Kurumsal

1

• Kurumsal
• Web Güvenligi Altyapisi
• Ar. Gör. Enis Karaarslan
• Ege Üniv. Kampüs Ag Yöneticisi, ULAK-CSIRT üyesi
• ULAK-CSIRT
• http//csirt.ulakbim.gov.tr/

2
IÇERIK

• 1. Güvenlik Hakkinda Temel Bilgiler
• 2. Neden Web Güvenligi
• 3. Kurumsal Web Güvenligi Modeli
• Standartlari Olusturma/Uygulama
• Güvenli Kodlama
• Egitim / Sinama
• Ag / web sistem farkindaligi
• Saldiri Saptama
• Saldiri Engelleme
• Kurtarma
• Koordinasyon Merkezi

3
IÇERIK (devam)

• 4. Ag ve Web Sistem Farkindaligi
• 5. ULAK-CSIRT Web Güvenligi Grubu
• 6. Sonuç

4

• 1. Güvenlik Hakkinda
• Bazi Temel Bilgiler

5
Bilgi Sistemi ve Güvenlik
6
Zayifliklari çözmek ...

• Zayiflik Her sistemde bilinen veya henüz
  bilinmeyen güvenlik açiklari vardir.
• Zayifligin ögrenilmesinden sonra, o zayifligi
  kaldiracak önlemlerin (yama, ayar) uygulanmasi
  arasinda geçen zaman önemlidir.

7
Bir zayiflik ve yasananlarin kronolojik siradaki
listesi ...
8

• Güvenlik bir ürün degil,
• bir süreçtir.
• Security is a process, not a product.
• Bruce Schneier

9
Temel Güvenlik Önlemleri

• Bilgi sistemlerinin güvenlik düsünülerek
  tasarlanmasi ve uygulanmasi
• (secure by design)
• Zayifliklarin/saldirilarin tespiti
• Mümkün oldugunca saldirilarin engellenmesi,
• Riskin azaltilmasi
• Saldirganin isinin zorlastirilmasi

10
Güvenlik esaslari ...

• Bir zincir, ancak en zayif halkasi kadar
  güçlüdür.
• O zaman tek bir zincire güvenmemek gerekir ...
• Mümkün oldugunca farkli önlemler alinmalidir.

11
Çok Katmanli Güvenlik
12
(No Transcript)
13
Çok Katmanli Güvenlik Örnegi
Her alt katman da birçok katmandan olusabilir.
14
Güvenlik ve kullanislilik?
Tabii ki karikatürdeki gibi olmamalidir. Güvenlik
önlemleri, sistemin kullanilmasini zor duruma
getirmemelidir.
15

• 2. Neden Web Güvenligi ?

16
Web Tabanli Sistemler

• Web (sunucu) kullanimi artiyor
• bilgi sistemleri, ag cihazlari ... Vb
• Web uygulamalarinin ve bu ortamdaki bilginin
  artmasi
• Kurumun dünyaya açilan penceresi
• Hizlica ve güvenlik düsünülmeden yapilan
  kurulumlar

17
Katmansal Web Güvenlik Yapisi
18
Web Uygulamasi
19
En Yaygin Web Uygulama Zayiflik Siniflari
20
Neden Web Güvenligi ?

• Web tabanli saldirilar artmakta
• Zone-H 400,000 (36) artis (2004)
• CSI-FBI Computer Crime and Security Survey
  Ankete katilanlarin 95i, 2005 senesinde 10
  adetten fazla web sitesi saldirisi vakasi yasamis

21
Neden Web Güvenligi? (devam)

• Web güvenligi saglanamadiginda kayiplar
• Maddi kayip (Özellikle e-ticaret ile para
  aktarimi, banka uygulamalarinda),
• Güven kaybi,
• Sirket verilerinin kaybi ile yasanabilecek ticari
  risk,
• Kisisel bilgilerin gizli kalma hakkinin ihlali,
• Agda olusabilecek zayif noktadan
  kaynaklanabilecek diger saldirilar.

22
Web Saldiri Örnekleri

• Sayfalar degistirilir
• Sayfalar degistirilmez, siteden bilgiler
  çalinir ve yöneticilerin haberi olmaz.
• Site kullanilarak kullanici bilgileri çalinmaya
  devam eder.

23
Güvenlik Ihlalinden Sorumlu Kim?

• Ag / ag güvenligi yöneticisi?
• Sunucu - veritabani Yöneticisi?
• Programci
• Hiçbiri
• Hepsi

24
Web Güvenliginde Temel Problemler

• Web güvenligine yeterli önem ve dikkatin
  verilmemesi
• Geleneksel yöntemlerin yetersizligi
• Yetersiz web sunucu güvenligi
• Güvenli kodlama secure coding yapilmamasi

25

• Eger bu kadar kötü yazilim güvenligine
• sahip olmasaydik,
• bu kadar çok ag güvenligine
• ihtiyacimiz olmayacakti
• Bruce Schneier

26
Bir savasi yenmek için, bireyin yöntemi bilmesi
gerekirSun TzuSavas SanatiThe Art of War
27

• 3. Kurumsal Web Güvenligi Modeli

28
Kurumsal Aglarda Web Sistemleri

• Üniversite aglari gibi büyük kurumsal aglarda,
• farkli ve çok sayida web sistemleri,
• farkli ekipler bulunmaktadir.
• Güvenligini saglamak için
• Daha kapsamli sistemler kullanilmali
• Birbirleriyle etkilesimli çalismali

29
Kurumsal Web Güvenligi Modeli

• Standartlastirma
• Güvenli Kodlama
• Sistem Farkindaligi
• Egitim / Sinama
• Saldiri Saptama
• Saldiri Engelleme
• Kurtarma
• Esgüdüm Merkezi

30
(No Transcript)
31
3.1. Standartlastirma

• Politika tabanli
• Kullanim ve güvenlik politikalari
• Neye izin verilir, neye izin verilmez.
• Önerilen sistemin tanimlanmasi
• Sablonlar, iyi uygulama örnekleri,
• Güvenli Kodlama
• Belgeleme

32
3.2. Güvenli Kodlama

• Yazilim gelistirme yasam döngüsü (SDLC)
  içerisinde güvenli kodlama yapilmali ve zayiflik
  (vulnerability) testleri gerçeklestirilmeli
• Güvence (Assurance) Modelleri
• Ex. OWASP Clasp, Microsoft SDL
• OWASP Güvenli Kodlama Belgeleri
• http//www.owasp.org

33
Yazilim Gelistirirken Temel Esaslar

• Kullanici Görev/Yetki tanimlama
• Farkli güvenlik düzeyleri
• En az yetki
• Güvenli varsayilan ayarlar
• Kademeli savunma
• Önlemleri yalin tutmak
• Saldiri alanini azaltmak
• Güvenli düsmek

34
Güvenli Kodlama (devam)

• Girdi /çikti denetiminin önemi
• Yazilim kütüphaneleri ve siniflari güvenli
  kodlama esaslarina göre gelistirilmeli,
• Güvenli kodlamayi destekleyen gelistirme
  ortamlari (Ör Strutus)

35
Güvenli Kodlama (devam)

• Yeterince uygulanamamasinin nedenleri
• Projeyi bitis zamanina yetistirme,
• Programcilarin güvenli kodlama süreçleri hakkinda
  yeterince bilgi sahip olmamasi,
• Müsterinin, bu konudaki beklentisini /
  yaptirimini vurgulamamasi.
• Mümkün oldugunca çok önem verilmelidir.

36
3.3. Egitim / Test

• Çalistay ve Çalisma Gruplari
• Güvenli kodlama örnekleri ve saldiri senaryolari
• Egitim Portali
• Kurumun projeleri ile ilgili iyi uygulama
  örnekleri
• Kilavuzlar, standartlar

37
Egitim / Test (devam)

• Test Sunucusu
• Kaynak kod analizi
• Kara kutu analizleri (kaynak koda ulasmadan)

38
3.4. Ag / Web Sistem Farkindaligi

• Sistemleri koruyabilmek için öncelikle korunmasi
  gereken sistemleri tanimak/tanimlamak gerekir.
• Ayri bir bölüm olarak birazdan ayrintilari
  verilecek ...

39
3.5. Saldiri Engelleme

• Ag Tabanli Erisim Denetimi
• Örn. Ag güvenligi duvari, yönlendirici erisim
  listesi
• Sunucu Yerel Güvenligi
• Örn. Mod Security
• Web Uygulama Güvenlik Duvari / Ters Vekil
• Örn. Mod Security Mod Rewrite

40
Ters Vekil Sunucu
41
3.6. Saldiri Saptama

• Saldiri Saptama Sistemleri
• Örn. Snort, Mod Security
• Günlük (Log) Dosyasi Denetimi
• Saldirgan Tuzagi Aglari
• (Honeynet, Honeypot)

42
3.7. Kurtarma

• Sistem saldiriya ugradiginda
• Acil Durum Plani var mi?
• Yedek sunucu ?
• Yedeklenen veriler ?
• Adli inceleme ihtiyaci ?

43
Kurtarma Asamalari

• Sunucuya erisimin engellenmesi
• Ayrintili inceleme
• Saldirilarin etkilerini temizleme
• Sistemi yeniden çalistirma
• Kullanicilarin durumdan haberdar edilmesi
• Saldirganin saptanmasi

44
3.8. Koordinasyon Merkezi

• Çok katmanli güvenlik yapisinda güvenlik
  önlemlerinin asagidaki sekilde çalismasini
  saglayacak bir sunucudur (sistemdir)
• Birbirleriyle etkilesimli
• Etkin

45
(No Transcript)
46

• 4. Ag / Web Sistem Farkindaligi

47
4. Ag / Web Sistem Farkindaligi

• Saldirgani tanimak (?)
• Kendini tanimak,
• Degerleri, neyin korunmasi gerektiginin
  tanimlanmasi
• Sistemleri saldirgandan daha iyi tanimak ...

48
Ag / Web Sistem Farkindaligi(devam)

• Ag Farkindaligi
• ag üzerinde o an olmakta olanlari bilme yetenegi
• Web Sistem Farkindaligi
• Web Altyapi Farkindaligi
• Zayiflik Testleri
• Sistem Takibi

49
Web Sistem Farkindaligi

• Web Altyapi Farkindaligi
• Sistemin güncel/anlik durumu hakkinda bilgi
  toplamak
• Zayiflik Testleri
• Görünür/bilinir zayifliklari ögrenmek
• Sistemi takip etmek
• Sistemin su anki durumunu izlemek

50
Toplanmasi Hedeflenen Bilgiler

• Web sunucusu üçüncü katman adresleri (IP
  adresleri),
• Sunucu üzerindeki alan adlari
• (Ör internet.ege.edu.tr),
• Web servisi verilen ag kapilari (80, 8080 vb),
• Sunucu üzerinde çalisan isletim sistemi (Linux,
  Windows vb),
• Web sunucu yazilim türleri ve sürümleri (Apache
  2.0, IIS 6.0vb),

51
Toplanmasi Hedeflenen Bilgiler (devam)

• Web uygulamalarinin gelistirildigi programlama
  dilleri türleri (cgi, php, asp,.net, jsp vb),
• Uygulama dosya adi,
• Uygulama çalisma yolu (dizin yapisi),
• Kullanilan degistirgeler ve tipleri,
• Sistemlere ait saldiriya açiklik raporlaridir

52
Bilgi Toplama Sistemleri

• Ag kapisi ve uygulama tarayicilari
• HTTP parmak izi alma sistemleri
• Ag trafigi çözümleme sistemleri
• Saldiri saptama sistemleri
• Zayiflik (saldiriya açiklik) çözümleme sistemleri
• Arama motorlari

53
5. Ulak-CSIRT Web Güvenlik Grubu

• Egitim ve bilinçlendirme çalismalari çesitli
  seminerler ve toplantilar
• Belgeleme Çalismalari
• OWASP Ilk 10 Web Güvenlik Açigi 2007 (tercüme)
• PHP Güvenlik Kitapçigi (hazirlanmakta)

54
Ulak-CSIRT Web Güvenlik Grubu (devam)

• Web Sistem farkindaligi ve egitim konularina
  agirlik verilmektedir.
• Merkezi Zayiflik tarama sistemi denemeleri
• Açik kaynak kodlu yazilimlar denenmektedir.

55
6. SONUÇ

• Kurumsal web güvenligi için, Web Güvenligi
  Modelindeki yöntemler uygulanmalidir
• Kuruma uyan yöntemler seçilmeli
• Mümkün oldugunca fazla yöntem devreye alinmali
• Her yöntem sistemi daha karmasik hale mi getirir?
• Temel hedefler asagidaki gibi olmali
• Web sistem farkindaligi
• Web sunucu yöneticilerini ve programcilarini
  egitmek/bilgilendirmek

56
Sonuç (devam)

• Sistemler saldiri tespit sistemleri ile takip
  edilmelidir
• Web sunuculari önüne web güvenlik duvari
  konuslanmalidir.
• ULAK-CSIRT Web Güvenligi Çalisma Grubu bünyesinde
  bilinçlendirme çalismalari ve OWASP-TR ile
  isbirligi devam etmesi hedeflenmektedir

57
Sonuç (devam)

• Bu sunum ve Kurumsal Web Güvenligi Altyapisi
  belgesi (yakinda) http//www.karaarslan.net/guvenl
  ik.html
• Web Güvenligi Belgeleri
• http//www.webguvenligi.org
• http//websecurity.ege.edu.tr
• http//csirt.ulakbim.gov.tr/belgeler

58
Degisim zordur, açik fikirli olmali ...

• Önyargilari yok etmek, atom çekirdegini
  parçalamaktan daha zordur.
• Einstein

59

• Ilginiz için tesekkürler ...
• Sorularinizi bekliyorum ...
• Iletisim
• csirt_at_ulakbim.gov.tr
• info_at_karaarslan.net
• ULAK-CSIRT
• http//csirt.ulakbim.gov.tr/eng