Title: Kurumsal
1- Kurumsal
- Web Güvenligi Altyapisi
- Ar. Gör. Enis Karaarslan
- Ege Üniv. Kampüs Ag Yöneticisi, ULAK-CSIRT üyesi
- ULAK-CSIRT
- http//csirt.ulakbim.gov.tr/
2IÇERIK
- 1. Güvenlik Hakkinda Temel Bilgiler
- 2. Neden Web Güvenligi
- 3. Kurumsal Web Güvenligi Modeli
- Standartlari Olusturma/Uygulama
- Güvenli Kodlama
- Egitim / Sinama
- Ag / web sistem farkindaligi
- Saldiri Saptama
- Saldiri Engelleme
- Kurtarma
- Koordinasyon Merkezi
3IÇERIK (devam)
- 4. Ag ve Web Sistem Farkindaligi
- 5. ULAK-CSIRT Web Güvenligi Grubu
- 6. Sonuç
4- 1. Güvenlik Hakkinda
- Bazi Temel Bilgiler
5Bilgi Sistemi ve Güvenlik
6Zayifliklari çözmek ...
- Zayiflik Her sistemde bilinen veya henüz
bilinmeyen güvenlik açiklari vardir. - Zayifligin ögrenilmesinden sonra, o zayifligi
kaldiracak önlemlerin (yama, ayar) uygulanmasi
arasinda geçen zaman önemlidir.
7Bir zayiflik ve yasananlarin kronolojik siradaki
listesi ...
8- Güvenlik bir ürün degil,
- bir süreçtir.
- Security is a process, not a product.
- Bruce Schneier
9Temel Güvenlik Önlemleri
- Bilgi sistemlerinin güvenlik düsünülerek
tasarlanmasi ve uygulanmasi - (secure by design)
- Zayifliklarin/saldirilarin tespiti
- Mümkün oldugunca saldirilarin engellenmesi,
- Riskin azaltilmasi
- Saldirganin isinin zorlastirilmasi
10Güvenlik esaslari ...
- Bir zincir, ancak en zayif halkasi kadar
güçlüdür. - O zaman tek bir zincire güvenmemek gerekir ...
- Mümkün oldugunca farkli önlemler alinmalidir.
11Çok Katmanli Güvenlik
12(No Transcript)
13Çok Katmanli Güvenlik Örnegi
Her alt katman da birçok katmandan olusabilir.
14Güvenlik ve kullanislilik?
Tabii ki karikatürdeki gibi olmamalidir. Güvenlik
önlemleri, sistemin kullanilmasini zor duruma
getirmemelidir.
15 16Web Tabanli Sistemler
- Web (sunucu) kullanimi artiyor
- bilgi sistemleri, ag cihazlari ... Vb
- Web uygulamalarinin ve bu ortamdaki bilginin
artmasi - Kurumun dünyaya açilan penceresi
- Hizlica ve güvenlik düsünülmeden yapilan
kurulumlar
17Katmansal Web Güvenlik Yapisi
18Web Uygulamasi
19En Yaygin Web Uygulama Zayiflik Siniflari
20Neden Web Güvenligi ?
- Web tabanli saldirilar artmakta
- Zone-H 400,000 (36) artis (2004)
- CSI-FBI Computer Crime and Security Survey
Ankete katilanlarin 95i, 2005 senesinde 10
adetten fazla web sitesi saldirisi vakasi yasamis
21Neden Web Güvenligi? (devam)
- Web güvenligi saglanamadiginda kayiplar
- Maddi kayip (Özellikle e-ticaret ile para
aktarimi, banka uygulamalarinda), - Güven kaybi,
- Sirket verilerinin kaybi ile yasanabilecek ticari
risk, - Kisisel bilgilerin gizli kalma hakkinin ihlali,
- Agda olusabilecek zayif noktadan
kaynaklanabilecek diger saldirilar.
22Web Saldiri Örnekleri
- Sayfalar degistirilir
- Sayfalar degistirilmez, siteden bilgiler
çalinir ve yöneticilerin haberi olmaz. - Site kullanilarak kullanici bilgileri çalinmaya
devam eder.
23Güvenlik Ihlalinden Sorumlu Kim?
- Ag / ag güvenligi yöneticisi?
- Sunucu - veritabani Yöneticisi?
- Programci
- Hiçbiri
- Hepsi
24Web Güvenliginde Temel Problemler
- Web güvenligine yeterli önem ve dikkatin
verilmemesi - Geleneksel yöntemlerin yetersizligi
- Yetersiz web sunucu güvenligi
- Güvenli kodlama secure coding yapilmamasi
25- Eger bu kadar kötü yazilim güvenligine
- sahip olmasaydik,
-
- bu kadar çok ag güvenligine
- ihtiyacimiz olmayacakti
- Bruce Schneier
26Bir savasi yenmek için, bireyin yöntemi bilmesi
gerekirSun TzuSavas SanatiThe Art of War
27- 3. Kurumsal Web Güvenligi Modeli
28Kurumsal Aglarda Web Sistemleri
- Üniversite aglari gibi büyük kurumsal aglarda,
- farkli ve çok sayida web sistemleri,
- farkli ekipler bulunmaktadir.
- Güvenligini saglamak için
- Daha kapsamli sistemler kullanilmali
- Birbirleriyle etkilesimli çalismali
29Kurumsal Web Güvenligi Modeli
- Standartlastirma
- Güvenli Kodlama
- Sistem Farkindaligi
- Egitim / Sinama
- Saldiri Saptama
- Saldiri Engelleme
- Kurtarma
- Esgüdüm Merkezi
30(No Transcript)
313.1. Standartlastirma
- Politika tabanli
- Kullanim ve güvenlik politikalari
- Neye izin verilir, neye izin verilmez.
- Önerilen sistemin tanimlanmasi
- Sablonlar, iyi uygulama örnekleri,
- Güvenli Kodlama
- Belgeleme
323.2. Güvenli Kodlama
- Yazilim gelistirme yasam döngüsü (SDLC)
içerisinde güvenli kodlama yapilmali ve zayiflik
(vulnerability) testleri gerçeklestirilmeli - Güvence (Assurance) Modelleri
- Ex. OWASP Clasp, Microsoft SDL
- OWASP Güvenli Kodlama Belgeleri
- http//www.owasp.org
33Yazilim Gelistirirken Temel Esaslar
- Kullanici Görev/Yetki tanimlama
- Farkli güvenlik düzeyleri
- En az yetki
- Güvenli varsayilan ayarlar
- Kademeli savunma
- Önlemleri yalin tutmak
- Saldiri alanini azaltmak
- Güvenli düsmek
34Güvenli Kodlama (devam)
- Girdi /çikti denetiminin önemi
- Yazilim kütüphaneleri ve siniflari güvenli
kodlama esaslarina göre gelistirilmeli, - Güvenli kodlamayi destekleyen gelistirme
ortamlari (Ör Strutus)
35Güvenli Kodlama (devam)
- Yeterince uygulanamamasinin nedenleri
- Projeyi bitis zamanina yetistirme,
- Programcilarin güvenli kodlama süreçleri hakkinda
yeterince bilgi sahip olmamasi, - Müsterinin, bu konudaki beklentisini /
yaptirimini vurgulamamasi. - Mümkün oldugunca çok önem verilmelidir.
363.3. Egitim / Test
- Çalistay ve Çalisma Gruplari
- Güvenli kodlama örnekleri ve saldiri senaryolari
- Egitim Portali
- Kurumun projeleri ile ilgili iyi uygulama
örnekleri - Kilavuzlar, standartlar
37Egitim / Test (devam)
- Test Sunucusu
- Kaynak kod analizi
- Kara kutu analizleri (kaynak koda ulasmadan)
383.4. Ag / Web Sistem Farkindaligi
- Sistemleri koruyabilmek için öncelikle korunmasi
gereken sistemleri tanimak/tanimlamak gerekir. - Ayri bir bölüm olarak birazdan ayrintilari
verilecek ...
393.5. Saldiri Engelleme
- Ag Tabanli Erisim Denetimi
- Örn. Ag güvenligi duvari, yönlendirici erisim
listesi - Sunucu Yerel Güvenligi
- Örn. Mod Security
- Web Uygulama Güvenlik Duvari / Ters Vekil
- Örn. Mod Security Mod Rewrite
40Ters Vekil Sunucu
413.6. Saldiri Saptama
- Saldiri Saptama Sistemleri
- Örn. Snort, Mod Security
- Günlük (Log) Dosyasi Denetimi
- Saldirgan Tuzagi Aglari
- (Honeynet, Honeypot)
423.7. Kurtarma
- Sistem saldiriya ugradiginda
- Acil Durum Plani var mi?
- Yedek sunucu ?
- Yedeklenen veriler ?
- Adli inceleme ihtiyaci ?
43Kurtarma Asamalari
- Sunucuya erisimin engellenmesi
- Ayrintili inceleme
- Saldirilarin etkilerini temizleme
- Sistemi yeniden çalistirma
- Kullanicilarin durumdan haberdar edilmesi
- Saldirganin saptanmasi
443.8. Koordinasyon Merkezi
- Çok katmanli güvenlik yapisinda güvenlik
önlemlerinin asagidaki sekilde çalismasini
saglayacak bir sunucudur (sistemdir) - Birbirleriyle etkilesimli
- Etkin
45(No Transcript)
46- 4. Ag / Web Sistem Farkindaligi
474. Ag / Web Sistem Farkindaligi
- Saldirgani tanimak (?)
- Kendini tanimak,
- Degerleri, neyin korunmasi gerektiginin
tanimlanmasi -
- Sistemleri saldirgandan daha iyi tanimak ...
48Ag / Web Sistem Farkindaligi(devam)
- Ag Farkindaligi
- ag üzerinde o an olmakta olanlari bilme yetenegi
- Web Sistem Farkindaligi
- Web Altyapi Farkindaligi
- Zayiflik Testleri
- Sistem Takibi
49Web Sistem Farkindaligi
- Web Altyapi Farkindaligi
- Sistemin güncel/anlik durumu hakkinda bilgi
toplamak - Zayiflik Testleri
- Görünür/bilinir zayifliklari ögrenmek
- Sistemi takip etmek
- Sistemin su anki durumunu izlemek
50Toplanmasi Hedeflenen Bilgiler
- Web sunucusu üçüncü katman adresleri (IP
adresleri), - Sunucu üzerindeki alan adlari
- (Ör internet.ege.edu.tr),
- Web servisi verilen ag kapilari (80, 8080 vb),
- Sunucu üzerinde çalisan isletim sistemi (Linux,
Windows vb), - Web sunucu yazilim türleri ve sürümleri (Apache
2.0, IIS 6.0vb),
51Toplanmasi Hedeflenen Bilgiler (devam)
- Web uygulamalarinin gelistirildigi programlama
dilleri türleri (cgi, php, asp,.net, jsp vb), - Uygulama dosya adi,
- Uygulama çalisma yolu (dizin yapisi),
- Kullanilan degistirgeler ve tipleri,
- Sistemlere ait saldiriya açiklik raporlaridir
52Bilgi Toplama Sistemleri
- Ag kapisi ve uygulama tarayicilari
- HTTP parmak izi alma sistemleri
- Ag trafigi çözümleme sistemleri
- Saldiri saptama sistemleri
- Zayiflik (saldiriya açiklik) çözümleme sistemleri
- Arama motorlari
535. Ulak-CSIRT Web Güvenlik Grubu
- Egitim ve bilinçlendirme çalismalari çesitli
seminerler ve toplantilar - Belgeleme Çalismalari
- OWASP Ilk 10 Web Güvenlik Açigi 2007 (tercüme)
- PHP Güvenlik Kitapçigi (hazirlanmakta)
54Ulak-CSIRT Web Güvenlik Grubu (devam)
- Web Sistem farkindaligi ve egitim konularina
agirlik verilmektedir. - Merkezi Zayiflik tarama sistemi denemeleri
- Açik kaynak kodlu yazilimlar denenmektedir.
556. SONUÇ
- Kurumsal web güvenligi için, Web Güvenligi
Modelindeki yöntemler uygulanmalidir - Kuruma uyan yöntemler seçilmeli
- Mümkün oldugunca fazla yöntem devreye alinmali
- Her yöntem sistemi daha karmasik hale mi getirir?
- Temel hedefler asagidaki gibi olmali
- Web sistem farkindaligi
- Web sunucu yöneticilerini ve programcilarini
egitmek/bilgilendirmek
56Sonuç (devam)
- Sistemler saldiri tespit sistemleri ile takip
edilmelidir - Web sunuculari önüne web güvenlik duvari
konuslanmalidir. - ULAK-CSIRT Web Güvenligi Çalisma Grubu bünyesinde
bilinçlendirme çalismalari ve OWASP-TR ile
isbirligi devam etmesi hedeflenmektedir
57Sonuç (devam)
- Bu sunum ve Kurumsal Web Güvenligi Altyapisi
belgesi (yakinda) http//www.karaarslan.net/guvenl
ik.html - Web Güvenligi Belgeleri
- http//www.webguvenligi.org
- http//websecurity.ege.edu.tr
- http//csirt.ulakbim.gov.tr/belgeler
58Degisim zordur, açik fikirli olmali ...
- Önyargilari yok etmek, atom çekirdegini
parçalamaktan daha zordur. -
- Einstein
59- Ilginiz için tesekkürler ...
- Sorularinizi bekliyorum ...
- Iletisim
- csirt_at_ulakbim.gov.tr
- info_at_karaarslan.net
- ULAK-CSIRT
- http//csirt.ulakbim.gov.tr/eng