Güvenlik deyince aslinda ucu bucagi olmayan genis bir alana daldigimizi bilmeliyiz. Dolayisiyla bir çok yerde ve seviyede güvenlikten bahsedildigini hepiniz duymussunuzdur. Hemen hepimiz sirketlerimizde güvenlik duvarlari kullanir, IPS gibi bir cihazla ataklara karsi önlemler alir, internet üzerinden güvenli veri transferi yapabilmek için IPSec VPN kullanir, özellikle Windows isletim sistemlerinin hemen hemen her gün çikan güvenlik yamalarini yükler, 3. party yazilimlar ile bilgisayarlarimizi virüs, worm, malware gibi tehlikelere karsi koruruz. Bu liste aslinda uzayip gider.



Daha bir çok ekleme yapilabilecek bu listede aslinda genel amaç hep aynidir. Bu genel amaci kisaca CIA olarak özetleyebiliriz.



Confidentiality

Integrity

Availability





Güvenlik deyince akla bu üçgenin her bir ucu aklimiza gelecektir. Herhangi bir sistemin bu üç özelligi birden barindirmadan güvenli olarak kabul edilmesi imkansizdir. Bu üç noktadan birinin saglanamamasi demek aslinda sistemin tamamiyla güvensiz olmasi demektir.

Simdi bu üç kriterimizin bizlere ne ifade ettigi üzerinde kisa bilgiler vermeye çalisacagim.


Confidentiality

Confidentiality dedigimizde aklimiza datanin güvenilirligi gelecektir. Yani datanin izleme hakki olmayanlar tarafindan kesinlikle ele geçirilememesi gerekmektedir. Network trafigini sniffer programlariyla takip edenler bir çok bilgiyi ele geçirebilirler. örnegin Telnet gibi text halinde data transferi yapan protokoller bu noktada çok zayiftirlar. Confidentiality genellikle sifreleme yöntemleriyle saglanir.

Local networklerde burada en çok kullanilan atak yöntemlerinden biri MAC saldirisi ve ARP Poisining’dir. Burada kisaca atacker bu saldiri yöntemlerini kullanarak datanin kendi üzerinden geçmesini yada bir kopyasinin kendisinede gelmesini saglayarak datayi izler.

(Telnet ile bir cihaza baglanarak konfigürasyon yapmanin aslinda ne kadar güvensiz oldugunu linkten erisebileceginiz makalede detayli görebilirsiniz.

http://www.bilginipaylas.com/index.php?option=com_content&task=view&id=57&Itemid=34)


Integrity
Integrity ise datanin herhangi bir sekilde, hakki olmayanlar tarafindan degistirilmemis olmasini saglamaktir diyebiliriz. Hiç birimiz bir noktadan baska bir noktaya data transferi yaparken, çok basit bir örnek ile bankamiza havale bilgisi geçerken, gönderdigimiz verilerin hedefine ulasmadan baskalari tarafindan degistirilmesini istemeyiz. Burada konu olan aslinda sadece transfer ettigimiz data degildir. örnegin switch üzerinde olusturdugumuz VLAN bilgilerininde erisim izni olmayanlar tarafindan degistirilmesi yine interitiy noktasinda zayif oldugumuzu göstercektir.

Integrity için genellikle hashing seklinde tabir ettigimiz bir yöntem kullanilabilir.


Availability
Ve son güvenlik prensibimiz Availability. Yani verilerimizin erisilebilir olmasi. Sirketimiziznweb sayfasinin internet kullanicilari tarafindan erisilemedigi bir ortamda Confidentiality ve Integrity saglanmis olmasi gerçekten gereksiz olurdu. En önemli nokalaridan biri olan data erisilebilirligi beraberinde çesitli ataklarida getirecektir. Hemen hepimizin bildigi DoS ataklari buna örnek olarak verilebilir.

Bu üç presibimizden herhangi birini olusturamadigimizda, örnegin verilerimiz artik elverisli degilse, verilerimiz bozulmus – degistirilmisse ya da bir sekilde ele geçirilebiliyorsa güveligin olmadigini söyleyebiliriz.


Hayatimizin hemen her ani bir çok risk ile doludur. Her birimiz her gün bir çok tehlikeyi, sakin bir sekilde yolda yürürken bile atlatiyoruz. Hiçbirimizin karsidan karsiya geçerken bir otomobil tarafindan ezilmeme garantisi yoktur fakat otomobil tarafindan ezilmemek içinde sokaga çikmamak saçma bir yöntem olacaktir. Buada akillica olan bir otomobilin çarpma riskini göz önüne alarak karsidan karsiya geçmek, örnegin isiklari, yaya geçitlerini kullanmaktir.

Networkümüz içerisinde de farknda oldugumuz olmadigimiz binlerce tehlike aslinda kol gezmektedir. Burada bize düsen bu tehlikeleri tespit etmek ve kontrol altina almak olacaktir.

Sistemizdeki zayif noktalari tespit etmek birincil görevimizdir diyebiliriz. Bu zayif noktalar bazen kullandigimizin bir yazilimin, isletim sisteminin bir bugi, bazen kullandigimiz protokollerin eksiklikleri, bazen verdigimiz Web, Mail gibi hizmetleri saglayan servislerin açiklari, hatta networkümüzdeki cihazlarimiza kullanici kimlik dogrulanmasi saglanmadan yada en azindan sifre dogrulamasi yapilmadan baglanilabilmesi olabilir. Makale serimizin ana basligina da uygun olabilecek bir örnek olarak, Cisco Switchler üzerinde çalisan DTP (Dynamic Trunking Protocol) ve 802.1q encapsulation’in bir özelligi olan native Vlan verilebilir.

Bir baska görevimiz bu zayif noktalari için tehlikelerin neler oldugunu belirlemek olacaktir. Bu bazen bir insan (hacker) bile olabilecegi gibi virüs veya worm gibi yazilimlarda olabilir. Bu tehlikeleri belirleyip gerekli önlemleri almak kaçinilmazdir. Bu tehlikerlerin her zaman disaridan gelecegini düsünmek de yanlis olacakdir. Sirketlerde artik bir çok kullanici dizüstü bilgisayar kullanmaktada ve bu bilgisayarlar ile sadece sirket içinde degil, güvensiz olma ihtimli olan farkli yerlerde de internete girmekte ve bu baglantilar sirasinda bilgisayarina bulasan kötü yazilimlari sirkete tasimaktadir.

Ve yine bir çok kullanici flash diskler ile hemen hemen her gün bilgisayarlari arasinda veri transferi yapmakta, örnegin evdeki bilgisayarinda bir mp3’ü yaninda virüs ve wormlarla sirkete tasimaktadir.

Bütün bu zayif nokta ve tehlikeler kisacasi riskleri ya tamamiyla ortadan kaldirmali, eger bunu yapamiyorsak en azindan etkilerini azaltabilmeliyiz. Bizde bu makalelerimiz boyunca riskleri ortadan kaldirmaya yada en azindan minimuma indirmeye çalisacagiz.

Network içerisinde dogabilecek riskleri azaltmak için çalisirken, networkümüzdekilerin kim olduklarinii ne yaptiklarini bilmekte ve kontrol altina almakta fayda vardir. Ilerleyen makalelerimizde detayli anlatacagimiz 802.1x authentication buna iyi bir örnek olabilir. Simdilik kisaca kimlik bazli netwok erisim kontrolü ve denetlenmesini dört adimla inceleyebiliriz.

1. Identification : Kimsin ?
2. Authentication: Kanitla.
3. Authorization: Nelere hakkinda var ?
4. Audit: Ne yaptin?


(Aslinda kisaca AAA dedigimiz olay diyebiliriz.)

Tabii ki bu dört adimi saglayabilmek için bir yönetim merkezine ihtiyacimiz olacaktir.



Cisco ACS Server bence buna verilebilecek en güzel örnektir.

Makalemizin son bölümünde Encryption ve Integrity için kullanabilecegimiz bazi algoritmalardan çok kisa bir sekilde bahsetmek istiyorum.

öncelike iki çesit encryption kullanilabilir.

1. Simetrik
2. Asimetrik

Simetrik encryption ile alici ve gönderen ayni keyleri kullanir. Yani bir noktada sifrelenen data karsi tarafa gittiginde çözülebilmesi için ayni keyin orda da olmasi gerekir. Burada kullanilan algoritmalara DES, 3DES ve AES örnek olacak verilebilir. DES 56 bitlik, 3DES 168 bitlik keyler kullanirken AES ile 128, 192 veya 256 bitlik keyler kullanma imkani saglar. Günümüzde 128 bitlik keyler ile yapilmis encryptionlar güvenli olarak kabul edilirler.

Buna karsin Asimetrik encryption’da ise iki ayri key kullanlmaktadir. (Public Key ve Private Key) Bu keylerden bir tanesi encryption için kullanilirken digere çözümleme için kullanilir.

Sekilde gördügünüz gibi herkes tarafindan ögrenilebilecek Public Key sifreleme için kullanilirken, bu sifrele amcank onun private keyi ile çözümlenebilir.

Datan Integrity için ise kullanilabilecek algoritmalar MD5 ve SHA-1’dir. MD% 128 bitlik bir hash saglarken SHA-1 160 bitlik bir hash saglar. (VPN uygulamalarinda sadece ilk 96 biti kullanir.)

Ortaya çikan bu hash data ile birlikte karsiya gönderili, ayni islem karsida da gerçeklesir ve ortaya çikan hashler karsilastirilir. Her iki sonucunda ayni olmasi durumunda data üzerinde herhangi bir degisiklik olmamis demektir.

Evet arkadaslar. Bu makalemizde güvenlik noktasinda sikça duyacagimiz bazi kavramlar hakkinda bilgiler vermeye çalistik. Tabi ki benim burada kisaca degindigim bir çok konu hakkidan detayli yazilar yazilir. Burada benim yapmak istedigim bir nebzede olsa terminolojiye yakinlasmanizi saglamakti. LAN security ile ilgili devam edecek makalelerimiz daha çok uygulamaya yönelik olacak. Diger makalelerde görüsmek üzere, iyi çalismalar.

Hayrullah Kolukisaoglu

Cisco Switchler ile LAN Security Bölüm 2: Port Security
Cisco Switchler ile LAN Security Bölüm 3: 802.1x Authentication
Cisco Switchler ile LAN Security Bölüm 4: DHCP Atakları ve DHCP Snooping
Cisco Switchler ile LAN Security Bölüm 5: Dynamic ARP Inspection
Cisco Switchler ile LAN Security Bölüm 6: Private VLANs

Ortalama Üye Değerlendirmesi

   (0 Oylama)