Root > Documents > Security > Kişisel Bilgi Güvenliği
Cyber-Warrior.Org \ Doküman \ Security > Kişisel Bilgi Güvenliği
Madde
  Yazar : CWKaradeniz
  Date : 28.04.2009 16:16:25
 
# Kişisel Bilgi Güvenliği
 

Giris Seviyesi Kisisel Bilgi Güvenligi

  • ? => Neden ilk önce kisisel bilgi güvenligi?

Internette güvenlik hakkinda çesit çesit doküman bulmak mümkündür. Bunlarin çogu basit güvenlik yanilgilarindan olusan veya üst düzey bilgi verebilme gayesiyle yazilmis birçok kullanicinin anlayamayacagi düzeyde dökümanlardir. Genel anlamda siradan bir kullanici anti virüs kurduktan sonra kendini güvende hissetmeye baslar. Çogu kimseler firewall nedir zaten bilmezken, bilenlerin de büyük bir kismi korunma için ‘install’ etmenin yeterli oldugunu düsünür.

Bu makale’de sizlere en çok yanilgiya düsülen konulari, temel güvenlik bilgilerini, temel düzeyde bilgili bir saldirganin saldiri stratejisini ve bundan korunmayi, ufak ama önem tasiyan püf noktalarini ögreterek daha kompleks dökümanlara hazir olmanizi saglamayi amaçlamaktadir.

Peki neden ilk önce kisisel bilgi güvenligi? Çünkü bizim için kisisel olan her sey önemli ve özeldir..

Güvenli bir sistem kuralim..

Ilk önce modem !

Donanimsal olarak güvende olmadigimiz sürece yazilimsal olarak güvende
olmamiz mümkün degil. Güvenli bir modem firewall, router ve dos atack’lara karsi koruma içeren modemdir.

Modem seçerken 2 adet seçegimiz var; bunlar Ethernet ve Usb modemler. Usb modemler güvenlik yönünden oldukça zayiftir, sagladiklari avantaj yalnizca kolay baglanabilmeleri ve fiyat yönünden daha uygun olmalariyken bu tip modemler router özelligi barindirmadigindan güvenlik için ciddi önem tasiyan portlarin bir çogu açiktir. Usb modemlerin bir diger kötü yani ise port açma gibi bir islem yapmak istediginizde (p2p programlari, çesitli oyunlar için bu islem gerekebilir) size bu imkani tanimamasidir.

Güvenlik – kullanici destegi – kolay kurum – software destegi gibi konularin hepsinde güvendigim modem suan kullandigim 4 portlu AirTies Adsl2 Rt-111 modelidir. Ne gibi özellikleri var bu modemin peki?

DNS ayari yapabilme imkani tanimasi, yerel ag yönetimine izin vermesi, istenilen adrese ip ve mac. Numarasi atayabilme (yerel ag’da), dahili firewall, oyun ve p2p programlari için port açma vs. dertlerden kurtaran uygulama ayarlari, Mac adres filtreleme, Web filtresi, Url filtresi, DMZ gibi harika bir özellik (Ileri seviye dökümanda islenecektir), AntiDos özelligi, NAT, port yönlendirme, statik ve dinamik routing, SNMP, Uzaktan Erisim, DDns ve daha bir çok özelligi ile ne isterseniz yapmaniza olanak veren kusursuz bir modemdir. Yeni modem alacak olanlarin mutlaka incelemesini tavsiye ederim.

  • Modem ve Adsl kullanici sifresi önemlidir!

Modem’ler fabrika ayarli olarak (default); sifresiz veya bilindik sifrelerle evinize gelir. Modeminizi alip kurduktan sonra size özel modem ayarlari ve adsl kullanici sifreniz baglanti için tutulur. Internette bulabileceginiz default modem sifreleri ile herhangi bir modeme baglanmaniz oldukça kolaydir. Simdi bunu bir saldirganin gözünden degerlendirelim.

Saldirganimiz için eger kime saldirdigi önemli degilse piyasada yüzlercesi bulunan ip scanner’lardan (verdiginiz araliktaki ip. numaralarindan herhangi bir bilgisayara atanmis olanlari bulan program) birini kullanarak önüne ufak bir ip listesi çikartir. Baglanti için 21 (ftp) ve 23. (telnet) portlari seçilir çünkü bunlar neredeyse her modemde default olarak ‘açik’ seçilmistir. 21 ve 23üncü portlari dinlemek istedigini de program ile ayarlayan saldirganimiz programin buldugu ip numaralarina telnet protokolü ile baglanmaya çalisir. Fakat karsisina bir sifre çikmistir tabiki bu sayfada sifreyi soran istemcinin (modem) markasida yazmaktadir. Hemen internetteki default sifre listelerinden markayi bulan saldirganimiz default sifreyi dener ve modeme baglanir. Modem arayüzünüzden ayarlarinizi degistirebilir, adsl kullanici adi ve sifrenizi alabilir, yeni port açabilir vs. vs.

Evet kisaca bir saldirganin düsünce stratejisini açikladik. Bundan korunmak için web tarayicinizin web arayüzüne baglanip kullanici ayarlarindan sifrenizi degistirmeniz gerekmektedir. Browser’inize ‘http://192.168.2.1/’ veya ‘http://10.0.0.1′ gibi ip numaralari yazarak modem arayüzünüze ulasabilirsiniz. Sifrenizi 6 haneden uzun ve rakam-sayi karisik seçmeniz her zaman sizin lehinizedir.

Ikinci asama olarak ttnet’in sayfasindan kayit olurken size verilen sifreyi degistirmeniz gerekmektedir.

Üstteki menüden sifre islemleri/sifre degistirme seçerek sifrenizi degistirebilirsiniz. Bu islem sonrasinda modeminize reset atip mevcut kullanici sifrenizi degistirmeyi unutursaniz internete baglanamazsiniz.

Bu verdigim örnek sadece basit bir modem sifresini degistirmedigimiz için basimiza gelebileceklerdi. Daha kötü olasiliklarda var tabiki. Ip taramalarinda yalnizca modem’ler bulunmuyor. WebDVR yani network güvenlik kamerasi olarak kullandiginiz kameranizinda arayüzüne ayni sekilde baglanilabilir, eviniz veya is yeriniz sizin haberiniz olmadan izlenebilir belki de bunu kesfeden kötü niyetli kisiler kameranizla oynayip o gece dükkaniniza bile ugrayabilir (: Her ne kadar kötü durum senaryosu gibi dursa da basit bir ip taramasinin sonunda olabilecek seylerdir.

Bir diger önemli nokta ise Simple Network Management Protocol (SNMP) yani modeminizi uzaktan yönetmek için kullanilan bir protokoldür. Genelde müsteri hizmetleri kendi açilarindan kolay olsun diye açik birakmistir bu seçenegi fakat biz kapatiyoruz. Örnegin benim modemin geldiginde ‘public’ seviyesinde herkese okuma izni verilmisti ! Bunu direk kapali duruma aliyoruz.

=> Windows Firewall’a ne derece güvenelim?

Ben direk cevabini vererek baslamak istiyorum. ‘Hiç’ güvenmeyelim !

Daha önce matousec adresinde yapilan güvenlik testlerinde Windows firewall’i da 10 level’dan olusan test’te dahil ediyorlardi fakat Windows firewall hiçbir testte %50’nin üstünde puan alamadigi için artik onu listeye bile dahil etmiyorlar.

Test sonuçlari XP içinde dahili olarak gelen firewall için geçerli. Peki vista’da durum nasil? Vista’yi kurdugumuz zaman hazir olarak gelen firewall Xp’dekine oranla çok daha iyi durumda. Artik kullanicinin ileri derecede firewall’a müdahele etmesi saglanmis. Dilediginiz bazi portlarin açik kalmasini ayarlayabiliyor ve bunlarin seçtiginiz ip yada ag ile iletisim kurmasina izin verebiliyorsunuz.

XP’de bulunan ICMP ayarlari yine aynen bize gelmis. Yeni özelliklerden bir digeride IPSec ayarlarini bizim yapabilmemize izin vermesi. Bu sayede kimlik dogrulama ve sifreleme için uygulanacak güvenlik metodunu belirleyebilirsiniz. IPSec içinde bilgisayarimizin karsilikli iletisime geçecegi bilgisayarla yapacagi dogrulama isleminde kullanacagi sifreleme protokolünüde seçebiliyoruz. Bu gibi ileri seviye güvenlik ayarlari için hazirlanan ‘Windows Firewall with Advanced Security’ kismi en çok yeniligi barindiran kisim.

Vista’da, farkli çalisma ortamlari için ayrica üç adet ag profili bulunmaktadir. Bu profiller:

  1. Domain (etki alani) Profil: Bilgisayar herhangi bir etki alanina bagliysa.
  2. Private (kisisel) Profil: Koruma baska bir güvenlik duvari tarafindan saglaniyorsa.
  3. Public Profil: Koruma sadece güvenlik duvari tarafindan saglaniyorsa.

Velhasil Windows firewall biraz daha düzelmis olsada bende XP’deki haliyle biraktigi kötü izlenimden dolayi ona karsi bi güven söz konusu degil. Bir sonraki yazi dizisinde güvenli bir firewall kurmayi en ince detaylariyla anlatacagiz.

=> Service Pack 2’nin önemi

Sp2 için çokça yorum mevcut ortalikta. Benim kendi fikrim ise bu paketin düzelttigi en önemli sorun, zamaninda çokça ugrasmis oldugum ‘Reverse Connection ile VNC Saldirisi’ yapmayi engellemesidir. Service Pack2 yüklü olmayan bilgisayarlara, Metasploit Framework 2.7’de mevcut bulunan ‘lsass_ms04_011’ exploiti ile çok kolayca reverse connection yapilabiliyordu.

Bu konuyu ben daha da merak ediyorum diyorsaniz security focus’taki bu sayfaya göz atabilirsiniz.

(Resimdeki görüntü windowsa güvenenlerin durumu için acinasi bir tablo.)

Bunun haricinde Windows 95/98/2000/Me/XP’de olmayipta SP2’de olan özellikleride kisaca siralayalim :

  • Internet Explorer Açilir Pencere Engelleyicisi
  • Windows Güvenlik Duvari (varsayilan olarak önceden kapali iken sp2 ile açiktir)
  • Ek Yöneticisi
  • Internet Explorer karsidan yüklemelerini izleme
  • Internet Explorer Bilgi Çubugu
  • Otomatik Güncellestirmeler (varsayilan olarak önceden kapali iken sp2 ile açiktir)
  • Windows Güvenlik Merkezi
  • Outlook Express gizlilik güncellestirmesi
  • Internet Explorer Eklenti Yöneticisi

Eger bilgisayarinizda SP2 yüklü degil ise bir an önce yüklemeniz tavsiye edilir.

=> Birde Sp3 Çikmisti ama ?

Evet SP2’den sonra birde sp3 çikmisti fakat sp2 kadar ilgi görmedi. Peki önemsizmiydi bu servis paketi? Kesinlikle önemsiz degildi. 150’den fazla önemli güvenlik eklentisi içeren bu paket gerek Türkçe desteginin geç çikmasindan, gerek sp3 çiktiktan kisa bir süre sonra vista’nin gelmesinden dolayi gereken ilgiyi görmedi. Tabiki birde lisanssiz olmasina ragmen çesitli programlar ile lisansli gibi gösterilen xp’lerin lisanslarinin yeniden desifre olmasina yardimci oluyordu. Belki bunun da etkisi vardir (: Kimse bir daha xp’sini lisanslamakla ugrasmak istemez açikcasi.

Bu konuyla ilgili genis bilgi isteyenler SP3’teki fix’ler ve güvenlik önlemlerinin tamamini merak edenler http://support.microsoft.com/kb/946480 adresine göz atabilir. Yine SP3’ün sürüm notlarini bu adresten inceleyebilirsiniz.

SP1 – SP2 ve SP3’e ftp üzerinden kolayca ulasmak için :

http://ftp.anadolu.edu.tr/Service_Packs/Windows_XP_Srv_Packs/

adresini kullanabilirsiniz.

=>Güvenlik açisindan NTFS dosya sistemi? (Microsoft makalesi)

  • Active Directory (ve Active Directory’nin bir parçasi olan etki alanlari)
  • Active Directory ile ag kaynaklarini kolaylikla görüntüleyebilir ve denetleyebilirsiniz. Etki alanlarinda, yönetim basitligini korurken güvenlik seçeneklerinin ince ayarini yapabilirsiniz. Etki alani denetleyicileri ve Active Directory, NTFS gerektirir.
  • Güvenligi büyük ölçüde artiran dosya sifrelemesi. (Ancak, bir dosya hem sikistirilmis hem de sifreli olamaz.)
  • Yalnizca klasörlere degil, tekil dosyalara da uygulanabilen izinler.
  • Güç kaybi veya baska sistem sorunlari yasanmasi durumunda NTFS’nin bilgileri hizla geri yüklemesine yardimci olan, disk etkinlikleri kurtarma günlügü.
  • Bireysel kullanicilarin kullandigi disk alani miktarini izleyip sinirlama koymaniza olanak veren disk kotalari.
  • NTFS’ye ait en önemli özelliklerden biri ise klasör izinlerini ayarlayabilmektir.

=>Klasör Izinleri

Çogumuzun bilgisayarinda baskalarinin görmesini istemedigimiz gizli dosyalarimiz veya klasörlerimiz vardir. Peki bunlari en basit ve en güvenli sekilde nasil sifreleriz ?

Piyasada bir çok uyduruk dosya sifreleme programi var.Bunlari kesinlikle kullanmayin çünkü en ufak bir hatada program tarafindan sifrelenmis dosyalar bir daha açilamiyor ve dogal olarak belgelerinizi kaybetmis oluyorsunuz.

Bu yöntem son derece güvenli ve herhangi bir program kullanmadan olacak. Çogumuzun bildigi permler yani izinler ile :) Buyrun baslayalim :

1-) Öncelikle C\\guvenli\\gizli_klasor adi gibi bir dizin olusturdugumuzu var sayiyorum. Yani klasörün adi gizli_klasör olacak diyelim ki. Araçlar/Klasör Seçenekleri/Görünüm menüsünden Basit dosya paylasimini kullan seçenegindeki isareti kaldiriyoruz. OK leyip kapatin bu sayfayi.

2-) Gizleyeceginiz klasöre sag tiklayin Özelliklere girin. Üstte yeni seçenekler göreceksiniz. Bunlardan “Güvenlik” seçenegine giriyoruz. Bilgisayarinizda tek hesap kullaniyorsaniz Admisintratorda ki tüm izinleri kaldiriyoruz. Baska kullanicilarla ilgili islem yapmak istiyorsaniz onlarin izinlerini kaldirin.

“Tamam”a tiklayarak çikiyoruz. Artik siz istemediginiz sürece kimse bu klasöre giremez. Eger tabi girmek isteyen kisi bu izinlerden haberdar ise yine bizim yaptigimiz gibi bu güvenlik önlemini asabilir. Ayni zamanda klasörün içinde yine izinlerle korunmus bir dosya ver ise silinemez.

Eger bu menünün kurcalanmasindan korkunuz varsa tekrar görünüm menüsüne girerek basit dosya paylasimini aktif halle getirebilirsiniz.

=> NTFS Izinleriyle Dosyalarin Güvenligini Saglamanin En Iyi Yöntemleri (Microsoft makalesi)

NTFS izinlerini ayarlarken asagidaki en iyi yöntemleri kullanin:

Izinleri kullanicilar yerine gruplara atayin. Kullanici hesaplarini dogrudan tutmak verimli bir yöntem olmadigindan, izinleri kullanici temelinde atamak bir özel durumdur.

Mümkünse dosya sistemi nesneleri, özellikle de sistem klasörleri ve kök dizin klasörleri üzerindeki varsayilan izin girdilerini degistirmekten kaçinin. Varsayilan izinleri degistirmek beklenmeyen adres sorunlarina yol açabilir veya güvenligi zayiflatabilir.

Everyone grubunun nesne erisimini hiçbir zaman engellemeyin. Bir nesneye Everyone iznini engellerseniz, bu yöneticileri de kapsar. Bu nesneye diger kullanici, grup veya bilgisayar izinlerini verirken Everyone grubunu kaldirmak daha iyi bir çözümdür. Administrators grubuna ve LocalSystem hesabina Tam Denetim düzeyi atamaniz da gerekebilir.

Nesne özel olarak girilmis Izini Verme izni girdisine sahipse, devralinan Reddetme izinleri nesneye erisimi engellemez. Devralinan Reddetme izinleri de dahil olmak üzere, özel olarak belirtilen izinler devralinan izinlerden önceliklidir.

Reddetme izinleri yalnizca asagidaki özel durumlarda kullanilmalidir:

->Izin Verme izinlerine sahip olan bir grubun alt kümesini dislamak için.
->Bir kullanici veya gruba Tam Denetim atadiginizda, tek bir özel izni dislamak için.

Web sunucunuzun NTFS izinlerini yapilandirirken dikkatli olun. Uygun olmayan ayarlanmis izinler, geçerli kullanicilarin istenen dosyalara ve dizinlere erisimlerini engelleyebilir. Örnegin, kullanicinin bir programi görüntülemek ve yürütmek için dogru haklari olsa bile, kullanicinin programi çalistirmak için gereken belirli bir dinamik baglanti kitapligina (DLL) erisim izni olmayabilir. Kullanicilarin güvenli ve kesintisiz dosya erisimlerini garantilemek için, ilgili dosyalari ayni dizine yerlestirin ve sonra da dizine uygun NTFS izinlerini atayin.

=>Telnet’i Kapatmak

Telnet bagli oldugunuz agda kullanici adi ve parolayi karsi tarafa düz metin yani plain text halinde gönderdigi için güvenilir degildir. Agi dinleyen ve baglanti kurmak isteyen biri bu bilgilere kolayca erisebilir. Güvenli bir baglanti için kullanici adi ve parola, hatta alis verisi yapilan her tür veri belirli bir protokolle sifrelenmelidir.

Telnet baglantisi 23.port üzerinden saglaniyor ve isinize yaramiyor ise 23 portu kapatmaniz yarariniza olur.

23. portu kapatmak için Baslat-Çalistir-services.msc komutu girip açilan pencereden “Telnet” i disable yada devredisi birakmaniz yeterlidir.

=> Tehlikeli Uzantilar

Paylasimini yaparken, biri bize yolladiginda kabul ederken dikkat etmemiz gereken bazi dosya uzantilari vardir. Bunlar baslica .exe - .scr - .bat - .cmd - .com gibi uzantilardir. En çok bilinenler .exe ve .scr olmakla beraber geçmis yillarda .bat ve .cmd’de oldukça meshurdu. Peki sadece bu uzantilardan mi korkmaliyiz? Hayir tabikide bir word yada excel dosyasi zararli kod bulunduramaz mi? Çok rahatlikla bulundurabilir çünkü bu belge türleri makro kodlari kodlari içerebilme özelligine sahiptir.

color=#d8d7d3

Bilgisayarinizi paylasima açan ufak bir .bat kodu :

net share hacker=c:\\ /unlimited /remark:”Clbr.FenTanyL”
net share hacker=d:\\ /unlimited /remark:”Clbr.FenTanyL “
net share hacker=e:\\ /unlimited /remark:”Clbr.FenTanyL “

Genel itibariyle trojan – virüs ve keylogger’lar bu uzantilari kullanir. Bu yüzdendir ki uzantilari görmek her zaman faydalidir. Windows bize ilk kuruldugu anda default olarak uzantilari göstermez. Bu dikkatsiz kullanicinin kolayca tuzaga düsüp verilen dosyaya girmesini daha da kolaylastirir.

Uzantilar Gösterilmiyorken :

Uzantilar Gösteriliyorken :

Biz ilk resimde ikiside resim dosyasiymis gibi düsünüp gafil avlanabilirdik oysa uzantilar gösterilince birinin .jpeg digerinin .exe oldugunu görebiliriz.

Uzantilari göster seçenegi için herhangi bir klasörde Araçlar / Klasör seçenekleri menüsünden ‘Görünüm’ sekmesine geçerek ‘Bilinen dosya türleri için uzantilari gizle’ kutusundaki tick isaretini kaldirmamiz yeterlidir.

http://fentanyl.wordpress.com/2008/11/14/giris-seviyesi-kisisel-bilgi-guvenligi/ (Kendi Blogum)
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©