedefi konusunda daha keskin tanimlar yapilabilmekte, sorumlu yöneticilere iletilecek alarmlar için daha rafine bilgiler kullanilabilmektedir.

Saldiri tespit sistemleri pazarina göz attigimizda, bu pazardaki en önemli iki ürünün Internet Security Systems (http://www.iss.net) firmasinin RealSecure ve Cisco Systems’in (http://www.cisco.com) NetRanger oldugunu görmekteyiz.

Serbestçe dagitilan ürünler arasinda ise özellikle Snort yaziliminin (http://www.snort.org) basarili oldugunu söylemek mümkündür. Saldiri imzalarinin düzenli olarak güncellendigi Snort yazilimi ile oldukça farkli sayida ve türde saldiriyi tespit edebilmek mümkün olacaktir.

Linux Kullanicilari Dernegi tarafindan isletilen web, ftp ve e-posta hizmetlerini tasiyan bilgisayar sistemine (http://www.linux.org.tr) gerçeklestirilen saldirilar, farkli saldiri tespit yazilimlari araciligi ile izlenmektedir.

Hizmet birimi, günlük ortalama 20000 web sayfasi istemini yanitlamakta ve 1.3GB veriyi ftp araciligi ile sunmaktadir. Anilan sistem haftada 70 kadar saldiriya maruz kalmakta ve tümüne iliskin bilgiler kayit altina alinmaktadir. Bir saldiri tespit sistemini Internet sunuculariniz üzerine kurdugunuzda siz de tahminlerinizin çok üzerindeki hacimde saldirilari gözlemlemeyi bekleyebilirsiniz; sizin bilgisayarinizda önemli bilgiler olmasa da sizin bilgisayarinizi daha büyük bir saldiri için basamak olarak kullanmak bir saldirgani memnun edebilir.

Bankalar ve diger finans kuruluslari basta olmak üzere bir çok kurumda kullanilan saldiri tespit sistemleri, giderek artan bir biçimde bilisim güvenligi çözümlerinin ayrilmaz birer parçasi olmaktadir. Türkiye’de de saldiri tespit ve zayiflik inceleme teknolojilerinin kullanimi giderek artiyor olmasina ragmen, kullanimin artis hizi gereksinimi karsilamaktan çok uzaktir. Dilegimiz, bilgi güvenligi konusunun hak ettigi önemi ülkemizde de görmesidir.

Bilisim güvenligi ile ilgili bilgi edinmek isteyenler http://www.securityfocus.com
adresindeki web sitesini bir baslangiç noktasi olarak kullanabilirler.
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©